CVE
Thông tin điểm yếu, lỗ hổng - Tuần 4 - Tháng 7 - 2023
date
Jul 24, 2023
slug
cve-tuan-4-thang-7-nam-2023
author
status
Public
tags
CVE
Blog
Daily
Malware
summary
CVE tuần 4 tháng 7 - 2023
type
Post
thumbnail
.jpg?table=block&id=6eb2222d-9e89-4dcb-b09b-cc26a7452565&cache=v2)
category
CVE
updatedAt
Aug 17, 2023 07:06 AM
Thông tin điểm yếu, lỗ hổng
Sản phẩm/ Dịch vụ | Mã lỗi | Mô tả | Link tham khảo | Ghi chú |
Apple | CVE-2023-38606 | Lỗ hổng CVE-2023-38606, nằm trong nhân (kernel) của hệ điều hành, cho phép ứng dụng độc hại có thể chỉnh sửa trạng thái nhạy cảm của kernel. Hãng đã xử lý bằng cách cải thiện quá trình quản lý trạng thái này.
CVE-2023-38606 là lỗ hổng thứ 3 được phát hiện có mối liên hệ với chiến dịch Triangulation, một chiến dịch gián điệp mạng tinh vi trên điện thoại nhắm vào các thiết bị iOS kể từ năm 2019 qua chuỗi khai thác zero-day.
Apple cũng đã phải vá hai lỗ hổng zero-day khác là CVE-2023-32434 and CVE-2023-32435 có thể dẫn đến thực thi mã tùy ý trên các thiết bị bị ảnh hưởng. | Bản vá được cập nhật trên hệ điều hành và các thiết bị sau:
• iOS 16.6 và iPadOS 16.6 dành cho các dòng từ iPhone 8 trở lên, tất cả các dòng iPad Pro, iPad Air thế hệ thứ 3 trở lên, iPad thế hệ thứ 5 trở lên, iPad mini từ thế hệ thứ 5
• iOS 15.7.8 và iPadOS 15.7.8: trên các dòng điện thoại iPhone 6s, iPhone 7, iPhone SE (thế hệ đầu tiên), iPad Air 2, iPad mini (thế hệ thứ 4) và dòng máy nghe nhạc iPod touch (thế hệ 7)
• macOS Ventura 13.5, macOS Monterey 12.6.8, và macOS Big Sur 11.7.9
• tvOS 16.6 dành cho tivi của Apple TV 4K (tất cả các dòng) và Apple TV HD
• watchOS 9.6: cho các dòng Apple Watch Series 4 trở lên | |
Windows Atera | CVE-2023-26077
CVE-2023-26078 | Các lỗ hổng zero-day trong trình cài đặt Windows Installer (MSI) dành cho phần mềm quản lý và giám sát từ xa Atera có thể bị lợi dụng làm bàn đạp để phát động các cuộc tấn công leo thang đặc quyền.
Các lỗ hổng được công ty Mandiant phát hiện vào ngày 28 tháng 2 năm 2023 có mã định danh CVE-2023-26077 và CVE-2023-26078 đều nằm trong chức năng sửa chữa của trình cài đặt MSI, có thể tạo ra kịch bản để kích hoạt tài khoản NT AUTHORITY\SYSTEM (có quyền truy cập không giới hạn vào tài nguyên cục bộ) kể cả khi chúng được tạo bởi người dùng tiêu chuẩn.
Khai thác thành công các lỗ hổng có thể mở đường để thực thi mã tùy ý với đặc quyền nâng cao.
- Với CVE-2023-26077, Atera Agent dễ bị tấn công leo thang đặc quyền cục bộ khi có thể bị khai thác bằng cách tấn công chiếm quyền điều khiển DLL (DLL hijacking) từ đó bị lạm dụng để thực hiện lệnh “Command Prompt” với vai trò NT AUTHORITY\SYSTEM.
Lỗ hổng được Atera vá trong phiên bản 1.8.3.7 ngày 17/04/2023.
