Tilkynnt hefur verið um alvarlegan núlldagsveikleika í WinRAR [1] og alvarlega veikleika í CODESYS [3,4].
Veikleikann í WinRAR er hægt að misnota til að keyra kóða án auðkenningar (e. unauthenticated remote code execution). Vitað er að veikleikinn í WinRAR hefur verið misnotaður síðan í Apríl [2].
CISA hefur upplýst um tvo veikleika í CODESYS. Annar veikleikinn getur leitt til þess að ógnaraðili kemst inn í samskipti og keyrir upp kóða (e. execute a-man-in-the-middle (MITM) attack to execute arbitrary code). Hinn veikleikinn getur leitt til þess að notendur kerfisins keyra kóða sem ógnaraðili hefur komið fyrir á kerfinu (e. unknowingly launch a malicious binary placed by a local attacker).
CERT-IS mælir með að uppfæra hugbúnað án tafa og fylgja leiðbeiningum framleiðanda.
Alvarlegir veikleikar (e. critical)
CVE-2023-38831
Veikleikinn hefur ekki fengið formlegt veikleikastig, WinRAR flokkar veikleikann sem mjög alvarlegan (e. critical). Ógnaraðili getur misnotað veikleikann með því að útbúa sérstaka skrá og senda til fórnarlambs. Þegar slík skrá er afpökkuð með gallaðri útgáfu af WinRAR þá er óværa keyrð upp í leiðinni. Erfitt er að greina hvort RAR skrá sé útbúin með þeim hætti.
CVE-2023-3663
Veikleikinn hefur fengið CVSSv3 veikleikastig upp á 9.6. Veikleikinn felst í því að óauðkenndur ógnaraðili getur breytt innihaldi tilkynninga sem sent er á CODESYS tilkynningaþjón yfir HTTP.
CVE-2023-3662
Veikleikinn hefur fengið CVSSv3 veikleikastig upp á 7.3. Veikleikinn felst í því að notandi getur keyrt forrit fyrir mistök (e. execution of binaries from the current working directory).
Eftirfarandi kerfi eru veik fyrir göllunum
WinRAR
Eldri útgáfur en 6.23
CODESYS Development System
Útgáfur frá 3.5.11.0 til 3.5.19.20 vegna veikleika CVE-2023-3663
CODESYS Development System
Útgáfur frá 3.5.17.0 til 3.5.19.20 vegna veikleika CVE-2023-3662
Veikleikarnir hafa verið lagfærðir í eftirfarandi útgáfum
WinRAR
Útgáfa 6.23
CODESYS Development System
Uppfærsla er til í útgáfu 3.5.19.20. Frekari leiðbeiningar eru til staðar í tilkynningu frá CERT@VDE gefið út fyrir CODESYS [5,6] ásamt því að CISA setur fram ráðleggingar um mótvægisaðgerðir í sínum tilkynningum [3,4].
Tilvísanir:
[1] https://www.win-rar.com/singlenewsview.html?&L=0&tx_ttnews%5Btt_news%5D=232&cHash=c5bf79590657e32554c6683296a8e8aa
[2] https://www.bleepingcomputer.com/news/security/winrar-zero-day-exploited-since-april-to-hack-trading-accounts/
[3] https://www.cisa.gov/news-events/ics-advisories/icsa-23-236-05
[4] https://www.cisa.gov/news-events/ics-advisories/icsa-23-236-03
[5] https://cert.vde.com/en-us/advisories/vde-2023-022
[6] https://cert.vde.com/en-us/advisories/vde-2023-021
