Ngày 22 tháng 2 năm 2023Ravie LakshmananQuản lý bản vá/rủi ro mạng
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) hôm thứ Ba đã thêm ba lỗ hổng bảo mật vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về hoạt động khai thác tích cực.
Danh sách những thiếu sót như sau –
CVE-2022-47986 (Điểm CVSS: 9,8) – Lỗ hổng thực thi mã IBM Aspera Faspex
CVE-2022-41223 (Điểm CVSS: 6,8) – Lỗ hổng tiêm mã Mitel MiVoice Connect
CVE-2022-40765 (Điểm CVSS: 6,8) – Lỗ hổng tiêm lệnh Mitel MiVoice Connect
CVE-2022-47986 được mô tả là một lỗ hổng YAML deserialization trong giải pháp truyền tệp có thể cho phép kẻ tấn công từ xa thực thi mã trên hệ thống.
Thông tin chi tiết về lỗ hổng và bằng chứng khái niệm (PoC) đã được chia sẻ bởi Assetnote vào ngày 2 tháng 2, một ngày sau đó Shadowserver Foundation cho biết họ “đã phát hiện ra các nỗ lực khai thác” trong thực tế.
Việc khai thác tích cực lỗ hổng Aspera Faspex diễn ra ngay sau khi lỗ hổng trong phần mềm truyền tệp được quản lý MFT của Fortra's GoAnywhere (CVE-2023-0669) bị các tác nhân đe dọa lạm dụng với các liên kết tiềm ẩn đến hoạt động của mã độc tống tiền Clop.
CISA cũng đã thêm hai lỗ hổng ảnh hưởng đến Mitel MiVoice Connect (CVE-2022-41223 và CVE-2022-40765) có thể cho phép kẻ tấn công được xác thực có quyền truy cập mạng nội bộ thực thi mã tùy ý.
Các chi tiết cụ thể chính xác xung quanh bản chất của các cuộc tấn công vẫn chưa rõ ràng, nhưng một lỗ hổng khác trong MiVoice Connect đã bị khai thác vào năm ngoái để triển khai ransomware. Các lỗ hổng đã được vá bởi Mitel vào tháng 10 năm 2022.
Trước tình trạng khai thác ngoài tự nhiên, các cơ quan của Chi nhánh Hành pháp Dân sự Liên bang (FCEB) phải áp dụng các bản cập nhật cần thiết trước ngày 14 tháng 3 năm 2023 để bảo vệ mạng trước các mối đe dọa tiềm ẩn.
CISA, trong một quá trình phát triển có liên quan, cũng đã đưa ra lời khuyên về Hệ thống điều khiển công nghiệp (ICS) liên quan đến các lỗ hổng nghiêm trọng (CVE-2022-26377 và CVE-2022-31813) trong MELSOFT iQ AppPortal của Mitsubishi Electric.
Cơ quan này cho biết: “Việc khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công độc hại thực hiện các tác động không xác định như bỏ qua xác thực, tiết lộ thông tin, từ chối dịch vụ hoặc bỏ qua xác thực địa chỉ IP”.
