CISA bổ sung các lỗ hổng mới vào danh mục KEV gây ảnh hưởng đến nhiều ứng dụng
Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) bổ sung vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) sáu lỗ hổng ảnh hưởng đến các sản phẩm của Apple, Adobe, Apache, D-Link và Joomla.
Danh mục KEV bao gồm danh sách các lỗ hổng bảo mật đã bị khai thác trên thực tế. Đây là nguồn thông tin quan trọng cho các tổ chức, doanh nghiệp trong quá trình ưu tiên khắc phục và xử lý lỗ hổng bảo mật.
CISA đã gia hạn cho các cơ quan liên bang của Mỹ đến ngày 29/01/2023 để vá sáu lỗ hổng đang được khai thác hoặc ngừng sử dụng các sản phẩm dễ bị tấn công.
Sáu lỗ hổng mới được thêm vào danh mục KEV bao gồm:
- CVE-2023-27524 (điểm CVSS: 8,9): Lỗ hổng tồn tại khi khóa bí mật SECRET_KEY cấu hình mặc định không bị thay đổi, cho phép kẻ tấn công xác thực và truy cập các tài nguyên trái phép, ảnh hưởng đến các phiên bản Apache Superset lên đến 2.0.1.
- CVE-2023-23752 (điểm CVSS: 5,3): Lỗ hổng xảy ra khi kiểm tra quyền truy cập không đúng cách trên Joomla từ phiên bản 4.0.0 đến 4.2.7, cho phép tin tặc truy cập trái phép vào điểm cuối dịch vụ web.
- CVE-2023-41990 (điểm CVSS: 7,8): Đây là lỗ hổng thực thi mã từ xa trong quá trình xử lý tệp phông chữ được gửi dưới dạng tệp đính kèm iMessage, dẫn đến việc thực thi mã tùy ý trên các thiết bị Apple iPhone chạy iOS 16.2 trở lên.
- CVE-2023-38203 (điểm CVSS: 9,8): Lỗ hổng này xảy ra trong các phiên bản Adobe ColdFusion 2018u17, 2021u7 và 2023u1 trở về trước, dẫn đến việc thực thi mã tùy ý.
- CVE-2023-29300 (điểm CVSS: 9,8): Lỗ hổng này cũng dẫn đến việc thực thi mã tùy ý, ảnh hưởng đến các phiên bản Adobe ColdFusion 2018u16, 2021u6 và 2023.0.0.330468 trở về trước.
- CVE-2016-20017 (điểm CVSS: 9,8): Lỗ hổng chèn lệnh không được xác thực từ xa trong các thiết bị D-Link DSL-2750B trước phiên bản 1.05, bị khai thác tích cực từ năm 2016 đến năm 2022.
Một số lỗ hổng được liệt kê trên đã bị lợi dụng trong các cuộc tấn công mới được tiết lộ gần đây. Điển hình là lỗ hổng CVE-2023-41990 được sử dụng trong chiến dịch Operation Triangulation từ năm 2019 và chỉ được hãng bảo mật Kaspersky phát hiện vào tháng 6/2023 khi một số thiết bị của hãng bị lây nhiễm.
Trong khi đó, hai lỗ hổng CVE-2023-38203 và CVE-2023-29300 đã bị tin tặc khai thác từ giữa năm 2023 sau khi các nhà nghiên cứu bảo mật chứng minh rằng các bản vá của nhà cung cấp có thể bị vượt qua. Đối với những lỗ hổng khác, chẳng hạn như CVE-2023-27524, các mã khai thác bằng chứng khái niệm (PoC) đã được phát hành vào tháng 9/2023, tạo cơ sở cho các tác nhân độc hại khai thác rộng rãi.
Để giảm thiểu các nguy cơ tiềm ẩn, CISA khuyến nghị các tổ chức kiểm tra các sản phẩm để tìm những lỗ hổng trên và các lỗ hổng khác được liệt kê trong danh mục KEV, đồng thời áp dụng các bản cập nhật bảo mật có sẵn hoặc các bước giảm thiểu rủi ro theo yêu cầu.
