CISA đã cảnh báo : Nền tảng truyền tệp tốc độ cao của IBM, Aspera Faspex, đang bị tấn công tích cực bởi tin tặc qua khai thác lỗ hổng thực thi mã từ xa không yêu cầu xác thực (pre-auth RCE) .
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ đã báo cáo việc khai thác lỗ hổng IBM Aspera Faspex vào cuối ngày 21 tháng 2. Lỗ hổng này đã được phân bổ CVE-2022-47986 và lần đầu tiên được tiết lộ bởi Assetnote.
Nhà nghiên cứu bảo mật Assetnote Max Garrett cho biết ông đã thấy “hàng nghìn” trường hợp tiết lộ trên internet.
IBM mô tả Faspex là một “giải pháp chuyển giao tập trung cho phép người dùng trao đổi tệp với nhau bằng quy trình làm việc giống như email. Faspex cho phép truyền tốc độ cao bằng cách sử dụng giao thức FASP độc quyền của IBM Aspera, sử dụng đầy đủ băng thông mạng có sẵn để tối đa hóa tốc độ trong khi vẫn duy trì quyền kiểm soát và bảo mật. Các tệp và thư mục do người dùng tải lên được gửi đến, lưu trữ và tải xuống từ các máy chủ truyền Aspera.”
Lỗ hổng Aspera Faspex có xếp hạng CVSS nghiêm trọng là 9,8.
Lỗ hổng IBM Aspera Faspex: Lỗi được báo cáo lần đầu vào tháng 10 năm 2022
Lỗ hổng IBM Aspera Faspex đang bị khai thác, CVE-2022-47986, là do lỗ hổng YAML deserialisation và khai thác lệnh gọi API lỗi thời; nó nhắm đến điều mà nhà nghiên cứu Garrett của Assetnote đã mô tả là “một số mẫu mã cụ thể có xu hướng được nhìn thấy bên trong các ứng dụng Ruby on Rails” (bài viết của anh ấy về lỗ hổng ở đây .)
Phần mềm truyền tệp của IBM là giải pháp thứ hai bị tấn công tích cực trong tháng này, với báo cáo được đưa ra sau một lỗi nghiêm trọng trong ứng dụng MFT (truyền tệp được quản lý) của Fortra cũng là mục tiêu.
(Nhà cung cấp phần mềm truyền tệp lớn, Accellion, cũng đã bị tấn công vào năm 2021 với hàng loạt blue-chip nổi tiếng bị đánh cắp dữ liệu, bao gồm Shell, Morgan Stanley, công ty luật toàn cầu Goodwin Procter và hàng trăm công ty khác.)
Lỗ hổng nghiêm trọng Aspera Faspex của IBM lần đầu tiên được báo cáo cho IBM bởi nhà cung cấp nền tảng quản lý bề mặt tấn công Assetnote vào ngày 6 tháng 10. IBM ban đầu nói với công ty rằng “khi chúng tôi gửi báo cáo lỗ hổng cho IBM, chúng tôi cấp cho IBM giấy phép miễn phí đối với tất cả các quyền sở hữu trí tuệ” và các nhà nghiên cứu của Assetnote đã phải làm rõ với IBM rằng nghiên cứu được thực hiện trong thời gian làm việc tại Assetnote và họ có quyền đối với lỗi này.
Công ty khởi nghiệp đã yêu cầu IBM cập nhật vào ngày 15 tháng 1 và được thông báo rằng lỗi này đã được vá trong Faspex 4.4.2 Patch Level 2 . Sau đó, nó đã công bố mã khai thác vào ngày 2 tháng 2 năm 2023, lưu ý rằng “Phần mềm truyền tệp có thể lưu trữ dữ liệu cực kỳ nhạy cảm và có thể hoạt động như một điểm lỗi duy nhất, vì nếu các dịch vụ này bị vi phạm, tất cả dữ liệu được lưu trữ cũng có thể bị lấy bởi kẻ tấn công…” Báo cáo của CISA vẫn chưa rõ mức độ phổ biến của lỗ hổng này nhưng khách hàng nên khẩn trương kiểm tra mức độ phơi nhiễm, mức độ bản vá và IOC.
Các tệp nhật ký có thể được tìm thấy trong thư mục /opt/aspera/faspex/log theo mặc định. Các mục liên quan đến PackageRelayController#relay_package nên được coi là đáng ngờ.
Trả lời