Μια υψηλής ταχύτητας πλατφόρμα μεταφοράς αρχείων της IBM, η Aspera Faspex, δέχεται ενεργή επίθεση από χάκερ που εκμεταλλεύονται μια κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα που δεν απαιτεί έλεγχο ταυτότητας (pre-auth RCE), προειδοποίησε η CISA.
Στις 21 Φεβρουαρίου, ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ ανέφερε ότι μια ευπάθεια του IBM Aspera Faspex (CVE-2022-47986) είχε γίνει αντικείμενο εκμετάλλευσης από τους χάκερ – η ευπάθεια αποκαλύφθηκε από την Assetnote.
Σύμφωνα με τον Max Garrett, ερευνητή ασφαλείας της Assetnote, έχουν αποκαλυφθεί χιλιάδες εκτεθειμένα instances στο internet.
Δείτε επίσης: Κυκλοφόρησε exploit για κρίσιμη ευπάθεια στο FortiNAC της Fortinet
Το Faspex της IBM είναι η ιδανική λύση αν θέλετε να ανταλλάσσετε με ασφάλεια και ταχύτητα αρχεία με άλλους. Λειτουργεί με παρόμοιο τρόπο όπως το ηλεκτρονικό ταχυδρομείο, αλλά πιο γρήγορα! Με το αποκλειστικό πρωτόκολλο FASP της IBM Aspera, όλο το εύρος ζώνης του δικτύου σας θα μεγιστοποιηθεί για αστραπιαίες μεταφορές – και επιπλέον προσφέρει πλήρη έλεγχο και ασφάλεια. Όλα τα δεδομένα που μεταφορτώνονται, όπως φάκελοι ή αρχεία, αποστέλλονται σε διακομιστές μεταφοράς της Aspera, όπου μπορούν στη συνέχεια να αποθηκευτούν ή να μεταφορτωθούν ανά πάσα στιγμή με άνεση.
Η ευπάθεια Aspera Faspex έχει κρίσιμη βαθμολογία CVSS 9,8.
Ευπάθεια IBM Aspera Faspex: Σφάλμα που αναφέρθηκε για πρώτη φορά τον Οκτώβριο του 2022
Η εκμετάλλευση της ευπάθειας του IBM Aspera Faspex, CVE-2022-47986 είναι το αποτέλεσμα ενός ελαττώματος YAML deserialisation και ενός παρωχημένου API call. Σύμφωνα με την έκθεση του Garrett από την Assetnote σχετικά με αυτόν τον κίνδυνο ασφαλείας, στοχεύει ιδιαίτερα σε ορισμένα μοτίβα κώδικα που συναντώνται συνήθως σε εφαρμογές Ruby on Rails.
Αυτόν τον μήνα, το λογισμικό μεταφοράς αρχείων της IBM έγινε η δεύτερη τέτοια λύση που δέχεται ενεργή επίθεση- ένα κρίσιμο σφάλμα ανακαλύφθηκε και στην εφαρμογή GoAnywhere MFT (managed file transfer) της Fortra.
Το 2021 η Accellion, ένας σημαντικός πάροχος λογισμικού μεταφοράς αρχείων, υπέστη επίθεση με αποτέλεσμα την κλοπή δεδομένων από εκατοντάδες οργανισμούς, συμπεριλαμβανομένων παγκόσμιων κολοσσών όπως η Shell και η Morgan Stanley, η νομική εταιρεία Goodwin Procter και πολλοί άλλοι.
Δείτε επίσης: Activision: Επιβεβαιώνει παραβίαση ασφαλείας και διαρροή δεδομένων
Στις 6 Οκτωβρίου, η Assetnote, ενημέρωσε την IBM για τη σημαντική ευπάθεια του Aspera Faspex.
Η startup κυνήγησε την IBM για μια ενημέρωση στις 15 Ιανουαρίου και ενημερώθηκε ότι το σφάλμα διορθώθηκε στο Faspex 4.4.2 Patch Level 2. Στη συνέχεια δημοσίευσε το exploit code στις 2 Φεβρουαρίου 2023, σημειώνοντας ότι «το λογισμικό μεταφοράς αρχείων μπορεί να αποθηκεύσει εξαιρετικά ευαίσθητα δεδομένα οπότε εάν παραβιαστούν αυτές οι υπηρεσίες, όλα τα αποθηκευμένα δεδομένα μπορούν να ληφθούν από τον εισβολέα…».
Πηγή πληροφοριών: thestack.technology
