Wouter Hoeffnagel - 18 november 2024

Kwetsbaarheden in Citrix, Cisco, Fortinet, Progress en Atlassian meest uitgebuit in 2023

Beveiligingsproblemen in Citrix, Cisco, Fortinet, Progress en Atlassian zijn de meest uitgebuite kwetsbaarheden van 2023. Dit blijkt uit een ranglijst gepubliceerd als oinderdeel van een security advisory van de Amerikaanse, Australische, Canadese, Nieuw-Zeelands en Britse autoriteiten.

Kwetsbaarheden in Citrix, Cisco, Fortinet, Progress en Atlassian meest uitgebuit in 2023 image

De security advisory is opgesteld door de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI) en National Security Agency (NSA), Australian Signals Directorate’s Australian Cyber Security Centre (ACSC), het Canadian Centre for Cyber Security (CCCS), New Zealand National Cyber Security Centre (NCSC-NZ) en Computer Emergency Response Team New Zealand (CERT NZ) en Britse National Cyber Security Centre (NCSC-UK). De partijen melden dat malafide partijen in 2023 meer zero-day kwetsbaarheden hebben uitgebuit voor het compromitteren van bedrijfsnetwerken van in 2022.

De partijen adviseren vendoren, ontwikkelaars en eindgebruikers een aantal maatregelen te nemen om het risico slachtoffer te worden van cybercrime te verminderen:

Leveranciers, ontwerpers en ontwikkelaars:

  • Implementeer principes en tactieken voor “veilig ontworpen en
    standaard”, om de prevalentie van kwetsbaarheden in uw software te
    verminderen.
  • Volg het SP 800-218 Secure Software Development Framework (SSDF) en implementeer veilige ontwerpraktijken in elke fase van de softwareontwikkelingslevenscyclus (SDLC). Stel een gecoördineerd kwetsbaarheidsdisclosureprogramma in dat processen omvat om de oorzaken van ontdekte kwetsbaarheden te bepalen.
  • Geef prioriteit aan standaard veilige configuraties, zoals het elimineren van standaardwachtwoorden en het niet vereisen van aanvullende configuratieveranderingen om de productveiligheid te verbeteren.
  • Zorg ervoor dat gepubliceerde CVE's het juiste CWE-veld bevatten, waarmee de onderliggende oorzaak van de kwetsbaarheid wordt geïdentificeerd.

Eindgebruikersorganisaties:

  • Breng tijdige patches aan op systemen. Let op: Als CVE's in deze mededeling niet zijn gepatcht, controleer dan op tekenen van compromis voordat u patches aanbrengt.
  • Implementeer een centraal patchbeheer systeem.
  • Gebruik beveiligingstools zoals endpointdetectie en respons (EDR), webtoepassingsfirewalls en netwerkprotocolanalysers.
  • Vraag uw softwareleveranciers naar hun programma voor veilig ontworpen en stel hen in staat om links te geven naar informatie over hoe ze werken aan het verwijderen van klassen van kwetsbaarheden, en om veilige standaardinstellingen in te stellen.

Top 15

De top vijftien ziet er als volgt uit:

  1. CVE-2023-3519: Deze kwetsbaarheid betreft Citrix NetScaler ADC en NetScaler Gateway.
    Maakt het mogelijk voor een niet-geauthenticeerde gebruiker om een stack buffer overflow te veroorzaken in het NSPPE-proces door een HTTP GET-verzoek te gebruiken.
  2. CVE-2023-4966: Deze kwetsbaarheid betreft Citrix NetScaler ADC en NetScaler Gateway.
    Maakt sessie-token lekken mogelijk; een proof-of-concept voor deze exploit werd onthuld in oktober 2023.
  3. CVE-2023-20198: Deze kwetsbaarheid betreft Cisco IOS XE Web UI.

    Maakt het mogelijk voor onbevoegde gebruikers om toegang te krijgen en een commando uit te voeren om een lokale gebruiker en wachtwoordcombinatie te maken, wat resulteert in de mogelijkheid om in te loggen met normale gebruikersrechten.
  4. CVE-2023-20273: Deze kwetsbaarheid betreft Cisco IOS XE, na activiteit van CVE-2023-20198.
    Maakt privilege-escalatie mogelijk, zodra een lokale gebruiker is aangemaakt, naar root-rechten.

