Jonathan Greig er journalist baseret i New York City.
Fuld bio den 21. januar 2022 | Emne: Sikkerhed
CISA udgav sin seneste opdatering til kataloget Known Exploited Vulnerabilities og tilføjede 13 nye sårbarheder. Ni af sårbarhederne har en udbedringsdato på 1. februar, og fire af dem har en udbedringsdato på den 18. juli.
Listen inkluderer en oktober CMS forkert godkendelse, et systeminformationsbibliotek for node.js Command Injection sårbarhed, en Oracle Corporate Business Intelligence Enterprise Edition Path Traversal sårbarhed, en Apache Airflow Experimental API Authentication Bypass sårbarhed, en Drupal Core Unrestricted Upload of File sårbarhed, og tre Nagios XI OS Command Injection sårbarheder.
CISA
Oktober CMS ukorrekt godkendelse – CVE-2021-32648 – blev angiveligt brugt under et cyberangreb på ukrainske regeringssystemer i sidste uge. En patch blev frigivet i september 2021.
The Media Trust CEO Chris Olson sagde, at sårbarhedens påståede brug i det nylige angreb på Ukraine forklarer softwarens optagelse på listen, men han bemærkede, at dets medtagelse fremhæver “en alarmerende vækst i webbaserede cyberangreb og den rolle, de vil spille i global cyberkrigsførelse.”
“Der lægges lidt opmærksomhed på nettet som angrebsoverflade. Mens organisationer på tværs af den offentlige og private sektor i stigende grad er opmærksomme på cyberrisiko, opfylder stakken af tredjepartskode, der bruges i webudvikling, sjældent de standarder for AppSec, som disse organisationer ville kræve. fra ethvert af deres it-systemer,” sagde Olson.
Jordan LaRose, direktør for hændelsesberedskab hos F-Secure, fortalte ZDNet, at CISAs vejledning matcher meget af det, de ser i naturen fra et ondsindet skuespillerstandpunkt.
LaRose sagde, at det, der skilte sig mest ud for ham, var, at disse alle er sårbarheder, der påvirker webservere eller API'er. Dette er en tendens, som LaRose sagde, at han har set udvikle sig betydeligt i det seneste år blandt ondsindede aktører, hvoraf mange henvender sig til mere end blot klassiske metoder som phishing eller trojanske heste for at få fodfæste i organisationer med stærke sikkerhedsstillinger.
“Det, vi ser nu, er en bølge af angreb, hvor angribere retter sig mod teknologi frem for mennesker, hvor det seneste bemærkelsesværdige eksempel er Log4Shell-angrebene. Disse angreb udføres stort set opportunistisk, hvor angribere indlæser scanningsscripts med udnyttelserne og rammer alt, hvad de kan på internettet for at finde et potentielt offer,” sagde han.
Neosecs vicepræsident Edward Roberts gentog denne holdning og tilføjede, at mængden af sårbarheder, der involverer API'er, vil fortsætte med at stige, fordi der udvikles flere API'er hver dag. De fleste organisationer, sagde han, “ved ikke engang, hvor mange API'er de har, endsige hvilke der har sårbarheder, endsige overveje, hvordan de bliver snydt af misbrug.”
En række cybersikkerhedseksperter bemærkede, at flere af disse sårbarheder blev identificeret for måneder siden. Nogle af sårbarhederne på listen går tilbage til 2012 og 2013 ifølge Netenrichs hovedtrusselsjæger John Bambenek, som udtrykte bekymring over, at de ikke allerede er blevet rettet.
“At agenturet ikke har grundlæggende patch-udrulningsoplysninger fra andre regeringsenheder betyder, at der ikke er nogen central styring af disse oplysninger. Holdningen for føderal it-cybersikkerhed ser ud til at være forblevet fastlåst,” sagde Bambenek.
“Hvis en udnyttet sårbarhed kan bruges til at udføre kommandoer på offermaskinen, så sætter CISA en to ugers forfaldsdato til patch. Når det er sagt, er to uger alt for langsomt. Udvekslingssårbarheden bekymrer mig det meste er dog nogle af disse ting helt uden for den slagne vej. Men det kan være almindeligt i offentlige anlæg, der er så værdige at sætte på listen.”
Vulcan Cyber CPO Tal Morgenstern bemærkede, at syv af sårbarhederne med udbedringsdatoer den 1. februar vedrører systemadministrationsværktøjer.
“Systemadministrationsværktøjer fra VMware, Nagios, F5, Npm og flere har nøglerne til kongeriget giver brugeren betydelig magt til at automatisere systemændringer på godt og ondt. Dette er ikke en ny bekymring, da vi har set en uheldig tendens med sårbarheder i systemstyringssoftwareværktøjer i år,” forklarede Morgenstern.
“I betragtning af mængden af adgang og kontrol, disse værktøjer har, skal it-sikkerhedsteam tage øjeblikkelige skridt for fuldt ud at afbøde kendte risici. Vent ikke til februar. Flyt nu.”
Sikkerhed
Microsoft: Ny browserfunktion er 'enormt fremskridt' mod nul-dagstrusler Hvordan teknologi er et våben i moderne misbrug i hjemmet – og hvordan man beskytter sig selv Linux-malware er stigende. Her er tre toptrusler lige nu Den bedste antivirussoftware og -apps: Hold din pc, telefon og tablet sikker Regering | Sikkerheds-tv | Datastyring | CXO | Datacentre