Američka agencija za kibernetičku i infrastrukturnu bezbjednost (CISA) u petak je dodala pet bezbjednosnih propusta u svoj katalog poznatih eksploatiranih ranjivosti (KEV), navodeći dokaze o aktivnoj eksploataciji u divljini.
Ovo uključuje tri velike greške u softveru Veritas Backup Exec Agent (CVE-2021-27876, CVE-2021-27877 i CVE-2021-27878) koje mogu dovesti do izvršavanja privilegovanih komandi na osnovnom sistemu. Nedostaci su ispravljeni u zakrpi koju je Veritas objavio u martu 2021. godine.
- CVE-2021-27876 (CVSS rezultat: 8,1) – Ranjivost pristupa datotekama Veritas Backup Exec Agenta
- CVE-2021-27877 (CVSS rezultat: 8,2) – Veritas Backup Exec Agent nepravilna ranjivost autentifikacije
- CVE-2021-27878 (CVSS rezultat: 8,8) – Ranjivost Veritas Backup Exec Agent Command Execution-a
Mandiant, u vlasništvu Google-a, u izvještaju objavljenom prošle sedmice, otkrio je da podružnica povezana s operacijom ransomware-a BlackCat (aka ALPHV i Noberus) cilja na javno izložene Veritas Backup Exec instalacije kako bi dobio početni pristup korištenjem gore spomenute tri greške.
Firma za obavještavanje o pretnjama, koja prati pridruženog aktera pod svojim nekategorisanim imenom UNC4466, rekla je da je prvi put uočila iskorištavanje nedostataka u divljini 22. oktobra 2022. godine.
U jednom incidentu koji je Mandiant detaljno opisao, UNC4466 je dobio pristup Windows serveru izloženom internetu, nakon čega je izvršio niz radnji koje su omogućile napadaču da implementira Rust bazirani ransomware payload, ali ne prije izviđanja, eskalacije privilegija i onemogućavanja mogućnosti praćenja u realnom vremenu Microsoft Defender-a.
CISA je takođe dodala KEV katalogu CVE-2019-1388 (CVSS rezultat: 7,8) grešku u eskalaciji privilegija koja utiče na dijalog Microsoft Windows sertifikata koji bi se mogao iskoristiti za pokretanje procesa sa povišenim dozvolama na već kompromitovanom hostu.
Peta ranjivost uključena na listu je greška u otkrivanju informacija u upravljačkom programu Arm Mali GPU kernel (CVE-2023-26083) koju je Google-ova grupa za analizu pretnji (TAG) prošlog mjeseca otkrila kao zloupotrebu od strane neimenovanog dobavljača špijunskog softvera kao dio eksploatacije lanca za probijanje u Samsung-ove Android pametne telefone.
Federalne civilne izvršne agencije (FCEB) imaju vremena do 28. aprila da primjene zakrpe kako bi osigurale svoje mreže od potencijalnih pretnji.
Upozorenje dolazi i nakon što je Apple objavio ažuriranja za iOS, iPadOS, macOS i Safari web pretraživač kako bi se riješio par Zero Day nedostataka (CVE-2023-28205 i CVE-2023-28206) za koje je rekao da su iskorišteni u realnim napadima.
Izvor: The Hacker News
