Cisco và VMware phát hành bản vá cho các lỗ hổng nghiêm trọng trong các sản phẩm

Cisco và VMware đã phát hành các bản cập nhật bảo mật để giải quyết các lỗ hổng bảo mật nghiêm trọng trong các sản phẩm của họ mà các tác nhân độc hại có thể khai thác để thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.

Nghiêm trọng nhất là lỗi command injection trong Cisco Industrial Network Director (CVE-2023-20036, điểm CVSS: 9.9), trong thành phần UI (giao diện người dùng) web và xảy ra do thiếu kiểm tra xác thực dữ liệu đầu vào khi tải lên một Device Pack.

Trong một tư vấn bảo mật được phát hành vào ngày 19 tháng 4 năm 2023, Cisco cho biết: "Khai thác thành công lỗ hổng có thể cho phép kẻ tấn công thực thi lệnh tùy ý với quyền NT AUTHORITY\SYSTEM trên hệ điều hành của thiết bị bị ảnh hưởng".

Cũng được Cisco khắc phục là một lỗ hổng nghiêm trọng khác trong cơ chế xác thực bên ngoài của nền tảng mô phỏng mạng Modeling Labs. Có định danh CVE-2023-20154 (điểm CVSS: 9,1), lỗ hổng có thể cho phép kẻ tấn công từ xa, không cần xác thực truy cập vào giao diện web với quyền quản trị.

Cisco lưu ý rằng: “Để khai thác lỗ hổng này, kẻ tấn công sẽ cần thông tin xác thực của người dùng hợp lệ được lưu trữ trên máy chủ xác thực bên ngoài được liên kết”.

Mặc dù có các giải pháp khắc phục lỗ hổng, Cisco khuyến cáo khách hàng kiểm tra tính hiệu quả của các biện pháp khắc phục trong môi trường của họ trước khi quản lý chúng.

VMware phát hành các bản cập nhật cho Aria Operations for Logs

Trong một công bố bảo mật được phát hành ngày 20 tháng 4 năm 2023, VMware đã cảnh báo về một lỗ hổng deserialization nghiêm trọng (CVE-2023-20864, ​​điểm CVSS: 9,8) ảnh hưởng đến Aria Operations for Logs.

VMware cho biết: “Một tác nhân độc hại, không được xác thực có quyền truy cập mạng vào VMware Aria Operations for Logs có thể thực thi mã tùy ý với quyền root”.

VMware Aria Operations for Logs 8.12 đã khắc phục lỗ hổng này cùng với một lỗi command injection có độ nghiêm trọng mức cao (CVE-2023-20865, điểm CVSS: 7.2) có thể cho phép kẻ tấn công có quyền quản trị viên thực thi các lệnh tùy ý với quyền root.

VMware cũng lưu ý “CVE-2023-20864 là một lỗi nghiêm trọng cần được vá ngay lập tức”, đồng thời nhấn mạnh rằng "chỉ có phiên bản 8.10.2 bị ảnh hưởng bởi lỗ hổng này."

Các thiết bị của Cisco và VMware vẫn luôn là mục tiêu thường bị các tác nhân đe dọa nhắm đến, vì vậy người dùng cần nhanh chóng áp dụng các bản cập nhật để giảm thiểu các mối đe dọa tiềm ẩn.

Google vá một lỗ hổng chưa được biết đến của Chrome đang bị khai thác

Google đã phát hành bản cập nhật bảo mật cho trình duyệt Chrome để khắc phục lỗ hổng zero-day thứ hai đang bị khai thác trong các cuộc tấn công trong năm nay.

Công bố bảo mật từ Google cho biết: “Google đã biết về sự tồn tại của các hoạt động khai thác CVE-2023-2136 trong thực tế”.

Phiên bản mới được phát hành 112.0.5615.137 đã vá tổng cộng tám lỗ hổng. Google cho biết bản phát hành ổn định hiện chỉ khả dụng cho người dùng (góc trên bên phải) và chọn Trợ giúp → Giới thiệu về Google Chrome.

