Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 21 januari 2022 | Ämne: Säkerhet
CISA släppte sin senaste uppdatering av katalogen Known Exploited Vulnerabilities och lade till 13 nya sårbarheter. Nio av sårbarheterna har ett åtgärdsdatum 1 februari och fyra av dem har ett åtgärdsdatum 18 juli.
Listan innehåller en oktober CMS felaktig autentisering, ett systeminformationsbibliotek för node.js Command Injection sårbarhet, en Oracle Corporate Business Intelligence Enterprise Edition Path Traversal sårbarhet, en Apache Airflow Experimental API Authentication Bypass sårbarhet, en Drupal Core Unrestricted Upload of File, sårbarhet, och tre Nagios XI OS Command Injection sårbarheter.
CISA
Oktober CMS felaktig autentisering — CVE-2021-32648 — påstås ha använts under en cyberattack mot ukrainska regeringssystem förra veckan. En patch släpptes i september 2021.
The Media Trust VD Chris Olson sa att sårbarhetens påstådda användning i den senaste attacken mot Ukraina förklarar programvarans inkludering på listan, men han noterade att dess inkludering framhäver “en alarmerande tillväxt i webbaserade cyberattacker och den roll de kommer att spela i global cyberkrigföring.”
“Lite uppmärksamhet ägnas åt webben som en attackyta. Medan organisationer inom den offentliga och privata sektorn blir allt mer medvetna om cyberrisk, uppfyller högen av tredjepartskod som används i webbutveckling sällan de standarder för AppSec som dessa organisationer skulle kräva. från något av deras IT-system,” sa Olson.
Jordan LaRose, chef för incidentrespons på F-Secure, sa till ZDNet att CISA:s vägledning stämmer överens med mycket av det de ser i naturen från en illvillig skådespelares synvinkel.
LaRose sa att det som stod ut mest för honom var att dessa alla är sårbarheter som påverkar webbservrar eller API:er. Detta är en trend som LaRose sa att han har sett utvecklas avsevärt under det senaste året bland illvilliga aktörer, av vilka många vänder sig till mer än bara klassiska metoder som nätfiske eller trojaner för att få fotfäste i organisationer med starka säkerhetsställningar.
“Vad vi ser nu är en våg av attacker där angripare riktar in sig på teknik snarare än människor, med det senaste anmärkningsvärda exemplet är Log4Shell-attackerna. Dessa attacker görs till stor del opportunistiskt, med angripare som laddar upp skanningsskript med utnyttjandet och träffarna. allt de kan på internet för att hitta ett potentiellt offer”, sa han.
Neosecs vicepresident Edward Roberts upprepade den känslan och tillade att volymen av sårbarheter som involverar API:er kommer att fortsätta att öka eftersom det utvecklas fler API:er varje dag. De flesta organisationer, sade han, “vet inte ens hur många API:er de har, än mindre vilka som har sårbarheter, än mindre överväga hur de blir lurade av kränkande beteende.”
Ett antal cybersäkerhetsexperter noterade att flera av dessa sårbarheter identifierades för månader sedan. Några av sårbarheterna på listan går tillbaka till 2012 och 2013 enligt Netenrichs främsta hotjägare John Bambenek, som uttryckte oro över det faktum att de inte redan har lappats.
“Att byrån inte har grundläggande information om patchdistribution från andra regeringsenheter innebär att det inte finns någon central hantering av den informationen. Inställningen för federal IT-cybersäkerhet verkar ha stannat vid ruta ett,” sa Bambenek.
“Om en exploaterad sårbarhet kan användas för att utföra kommandon på offerdatorn, ställer CISA in ett två veckors förfallodatum för att patcha. Med det sagt, två veckor är alldeles för långsamt. Exchange-sårbarheten oroar mig det mesta är dock en del av de här grejer helt utanför allfartsvägarna. Men detta kan vara vanligt i statliga anläggningar som är så värda att ta upp på listan.”
Vulcan Cyber CPO Tal Morgenstern noterade att sju av sårbarheterna med åtgärdsdatum den 1 februari hänför sig till systemhanteringsverktyg.
“Systemhanteringsverktyg från VMware, Nagios, F5, Npm och fler har nycklarna till kungariket. ger användaren betydande kraft att automatisera systemförändringar på gott och ont. Det här är inte ett nytt problem eftersom vi har sett en olycklig trend med sårbarheter i systemhanteringsverktyg i år,” förklarade Morgenstern.
“Med tanke på mängden åtkomst och kontroll dessa verktyg har, måste IT-säkerhetsteam vidta omedelbara åtgärder för att helt minska kända risker. Vänta inte till februari. Flytta nu.”
Säkerhet
Microsoft: Ny webbläsarfunktion är ett “stort steg framåt” mot nolldagarshot Hur teknik är ett vapen i modern missbruk i hemmet – och hur man skyddar sig själv. Linux skadlig kod ökar. Här är tre främsta hot just nu De bästa antivirusprogramvaran och apparna: Håll din dator, telefon och surfplatta säker Regering | Säkerhets-TV | Datahantering | CXO | Datacenter