A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) colocou na segunda-feira três falhas de segurança em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa.
As vulnerabilidades adicionadas são as seguintes –
- CVE-2023-48788 (pontuação CVSS: 9,3) – Vulnerabilidade de injeção de SQL do Fortinet FortiClient EMS
- CVE-2021-44529 (Pontuação CVSS: 9,8) – Vulnerabilidade de injeção de código do Ivanti Endpoint Supervisor Cloud Service Equipment (EPM CSA)
- CVE-2019-7256 (Pontuação CVSS: 10,0) – Vulnerabilidade de injeção de comando do sistema operacional Good Linear eMerge E3-Sequence
A falha que afeta o Fortinet FortiClient EMS veio à tona no início deste mês, com a empresa descrevendo-a como uma falha que poderia permitir que um invasor não autenticado executasse códigos ou comandos não autorizados por meio de solicitações especificamente criadas.
Desde então, a Fortinet revisou seu comunicado para confirmar que foi explorado em estado selvagem, embora nenhum outro detalhe sobre a natureza dos ataques esteja disponível atualmente.
CVE-2021-44529, por outro lado, diz respeito a uma vulnerabilidade de injeção de código no Ivanti Endpoint Supervisor Cloud Service Equipment (EPM CSA) que permite que um usuário não autenticado execute código malicioso com permissões limitadas.
Uma pesquisa recente publicada pelo pesquisador de segurança Ron Bowes indica que a falha pode ter sido introduzida como um backdoor intencional em um projeto de código aberto agora descontinuado chamado csrf-magic que existia pelo menos desde 2014.
CVE-2019-7256, que permite que um invasor conduza a execução remota de código em controladores de acesso Good Linear eMerge E3-Sequence, foi explorado por agentes de ameaças já em fevereiro de 2020.
A falha, juntamente com outros 11 bugs, foram corrigidos pela Good (anteriormente Nortek) no início deste mês. Dito isto, estas vulnerabilidades foram originalmente divulgadas pelo investigador de segurança Gjoko Krstic em maio de 2019.
À luz da exploração ativa das três falhas, as agências federais são obrigadas a aplicar as mitigações fornecidas pelo fornecedor até 15 de abril de 2024.
O desenvolvimento ocorre no momento em que a CISA e o Federal Bureau of Investigation (FBI) lançam um alerta conjunto, instando os fabricantes de software program a tomar medidas para mitigar as falhas de injeção de SQL.
O comunicado destacou especificamente a exploração de CVE-2023-34362, uma vulnerabilidade crítica de injeção de SQL no MOVEit Switch da Progress Software program, pela gangue de ransomware Cl0p (também conhecida como Lace Tempest) para violar milhares de organizações.
“Apesar do amplo conhecimento e documentação das vulnerabilidades SQLi nas últimas duas décadas, juntamente com a disponibilidade de mitigações eficazes, os fabricantes de software program continuam a desenvolver produtos com este defeito, o que coloca muitos clientes em risco”, afirmaram as agências.
