آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) روز سهشنبه بر اساس شواهدی مبنی بر بهرهبرداری فعال، سه نقص امنیتی را به فهرست آسیبپذیریهای شناخته شده (KEV) اضافه کرد.
لیست کاستی ها به شرح زیر است –
- CVE-2022-47986 (امتیاز CVSS: 9.8) – آسیب پذیری اجرای کد IBM Aspera Faspex
- CVE-2022-41223 (امتیاز CVSS: 6.8) – آسیب پذیری Mitel MiVoice Connect Code Injection
- CVE-2022-40765 (امتیاز CVSS: 6.8) – آسیب پذیری تزریق فرمان Mitel MiVoice Connect
۴۷۹۸۶ به عنوان یک نقص YAML deserialization در راه حل انتقال فایل توصیف می شود که می تواند به یک مهاجم راه دور اجازه دهد تا کد را روی سیستم اجرا کند.
جزئیات این نقص و اثبات مفهوم (PoC) توسط Assetnote در ۲ فوریه به اشتراک گذاشته شد، یک روز پس از آن بنیاد Shadowserver گفت که “تلاش های بهره برداری” را در طبیعت انجام داده است.
بهره برداری فعال از نقص Aspera Faspex مدت کوتاهی پس از یک آسیب پذیری در نرم افزار انتقال فایل GoAnywhere MFT Fortra (CVE-2023-0669) توسط عوامل تهدید با پیوندهای احتمالی به عملیات باج افزار Clop مورد سوء استفاده قرار گرفت.
CISA همچنین دو نقص را که بر Mitel MiVoice Connect تأثیر میگذارد (CVE-2022-41223 و CVE-2022-40765) اضافه کرده است که میتواند به یک مهاجم احراز هویت با دسترسی شبکه داخلی اجازه اجرای کد دلخواه را بدهد.
جزئیات دقیق مربوط به ماهیت حملات نامشخص است، اما یکی دیگر از نقص های MiVoice Connect سال گذشته برای استقرار باج افزار مورد سوء استفاده قرار گرفت. این آسیبپذیریها توسط Mitel در اکتبر ۲۰۲۲ اصلاح شد.
با توجه به بهرهبرداری در طبیعت، آژانسهای شعبه اجرایی غیرنظامی فدرال (FCEB) موظفند تا ۱۴ مارس ۲۰۲۳ بهروزرسانیهای لازم را برای ایمن کردن شبکهها در برابر تهدیدات احتمالی اعمال کنند.
CISA، در توسعهای مرتبط، توصیهای درباره سیستمهای کنترل صنعتی (ICS) منتشر کرد که به نقصهای مهم (CVE-2022-26377 و CVE-2022-31813) در MELSOFT iQ AppPortal میتسوبیشی الکتریک اشاره میکند.
این آژانس میگوید: «استفاده موفقیتآمیز از این آسیبپذیریها میتواند به یک مهاجم مخرب اجازه دهد تا تأثیرات نامشخصی مانند دور زدن احراز هویت، افشای اطلاعات، انکار سرویس، یا دور زدن احراز هویت آدرس IP ایجاد کند».