Američka agencija za kibernetičku i infrastrukturnu bezbjednost (CISA) dodala je tri greške u katalog poznatih eksploatisanih ranjivosti (KEV), na osnovu dokaza o aktivnoj eksploataciji.
Sigurnosne ranjivosti su sledeće:
- CVE-2023-1389 (CVSS rezultat: 8,8) – Ranjivost ubrizgavanja komande TP-Link Archer AX-21
- CVE-2021-45046 (CVSS rezultat: 9,0) – Apache Log4j2 Deserializacija ranjivosti nepouzdanih podataka
- CVE-2023-21839 (CVSS rezultat: 7,5) – Oracle WebLogic Server neodređena ranjivost
CVE-2023-1389 se odnosi na slučaj injekcije komande koja utiče na TP-Link Archer AX-21 rutere koji bi se mogli iskoristiti za postizanje daljinskog izvršavanja koda. Prema Trend Micro-voj Zero Day inicijativi, grešku su koristili hakeri povezani s Mirai botnet-om od 11. aprila 2023. godine.
Druga mana koja se dodaje u KEV katalog je CVE-2021-45046, izvršavanje koda na daljinu koje utiče na Apache Log4j2 biblioteku evidencije koja je izašla na vidjelo u decembru 2021. godine.
Trenutno nije jasno kako se ova specifična ranjivost zloupotrebljava u praksi, iako podaci koje je prikupio GreyNoise ukazuju na dokaze o pokušajima eksploatacije sa čak 74 jedinstvene IP adrese u posljednjih 30 dana. Ovo, međutim, uključuje i CVE-2021-44228 (aka Log4Shell).
Kompletiranje liste je greška visoke ozbiljnosti u verzijama Oracle WebLogic Servera 12.2.1.3.0, 12.2.1.4.0 i 14.1.1.0.0 koja bi mogla omogućiti neovlašteni pristup osjetljivim podacima. Kompanija ga je zakrpila kao dio ažuriranja objavljenih u januaru 2023. godine.
„Oracle WebLogic Server sadrži neodređenu ranjivost koja omogućava neautorizovanom napadaču sa pristupom mreži preko T3, IIOP, da kompromituje Oracle WebLogic Server“ saopštila je CISA.
Iako postoje eksploatacije dokaza o konceptu (PoC) za nedostatak, čini se da nema javnih izvještaja o malicioznoj eksploataciji.
Od agencije Federalne civilne izvršne vlasti (FCEB) se traži da do 22. maja 2023. godine primjeni ispravke koje je dao dobavljač kako bi osigurale svoje mreže od ovih aktivnih pretnji.
Upozorenje takođe dolazi nešto više od mjesec dana nakon što je VulnCheck otkrio da skoro 48 sigurnosnih propusta koji su vjerovatno bili korišteni u praksi 2022. godini nedostaje u KEV katalogu.
Od 42 ranjivosti, ogromna većina se odnosi na eksploataciju botnet-a sličnih Mirai-u (27), a slijede ga ransomware grupe (6) i drugi akteri pretnji (9).
Izvor: The Hacker News