Cybler梳理总结本周需要特别关注的10个漏洞:微软产品中的三个漏洞——包括一个面临新利用的7岁Office漏洞——以及Adobe、MOVEit、VMware、Fortra、Phoenix Technologies、SolarWinds和Themify产品中的每个一个漏洞。
影响分析:Fortra FileCatalyst Workflow中的这一关键SQL注入漏洞,这是一个加速大文件交换的基于Web的文件传输平台,允许攻击者修改应用程序数据,可能的影响包括创建管理用户和删除或修改应用程序数据库中的数据。值得注意的是,利用此漏洞不可能通过SQL注入进行数据泄露;进一步成功的未授权利用需要启用匿名访问的工作流系统;否则,需要经过身份验证的用户。互联网暴露:没有
补丁可用:是的
NO.2 CVE-2024-5806
影响分析:这一关键的不当身份验证漏洞影响了Progress MOVEit Transfer(SFTP模块),可能导致安全托管文件传输应用程序中的身份验证绕过。成功利用后,攻击者可以访问存储在MOVEit Transfer服务器上的敏感数据;上传、下载、删除或修改文件;拦截或篡改文件传输。Cyble研究人员指出,在供应商披露漏洞后的一日内,安全研究人员开始观察到针对它的利用尝试,原因是其巨大的暴露和影响。
补丁可用:是的
NO.3 CVE-2024-0762
影响分析:这一高严重性缓冲区溢出漏洞影响了Phoenix SecureCore中不安全的UEFI变量处理,Phoenix SecureCore是为客户端PC、笔记本电脑和物联网/嵌入式设备开发的高级UEFI固件解决方案。该漏洞可能被利用在易受攻击的设备上执行代码。此外,鉴于使用此固件的Intel CPU数量庞大,该漏洞可能影响包括联想、戴尔、宏碁和惠普在内的供应商的数百种型号,Cyble研究人员指出。
互联网暴露:没有
补丁可用:是的
NO.4 CVE-2024-34102
影响分析:这一关键的不正确限制XML外部实体引用(‘XXE’)漏洞影响了Adobe Commerce,这是为商家和品牌提供的领先的数字商务解决方案。攻击者可以通过发送引用外部实体的精心制作的XML文档来利用此漏洞,导致任意代码执行。
补丁可用“是的
NO.5 CVE-2024-28995
影响分析:这一高严重性目录遍历漏洞影响了SolarWinds Serv-U,这是一个安全的托管文件传输(MFT)解决方案。成功利用该漏洞可以允许威胁行为者访问主机机器上的敏感文件。最近研究人员观察到利用公开可用的概念验证(PoC)漏洞的积极利用。
补丁可用:是的
NO.6 CVE-2017-11882
影响分析:这一高严重性漏洞影响了Microsoft Office 2007 Service Pack 3、Microsoft Office 2010 Service Pack 2、Microsoft Office 2013 Service Pack 1和Microsoft Office 2016。它可能允许攻击者通过不正确地处理内存中的对象,在当前用户的上下文中运行任意代码。最近,研究人员发现这个7岁的漏洞被用于由所谓的国家支持组织策划的网络间谍活动中。
互联网暴露:没有
补丁可用:是的
NO.7 CVE-2024-6027
影响分析:这一高严重性漏洞影响了WordPress的Themify WooCommerce Product Filter插件,可能导致通过‘conditions’参数进行基于时间的SQL注入。利用该漏洞可以使未经身份验证的攻击者将额外的SQL查询附加到现有的查询中,这些查询可以用来从数据库中提取敏感信息。
互联网暴露:是的
补丁可用:是的——升级到1.5.0版本
NO.8 CVE-2024-37079
影响分析:Cyble在上周的漏洞报告中也提到了这一漏洞。这一关键严重性堆溢出漏洞影响了VMware vCenter Server,这是一个用于管理VMware vSphere的中央管理平台,可管理虚拟机和ESXi主机。鉴于受影晌产品的全球使用情况和利用影响vCenter的漏洞的历史,Cyble表示,威胁行为者也可能利用这一关键漏洞。
互联网暴露:是的
补丁可用:是的
NO.9 CVE-2024-30103
影响分析:这一高严重性远程代码执行(RCE)漏洞影响了Microsoft Outlook。由于RCE漏洞可以通过打开并预览包含恶意有效负载的电子邮件来利用,无需用户进一步交互,因此威胁行为者有可能在针对政府和私营实体时利用该漏洞进行武器化。
互联网暴露:没有
补丁可用:是的
NO.10 CVE-2024-30078
影响分析:这一高严重性远程代码执行(RCE)漏洞影响了Windows Wi-Fi驱动程序。由于Windows设备在全球的广泛使用以及利用该漏洞无需任何用户交互,威胁行为者可以利用该缺陷获得设备的初始访问权限,并随后安装恶意软件并泄露用户数据。
互联网暴露:没有
补丁可用:是的
地下漏洞售卖情报
Cyble对客户环境的扫描发现,仅本周就有近百万暴露资产受到7个漏洞的影响。将近20万个资产暴露于VMware vCenter Server漏洞,而两周前报告的一个PHP漏洞(CVE-2024-4577)继续占据主导地位,影响了近60万个暴露资产。
Cyble研究人员还观察到,在地下论坛上有五起(与下述五起可能不同)所谓的零日漏洞被出售,以及在地下论坛上观察到的许多利用/概念验证/定制脚本。本号观测到地下论坛的具体信息包括:
1、Chrome浏览器0day沙盒逃逸漏洞被高价出售2、GRUB BootLoader的oday漏洞在泄露论坛上高价出售3、新威胁者出售VirtualBox VME零日漏洞4、黑客出售ClassLink Agent一键RCE的0day漏洞5、黑客出售ABB ASPECT 控制面板 (All Series) -预认证RCE
参考资源
1、https://thecyberexpress.com/weekly-vulnerability-report-critical-flaws/
2、https://breachforums.st/