- CVE-2023-26078 liên quan đến thực thi các lệnh hệ thống (system command) nhằm kích hoạt Windows Console Host (conhost.exe) dưới dạng một tiến trình con cho phép gọi “cmd” nếu được thực thi với các đặc quyền nâng cao. Lỗ hổng được vá trong phiên bản 1.8.49
Việc cấu hình sai khi phần mềm đang chạy dưới quyền NT AUTHORITY\SYSTEM sẽ cho phép những kẻ tấn công có thể khai thác và thực hiện các cuộc tấn công leo thang đặc quyền cục bộ. | Các nhà phát triển phần mềm là phải xem xét cẩn thận các cài đặt để ngăn chặn những cuộc tấn công tương tự trong quá trình sửa chữa của MSI. | |
VMware Tanzu Application Service for VMs (TAS for VMs) và Isolation Segment | CVE-2023-20891 | VMware đã vá một lỗ hổng tiết lộ thông tin trong TAS for VMs và Isolation Segment do thông tin đăng nhập được ghi lại và tiết lộ qua nhật ký kiểm tra hệ thống.
TAS for VMs giúp các doanh nghiệp tự động triển khai ứng dụng trên nhiều môi trường, bao gồm trên cơ sở hoặc trên đám mây công cộng và riêng tư (ví dụ như vSphere, AWS, Azure, GCP, OpenStack).
- CVE-2023-20891 cho phép kẻ tấn công từ xa có đặc quyền thấp truy cập vào các thông tin đăng nhập quản trị Cloud Foundry API trên các hệ thống chưa được vá lỗi, thông qua các cuộc tấn công đơn giản mà không yêu cầu tương tác của người dùng.
Những kẻ tấn công khai thác lỗ hổng này có thể sử dụng thông tin đăng nhập đã đánh cắp để đưa các phiên bản ứng dụng độc hại vào hệ thống.
Các phiên bản TAS for VMs chưa được vá lỗi, các thông tin đăng nhập quản trị CF API được mã hóa theo dạng hex và được ghi vào nhật ký kiểm tra hệ thống của nền tảng. Người dùng bình thường không có quyền truy cập vào nhật ký kiểm tra hệ thống trong cấu hình triển khai tiêu chuẩn. | Tất cả người dùng TAS for VMs bị ảnh hưởng bởi CVE-2023-20891 thay đổi thông tin đăng nhập quản trị CF API để đảm bảo kẻ tấn công không thể sử dụng bất kỳ mật khẩu đã bị rò rỉ nào.
Thay đổi thông tin đăng nhập quản trị tài khoản người dùng và xác thực (UAA) Cloud Foundry | |
Ubuntu Linux kernel | CVE-2023-2640 (CVSS v3: 7,8)
CVE-2023-32629 (CVSS v3: 5,4) | CVE-2023-2640 là một lỗ hổng có mức độ nghiêm trọng cao trong Ubuntu Linux kernel do kiểm tra quyền không đầy đủ, cho phép kẻ tấn công cục bộ có được các đặc quyền nâng cao.
CVE-2023-32629 là một lỗ hổng có mức độ nghiêm trọng trung bình trong hệ thống con quản lý bộ nhớ nhân Linux, khi truy cập VMA có thể dẫn đến tình trạng sử dụng miễn phí, cho phép kẻ tấn công cục bộ thực hiện mã tùy ý chấp hành.
Phát hiện ra sự khác biệt trong việc triển khai mô-đun OverlayFS trên nhân Linux.
- OverlayFS là một triển khai hệ thống tập tin gắn kết liên kết đã bị các tác nhân đe dọa nhắm mục tiêu nhiều lần trong quá khứ do cho phép truy cập không có đặc quyền thông qua không gian tên người dùng và bị cản trở bởi các lỗi dễ khai thác.
Ubuntu, là một trong những bản phân phối sử dụng OverlayFS, đã triển khai các thay đổi tùy chỉnh cho mô-đun OverlayFS của nó vào năm 2018, nhìn chung là an toàn.
“Cả hai lỗ hổng đều là duy nhất đối với nhân Ubuntu vì chúng bắt nguồn từ những thay đổi riêng lẻ của Ubuntu đối với mô-đun OverlayFS”.
