Tilkynnt hefur verið um veikleika hjá ArubaOS, CrushFTP, Gitlab, JudgeO og R forritunarmálinu. Einnig gaf Microsoft út viðvörun vegna svokallaðar Dirty stream árásar. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.
Alvarlegir veikleikar (e. critical)
ArubaOS
Veikleikarnir CVE-2024-26305, CVE-2024-26304, CVE-2024-33511 CVE-2024-33512 eru allir með CVSSv3 veikleikastig upp á 9.8 og gera óauðkenndum ógnaraðila kleift að fjarkeyra kóða með því að senda sérútbúinn pakka á PAPI ( Aruba’s access point management protocol). Misnotkun á veikleikunum getur einnig leitt til keyrslu á kóða á undirliggjandi stýrikerfi með kerfisréttindum (e. privileged user) [x,y]. Veikleikarnir hafa verið lagfærðir í útgáfum ARubaOS 10.6.x.x, 10.5.1.1 og hærra, 10.4.1.1 og hærra, 8.11.2.2 og hærra og 8.10.0.11 og hærra [1,2].
CrushFTP
Veikleikinn CVE-2024-4040 með CVSSv3 veikleikastig upp á 10.0 gerir fjartengdum ógnaraðila kleift að komast út úr CrushFTP sýndarskráarkerfinu (e. escape virtual file system) yfir í undirliggjandi stýrikerfi. Veikleikinn hefur verið lagfærður í útgáfum >= 11.1 [3,4,5].
Gitlab
Veikleikinn CVE-2024-2279 með CVSSv3 veikleikastig upp á 8.7 gerir ógnaraðila kleift að keyra skipanir fyrir hönd fórnarlambsins. Veikleikinn hefur verið uppfærður í útgáfum 16.10.2, 16.9.4 og 16.8.6 [6,7].
JudgeO sandbox
Veikleikarnir CVE-2024-28185 og CVE-2024-28189 með CVSSv3 veikleikastig upp á 10.0 ásamt veikleikanum CVE-2024-29021 með veikleikastig upp á CVSSv3 9.1 geta gert ógnaraðila kleift að brjótast út úr sandbox umhverfi Jugde0 og fá rótarréttindi á undirliggjandi stýrikerfi. Veikleikarnir hafa verið lagfærðir í útgáfu 1.13.1 [8].
Forritunarmálið R
Veikleikarnir CVE-2024-28185 og CVE-2024-28189 með CVSSv3 veikleikastig upp á 10.0 ásamt veikleikanum CVE-2024-29021 með veikleikastig upp á CVSSv3 9.1 geta gert ógnaraðila kleift að brjótast út úr sandbox umhverfi Jugde0 og fá rótarréttindi á undirliggjandi stýrikerfi. Veikleikarnir hafa verið lagfærðir í útgáfu 1.13.1 [8].
Dirty Stream
Microsoft hefur varað við svokölluðu “Dirty Stream” áras sem gerir veirusýktum (e. malicious) Android smáforritum kleift að yfirskrifa skrár á heima skráarsvæði (e. home directory) annarra smáforrita sem eru ekki rétt útfærð. Yfirskrif á skrám getur leitt til keyrslu á kóða og stuldi á persónuupplýsingum notandans (e. arbitrary code execution and secrets theft). Dæmi um ranga útfærslu felur í sér að smáforrit treystir ótraustum skráarnöfnum sem gerir ógnaraðila kleift að misnota FileProvider í yfirskrift á skrám [10].
Tilvísanir
[1] https://www.bleepingcomputer.com/news/security/hpe-aruba-networking-fixes-four-critical-rce-flaws-in-arubaos
[2] https://www.arubanetworks.com/assets /alert/ARUBA-PSA-2024-004.txt
[3] https://blog.sonicwall.com/en-us/2024/05/crushftp-server-side-template-injection-ssti/
[4] https: //nvd.nist.gov/vuln/detail/CVE-2024-4040
[5] https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update
[6] https://about.gitlab. com/releases/2024/04/10/patch-release-gitlab-16-10-2-released/
[7] https://blog.sonicwall.com/en-us/2024/04/gitlab-xss-via -autocomplete-results/
[8] https://thehackernews.com/2024/04/sandbox-escape-vulnerabilities-in.html
[9] https://thehackernews.com/2024/04/new-r-programming- vulnerability-exposes.html
[10] https://www.bleepingcomputer.com/news/security/microsoft-warns-of-dirty-stream-attack-impacting-android-apps/
