Tilkynnt var um alvarlegan veikleika í TeamCity On-Premises CI/CD lausn frá JetBrains, VMware búnaði, Apple iOS og iPadOS tækjum og HikCentral Professional kerfinu. Einnig er möguleg áhætta vegna Polyfill.io yfirfærslu til Funnull. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.
Alvarlegir Veikleikar
Apple iOS og iPadOS
Apple hefur gefið út öryggisuppfærslur sem lagfæra tvo iOS núll-dags veikleika (CVE-2024-23225 og CVE-2024-23296) sem hafa ekki fengið CVSSv3 einkunn en eru metnir mjög alvarlegir, og hafa þegar verið misnotaðir í árásum.
- https://support.apple.com/en-us/HT214081
- https://www.bleepingcomputer.com/news/apple/apple-fixes-two-new-ios-zero-days-exploited-in-attacks-on-iphones/
TeamCity frá JetBrains
Veikleikinn CVE-2024-27198 er með CVSSv3 skor upp á 9.8 og gæti gert fjartengdum óauðkenndum árásaraðilum kleift að ná stjórnunarréttindum á netþjóninum. Veikleikinn CVE-2024-27199 með CVSSv3 veikleikastig upp á 7.3 gerir mögulegt að breyta takmörkuðum fjölda kerfisstillingum án auðkenningar. Báðir þessir veikleikar eru til staðar í vefhluta TeamCity og hafa áhrif á allar útgáfur af staðbundnum (e. on premise) uppsetningum.
- https://blog.jetbrains.com/teamcity/2024/03/additional-critical-security-issues-affecting-teamcity-on-premises-cve-2024-27198-and-cve-2024-27199-update-to-2023-11-4-now/
- https://www.bleepingcomputer.com/news/security/exploit-available-for-new-critical-teamcity-auth-bypass-bug-patch-now/
- https://www.rapid7.com/blog/post/2024/03/04/etr-cve-2024-27198-and-cve-2024-27199-jetbrains-teamcity-multiple-authentication-bypass-vulnerabilities-fixed/
VMware
VMware tilkynnt um nokkra veikleika þar sem þeir alvarlegustu CVE-2024-22252 og CVE-2024-22253 eru með CVSSv3 veikleikastig upp á 9.3. Gallarnir felast í skemmdum á minni (e. memory corruption) sem getur náð til undirliggjandi kerfis sem keyrir VMware.
- https://www.vmware.com/security/advisories/VMSA-2024-0006.html
- https://www.securityweek.com/vmware-patches-critical-esxi-sandbox-escape-flaws/
HikCentral Professional
Hikvision Security Response Center (HSRC) greindi frá veikleikum CVE-2024-25063 (CVSSv3 7.5) og CVE-2024-25064 (CVSSv3 4.3) í HikCentral Professional sem gætu leyft árásaraðilum með innskráningarheimildir að nálgast gögn sem þeir ættu ekki að hafa aðgang að.
Möguleg áhætta vegna Polyfill.io yfirfærslu til Funnull
Nýlega kom fram að stofnandi Polyfill.io þjónustunnar, hefur gefið réttindin til að viðhalda og reka Polyfill.io yfir til fyrirtækisins Funnull. Áhyggjur eru af því að þjónustur sem nýta sér Polyfill.io gætu átt hættu á að verða fyrir birgðakeðjuárás (e. supply chain attack) ef Funnull myndi breyta kóðanum á skaðlegan hátt.
Í kjölfarið hafa Fastly og Cloudflare sett upp Polyfill.io þjónustu á þeirra þjónum sem mælt er með að nota frekar. Það er hægt með því að skipta út https://polyfill.io/v3/polyfill.js fyrir https://cdnjs.cloudflare.com/polyfill/v3/polyfill.js í skrám til að tryggja öryggi þegar unnið er með Polyfill.io í verkefnum.