Η Cisco, η Fortinet και η VMware έχουν κυκλοφορήσει επιδιορθώσεις ασφαλείας για πολλαπλές ευπάθειες ασφαλείας, συμπεριλαμβανομένων κρίσιμων αδυναμιών που θα μπορούσαν να αξιοποιηθούν για την εκτέλεση αυθαίρετων ενεργειών στις επηρεαζόμενες συσκευές.
Το πρώτο σετ της Cisco αποτελείται από τρία ελαττώματα – CVE-2024-20252 και CVE-2024-20254 (βαθμολογία CVSS: 9,6) και CVE-2024-20255 (βαθμολογία CVSS: 8,2) – επηρεάζουν τη σειρά Cisco Expressway που θα μπορούσε να επιτρέψει μη αυθεντική, απομακρυσμένος εισβολέας για τη διεξαγωγή επιθέσεων πλαστογραφίας αιτημάτων μεταξύ τοποθεσιών (CSRF).
Όλα τα ζητήματα, τα οποία εντοπίστηκαν κατά τη διάρκεια δοκιμών εσωτερικής ασφάλειας, προέρχονται από ανεπαρκείς προστασίες CSRF για τη διεπαφή διαχείρισης που βασίζεται στον ιστό που θα μπορούσε να επιτρέψει σε έναν εισβολέα να εκτελεί αυθαίρετες ενέργειες με το επίπεδο προνομίων του επηρεαζόμενου χρήστη.
“Εάν ο επηρεαζόμενος χρήστης έχει δικαιώματα διαχειριστή, αυτές οι ενέργειες θα μπορούσαν να περιλαμβάνουν την τροποποίηση της διαμόρφωσης του συστήματος και τη δημιουργία νέων προνομιακών λογαριασμών,” Cisco είπε σχετικά με τα CVE-2024-20252 και CVE-2024-20254.
Από την άλλη πλευρά, η επιτυχής εκμετάλλευση του CVE-2024-20255 που στοχεύει έναν χρήστη με δικαιώματα διαχειριστή θα μπορούσε να επιτρέψει στον παράγοντα απειλής να αντικαταστήσει τις ρυθμίσεις διαμόρφωσης συστήματος, με αποτέλεσμα μια συνθήκη άρνησης υπηρεσίας (DoS).
Μια άλλη κρίσιμη διαφορά μεταξύ των δύο συνόλων ελαττωμάτων είναι ότι ενώ τα δύο πρώτα επηρεάζουν τις συσκευές της σειράς Cisco Expressway στην προεπιλεγμένη διαμόρφωση, το CVE-2024-20252 τις επηρεάζει μόνο εάν έχει ενεργοποιηθεί η δυνατότητα API βάσης δεδομένων συμπλέγματος (CDB). Είναι απενεργοποιημένο από προεπιλογή.
Οι ενημερώσεις κώδικα για τα τρωτά σημεία είναι διαθέσιμες στις εκδόσεις 14.3.4 και 15.0.0 της σειράς Cisco Expressway.
Η Fortinet από την πλευρά της κυκλοφόρησε α δεύτερος γύρος ενημερώσεων για να αντιμετωπίσετε ποιες είναι οι παρακάμψεις για ένα κρίσιμο ελάττωμα που αποκαλύφθηκε προηγουμένως (CVE-2023-34992, βαθμολογία CVSS: 9.7) στον επόπτη FortiSIEM που θα μπορούσε να οδηγήσει στην εκτέλεση αυθαίρετου κώδικα, σύμφωνα με στον ερευνητή του Horizon3.ai Zach Hanley.
Παρακολούθηση ως CVE-2024-23108 και CVE-2024-23109 (Βαθμολογία CVSS: 9,8), τα ελαττώματα “μπορεί να επιτρέψουν σε έναν απομακρυσμένο εισβολέα χωρίς έλεγχο ταυτότητας να εκτελεί μη εξουσιοδοτημένες εντολές μέσω δημιουργημένων αιτημάτων API.”
Αξίζει να σημειωθεί ότι η Fortinet επέλυσε μια άλλη παραλλαγή του CVE-2023-34992 κλείνοντας CVE-2023-36553 (βαθμολογία CVSS: 9,3) τον Νοέμβριο του 2023. Τα δύο νέα τρωτά σημεία είναι/θα συνδεθούν στις ακόλουθες εκδόσεις –
- FortiSIEM έκδοση 7.1.2 ή νεότερη
- FortiSIEM έκδοση 7.2.0 ή νεότερη (προσεχή)
- FortiSIEM έκδοση 7.0.3 ή νεότερη (προσεχή)
- FortiSIEM έκδοση 6.7.9 ή νεότερη (προσεχή)
- FortiSIEM έκδοση 6.6.5 ή νεότερη (προσεχή)
- FortiSIEM έκδοση 6.5.3 ή νεότερη (προσεχή) και
- FortiSIEM έκδοση 6.4.4 ή νεότερη (προσεχή)
Η ολοκλήρωση της trifecta είναι η VMware, η οποία έχει προειδοποιήσει πέντε ελαττώματα μέτριας έως σημαντικής σοβαρότητας στο Aria Operations for Networks (πρώην vRealize Network Insight) –
- CVE-2024-22237 (βαθμολογία CVSS: 7,8) – Ευπάθεια κλιμάκωσης τοπικών προνομίων που επιτρέπει σε έναν χρήστη της κονσόλας να αποκτά τακτική πρόσβαση root
- CVE-2024-22238 (Βαθμολογία CVSS: 6.4) – Ευπάθεια δέσμης ενεργειών μεταξύ τοποθεσιών (XSS) που επιτρέπει σε έναν κακόβουλο παράγοντα με δικαιώματα διαχειριστή να εισάγει κακόβουλο κώδικα στις διαμορφώσεις προφίλ χρήστη
- CVE-2024-22239 (βαθμολογία CVSS: 5.3) – Ευπάθεια κλιμάκωσης τοπικών προνομίων που επιτρέπει σε έναν χρήστη κονσόλας να αποκτήσει τακτική πρόσβαση στο κέλυφος
- CVE-2024-22240 (βαθμολογία CVSS: 4,9) – Ευπάθεια ανάγνωσης τοπικού αρχείου που επιτρέπει σε έναν κακόβουλο παράγοντα με δικαιώματα διαχειριστή να έχει πρόσβαση σε ευαίσθητες πληροφορίες
- CVE-2024-22241 (βαθμολογία CVSS: 4.3) – Ευπάθεια δέσμης ενεργειών μεταξύ τοποθεσιών (XSS) που επιτρέπει σε έναν κακόβουλο παράγοντα με δικαιώματα διαχειριστή να εισάγει κακόβουλο κώδικα και να αναλάβει τον λογαριασμό χρήστη
Για τον μετριασμό των κινδύνων, όλοι οι χρήστες του VMware Aria Operations for Networks έκδοση 6.x συνιστάται για αναβάθμιση στην έκδοση 6.12.0.
Λαμβάνοντας υπόψη την ιστορία της εκμετάλλευσης όταν πρόκειται για ελαττώματα Cisco, Fortinet και VMware, η ενημέρωση κώδικα είναι ένα απαραίτητο και κρίσιμο πρώτο βήμα που πρέπει να κάνουν οι οργανισμοί για να χειριστούν τις ελλείψεις.