CISA avertizează că atacatorii exploatează acum o vulnerabilitate de injectare de cod Microsoft SharePoint care poate fi înlănțuită cu o defecțiune critică de escaladare a privilegiilor pentru atacuri de execuție de cod la distanță pre-autentificare.
Cunoscută sub numele de CVE-2023-24955, această vulnerabilitate a serverului SharePoint permite atacatorilor autentificați cu privilegii de proprietar de site să execute cod la distanță pe serverele vulnerabile.
A doua defecțiune (CVE-2023-29357) permite atacatorilor la distanță să obțină privilegii de administrator pe serverele SharePoint vulnerabile prin ocolirea autentificării folosind token-uri de autentificare JWT falsificate.
Aceste două vulnerabilități de securitate ale serverului SharePoint pot fi înălțate de atacatorii neautentificați pentru a obține RCE pe serverele nepatch-uite, așa cum a demonstrat cercetătorul STAR Labs Nguyễn Tiến Giang (Janggggg) în timpul concursului Pwn2Own din martie 2023 de anul trecut, la Vancouver.
Un exploit de concept de probă CVE-2023-29357 a fost lansat pe GitHub la 25 septembrie, o zi după ce cercetătorul în securitate a publicat o analiză tehnică descriind procesul de exploatare.
Deși exploitul PoC nu a permis atacatorilor să obțină execuție de cod la distanță pe sistemele vizate, actorii de amenințare totuși ar putea să-l modifice pentru a completa lanțul cu capacități de exploatare CVE-2023-24955 pentru atacurile RCE.
Mai multe exploit-uri PoC care vizează acest lanț au apărut de atunci online (inclusiv unul lansat de Star Labs), ceea ce face mai ușor pentru atacatorii mai puțin calificați să-l folosească în atacurile lor.
O lună mai târziu, CISA a adăugat defecțiunea CVE-2023-29357 în Catalogul său de Vulnerabilități Exploatate Cunoscute și a ordonat agențiilor federale americane să o patcheze până la sfârșitul lunii, pe 31 ianuarie.
Marți, agenția de securitate cibernetică a adăugat, de asemenea, vulnerabilitatea de injectare de cod CVE-2023-24955 la lista sa de defecțiuni de securitate exploatate activ. După cum este impus de BOD 22-01 directiva operațională obligatorie, agențiile federale trebuie să-și securizeze serverele Sharepoint până la 16 aprilie.
Deși CISA nu a oferit detalii cu privire la atacurile care exploatează cele două vulnerabilități Sharepoint, agenția de securitate cibernetică a declarat că nu are dovezi că acestea au fost utilizate în atacuri ransomware.
„Aceste tipuri de vulnerabilități sunt vectori de atac frecvenți pentru actorii cibernetici răuvoitori și prezintă riscuri semnificative pentru întreprinderea federală,” a declarat CISA.
În timp ce catalogul KEV al CISA se concentrează pe alertarea agențiilor federale cu privire la vulnerabilitățile care ar trebui abordate cât mai curând posibil, organizațiile private sunt, de asemenea, sfătuite să-și prioritizeze patch-urile pentru acest lanț de exploatare pentru a bloca atacurile.
Leave a Reply