Jonathan Greig er journalist baseret i New York City.
Fuld biografisk biografisk den 11. januar 2022 | Emne: Sikkerhed
I denne uge føjede Cybersecurity and Infrastructure Security Agency (CISA) 15 sårbarheder til sit katalog over kendte udnyttede sårbarheder. Tre af sårbarhederne skal afhjælpes af føderale civile agenturer inden den 24. januar, mens resten har udbedringsdatoer den 10. juli.
CISA sagde, at listen er “baseret på beviser for, at trusselsaktører aktivt udnytter sårbarhederne ” og bemærkede, at sårbarhederne er “en hyppig angrebsvektor for ondsindede cyberaktører af alle typer og udgør en betydelig risiko for den føderale virksomhed.”
De mest presserende tilføjelser inkluderer en VMware vCenter Server Ukorrekt Adgangskontrol-sårbarhed, en Hikvision Upassende Input Validation-sårbarhed og en FatPipe WARP, IPVPN og MPVPN Privilege Escalation-sårbarhed.
Resten af listen inkluderer sårbarheder, der involverer Google Chrome, Microsoft Win32K, Microsoft WinVerify, Elastic Kibana, Primetek Primefaces, IBM WebSphere Application Server, Exim Mail Transfer Agent, Palo Alto Networks PAN-OS, Fortinet FortiOS og FortiProxy, Synacor Zimbra og Oracle WebLogic Server.
The Known Exploited Vulnerabilities Catalogue blev oprettet sidste år gennem et bindende direktiv, der gjorde det muligt for CISA at tvinge føderale civile agenturer til at håndtere visse sårbarheder, som bliver brugt af cyberangribere. Den første version af listen indeholdt 306 sårbarheder, der almindeligvis udnyttes under angreb, men er vokset siden da.
Joshua Aagard, en sårbarhedsanalytiker på Photon Research Team hos Digital Shadows, fortalte ZDNet, at CISA's tilføjelser spænder vidt og sandsynligvis vil komme med afsmittende effekter for infrastrukturen.
“Uautoriserede handlinger og fjernudførelse citeres mange gange som konsekvensen af vellykket udnyttelse. Det samme er datainput via sanering og korrekt logisk håndtering,” sagde Aagard.
“Dem, jeg inspicerede, har også en tendens til at dele et fælles tema om centraliseret kommando eller omfatte et enkelt fejlpunkt. Fra en angribers perspektiv kan en serverkonsol eller kritisk proxy fungere som en Jenga-blok, der bringer al resten af den medfølgende infrastruktur ned. “
De tre, der skilte sig mest ud for ham, var sårbarheden i VMware vCenter Server Ukorrekt adgangskontrol, Hikvision Improper Input Validation-sårbarheden og FatPipe WARP, IPVPN og MPVPN Privilege Escalation-sårbarheden.
Aagard forklarede, at sårbarheden i Hikvision CCTV-kameraer og kamerasystemer relaterer sig til en mangel på inputvalidering, som efterlader servere åbne for potentielt ondsindede kommandoindsprøjtningsangreb, også kendt som RCE.
“Fuld kontrol over målenheden kan opnås via ikke-begrænset shell på rodniveauet, som endda erstatter det udpegede ejerniveau,” sagde Aagard.
FatPipe-netværkssårbarheden påvirker deres WARP-, IPVPN- og MPVPN-tilbud og giver angribere mulighed for at få adgang til en ubegrænset filoverførselsfunktion på servlet'en på URL-stien /fpui/uploadConfigServlet, som derefter kan bruges til at slippe en webshell/fpui/img /1,jsp for adgang til root og efterfølgende forhøjede privilegier, ifølge Aagard.
“Vellykket udnyttelse af denne sårbarhed kan føre til pivot-adgang med det interne netværk. Softwareversioner før udgivelser 10.1.2r60p93 og 10.2.2r44p1 er påvirket af dette problem,” sagde Aagard.
For VMware-sårbarheden kan en ondsindet aktør med fælles netværksadgang til port 443 på vCenter Server udnytte dette problem til at udføre en omgåelse og få adgang til interne slutpunkter, forklarede Aagard.
Netenrichs hovedtrusselsjæger John Bambenek gentog Aagards bekymring over VMWare-sårbarheden og bemærkede, at VMWare-servere ikke kun er ét aktiv og typisk bruges til at kontrollere mange af de vigtige aktiver i en organisation.
“Denne sårbarhed giver en ligetil vej til at overtage en vCenter-instans og alle aktiver deri,” sagde Bambenek. “En anden observation er, at nogle af disse sårbarheder er ret gamle (en er fra 2013). Hvorfor den føderale regering har brug for seks måneder mere til at reparere en 8-årig sårbarhed, fortæller mig alt, hvad jeg behøver at vide om, hvor ødelagt it-sikkerheden er med regering.”
Sikkerhed
NoReboot-angreb forfalsker lukning af iOS-telefon for at spionere på dig JFrog-forskere finder JNDI-sårbarhed i H2-databasekonsoller svarende til Log4Shell Cybersecurity-træning virker ikke. Og hackingangreb bliver værre De 5 bedste VPN-tjenester i 2022 De største databrud, hacks i 2021 Google | Sikkerheds-tv | Datastyring | CXO | Datacentre