De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft federale agentschappen en organisaties een deadline van 17 november 2023 gegeven om maatregelen toe te passen ter bescherming tegen een aantal beveiligingsfouten in het Juniper Junos OS die in augustus aan het licht kwamen.
Het bureau heeft maandag vijf kwetsbaarheden toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, gebaseerd op bewijs van actieve exploitatie –
- CVE-2023-36844 (CVSS-score: 5,3) – Juniper Junos OS EX-serie PHP-kwetsbaarheid voor wijziging van externe variabelen
- CVE-2023-36845 (CVSS-score: 5,3) – Juniper Junos OS EX-serie en SRX-serie PHP-kwetsbaarheid voor externe variabelewijziging
- CVE-2023-36846 (CVSS-score: 5,3) – Juniper Junos OS SRX-serie ontbreekt authenticatie vanwege kwetsbaarheid voor kritieke functies
- CVE-2023-36847 (CVSS-score: 5,3) – Juniper Junos OS EX-serie ontbreekt authenticatie vanwege kwetsbaarheid voor kritieke functies
- CVE-2023-36851 (CVSS-score: 5,3) – Juniper Junos OS SRX-serie ontbreekt authenticatie vanwege kwetsbaarheid voor kritieke functies
De kwetsbaarheden zouden volgens Juniper kunnen worden omgezet in een exploit-keten om code-uitvoering op afstand op niet-gepatchte apparaten mogelijk te maken. Ook toegevoegd aan de lijst is CVE-2023-36851, dat is beschreven als een variant van de SRX-uploadfout.
Juniper zei in een update van zijn advies op 8 november 2023 dat het “nu op de hoogte is van de succesvolle exploitatie van deze kwetsbaarheden”, en adviseert klanten met onmiddellijke ingang te updaten naar de nieuwste versies.
De details rond de aard van de exploitatie zijn momenteel onbekend.
In een afzonderlijke waarschuwing heeft CISA ook gewaarschuwd dat de Royal-ransomwarebende de naam BlackSuit zou kunnen veranderen vanwege het feit dat laatstgenoemde een “aantal geïdentificeerde coderingskenmerken deelt die vergelijkbaar zijn met Royal.”
De ontwikkeling komt op het moment dat Cyfirma bekendmaakte dat exploits voor kritieke kwetsbaarheden te koop worden aangeboden op darknet-forums en Telegram-kanalen.
“Deze kwetsbaarheden omvatten misbruik van privileges, het omzeilen van authenticatie, SQL-injectie en het uitvoeren van code op afstand, wat aanzienlijke veiligheidsrisico’s met zich meebrengt”, aldus het cyberbeveiligingsbedrijf, eraan toevoegend: “ransomwaregroepen zijn actief op zoek naar zero-day kwetsbaarheden in ondergrondse fora om een grote aantal slachtoffers.”
Het volgt ook op onthullingen van Huntress dat bedreigingsactoren zich op meerdere gezondheidszorgorganisaties richten door misbruik te maken van de veelgebruikte ScreenConnect-tool voor externe toegang die wordt gebruikt door Transaction Data Systems, een softwareleverancier voor apotheekbeheer, voor initiële toegang.
“De bedreigingsacteur ondernam vervolgens verschillende stappen, waaronder het installeren van extra tools voor externe toegang, zoals ScreenConnect of AnyDesk-instanties, om permanente toegang tot de omgevingen te garanderen”, aldus Huntress.
