Американската агенция за киберсигурност и инфраструктурна сигурност (CISA) даде срок до 17 ноември 2023 г. на федералните агенции и организации да приложат мерки за намаляване на риска, за да се предпазят от редица пропуски в сигурността на операционната система Juniper Junos OS, които станаха известни през август.
В понеделник агенцията добави пет уязвимости към каталога на известните експлоатирани уязвимости(Known Exploited Vulnerabilities– KEV) въз основа на доказателства за активна експлоатация –
- CVE-2023-36844 (CVSS оценка: 5.3) – уязвимост в PHP за външна модификация на променливи в Juniper Junos OS EX Series
- CVE-2023-36845 (CVSS score: 5.3) – уязвимост при PHP модификация на външни променливи в Juniper Junos OS EX Series и SRX Series
- CVE-2023-36846 (CVSS score: 5.3) – уязвимост в Juniper Junos OS SRX Series – липсваща автентификация за критична функция
- CVE-2023-36847 (CVSS score: 5.3) – уязвимост в Juniper Junos OS EX Series Missing Authentication for Critical Function
- CVE-2023-36851 (CVSS оценка: 5.3) – уязвимост при липсващо удостоверяване на автентичността за критична функция на Juniper Junos OS SRX Series
Според Juniper уязвимостите могат да бъдат превърнати във верига от експлойти, за да се постигне отдалечено изпълнение на код на непоправени устройства. В списъка е добавена и CVE-2023-36851, която е описана като вариант на дефекта при качване на SRX.
В актуализация на своята консултация от 8 ноември 2023 г. Juniper заяви, че „вече е наясно с успешното използване на тези уязвимости“, като препоръча на клиентите да актуализират до най-новите версии с незабавен ефект.
Подробностите, свързани с естеството на експлоатацията, засега не са известни.
В отделно предупреждение CISA също така предупреди, че бандата Royal ransomware може да се прекръсти на BlackSuit поради факта, че последният споделя „редица идентифицирани характеристики на кодиране, подобни на Royal“.
Развитието на ситуацията идва в момент, когато Cyfirma разкри, че експлойти за критични уязвимости се предлагат за продажба в даркнет форуми и канали на Telegram.
„Тези уязвимости обхващат повишаване на привилегиите, заобикаляне на удостоверяването, инжектиране на SQL и отдалечено изпълнение на код, което представлява значителен риск за сигурността“, заяви фирмата за киберсигурност и добави: „Групите за рансъмуер активно търсят уязвимости от нулев ден в ъндърграунд форуми, за да компрометират голям брой жертви.“
Тя следва и разкритията на Huntress, че заплахите са насочени към множество здравни организации, като злоупотребяват с широко използвания инструмент за отдалечен достъп ScreenConnect, използван от Transaction Data Systems, доставчик на софтуер за управление на аптеки, за първоначален достъп.
„Извършителят на заплахата е продължил да предприема няколко стъпки, включително инсталиране на допълнителни инструменти за отдалечен достъп, като например екземпляри на ScreenConnect или AnyDesk, за да осигури постоянен достъп до средите“, отбелязва Huntress.