CISA warning

CISA opfordrer administratorer til at patche Zyxel-fejl

Cybersecurity and Infrastructure Security Agency (CISA) har tilføjet yderligere to sårbarheder til sin liste over aktivt udnyttede fejl, en kodeinjektionsfejl i Spring Cloud Gateway-biblioteket og en kommandoinjektionsfejl i Zyxel-firmware til forretningsfirewalls og VPN-enheder. Spring Framework-sårbarheden (CVE-2022-22947) er en maksimal sværhedsgradssvaghed, som hackere kan misbruge til at få fjernudførelse af kode på ikke-patchede værter. Denne kritiske fejl udnyttes i øjeblikket af et botnet kendt som Sysrv til at installere cryptomining-malware på sårbare Windows- og Linux-servere.

Hackere misbruger også en kritisk Zyxel-firmwaresårbarhed (CVE-2022-30525), patchet den 12. maj og under aktiv udnyttelse fra den næste dag, den 13. maj. Rapid7 fandt over 15,000 sårbare Zyxel-produkter udsat for internetadgang, mens Shadowserver Foundation opdagede mindst 20,000 potentielt påvirkede enheder. Siden udnyttelsen begyndte, advarede NSA’s cybersikkerhedsdirektør Rob Joyce også administratorer om løbende udnyttelse og opfordrede dem til at opdatere deres Zyxel-firewalls firmware, hvis de var sårbare.

Føderale agenturer har tre uger til at patche

Ifølge et bindende operationelt direktiv fra november (BOD 22-01) udstedt af CISA for at reducere risikoen for kendte udnyttede fejl på tværs af amerikanske føderale netværk skal alle Federal Civilian Executive Branch Agencies (FCEB) agenturer lappe deres systemer mod fejl, der føjes til Known Exploited Vulnerabilities Catalog (KEV).

Det amerikanske cybersikkerhedsagentur gav dem tre uger til at rette fejlene, indtil 6. juni, for at blokere igangværende udnyttelsesforsøg. Selvom BOD 22-01-direktivet kun gælder for amerikanske FCEB-agenturer, opfordrede CISA også kraftigt alle amerikanske organisationer fra den private og offentlige sektor til at prioritere at patche disse aktivt udnyttede fejl. Efter agenturets rådgivning bør det navnlig reducere den trussel, som aktører på angrebsoverfladen kan udnytte i forsøg på at bryde ind i sårbare netværk.

I sidste uge tilføjede CISA også en aktivt udnyttet Windows LSA-spoofing zero-day (CVE-2022-26925), nu bekræftet som en ny PetitPotam Windows NTLM Relay-angrebsvektor. Denne Windows-sikkerhedsfejl blev imidlertid fjernet fra KEV-kataloget, efter at det blev opdaget, at Microsofts maj 2022 Patch Tuesday-opdateringer udløser Active Directory (AD) godkendelsesproblemer på domænecontrollere.

Kilde: BleepingComputers

Foto: ExecutiveGov

Scroll to Top