VietNetwork.Vn

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các sản phẩm của Fortinet vào danh mục Lỗ hổng đã biết bị khai thác (KEV), trích dẫn bằng chứng về hành vi khai thác đang diễn ra.

Lỗ hổng bảo mật được theo dõi là CVE-2024-23113 (điểm CVSS: 9,8), liên quan đến các trường hợp thực thi mã từ xa ảnh hưởng đến FortiOS, FortiPAM, FortiProxy và FortiWeb.


"Việc sử dụng lỗ hổng chuỗi định dạng được kiểm soát bên ngoài [CWE-134] trong daemon FortiOS fgfmd có thể cho phép kẻ tấn công từ xa không xác thực thực thi mã hoặc lệnh tùy ý thông qua các yêu cầu được tạo đặc biệt", Fortinet lưu ý trong một khuyến cáo về lỗ hổng vào tháng 2 năm 2024.

Như thường lệ, bản tin không đề cập nhiều đến việc điểm yếu này đang bị khai thác như thế nào, hoặc ai đang lợi dụng điểm yếu này và chống lại ai.

Trước tình trạng khai thác tràn lan, các cơ quan thuộc Chi nhánh Hành pháp Dân sự Liên bang (FCEB) được yêu cầu áp dụng các biện pháp giảm thiểu do nhà cung cấp cung cấp trước ngày 30 tháng 10 năm 2024 để có biện pháp bảo vệ tối ưu.

1. Palo Alto Networks tiết lộ lỗi nghiêm trọng trong Expedition

Sự phát triển này diễn ra khi Palo Alto Networks tiết lộ nhiều lỗ hổng bảo mật trong Expedition có thể cho phép kẻ tấn công đọc nội dung cơ sở dữ liệu và các tệp tùy ý, ngoài việc ghi các tệp tùy ý vào các vị trí lưu trữ tạm thời trên hệ thống.

Palo Alto Networks cho biết trong cảnh báo hôm thứ Tư: "Kết hợp lại, những thông tin này bao gồm thông tin như tên người dùng, mật khẩu dạng văn bản thuần túy, cấu hình thiết bị và khóa API thiết bị của tường lửa PAN-OS".


Các lỗ hổng bảo mật ảnh hưởng đến tất cả các phiên bản Expedition trước 1.2.96 được liệt kê dưới đây -

• CVE-2024-9463 (Điểm CVSS: 9,9) - Lỗ hổng tiêm lệnh hệ điều hành (OS) cho phép kẻ tấn công chưa xác thực chạy các lệnh OS tùy ý dưới dạng root
• CVE-2024-9464 (Điểm CVSS: 9.3) - Lỗ hổng tiêm lệnh hệ điều hành cho phép kẻ tấn công đã xác thực chạy các lệnh hệ điều hành tùy ý dưới dạng root
• CVE-2024-9465 (Điểm CVSS: 9.2) - Lỗ hổng tiêm SQL cho phép kẻ tấn công chưa xác thực tiết lộ nội dung cơ sở dữ liệu Expedition
• CVE-2024-9466 (Điểm CVSS: 8.2) - Lỗ hổng lưu trữ thông tin nhạy cảm dưới dạng văn bản rõ cho phép kẻ tấn công đã xác thực tiết lộ tên người dùng tường lửa, mật khẩu và khóa API được tạo bằng các thông tin xác thực đó
• CVE-2024-9467 (Điểm CVSS: 7.0) - Lỗ hổng mã lệnh chéo trang (XSS) phản ánh cho phép thực thi JavaScript độc hại trong bối cảnh trình duyệt của người dùng Expedition đã xác thực nếu người dùng đó nhấp vào liên kết độc hại, cho phép các cuộc tấn công lừa đảo có thể dẫn đến đánh cắp phiên trình duyệt Expedition

Công ty ghi nhận Zach Hanley của   Đăng nhập để xem liên kết đã phát hiện và báo cáo CVE-2024-9464, CVE-2024-9465 và CVE-2024-9466, và Enrique Castillo của Palo Alto Networks đã phát hiện và báo cáo CVE-2024-9463, CVE-2024-9464, CVE-2024-9465 và CVE-2024-9467.



Không có bằng chứng nào cho thấy các vấn đề này đã từng bị khai thác ngoài thực tế, mặc dù   Đăng nhập để xem liên kết cho biết các bước để tái tạo vấn đề này đã được công khai.

Có khoảng 23 máy chủ Expedition được kết nối với internet, hầu hết đều nằm ở Hoa Kỳ, Bỉ, Đức, Hà Lan và Úc. Để giảm thiểu, nên hạn chế quyền truy cập đối với người dùng, máy chủ hoặc mạng được ủy quyền và tắt phần mềm khi không sử dụng.

2. Cisco sửa lỗi bộ điều khiển Nexus Dashboard Fabric

Tuần trước, Cisco cũng đã phát hành bản vá để khắc phục lỗi thực thi lệnh nghiêm trọng trong Nexus Dashboard Fabric Controller (NDFC) mà hãng cho biết xuất phát từ việc người dùng ủy quyền không đúng cách và xác thực đối số lệnh không đủ.

Được theo dõi là CVE-2024-20432 (điểm CVSS: 9,9), nó có thể cho phép kẻ tấn công từ xa đã xác thực, có đặc quyền thấp thực hiện cuộc tấn công tiêm lệnh vào thiết bị bị ảnh hưởng. Lỗi này đã được giải quyết trong NDFC phiên bản 12.2.2. Cần lưu ý rằng các phiên bản 11.5 trở về trước không bị ảnh hưởng.

"Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi các lệnh được tạo sẵn đến điểm cuối REST API bị ảnh hưởng hoặc thông qua giao diện người dùng web", công ty cho biết. "Một khai thác thành công có thể cho phép kẻ tấn công thực thi các lệnh tùy ý trên CLI của thiết bị do Cisco NDFC quản lý với các đặc quyền của quản trị viên mạng".