Buzz
Cập nhật phần mềm mùa hè đang đến rất nhanh, với Apple, Google và Microsoft phát hành nhiều bản vá cho các lỗ hổng bảo mật nghiêm trọng vào tháng Sáu. Các công ty phần mềm doanh nghiệp cũng đã làm việc chăm chỉ, với các bản vá được phát hành để khắc phục những lỗ hổng đáng sợ trong các sản phẩm của VMWare, Cisco, Fortinet và MOVEit của Progress Software.
Một số lượng lớn lỗ hổng bảo mật được giải quyết trong tháng đang được sử dụng trong các cuộc tấn công thực tế, vì vậy hãy đọc, ghi chú và vá hệ thống bị ảnh hưởng của bạn ngay khi bạn có thể.
Apple
Ngay sau bản cập nhật iOS 16.5, tháng Sáu chứng kiến sự phát hành một bản nâng cấp iPhone khẩn cấp, iOS 16.5.1. Bản cập nhật iPhone mới nhất khắc phục các lỗ hổng bảo mật trong WebKit, động cơ làm nền cho Safari, và trong kernel tại trái tim của hệ thống iOS.
Được theo dõi với mã CVE-2023-32439 và CVE-2023-32434, cả hai vấn đề đều là lỗi thực thi mã và đã được sử dụng trong các cuộc tấn công thực tế, Apple thông báo trên trang hỗ trợ của mình.
Mặc dù thông tin về những lỗ hổng đã bị tận dụng trước đó có hạn, Kaspersky tiết lộ cách vấn đề kernel đã được sử dụng để thực hiện các cuộc tấn công 'iOS Triangulation' chống lại nhân viên của mình. Có tác động lớn vì chúng không đòi hỏi sự tương tác từ người dùng, các cuộc tấn công 'zero click' sử dụng một tin nhắn iMessage không thể nhìn thấy với một tệp đính kèm độc hại để phát tán phần mềm gián điệp.
Apple cũng đã phát hành iOS 15.7.7 cho các mô hình iPhone cũ khắc phục các vấn đề về Kernel và WebKit, cũng như một lỗ hổng WebKit thứ hai được theo dõi với mã CVE-2023-32435—cũng được Kaspersky báo cáo là một phần của các cuộc tấn công 'iOS Triangulation'.
Trong khi đó, Apple đã phát hành Safari 16.5.1, macOS Ventura 13.4.1, macOS Monterey 12.6.7, macOS Big Sur 11.7.8 , watchOS 9.5.2 và watchOS 8.8.1.
Microsoft
Patch Tuesday giữa tháng Sáu của Microsoft bao gồm cập nhật bảo mật cho 78 lỗ hổng, trong đó có 28 lỗi thực thi mã từ xa (RCE). Mặc dù một số vấn đề là nghiêm trọng, đây là Patch Tuesday đầu tiên kể từ tháng Ba không bao gồm bất kỳ lỗ hổng nào đã bị tận dụng trước đó.
Các vấn đề quan trọng được vá trong bản cập nhật tháng Sáu bao gồm CVE-2023-29357, một lỗ hổng nâng cao đặc quyền trong Microsoft SharePoint Server với điểm CVSS là 9.8. 'Một kẻ tấn công đã có quyền truy cập vào các mã thông báo xác thực JWT giả mạo có thể sử dụng chúng để thực hiện một cuộc tấn công mạng vượt qua xác thực và cho phép họ truy cập đến các đặc quyền của một người dùng đã xác thực,' Microsoft cho biết.
“Kẻ tấn công không cần đặc quyền, cũng như người dùng không cần thực hiện bất kỳ hành động nào,” thêm vào đó.
Trong khi đó, CVE-2023-32031 và CVE-2023-28310 là các lỗ hổng thực thi mã từ xa trong Microsoft Exchange Server yêu cầu kẻ tấn công phải được xác thực để tận dụng.
