Tilkynnt var um alvarlega veikleika í InfraSuite Device Master hjá Delta Electronics, LiteSpeed Cache viðbót fyrir WordPress og BIG-IP hjá F5 sem geta haft umtalsverð áhrif á öryggi netkerfa. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
Alvarlegir veikleikar
Delta Electronics InfraSuite Device Master
Veikleikinn CVE-2023-46604 er með CVSSv3 veikleikastig upp á 9.8 finnst í úreltri útgáfu af Apache ActiveMQ og gerir fjartengdum árásaraðila kleift að framkvæma keyrslu á kóða (e. remote code execution). Veikleikinn getur haft alvarlegar afleiðingar fyrir kerfi sem eru háð InfraSuite Device Master. Mælt er með að uppfæra kerfi sem allra fyrst í útgáfu 1.0.11 sem var gefin út í desember 2023 [1].
F5 BIG-IP
Veikleikarnir CVE-2022-26026 og CVE-2024-21793 með CVSSv3 veikleikastig upp á 7.5 leyfa SQL innspýtingu sem gerir óauðkenndum árásaraðila kleift að nálgast trúnaðarupplýsingar og breyta gögnum. Til að nýta sér þessa veikleika þarf að hafa aðgang að Next Central Manager. Veikleikarnir hafa verið staðfestir í útgáfum BIG-IP Next Central Manager 20.01, 20.01.0 [2,3,4].
LiteSpeed Cache viðbót fyrir WordPress
Veikleikinn CVE-2023-40000 með CVSSv3 veikleikastig upp á 8.3 gerir árásaraðila kleift að nýta sér XSS (e. cross-site scripting) árásarflöt til að skrá sig inn með kerfisstjóraréttindi á WordPress vefsíðum sem nota LiteSpeed Cache viðbótina. Veikleikinn er metinn mjög alvarlegur þar sem hann leyfir fullan aðgang að stjórnandaviðmóti vefsíðunnar. Árásirnar sem hafa átt sér stað hafa leitt til þess að fjöldi vefsíðna hafa verið sýktar með spilliforritum og öðrum skaðlegum hugbúnaði [5,6].
Tilvísanir
[1] https://www.cisa.gov/news-events/ics-advisories/icsa-24-130-03
[2] https://nvd.nist.gov/vuln/detail/CVE-2022-26026
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-21793
[4] https://www.bleepingcomputer.com/news/security/new-big-ip-next-central-manager-bugs-allow-device-takeover/
[5] https://nvd.nist.gov/vuln/detail/CVE-2023-40000
[6] https://www.bleepingcomputer.com/news/security/hackers-exploit-litespeed-cache-flaw-to-create-wordpress-admins/