Ο αμερικανικός οργανισμός για την ασφάλεια στον κυβερνοχώρο και την ασφάλεια των υποδομών (CISA) πρόσθεσε έξι ελαττώματα ασφαλείας στον κατάλογό του για τα γνωστά εκμεταλλευόμενα τρωτά σημεία (Known Exploited Vulnerabilities – KEV), επικαλούμενος στοιχεία ενεργής εκμετάλλευσης.
Μεταξύ αυτών περιλαμβάνεται το CVE-2023-27524 (CVSS score: 8.9), μια ευπάθεια υψηλής σοβαρότητας που επηρεάζει το λογισμικό απεικόνισης δεδομένων ανοικτού κώδικα Apache Superset, το οποίο θα μπορούσε να επιτρέψει την απομακρυσμένη εκτέλεση κώδικα.
Οι λεπτομέρειες του προβλήματος ήρθαν για πρώτη φορά στο φως τον Απρίλιο του 2023, με τον Naveen Sunkavally της Horizon3.ai να το περιγράφει ως «επικίνδυνη προεπιλεγμένη διαμόρφωση στο Apache Superset που επιτρέπει σε έναν μη πιστοποιημένο εισβολέα να αποκτήσει απομακρυσμένη εκτέλεση κώδικα, να συλλέξει διαπιστευτήρια και να θέσει σε κίνδυνο δεδομένα».
Προς το παρόν δεν είναι γνωστό πώς γίνεται η εκμετάλλευση της συγκεκριμένης ευπάθειας.
Η CISA πρόσθεσε πέντε ακόμη ευπάθειες:
- CVE-2023-38203 (CVSS score: 9.8) – Ευπάθεια Deserialization of Untrusted Data στο Adobe ColdFusion.
- CVE-2023-29300 (CVSS score: 9.8) – Ευπάθεια Deserialization of Untrusted Data στο Adobe ColdFusion.
- CVE-2023-41990 (CVSS score: 7.8) – Ευπάθεια εκτέλεσης κώδικα σε πολλαπλά προϊόντα της Apple
- CVE-2016-20017 (CVSS score: 9.8) – Ευπάθεια εισόδου εντολών σε συσκευές D-Link DSL-2750B
- CVE-2023-23752 (CVSS score: 5.3) – Αδυναμία ακατάλληλου ελέγχου πρόσβασης στο Joomla!
Αξίζει να σημειωθεί ότι η ευπάθεια «CVE-2023-41990», που επιδιορθώθηκε από την Apple στα iOS 15.7.8 και iOS 16.3, χρησιμοποιήθηκε από χάκερ ως μέρος των επιθέσεων spyware Operation Triangulation για την επίτευξη απομακρυσμένης εκτέλεσης κώδικα κατά την επεξεργασία ενός ειδικά διαμορφωμένου συνημμένου iMessage PDF.
Οι ευπάθειες «CVE-2023-38203» και «CVE-2023-29300» αξιοποιήθηκαν από χάκερς στα μέσα του 2023, αφού ερευνητές ασφαλείας έδειξαν ότι τα διορθωτικά patch του προμηθευτή μπορούσαν να παρακαμφθούν. .
Συνιστάται στις ομοσπονδιακές υπηρεσίες του πολιτικού εκτελεστικού κλάδου (FCEB) να εφαρμόσουν διορθώσεις για τα προαναφερθέντα σφάλματα έως τις 29 Ιανουαρίου 2024, προκειμένου να διασφαλίσουν τα δίκτυά τους έναντι ενεργών απειλών.