De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft maandag drie beveiligingsfouten in zijn Known Exploited Vulnerabilities (KEV)-catalogus geplaatst, daarbij verwijzend naar bewijs van actieve uitbuiting.
De toegevoegde kwetsbaarheden zijn als volgt:
- CVE-2023-48788 (CVSS-score: 9,3) – Fortinet FortiClient EMS SQL-injectiekwetsbaarheid
- CVE-2021-44529 (CVSS-score: 9,8) – Beveiligingslek met betrekking tot code-injectie in Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA)
- CVE-2019-7256 (CVSS-score: 10,0) – Nice Linear eMerge E3-Series OS Command Injection-kwetsbaarheid
De tekortkoming die van invloed was op Fortinet FortiClient EMS kwam eerder deze maand aan het licht, waarbij het bedrijf het omschreef als een fout waardoor een niet-geverifieerde aanvaller ongeautoriseerde code of opdrachten zou kunnen uitvoeren via specifiek vervaardigde verzoeken.
Fortinet heeft sindsdien zijn advies herzien om te bevestigen dat het in het wild is uitgebuit, hoewel er momenteel geen andere details over de aard van de aanvallen beschikbaar zijn.
CVE-2021-44529 betreft daarentegen een kwetsbaarheid voor code-injectie in Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA) waardoor een niet-geverifieerde gebruiker kwaadaardige code kan uitvoeren met beperkte machtigingen.
Recent onderzoek gepubliceerd door beveiligingsonderzoeker Ron Bowes geeft aan dat de fout mogelijk is geïntroduceerd als een opzettelijke achterdeur in een inmiddels stopgezet open-sourceproject genaamd csrf-magic dat minstens sinds 2014 bestond.
CVE-2019-7256, waarmee een aanvaller op afstand code kan uitvoeren op toegangscontrollers uit de Nice Linear eMerge E3-serie, is al in februari 2020 misbruikt door bedreigingsactoren.
De fout werd, samen met elf andere bugs, eerder deze maand verholpen door Nice (voorheen Nortek). Dat gezegd hebbende, werden deze kwetsbaarheden oorspronkelijk in mei 2019 onthuld door beveiligingsonderzoeker Gjoko Krstic.
In het licht van de actieve exploitatie van de drie tekortkomingen zijn federale instanties verplicht om de door de leverancier verstrekte maatregelen uiterlijk op 15 april 2024 toe te passen.
De ontwikkeling komt op het moment dat CISA en het Federal Bureau of Investigation (FBI) een gezamenlijke waarschuwing hebben uitgebracht, waarin softwarefabrikanten worden aangespoord stappen te ondernemen om fouten in SQL-injectie te beperken.
Het advies benadrukte specifiek de exploitatie van CVE-2023-34362, een kritieke SQL-injectiekwetsbaarheid in MOVEit Transfer van Progress Software, door de Cl0p-ransomwarebende (ook bekend als Lace Tempest) om duizenden organisaties te overvallen.
“Ondanks de wijdverspreide kennis en documentatie van SQLi-kwetsbaarheden in de afgelopen twintig jaar, samen met de beschikbaarheid van effectieve oplossingen, blijven softwarefabrikanten producten met dit defect ontwikkelen, waardoor veel klanten gevaar lopen”, aldus de agentschappen.
