Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) hôm thứ Sáu đã bổ sung 10 lỗ hổng mới được khai thác tích cực vào Danh mục Các lỗ hổng được khai thác đã biết (KEV), bao gồm một lỗ hổng bảo mật mức độ nghiêm trọng ảnh hưởng đến phần mềm tự động hóa công nghiệp của Delta Electronics.
Sự cố, được theo dõi là CVE-2021-38406 (điểm CVSS: 7,8), ảnh hưởng đến DOPSoft 2 phiên bản 2.00.07 trở về trước. Việc khai thác thành công lỗ hổng có thể dẫn đến việc thực thi mã tùy ý.
“Delta Electronics DOPSoft 2 thiếu xác thực thích hợp dữ liệu do người dùng cung cấp khi phân tích cú pháp các tệp dự án cụ thể (xác thực đầu vào không đúng) dẫn đến việc ghi ngoài giới hạn cho phép thực thi mã”, CISA cho biết trong một cảnh báo.
Cần lưu ý rằng CVE-2021-38406 ban đầu được tiết lộ như một phần của tư vấn về hệ thống điều khiển công nghiệp (ICS) được xuất bản vào tháng 9 năm 2021.
Tuy nhiên, không có bản vá nào giải quyết lỗ hổng bảo mật, CISA lưu ý rằng “sản phẩm bị ảnh hưởng đã hết hạn sử dụng và cần được ngắt kết nối nếu vẫn còn sử dụng”. Các cơ quan thuộc Chi nhánh Hành pháp Dân sự Liên bang (FCEB) được yêu cầu thực hiện theo hướng dẫn trước ngày 15 tháng 9 năm 2022.
Không có nhiều thông tin về bản chất của các cuộc tấn công khai thác lỗi bảo mật, nhưng một báo cáo gần đây từ Đơn vị 42 của Palo Alto Networks đã chỉ ra các trường hợp tấn công tự nhiên tận dụng lỗ hổng từ tháng 2 đến tháng 4 năm 2022.
Sự phát triển này làm tăng thêm sức nặng cho quan điểm rằng kẻ thù đang khai thác nhanh hơn các lỗ hổng mới được công bố khi chúng được tiết lộ lần đầu tiên, dẫn đến các nỗ lực quét bừa bãi và cơ hội nhằm lợi dụng việc vá lỗi bị trì hoãn.
Các cuộc tấn công này thường tuân theo một trình tự cụ thể để khai thác liên quan đến web shell, công cụ khai thác tiền điện tử, mạng botnet và trojan truy cập từ xa (RAT), tiếp theo là các nhà môi giới truy cập ban đầu (IAB), sau đó mở đường cho ransomware.
Trong số các lỗ hổng được khai thác tích cực khác được thêm vào danh sách như sau:
CVE-2022-26352 – dotCMS Tải lên không hạn chế lỗ hổng bảo mật của tệp
CVE-2022-24706 – Khởi tạo mặc định không an toàn của Apache CouchDB của lỗ hổng tài nguyên
CVE-2022-24112 – Lỗ hổng bỏ qua xác thực Apache APISIX
CVE-2022-22963 – Lỗ hổng thực thi mã từ xa của chức năng đám mây VMware Tanzu
CVE-2022-2294 – Lỗ hổng tràn bộ đệm WebRTC Heap Buffer
CVE-2021-39226 – Lỗ hổng bỏ qua xác thực Grafana
CVE-2020-36193 – Lỗ hổng giải quyết liên kết không đúng PEAR Archive_Tar
CVE-2020-28949 – PEAR Archive_Tar Hủy đăng ký lỗ hổng bảo mật dữ liệu không đáng tin cậy
Đã thêm lỗ hổng iOS và macOS vào danh sách
Một lỗ hổng nghiêm trọng khác được thêm vào Danh mục KEV là CVE-2021-31010 (Điểm CVSS: 7,5), một vấn đề không hoạt động trong thành phần Core Telephony của Apple có thể được tận dụng để phá vỡ các hạn chế của hộp cát.
Gã khổng lồ công nghệ đã giải quyết thiếu sót trong iOS 12.5.5, iOS 14.8, iPadOS 14.8, macOS Big Sur 11.6 (và Bản cập nhật bảo mật 2021-005 Catalina) và watchOS 7.6.2 được phát hành vào tháng 9 năm 2021.
Mặc dù không có dấu hiệu nào cho thấy lỗ hổng này đã bị khai thác vào thời điểm đó, nhưng gã khổng lồ công nghệ dường như đã âm thầm sửa đổi các cố vấn của mình vào ngày 25 tháng 5 năm 2022 để bổ sung lỗ hổng và xác nhận rằng nó thực sự đã bị lạm dụng trong các cuộc tấn công.
“Apple đã biết về một báo cáo rằng vấn đề này có thể đã được khai thác tích cực tại thời điểm phát hành”, gã khổng lồ công nghệ lưu ý, ghi nhận công ty Citizen Lab và Google Project Zero cho phát hiện này.
Bản cập nhật tháng 9 cũng đáng chú ý trong việc khắc phục CVE-2021-30858 và CVE-2021-30860, cả hai đều được NSO Group, nhà sản xuất phần mềm gián điệp Pegasus, sử dụng để khắc phục các tính năng bảo mật của hệ điều hành.
Điều này làm tăng khả năng CVE-2021-31010 có thể đã được xâu chuỗi cùng với hai lỗ hổng nói trên trong một chuỗi tấn công để thoát khỏi hộp cát và thực hiện mã tùy ý.
.
