Badan Keamanan Siber dan Infrastruktur AS (CISA) menambahkan beberapa kelemahan keamanan yang memengaruhi produk-produk dari Zyxel, North Grid Proself, ProjectSend, dan CyberPanel ke dalam katalog Known Exploited Vulnerabilities (KEV), dengan mengutip bukti adanya eksploitasi aktif di alam liar.
Daftar kerentanannya adalah sebagai berikut –
- CVE-2024-51378 (Skor CVSS: 10.0) – Kerentanan izin default yang salah yang memungkinkan bypass otentikasi dan eksekusi perintah sewenang-wenang menggunakan metakarakter shell di properti statusfile
- CVE-2023-45727 (Skor CVSS: 7.5) – Pembatasan kerentanan referensi XML External Entity (XXE) yang tidak tepat yang dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk melakukan serangan XXE
- CVE-2024-11680 (Skor CVSS: 9.8) – Kerentanan autentikasi yang tidak tepat yang memungkinkan penyerang jarak jauh yang tidak diautentikasi membuat akun, mengunggah shell web, dan menyematkan JavaScript berbahaya
- CVE-2024-11667 (Skor CVSS: 7.5) – Kerentanan penjelajahan jalur di antarmuka manajemen web yang memungkinkan penyerang mengunduh atau mengunggah file melalui URL yang dibuat
Dimasukkannya CVE-2023-45727 ke katalog KEV terjadi setelah laporan Trend Micro yang dirilis pada 19 November 2024, mengaitkan eksploitasi aktifnya dengan kelompok spionase siber China-nexus yang dijuluki Earth Kasha (alias MirrorFace).
Kemudian minggu lalu, vendor keamanan siber VulnCheck mengungkapkan bahwa aktor jahat telah mencoba menggunakan CVE-2024-11680 sebagai senjata pada awal September 2024 untuk menjatuhkan muatan pasca-eksploitasi.
Sebaliknya, penyalahgunaan CVE-2024-51378 dan CVE-2024-11667 telah dikaitkan dengan berbagai kampanye ransomware seperti PSAUX dan Helldown, menurut Censys dan Sekoia.
Badan-badan Cabang Eksekutif Sipil Federal (FCEB) direkomendasikan untuk memulihkan kerentanan yang teridentifikasi paling lambat tanggal 25 Desember 2024, untuk mengamankan jaringan mereka.
Beberapa Bug di Router DATA IO Sedang Diserang
Perkembangan ini terjadi ketika JPCERT/CC memperingatkan bahwa tiga kelemahan keamanan pada router IO DATA UD-LT1 dan UD-LT1/EX sedang dieksploitasi oleh pelaku ancaman yang tidak dikenal.
- CVE-2024-45841 (Skor CVSS: 6.5) – Penetapan izin yang salah untuk kerentanan sumber daya penting yang memungkinkan penyerang dengan akses akun tamu untuk membaca file sensitif, termasuk file yang berisi kredensial
- CVE-2024-47133 (Skor CVSS: 7.2) – Kerentanan injeksi perintah sistem operasi (OS) yang memungkinkan pengguna yang masuk dengan akun administratif untuk menjalankan perintah sewenang-wenang
- CVE-2024-52564 (Skor CVSS: 7.5) – Penyertaan kerentanan fitur tidak terdokumentasi yang memungkinkan penyerang jarak jauh menonaktifkan fungsi firewall, dan menjalankan perintah OS sewenang-wenang atau mengubah konfigurasi router
Meskipun patch untuk CVE-2024-52564 telah tersedia dengan firmware Ver2.1.9, perbaikan untuk dua kekurangan lainnya diperkirakan tidak akan dirilis hingga 18 Desember 2024 (Ver2.2.0).
Sementara itu, perusahaan Jepang tersebut menyarankan agar pelanggan membatasi layar pengaturan agar tidak terekspos ke internet dengan menonaktifkan manajemen jarak jauh, mengubah kata sandi pengguna tamu default, dan memastikan kata sandi administrator tidak mudah ditebak.
