Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (U.S. Cybersecurity and Infrastructure Security Agency – CISA) felvette a Draytek VigorConnect és a Kingsoft WPS Office sérülékenységeit a Known Exploited Vulnerabilities (KEV) katalógusába.
Az alábbiakban a sebezhetőségek leírását olvashatjuk:
- CVE-2021-20123: Draytek VigorConnect Path Traversal sebezhetősége
A Draytek VigorConnect 1.6.0-B3 nevű helyi állományában található file inclusion hiba lehetővé teszi a nem hitelesített támadók számára, hogy kihasználják a DownloadFileServlet végpont fájlletöltési funkcióját, így a támadók root jogosultságokkal tetszőleges fájlokat tölthetnek le az alapul szolgáló operációs rendszerből, amely jelentős biztonsági kockázatot jelent.
- CVE-2021-20124: Draytek VigorConnect Path Traversal sebezhetősége
A Draytek VigorConnect 1.6.0-B3 nevű helyi állományában található file inclusion sérülékenysége a WebServlet végpont fájlletöltési funkcióját érinti. Ez a hiba lehetővé teszi a nem hitelesített támadók számára, hogy root jogosultságokkal tetszőleges fájlokat töltsenek le az alapul szolgáló operációs rendszerről, amely komoly biztonsági kockázatot jelent.
- CVE-2024-7262: Kingsoft WPS Office Path Traversal sebezhetősége
A Kingsoft WPS Office (12.2.0.13110 – 12.2.0.16412 verziók) helytelen útvonal-érvényesítési sebezhetősége lehetővé teszi a támadók számára, hogy tetszőleges Windows könyvtárakat töltsenek be a promecefpluginhost[.]exe fájlon keresztül. Ezt a hibát egy manipulált, táblázatos dokumentumon keresztül használják ki egy single-click exploit segítségével.
Augusztus végén az Eset kutatói arról számoltak be, hogy a Dél-Koreához köthető APT-C-60 csoport a WPS Office (irodai szoftvercsomag, melyet a Kingsoft szoftvergyártó vállalat fejlesztett) Windows verziójában a CVE-2024-7262 néven nyomon követett nulladik napi sebezhetőséget használta ki a SpyGlace backdoor telepítésére Kelet- Ázsiában.
A szakértők azt javasolják a vállalkozásoknak, hogy tanulmányozzák át a katalógust, és mindenképp foglalkozzanak az infrastruktúra sebezhetőségeivel.
A CISA elrendelte a sérülékenységek javítását.