Google Android
Đến lúc cập nhật thiết bị Google Android của bạn, vì công ty công nghệ này đã phát hành Bản tin Bảo mật Tháng Sáu. Vấn đề nghiêm trọng nhất được Google khắc phục là một lỗ hổng bảo mật nghiêm trọng trong thành phần Hệ thống, được theo dõi với mã CVE-2023-21108, có thể dẫn đến thực thi mã từ xa qua Bluetooth mà không cần bất kỳ đặc quyền thực thi bổ sung nào. Một lỗ hổng khác trong Hệ thống được theo dõi với mã CVE-2023-21130 là một lỗi thực thi mã từ xa cũng được đánh dấu là nghiêm trọng.
Một trong những lỗ hổng được vá trong bản cập nhật tháng Sáu là CVE-2022-22706, một lỗ hổng trong các thành phần Arm mà nhà sản xuất chip đã khắc phục vào năm 2022 sau khi nó đã được sử dụng trong các cuộc tấn công.
Bản vá tháng Sáu của Android cũng bao gồm CVE-2023-21127, một lỗ hổng RCE nghiêm trọng trong framework và CVE-2022-33257 và CVE-2022-40529—hai lỗi nghiêm trọng trong các thành phần nguồn đóng của Qualcomm.
Bản cập nhật bảo mật Android có sẵn cho điện thoại Google Pixel và đang bắt đầu triển khai trên dải sản phẩm Galaxy của Samsung.
Google Chrome 114
Google đã phát hành Chrome 114, khắc phục một số lỗ hổng nghiêm trọng. Những lỗi đã được vá bao gồm CVE-2023-3214, một lỗ hổng nghiêm trọng sau khi sử dụng không đúng trong Autofill payments.
CVE-2023-3215 là một lỗ hổng nghiêm trọng sau khi sử dụng không đúng trong WebRTC được đánh giá là có ảnh hưởng lớn, trong khi CVE-2023-3216 là một lỗi bug loại nhầm cao cấp trong V8. Một lỗi cuối cùng sau khi sử dụng không đúng trong WebXR cũng được đánh giá là cao cấp.
Trước đó trong tháng, Google đã phát hành một bản vá cho một lỗi bug loại nhầm đã bị tận dụng trước đó, CVE-2023-3079. “Google nhận thức rằng có một exploit cho CVE-2023-3079 tồn tại ở ngoài đời,” nhà sản xuất trình duyệt nói.
MOVEit
Ngay cuối tháng Năm, nhà sản xuất phần mềm Progress phát hiện một lỗ hổng SQL injection trong sản phẩm MOVEit Transfer của họ có thể dẫn đến việc nâng cao đặc quyền và truy cập không ủy quyền. Được theo dõi với mã CVE-2023-34362, lỗ hổng này đã được sử dụng trong các cuộc tấn công thực tế trong tháng Năm và tháng Sáu năm 2023.
“Tùy thuộc vào loại cơ sở dữ liệu đang được sử dụng, một kẻ tấn công có thể suy luận thông tin về cấu trúc và nội dung của cơ sở dữ liệu và thực hiện các câu lệnh SQL thay đổi hoặc xóa các phần tử trong cơ sở dữ liệu,” Progress cảnh báo trong một thông báo.
Sớm nhận thức được rằng các cuộc tấn công được thực hiện bởi nhóm ransomware Clop, họ đe dọa rằng họ sẽ rò rỉ dữ liệu nếu các tổ chức nạn nhân—bao gồm một số cơ quan chính phủ Hoa Kỳ—không đáp lại trước giữa tháng Sáu. Tuy nhiên, trong khi các nhà nghiên cứu tại công ty an ninh Huntress đang theo dõi việc khai thác lỗ hổng, họ phát hiện thêm lỗ hổng, dẫn đến một bản vá khác. Trong vòng thứ hai của những lỗi được vá là các lỗ hổng SQL injection được theo dõi với mã CVE-2023-35036.
Sau đó vào ngày 15 tháng Sáu, một vòng thứ ba của các lỗ hổng được theo dõi với mã CVE-2023-35708 xuất hiện, thúc đẩy việc phát hành một bản vá khác.
Nếu chưa vá lỗ hổng, thì không cần nói, đây là việc cấp bách cần phải thực hiện ngay khi bạn có thể.
