CISA bestempelt Microsoft .NET- en Apache OFBiz-fouten als benut in aanvallen.

De Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) heeft vier kwetsbaarheden toegevoegd aan zijn catalogus van bekende geëxploiteerde kwetsbaarheden en dringt aan bij federale agentschappen en grote organisaties om de beschikbare beveiligingsupdates zo snel mogelijk toe te passen.

Onder hen bevinden zich gebreken die invloed hebben op Microsoft .NET Framework en Apache OFBiz (Open For Business), twee veelgebruikte softwaretoepassingen.

Hoewel het agentschap deze tekortkomingen als actief geëxploiteerd in aanvallen heeft gemarkeerd, heeft het geen specifieke details verstrekt over de kwaadaardige activiteit, wie deze uitvoert en tegen wie.

Het eerste mankement, gevolgd onder CVE-2024-29059, is een informatielek van hoge ernst (CVSS v3 score: 7.5) in het .NET Framework, ontdekt door CODE WHITE en in november 2023 aan Microsoft bekendgemaakt.

Microsoft sloot het rapport in december 2023 af met de opmerking: “na zorgvuldig onderzoek hebben we vastgesteld dat deze zaak niet voldoet aan onze norm voor onmiddellijke service.”

Echter heeft Microsoft uiteindelijk het lek gerepareerd in de beveiligingsupdates van januari 2024, maar heeft per ongeluk geen CVE uitgegeven of de onderzoekers erkend.

In februari heeft CODE WHITE technische details en een proof-of-concept-exploit vrijgegeven voor het lekken van interne object-URI’s, die kunnen worden gebruikt om .NET Remoting-aanvallen uit te voeren,

Microsoft heeft uiteindelijk in maart 2024 een advies uitgebracht voor dit mankement onder CVE-2024-29059 en de ontdekking toegeschreven aan de onderzoekers.

Het Apache OFBiz-gebrek is CVE-2024-45195, een kwetsbaarheid van kritieke ernst (CVSS v3 score: 9.8) voor het uitvoeren van externe code, die OFBiz beïnvloedt vóór versie 18.12.16.

Het gebrek wordt veroorzaakt door een zwakte in geforceerd browsen die blootgelegde paden toelaat voor ongeauthenticeerde directe aanvalverzoeken.

Het probleem werd aanvankelijk ontdekt door Rapid7, die ook een proof-of-concept-exploit presenteerde, terwijl de leverancier het in september 2024 heeft gerepareerd.

Gebruikers worden aanbevolen om te upgraden naar Apache OFBiz versie 18.12.16 of later, waarin het specifieke risico wordt aangepakt.

Nu dringt CISA er bij potentieel getroffen agentschappen en organisaties op aan om de beschikbare patches en mitigerende maatregelen toe te passen voor 25 februari 2025, of te stoppen met het gebruik van de producten.

De andere twee gebreken die deze keer aan KEV zijn toegevoegd, zijn CVE-2018-9276 en CVE-2018-19410, beide met impact op de Paessler PRTG-netwerkbewakingssoftware. De problemen werden opgelost in versie 18.2.41.1652, uitgebracht in juni 2018.

Het eerste mankement is een OS-commando-injectieprobleem en het tweede een lokale bestandsinclusie-kwetsbaarheid. De deadline voor het patchen van deze problemen werd ook vastgesteld op 25 februari 2025.

Helaas is er geen informatie beschikbaar over hoe een van deze tekortkomingen in aanvallen wordt uitgebuit.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----