CISA dringt er bij agentschappen op aan om kritieke ‘array-netwerken’ te repareren te midden van actieve aanvallen

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft maandag een inmiddels gepatchte kritieke beveiligingsfout die van invloed is op de beveiligde toegangsgateways van Array Networks AG en vxAG toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus na meldingen van actieve exploitatie in het wild.

De kwetsbaarheid, bijgehouden als CVE-2023-28461 (CVSS-score: 9,8), betreft een geval van ontbrekende authenticatie die kan worden misbruikt om op afstand willekeurige code uit te voeren. Oplossingen (versie 9.4.0.484) voor de tekortkoming in de beveiliging zijn in maart 2023 uitgebracht door de leverancier van netwerkhardware.

“De kwetsbaarheid voor het uitvoeren van externe code door Array AG/vxAG is een kwetsbaarheid in de webbeveiliging waarmee een aanvaller zonder authenticatie door het bestandssysteem kan bladeren of externe code kan uitvoeren op de SSL VPN-gateway met behulp van het flags-attribuut in de HTTP-header”, aldus Array Networks. “Het product kan worden misbruikt via een kwetsbare URL.”

De opname in de KEV-catalogus komt kort nadat cyberbeveiligingsbedrijf Trend Micro onthulde dat een aan China gelieerde cyberspionagegroep genaamd Earth Kasha (ook bekend als MirrorFace) beveiligingsfouten heeft uitgebuit in openbare bedrijfsproducten, zoals Array AG (CVE-2023-28461). ), Proself (CVE-2023-45727) en Fortinet FortiOS/FortiProxy (CVE-2023-27997), voor initiële toegang.

Earth Kasha staat bekend om zijn uitgebreide aanvallen op Japanse entiteiten, hoewel er de afgelopen jaren ook is waargenomen dat het Taiwan, India en Europa aanviel.

Eerder deze maand maakte ESET ook een Earth Kasha-campagne bekend die zich richtte op een niet bij naam genoemde diplomatieke entiteit in de Europese Unie om een ​​achterdeur, bekend als ANEL, te creëren door deze als lokmiddel te gebruiken voor de komende Wereldtentoonstelling 2025 die gepland staat in Osaka, Japan. vanaf april 2025.

In het licht van actieve exploitatie wordt FCEB-agentschappen (Federal Civilian Executive Branch) aanbevolen om de patches uiterlijk 16 december 2024 toe te passen om hun netwerken te beveiligen.

De onthulling komt omdat 15 verschillende Chinese hackgroepen van de in totaal 60 genoemde bedreigingsactoren in verband zijn gebracht met het misbruik van ten minste één van de top 15 routinematig uitgebuite kwetsbaarheden in 2023, volgens VulnCheck.

Het cyberbeveiligingsbedrijf zei dat het meer dan 440.000 aan internet blootgestelde hosts heeft geïdentificeerd die potentieel vatbaar zijn voor aanvallen.

“Organisaties moeten hun blootstelling aan deze technologieën evalueren, de zichtbaarheid van potentiële risico’s vergroten, robuuste bedreigingsinformatie benutten, sterke patchbeheerpraktijken handhaven en mitigerende controles implementeren, zoals het waar mogelijk minimaliseren van de blootstelling van deze apparaten aan internet”, zegt Patrick Garrity van VulnCheck. .

Thijs Van der Does