Công ty an ninh mạng Trend Micro đã phát hành các bản vá và bản sửa lỗi nóng để giải quyết một lỗ hổng bảo mật nghiêm trọng trong các giải pháp Apex One và Worry-Free Business Security dành cho Windows vốn đã bị khai thác tích cực trong các cuộc tấn công trong thế giới thực.
Được theo dõi là CVE-2023-41179 (điểm CVSS: 9.1), nó liên quan đến mô-đun gỡ cài đặt phần mềm chống vi-rút của bên thứ ba đi kèm với phần mềm. Danh sách đầy đủ các sản phẩm bị ảnh hưởng như sau -
- Apex One - phiên bản 2019 (tại chỗ), đã sửa trong SP1 Patch 1 (B12380)
- Apex One dưới dạng Dịch vụ - đã được sửa trong SP1 Patch 1 (B12380) và phiên bản Đại lý 14.0.12637
- Bảo mật doanh nghiệp không lo lắng - phiên bản 10.0 SP1, đã sửa trong 10.0 SP1 Patch 2495
- Dịch vụ bảo mật doanh nghiệp không cần lo lắng - đã được sửa vào ngày 31 tháng 7 năm 2023, Bản phát hành bảo trì hàng tháng
Trend Micro cho biết việc khai thác thành công lỗ hổng có thể cho phép kẻ tấn công thao túng thành phần này để thực thi các lệnh tùy ý trên bản cài đặt bị ảnh hưởng. Tuy nhiên, nó yêu cầu đối thủ phải có quyền truy cập bảng điều khiển quản trị trên hệ thống đích.
Công ty cũng cảnh báo rằng họ đã "quan sát thấy ít nhất một nỗ lực tích cực nhằm khai thác lỗ hổng này trong thực tế", điều quan trọng là người dùng phải nhanh chóng áp dụng các bản vá.
Để khắc phục, chúng tôi khuyên khách hàng nên giới hạn quyền truy cập vào bảng điều khiển quản trị của sản phẩm ở các mạng đáng tin cậy.
CISA bổ sung 9 lỗ hổng vào danh mục KEV#
Sự phát triển này diễn ra khi Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) bổ sung 9 lỗ hổng vào danh mục Các lỗ hổng bị khai thác đã biết ( KEV ), trích dẫn bằng chứng về việc khai thác tích cực ngoài tự nhiên –
- CVE-2014-8361 (điểm CVSS: N/A) - Lỗ hổng xác thực đầu vào không đúng cách của Realtek SDK
- CVE-2017-6884 (điểm CVSS: 8,8) - Lỗ hổng chèn lệnh trên bộ định tuyến Zyxel EMG2926
- CVE-2021-3129 (điểm CVSS: 9,8) - Lỗ hổng tải lên tệp đánh lửa của Laravel
- CVE-2022-22265 (điểm CVSS: 7.8) - Lỗ hổng bảo mật khi sử dụng trên thiết bị di động Samsung
- CVE-2022-31459 (điểm CVSS: 6.5) - Lỗ hổng sức mạnh mã hóa không đầy đủ của Owl Labs Meet Owl
- CVE-2022-31461 (điểm CVSS: 6,5) - Owl Labs Meet Owl Thiếu xác thực do lỗ hổng chức năng quan trọng
- CVE-2022-31462 (điểm CVSS: 8.8) - Cú sử dụng lỗ hổng thông tin xác thực được mã hóa cứng của Owl Labs
- CVE-2022-31463 (điểm CVSS: 7.1) - Lỗ hổng xác thực không đúng cách của Owl Labs Meet Owl
- CVE-2023-28434 (điểm CVSS: 8.8) - Lỗ hổng vượt qua tính năng bảo mật của MinIO
Điều đáng chú ý là lỗ hổng thứ năm ảnh hưởng đến Owl Labs Meet Owl (CVE-2022-31460, điểm CVSS: 7.4), một trường hợp thông tin xác thực được mã hóa cứng, trước đây đã được thêm vào danh mục KEV vào ngày 8 tháng 6 năm 2022, chỉ vài ngày sau Modzero. tiết lộ chi tiết về các sai sót.
Công ty tư vấn bảo mật Thụy Sĩ cho biết vào thời điểm đó: “Bằng cách khai thác các lỗ hổng[...], kẻ tấn công có thể tìm thấy các thiết bị đã đăng ký, dữ liệu của chúng và chủ sở hữu từ khắp nơi trên thế giới”.
"Những kẻ tấn công cũng có thể truy cập vào ảnh chụp màn hình bí mật của bảng trắng hoặc sử dụng Owl để truy cập vào mạng của chủ sở hữu. Tính năng bảo vệ mã PIN, bảo vệ Owl khỏi việc sử dụng trái phép, có thể bị kẻ tấn công vượt qua bằng (ít nhất) bốn cách tiếp cận khác nhau."
Rắc rối hơn nữa, các thiết bị này có thể bị người dùng tùy ý biến thành cổng mạng không dây giả mạo dẫn đến mạng công ty cục bộ từ xa thông qua Bluetooth và có thể bị lạm dụng để hoạt động như một cửa sau vào mạng cục bộ của chủ sở hữu. Hiện tại vẫn chưa biết những lỗ hổng này được khai thác ngoài tự nhiên như thế nào.
Điểm yếu về bảo mật ảnh hưởng đến MinIO đã bị lạm dụng trong những tháng gần đây, với Security Joes tiết lộ trong tháng này rằng một kẻ đe dọa giấu tên đang khai thác nó cùng với CVE-2023-28432 (điểm CVSS: 7.5) để thực thi mã trái phép trên các máy chủ nhạy cảm và bỏ tải trọng tiếp theo.