"Các khai thác được vũ khí hóa cho các lỗ hổng này đã có sẵn công khai do các khai thác cũ cho các lỗ hổng OverlayFS trước đây hoạt động ngay lập tức mà không có bất kỳ thay đổi nào."
-> hai lỗ hổng được đánh dấu chỉ ảnh hưởng đến Ubuntu và bất kỳ bản phân phối Linux nào khác, bao gồm cả các nhánh của Ubuntu, không sử dụng các sửa đổi tùy chỉnh của mô-đun OverlayFS đều an toàn. | Người dùng không biết cách cài đặt lại và kích hoạt các module kernel của bên thứ ba nên thực hiện cập nhật thông qua trình quản lý gói của họ, trình quản lý này sẽ xử lý tất cả các phụ thuộc và cấu hình sau khi cài đặt.
Cần phải khởi động lại sau khi cài đặt các bản cập nhật để bản cập nhật nhân Linux có hiệu lực trên Ubuntu. | |
MikroTik RouterOS | CVE-2023-30799 (CVSS 9,1) | Bộ định tuyến MikroTik chạy trên hệ điều hành riêng MikroTik RouterOS. Người dùng khi sử dụng có thể truy cập trang quản trị trên cả giao diện web HTTP hoặc ứng dụng tên là Winbox để tạo, cấu hình và quản lý một mạng LAN hoặc WAN.
Tài khoản truy cập ban đầu nhà sản xuất sẽ để là “admin” và một mật khẩu mặc định cho phần lớn các sản phẩm. Đây chính là rủi ro dẫn đến thiết bị dễ bị tấn công.
Lỗ hổng cho phép kẻ tấn công đã được xác thực có thể leo thang đặc quyền từ “admin” lên “super admin” để thực thi mã tùy ý và chiếm toàn quyền kiểm soát các thiết bị và biến chúng thành các botnet để phục vụ các cuộc tấn công DDoS.
Thói quen của người dùng khi mua thiết bị về thường bỏ qua những khuyến cáo về an toàn của nhà sản xuất và “quên” đổi mật khẩu mặc định của thiết bị.
VulnCheck: có đến 60% thiết bị MikroTik hiện vẫn sử dụng tài khoản admin mặc định. Nhưng kể cả khi người dùng đã thực hiện đổi mật thì vẫn còn những nguy cơ khác từ nhà sản xuất.
MikroTik không trang bị bất kỳ giải pháp an ninh nào chống lại các cuộc tấn công brute-force trên hệ điều hành MikroTik RouterOS. Tin tặc có thể sử dụng các công cụ để dò tên người dùng và mật khẩu truy cập mà không hề bị ngăn chặn.
RouterOS không yêu cầu mật khẩu mạnh, vì vậy người dùng có thể đặt tùy theo ý muốn dẫn đến việc tấn công brute-force càng dễ dàng hơn. | Trên thế giới số lượng bộ định tuyến MikroTik đang tiếp xúc với Internet có nguy cơ bị khai thác qua HTTP và Winbox lần lượt là 500.000 và 900.000 thiết bị. Tại Việt Nam được ghi nhận hơn 9.500 thiết bị sử dụng trang quản trị qua HTTP và 23.000 thiết bị qua Winbox.
Người dùng nên cập nhật lên phiên bản mới nhất cho RouterOS, xóa giao diện quản trị khỏi Internet, hạn chế địa chỉ IP đăng nhập trong danh sách cho phép đã xác định, vô hiệu hóa Winbox và chỉ sử dụng SSH, định cấu hình SSH để sử dụng khóa chung/riêng thay vì mật khẩu. | |
Apache Jackrabbit | CVE-2023-37895 | Apache Jackrabbit - hệ thống lưu trữ nội dung mã nguồn mở dành cho nền tảng Java.
Apache Jackrabbit là một loạt công cụ phát triển phần mềm theo chuẩn Content Repository for Java Technology API (JCR), cho phép lưu trữ và quản lý các loại nội dung khác nhau trong một kho dữ liệu.Nó gồm nhiều tính năng và được sử dụng rộng rãi trong các hệ thống quản lý nội dung web, hệ thống quản lý tài liệu, hệ thống quản lý nội dung doanh nghiệp,...
