Vefsíðuflutningar CERT-IS

Alvarlegir veikleikar í D-Link og Git

Tilkynnt var um alvarlega veikleika í D-Link routers og Git. Veikleikarnir geta leitt til alvarlegra öryggisbrests. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.

Alvarlegir veikleikar

D-Link routers
Veikleikinn CVE-2024-32002 er með CVSSv3 veikleikastig upp á 9.3. Veikleikinn leyfir árásaraðila að framkvæma keyrslu á kóða (e. remote code execution) á kerfinu [1,2].

Git
Veikleikinn CVE-2024-32002 í Git hefur ekki fengið CVSSv3 veikleikastig en er metinn mjög alvarlegur. Veikleikinn leyfir árásaraðila að komast fram hjá auðkenningu (e. authentication bypass) og framkvæma keyrslu á kóða (e. remote code execution) [3].

Uppfærslur og ráðleggingar

Fyrir D-Link routers, eru útgáfur DIR-605 og DIR-600 komnar á end-of-life (EOL) eða end-of-service (EOS). Notendur ættu að íhuga að skipta um búnað eða uppfæra hugbúnað eins fljótt og auðið er. Fyrir Git, ætti að uppfæra í útgáfu 2.30.3 eða nýrri.

Tilvísanir

[1] https://legacy.us.dlink.com/pages/product.aspx?id=2b09e95d90ff4cb38830ecc04c89cee5
[2] https://legacy.us.dlink.com/pages/product.aspx?id=4587b63118524aec911191cc81605283
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-32002

Tilkynnt var um nokkra alvarlega veikleika í Chrome hjá Google og Cacti hjá Cacti Group Vitað er til þess að verið sé að misnota veikleikann í Chrome. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.

Alvarlegir veikleikar (e. critical)

Google Chrome
Veikleikinn CVE-2024-4947 getur gert ógnaraðila kleift að fá aðgang að biðminni utan marka (e. out-of-bounds memory read/write) og framkvæma handahófskennda keyrslu á kóða (e. arbitrary code execution) [1,2].

Cacti
Veikleikinn CVE-2024-12345 gerir ógnaraðilum kleift að framkvæma sérútbúnar SQL fyrirspurnir (e. crafted SQL queries) sem geta leitt til gagnastuldar (e. data exfiltration) [3].

Eftirfarandi kerfi eru veik fyrir göllunum:

Google Chrome: Mac/Windows < 125.0.6422.60/.61 og Linux < 125.0.6422.60
Cacti: < 1.2.19

Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:

Google Chrome: Mac/Windows 125.0.6422.60/.61 og Linux 125.0.6422.60
Cacti: 1.2.20

Tilvísanir:
[1] https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_15.html
[2] https://www.bleepingcomputer.com/news/google/google-patches-third-exploited-chrome-zero-day-in-a-week/
[3] https://thehackernews.com/2024/05/critical-flaws-in-cacti-framework-could.html

Microsoft hefur gefið út mánaðarlegar uppfærslur tengdar Microsoft Patch Tuesday. Að þessu sinni eru gefnar út uppfærslur vegna 61 veikleika í heildina, og er 1 þeirra merktur sem mjög alvarlegur (e. critical) [1,2]. Einnig hefur VMware og Adobe Acrobat hafa gefið út uppfærslur til að lagfæra alvarlega veikleika í sínum vörum. CERT-IS mælir með að uppfæra án tafa og fara eftir ráðleggingum frá Microsoft. Mikilvægt er að lesa yfir leiðbeiningar frá Microsoft til að koma í veg fyrir að uppfærslur valdi truflunum.

Microsoft Patch Tuesday

Veikleikar núþegar nýttir af ógnaraðilum (0-day)

Windows MSHTML Platform Security Feature Bypass Vulnerability
Veikleikinn CVE-2024-30040 er með CVSSv3 veikleikastig upp á 8.8 og ef misnotaður getur ógnaraðili farið fram hjá öryggiskerfi í Windows MSHTML [3].
Windows DWM Core Library Elevation of Privilege Vulnerability
Veikleikinn CVE-2024-30051 er með CVSSv3 veikleikastig upp á 7.8 og ef misnotaður getur ógnaraðili fengið SYSTEM réttindi [4].

