Agencja ds. Cyberbezpieczeństwa Stanów Zjednoczonych reaguje na nowy problem bezpieczeństwa
Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury USA (CISA) ogłosiła włączenie nowo załatanej luki bezpieczeństwa dotyczącej aplikacji Acclaim Systems USAHERDS do oficjalnego Katalogu Eksploatowanych Luk (Known Exploited Vulnerabilities – KEV). Decyzja ta została podjęta na podstawie zebranych dowodów sugerujących aktywne wykorzystanie tej wady w środowisku produkcyjnym.
Usterka, oznaczona jako CVE-2021-44207, uzyskała ocenę CVSS na poziomie 8.1, co oznacza wysoką wagę tego zagrożenia. Problem sprowadza się do zastosowania statycznych i hardcodowanych kluczy w systemie USAHERDS, co otwiera potencjalnym atakującym drogę do wykonania dowolnego kodu na podatnych serwerach, na których działa aplikacja. Wersje podatne to 7.4.0.1 i wcześniejsze.
Szczególnym punktem krytycznym jest użycie statycznych wartości kluczy ValidationKey oraz DecryptionKey. Mogą one zostać wykorzystane do osiągnięcia zdalnego wykonania kodu na serwerze aplikacyjnym, choć wcześniej atakujący musiałby zdobyć te klucze w wyniku innych działań hakerskich.
Według wyjaśnień ekspertów z Mandiant, „Te klucze służą do zapewnienia bezpieczeństwa ViewState aplikacji. Zagrożony serwer, wyposażony w odpowiedni algorytm deserializacyjny i znajomość tych kluczy przez atakującego, może zostać zmanipulowany w celu interpretacji złośliwie przygotowanego ViewState i wykonania kodu.”
Mechanizm ten niesie ze sobą poważne konsekwencje, gdyż umożliwia przeprowadzenie serii zaawansowanych ataków. Eksperci ostrzegają, że taka luka otwiera przestrzeń do nieautoryzowanego dostępu do serwerów, co w skrajnych przypadkach może oznaczać pełne przejęcie kontroli nad systemem.
Problemy z przeszłości i obecna sytuacja
Chociaż do chwili obecnej nie pojawiły się nowe raporty o masowym wykorzystywaniu luki CVE-2021-44207, to warto przypomnieć, że luka została pierwotnie zidentyfikowana jako exploit zero-day w 2021 roku. Stowarzyszona z Chinami grupa APT41 wykorzystała ją podczas ataków na sieci sześciu stanowych rządów USA, co wywołało poważne reperkusje i rozległe działania naprawcze.
Agencje należące do Federalnego Wydziału Egzekutywnego Stanów Zjednoczonych (FCEB) otrzymały zalecenia, aby wdrożyć odpowiednie poprawki bezpieczeństwa dostarczone przez dostawców oprogramowania przed datą graniczną, która przypada na 13 stycznia 2025 roku. Jest to kluczowe, aby zabezpieczyć infrastrukturę przed potencjalnymi zagrożeniami wynikającymi z dalszego wykorzystania tej podatności.
Nowa krytyczna luka w Adobe ColdFusion
Niepokojące wieści pojawiły się również ze strony Adobe, które ostrzegło o istnieniu krytycznej luki w swoim oprogramowaniu ColdFusion. Problem, oznaczony jako CVE-2024-53961, uzyskał wynik CVSS równy 7.8. Luka ta, zdaniem Adobe, posiada już znany proof-of-concept (PoC) pozwalający na wykonanie dowolnego odczytu z systemu plików.
Aby uchronić użytkowników, firma Adobe przygotowała stosowne aktualizacje. Problem został usunięty w ColdFusion 2021 Update 18 oraz ColdFusion 2023 Update 12. Wszystkim użytkownikom zaleca się natychmiastową instalację tych poprawek, aby zminimalizować ryzyko potencjalnych ataków.
Incydenty te jeszcze raz pokazują, jak kluczowe jest regularne aktualizowanie oprogramowania i monitorowanie zagrożeń, które mogą dotknąć zarówno duże organizacje, jak i mniejszych użytkowników systemów IT. Przywracanie bezpieczeństwa wymaga szybkich działań, edukacji oraz współpracy w zakresie identyfikacji i eliminowania potencjalnych podatności.
