De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft donderdag drie beveiligingsfouten toegevoegd aan zijn Known Exploited Vulnerabilities (KEV)-catalogus, gebaseerd op bewijs van actieve uitbuiting in het wild.
De kwetsbaarheden zijn als volgt:
- CVE-2023-36584 (CVSS-score: 5,4) – Microsoft Windows Mark-of-the-Web (MotW) beveiligingsfunctie omzeilt kwetsbaarheid
- CVE-2023-1671 (CVSS-score: 9,8) – Kwetsbaarheid voor opdrachtinjectie in Sophos Web Appliance
- CVE-2023-2551 (CVSS-score: 8,8) – Oracle Fusion Middleware niet-gespecificeerde kwetsbaarheid
CVE-2023-1671 heeft betrekking op een kritieke pre-auth-opdrachtinjectiekwetsbaarheid die de uitvoering van willekeurige code mogelijk maakt. CVE-2023-2551 is een fout in de WLS-kerncomponenten waardoor een niet-geverifieerde aanvaller met netwerktoegang de WebLogic-server kan binnendringen.
Er zijn momenteel geen openbare rapporten waarin aanvallen in het wild worden gedocumenteerd waarbij gebruik wordt gemaakt van de twee tekortkomingen.
Aan de andere kant is de toevoeging van CVE-2023-36584 aan de KEV-catalogus gebaseerd op een rapport van Palo Alto Networks Unit 42 eerder deze week, waarin gedetailleerde spear-phishing-aanvallen werden beschreven van de pro-Russische APT-groep, bekend als Storm-0978. (ook bekend als RomCom of Void Rabisu) gericht op groepen die de toetreding van Oekraïne tot de NAVO in juli 2023 ondersteunen.
CVE-2023-36584, gepatcht door Microsoft als onderdeel van de beveiligingsupdates van oktober 2023, zou naast CVE-2023-36884, een kwetsbaarheid voor het uitvoeren van externe code in Windows die in juli is verholpen, zijn gebruikt in een exploitketen om PEAPOD te leveren, een bijgewerkt versie van RomCom RAT.
In het licht van actieve exploitatie wordt federale agentschappen aanbevolen om de oplossingen vóór 7 december 2023 toe te passen om hun netwerken te beveiligen tegen mogelijke bedreigingen.
Fortinet heeft een kritieke commando-injectiebug in FortiSIEM bekendgemaakt
De ontwikkeling komt op het moment dat Fortinet klanten waarschuwt voor een kritieke kwetsbaarheid voor opdrachtinjectie in de FortiSIEM-rapportserver (CVE-2023-36553, CVSS-score: 9,3) die door aanvallers kan worden misbruikt om willekeurige opdrachten uit te voeren.
CVE-2023-36553 is beschreven als een variant van CVE-2023-34992 (CVSS-score: 9,7), een soortgelijke fout in hetzelfde product die begin oktober 2023 door Fortinet werd verholpen.
“Een onjuiste neutralisatie van speciale elementen die worden gebruikt in een kwetsbaarheid voor OS-opdrachten [CWE-78] in de FortiSIEM-rapportserver kan een niet-geauthenticeerde aanvaller op afstand ongeautoriseerde opdrachten uitvoeren via vervaardigde API-verzoeken”, aldus het bedrijf deze week in een advies.
De kwetsbaarheid, die gevolgen heeft voor FortiSIEM versies 4.7, 4.9, 4.10, 5.0, 5.1, 5.2, 5.3 en 5.4, is opgelost in versies 7.1.0, 7.0.1, 6.7.6, 6.6.4, 6.5.2, 6.4 .3 of hoger.
