Ngày 02 tháng 5 năm 2023Ravie LakshmananLỗ hổng bảo mật / Đe dọa mạng
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã thêm ba lỗ hổng vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về hoạt động khai thác tích cực.
Các lỗ hổng bảo mật như sau –
CVE-2023-1389 (Điểm CVSS: 8,8) – Lỗ hổng tiêm lệnh tp-link Archer AX-21
CVE-2021-45046 (Điểm CVSS: 9.0) – Apache Log4j2 Giải tuần tự hóa lỗ hổng dữ liệu không đáng tin cậy
CVE-2023-21839 (Điểm CVSS: 7,5) – Lỗ hổng bảo mật không xác định của Oracle WebLogic Server
CVE-2023-1389 liên quan đến trường hợp chèn lệnh ảnh hưởng đến bộ định tuyến TP-Link Archer AX-21 có thể bị khai thác để thực thi mã từ xa. Theo Sáng kiến Zero Day của Trend Micro, lỗ hổng này đã được các tác nhân đe dọa liên quan đến botnet Mirai sử dụng kể từ ngày 11 tháng 4 năm 2023.
Lỗ hổng thứ hai được thêm vào danh mục KEV là CVE-2021-45046, một quá trình thực thi mã từ xa ảnh hưởng đến thư viện ghi nhật ký Apache Log4j2 được đưa ra ánh sáng vào tháng 12 năm 2021.
Hiện tại vẫn chưa rõ lỗ hổng cụ thể này đang bị lạm dụng như thế nào trong thực tế, mặc dù dữ liệu do GreyNoise thu thập cho thấy bằng chứng về các nỗ lực khai thác từ 74 địa chỉ IP duy nhất trong 30 ngày qua. Tuy nhiên, điều này cũng bao gồm CVE-2021-44228 (còn gọi là Log4Shell).
Hoàn thành danh sách là một lỗi nghiêm trọng trong Oracle WebLogic Server phiên bản 12.2.1.3.0, 12.2.1.4.0 và 14.1.1.0.0 có thể cho phép truy cập trái phép vào dữ liệu nhạy cảm. Nó đã được công ty vá như một phần của bản cập nhật được phát hành vào tháng 1 năm 2023.
“Máy chủ Oracle WebLogic chứa một lỗ hổng không xác định cho phép kẻ tấn công không được xác thực có quyền truy cập mạng thông qua T3, IIOP, để xâm nhập Máy chủ Oracle WebLogic,” CISA cho biết.
Mặc dù tồn tại các khai thác bằng chứng khái niệm (PoC) cho lỗ hổng, nhưng dường như không có bất kỳ báo cáo công khai nào về khai thác độc hại.
Các cơ quan của Chi nhánh Hành pháp Dân sự Liên bang (FCEB) phải áp dụng các bản sửa lỗi do nhà cung cấp cung cấp trước ngày 22 tháng 5 năm 2023 để bảo vệ mạng của họ trước các mối đe dọa đang hoạt động này.
Lời khuyên cũng được đưa ra hơn một tháng sau khi VulnCheck tiết lộ rằng gần bốn chục lỗi bảo mật có khả năng được vũ khí hóa vào năm 2022 đã bị thiếu trong danh mục KEV.
Trong số 42 lỗ hổng bảo mật, phần lớn có liên quan đến việc khai thác bởi các botnet giống Mirai (27), tiếp theo là các nhóm ransomware (6) và các tác nhân đe dọa khác (9).
