udnyttelser

En sårbarhed, der påvirker Ivantis Virtual Traffic Manager-applikationsleveringscontroller, bliver udnyttet in-the-wild.

Sådan lyder den nedslående melding fra Ivanti, som Security Week refererer til i en nyhedsartikel i går. Også Dark Reading omtaler sagen.

Særligt nedslående er det, fordi det er den tredje fejl, som Ivanti-kunder har modtaget en sådan advarsel for inden for de seneste to uger.

Researchere har observeret udnyttelsesforsøg mod D-Link DIR-859 WiFi-routere, der er påvirket af en kritisk sårbarhed.

Det skriver Security Affairs med henvisning til en analyse fra sikkerhedsfirmaet GreyNoise.

Sårbarheden har id’et CVE-2024-0769 og en CVSS-score 9,8. 

Der er tale om en ”path traversal”-sårbarhed, der kan føre til videregivelse af oplysninger. Konkret skal trusselsaktører kunne udnytte fejlen til at indsamle kontooplysninger, herunder adgangskoder, fra de sårbare D-Link DIR-859 WiFi-routere, fremgår det af Security Affairs’ omtale af sagen.

PAN-OS firewalls fra Palo Alto Networks står over for en ny bølge af udnyttelsesforsøg efter offentliggørelsen af en kritisk sårbarhed den 12. april.

Det skriver SC Magazine med henvisning til en opdatering af Palo Alto Networks efterretningsteam Unit 42's trusselsbrief fra i fredags, hvor det aktuelle omfang af udnyttelsesangreb af sårbarheden fremgår.

​Microsoft advarer om, at den russiske APT28-gruppe udnytter en Windows Print Spooler-sårbarhed i angreb til eskalering af privilegier og at få adgang til legitimationsoplysninger og data ved hjælp af et hidtil ukendt hackingværktøj kaldet GooseEgg.

Det skriver Bleeping Computer.

APT28 har brugt dette værktøj til at udnytte CVE-2022-38028-sårbarheden "siden mindst juni 2020 og muligvis så tidligt som april 2019", fremgår det. Selve sårbarheden, der i sin tid fik CVSS-scoren 7,8, blev rettet i forbindelse med Patch Tuesday i oktober 2022.  

VMware advarer nu sine kunder om, at en kritisk vCenter Server-sårbarhed, der blev rettet i oktober 2023, bliver udnyttet i naturen.

Der er tale om en sårbarhed – en såkaldt out of bounds write relateret til implementeringen af DCERPC-protokollen  – med id’et CVE-2023-34048 og en CVSS-score på 9,8. Den gør det muligt for en angriber, der har netværksadgang til vCenter Server, at eksternt udføre vilkårlig kode.

Knap to uger efter have udsendt patches til rettelse af kritiske sikkerhedsfejl i Aria Operations for Networks-produktet, oplyser VMware, at angribere er begyndt at lancere udnyttelser in-the-wild.

Oplysningen kommer i en bulletin fra VMware tirsdag, der er refereret i Bleeping Computer og Security Week.

En formodet kinesisk trusselsaktør har udnyttet en sårbarhed i Fortinet FortiOS SSL-VPN som en 0-dagssårbarhed i et angreb rettet mod en europæisk myndighed og Managed Service Provider (MSP) i Afrika.

Det interessante i denne sag er, at data viser, at udnyttelsen fandt sted allerede i oktober 2022, hvilket er næsten to måneder før rettelserne til Fortinet FortiOS blev frigivet. Det er den Google-ejede sikkerhedsvirksomhed Mandiant, der har fundet data, der indikerer dette.

ProxyShell er den mest udnyttede sårbarhed for netværksadgang i første halvår af 2022 med 55 pct. af de samlede registrerede udnyttelseshændelser. ProxyShell er et angreb, der udnyttes ved at kæde tre sårbarheder sammen, sporet som CVE-2021-34473, CVE-2021-34523 og CVE-2021-31207.

Log4Shell følger på andenpladsen med 14 pct., forskellige SonicWall CVE'er stod for 7 pct., ProxyLogon havde 5 pct., mens RCE'en i Zoho ManageEngine ADSelfService Plus blev udnyttet i 3 pct. af tilfældene.