Alvarlegir veikleikar

Microsoft SharePoint Server Remote Code Execution Vulnerability
Veikleikinn CVE-2024-30044 er með CVSSv3 veikleikastig upp á 8.8 og getur gert ógnaraðila kleift að fjarkeyra kóða (e. remote code execution) á SharePoint [5].

VMware

Þrír veikleikar voru lagaðir sem höfðu verið nýttir á Pwn2Own. Þessir veikleikar innihéldu “use after free” á bluetooth þætti sem gerði kleift að framkvæma handahófskenndan kóða CVE-2024-22267 og lesa úr minni hypervisor CVE-2024-22269, CVE-2024-22270. VMware hefur gefið út öryggistilkynningar og uppfærslur eru nú í boði [6,7].

Adobe Acrobat

Adobe Acrobat fyrir eldri útgáfur

Tilkynnt var um alvarlega veikleika í útgáfum 20.005.30635 og 24.002.20759 af Adobe Acrobat, sem geta leitt til handahófskenndrar kóðaframkvæmdar ef notandi opnar illgjarnan skrá. Fjölmargir veikleikar voru uppgötvaðir, þar á meðal „use after free“ CVE-2024-30284, CVE-2024-34094 sem eru hafa verið metnir með CVSSv3.1 veikleikastig upp á 7.8, þar sem notkunin krefst notenda samskipta. Veikleikinn CVE-2024-30310 sem er af gerðinni skrif út fyrir minni „out-of-bounds write“, einnig fundust veikleikarnir CVE-2024-30310, CVE-2024-30311, CVE-2024-30312, og CVE-2024-34101 sem eru af gerðinni „out-of-bounds read“, sem gerir það mögulegt fyrir árásaraðila að nálgast viðkvæmar upplýsingar úr minni tölvunnar [8,9].

Tilvísanir
[1] https://msrc.microsoft.com/update-guide/releaseNote/2024-May
[2] https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2024-patch-tuesday-fixes-3-zero-days-61-flaws/
[3] https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-30040
[4] https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-30051
[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30044
[6] https://www.securityweek.com/vmware-patches-vulnerabilities-exploited-at-pwn2own-2024/
[7] https://thehackernews.com/2024/05/vmware-patches-severe-security-flaws-in.html
[8] https://helpx.adobe.com/security/products/acrobat/apsb24-29.htm
[9] https://www.securityweek.com/adobe-patches-critical-flaws-in-reader-acrobat/

Tilkynnt var um núlldagsveikleika í Google Chrome þar sem vitað er til þess að verið sé að misnota veikleikann [1]. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.

CVE-2024-4671

Veikleikinn CVE-2024-4671 er af gerðinni ‘use after free’ í Visuals hluta Chrome sem sér um að meðhöndla og birta efni í vafranum. Misnotkun á veikleikanum getur leitt til gagnaþjófnaðar, keyrslu á kóða eða kerfishruni. Vitað er til þess að veikleikinn hafi verið nýttur í árásum á notendur. Google hefur gefið út uppfærslu til að lagfæra þennan galla og er mjög mikilvægt að notendur uppfæri vafrann sinn sem fyrst [2]

Eftirfarandi útgáfur eru veikar fyrir gallanum

Mac og Windows
< v124.0.6367.201/.202
Linux
< v124.0.6367.201

Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum

Mac og Windows
v124.0.6367.201/.202
Linux
v124.0.6367.201

Tilvísanir:
[1] https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_9.html
[2] https://www.bleepingcomputer.com/news/security/google-fixes-fifth-chrome-zero-day-vulnerability-exploited-in-attacks-in-2024/

Tilkynnt var um alvarlega veikleika í InfraSuite Device Master hjá Delta Electronics, LiteSpeed Cache viðbót fyrir WordPress og BIG-IP hjá F5 sem geta haft umtalsverð áhrif á öryggi netkerfa. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.

Alvarlegir veikleikar

Delta Electronics InfraSuite Device Master

Veikleikinn CVE-2023-46604 er með CVSSv3 veikleikastig upp á 9.8 finnst í úreltri útgáfu af Apache ActiveMQ og gerir fjartengdum árásaraðila kleift að framkvæma keyrslu á kóða (e. remote code execution). Veikleikinn getur haft alvarlegar afleiðingar fyrir kerfi sem eru háð InfraSuite Device Master. Mælt er með að uppfæra kerfi sem allra fyrst í útgáfu 1.0.11 sem var gefin út í desember 2023 [1].

