Zranitelnost Text4Shell v Apache Commons Text z 19. 10. 2022
Byla objevena zranitelnost v knihovně Apache Commons Text, která umožňuje útočníkovi spustit na napadených instalacích libovolný kód. Uvedená zranitelnost, nazvaná Text4Shell, se projevuje v třídě interpolátorů StringSubstitutor, jež je zahrnuta v knihovně Apache Commons Text, přičemž defaultní interpolátor umožňuje vyhledávat vlákna, což může vést k vzdálenému spuštění kódu z důvodu logické chyby, jež způsobuje, že vyhledávací klíče “script”, “dns” and “url” jsou defaultně interpolovány, v rozporu s tím co by se mělo dít podle dokumentace třídy StringLookupFactory. Tyto klíče pak umožňují útočníkovi spustit libovolný kód prostřednictvím vyhledávání.
Návrh řešení týmu viz ThreatGuard-ID: 2335
Zranitelnosti Wi-Fi v linuxovém jádru
Zranitelnosti Wi-Fi Linuxového jádra umožňují vzdálené spuštění kódu a DoS. Zranitelnosti umožňují přetížení bufferu linuxového jádra zasláním předpřipravených WLAN rámců. Vzdálený útočník může zranitelností jednoduše zneužít ke spuštění libovolného kódu na napadnutelném zařízení nebo způsobit pád systému.
Návrh řešení týmu viz ThreatGuard-ID: 2342
Kritická zranitelnost v Microsoft Exchange Serveru nazvaná ProxyNotShell
Byly zaznamenány úspěšné exploitace Exchange Serverů skrze rozhraní Outlook Web App (owa). Pravděpodobně se jedná o chybu podobnou dříve objevené chybě nazvané jako ProxyShell. Bezpečnostní výzkumníci z GTSC odhalili několik úspěšných útoků na Exchange servery skrze Outlook Web Access (owa) kdy se podařilo na cílovém serveru spustit další kód. Probíhá investigace událostí Microsoftem a dalšími výzkumníky k odhalení konkrétní zneužité zranitelnosti.
Update 3.10.2022:
Dle investigace zranitelností Microsoftem se jedná o dvě zranitelnosti postihující Microsoft Exchange Server 2013, Exchange Server 2016 a Exchange Server 2019. První zranitelností je CVE-2022-41040 a jedná se o zranitelnost typu Server-Side Request Forgery (SSRF). Druhou je CVE-2022-41082, která umožňuje vzdálené spuštění kódu (RCE) a to skrze PowerShell, který tak musí být na serveru pro webovou službu dostupný. Exploitace serveru tedy probíhá využitím těchto dvou zranitelností, kdy CVE-2022-41040 umožňuje autentizovanému vzdálenému útočníkovi na serveru spustit kód prostřednictvím zranitelnosti CVE-2022-41082.
Návrh řešení týmu viz ThreatGuard-ID: 2313