Mỹ vừa đưa 3 lỗ hổng bảo mật vào danh mục các lỗ hổng bị khai thác đă biết (KEV) từ các bằng chứng về hoạt động khai thác tích cực.
Theo The Hacker News, 3 lỗi mới được Cơ quan An ninh mạng và Cơ sở hạ tầng của Mỹ (CISA) đưa vào KEV gồm CVE-2023-1389 (Điểm CVSS 8.8), CVE-2021-45046 (CVSS 9.0) và CVE-2023-21839 (CVSS 7.5). Lỗi CVE-2023-1389 mô tả việc chèn lệnh ảnh hưởng đến bộ định tuyến TP-Link Archer AX-21 bị khai thác để thực thi mă từ xa. Theo Trend Micro, lỗ hổng này đă bị botnet Mirai khai thác sử dụng từ ngày 11.4.2023.
Lỗ hổng thứ hai thêm vào danh mục KEV là CVE-2021-45046, được mô tả là việc thực thi mă từ xa ảnh hưởng đến thư viện ghi nhật kư Apache Log4j2, lỗi này được công bố vào tháng 12.2021. Điều đáng lo ngại là vẫn chưa rơ lỗi này đang bị khai thác như thế nào, dù dữ liệu do GreyNoise thu thập cho thấy có bằng chứng khai thác từ 74 địa chỉ IP trong 30 ngày qua.
CISA mới thêm 3 lỗ hổng bảo mật vào danh mục lỗ hổng đang bị khai thác tích cực
Lỗi thứ ba vừa được thêm vào KEV là lỗi nghiêm trọng cao trong máy chủ Oracle WebLogic phiên bản 12.2.1.3.0, 12.2.1.4.0 và 14.1.1.0.0, khi bị khai thác có thể cho phép truy cập trái phép vào dữ liệu nhạy cảm. Nó đă được hăng này vá như một phần của bản cập nhật phát hành vào tháng 1.2023.
CISA nói máy chủ Oracle WebLogic chứa một lỗ hổng cho phép kẻ tấn công không được xác thực có quyền truy cập mạng thông qua T3, IIOP để xâm nhập. Các cơ quan của Chi nhánh Hành pháp Dân sự Liên bang (FCEB) phải áp dụng các bản sửa lỗi trước ngày 22.5.2023 để bảo vệ mạng của họ trước các mối đe dọa đang hoạt động này.
Đầu tháng 3 qua, VulnCheck công bố có đến 42 lỗ hổng bảo mật có khả năng được "vũ khí hóa" vào năm 2022 đă bị thiếu trong danh mục KEV. Trong số đó phần lớn có liên quan đến việc khai thác bởi các botnet giống Mirai (27 lỗi), tiếp theo là các nhóm ransomware (6 lỗi) và các tác nhân đe dọa khác (9 lỗi).