技術支援
文件
登錄
聯繫我們
七個已知的被利用漏洞添加到 CISA 目錄
羅漢·蒂瑪律西納
實施期間: 2023年5月29 日 - TuxCare專家團隊
CISA(網路安全和基礎設施安全域)於 2023 年 5 月 12 日在其已知的被利用漏洞 (KEV) 目錄中添加了七個新的 Linux 漏洞。
其中包括 Ruckus AP 遠端代碼執行 (CVE-2023-25717)、紅帽許可權提升 (CVE-2021-3560)、Linux 內核許可權提升(CVE-2014-0196 和 CVE-2010-3904)、Jenkins UI 信息洩露 (CVE-2015-5317)、Apache Tomcat 遠端代碼執行 (CVE-2016-8735) 以及 Oracle Java SE 和 JRockit 問題 (CVE-2016-3427)。
Ruckus產品漏洞已被AndoryuBot DDoS殭屍網路利用。但是,沒有關於利用其他漏洞的公開報告。但是,技術細節和概念驗證(PoC)漏洞是可用的,因為其中一些已經為人所知十年了。
七個已知的被利用漏洞
Ruckus 無線管理通過 10.4 允許通過未經身份驗證的 HTTP GET 請求遠端執行代碼,如 /forms/doLogin?login_username=admin&password=password$(curl 子。
此缺陷使非特權本地攻擊者能夠創建新的本地管理員或執行類似操作。此漏洞帶來的主要風險是數據機密性和完整性受損,以及潛在的系統漏洞。
此缺陷使本地用戶能夠利用在讀取和寫入操作期間涉及冗長字串的爭用條件。因此,攻擊者可能導致拒絕服務(記憶體損壞和系統崩潰)或可能獲得升級的許可權。
在 2.6.36 之前的 Linux 內核中, rds_page_copy_user 函數在 net/rds/page.c,用於處理可靠數據報套接字 (RDS) 協定,缺乏對從使用者空間獲取的地址的正確驗證。此漏洞使本地用戶能夠獲得升級的許可權,因為 sendmsg 和 recvmsg 系統調用可通過精心編製的使用加以利用。
在 1.638 之前的 Jenkins 版本和 1.625.2 之前的 LTS 版本中,指紋頁面存在一個漏洞,可能使遠端攻擊者通過直接請求來訪問敏感作業並構建名稱資訊。
此缺陷是由於未能更新偵聽器以與 CVE-2016-3427 Oracle 修補程式保持一致而導致的,這會影響憑據類型並導致不一致。
在 Oracle Java SE 版本 6u113、7u99 和 8u77、Java SE Embedded 8u77 和 JRockit R28.3.9 中發現了一個缺陷。 該漏洞與 JMX(Java 管理擴展)相關,可被攻擊者遠端利用。
針對這些被利用漏洞的解決方案
在製造商終止安全支援后,組織通常需要使用Linux發行版,但網路犯罪分子在 這些產品達到生命周期結束 (EOL) 後繼續尋找和利用漏洞。
幸運的是,TuxCare以 延長生命周期支援的形式提供了解決方案。通過這項服務,組織可以放心地繼續使用這些系統,在正式生命周期結束日期之後再使用長達四年。在延長的時間範圍內,TuxCare負責提供自動漏洞補丁。
此外,TuxCare為超過40 + Linux發行版提供實時補丁服務,包括一些流行的發行版,如CentOS,AlmaLinux,Debian,Ubuntu,Oracle Linux,Amazon Linux,CloudLinux,Red Hat,Rocky Linux和Raspberry Pi OS。
結論
上述漏洞與Linux共用一個共同的連結,這表明它們可能已被利用到針對Linux系統的攻擊中。來自 Linux 發行版的每個漏洞參考公告的 NIST 公告,其中描述了這些缺陷的影響並提供修補程式可用性。
其中一些問題很可能在針對Android設備的攻擊中也被利用,因為在Android攻擊中利用Linux內核漏洞並不少見。
CISA已經確定了兩個漏洞之間的聯繫。Apache Tomcat漏洞的存在歸因於一個元件,該元件未更新以包含Oracle對CVE-2016-3427的修復。但是,目前尚不清楚多個漏洞是否已組合在一起或在一次攻擊中使用,或者這些漏洞是否被同一威脅參與者利用。
本文的來源包括 《安全週刊》的一個故事。
