Cisco, Fortinet en VMware hebben beveiligingsoplossingen uitgebracht voor meerdere beveiligingsproblemen, waaronder kritieke zwakke punten die kunnen worden misbruikt om willekeurige acties uit te voeren op getroffen apparaten.
De eerste reeks van Cisco bestaat uit drie tekortkomingen – CVE-2024-20252 en CVE-2024-20254 (CVSS-score: 9,6) en CVE-2024-20255 (CVSS-score: 8,2) – die van invloed zijn op de Cisco Expressway Series en die een niet-geauthenticeerde, aanvaller op afstand om CSRF-aanvallen (cross-site request forgery) uit te voeren.
Alle problemen die tijdens interne beveiligingstests zijn aangetroffen, komen voort uit onvoldoende CSRF-bescherming voor de webgebaseerde beheerinterface, waardoor een aanvaller willekeurige acties kan uitvoeren met het privilegeniveau van de getroffen gebruiker.
“Als de getroffen gebruiker beheerdersrechten heeft, kunnen deze acties het wijzigen van de systeemconfiguratie en het aanmaken van nieuwe geprivilegieerde accounts omvatten”, zei Cisco over CVE-2024-20252 en CVE-2024-20254.
Aan de andere kant kan een succesvolle exploitatie van CVE-2024-20255, gericht op een gebruiker met beheerdersrechten, de bedreigingsactor in staat stellen de systeemconfiguratie-instellingen te overschrijven, wat resulteert in een denial-of-service (DoS)-toestand.
Een ander cruciaal verschil tussen de twee reeksen fouten is dat, terwijl de eerste twee Cisco Expressway Series-apparaten in de standaardconfiguratie beïnvloeden, CVE-2024-20252 deze alleen beïnvloedt als de clusterdatabase (CDB) API-functie is ingeschakeld. Het is standaard uitgeschakeld.
Patches voor de kwetsbaarheden zijn beschikbaar in Cisco Expressway Series Release-versies 14.3.4 en 15.0.0.
Fortinet heeft op zijn beurt een tweede ronde updates uitgebracht om de bypasses aan te pakken van een eerder bekendgemaakte kritieke fout (CVE-2023-34992, CVSS-score: 9,7) in de FortiSIEM-supervisor die zou kunnen resulteren in de uitvoering van willekeurige code. volgens aan Horizon3.ai-onderzoeker Zach Hanley.
Bijgehouden als CVE-2024-23108 en CVE-2024-23109 (CVSS-scores: 9,8), kunnen de fouten “een niet-geauthenticeerde aanvaller op afstand in staat stellen ongeautoriseerde opdrachten uit te voeren via vervaardigde API-verzoeken.”
Het is vermeldenswaard dat Fortinet een andere variant van CVE-2023-34992 heeft opgelost door CVE-2023-36553 (CVSS-score: 9,3) in november 2023 te sluiten. De twee nieuwe kwetsbaarheden zijn/zullen worden gedicht in de volgende versies:
- FortiSIEM versie 7.1.2 of hoger
- FortiSIEM versie 7.2.0 of hoger (aankomende)
- FortiSIEM versie 7.0.3 of hoger (aankomende)
- FortiSIEM versie 6.7.9 of hoger (binnenkort)
- FortiSIEM versie 6.6.5 of hoger (binnenkort)
- FortiSIEM versie 6.5.3 of hoger (aankomende), en
- FortiSIEM versie 6.4.4 of hoger (binnenkort)
De trifecta wordt compleet gemaakt door VMware, dat heeft gewaarschuwd voor vijf matige tot belangrijke tekortkomingen in Aria Operations for Networks (voorheen vRealize Network Insight) –
- CVE-2024-22237 (CVSS-score: 7,8) – Kwetsbaarheid bij lokale escalatie van bevoegdheden waardoor een consolegebruiker reguliere root-toegang kan verkrijgen
- CVE-2024-22238 (CVSS-score: 6,4) – Cross-site scripting (XSS)-kwetsbaarheid waarmee een kwaadwillende actor met beheerdersrechten kwaadaardige code in gebruikersprofielconfiguraties kan injecteren
- CVE-2024-22239 (CVSS-score: 5,3) – Kwetsbaarheid bij lokale escalatie van bevoegdheden waardoor een consolegebruiker reguliere shell-toegang kan krijgen
- CVE-2024-22240 (CVSS-score: 4,9) – Kwetsbaarheid voor het lezen van lokale bestanden waardoor een kwaadwillende actor met beheerdersrechten toegang krijgt tot gevoelige informatie
- CVE-2024-22241 (CVSS-score: 4,3) – Cross-site scripting (XSS)-kwetsbaarheid waarmee een kwaadwillende actor met beheerdersrechten kwaadaardige code kan injecteren en het gebruikersaccount kan overnemen
Om de risico’s te beperken, wordt alle gebruikers van VMware Aria Operations for Networks versie 6.x aanbevolen om te upgraden naar versie 6.12.0.
Gezien de geschiedenis van exploitatie als het gaat om Cisco-, Fortinet- en VMware-fouten, is patchen een noodzakelijke en cruciale eerste stap die organisaties moeten zetten om de tekortkomingen aan te pakken.
