Peringatan CISA tentang Eksploitasi Aktif atas Cacat pada Produk Fortinet, Ivanti, dan Nice
Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Senin memasukkan tiga kelemahan keamanan ke dalam katalog Kerentanan yang Diketahui dan Dieksploitasi ( KEV ), dengan mengutip bukti adanya eksploitasi aktif.
Kerentanan yang ditambahkan adalah sebagai berikut –
- CVE-2023-48788 (skor CVSS: 9.3) – Kerentanan Injeksi SQL Fortinet FortiClient EMS
- CVE-2021-44529 (skor CVSS: 9.8) – Kerentanan Injeksi Kode Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA)
- CVE-2019-7256 (skor CVSS: 10.0) – Kerentanan Injeksi Perintah OS Linear eMerge E3-Series yang Bagus
Kelemahan yang berdampak pada Fortinet FortiClient EMS terungkap awal bulan ini, dan perusahaan menggambarkannya sebagai kelemahan yang memungkinkan penyerang yang tidak diautentikasi mengeksekusi kode atau perintah yang tidak sah melalui permintaan yang dibuat khusus.
Fortinet telah merevisi sarannya untuk mengonfirmasi bahwa mereka telah dieksploitasi di alam liar, meskipun saat ini tidak ada rincian lain mengenai sifat serangan tersebut.
CVE-2021-44529, di sisi lain, berkaitan dengan kerentanan injeksi kode di Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA) yang memungkinkan pengguna yang tidak diautentikasi mengeksekusi kode berbahaya dengan izin terbatas.
Penelitian terbaru yang diterbitkan oleh peneliti keamanan Ron Bowes menunjukkan bahwa kelemahan tersebut mungkin disebabkan oleh pintu belakang yang disengaja dalam proyek sumber terbuka yang disebut csrf-magic yang kini dihentikan. Masalah ini telah ada setidaknya sejak tahun 2014 sebelum diperbaiki pada bulan Desember 2021.
CVE-2019-7256, yang memungkinkan penyerang melakukan eksekusi kode jarak jauh pada pengontrol akses Nice Linear eMerge E3-Series, telah dieksploitasi oleh pelaku ancaman pada awal Februari 2020.
Cacat tersebut, bersama dengan 11 bug lainnya, telah diatasi oleh Nice (sebelumnya Nortek) awal bulan ini. Meskipun demikian, kerentanan ini pertama kali diungkapkan oleh peneliti keamanan Gjoko Krstic pada Mei 2019.
Mengingat eksploitasi aktif terhadap ketiga kelemahan tersebut, lembaga federal diharuskan menerapkan mitigasi yang disediakan vendor paling lambat tanggal 15 April 2024.
Perkembangan ini terjadi ketika CISA dan Biro Investigasi Federal (FBI) mengeluarkan peringatan bersama, mendesak produsen perangkat lunak untuk mengambil langkah-langkah untuk mengurangi kelemahan injeksi SQL .
Penasihat ini secara khusus menyoroti eksploitasi CVE-2023-34362 , kerentanan injeksi SQL yang penting dalam MOVEit Transfer dari Progress Software, oleh geng ransomware Cl0p (alias Lace Tempest) untuk menyerang ribuan organisasi.
“Meskipun pengetahuan dan dokumentasi kerentanan SQLi tersebar luas selama dua dekade terakhir, bersama dengan ketersediaan mitigasi yang efektif, produsen perangkat lunak terus mengembangkan produk dengan cacat ini, yang menempatkan banyak pelanggan dalam risiko,” kata lembaga tersebut .
Untuk menghilangkan seluruh jenis ancaman, “pengembang harus menggunakan kueri berparameter dengan pernyataan yang telah disiapkan untuk memisahkan kode SQL dari data yang disediakan pengguna,” sehingga memastikan bahwa sistem tidak memperlakukan masukan sebagai kode yang dapat dieksekusi dan ditafsirkan sebagai pernyataan SQL.