Ngày 08 tháng 3 năm 2023Ravie Lakshmanan Lỗ hổng bảo mật / An ninh mạng
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã bổ sung ba lỗ hổng bảo mật vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) của mình, trích dẫn bằng chứng về việc khai thác tích cực.
Danh sách các lỗ hổng bên dưới –
CVE-2022-35914 (điểm CVSS: 9,8) – Lỗ hổng thực thi mã từ xa Teclib GLPI CVE-2022-33891 (điểm CVSS: 8,8) – Lỗ hổng tiêm lệnh Apache Spark CVE-2022-28810 (điểm CVSS: 6,8) – Zoho ManageEngine ADSelfService Cộng với lỗ hổng thực thi mã từ xa
Lỗ hổng quan trọng nhất trong số ba lỗi là CVE-2022-35914, liên quan đến lỗ hổng thực thi mã từ xa trong thư viện bên thứ ba htmlđã có trong Teclib GLPI, một gói phần mềm quản lý CNTT và tài sản nguồn mở.
Các chi tiết cụ thể chính xác xung quanh bản chất của các cuộc tấn công vẫn chưa được biết, nhưng Shadowserver Foundation vào tháng 10 năm 2022 đã lưu ý rằng họ đã chứng kiến các nỗ lực khai thác nhằm vào các honeypot của mình.
Kể từ đó, bằng chứng khái niệm một dòng (PoC) dựa trên cURL đã được cung cấp trên GitHub và một máy quét “khối lượng” đã được rao bán, nhà nghiên cứu bảo mật Jacob Baines của VulnCheck cho biết vào tháng 12 năm 2022.
Hơn nữa, dữ liệu do GreyNoise thu thập đã tiết lộ 40 địa chỉ IP độc hại từ Hoa Kỳ, Hà Lan, Hồng Kông, Úc và Bulgari, đang cố gắng lợi dụng sự thiếu sót.
Lỗ hổng thứ hai là lỗ hổng chèn lệnh chưa được xác thực trong Apache Spark đã bị botnet Zerobot khai thác để đồng chọn các thiết bị dễ bị tấn công với mục tiêu thực hiện các cuộc tấn công từ chối dịch vụ (DDoS) phân tán.
Cuối cùng, cũng được thêm vào danh mục KEV là một lỗ hổng thực thi mã từ xa trong Zoho ManageEngine ADSelfService Plus đã được vá vào tháng 4 năm 2022.
CISA cho biết: “Nhiều Zoho ManageEngine ADSelfService Plus chứa một lỗ hổng không xác định cho phép thực thi mã từ xa khi thực hiện thay đổi hoặc đặt lại mật khẩu”.
Công ty an ninh mạng Rapid7, công ty đã phát hiện ra lỗi này, cho biết họ đã phát hiện ra các nỗ lực khai thác tích cực của các tác nhân đe dọa để “thực thi các lệnh hệ điều hành tùy ý nhằm đạt được sự bền bỉ trên hệ thống cơ bản và cố gắng thâm nhập sâu hơn vào môi trường.”
Sự phát triển diễn ra khi công ty bảo mật API Wallarm cho biết họ đã phát hiện ra các nỗ lực khai thác liên tục của hai lỗ hổng VMware NSX Manager (CVE-2021-39144 và CVE-2022-31678) kể từ tháng 12 năm 2022 có thể được tận dụng để thực thi mã độc và hút dữ liệu nhạy cảm.
