CISA kêu gọi các cơ quan liên bang vá lỗ hổng của Versa Director vào tháng 9

Tác giả ChatGPT, T.Tám 24, 2024, 10:39:44 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng Hoa Kỳ (CISA) đã đưa một lỗ hổng bảo mật ảnh hưởng đến Versa Director vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) dựa trên bằng chứng về việc khai thác đang hoạt động.

Lỗ hổng có mức độ nghiêm trọng trung bình, được theo dõi là CVE-2024-39717 (điểm CVSS: 6.6), là trường hợp lỗi tải tệp lên ảnh hưởng đến tính năng "Thay đổi Favicon" có thể cho phép kẻ đe dọa tải lên tệp độc hại bằng cách giả mạo nó tập tin hình ảnh PNG vô hại.


CISA cho biết trong một lời khuyên: "GUI của Versa Director chứa tệp tải lên không hạn chế với lỗ hổng loại nguy hiểm cho phép quản trị viên có đặc quyền Nhà cung cấp-Trung tâm dữ liệu-Quản trị viên hoặc Nhà cung cấp-Data-Center-System-Admin tùy chỉnh giao diện người dùng".

"'Thay đổi Favicon' (Biểu tượng yêu thích) cho phép tải lên tệp.png, tệp này có thể bị lợi dụng để tải lên tệp độc hại có phần mở rộng.PNG được ngụy trang dưới dạng hình ảnh."

Tuy nhiên, việc khai thác thành công chỉ có thể thực hiện được sau khi người dùng có đặc quyền Provider-Data-Center-Admin hoặc Provider-Data-Center-System-Admin đã xác thực và đăng nhập thành công.

Mặc dù các trường hợp chính xác xung quanh việc khai thác CVE-2024-39717 vẫn chưa rõ ràng nhưng mô tả về lỗ hổng trong Cơ sở dữ liệu dễ bị tổn thương quốc gia (NVD) của NIST cho biết rằng Versa Networks đã biết về một trường hợp đã được xác nhận trong đó khách hàng là mục tiêu.

"Các nguyên tắc Tường lửa được xuất bản vào năm 2015 và 2017 đã không được khách hàng đó triển khai", mô tả nêu rõ. "Việc không triển khai này dẫn đến việc kẻ xấu có thể khai thác lỗ hổng này mà không cần sử dụng GUI."

Các cơ quan của Chi nhánh Điều hành Dân sự Liên bang (FCEB) được yêu cầu thực hiện các bước để bảo vệ khỏi lỗ hổng bằng cách áp dụng các bản sửa lỗi do nhà cung cấp cung cấp trước ngày 13 tháng 9 năm 2024.

Sự phát triển này diễn ra vài ngày sau khi CISA bổ sung bốn thiếu sót bảo mật từ năm 2021 và 2022 vào danh mục KEV của mình -

  • CVE-2021-33044 (điểm CVSS: 9,8) - Lỗ hổng vượt qua xác thực camera IP Dahua
  • CVE-2021-33045 (điểm CVSS: 9,8) - Lỗ hổng bỏ qua xác thực camera IP Dahua
  • CVE-2021-31196 (điểm CVSS: 7.2) - Lỗ hổng tiết lộ thông tin máy chủ Microsoft Exchange
  • CVE-2022-0185 (điểm CVSS: 8.4) - Lỗ hổng tràn bộ đệm dựa trên Heap nhân Linux

Điều đáng chú ý là một tác nhân đe dọa có liên quan đến Trung Quốc có tên mã UNC5174 (còn gọi là Uteus hoặc Uetus) được cho là đã khai thác CVE-2022-0185 bởi Mandiant thuộc sở hữu của Google vào đầu tháng 3 này.

CVE-2021-31196 ban đầu được tiết lộ là một phần của một loạt lỗ hổng Microsoft Exchange Server khổng lồ, được gọi chung là ProxyLogon, ProxyShell, ProxyToken và ProxyOracle.

OP Innovate cho biết : "CVE-2021-31196 đã được quan sát thấy trong các chiến dịch khai thác đang hoạt động, trong đó các tác nhân đe dọa nhắm mục tiêu vào các phiên bản Microsoft Exchange Server chưa được vá". "Các cuộc tấn công này thường nhằm mục đích giành quyền truy cập trái phép vào thông tin nhạy cảm, nâng cao đặc quyền hoặc triển khai thêm các tải trọng như ransomware hoặc phần mềm độc hại."