De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft meerdere beveiligingsfouten die betrekking hebben op producten van Zyxel, North Grid Proself, ProjectSend en CyberPanel toegevoegd aan zijn Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve uitbuiting in het wild.
De lijst met kwetsbaarheden is als volgt:
- CVE-2024-51378 (CVSS-score: 10,0) – Een kwetsbaarheid voor onjuiste standaardmachtigingen die het omzeilen van de authenticatie en de uitvoering van willekeurige opdrachten mogelijk maakt met behulp van shell-metatekens in de statusfile-eigenschap
- CVE-2023-45727 (CVSS-score: 7,5) – Een onjuiste beperking van de XML External Entity (XXE)-referentiekwetsbaarheid waardoor een externe, niet-geverifieerde aanvaller een XXE-aanval kan uitvoeren
- CVE-2024-11680 (CVSS-score: 9,8) – Een ongepaste authenticatiekwetsbaarheid waardoor een externe, niet-geverifieerde aanvaller accounts kan maken, webshells kan uploaden en kwaadaardig JavaScript kan insluiten
- CVE-2024-11667 (CVSS-score: 7,5) – Een kwetsbaarheid bij het doorlopen van paden in de webbeheerinterface waardoor een aanvaller bestanden kan downloaden of uploaden via een vervaardigde URL
De opname van CVE-2023-45727 in de KEV-catalogus komt in de nasleep van een Trend Micro-rapport uitgebracht op 19 november 2024, waarin de actieve exploitatie ervan werd gekoppeld aan een cyberspionagegroep uit China genaamd Earth Kasha (ook bekend als MirrorFace).
Vorige week onthulde cyberbeveiligingsleverancier VulnCheck dat kwaadwillende actoren al in september 2024 hebben geprobeerd CVE-2024-11680 te bewapenen voor het laten vallen van post-exploitatieladingen.
Het misbruik van CVE-2024-51378 en CVE-2024-11667 wordt daarentegen volgens Censys en Sekoia toegeschreven aan verschillende ransomwarecampagnes zoals PSAUX en Helldown.
De agentschappen van de Federal Civilian Executive Branch (FCEB) wordt aanbevolen om de geïdentificeerde kwetsbaarheden vóór 25 december 2024 te verhelpen om hun netwerken te beveiligen.
Meerdere bugs in IO DATA-routers worden aangevallen
De ontwikkeling komt nadat JPCERT/CC waarschuwde dat drie beveiligingsfouten in de IO DATA-routers UD-LT1 en UD-LT1/EX worden uitgebuit door onbekende bedreigingsactoren.
- CVE-2024-45841 (CVSS-score: 6,5) – Een onjuiste toestemmingstoewijzing voor een kwetsbaarheid in kritieke bronnen, waardoor een aanvaller met gastaccounttoegang gevoelige bestanden kan lezen, inclusief bestanden die inloggegevens bevatten
- CVE-2024-47133 (CVSS-score: 7,2) – Een kwetsbaarheid voor opdrachtinjectie in het besturingssysteem waardoor een ingelogde gebruiker met een beheerdersaccount willekeurige opdrachten kan uitvoeren
- CVE-2024-52564 (CVSS-score: 7,5) – Een opname van een kwetsbaarheid in ongedocumenteerde functies waardoor een aanvaller op afstand de firewallfunctie kan uitschakelen en willekeurige OS-opdrachten kan uitvoeren of de routerconfiguratie kan wijzigen
Hoewel patches voor CVE-2024-52564 beschikbaar zijn gemaakt met firmware Ver2.1.9, worden oplossingen voor de resterende twee tekortkomingen naar verwachting pas op 18 december 2024 (Ver2.2.0) vrijgegeven.
Intussen adviseert het Japanse bedrijf klanten te voorkomen dat het instellingenscherm wordt blootgesteld aan internet door extern beheer uit te schakelen, standaardwachtwoorden voor gastgebruikers te wijzigen en ervoor te zorgen dat beheerderswachtwoorden niet triviaal zijn om te raden.