  5. CVE-2023-27997: Deze kwetsbaarheid betreft Fortinet FortiOS en FortiProxy SSL-VPN.
    Maakt het mogelijk voor een externe gebruiker om specifieke verzoeken te maken om willekeurige code of commando’s uit te voeren.
  6. CVE-2023-34362: Deze kwetsbaarheid betreft Progress MOVEit Transfer.
    Maakt misbruik van een SQL-injectie mogelijk om een sysadmin API-toegangstoken te verkrijgen.
    Maakt het mogelijk voor een kwaadwillende actor om via deze toegang remote code execution uit te voeren door misbruik te maken van een deserialisatie-aanroep.
  7. CVE-2023-22515: Deze kwetsbaarheid betreft Atlassian Confluence Data Center en Server.
    Maakt misbruik van een onjuiste invoervalidatie mogelijk.
    Willekeurige HTTP-parameters kunnen worden omgezet in getter/setter-sequenties via de XWorks2 middleware, die op hun beurt Java-objecten in runtime kunnen aanpassen.
    Het misbruik creëert een nieuwe administrator-gebruiker en uploadt een kwaadaardige plugin voor het uitvoeren van willekeurige code.
  8. CVE-2021-44228: Deze kwetsbaarheid, bekend als Log4Shell, betreft de Log4j-bibliotheek van Apache, een open-source logging-framework dat in duizenden producten wereldwijd is geïntegreerd.
    Maakt het uitvoeren van willekeurige code mogelijk.
    Een actor kan deze kwetsbaarheid exploiteren door een speciaal ontworpen verzoek in te dienen aan een kwetsbaar systeem, wat resulteert in de uitvoering van willekeurige code.
    Het verzoek stelt een cyberactor in staat om volledige controle over een systeem over te nemen.
    De actor kan vervolgens informatie stelen, ransomware lanceren of andere kwaadwillende activiteiten uitvoeren.
    Kwaadwillende cyberacteurs begonnen de kwetsbaarheid te exploiteren na de publieke bekendmaking in december 2021.
  9. CVE-2023-2868: Dit is een remote command injection kwetsbaarheid die betrekking heeft op de Barracuda Networks Email Security Gateway (ESG) Appliance.
    Maakt het mogelijk voor een individu om ongeautoriseerde toegang te verkrijgen en systeemcommando’s op afstand uit te voeren via het ESG-apparaat.
  10. CVE-2022-47966: Dit is een niet-geauthenticeerde remote code execution kwetsbaarheid die meerdere producten met Zoho ManageEngine beïnvloedt.
    Maakt het mogelijk voor een niet-geauthenticeerde gebruiker om willekeurige code uit te voeren door een speciaal ontworpen samlResponse XML aan de ServiceDesk Plus SAML-endpoint aan te bieden.
  11. CVE-2023-27350: Deze kwetsbaarheid betreft PaperCut MF/NG.
    Maakt het mogelijk voor een kwaadwillende cyberactor om een authenticatie-bypass kwetsbaarheid te combineren met misbruik van ingebouwde scripting-functionaliteit om code uit te voeren.
  12. CVE-2020-1472: Deze kwetsbaarheid betreft Microsoft Netlogon.
    Maakt privilege-escalatie mogelijk.
    Een onbevoegde gebruiker kan niet-standaardconfiguraties gebruiken om een kwetsbare Netlogon-secure channel verbinding tot stand te brengen met een domeincontroller via het Netlogon Remote Protocol.
    Opmerking: Deze CVE wordt sinds 2021 routinematig vermeld in lijsten van vaak misbruikte kwetsbaarheden.
  13. CVE-2023-42793: Deze kwetsbaarheid kan JetBrains TeamCity-servers beïnvloeden.
    Maakt authenticatie-bypass mogelijk die remote code execution op kwetsbare JetBrains TeamCity-servers toestaat.
  14. CVE-2023-23397: Deze kwetsbaarheid betreft Microsoft Office Outlook.
    Maakt privilege-escalatie mogelijk.
    Een dreigingsactor kan een speciaal ontworpen e-mail versturen die automatisch wordt geactiveerd door de Outlook-client wanneer deze wordt verwerkt.
    Dit exploit gebeurt zelfs zonder gebruikersinteractie.
  15. CVE-2023-49103: Deze kwetsbaarheid betreft ownCloud graphapi.
    Maakt niet-geauthenticeerde informatie onthulling mogelijk.
    Een niet-geauthenticeerde gebruiker kan gevoelige gegevens, zoals admin-wachtwoorden, mailserver-inloggegevens en licentiesleutels, benaderen.

Meer informatie is hier beschikbaar.

Axians 12/11/2024 t/m 26/11/2024 BN+BW