Novi Kritičan Sigurnosni Propust Upoznaje Federalne Agencije: CISA I CVE-2023-28461
Agencija za kibernetsku sigurnost i sigurnost infrastrukture Sjedinjenih Američkih Država (CISA) dodala je novu ključnu ranjivost svom katalogu poznatih iskorištenih ranjivosti (KEV). Federalnim agencijama je upućena upozorenje da imaju rok od tri tjedna za primjenu dostupnog zakrpljenja, ili da prestanu koristiti pogođeni softver u potpunosti.
Detalji o Ranjivosti CVE-2023-28461
Ranjivost koja je dodana KEV-u odnosi se na nedostatak autentifikacije, označena kao CVE-2023-28461, s visokom ocjenom ozbiljnosti od 9.8. Ova ranjivost omogućava napadačima izvršavanje proizvoljnog koda na udaljenim uređajima. Otkrivena je u Array Networks AG i vxAG sigurnosnim pristupnim točkama, a ispravljena je u ožujku 2023. godine, s prvom čistom verzijom softvera 9.4.0.484.
Prema izjavama Array Networks, “Ranjivost daljinskog izvršavanja koda Array AG/vxAG je ranjivost u web sigurnosti koja omogućava napadaču pregled datotečnog sustava ili izvršavanje udaljenog koda na SSL VPN pristupnoj točki korištenjem atributa oznake u HTTP zaglavlju bez autentifikacije.” Ova ranjivost može se iskoristiti putem ranjive URL adrese.
Rok za Prijavu Zakrpe
Federalne organizacije imaju rok do 16. prosinca da zakrpe softver. CISA nije detaljno opisivala napade, ali Trend Micro tvrdi da je napadačka grupa poznata kao Earth Kasha koristila ovu ranjivost. Ova kineska grupa, također poznata kao MirrorFace, navodno je zloupotrebljavala Array AG, ProSelf i FortiNet za inicijalni pristup. Grupa se uglavnom fokusira na žrtve u Japanu, iako su zabilježeni napadi na organizacije u Tajvanu, Indiji i Europi.
Iako se čini da je ciljanje na mete unutar SAD-a rijetko, Earth Kasha izgleda da je povezana s APT10, naprednom trajnom prijetnjom. Grupa se prvenstveno fokusira na sektore kao što su vlada, tehnologija i akademska zajednica, koristeći malver poput LODEINFO, NOOPDOOR i MirrorStealer za krađu korisničkih podataka, održavanje trajne prisutnosti i izvlačenje osjetljivih informacija. Njihove kampanje često uključuju dumping vjerodajnica, DLL side-loading i enkriptirane pakete.
Zaključak
Uzimajući u obzir ozbiljnost ranjivosti CVE-2023-28461, hitna primjena zakrpe ili prestanak korištenja pogođenog softvera je od suštinskog značaja za održavanje sigurnosti. Federalne agencije moraju što prije reagirati kako bi se zaštitili od mogućih cyber napada i osigurali sigurnost svojih podataka.
