Hoppa yfir valmynd

Alvarlegir veikleikar í Atlassian, VMware, Google, Ivanti, Citrix og SonicWall

17. jan. 2024

Tilkynnt var um nokkra alvarlega veikleika í Confluence Data Center og Server hjá Atlassian, Aria Automation og Cloud Foundation hjá VMware, Chrome hjá Google, Connect Secure og Policy Secure Gateways hjá Ivanti, NetScaler ADC og Gateway hjá Citrix og SonicOS hjá SonicWall. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærður eða að gripið sé til viðeigandi mótvægisaðgerða.

Alvarlegir veikleikar (e. critical)

Atlassian - Confluence Data Center & Confluence Server

Veikleikinn CVE-2023-22527 með CVSSv3 veikleikastig upp á 10.0 nær til Confluence Data Center og Server sem eru í óuppfærðum útgáfum (e. out-of-date versions). Misnotkun á veikleikanum gerir fjartengdum og óauðkenndum ógnaraðila kleift að keyra kóða (e. remote code execution) á Confluence endapunkti [1,2,3].

VMware Aria Automation & VMware Cloud Foundation

Veikleikinn CVE-2023-34063 með CVSSv3 veikleikastig upp á 9.9 er galli sem hefur áhrif á VMware Aria Automation og Cloud Foundation. Veikleikinn gerir fjartengdum ógnaraðila kleift að fá aðgang að stofnunum og vinnuferlum (e. remote organizations and workflows) [4,5,6].

Google Chrome

Google hefur gefið út öryggisuppfærslur vegna núlldagsveikleikans CVE-2024-0519 sem hefur ekki hlotið CVSSv3 einkunn en er metinn alvarlegur. Veikleikinn felst í galla sem leyfir aðgang út fyrir minni (e. out-of-bounds memory access) í V8 JavaScript engine [7] og gerir fjartengdum ógnaraðila kleift að framkvæma veilubragð á hrúgubiðminni (e. exploit heap corruption) sem sérútbúnu HTML skjali [8]. Google hefur einnig gefið út að verið sé að misnota veikleikann og því er mikilvægt að uppfæra í lagfærða útgáfu sem allra fyrst [9,10].

Ivanti Connect Secure & Ivanti Policy Secure Gateways

Tilkynnt hefur verið um tvo alvarlega núlldagsveikleika í Connect Secure og Policy Secure Gateways hjá Ivanti. 

Veikleikinn CVE-2023-46805 með CVSSv3 einkunn upp á 8.2 er alvarlegur galli þar sem ógnaraðili kemst fram hjá auðkenningu (e. authentication bypass) í vefviðmóti Connect Secure og Policy Secure hjá Ivanti sem gefur fjartengdum ógnaraðila aðgang að auðlindum sem eru með takmarkaðar aðgangsheimildir (e. access restricted resources) [12]. 

Veikleikinn CVE-2024-21887 með CVSSv3 einkunn upp á 9.1 er alvarlegur galli sem gerir ógnaraðila kleift að framkvæma skipana innspýtingu (e. command injection) í vefviðmóti Connect Secure og Policy Secure hjá Ivanti til þess að senda sérútbúnar fyrirspurnir (e. crafted requests) og keyra upp kóða (e. arbitrary code). Misnotkun á þessum veikleika krefst þess að ógnaraðilinn sé auðkenndur sem stjórnandi (e. authenticated administrator) [13]. 

Vitað er til þess að ógnarhópar séu að misnota veikleikana og því mikilvægt að fylgja leiðbeiningum Ivanti um mótvægisaðgerðir eða uppfæra strax í útgáfu þar sem veikleikarnir hafa verið lagfærðir þar sem það á við [11,14,15].

Citrix - NetScaler ADC & NetScaler Gateway

Veikleikinn CVE-2023-6549 með CVSSv3 veikleikastig upp á 8.2 er galli sem hefur áhrif á NetScaler ADC og Gateway. Misnotkun á veikleikanum gerir ógnaraðila kleift að framkvæma álagsárás (e. denial of service) gagnvart tækjum sem eru stillt sem "gateway" eða "AAA virtual server". Einnig var tilkynnt um veikleika í sömu útgáfum sem gerir auðkenndum fjartengdum ógnaraðila með aðgang að stjórnborði (e. administrator interface) að fjarkeyra kóða (e. remote command execution) [16,17].

SonicWall

Veikleikarnir CVE-2022-22274 með CVSSv3 veikleikastig upp á 9.4 og CVE-2023-0656 með CVSSv3 veikleikastig upp á 7.5 eru gallar sem hafa áhrif á SonicOS. Misnotkun á veikleikunum getur gert ógnaraðila kleift að framkvæma fjartengdar álagsárásir (e. denial of service) og því mikilvægt að fylgja leiðbeiningum SonicWall um mótvægisaðgerðir eða uppfæra strax í útgáfur þar sem veikleikarnir hafa verið lagfærðir þar sem á við. [18,19]

Eftirfarandi kerfi eru veik fyrir göllunum:

Confluence Data Center & Server: 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, 8.5.0-8.5.3
VMware Aria Automation: 8.11.x, 8.12.x, 8.13.x, 8.14.x
VMware Cloud Foundation: 5.x, 4.x
Google Chrome: <120.0.6099.234 (Mac), <120.0.6099.224 (Linux), <120.0.6099.224/225 (Windows)
Ivanti Connect Secure & Ivanti Policy Secure: 9.x, 22.x
SonicWall: TZ[270*-670*], NSa [2700-6700], NSsp [10700,11700,13700], NSv [270,470,870]: >=7.0.1-5050, NSsp 15700: >=7.0.1-R579, NSv [10-1600]: 6.5.4.4-44v-21-1452

Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:

Confluence Data Center & Server: >=8.5.4 (LTS), 8.6.0, >=8.7.1
Confluence Server: >=8.5.4 (LTS)
VMware Aria Automation: 8.11.2 + Patch, 8.12.2 + Patch, 8.13.1 + Patch, 8.14.1 + Patch
VMware Cloud Foundation: KB96136
Google Chrome: >=120.0.6099.234 (Mac), >=120.0.6099.224 (Linux), >=120.0.6099.224/225 (Windows)

Tilvísanir:

[1] https://www.bleepingcomputer.com/news/security/atlassian-warns-of-critical-rce-flaw-in-older-confluence-versions 
[2] https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html 
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-22527 
[4] https://www.vmware.com/security/advisories/VMSA-2024-0001.html 
[5] https://www.securityweek.com/vmware-urges-customers-to-patch-critical-aria-automation-vulnerability 
[6] https://securityaffairs.com/157576/security/vmware-aria-automation.html 
[7] https://www.securityweek.com/google-warns-of-chrome-browser-zero-day-being-exploited/ 
[8] https://nvd.nist.gov/vuln/detail/CVE-2024-0519 
[9] https://www.bleepingcomputer.com/news/security/google-fixes-first-actively-exploited-chrome-zero-day-of-2024/ 
[10] https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html 
[11] https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US 
[12] https://nvd.nist.gov/vuln/detail/CVE-2023-46805 
[13] https://nvd.nist.gov/vuln/detail/CVE-2024-21887 
[14] https://www.volexity.com/blog/2024/01/15/ivanti-connect-secure-vpn-exploitation-goes-global/ 
[15] https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US 
[16] https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549 
[17] https://github.com/netscaler/ADC-scripts/blob/master/nspepi/README.md 
[18] https://securityaffairs.com/157524/hacking/vulnerable-sonicwall-ngfw-exposed-online.html 
[19] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0003