Jonathan Greig er en journalist basert i New York City.
Full Bio 11. januar 2022 | Emne: Sikkerhet
Denne uken la Cybersecurity and Infrastructure Security Agency (CISA) til 15 sårbarheter i sin katalog over kjente utnyttede sårbarheter. Tre av sårbarhetene må utbedres av føderale sivile byråer før 24. januar, mens resten har utbedringsdato 10. juli.
CISA sa at listen er “basert på bevis for at trusselaktører aktivt utnytter sårbarhetene ” og bemerket at sårbarhetene er “en hyppig angrepsvektor for ondsinnede cyberaktører av alle typer og utgjør betydelig risiko for det føderale foretaket.”
De mest presserende tilleggene inkluderer en VMware vCenter Server Feil tilgangskontroll-sårbarhet, en Hikvision Feil Input Validation-sårbarhet og en FatPipe WARP, IPVPN og MPVPN Privilege Escalation-sårbarhet.
Resten av listen inkluderer sårbarheter som involverer Google Chrome, Microsoft Win32K, Microsoft WinVerify, Elastic Kibana, Primetek Primefaces, IBM WebSphere Application Server, Exim Mail Transfer Agent, Palo Alto Networks PAN-OS, Fortinet FortiOS og FortiProxy, Synacor Zimbra og Oracle WebLogic Server.
The Known Exploited Vulnerabilities Catalogue ble opprettet i fjor gjennom et bindende direktiv som tillot CISA å tvinge føderale sivile byråer til å adressere visse sårbarheter som brukes av nettangripere. Den første versjonen av listen inkluderte 306 sårbarheter som ofte ble utnyttet under angrep, men har vokst siden den gang.
Joshua Aagard, en sårbarhetsanalytiker i Photon Research Team ved Digital Shadows, fortalte ZDNet at CISAs tilføyelser er omfattende og sannsynligvis vil komme med avsmittende effekter for infrastruktur.
“Uautoriserte handlinger og ekstern utførelse blir sitert mange ganger som konsekvensen av vellykket utnyttelse. Det samme er datainngang via sanering og riktig logisk håndtering,” sa Aagard.
“De jeg inspiserte har også en tendens til å dele et felles tema for sentralisert kommando eller omfatte et enkelt feilpunkt. Fra en angripers perspektiv kan en serverkonsoll eller kritisk proxy fungere som en Jenga-blokk som tar ned all den medfølgende infrastrukturen. «
De tre som skilte seg mest ut for ham var sårbarheten VMware vCenter Server Feil tilgangskontroll, Hikvision Feil Input Validation-sårbarheten og FatPipe WARP, IPVPN og MPVPN Privilege Escalation-sårbarheten.
Aagard forklarte at sårbarheten i Hikvision CCTV-kameraer og kamerasystemer er relatert til mangel på inndatavalidering, som lar servere være åpne for potensielt ondsinnede kommandoinjeksjonsangrep, ellers kjent som RCE.
“Full kontroll over målenheten kan oppnås via et ubegrenset skall på rotnivået, som til og med erstatter det angitte eiernivået,” sa Aagard.
FatPipe-nettverkssårbarheten påvirker deres WARP-, IPVPN- og MPVPN-tilbud og lar angripere få tilgang til en ubegrenset filopplastingsfunksjon på servleten på URL-banen /fpui/uploadConfigServlet, som deretter kan brukes til å slippe et webshell/fpui/img /1,jsp for tilgang til root og påfølgende forhøyede rettigheter, ifølge Aagard.
“Vellykket utnyttelse av dette sikkerhetsproblemet kan føre til pivottilgang med det interne nettverket. Programvareversjoner før utgivelsene 10.1.2r60p93 og 10.2.2r44p1 påvirkes av dette problemet,” sa Aagard.
For VMware-sårbarheten kan en ondsinnet aktør med felles nettverkstilgang til port 443 på vCenter Server utnytte dette problemet til å omgå og få tilgang til interne endepunkter, forklarte Aagard.
Netenrichs viktigste trusseljeger John Bambenek gjentok Aagards bekymring for VMWare-sårbarheten, og la merke til at VMWare-servere ikke bare er én ressurs og vanligvis brukes til å kontrollere mange av de viktige eiendelene i en organisasjon.
“Denne sårbarheten gir en enkel vei til å overta en vCenter-forekomst og alle eiendelene i den,” sa Bambenek. “En annen observasjon er at noen av disse sårbarhetene er ganske gamle (en er fra 2013). Hvorfor den føderale regjeringen trenger seks måneder til for å reparere en 8 år gammel sårbarhet forteller meg alt jeg trenger å vite om hvor ødelagt IT-sikkerheten er med regjeringen.”
Sikkerhet
NoReboot-angrep forfalsker avslutning av iOS-telefon for å spionere på deg JFrog-forskere finner JNDI-sårbarhet i H2-databasekonsoller som ligner på Log4Shell Cybersecurity-trening fungerer ikke. Og hackingangrep blir verre De 5 beste VPN-tjenestene i 2022 De største datainnbruddene, hackene i 2021 Google | Sikkerhets-TV | Databehandling | CXO | Datasentre