Amerikanske Cybersecurity and Infrastructure Security Agency (CISA) har tilføjet 12 nye sårbarheder til sit katalog over kendte, udnyttede fejl. Blandt disse er sårbarheder, der er fundet i bl.a. Google Chrome og værktøjer fra QNAP, D-Link, Apple, Oracle m.fl.
Det skriver The Record.
Som altid er der en deadline for føderale enheder til at håndtere sårbarhederne. I dette tilfælde er det den 29. september.
CISA har tilføjet yderligere to fejl til sit katalog over kendte, udnyttede sårbarheder. Det drejer sig om 0-dagssårbarheden i Windows Support Diagnostic Tool (MSDT), som blev rettet i forbindelse med sidste uges Patch Tuesday. Der findes efter det oplyste en exploit kode tilgængelig.
En uge efter udsendelse af en rettelse til en kritisk fejl i VMware Workspace ONE Access, Identity Manager og vRealize Automation advarer VMware om, at en exploit-kode er blevet offentlig tilgængelig. Det skriver Security Week.
Fejlen med id-nummeret CVE-2022-31656 og en score på 9,8 blev kendt i starten af august og giver angribere mulighed for at få administrativ adgang uden godkendelse. Og nu – en uge efter – er der altså en exploit-kode tilgængelig, hvilket er anledningen til advarslen.
Det har været Microsofts Patch Tuesday og med dette rettelse af hele 121 fejl, hvoraf en er en aktivt udnyttet nul-dages sårbarhed og 17 med betegnelsen ’kritiske’. Det skriver Bleeping Computer og en række andre medier.
De 17 fejl er vurderet til at være kritiske, da de muliggør remote code execution eller privileges elevation.
Sikkerhedsresearchere Forskere ved Trellix har opdaget en kritisk RCE-sårbarhed, der påvirker 29 routermodeller i DrayTek Vigor-serien. Det skriver Bleeping Computer.
Sårbarheden har id-nummeret CVE-2022-32548 og med en score 10,0 på CVSS-skalaen kan den ikke være mere kritisk.
Fejlen har id’et CVE-2022-31656, og eftersom den kan udnyttes af en uautoriseret angriber til at få administratorrettigheder, har den fået en høj score på 9,8. Den påvirker lokale domænebrugere i flere produkter. Det skriver Security Affairs og en række andre medier.
Ifølge VMwares advisory kan en ondsindet aktør med netværksadgang til brugergrænsefladen ’muligvis’ få administrativ adgang uden godkendelse.
Fejlen påvirker produkterne Workspace ONE Access, Identity Manager og vRealize Automation.
ProxyShell er den mest udnyttede sårbarhed for netværksadgang i første halvår af 2022 med 55 pct. af de samlede registrerede udnyttelseshændelser. ProxyShell er et angreb, der udnyttes ved at kæde tre sårbarheder sammen, sporet som CVE-2021-34473, CVE-2021-34523 og CVE-2021-31207.
Log4Shell følger på andenpladsen med 14 pct., forskellige SonicWall CVE'er stod for 7 pct., ProxyLogon havde 5 pct., mens RCE'en i Zoho ManageEngine ADSelfService Plus blev udnyttet i 3 pct. af tilfældene.
Sårbarheden betyder, at det er muligt at foretage "reset" på et password og dermed skaffe sig adgang gennem et "nulstillet" password. KDC (Key Distribution Center) og kpasswd-tjenesten deler en enkelt konto og et sæt nøgler, så de kan dekryptere hinanden "tickets". En bruger der er blevet bedt om at ændre password kan derfor udnytte dette til, at få og bruge "tickets" til andre tjenester. Læs mere om sårbarheden her: https://www.samba.org/samba/security/CVE-2022-2031.html
VMware Horizon er en platform, der bruges af administratorer til at køre og levere virtuelle desktops og apps i hybridskyen, mens UAG giver sikker adgang til ressourcer i et netværk.
Ifølge CISA har hackere kompromitteret mindst ét internt netværk og udtrukket følsomme oplysninger. Som en del af kompromitteringen er der installeret "loader-malware" på de kompromitterede systemer. Loader-malware indeholdt bl.a. indlejrede eksekverbare filer til brug for "Command and Control (C2)" kommunikation.
Kataloget indeholder sårbarheder som hyppigt anvendes som angrebsvektor for en ondsindede cyberaktører og udgør en betydelig risiko for organisationen. Bemærk: For at se de nyligt tilføjede sårbarheder i kataloget skal du klikke på pilen i kolonnen "Date added to catalog", som vil sortere efter faldende datoer.