Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ έχει προσθέσει δύο ευπάθειες στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών, ένα ελάττωμα που επιδιορθώθηκε πρόσφατα στο Google Chrome και ένα σφάλμα που επηρεάζει μια βιβλιοθήκη ανοιχτού κώδικα Perl για την ανάγνωση πληροφοριών σε ένα αρχείο Excel που ονομάζεται Spreadsheet::ParseExcel.
Η αμερικανική υπηρεσία κυβερνοάμυνας έδωσε προθεσμία στις ομοσπονδιακές
υπηρεσίες
έως τις 23 Ιανουαρίου για να μετριάσουν τα δύο ζητήματα ασφαλείας που παρακολουθούνται ως CVE-2023-7024 και CVE-2023-7101 σύμφωνα με τις οδηγίες του προμηθευτή ή να σταματήσουν να χρησιμοποιούν τα ευάλωτα προϊόντα.
Υπολογιστικό φύλλο::ParseExcel RCE
Το
πρώτο θέμα που πρόσθεσε η
CISA
στα Γνωστά Εκμεταλλευόμενα Ευπάθεια (KEV) είναι
CVE-2023-7101
ένα θέμα ευπάθειας απομακρυσμένης εκτέλεσης κώδικα που επηρεάζει τις εκδόσεις 0.65 και παλαιότερες της βιβλιοθήκης Spreadsheet::ParseExcel.
“Spreadsheet::ParseExcel περιέχει μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα λόγω της μεταφοράς μη επικυρωμένης εισόδου από ένα αρχείο σε ένα “eval” τύπου συμβολοσειράς. Συγκεκριμένα, το ζήτημα προέρχεται από την αξιολόγηση των συμβολοσειρών μορφής Αριθμός εντός της λογικής ανάλυσης του Excel», αναφέρεται στην περιγραφή του ελαττώματος της CISA.
Spreadsheet::ParseExcel είναι μια βιβλιοθήκη γενικής χρήσης που επιτρέπει λειτουργίες εισ
αγωγή
ς/εξαγωγής δεδομένων σε αρχεία Excel, εκτέλεση ανάλυσης και σενάρια αυτοματισμού. Το προϊόν παρέχει επίσης ένα επίπεδο συμβατότητας για την επεξεργασία αρχείων Excel σε εφαρμογές web που βασίζονται σε Perl.
Ένα προϊόν που χρησιμοποιεί τη βιβλιοθήκη ανοιχτού κώδικα είναι το Barracuda ESG (Email Security Gateway), το οποίο έχει στοχοποιηθεί στα τέλη Δεκεμβρίου από Κινέζους χάκερ που εκμεταλλεύτηκαν το CVE-2023-7101 στο Spreadsheet::ParseExcel για να παραβιάσουν συσκευές.
Σε συνεργασία με την εταιρεία κυβερνοασφάλειας Mandiant, ο Barracuda εκτιμά ότι ο παράγοντας απειλής πίσω από τις επιθέσεις είναι ο UNC4841, ο οποίος χρησιμοποίησε το ελάττωμα για να αναπτύξει κακόβουλο λογισμικό «SeaSpy» και «Saltwater».
Σφυραίνα
εφαρμοζόμενα μέτρα μετριασμού
για το ESG στις 20 Δεκεμβρίου και μια ενημέρωση ασφαλείας που απευθυνόταν στο CVE-2023-7101 έγινε διαθέσιμη στις 29 Δεκεμβρίου 2023, με το Spreadsheet::ParseExcel
έκδοση 0.66
.
Υπερχείλιση buffer του Google Chrome
Η πιο πρόσφατη ευπάθεια που αξιοποιήθηκε ενεργά που προστέθηκε στο KEV είναι
CVE-2023-7024
ένα πρόβλημα υπερχείλισης buffer σωρού στο WebRTC στο πρόγραμμα περιήγησης ιστού Google Chrome.
«Το Google Chromium WebRTC, ένα έργο ανοιχτού κώδικα που παρέχει σε προγράμματα περιήγησης ιστού επικοινωνία σε πραγματικό χρόνο, περιέχει μια ευπάθεια υπερχείλισης buffer σωρού που επιτρέπει σε έναν εισβολέα να προκαλέσει σφάλματα ή εκτέλεση κώδικα», αναφέρει η περίληψη του ελαττώματος της CISA.
«Αυτή η ευπάθεια θα μπορούσε να επηρεάσει τα προγράμματα περιήγησης ιστού που χρησιμοποιούν το WebRTC, συμπεριλαμβανομένου ενδεικτικά του Google Chrome», προσθέτει η υπηρεσία.
Το ελάττωμα ανακαλύφθηκε από την ομάδα ανάλυσης απειλών (TAG) της Google και έλαβε μια επιδιόρθωση μέσω μιας επείγουσας ενημέρωσης στις 20 Δεκεμβρίου, στις εκδόσεις 120.0.6099.129/130 για Windows και 120.0.6099.129 για Mac και Linux.
Αυτή ήταν η όγδοη ευπάθεια μηδενικής ημέρας που διόρθωσε η Google στο Chrome για το 2023, υπογραμμίζοντας την επίμονη προσπάθεια και τον χρόνο που αφιερώνουν οι χάκερ για να βρουν και να εκμεταλλευτούν ελαττώματα στο ευρέως χρησιμοποιούμενο πρόγραμμα περιήγησης ιστού.
Ο κατάλογος KEV της CISA είναι ένας πολύτιμος πόρος για οργανισμούς σε όλο τον κόσμο που στοχεύουν στην καλύτερη διαχείριση ευπάθειας και ιεράρχηση προτεραιοτήτων.
VIA:
bleepingcomputer.com
