Jonathan Greig är journalist baserad i New York City.
Fullständig beskrivning den 11 januari 2022 | Ämne: Säkerhet
Den här veckan lade Cybersecurity and Infrastructure Security Agency (CISA) till 15 sårbarheter i sin katalog över kända exploaterade sårbarheter. Tre av sårbarheterna måste åtgärdas av federala civila myndigheter före den 24 januari, medan resten har åtgärdsdatum den 10 juli.
CISA sa att listan är “baserad på bevis för att hotaktörer aktivt utnyttjar sårbarheterna ” och noterade att sårbarheterna är “en frekvent attackvektor för illvilliga cyberaktörer av alla slag och utgör en betydande risk för det federala företaget.”
De mest brådskande tilläggen inkluderar en VMware vCenter Server Felaktig åtkomstkontroll-sårbarhet, en Hikvision Felaktig Input Validation-sårbarhet och en FatPipe WARP, IPVPN och MPVPN Privilege Escalation-sårbarhet.
Resten av listan inkluderar sårbarheter som involverar Google Chrome, Microsoft Win32K, Microsoft WinVerify, Elastic Kibana, Primetek Primefaces, IBM WebSphere Application Server, Exim Mail Transfer Agent, Palo Alto Networks PAN-OS, Fortinet FortiOS och FortiProxy, Synacor Zimbra och Oracle WebLogic Server.
The Known Exploited Vulnerabilities Catalog skapades förra året genom ett bindande direktiv som gjorde det möjligt för CISA att tvinga federala civila myndigheter att ta itu med vissa sårbarheter som används av cyberattackare. Den första versionen av listan inkluderade 306 sårbarheter som ofta utnyttjas under attacker men har vuxit sedan dess.
Joshua Aagard, en sårbarhetsanalytiker på Photon Research Team på Digital Shadows, sa till ZDNet att CISA:s tillägg är omfattande och sannolikt kommer att komma med knock-on-effekter för infrastruktur.
“Oauktoriserade handlingar och fjärrexekvering citeras många gånger som en konsekvens av framgångsrikt utnyttjande. Detsamma gäller datainmatning via sanering och korrekt logisk hantering,” sa Aagard.
“De jag inspekterade tenderar också att dela ett gemensamt tema för centraliserat kommando eller omfatta en enda punkt av misslyckande. Ur en angripares perspektiv kan en serverkonsol eller kritisk proxy fungera som ett Jenga-block som tar ner all resten av den medföljande infrastrukturen. “
De tre som stack ut mest för honom var sårbarheten VMware vCenter Server Felaktig åtkomstkontroll, Hikvision Felaktig Input Validation sårbarheten och FatPipe WARP, IPVPN och MPVPN Privilege Escalation.
Aagard förklarade att sårbarheten i Hikvision CCTV-kameror och kamerasystem relaterar till bristande indatavalidering, vilket lämnar servrar öppna för potentiellt skadliga kommandoinjektionsattacker, även kända som RCE.
“Full kontroll över målenheten kan fås via ett icke-begränsat skal på rotnivån, vilket till och med ersätter den utsedda ägarnivån,” sa Aagard.
FatPipe-nätverkssårbarheten påverkar deras WARP, IPVPN och MPVPN-erbjudanden och tillåter angripare att få tillgång till en obegränsad filuppladdningsfunktion på servleten på URL-sökvägen /fpui/uploadConfigServlet, som sedan kan användas för att släppa ett webshell/fpui/img /1,jsp för åtkomst till root och efterföljande förhöjda privilegier, enligt Aagard.
“Lyckad exploatering av denna sårbarhet kan leda till pivot-åtkomst med det interna nätverket. Programvaruversioner före utgåvorna 10.1.2r60p93 och 10.2.2r44p1 påverkas av det här problemet,” sa Aagard.
För VMware-sårbarheten kan en skadlig aktör med gemensam nätverksåtkomst till port 443 på vCenter Server utnyttja detta problem för att utföra en förbikoppling och få åtkomst till interna slutpunkter, förklarade Aagard.
Netenrichs främsta hotjägare John Bambenek upprepade Aagards oro över VMWare-sårbarheten och noterade att VMWare-servrar inte bara är en tillgång utan vanligtvis används för att kontrollera många av de viktiga tillgångarna i en organisation.
“Denna sårbarhet ger en enkel väg att ta över en vCenter-instans och alla tillgångar däri,” sa Bambenek. “En annan observation är att några av dessa sårbarheter är ganska gamla (en är från 2013). Varför den federala regeringen behöver sex månader till för att korrigera en 8-årig sårbarhet säger mig allt jag behöver veta om hur trasig IT-säkerheten är med regering.”
Säkerhet
Ingen omstartsattack förfalskar iOS-telefonavstängning för att spionera på dig JFrog-forskare finner JNDI-sårbarhet i H2-databaskonsoler som liknar Log4Shell Cybersecurity-träning fungerar inte. Och hackingattacker blir värre De 5 bästa VPN-tjänsterna 2022 De största dataintrången, hackarna 2021 Google | Säkerhets-TV | Datahantering | CXO | Datacenter