一、CISA警告ZK Java Web框架漏洞正在被积极利用(2.28)
该漏洞为CVE-2022-36537(CVSS评分:7.5),影响ZK框架9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1版本,还允许威胁者利用特别构造的请求检索敏感信息。
CISA说:"ZK框架是一个开源的Java框架,因此这一漏洞会影响多个产品,包括但不限于ConnectWise R1Soft Server Backup Manager。"
2022年5月发布的9.6.2、9.6.0.2、9.5.1.4、9.0.1.3和8.6.4.2版本都修补了该漏洞。
Huntress在2022年10月份进行了概念验证(PoC),发现该漏洞可以被用来绕过身份验证,并上传一个后门JDBC数据库驱动程序以获得代码执行,还会在易受影响的端点上部署勒索软件。
总部位于新加坡的Numen Cyber Labs在2022年12月发布了自己的PoC,除此之外,还警告说,发现了超过4000个服务器备份管理器实例被暴露在互联网上。
自此,该漏洞被大规模利用。上周NCC集团的Fox-IT研究团队就验证了这一说法,他们获得了初始访问权,在286台服务器上部署了一个web shell后门。 大部分受影响的设备来自美国、韩国、英国、加拿大、西班牙、哥伦比亚、马来西亚、意大利、印度和巴拿马。截至2023年2月20日,仍然存在后门的R1Soft服务器总共有146台。
Fox-IT说:"攻击者在入侵时可以获取VPN配置文件、IT管理信息和其他敏感文件。"
参考链接
https://thehackernews.com/2023/02/cisa-issues-warning-on-active.html?&web_view=true
二、Aruba Networks修复了ArubaOS中的六个严重漏洞(3.1)
Aruba Networks发布了一份安全公告,告知客户其专有的网络操作系统ArubaOS多个版本存在六个严重的漏洞。
详细情况
这些漏洞影响了Aruba Mobility Conductor、Aruba Mobility Controller以及Aruba管理的WLAN网关和SD-WAN网关。
Aruba Networks是Hewlett Packard Enterprise在加州的子公司,专门从事计算机网络和无线连接解决方案。
Aruba这次解决的关键漏洞可以划分为两类:PAPI协议(Aruba Networks接入点管理协议)中的命令注入漏洞和基于堆栈的缓冲区溢出漏洞。
命令注入漏洞被追踪为CVE-2023-22747、CVE-2023-22748、CVE-2023-22749和CVE-2023-22750,CVSS v3评分为9.8(满分10.0)。
未经身份验证的远程攻击者可以通过 UDP 端口 8211 向 PAPI 发送特别构造的数据包来利用它们,从而以特权用户身份在 ArubaOS 上执行任意代码。
基于堆栈的缓冲区溢出漏洞被追踪为CVE-2023-22751和CVE-2023-22752,CVSS v3评级为9.8。
受影响的版本是:
ArubaOS 8.6.0.19及以下;
ArubaOS 8.10.0.4及以下;
ArubaOS 10.3.1.0及以下;
SD-WAN 8.7.0.0-2.3.0.8及以下。
Aruba认为,应该升级到的版本有:
ArubaOS 8.10.0.5及以上;
ArubaOS 8.11.0.0及以上;
ArubaOS 10.3.1.1及以上;
SD-WAN 8.7.0.0-2.3.0.9及以上版本。
不幸的是,几个已达到产品寿命结束 (EoL) 的产品版本也受到这些漏洞的影响,并且不会收到修复更新。这些版本有:
ArubaOS 6.5.4.x
ArubaOS 8.7.x.x
ArubaOS 8.8.x.x
ArubaOS 8.9.x.x
SD-WAN 8.6.0.4-2.2.x.x
如果系统管理员无法进行应用安全更新或正在使用EoL设备,可以采用非默认密钥启用 "增强型PAPI安全 "模式。
但是这些缓解措施并不能解决Aruba安全公告中列出的另外15个高危和8个中危漏洞,新版本修复了这些漏洞。
参考链接
https://www.bleepingcomputer.com/news/security/aruba-networks-fixes-six-critical-vulnerabilities-in-arubaos/
