CISA Tambahkan 10 Kerentanan Baru yang Diketahui Secara Aktif Dieksploitasi ke Katalog
Ilustrasi The Hacker News
Cyberthreat.id – Badan Keamanan Siber dan Infrastruktur (CISA) AS pada hari Jumat menambahkan 10 kerentanan baru yang dieksploitasi secara aktif ke Katalog Kerentanan yang Diketahui (KEV), termasuk kelemahan keamanan tingkat tinggi yang memengaruhi perangkat lunak otomasi industri dari Delta Electronics.
Masalah, dilacak sebagai CVE-2021-38406 (skor CVSS: 7.8), berdampak pada DOPSoft 2 versi 2.00.07 dan sebelumnya. Eksploitasi cacat yang berhasil dapat menyebabkan eksekusi kode arbitrer.
"Delta Electronics DOPSoft 2 tidak memiliki validasi yang tepat dari data yang disediakan pengguna saat mem-parsing file proyek tertentu (validasi input yang tidak tepat) yang mengakibatkan penulisan di luar batas yang memungkinkan eksekusi kode," kata CISA dalam sebuah peringatan dilansir The Hacker News.
Perlu dicatat bahwa CVE-2021-38406 awalnya diungkapkan sebagai bagian dari penasihat sistem kontrol industri (ICS) yang diterbitkan pada September 2021.
Namun, tidak ada tambalan yang mengatasi kerentanan, dengan CISA mencatat bahwa "produk yang terkena dampak adalah akhir masa pakainya dan harus diputuskan jika masih digunakan." Badan Eksekutif Sipil Federal (FCEB) diberi mandat untuk mengikuti pedoman ini paling lambat 15 September 2022.
Tidak banyak informasi yang tersedia tentang sifat serangan yang mengeksploitasi bug keamanan, tetapi laporan terbaru dari Palo Alto Networks Unit 42 menunjukkan contoh serangan di alam liar yang memanfaatkan kelemahan antara Februari dan April 2022.
Perkembangan tersebut menambah bobot gagasan bahwa musuh semakin cepat mengeksploitasi kerentanan yang baru diterbitkan ketika mereka pertama kali diungkapkan, yang mengarah ke upaya pemindaian tanpa pandang bulu dan oportunistik yang bertujuan untuk mengambil keuntungan dari patch yang tertunda.
Serangan ini sering mengikuti urutan spesifik untuk eksploitasi yang melibatkan cangkang web, penambang kripto, botnet, dan trojan akses jarak jauh (RAT), diikuti oleh broker akses awal (IAB) yang kemudian membuka jalan bagi ransomware.
Di antara kelemahan lain yang dieksploitasi secara aktif yang ditambahkan ke daftar adalah sebagai berikut:
1. CVE-2022-26352 - Kerentanan File Upload Tidak Terbatas dari dotCMSC
2. VE-2022-24706 - Apache CouchDB Inisialisasi Default Kerentanan Sumber Daya
3. CVE-2022-24112 - Kerentanan Bypass Otentikasi Apache APISIX
4. CVE-2022-22963 - Kerentanan Eksekusi Kode Jarak Jauh VMware Tanzu Spring Cloud Function
5. CVE-2022-2294 - Kerentanan Overflow Penyangga Tumpukan WebRTC
6. CVE-2021-39226 - Kerentanan Bypass Otentikasi Grafana
7. CVE-2020-36193 - PEAR Archive_Tar Kerentanan Resolusi Tautan Tidak Tepat
8. CVE-2020-28949 - PEAR Archive_Tar Deserialisasi Kerentanan Data Tidak Tepercaya
Cacat iOS dan macOS ditambahkan ke daftar
Cacat tingkat tinggi lainnya yang ditambahkan ke Katalog KEV adalah CVE-2021-31010 (skor CVSS: 7,5), masalah deserialization di komponen Core Telephony Apple yang dapat dimanfaatkan untuk menghindari pembatasan sandbox.
Raksasa teknologi mengatasi kekurangan di iOS 12.5.5, iOS 14.8, iPadOS 14.8, macOS Big Sur 11.6 (dan Pembaruan Keamanan 2021-005 Catalina), dan watchOS 7.6.2 yang dirilis pada September 2021.
Meskipun tidak ada indikasi bahwa kelemahan itu dieksploitasi pada saat itu, raksasa teknologi itu tampaknya diam-diam merevisi nasihatnya pada 25 Mei 2022 untuk menambahkan kerentanan dan mengonfirmasi bahwa itu memang telah disalahgunakan dalam serangan.
"Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif pada saat rilis," kata raksasa teknologi itu, memuji Citizen Lab dan Google Project Zero atas penemuan tersebut.
Pembaruan September juga penting untuk memulihkan CVE-2021-30858 dan CVE-2021-30860, keduanya digunakan oleh NSO Group, pembuat spyware Pegasus, untuk menyiasati fitur keamanan sistem operasi.
Hal ini meningkatkan kemungkinan bahwa CVE-2021-31010 mungkin telah disatukan dengan dua kelemahan yang disebutkan di atas dalam rantai serangan untuk keluar dari kotak pasir dan mencapai eksekusi kode arbitrer.
