Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) hôm thứ Hai đã đặt ba lỗ hổng bảo mật vào danh mục các lỗ hổng được khai thác đã biết (KEV), trích dẫn bằng chứng về việc khai thác tích cực.
Các lỗ hổng được thêm vào như sau -
- CVE-2023-48788 (điểm CVSS: 9.3) - Lỗ hổng Fortinet FortiClient EMS SQL Injection
- CVE-2021-44529 (điểm CVSS: 9.8) - Lỗ hổng tiêm mã Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA)
- CVE-2019-7256 (điểm CVSS: 10.0) - Lỗ hổng tiêm lệnh hệ điều hành tuyến tính eMerge E3-Series
Sự thiếu sót ảnh hưởng đến Fortinet FortiClient EMS đã được đưa ra ánh sáng vào đầu tháng này, với công ty mô tả nó như một lỗ hổng có thể cho phép kẻ tấn công không được xác thực thực thi mã hoặc lệnh trái phép thông qua các yêu cầu được tạo cụ thể.
Fortinet đã sửa đổi tư vấn của mình để xác nhận rằng nó đã được khai thác trong tự nhiên, mặc dù không có chi tiết nào khác liên quan đến bản chất của các cuộc tấn công hiện có sẵn.
Mặt khác, CVE-2021-44529 liên quan đến lỗ hổng chèn mã trong Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA) cho phép người dùng chưa được xác thực thực thi mã độc với quyền hạn chế.
Nghiên cứu gần đây được công bố bởi nhà nghiên cứu bảo mật Ron Bowes chỉ ra rằng lỗ hổng này có thể đã được giới thiệu như một cửa hậu có chủ ý trong một dự án mã nguồn mở hiện đã ngừng hoạt động có tên csrf-magic tồn tại ít nhất từ năm 2014.
CVE-2019-7256, cho phép kẻ tấn công tiến hành thực thi mã từ xa trên bộ điều khiển truy cập Nice Linear eMerge E3-Series, đã bị các tác nhân đe dọa khai thác vào đầu tháng 2 năm 2020.
Lỗ hổng, cùng với 11 lỗi khác, đã được Nice (trước đây là Nortek) giải quyết vào đầu tháng này. Điều đó nói rằng, những lỗ hổng này ban đầu được tiết lộ bởi nhà nghiên cứu bảo mật Gjoko Krstic vào tháng 5 năm 2019.
Trước việc khai thác tích cực 3 lỗ hổng, các cơ quan liên bang được yêu cầu áp dụng các biện pháp giảm nhẹ do nhà cung cấp cung cấp trước ngày 15 tháng 4 năm 2024.
Sự phát triển này diễn ra khi CISA và Cục Điều tra Liên bang (FBI) đưa ra một cảnh báo chung, kêu gọi các nhà sản xuất phần mềm thực hiện các bước để giảm thiểu lỗi SQL injection.
Tư vấn đặc biệt nhấn mạnh việc khai thác CVE-2023-34362, một lỗ hổng SQL injection nghiêm trọng trong MOVEit Transfer của Progress Software, bởi băng đảng ransomware Cl0p (hay còn gọi là Lace Tempest) để xâm nhập hàng nghìn tổ chức.
"Mặc dù có kiến thức và tài liệu rộng rãi về các lỗ hổng SQLi trong hai thập kỷ qua, cùng với sự sẵn có của các biện pháp giảm thiểu hiệu quả, các nhà sản xuất phần mềm vẫn tiếp tục phát triển các sản phẩm có lỗi này, khiến nhiều khách hàng gặp rủi ro", các cơ quan cho biết.