F5 BIG-IP

Veikleikarnir CVE-2022-26026 og CVE-2024-21793 með CVSSv3 veikleikastig upp á 7.5 leyfa SQL innspýtingu sem gerir óauðkenndum árásaraðila kleift að nálgast trúnaðarupplýsingar og breyta gögnum. Til að nýta sér þessa veikleika þarf að hafa aðgang að Next Central Manager. Veikleikarnir hafa verið staðfestir í útgáfum BIG-IP Next Central Manager 20.01, 20.01.0 [2,3,4].

LiteSpeed Cache viðbót fyrir WordPress

Veikleikinn CVE-2023-40000 með CVSSv3 veikleikastig upp á 8.3 gerir árásaraðila kleift að nýta sér XSS (e. cross-site scripting) árásarflöt til að skrá sig inn með kerfisstjóraréttindi á WordPress vefsíðum sem nota LiteSpeed Cache viðbótina. Veikleikinn er metinn mjög alvarlegur þar sem hann leyfir fullan aðgang að stjórnandaviðmóti vefsíðunnar. Árásirnar sem hafa átt sér stað hafa leitt til þess að fjöldi vefsíðna hafa verið sýktar með spilliforritum og öðrum skaðlegum hugbúnaði [5,6].

Tilvísanir

[1] https://www.cisa.gov/news-events/ics-advisories/icsa-24-130-03
[2] https://nvd.nist.gov/vuln/detail/CVE-2022-26026
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-21793
[4] https://www.bleepingcomputer.com/news/security/new-big-ip-next-central-manager-bugs-allow-device-takeover/
[5] https://nvd.nist.gov/vuln/detail/CVE-2023-40000
[6] https://www.bleepingcomputer.com/news/security/hackers-exploit-litespeed-cache-flaw-to-create-wordpress-admins/

Tilkynnt hefur verið um veikleika hjá TinyProxy og í NetScaler Application Delivery Control (ADC) og Gateway hjá Citrix. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.

Tinyproxy

Veikleikinn CVE-2023-49606 með CVSSv3 veikleikastig upp á 9.8 gerir ógnaraðila kleift að senda óauðkennda HTTP fyrirspurn sem getur leitt til fjarkeyrslu á kóða [1]. Veikleikinn er til staðar í útgáfum 1.10.0 og 1.11.1.

Citrix ADC og Gateway

Bishopfox hefur gefið út grein vegna veikleika í NetScaler ADC og Gateway sem ekki hefur fengið CVE né CVSSv3 veikleikastig en honum hefur verið líkt við Citrix Bleed veikleikann (CVE-2023-4966) [2]. Veikleikinn gerir fjartengdum ógnaraðila kleift að komast yfir viðkvæmar upplýsingar frá NetScaler án auðkenningar, en þó er ólíklegra að komast yfir jafn viðkvæmar upplýsingar og í Citrix Bleed veikleikanum. Veikleikinn er til staðar í útgáfum 13.1-50.23 [3].

Tilvísanir:

[1] https://thehackernews.com/2024/05/critical-tinyproxy-flaw-opens-over.html
[2] https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
[3] https://bishopfox.com/blog/netscaler-adc-and-gateway-advisory

Vulnerabilities have been reported in ArubaOS, CrushFTP, Gitlab, JudgeO, and the R programming language. Microsoft also issued a warning due to a so-called Dirty stream attack. CERT-IS recommends updating as soon as possible to a version where the vulnerabilities have been fixed.

Serious weaknesses (e. critical)

ArubaOS

The vulnerabilities CVE-2024-26305, CVE-2024-26304, CVE-2024-33511 CVE-2024-33512 all have a CVSSv3 vulnerability score of 9.8 and allow an unidentified attacker to execute code remotely by sending a specially crafted packet to Aruba’s access point management protocol). Exploitation of the vulnerabilities can also lead to the execution of code on the underlying operating system with system rights (e. privileged user) [x,y]. The vulnerabilities have been patched in ARubaOS versions 10.6.xx, 10.5.1.1 and higher, 10.4.1.1 and higher, 8.11.2.2 and higher, and 8.10.0.11 and higher [1,2].

