أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثلاثة عيوب أمنية إلى كتالوجها المعروف لنقاط الضعف المستغلة ( KEV ) ، مستشهدة بأدلة على الاستغلال النشط.
قائمة نقاط الضعف أدناه -
- CVE-2022-35914 (درجة CVSS: 9.8) - ثغرة أمنية في تنفيذ الرمز البعيد لـ Teclib GLPI
- CVE-2022-33891 (درجة CVSS: 8.8) - ثغرة أمنية في حقن Apache Spark Command
- CVE-2022-28810 (درجة CVSS: 6.8) - ثغرة أمنية في تنفيذ الرمز عن بُعد في Zoho ManageEngine ADSelfService Plus
الأكثر أهمية من الثلاثة هو CVE-2022-35914 ، والذي يتعلق بالثغرة الأمنية في تنفيذ التعليمات البرمجية عن بُعد في مكتبة الطرف الثالث htmlawed الموجودة في Teclib GLPI ، وهو أحد الأصول مفتوحة المصدر وحزمة برامج إدارة تكنولوجيا المعلومات.
التفاصيل الدقيقة المحيطة بطبيعة الهجمات غير معروفة ، لكن مؤسسة Shadowserver Foundation في أكتوبر 2022 أشارت إلى أنها شهدت محاولات استغلال لمواقع الجذب الخاصة بها.
منذ ذلك الحين ، تم توفير دليل مفهوم (PoC) المستند إلى cURL على GitHub وتم الإعلان عن ماسح ضوئي "شامل" للبيع ، حسبما قال الباحث الأمني في VulnCheck Jacob Baines في ديسمبر 2022 .
علاوة على ذلك ، كشفت البيانات التي جمعتها GreyNoise عن 40 عنوان IP ضارًا من الولايات المتحدة وهولندا وهونغ كونغ وأستراليا وبلغاريا ، في محاولة لإساءة استخدام هذا النقص.
العيب الثاني هو ثغرة أمنية غير مصادق عليها لحقن الأوامر في Apache Spark والتي تم استغلالها بواسطة الروبوتات Zerobot لاستغلال الأجهزة الحساسة بهدف تنفيذ هجمات رفض الخدمة الموزعة (DDoS).
أخيرًا ، تمت إضافته أيضًا إلى كتالوج KEV وهو خطأ في تنفيذ التعليمات البرمجية عن بُعد في Zoho ManageEngine ADSelfService Plus الذي تم تصحيحه في أبريل 2022.
قالت CISA: "تحتوي Zoho ManageEngine ADSelfService Plus المتعددة على ثغرة أمنية غير محددة تسمح بتنفيذ التعليمات البرمجية عن بُعد عند إجراء تغيير كلمة المرور أو إعادة تعيينها".
وقالت شركة الأمن السيبراني Rapid7 ، التي اكتشفت الخطأ ، إنها رصدت محاولات استغلال نشطة من قبل جهات التهديد "لتنفيذ أوامر نظام تشغيل تعسفية من أجل اكتساب الثبات على النظام الأساسي ومحاولة التعمق أكثر في البيئة".
يأتي هذا التطوير في الوقت الذي قالت فيه شركة أمان API Wallarm إنها وجدت محاولات استغلال مستمرة لاثنين من عيوب VMware NSX Manager ( CVE-2021-39144 و CVE-2022-31678 ) منذ ديسمبر 2022 والتي يمكن الاستفادة منها لتنفيذ التعليمات البرمجية الضارة وسحب البيانات الحساسة.