内存安全周报第129期 | CISA警告ZK Java Web框架漏洞正在被积极利用 行业热点 23年3月8日 喜欢 浏览 安芯网盾 取消关注 关注 私信 释放双眼,带上耳机,听听看~! 一、CISA警告ZK Java Web框架漏洞正在被积极利用(2.28) 美国网络安全和基础设施安全局 (CISA) 根据活跃利用的证据,将影响 ZK 框架的高危漏洞添加到其已知利用漏洞 (KEV) 目录中。 详细情况 该漏洞为CVE-2022-36537(CVSS评分:7.5),影响ZK框架9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1版本,还允许威胁者利用特别构造的请求检索敏感信息。 CISA说:”ZK框架是一个开源的Java框架,因此这一漏洞会影响多个产品,包括但不限于ConnectWise R1Soft Server Backup Manager。” 2022年5月发布的9.6.2、9.6.0.2、9.5.1.4、9.0.1.3和8.6.4.2版本都修补了该漏洞。 Huntress在2022年10月份进行了概念验证(PoC),发现该漏洞可以被用来绕过身份验证,并上传一个后门JDBC数据库驱动程序以获得代码执行,还会在易受影响的端点上部署勒索软件。 总部位于新加坡的Numen Cyber Labs在2022年12月发布了自己的PoC,除此之外,还警告说,发现了超过4000个服务器备份管理器实例被暴露在互联网上。 自此,该漏洞被大规模利用。上周NCC集团的Fox-IT研究团队就验证了这一说法,他们获得了初始访问权,在286台服务器上部署了一个web shell后门。 大部分受影响的设备来自美国、韩国、英国、加拿大、西班牙、哥伦比亚、马来西亚、意大利、印度和巴拿马。截至2023年2月20日,仍然存在后门的R1Soft服务器总共有146台。 Fox-IT说:”攻击者在入侵时可以获取VPN配置文件、IT管理信息和其他敏感文件。” 参考链接 https://thehackernews.com/2023/02/cisa-issues-warning-on-active.html?&web_view=true 二、Aruba Networks修复了ArubaOS中的六个严重漏洞(3.1) Aruba Networks发布了一份安全公告,告知客户其专有的网络操作系统ArubaOS多个版本存在六个严重的漏洞。 详细情况 这些漏洞影响了Aruba Mobility Conductor、Aruba Mobility Controller以及Aruba管理的WLAN网关和SD-WAN网关。 Aruba Networks是Hewlett Packard Enterprise在加州的子公司,专门从事计算机网络和无线连接解决方案。 Aruba这次解决的关键漏洞可以划分为两类:PAPI协议(Aruba Networks接入点管理协议)中的命令注入漏洞和基于堆栈的缓冲区溢出漏洞。 命令注入漏洞被追踪为CVE-2023-22747、CVE-2023-22748、CVE-2023-22749和CVE-2023-22750,CVSS v3评分为9.8(满分10.0)。 未经身份验证的远程攻击者可以通过 UDP 端口 8211 向 PAPI 发送特别构造的数据包来利用它们,从而以特权用户身份在 ArubaOS 上执行任意代码。 基于堆栈的缓冲区溢出漏洞被追踪为CVE-2023-22751和CVE-2023-22752,CVSS v3评级为9.8。 受影响的版本是: ArubaOS 8.6.0.19及以下; ArubaOS 8.10.0.4及以下; ArubaOS 10.3.1.0及以下; SD-WAN 8.7.0.0-2.3.0.8及以下。 Aruba认为,应该升级到的版本有: ArubaOS 8.10.0.5及以上; ArubaOS 8.11.0.0及以上; ArubaOS 10.3.1.1及以上; SD-WAN 8.7.0.0-2.3.0.9及以上版本。 不幸的是,几个已达到产品寿命结束 (EoL) 的产品版本也受到这些漏洞的影响,并且不会收到修复更新。这些版本有: ArubaOS 6.5.4.x ArubaOS 8.7.x.x ArubaOS 8.8.x.x ArubaOS 8.9.x.x SD-WAN 8.6.0.4-2.2.x.x 如果系统管理员无法进行应用安全更新或正在使用EoL设备,可以采用非默认密钥启用 “增强型PAPI安全 “模式。 但是这些缓解措施并不能解决Aruba安全公告中列出的另外15个高危和8个中危漏洞,新版本修复了这些漏洞。 参考链接 https://www.bleepingcomputer.com/news/security/aruba-networks-fixes-six-critical-vulnerabilities-in-arubaos/ 给TA买糖 共{{data.count}}人 人已赞赏