آژانس امنیت سایبری و زیرساختهای ایالات متحده، CISA، دو آسیبپذیری در محصولات Adobe ColdFusion و Oracle Agile Product Lifecycle Management (PLM) را به فهرست آسیبپذیریهای شناختهشده و اکسپلویت شده (KEV) خود اضافه کرده است. این فهرست شامل آسیبپذیریهایی است که بهطور فعال توسط مهاجمان مورد سوءاستفاده قرار گرفتهاند و سازمانهای فدرال ایالات متحده را ملزم به اعمال وصلههای امنیتی برای آنها میکند.
جزئیات آسیبپذیریها:
CVE-2017-3066
این آسیبپذیری با امتیاز CVSS 9.8، یک آسیب پذیری از نوع deserialization در Adobe ColdFusion است که در کتابخانه Apache BlazeDS وجود دارد. این نقص به مهاجمان امکان اجرای کد دلخواه را میدهد. این مشکل در آوریل ۲۰۱۷ برطرف شده بود.
نسخههای تحت تأثیر ColdFusion (2016), ColdFusion 11 و نسخههای قدیمیتر هستند و در نهایت کاربران مجبور به به روز رسانی کتابخانه Apache BlazeDS شدند.
CVE-2024-20953
این آسیبپذیری با امتیاز CVSS 8.8، یک آسیب پذیری از نوع deserialization در Oracle Agile PLM است که به مهاجمان با دسترسی کم و از طریق HTTP اجازه میدهد سیستم را به خطر بیندازند. این مشکل در ژانویه ۲۰۲۴ برطرف شده بود. طبق اعلان امنیتیOracle، این آسیبپذیری در ماژول FlexPLM تأثیرگذار است.
اگرچه گزارشهای عمومی درباره اکسپلویت این آسیبپذیریها وجود ندارد، اما یک نقص دیگر در Oracle Agile PLM با شناسه CVE-2024-21287 وامتیاز CVSS 7.5 در اواخر سال گذشته مورد سوء استفاده فعال قرار گرفته است. این آسیب پذیری مربوط به احراز هویت سیستم های Oracle است. اکسپلویت این آسیب پذیری به صورت از راه دور انجام می شود و بدون نیاز به احراز هویت (نام کاربری و پسورد) میتوان به سیستم ها متصل شد و به اطلاعات حیاتی دست پیدا کرد که نتیجه آن نشت داده است.
شرکت اطلاعاتی GreyNoise فاش کرده است که تلاش های فعال برای بهره برداری از CVE-2023-20198، یک نقص امنیتی پچ شده در دستگاه های آسیب پذیر سیسکو، در حال انجام است.
حدود ۱۱۰ آدرس IP مخرب، که عمدتاً از بلغارستان، برزیل و سنگاپور سرچشمه میگیرند، به این فعالیت مخرب مرتبط شدهاند.
این تیم تحقیقاتی اعلام کرد که دو آدرس IP مخرب با منشا سوئیس و ایالات متحده در دسامبر 2024 و ژانویه 2025، آسیب پذیریCVE-2018-0171 را مورد هدف قرار داده بودند. در همان زمان، گروه هکری Salt Typhoon (گروه هکری تحت حمایت دولت چین) شبکه های مخابراتی آمریکایی را مورد هدف حمله خود قرار داده بودند.این گروه از آسیب پذیری های CVE-2023-20198 و CVE-2023-20273 سوءاستفاده کرده تا به دستگاه های Cisco دسترسی از راه دور پیدا کنند و اطلاعات حیاتی را سرقت کنند.
توصیهها:
برای کاهش خطرات ناشی از حملات احتمالی که از این نقصها سوءاستفاده میکنند، توصیه میشود کاربران بهروزرسانیهای لازم را اعمال کنند. سازمانهای فدرال تا ۱۷ مارس ۲۰۲۵ فرصت دارند تا شبکههای خود را در برابر این تهدیدات ایمن کنند.
