هشدارهای CISA در مورد بهره برداری فعال از نقص‌های امنیتی در محصولات Fortinet، Ivanti و Nice

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA)، بیست و پنجم مارس ۲۰۲۴ با استناد به شواهدی مبنی بر بهره برداری فعال، سه نقص امنیتی را در کاتالوگ آسیب پذیری های شناخته شده مورد بهره برداری (KEV) خود افزود. آسیب پذیری های اضافه شده به شرح زیر می‌باشند:

• CVE-2023-48788 (امتیاز CVSS: 9.3) – آسیب پذیری SQL Injection در محصول FortiClient EMS شرکت Fortinet
• CVE-2021-44529 (امتیاز CVSS: 9.8) – آسیب پذیری Code Injection در محصول تزریق کد Endpoint Manager Cloud Service Appliance (EPM CSA) شرکت Ivanti
• CVE-2019-7256 (امتیاز CVSS: 10.0) – آسیب پذیری تزریق فرمان سیستم عامل (OS Command Injection) در محصول Linear eMerge سری E3 شرکت Nice

نقصی که FortiClient EMS را تحت تأثیر قرار داد اوایل این ماه (مارس ۲۰۲۴) آشکار شد و شرکت Fortinet آن را به عنوان نقصی توصیف کرد که می‌تواند به یک مهاجم غیرمجاز اجازه دهد تا کد یا دستورات غیرمجاز را از طریق درخواست‌های ساخته شده خاص اجرا کند.

Fortinet اعلام کرد که این آسیب پذیری مورد بهره برداری فعال قرار گرفته است و به دنبال آن نسخه های به روز رسانی را منتشر کرد اما جزئیات بیشتری در خصوص ماهیت حملات در حال حاضر در دسترس نیست.

از سوی دیگر، CVE-2021-44529 به آسیب‌پذیری تزریق کد در Endpoint Manager Cloud Service Appliance (EPM CSA) ایوانتی مربوط می‌شود که به کاربر احراز هویت نشده اجازه می‌دهد تا کد مخرب را با مجوزهای محدود اجرا کند.

تحقیقات اخیر منتشر شده توسط محقق امنیتی Ron Bowes نشان می‌دهد که این نقص ممکن است به عنوان یک بکدور عمدی در یک پروژه منبع باز که اکنون متوقف شده است به نام csrf-magic معرفی شده باشد که حداقل از سال 2014 وجود داشته است.

CVE-2019-7256 نیز به مهاجم اجازه می دهد تا اجرای کد از راه دور را بر روی کنترل کننده های Linear eMerge سری E3 شرکت Nice به انجام رساند که در اوایل فوریه 2020 توسط مهاجمان مورد سوء استفاده قرار گرفت.

این نقص، همراه با 11 باگ دیگر، توسط Nice  (Nortek  سابق) در اوایل این ماه برطرف گردید. گفتنی است، این آسیب‌پذیری‌ها در ابتدا توسط محقق امنیتی Gjoko Krstic در ماه مِی ۲۰۱۹ فاش شدند.

با توجه به بهره برداری فعال از این سه نقص، آژانس های فدرال موظفند تا پانزدهم آوریل 2024 اقدامات امنیتی ارائه شده توسط فروشنده را اعمال کنند.

این توسعه زمانی صورت پذیرفت که CISA و دفتر تحقیقات فدرال (FBI) هشداری مشترک منتشر کردند و از تولیدکنندگان نرم‌افزار خواستند تا اقداماتی را برای به حداقل رساندن نقص‌های SQL injection  انجام دهند.

این مشاوره به طور خاص بر بهره برداری از CVE-2023-34362، یک آسیب پذیری SQL injection  حیاتی در MOVEit Transfer، توسط باج افزار Cl0p  (معروف به Lace Tempest) برای نفوذ به هزاران سازمان تاکید می‌کند.

علیرغم دانش و مستندات گسترده درباره آسیب‌پذیری‌های SQLi در دو دهه گذشته، همراه با در دسترس بودن اقدامات امنیتی مؤثر، تولیدکنندگان نرم‌افزار به توسعه محصولاتی با این نقص ادامه می‌دهند که بسیاری از مشتریان را در معرض خطر قرار می‌دهد.

منابع