حثت CISA الوكالات المدنية الفيدرالية على معالجة 9 نقاط ضعف خلال الأسبوعين المقبلين.
أصدرت CISA آخر تحديث لها إلى كتالوج الثغرات الأمنية المعروفة ، مضيفة 13 ثغرة أمنية جديدة. تسعة من الثغرات الأمنية لديها تاريخ إصلاح في 1 فبراير وأربعة منها لديها تاريخ تصحيح في 18 يوليو.
تتضمن القائمة مصادقة غير صحيحة لشهر أكتوبر CMS ، وثغرة أمنية في مكتبة معلومات النظام لـ node.js Command Injection ، وثغرة مسار اجتياز Oracle Corporate Business Intelligence Enterprise Edition ، وثغرة تجاوز مصادقة Apache Airflow Experimental API ، وتحميل Drupal Core غير المقيد لثغرة أمنية للملف ، وثلاث نقاط ضعف في Nagios XI OS Command Injection.
CISA
تم استخدام المصادقة غير الصحيحة لنظام إدارة المحتوى لشهر أكتوبر - CVE-2021-32648 - أثناء هجوم إلكتروني على أنظمة الحكومة الأوكرانية الأسبوع الماضي. تم إصدار تصحيح في سبتمبر 2021.
قال الرئيس التنفيذي لشركة Media Trust ، كريس أولسون ، إن الاستخدام المزعوم للثغرة الأمنية في الهجوم الأخير على أوكرانيا يفسر إدراج البرنامج في القائمة ، لكنه أشار إلى أن إدراجها يسلط الضوء على "نمو مثير للقلق في الهجمات الإلكترونية المستندة إلى الويب والدور الذي ستلعبه في الحرب الإلكترونية العالمية. . "
"يتم إيلاء القليل من الاهتمام للويب كسطح للهجوم. وبينما تدرك المؤسسات عبر القطاعين العام والخاص بشكل متزايد المخاطر الإلكترونية ، نادرًا ما تفي مجموعة أكواد الطرف الثالث المستخدمة في تطوير الويب بمعايير AppSec التي تطلبها تلك المنظمات من أي من أنظمة تكنولوجيا المعلومات الخاصة بهم ، "قال أولسون.
صرح جوردان لاروز ، مدير الاستجابة للحوادث في F-Secure ، لـ Mulkhas أن إرشادات CISA تتطابق مع الكثير مما يرونه في البرية من وجهة نظر الفاعل الخبيث.
قال لاروز إن أكثر ما يميزه هو أن هذه كلها نقاط ضعف تؤثر على خوادم الويب أو واجهات برمجة التطبيقات. قال لاروز إنه شهد تطورًا ملحوظًا في العام الماضي بين الجهات الفاعلة الخبيثة ، حيث يتجه الكثير منهم إلى أكثر من مجرد الأساليب التقليدية مثل التصيد الاحتيالي أو أحصنة طروادة لكسب موطئ قدم في المنظمات ذات المواقف الأمنية القوية.
"ما نراه الآن هو موجة من الهجمات حيث يستهدف المهاجمون التكنولوجيا بدلاً من الأشخاص ، وكان أحدث مثال بارز هو هجمات Log4Shell. تتم هذه الهجمات إلى حد كبير بشكل انتهازي ، حيث يقوم المهاجمون بتحميل البرامج النصية التي تحتوي على الثغرات وضربها كل ما في وسعهم على الإنترنت للعثور على ضحية محتملة ".
ردد نائب رئيس Neosec ، إدوارد روبرتس ، هذا الشعور ، مضيفًا أن حجم الثغرات الأمنية التي تنطوي على واجهات برمجة التطبيقات سيستمر في الزيادة نظرًا لوجود المزيد من واجهات برمجة التطبيقات التي يتم تطويرها كل يوم. وقال إن معظم المؤسسات "لا تعرف حتى عدد واجهات برمجة التطبيقات التي تمتلكها ، ناهيك عن تلك التي بها نقاط ضعف ، ناهيك عن التفكير في كيفية خداعها من خلال السلوك التعسفي."
لاحظ عدد من خبراء الأمن السيبراني أنه تم تحديد العديد من نقاط الضعف هذه منذ أشهر. تعود بعض نقاط الضعف في القائمة إلى عامي 2012 و 2013 وفقًا لصائد التهديدات الرئيسي في Netenrich John Bambenek ، الذي أعرب عن مخاوفه من حقيقة أنها لم يتم إصلاحها بالفعل.
قال بامبنيك: "إن الوكالة ليس لديها معلومات أساسية لنشر التصحيح من الوحدات الحكومية الأخرى يعني عدم وجود إدارة مركزية لتلك المعلومات. يبدو أن وضع الأمن السيبراني الفيدرالي لتكنولوجيا المعلومات قد ظل متوقفًا عند المربع الأول".
"إذا كان من الممكن استخدام ثغرة أمنية مستغلة لتنفيذ أوامر على الجهاز الضحية ، فعندئذ تحدد CISA موعد استحقاق أسبوعين للتصحيح. ومع ذلك ، فإن أسبوعين بطيئين للغاية. هذه الأشياء بعيدة كل البعد عن المسار المطروق. ولكن ، قد يكون هذا شائعًا في المنشآت الحكومية التي تستحق أن توضع على القائمة ".
أشار مدير العمليات في شركة Vulcan Cyber Tal Morgenstern إلى أن سبعة من الثغرات الأمنية مع تواريخ الإصلاح في 1 فبراير تتعلق بأدوات إدارة الأنظمة.
"أدوات إدارة الأنظمة من VMware و Nagios و F5 و Npm والمزيد تحمل مفاتيح المملكة مما يمنح المستخدم قوة كبيرة لأتمتة تغيير النظام بشكل جيد أو سيئ. هذا ليس مصدر قلق جديد لأننا رأينا اتجاهًا مؤسفًا نقاط الضعف في أدوات برمجيات إدارة الأنظمة هذا العام ، "أوضح Morgenstern.
"بالنظر إلى مقدار الوصول والتحكم في هذه الأدوات ، يجب على فرق أمن تكنولوجيا المعلومات اتخاذ خطوات فورية لتخفيف المخاطر المعروفة بشكل كامل. لا تنتظر فبراير. تحرك الآن."
