Þónokkrar veikleikatilkynningar hafa borist í vikunni og er hér m.a. farið yfir veikleika í VMware, Apache, GeoServer, GeoTools og Cisco.
VMware Carbon Black App Control
————————————————————-
Tilkynnt var um alvarlegan veikleika á dögunum í kerfi VMware Carbon Black App Control keyrandi á Windows. Veikleikinn hefur fengið auðkennið CVE-2023-20858 og hefur fengið CVSSv3 skor 9.1 [1].
Misnotkun á veikleikanum gerir árásaraðila með aukin réttindi (e. privilaged access) að kerfisstjóra stjórnborði fyrir App Control kleift að senda inn sérhannað inntak og fengið aðgang að undirliggjandi stýrikerfi [1].
Eftirfarandi kerfi eru veik fyrir gallanum:
– App Control 8.9.x
– App Control 8.8.x
– App Control 8.7.x
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
– App Control 8.9.4
– App Control 8.8.6
– App Control 8.7.8
Apache Kafka Connect
————————————————————-
Nýting á veikleikanum krefst aðgangs að Kafka Connect worker og möguleikanum til að búa til/breyta connectors þar. Auðkenni veikleikans er CVE-2023-25194 og hefur fengið CVSSv3 skor 8.8 [2,3].
Misnotkun á veikleikanum gerir árásaraðilum kleift að keyra JNDI skipun til að valda álagsárás (e. DoS) og/eða keyra kóða á búnaði sem kerfisstjóri (e. Remote Code Execution – RCE).
Eftirfarandi kerfi eru veik fyrir gallanum:
– 2.3.0 – 3.3.2
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
– 3.4.0
GeoServer og GeoTools
————————————————————-
Veikleikarnir í GeoServer (CVE-2023-25157) og GeoTools (CVE-2023-25158) hafa báðar hlotið CVSSv3 skor 9.8 [4].
Misnotkun á veikleikanum heimilar SQL innspýtingu af árásaraðila eftir ýmsum leiðum í GeoServer og GeoTools [4,5,6].
Ef ekki er hægt að uppfæra strax er mögulegt að grípa til mótvægisaðgerða sem er lýst nánar í [4,5,6] en það nær ekki yfir öll tilfelli þar sem hægt er að misnota veikleikana.
Eftirfarandi GeoServer kerfi eru veik fyrir gallanum:
– < 2.21.4
– < 2.22.2
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum af GeoServer:
– 2.21.4
– 2.22.2
– 2.20.7
– 2.19.7
– 2.18.7
Eftirfarandi GeoTools kerfi eru veik fyrir gallanum:
– < 28.2
– < 27.4
– < 26.7
– < 25.7
– < 24.7
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum af GeoTools:
– 28.2
– 27.4
– 26.7
– 25.7
– 24.7
Cisco
————————————————————-
Cisco tilkynnti á miðvikudag um tvo veikleika tengdum Application Centric Infrastructure (ACI) kerfum þeirra. Báðir veikleikarnir voru uppgötvaðir af innri aðila og ekkert bendir til þess sem stendur að árásaraðilar séu að nýta sér þá [7].
Annar veikleikinn (CVE-2023-20011) fékk CVSSv3 skor 8.8 [8] og hefur áhrif á stjórnborð Cisco Application Policy Infrastructure Controller (APIC) og Cloud Network Controller. Hinn veikleikinn (CVE-2023-20089) fékk CVSSv3 skor uppá 7.4 [9] og er í Link Layer Discovery Protocol (LLDP) virkninni hjá Cisco Nexus 9000 Series Fabric Switches.
CISA Exploited Vulnerability Catalog
————————————————————-
CISA bætti við í vikunni fyrir skrif þessa fréttar þremur nýjum veikleikum sem vitað er til að ógnaraðilar misnota í Known Exploited Vulnerabilities Catalog [10]. Þar á meðal er veikleiki í IBM Aspera Faspex (CVE-2022-47986) með CVSSv3 skor 9.8 sem gerir óprúttnum aðila kleift að keyra kóða á búnaði sem kerfisstjóri (e. RCE) [11].
Útgáfa kóða (e. PoC) sem nýtir veikleika í FortiNAC frá Fortinet
————————————————————-
Búið er að gefa út kóða (e. Proof of Concept) sem nýtir veikleikann í FortiNAC frá Fortinet CVE-2022-39952 (CVSSv3 9.8) og er kóðinn aðgengilegur á GitHub síðu Horizon3 [12].
Eins og fram kom í tilkynningu frá CERT-IS [13] þann 17. febrúar s.l. gerir veikleikinn ógnaraðilum færi á að keyra kóða og skipanir og hefur áhrif á eftirfarandi útgáfur af FortiNAC:
– öllum útgáfum 8.3
– öllum útgáfum 8.5
– öllum útgáfum 8.6
– öllum útgáfum 8.7
– öllum útgáfum 8.8
– 9.1.0 til og með 9.1.7
– 9.2.0 til og með 9.2.5
– 9.4.0
CERT-IS mælir með að uppfæra án tafa og fara eftir ráðleggingum frá viðkomandi framleiðanda.
Tilvísanir:
[1] https://www.vmware.com/security/advisories/VMSA-2023-0004.html
[2] https://kafka.apache.org/cve-list
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-25194
[4] https://geoserver.org/vulnerability/2023/02/20/ogc-filter-injection.html
[5] https://github.com/geotools/geotools/security/advisories/GHSA-99c3-qc2q-p94m
[6] https://github.com/geoserver/geoserver/security/advisories/GHSA-7g5f-wrx8-5ccf
[7] https://www.securityweek.com/cisco-patches-high-severity-vulnerabilities-in-aci-components/
[8] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-csrfv-DMx6KSwV
[9] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-aci-lldp-dos-ySCNZOpX
[10] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[11] https://nvd.nist.gov/vuln/detail/CVE-2022-47986
[12] https://github.com/horizon3ai/CVE-2022-39952
[13] https://cert.is/frettir-og-tilkynningar/frettasafn/frett/fr%C3%A9ttir/veikleikar-i-vorum-fra-siemens-gitlab-sap-intel-cisco-og-fleirum