Američka agencija za sajber bezbjednost CISA u srijedu je upozorila da je nedavna apsolutna ranjivost putanje u Nakivo Backup and Replication softveru već iskorišćena u praksi.
Problem, koji je evidentiran pod oznakom CVE-2024-48248 i ocijenjen CVSS ocjenom 8,6, predstavlja ranjivost visokog rizika. Prema izvještaju NIST-a, napadači bi mogli iskoristiti ovu grešku za daljinsko izvršavanje proizvoljnog koda unutar poslovnih sistema.,
“Ova ranjivost omogućava napadačima da čitaju proizvoljne fajlove na pogođenom sistemu bez autentifikacije. Iskorišćavanjem ove slabosti mogu se izložiti osjetljivi podaci, uključujući konfiguracione fajlove, sigurnosne kopije i akreditive, što potencijalno može dovesti do curenja podataka ili daljih bezbjednosnih kompromitacija,” navodi Nakivo u svom saopštenju.
Krajem februara, sajber bezbjednosna firma watchTowr, koja je prijavila ovaj propust, objavila je tehnički izvještaj objašnjavajući kako je otkrivena ranjivost i na koji način im je omogućila pristup bilo kom fajlu na serveru, uključujući akreditive korišćene u Nakivo rješenju za pravljenje sigurnosnih kopija i oporavak od katastrofa.
Kako ovaj proizvod podržava širok spektar integracija unutar organizacionih okruženja, uključujući cloud servise, greška bi potencijalno mogla omogućiti napadačima pristup “čitavoj infrastrukturi organizacije”, navodi watchTowr.
Sajber bezbjednosna firma je prijavila propust u septembru 2024. godine, a potvrdu o grešci dobila je krajem oktobra. Nakivo je tiho ispravio ovaj bezbjednosni propust u novembru, u verziji 11.0.0.88174, ne pominjući CVE-2024-48248 u svojim bilješkama o verziji.
Nakivo je od tada ažurirao bilješke o verziji kako bi referencirao ranjivost, a 6. marta objavio je svoje zvanično saopštenje. Ipak, watchTowr tvrdi da su dobili CVE oznaku za ovu ranjivost još 18. oktobra.
Takođe, 6. marta organizacija Plugin Vulnerabilities prijavila je da MITRE CVE Program unos za CVE-2024-48248 i dalje nije popunjen, dok su prvi pokušaji eksploatacije ove greške primijećeni u realnim uslovima.
CISA apeluje na hitnu primjenu zakrpa
U srijedu, CISA je dodala ovaj problem u svoj katalog poznatih iskorišćenih ranjivosti (KEV) i pozvala federalne agencije da primijene dostupne zakrpe najkasnije do 9. aprila, u skladu sa Direktivom o obaveznim operativnim procedurama (BOD) 22-01.
Agencija je takođe upozorila na aktivno iskorišćavanje ranjivosti CVE-2025-1316, neispravljene greške u Edimax kamerama koja se koristi kao zero-day od najmanje maja 2024. godine, kao i ranjivosti CVE-2017-12637, propusta u SAP NetWeaver sistemu koji je iskorišćavan od avgusta 2017. godine.
Iako BOD 22-01 važi samo za federalne agencije, svim organizacijama se preporučuje da identifikuju proizvode pogođene bezbjednosnim propustima iz CISA KEV liste i primijene dostupne mjere zaštite što je prije moguće.
Izvor: SecurityWeek