Skia cung cấp cho Chrome một bộ API để hiển thị đồ họa, văn bản, hình dạng, hình ảnh và hoạt ảnh (animations) và nó được coi là thành phần chính trong quy trình hiển thị của trình duyệt.

Lỗi integer overflow thường dẫn đến các hành vi không mong muốn của ứng dụng hoặc có liên quan đến bảo mật. Trong ngữ cảnh của Skia, nó có thể gây ra hiển thị không chính xác, hỏng bộ nhớ và thực thi mã tùy ý dẫn đến truy cập hệ thống trái phép.

Bản tin bảo mật của Google cho biết "Chi tiết lỗ hổng và các thông tin liên quan sẽ bị hạn chế cho đến khi phần lớn người dùng được cập nhật bản vá lỗi".

"Chúng tôi cũng sẽ giữ lại các chi tiết nếu lỗ hổng vẫn còn tồn tại trong thư viện của bên thứ ba mà các dự án khác sử dụng nhưng chưa được khắc phục".

Google đã phát hành một bản cập nhật Chrome khẩn cấp khác để vá CVE-2023-2033, lỗ hổng bị khai thác trong thực tế đầu tiên trong trình duyệt được phát hiện vào năm 2023.

Những lỗ hổng này thường bị các tác nhân đe dọa lạm dụng để nhắm đến các đối tượng nổi tiếng làm việc trong chính phủ, truyền thông hoặc các tổ chức quan trọng khác. Do đó, tất cả người dùng Chrome nên áp dụng bản cập nhật có sẵn càng sớm càng tốt.

Phát hiện hai lỗ hổng nghiêm trọng trong Cơ sở dữ liệu PostgreSQL của Alibaba Cloud

Nhóm hai lỗ hổng nghiêm trọng đã được tìm thấy trong ApsaraDB RDS cho PostgreSQL và AnalyticDB cho PostgreSQL của Alibaba Cloud. Các lỗ hổng này có thể bị khai thác để vi phạm các cơ chế bảo vệ cách ly đối tượng thuê và truy cập dữ liệu nhạy cảm của các khách hàng khác.

Công ty bảo mật cloud Wiz cho biết "các lỗ hổng có khả năng cho phép truy cập trái phép vào cơ sở dữ liệu (CSDL) PostgreSQL của khách hàng Alibaba Cloud và thực hiện tấn công chuỗi cung ứng, dẫn đến thực thi mã từ xa (RCE) trên các dịch vụ CSDL của Alibaba".

Hai lỗ hổng - gồm lỗ hổng leo thang đặc quyền trong AnalyticDB và lỗi thực thi mã từ xa trong ApsaraDB RDS - cho phép kẻ tấn công giành được quyền root trong container, thoát khỏi node Kubernetes và cuối cùng có được quyền truy cập trái phép vào API máy chủ.

Khai thác thành công các lỗ hổng, kẻ tấn công có thể truy xuất thông tin xác thực được liên kết với container registry từ máy chủ API và tải các image độc hại để giành quyền kiểm soát CSDL khách hàng thuộc về những người thuê khác trên cùng nút mạng.

Đây không phải lần đầu tiên các lỗ hổng PostgreSQL được xác định trong các dịch vụ cloud. Năm ngoái, Wiz đã phát hiện ra các sự cố tương tự trong CSDL Azure cho Máy chủ PostgreSQL Flexible (ExtraReplica) và CSDL cloud của IBM cho PostgreSQL (Hell's Keychain).

Phát hiện này được đưa ra khi Palo Alto Networks Unit 42 tiết lộ trong Báo cáo mối đe dọa cloud rằng "các tác nhân đe dọa ngày càng thông thạo trong việc khai thác các vấn đề phổ biến thường gặp trong môi trường cloud", bao gồm cấu hình sai, thông tin xác thực yếu, thiếu xác thực, lỗ hổng chưa được vá và các phần mềm độc hại mã nguồn mở (OSS).