Američka agencija za cyber i infrastrukturnu sigurnost (CISA) u srijedu je dodala kritičnu sigurnosnu grešku koja utiče na Fortinet proizvode u svoj katalog poznatih eksploatiranih ranjivosti ( KEV ), navodeći dokaze o aktivnoj eksploataciji.
Ranjivost, praćena kao CVE-2024-23113 (CVSS rezultat: 9,8), odnosi se na slučajeve daljinskog izvršavanja koda koje utiče na FortiOS, FortiPAM, FortiProxy i FortiWeb.
„Korišćenje ranjivosti stringova formata [CWE-134] u FortiOS fgfmd demonu može dozvoliti udaljenom neautorizovanom napadaču da izvrši proizvoljni kod ili komande putem posebno kreiranih zahteva“, naveo je Fortinet u upozorenju za grešku još u februaru 2024.
Kao što je obično slučaj, bilten je oskudan u detaljima koji se odnose na to kako se nedostatak iskorištava u divljini, ili ko ga koristi i protiv koga.
U svjetlu aktivne eksploatacije, agencije Federalnog civilnog izvršnog ogranka (FCEB) imaju mandat da do 30. oktobra 2024. primjene mjere ublažavanja koje je obezbijedio dobavljač radi optimalne zaštite.
Palo Alto Networks otkriva kritične greške u ekspediciji
Razvoj dolazi kada je Palo Alto Networks otkrio višestruke sigurnosne propuste u Expedition-u koji bi mogli omogućiti napadaču da čita sadržaj baze podataka i proizvoljne datoteke, pored pisanja proizvoljnih datoteka na privremene lokacije za skladištenje na sistemu.
“Kombinirano, ovo uključuje informacije kao što su korisnička imena, lozinke otvorenog teksta, konfiguracije uređaja i uređaji API ključevi PAN-OS zaštitnih zidova”, navodi Palo Alto Networks u upozorenju u srijedu.
Ranjivosti, koje utiču na sve verzije Expedicije prije 1.2.96, navedene su u nastavku –
- CVE-2024-9463 (CVSS rezultat: 9,9) – Ranjivost ubrizgavanja komandi operativnog sistema (OS) koja omogućava neovlaštenom napadaču da pokrene proizvoljne OS komande kao root
- CVE-2024-9464 (CVSS rezultat: 9,3) – Ranjivost ubrizgavanja OS komandi koja omogućava autentificiranom napadaču da pokrene proizvoljne OS komande kao root
- CVE-2024-9465 (CVSS rezultat: 9,2) – Ranjivost SQL injekcije koja omogućava neovlaštenom napadaču da otkrije sadržaj baze podataka Expedition
- CVE-2024-9466 (CVSS rezultat: 8,2) – Ranjivost pohranjivanja osjetljivih informacija u čistom tekstu koja omogućava autentificiranom napadaču da otkrije korisnička imena zaštitnog zida, lozinke i API ključeve generirane pomoću tih akreditiva
- CVE-2024-9467 (CVSS rezultat: 7,0) – Odražena ranjivost skriptiranja na više lokacija (XSS) koja omogućava izvršavanje zlonamjernog JavaScript-a u kontekstu autentificiranog pretraživača Expedition korisnika ako taj korisnik klikne na zlonamjernu vezu, omogućavajući phishing napade koji može dovesti do krađe sesije pretraživača Expedition
Kompanija je zahvalila Zachu Hanleyu iz Horizon3.ai za otkrivanje i prijavljivanje CVE-2024-9464, CVE-2024-9465 i CVE-2024-9466 i Enriqueu Castillu iz Palo Alto Networks za CVE-2024-9463, CVE-2024 9464, CVE-2024-9465 i CVE-2024-9467.
Nema dokaza da su problemi ikada bili eksploatisani u divljini, iako je rečeno da su koraci za reprodukciju problema već u javnom domenu, ljubaznošću Horizon3.ai.
Postoji otprilike 23 Expedition servera izložena internetu, od kojih se većina nalazi u SAD-u, Belgiji, Njemačkoj, Holandiji i Australiji. Kao ublažavanje, preporučuje se ograničiti pristup ovlaštenim korisnicima, hostovima ili mrežama i isključiti softver kada nije u aktivnoj upotrebi.
Cisco je popravio grešku Nexus Dashboard Fabric Controller
Prošle nedelje, Cisco je takođe objavio zakrpe za otklanjanje kritične greške u izvršavanju komandi u Nexus Dashboard Fabric Controller-u (NDFC) za koju je rekao da potiče od nepravilne autorizacije korisnika i nedovoljne validacije argumenata komande.
Praćen kao CVE-2024-20432 (CVSS rezultat: 9,9), mogao bi dozvoliti autentifikovanom, nisko privilegovanom, udaljenom napadaču da izvrši napad ubrizgavanjem komande na zahvaćeni uređaj. Greška je riješena u NDFC verziji 12.2.2. Vrijedi napomenuti da verzije 11.5 i starije nisu podložne.
“Napadač bi mogao iskoristiti ovu ranjivost slanjem izrađenih komandi na pogođenu krajnju tačku REST API-ja ili putem web korisničkog sučelja”, navodi se . “Uspješno iskorištavanje moglo bi omogućiti napadaču da izvrši proizvoljne komande na CLI-u uređaja kojim upravlja Cisco NDFC s privilegijama mrežnog administratora.”
Izvor:The Hacker News
