اضافه شدن سه نقص امنیتی جدید به فهرست آسیب‌پذیری‌های شناخته‌شده آژانس امنیت سایبری آمریکا

به گزارش کارگروه امنیت سایبربان؛ لیست نقص‌های اخیر آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده به شرح زیر است:

CVE-2022-47986 (امتیاز CVSS: 9.8) - آسیب‌پذیری اجرای کد IBM Aspera Faspex

CVE-2022-41223 (امتیاز CVSS: 6.8) - آسیب‌پذیری Mitel MiVoice Connect Code Injection

CVE-2022-40765 (امتیاز CVSS: 6.8) - آسیب‌پذیری تزریق فرمان Mitel MiVoice Connect

نقض CVE-2022-47986 به‌عنوان یک نقص سریال زدایی YAML در راه‌حل انتقال فایل توصیف می‌شود که می‌تواند به یک مهاجم راه دور اجازه دهد تا کد را روی سیستم اجرا کند.

جزئیات این نقص و اثبات مفهوم (PoC) توسط استنوت (Assetnote) در 2 فوریه به اشتراک گذاشته شده بود، یک روز پس‌ازآن نیز بنیاد شد و سرور (Shadowserver) گفت که اقدامات بهره‌برداری را انجام داده است.

بهره‌برداری فعال از نقص آسپرا فسپکس (Aspera Faspex) مدت کوتاهی پس از یک آسیب‌پذیری در نرم‌افزار انتقال فایل گو انی ور ام اف تی فورترا (GoAnywhere MFT Fortra (CVE-2023-0669)) توسط عوامل تهدید با پیوندهای احتمالی به عملیات باج افزار کلاپ (Clop) مورد سوءاستفاده قرار گرفت.

آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده همچنین دو نقص را که برمیتل میوویس کانکت (Mitel MiVoice Connect) تأثیر می‌گذارد را اضافه کرده است که می‌تواند به یک مهاجم احراز هویت با دسترسی به شبکه داخلی اجازه اجرای کد دلخواه را بدهد.

جزئیات دقیق مربوط به ماهیت حملات نامشخص است. این آسیب‌پذیری‌ها توسط میتل در اکتبر 2022 اصلاح شده‌اند.

با توجه به بهره‌برداری‌های انجام شده، آژانس‌های شعبه اجرایی غیرنظامی فدرال (FCEB) موظف‌اند تا 14 مارس 2023 به‌روزرسانی‌های لازم را برای ایمن کردن شبکه‌ها در برابر تهدیدات احتمالی اعمال کنند.

آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده، در یک توسعه مرتبط، همچنین یک توصیه سیستم‌های کنترل صنعتی (ICS) را منتشر کرد که به نقص‌های مهم در ملسافت آی کیو اپ پورتال (MELSOFT iQ AppPortal) میتسوبیشی الکتریک مربوط می‌شود.

این آژانس می‌گوید:

استفاده موفقیت‌آمیز از این آسیب‌پذیری‌ها می‌تواند به یک مهاجم مخرب اجازه دهد تا تأثیرات نامشخصی مانند دور زدن احراز هویت، افشای اطلاعات، انکار سرویس، یا دور زدن احراز هویت آدرس آی پی را ایجاد کند.