Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Senin menambahkan kelemahan keamanan kritis yang kini telah ditambal yang berdampak pada gateway akses aman Array Networks AG dan vxAG ke katalog Kerentanan yang Diketahui Tereksploitasi (KEV) menyusul laporan eksploitasi aktif di alam liar.
Kerentanannya, yang dilacak sebagai CVE-2023-28461 (skor CVSS: 9.8), berkaitan dengan kasus hilangnya autentikasi yang dapat dieksploitasi untuk mencapai eksekusi kode arbitrer dari jarak jauh. Perbaikan (versi 9.4.0.484) untuk kelemahan keamanan dirilis oleh vendor perangkat keras jaringan pada bulan Maret 2023.
“Kerentanan eksekusi kode jarak jauh Array AG/vxAG adalah kerentanan keamanan web yang memungkinkan penyerang menelusuri sistem file atau mengeksekusi kode jarak jauh pada gateway SSL VPN menggunakan atribut flags di header HTTP tanpa otentikasi,” kata Array Networks. “Produk ini dapat dieksploitasi melalui URL yang rentan.”
Dimasukkannya ke dalam katalog KEV terjadi tak lama setelah perusahaan keamanan siber Trend Micro mengungkapkan bahwa kelompok spionase siber yang terkait dengan Tiongkok yang dijuluki Earth Kasha (alias MirrorFace) telah mengeksploitasi kelemahan keamanan dalam produk perusahaan yang berhubungan dengan publik, seperti Array AG (CVE-2023-28461 ), Proself (CVE-2023-45727), dan Fortinet FortiOS/FortiProxy (CVE-2023-27997), untuk akses awal.
Earth Kasha dikenal karena menargetkan entitas Jepang secara luas, meskipun dalam beberapa tahun terakhir, ia juga terlihat menyerang Taiwan, India, dan Eropa.
Awal bulan ini, ESET juga mengungkapkan kampanye Earth Kasha yang menargetkan entitas diplomatik yang tidak disebutkan namanya di Uni Eropa untuk memberikan pintu belakang yang dikenal sebagai ANEL dengan menggunakannya sebagai umpan pada World Expo 2025 mendatang yang dijadwalkan berlangsung di Osaka, Jepang. mulai April 2025.
Mengingat adanya eksploitasi aktif, lembaga Cabang Eksekutif Sipil Federal (FCEB) direkomendasikan untuk menerapkan patch paling lambat tanggal 16 Desember 2024, untuk mengamankan jaringan mereka.
Pengungkapan ini terjadi ketika 15 kelompok peretas Tiongkok yang berbeda dari total 60 pelaku ancaman telah dikaitkan dengan penyalahgunaan setidaknya satu dari 15 kerentanan teratas yang secara rutin dieksploitasi pada tahun 2023, menurut VulnCheck.
Perusahaan keamanan siber tersebut mengatakan telah mengidentifikasi lebih dari 440.000 host yang terpapar internet dan berpotensi rentan terhadap serangan.
“Organisasi harus mengevaluasi paparan mereka terhadap teknologi ini, meningkatkan visibilitas terhadap potensi risiko, memanfaatkan intelijen ancaman yang kuat, mempertahankan praktik manajemen patch yang kuat, dan menerapkan kontrol mitigasi, seperti meminimalkan paparan perangkat ini ke internet jika memungkinkan,” kata Patrick Garrity dari VulnCheck. .