CISA เพิ่มช่องโหว่ใหม่ 7 ช่องโหว่เข้าในรายการช่องโหว่ที่ต้องรีบดำเนินการแก้ไข

สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัยของระบบ SAP เข้าสู่ Known Exploited Vulnerabilities Catalog โดยอิงจากหลักฐานที่เริ่มพบเหตุการณ์การโจมตีเกิดขึ้นในปัจจุบัน

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-22536 ซึ่งมี CVSS สูงสุดที่ 10.0 และได้รับการแก้ไขไปแล้วจากทาง SAP ในช่วงของการอัปเดต Patch Tuesday ในเดือนกุมภาพันธ์ 2022

โดยเป็นช่องโหว่ HTTP request smuggling และส่งผลกระทบต่อ SAP เวอร์ชันต่อไปนี้

  • SAP Web Dispatcher (Versions - 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87)
  • SAP Content Server (Version - 7.53)
  • SAP NetWeaver and ABAP Platform (Versions - KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49)

ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเพิ่มข้อมูลใน request ของเหยื่อด้วยข้อมูลที่ถูกสร้างขึ้น เพื่อให้สามารถเรียกใช้งานฟังก์ชัน หรือฝังข้อมูลที่เป็นอันตรายไว้กับเว็บแคชได้" CISA กล่าวในการแจ้งเตือน

"ด้วย HTTP request ธรรมดา ไม่ต่างจาก request ปกติอื่นๆ ก็เพียงพอที่ทำให้สามารถโจมตีได้สำเร็จ” Onapsis ซึ่งเป็นผู้ค้นพบช่องโหว่ระบุในรายงาน

“ด้วยเหตุนี้จึงทำให้ผู้โจมตีสามารถใช้ประโยชน์จากมันได้ง่ายมาก และเป็นเรื่องที่ท้าทายสำหรับเทคโนโลยีด้านความปลอดภัย เช่น firewalls หรือ IDS/IPS ที่จะตรวจสอบ เนื่องจากมันดูไม่เหมือนเป็นเพย์โหลดที่น่าจะเป็นอันตราย"

นอกเหนือจากช่องโหว่ของ SAP แล้ว CISA ยังได้เพิ่มช่องโหว่ใหม่ที่ถูกเปิดเผยโดย Apple (CVE-2022-32893 และ CVE-2022-32894) และ Google (CVE-2022-2856) ในสัปดาห์นี้ รวมทั้งช่องโหว่ที่เกี่ยวข้องกับ Microsoft ก่อนหน้านี้ (CVE-2022-21971 และ CVE-2022-26923) และช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Palo Alto Networks PAN-OS (CVE-2017-15944 CVSS: 9.8) ที่ถูกเปิดเผยในปี 2560

CVE-2022-21971 (CVSS: 7.8) เป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Windows Runtime ที่ถูกแก้ไขโดย Microsoft ไปแล้วในเดือนกุมภาพันธ์ 2022 และ CVE-2022-26923 (CVSS: 8.8) ถูกแก้ไขไปแล้วในเดือนพฤษภาคม 2565 ซึ่งเป็นช่องโหว่ในการยกระดับสิทธิ์ใน Active Directory Domain Services

เพื่อลดความเสี่ยงต่อภัยคุกคามที่อาจเกิดขึ้น หน่วยงานภายใต้การกำกับดูแล Federal Civilian Executive Branch (FCEB) ต้องดำเนินการอัปเดตช่องโหว่ต่างๆข้างต้นภายในวันที่ 8 กันยายน 2022

ที่มา: thehackernews