Hoppa yfir valmynd

Alvarlegir veikleikar í Outlook, Android, InfraSuite og ThinManager ThinServer

24. mar. 2023

Tilkynnt var um nokkra alvarlega veikleika í Android, InfraSuite Device Master, ThinManager ThinServer og Outlook fyrir Windows. CERT-IS mælir með uppfærslum eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður og mótvægisaðgerðum ef uppfærslur eru ekki enn í boði.

 

Aukin hætta fyrir misnotkun á Outlook veikleika

Varað hefur verið við aukinni hættu á misnotkun á Microsoft Windows Outlook veikleikanum CVE-2023-23397 með CVSSv3 skor 9.8 eftir að kóði (e. PoC) var gefinn út sem ógnaraðilar geta nýtt sér [1]. CERT-IS tilkynnti um veikleikann [2] í kjölfar bótadags hjá Microsoft sem gáfu út mótvægisaðgerðir gegn veikleikanum [3].

 

Mjög alvarlegir Android veikleikar

Google hefur varað við fjórum alvarlegum núll-dags veikleikum (e. zero-day) sem eiga við breitt svið Android snjallsíma [4]. Veikleikarnir tengjast grunnbandi (e. baseband) tækjanna og gera árásaraðilum kleift að keyra kóða sem kerfisstjóri (e. Remote Code Execution). Google gaf út mótvægisaðgerðir sem fólk er hvatt til að grípa til þar til kerfin hafa verið uppfærð [4,5].

Eftirfarandi tæki eru veik fyrir göllunum: 

  • Snjalltæki frá Samsung, meðal annars S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 og A04
  • Snjalltæki frá Vivo, meðal annars S16, S15, S6, X70, X60 og X30
  • Pixel 6 og Pixel 7 frá Google

 

Rockwell Automation ThinManager ThinServer

CISA hefur tilkynnt um veikleika sem tengjast ThinServer fyrir ThinManager kerfið frá Rockwell Automation. Misnotkun á þessum veikleikum gefur ógnaraðila færi á að yfirskrifa keyranlegar skrár (e. executables) með spilliforritum sem getur jafnframt leitt til keyrslu á kóða sem kerfisstjóri (e. Remote Code Execution) eða valdið öðru tjóni s.s. kerfishruni. Alvarlegastu veikleikarnir eru CVE-2023-28755 með CVSSv3 skor upp á 9.8 og CVE-2023-28756 með CVSSv3 skor 7.5 [6].

Eftirfarandi útgáfur eru veikar fyrir göllunum: 

  • 6.x – 10.x 
  • 11.0.0 – 11.0.5 
  • 11.1.0 – 11.1.5 
  • 11.2.0 – 11.2.6 
  • 12.0.0 – 12.0.4 
  • 12.1.0 – 12.1.5 
  • 13.0.0 – 13.0.1 

Veikleikinn hefur verið lagfærður/er ekki til staðar í eftirfarandi útgáfum: 

  • 11.0.6 
  • 11.1.6 
  • 11.2.7 
  • 12.0.5 
  • 12.0.6 
  • 12.1.6 
  • 13.0.2 

 

Delta Electronics InfraSuite Device Master

CISA hefur tilkynnt um þrettán veikleika í rauntímavöktunarkerfinu InfraSuite Device Master frá Delta Electronics. Um er að ræða veikleika þar sem óviðkomandi aðili getur fengið aðgang að viðkvæmum upplýsingum og skrám, aukin réttindi og möguleikann á að keyra kóða sem kerfisstjóri (e. Remote Execution Code). Meðal þessara veikleika voru eftirfarandi þrír metnir sem þeir alvarlegustu:

  • CVE-2023-1133 með CVSSv3 skor upp á 9.8 er veikleiki sem felur í sér leiðir sem ógnaraðilar geta nýtt sér til að komast yfir gögn (e. deserialized content) án auðkenningar [6]
  • CVE-2023-1136 með CVSSv3 skor upp á 9.8 er veikleiki þar sem ógnaraðili getur öðlast aðgang með því að búa til tóka (e. token) og auðkennt sig án sannvottunar
  • CVE-2023-1140 með CVSSv3 skor upp á 9.8 er veikleiki sem gefur ógnaraðila færi á að keyra kóða sem kerfisstjóri (e. Remote Code Execution) [7]

Eftirfarandi útgáfur eru veikar fyrir göllunum: 

  • Útgáfur <1.0.5

 

Tilvísanir

[1] - https://www.scmagazine.com/news/email-security/outlook-zero-day-poc-con=cerns
[2] - https://cert.is/frettir-og-tilkynningar/frettasafn/frett/fr%C3%A9ttir/t= hridjudagur-til-bota-microsoft-patch-tuesday-14-mars
[3] - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
[4] - https://googleprojectzero.blogspot.com/2023/03/multiple-internet-to-bas= eband-remote-rce.html
[5] - https://nakedsecurity.sophos.com/2023/03/17/dangerous-android-phone-0-d= ay-bugs-revealed-patch-or-work-around-them-now/
[6] - https://thehackernews.com/2023/03/cisa-alerts-on-critical-security.html [7] https://www.cisa.gov/news-events/ics-advisories/icsa-23-080-02
[7] - https://www.cisa.gov/news-events/ics-advisories/icsa-23-080-02