CrushFTP

The vulnerability CVE-2024-4040 with a CVSSv3 vulnerability score of 10.0 allows a remote attacker to escape the CrushFTP virtual file system (e.g. escape virtual file system) to the underlying operating system. The vulnerability has been fixed in versions >= 11.1 [3,4,5].

Gitlab

The vulnerability CVE-2024-2279 with CVSSv3 vulnerability score of 8.7 allows a threat actor to execute commands on behalf of the victim. The vulnerability has been patched in versions 16.10.2, 16.9.4 and 16.8.6 [6,7].

JudgeO sandbox

Vulnerabilities CVE-2024-28185 and CVE-2024-28189 with CVSSv3 vulnerability score of 10.0 together with vulnerability CVE-2024-29021 with vulnerability score of CVSSv3 9.1 may allow an attacker to break out of Jugde0’s sandbox environment and gain root privileges on the underlying operating system. The vulnerabilities have been fixed in version 1.13.1 [8].

The R programming language

The vulnerability CVE-2024-27322 has a CVSSv3 vulnerability level of 8.8 allows a threat actor to perform supply chain attacks via specially crafted R packages that can lead to arbitrary code execution when rebuilding (e. deserializing) unreliable data. The vulnerability has been fixed in version 4.4.0 [9].

Dirty Stream

Microsoft has warned about the so-called „Dirty Stream“ of the year, which allows malicious Android apps to overwrite files in the home directory of other apps that are not properly implemented. Overwriting files can lead to arbitrary code execution and secrets theft. An example of a bad implementation involves an applet trusting untrusted file names, which allows a threat actor to abuse the FileProvider in overwriting files [10].

References

[1]  https://www.bleepingcomputer.com/news/security/hpe-aruba-networking-fixes-four-critical-rce-flaws-in-arubaos
[2]  https://www.arubanetworks.com/assets /alert/ARUBA-PSA-2024-004.txt
[3]  https://blog.sonicwall.com/en-us/2024/05/crushftp-server-side-template-injection-ssti/
[4]  https: //nvd.nist.gov/vuln/detail/CVE-2024-4040
[5]  https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update
[6]  https://about.gitlab. com/releases/2024/04/10/patch-release-gitlab-16-10-2-released/
[7]  https://blog.sonicwall.com/en-us/2024/04/gitlab-xss-via -autocomplete-results/
[8]  https://thehackernews.com/2024/04/sandbox-escape-vulnerabilities-in.html
[9]  https://thehackernews.com/2024/04/new-r-programming- vulnerability-exposes.html
[10]  https://www.bleepingcomputer.com/news/security/microsoft-warns-of-dirty-stream-attack-impacting-android-apps/

Tilkynnt hefur verið um veikleika í Adaptive Security Appliance (ASA) og firepower (FTP) frá Cisco. Staðfest er að veikleikarnir hafa verið nýttir af ógnarhópnum ArcaneDoor til þess að brjótast inn netkerfi stjórnvalda víðsvegar um heiminn [1]. Vert er að athuga að Akira hópurinn sem hefur staðið á bakvið árásir á íslensk fyrirtæki og stofnanir að undanförnu misnotar gjarnan veikleika í Cisco til innbrota [2,3]. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hafa verið lagfærðir.

Cisco ASA / FTD

CVE-2024-20353

Veikleikinn CVE-2024-20353 með CVSSv3 veikleikastig upp á 8.6 gerir óðaukenndum ógnaraðila kleift endurræsa tæki og valda með því niðritíma [4].

CVE-2024-20359

Veikleikinn CVE-2024-20359 með CVSSv3 veikleikastig upp á 6.0 gerir auðkenndum ógnaraðila að keyra upp kóða með kerfisréttindum. Ógnaraðili þarf að vera með strjórnunarréttindi til þess að geta mistnotað veikleikann [5].

Með því að misnota veikleikana saman er hægt að koma fyrir bakdyrum á kerfi.

Tilvísanir:

[1] https://www.bleepingcomputer.com/news/security/arcanedoor-hackers-exploit-cisco-zero-days-to-breach-govt-networks/
[2] https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-109a
[3] https://www.ruv.is/frettir/innlent/2024-02-04-tilgangur-tolvuarasa-yfirleitt-ad-krefjast-lausnargjalds-404017
[4] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-websrvs-dos-X8gNucD2
[5] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-rce-FLsNXF4h