Ngày 10 tháng 4 năm 2023Ravie LakshmananAn ninh phần mềm / Mối đe dọa mạng
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) hôm thứ Sáu đã bổ sung 5 lỗ hổng bảo mật vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) của mình, trích dẫn bằng chứng về việc khai thác tích cực trong thực tế.
Điều này bao gồm ba lỗ hổng nghiêm trọng trong phần mềm Veritas Backup Exec Agent (CVE-2021-27876, CVE-2021-27877 và CVE-2021-27878) có thể dẫn đến việc thực thi các lệnh đặc quyền trên hệ thống cơ bản. Các lỗ hổng đã được sửa trong một bản vá do Veritas phát hành vào tháng 3 năm 2021.
CVE-2021-27876 (Điểm CVSS: 8.1) – Lỗ hổng truy cập tệp tác nhân Veritas Backup Exec
CVE-2021-27877 (Điểm CVSS: 8,2) – Lỗ hổng bảo mật xác thực không đúng cách của Veritas Backup Exec Agent
CVE-2021-27878 (Điểm CVSS: 8,8) – Lỗ hổng thực thi lệnh Veritas Backup Exec Agent
Mandiant thuộc sở hữu của Google, trong một báo cáo được công bố vào tuần trước, đã tiết lộ rằng một chi nhánh có liên quan đến hoạt động của phần mềm tống tiền BlackCat (còn gọi là ALPHV và Noberus) đang nhắm mục tiêu cài đặt Veritas Backup Exec bị lộ công khai để có quyền truy cập ban đầu bằng cách tận dụng ba lỗi đã nói ở trên.
Công ty tình báo mối đe dọa, đang theo dõi tác nhân liên kết dưới biệt danh chưa được phân loại UNC4466, cho biết lần đầu tiên họ quan sát thấy việc khai thác các lỗ hổng trong tự nhiên vào ngày 22 tháng 10 năm 2022.
Trong một sự cố được Mandiant nêu chi tiết, UNC4466 đã giành được quyền truy cập vào máy chủ Windows tiếp xúc với internet, sau đó thực hiện một loạt hành động cho phép kẻ tấn công triển khai tải trọng ransomware dựa trên Rust, nhưng không phải trước khi tiến hành trinh sát, leo thang đặc quyền và vô hiệu hóa Khả năng giám sát thời gian thực của Bộ bảo vệ Microsoft.
Cũng được CISA thêm vào danh mục KEV là CVE-2019-1388 (điểm CVSS: 7,8), một lỗ hổng leo thang đặc quyền ảnh hưởng đến Hộp thoại Chứng chỉ Microsoft Windows có thể bị khai thác để chạy các quy trình có quyền nâng cao trên máy chủ đã bị xâm phạm.
Lỗ hổng thứ năm có trong danh sách là lỗ hổng tiết lộ thông tin trong trình điều khiển hạt nhân GPU Arm Mali (CVE-2023-26083) đã được Nhóm phân tích mối đe dọa của Google (TAG) tiết lộ vào tháng trước do bị một nhà cung cấp phần mềm gián điệp giấu tên lạm dụng như một phần của quá trình khai thác. chain để đột nhập vào điện thoại thông minh Android của Samsung.
Các Cơ quan Chi nhánh Điều hành Dân sự Liên bang (FCEB) có thời gian cho đến ngày 28 tháng 4 để áp dụng các bản vá nhằm bảo vệ mạng của họ trước các mối đe dọa tiềm tàng.
Lời khuyên này cũng được đưa ra khi Apple phát hành các bản cập nhật cho trình duyệt web iOS, iPadOS, macOS và Safari để giải quyết một cặp lỗi zero-day (CVE-2023-28205 và CVE-2023-28206) mà hãng cho biết đã bị khai thác trong thực tế. các cuộc tấn công thế giới.