VMWare
Ông lớn phần mềm VMWare đã phát hành các bản vá cho những lỗ hổng trong Aria Operations for Networks của mình mà hiện đang được sử dụng trong các cuộc tấn công. Được theo dõi với mã CVE-2023-20887, lỗ hổng đầu tiên được đánh dấu là nghiêm trọng với điểm CVSS là 9.8. “Một kẻ tấn công độc hại có quyền truy cập mạng đến VMware Aria Operations for Networks có thể thực hiện một cuộc tấn công thực thi mã từ xa thông qua việc chèn lệnh,” VMWare cảnh báo trong một thông báo.
CVE-2023-20888 là một lỗ hổng xâm phạm dữ liệu được xác thực với điểm CVSS là 9.1. Trong khi đó, CVE-2023-20889 là một lỗ hổng tiết lộ thông tin thuộc phạm vi nghiêm trọng quan trọng với điểm CVSS là 8.8.
Vào cuối tháng Sáu, VMWare đã vá nhiều vấn đề trong vCenter Server của mình. Được theo dõi với mã CVE-2023-20892, lỗ hổng đầu tiên là một lỗ hổng tràn bộ nhớ có thể cho phép một kẻ tấn công thực thi mã.
CVE-2023-20893 là một lỗ hổng sau khi sử dụng không đúng trong việc triển khai giao thức DCERPC có thể cho phép một kẻ tấn công thực thi mã tùy ý trên hệ điều hành cơ bản.
CVE-2023-20894 là một lỗ hổng ghi xâm phạm ranh giới với điểm CVSS là 8.1, và CVE-2023-20895 là một vấn đề làm suy giảm bộ nhớ có thể cho phép một kẻ tấn công vượt qua xác thực.
Cisco
Cisco đã vá một lỗ hổng trong quá trình cập nhật client của phần mềm AnyConnect Secure Mobility Client cho Windows và phần mềm Cisco Secure Client cho Windows. Được theo dõi với mã CVE-2023-20178, lỗ hổng này có thể cho phép một kẻ tấn công địa phương có đặc quyền thấp, đã xác thực thực hiện mã với đặc quyền hệ thống. Việc vá lỗ hổng này đặc biệt cần thiết vì nghiên cứu an ninh Filip Dragović gần đây đã phát triển một exploit chứng minh cho lỗ hổng.
Một bản vá đáng chú ý khác bao gồm CVE-2023-20105, có điểm CVSS là 9.6 và được đánh giá có tác động nghiêm trọng. Lỗ hổng trong dòng Cisco Expressway Series và Cisco TelePresence Video Communication Server có thể cho phép một kẻ tấn công thay đổi mật khẩu của bất kỳ người dùng nào trên hệ thống, bao gồm người dùng đọc-ghi quản trị, và sau đó giả mạo họ.
Fortinet
Công ty an ninh Fortinet đã vá một lỗ hổng trong tháng Sáu mà họ cảnh báo có thể đang được sử dụng trong các cuộc tấn công. Được theo dõi với mã CVE-2023-27997, lỗ hổng tràn bộ nhớ dựa trên heap có thể cho phép một kẻ tấn công từ xa thực thi mã hoặc lệnh thông qua các yêu cầu được tạo ra một cách cụ thể. Mức độ nghiêm trọng của lỗ hổng được phản ánh trong điểm CVSS của nó là 9.8, vì vậy hãy đảm bảo bạn vá nó ngay lập tức.
SAP
Ngày vá lỗ hổng tháng Sáu của SAP bao gồm việc vá nhiều lỗ hổng bao gồm hai lỗ hổng được đánh giá có tác động nghiêm trọng. Các bản vá bao gồm CVE-2021-42063, một lỗ hổng cross-site scripting trong các phiên bản SAP Knowledge Warehouse 7.30, 7.31, 7.40, 7.50.
Lỗ hổng này có thể cho phép các kẻ tấn công không được ủy quyền thực hiện các cuộc tấn công XSS, có thể dẫn đến tiết lộ dữ liệu nhạy cảm. “Lỗ hổng này cho phép kẻ tấn công đạt được quyền truy cập cấp người dùng và đe dọa tính bảo mật, toàn vẹn và sẵn có của ứng dụng Quản lý UI5 Varian,” công ty an ninh Onapsis nói.
