Op donderdag heeft CISA Amerikaanse overheidsinstanties opdracht gegeven hun systemen te beveiligen tegen een kritieke kwetsbaarheid in Microsoft Configuration Manager. Dit lek, dat in oktober 2024 werd gepatcht en nu wordt misbruikt in aanvallen, moet dringend worden aangepakt.

Microsoft Configuration Manager (ook bekend als ConfigMgr en voorheen System Center Configuration Manager, of SCCM) is een tool voor IT-beheer die wordt gebruikt om grote groepen Windows-servers en -werkstations te beheren.

Deze SQL-injectie kwetsbaarheid, met de codenaam CVE-2024-43468 en gemeld door het beveiligingsbedrijf Synacktiv, stelt aanvallers in staat om op afstand zonder rechten code uit te voeren en willekeurige opdrachten uit te voeren met de hoogste privileges op de server en/of de onderliggende Microsoft Configuration Manager-site database.

“Een niet-geauthenticeerde aanvaller kan deze kwetsbaarheid exploiteren door speciaal ontworpen verzoeken naar de doelomgeving te sturen, die op een onveilige manier worden verwerkt. Dit stelt de aanvaller in staat opdrachten op de server en/of onderliggende database uit te voeren,” legde Microsoft uit toen het het lek in oktober 2024 repareerde.

Destijds gaf Microsoft aan dat “Exploitation Less Likely” was, omdat een aanvaller waarschijnlijk moeite zou hebben met het maken van de code. Hiervoor zou expertise en/of geavanceerde timing nodig zijn, evenals gevarieerde resultaten bij het aanvallen van het getroffen product.

Echter, Synacktiv deelde op 26 november 2024 exploitcode als bewijs van concept voor CVE-2024-43468, bijna twee maanden nadat Microsoft beveiligingsupdates uitbracht om deze kwetsbaarheid op afstand uit te schakelen.

Hoewel Microsoft zijn advies nog niet heeft geüpdatet met extra informatie, heeft CISA nu CVE-2024-43468 gemarkeerd als actief geëxploiteerd en heeft het de federale burgerlijke uitvoerende macht (FCEB) opdracht gegeven hun systemen uiterlijk 5 maart te patchen, zoals vereist door de Bindende Operationele Richtlijn (BOD) 22-01.

“Deze soorten kwetsbaarheden zijn veelgebruikte aanvalsmethoden voor kwaadwillende cyberactoren en vormen aanzienlijke risico’s voor de federale onderneming,” waarschuwde het Amerikaanse cyberveiligheidsagentschap.

“Pas mitigaties toe volgens de instructies van de leverancier, volg de toepasselijke BOD 22-01 richtlijnen voor clouddiensten, of stop het gebruik van het product als er geen mitigaties beschikbaar zijn.”

Hoewel BOD 22-01 alleen van toepassing is op federale instellingen, moedigde CISA alle netwerkverdedigers aan, inclusief die in de private sector, om hun apparaten zo snel mogelijk te beveiligen tegen de voortdurende CVE-2024-43468 aanvallen.