CEH v13 AI – CEH VIETNAM

CISA Thêm Năm Lỗ Hổng Đang Bị Khai Thác Tích Cực Trong Advantive VeraCore và Ivanti EPM vào Danh Sách KEV

Vào thứ Hai, ngày 11 tháng 3 năm 2025, Cơ quan An ninh Mạng và Cơ sở Hạ tầng Hoa Kỳ (CISA) đã thêm năm lỗ hổng bảo mật ảnh hưởng đến Advantive VeraCore và Ivanti Endpoint Manager (EPM) vào danh mục Các Lỗ Hổng Đã Biết Bị Khai Thác (KEV), dựa trên bằng chứng…

IT-PRO

Vào thứ Hai, ngày 11 tháng 3 năm 2025, Cơ quan An ninh Mạng và Cơ sở Hạ tầng Hoa Kỳ (CISA) đã thêm năm lỗ hổng bảo mật ảnh hưởng đến Advantive VeraCore và Ivanti Endpoint Manager (EPM) vào danh mục Các Lỗ Hổng Đã Biết Bị Khai Thác (KEV), dựa trên bằng chứng về việc khai thác tích cực trong thực tế

Danh sách các lỗ hổng như sau

:

CVE-2024-57968 – Một lỗ hổng tải tệp không hạn chế trong Advantive VeraCore cho phép kẻ tấn công từ xa chưa được xác thực tải tệp lên các thư mục không mong muốn thông qua upload.apsx

.

CVE-2025-25181 – Một lỗ hổng SQL injection trong Advantive VeraCore cho phép kẻ tấn công từ xa thực thi các lệnh SQL tùy ý

.

CVE-2024-13159 – Một lỗ hổng absolute path traversal trong Ivanti EPM cho phép kẻ tấn công từ xa chưa được xác thực làm rò rỉ thông tin nhạy cảm

.

CVE-2024-13160 – Một lỗ hổng absolute path traversal trong Ivanti EPM cho phép kẻ tấn công từ xa chưa được xác thực làm rò rỉ thông tin nhạy cảm

.

CVE-2024-13161 – Một lỗ hổng absolute path traversal trong Ivanti EPM cho phép kẻ tấn công từ xa chưa được xác thực làm rò rỉ thông tin nhạy cảm

.

Việc khai thác các lỗ hổng VeraCore có khả năng là do một nhóm đối tượng đe dọa Việt Nam có tên là XE Group, nhóm này đã được quan sát thấy phát tán reverse shells và web shells để duy trì quyền truy cập từ xa liên tục vào các hệ thống bị xâm nhập

Mặt khác, hiện tại không có báo cáo công khai nào về cách ba lỗ hổng Ivanti EPM đang bị vũ khí hóa trong các cuộc tấn công thực tế. Một đoạn mã khai thác proof-of-concept (PoC) đã được Horizon3.ai phát hành vào tháng trước. Công ty an ninh mạng này mô tả chúng là các lỗi “credential coercion” (ép buộc lấy cắp thông tin đăng nhập) có thể cho phép kẻ tấn công chưa được xác thực xâm nhập vào máy chủ

Trước tình hình khai thác tích cực, Security365 khuyến nghị áp dụng các bản vá cần thiết trước ngày 31 tháng 3 năm 2025

Sự phát triển này diễn ra khi công ty tình báo mối đe dọa GreyNose cảnh báo về việc khai thác hàng loạt CVE-2024-4577, một lỗ hổng nghiêm trọng ảnh hưởng đến PHP-CGI, với sự gia tăng đột biến trong hoạt động tấn công nhắm vào Nhật Bản, Singapore, Indonesia, Vương quốc Anh, Tây Ban Nha và Ấn Độ

GreyNoise cho biết: “Hơn 43% địa chỉ IP nhắm mục tiêu vào CVE-2024-4577 trong 30 ngày qua đến từ Đức và Trung Quốc”, đồng thời nói thêm rằng họ đã “phát hiện một sự gia tăng phối hợp trong các nỗ lực khai thác nhắm vào các mạng ở nhiều quốc gia, cho thấy việc quét tự động bổ sung các mục tiêu dễ bị tấn công” vào tháng Ha

Bình luận về bài viết này

Thịnh hành