Danh mục KEV bao gồm danh sách các lỗ hổng bảo mật đã bị khai thác trên thực tế. Đây là nguồn thông tin quan trọng cho các tổ chức, doanh nghiệp trong quá trình ưu tiên khắc phục và xử lý lỗ hổng bảo mật.
CISA đã gia hạn cho các cơ quan liên bang của Mỹ đến ngày 29/01/2023 để vá sáu lỗ hổng đang được khai thác hoặc ngừng sử dụng các sản phẩm dễ bị tấn công.
Sáu lỗ hổng mới được thêm vào danh mục KEV bao gồm:
- CVE-2023-27524 (điểm CVSS: 8,9): Lỗ hổng tồn tại khi khóa bí mật SECRET_KEY cấu hình mặc định không bị thay đổi, cho phép kẻ tấn công xác thực và truy cập các tài nguyên trái phép, ảnh hưởng đến các phiên bản Apache Superset lên đến 2.0.1.
- CVE-2023-23752 (điểm CVSS: 5,3): Lỗ hổng xảy ra khi kiểm tra quyền truy cập không đúng cách trên Joomla từ phiên bản 4.0.0 đến 4.2.7, cho phép tin tặc truy cập trái phép vào điểm cuối dịch vụ web.
- CVE-2023-41990 (điểm CVSS: 7,8): Đây là lỗ hổng thực thi mã từ xa trong quá trình xử lý tệp phông chữ được gửi dưới dạng tệp đính kèm iMessage, dẫn đến việc thực thi mã tùy ý trên các thiết bị Apple iPhone chạy iOS 16.2 trở lên.
- CVE-2023-38203 (điểm CVSS: 9,8): Lỗ hổng này xảy ra trong các phiên bản Adobe ColdFusion 2018u17, 2021u7 và 2023u1 trở về trước, dẫn đến việc thực thi mã tùy ý.
- CVE-2023-29300 (điểm CVSS: 9,8): Lỗ hổng này cũng dẫn đến việc thực thi mã tùy ý, ảnh hưởng đến các phiên bản Adobe ColdFusion 2018u16, 2021u6 và 2023.0.0.330468 trở về trước.
- CVE-2016-20017 (điểm CVSS: 9,8): Lỗ hổng chèn lệnh không được xác thực từ xa trong các thiết bị D-Link DSL-2750B trước phiên bản 1.05, bị khai thác tích cực từ năm 2016 đến năm 2022.
Một số lỗ hổng được liệt kê trên đã bị lợi dụng trong các cuộc tấn công mới được tiết lộ gần đây. Điển hình là lỗ hổng CVE-2023-41990 được sử dụng trong chiến dịch Operation Triangulation từ năm 2019 và chỉ được hãng bảo mật Kaspersky phát hiện vào tháng 6/2023 khi một số thiết bị của hãng bị lây nhiễm.
Trong khi đó, hai lỗ hổng CVE-2023-38203 và CVE-2023-29300 đã bị tin tặc khai thác từ giữa năm 2023 sau khi các nhà nghiên cứu bảo mật chứng minh rằng các bản vá của nhà cung cấp có thể bị vượt qua. Đối với những lỗ hổng khác, chẳng hạn như CVE-2023-27524, các mã khai thác bằng chứng khái niệm (PoC) đã được phát hành vào tháng 9/2023, tạo cơ sở cho các tác nhân độc hại khai thác rộng rãi.
Để giảm thiểu các nguy cơ tiềm ẩn, CISA khuyến nghị các tổ chức kiểm tra các sản phẩm để tìm những lỗ hổng trên và các lỗ hổng khác được liệt kê trong danh mục KEV, đồng thời áp dụng các bản cập nhật bảo mật có sẵn hoặc các bước giảm thiểu rủi ro theo yêu cầu.
Theo Tạp chí An toàn thông tin