Lỗ hổng CVE-2023-37895 cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng bằng cách khai thác lỗi Java deserialization trong RMI.
CVE-2023-37895 là lỗ hổng thực thi mã từ xa (RCE) thông qua việc khai thác giao diện Remote Method Invocation (RMI) trong Jackrabbit. Lỗ hổng được đánh giá nghiêm trọng, ảnh hưởng đến các phiên bản Apache Jackrabbit Webapp và Standalone từ 1.0.0 đến 2.21.18.
Nguyên nhân do vấn đề về giải mã đối tượng Java (Java object deserialization) tồn tại trên tất cả các nền tảng của phiên bản Jackrabbit Webapp và Standalone trước 2.20.10 và 2.21.17. Việc khai thác CVE-2023-37895 liên quan đến thành phần "commons-beanutils" có chứa một lớp dễ bị tấn công từ xa thông qua RMI. | Jackrabbit khuyến cáo người dùng lập tức cập nhật lên phiên bản 2.20.11 hoặc 2.21.18 để giải quyết lỗ hổng. Các phiên bản cũ hơn không còn được hỗ trợ và sẽ không nhận bản cập nhật mới (đã kết thúc vòng đời).
Việc vô hiệu hóa RMI trên máy chủ là điều cần thiết để ngăn chặn các rủi ro an ninh mạng. | |
plugin WordPress Ninja Forms | 2CVE-2023-37979
CVE-2023-38393 CVE-2023-38386 | Plugin xây dựng biểu mẫu WordPress Ninja Forms chứa ba lỗ hổng có thể cho phép kẻ tấn công leo thang đặc quyền và đánh cắp dữ liệu người dùng.
2CVE-2023-37979 , một lỗ hổng reflected XSS dựa trên POST cho phép người dùng không được xác thực leo thang đặc quyền của họ và đánh cắp thông tin bằng cách lừa người dùng có đặc quyền truy cập vào một trang web được tạo đặc biệt.
CVE-2023-38393 và CVE-2023-38386 , là các sự cố kiểm soát quyền truy cập bị hỏng trên tính năng xuất gửi biểu mẫu của plugin, cho phép Subscribers và Contributors xuất tất cả dữ liệu mà người dùng đã gửi trên trang web WordPress bị ảnh hưởng.
CVE-2023-38393 đặc biệt nguy hiểm vì người dùng có quyền Subscriber bắt buộc rất dễ gặp phải.
Bất kỳ trang web nào hỗ trợ đăng ký thành viên và người dùng sẽ dễ bị sự cố vi phạm dữ liệu lớn do lỗ hổng đó nếu sử dụng phiên bản plugin Ninja Forms dễ bị tấn công. | Các bản vá được nhà cung cấp áp dụng trong phiên bản 3.6.26 bao gồm thêm kiểm tra quyền cho các sự cố kiểm soát truy cập bị hỏng và các hạn chế truy cập chức năng ngăn kích hoạt XSS đã xác định.
Quản trị viên trang web sử dụng plugin Ninja Forms được khuyến nghị cập nhật lên phiên bản 3.6.26 trở lên càng sớm càng tốt. Nếu không thể, quản trị viên nên tắt plugin khỏi trang web của họ cho đến khi họ có thể áp dụng bản vá. | |
Zimbra Collaboration Suite (ZCS) email server | CVE-2023-38750 | Hai tuần sau tiết lộ ban đầu, Zimbra đã phát hành các bản cập nhật bảo mật vá lỗ hổng zero-day bị khai thác trong các cuộc tấn công nhắm vào máy chủ email Zimbra Collaboration Suite (ZCS).
CVE-2023-38750 , lỗ hổng bảo mật là Cross-Site Scripting (XSS) . Các cuộc tấn công XSS cho phép các tác nhân đe dọa đánh cắp thông tin nhạy cảm hoặc thực thi mã độc hại trên các hệ thống dễ bị tấn công. | Zimbra đã phát hành ZCS 10.0.2 , một phiên bản cũng sửa lỗi CVE-2023-38750, có thể dẫn đến việc hiển thị các tệp JSP và XML nội bộ.
|