CVE-2024-1553 dan CVE-2024-1557 adalah bug keamanan memori yang dinilai memiliki tingkat keparahan tinggi. “Beberapa bug ini menunjukkan bukti korupsi memori dan kami menduga bahwa dengan cukup usaha beberapa di antaranya dapat dieksploitasi untuk menjalankan kode sewenang-wenang,” kata para peneliti Mozilla.
Zoom
Raksasa konferensi video Zoom telah merilis perbaikan untuk tujuh kerentanan dalam perangkat lunaknya, salah satunya memiliki skor CVSS 9.6. CVE-2024-24691 adalah bug validasi input yang tidak benar di Zoom Desktop Client for Windows, Zoom VDI Client for Windows, dan Zoom Meeting SDK for Windows. Jika dieksploitasi, masalah ini dapat memungkinkan penyerang yang tidak terotentikasi untuk meningkatkan hak akses mereka melalui akses jaringan, kata Zoom dalam buletin keamanan.
Kerentanan lain yang mencolok adalah CVE-2024-24697, masalah jalur pencarian tidak dipercaya dalam beberapa klien Windows 32 bit Zoom yang dapat memungkinkan pengguna yang terotentikasi dengan akses lokal untuk meningkatkan hak akses mereka.
Ivanti
Pada bulan Januari, Ivanti memperingatkan bahwa penyerang sedang menargetkan dua kerentanan yang belum diperbaiki dalam produk Connect Secure dan Policy Secure-nya, yang dilacak sebagai CVE-2023-46805 dan CVE-2024-21887. Dengan skor CVSS 8.2, kerentanan pengabaian otentikasi pertama dalam komponen web Ivanti Connect Secure dan Ivanti Policy Secure memungkinkan penyerang jarak jauh untuk mengakses sumber daya terbatas dengan cara melewati pemeriksaan kontrol.
Dengan skor CVSS 9.1, kerentanan injeksi perintah kedua dalam komponen web Ivanti Connect Secure dan Ivanti Policy Secure memungkinkan administrator yang terotentikasi untuk mengirim permintaan yang dirancang khusus dan menjalankan perintah sewenang-wenang pada perangkat. Kerentanan ini dapat dieksploitasi melalui internet.
Pada akhir bulan, perusahaan tersebut memperingatkan perusahaan tentang dua kerentanan serius lainnya, salah satunya sedang dieksploitasi dalam serangan. Masalah yang dieksploitasi adalah bug permintaan pemalsuan server di komponen SAML yang dilacak sebagai CVE-2024-21893. Sementara itu, CVE-2024-21888 adalah kerentanan eskalasi hak akses.
Pembaruan tersedia pada 1 Februari, tetapi masalah tersebut dianggap sangat serius sehingga Badan Keamanan Siber dan Infrastruktur AS (CISA) menyarankan agar semua produk Ivanti diputuskan koneksi pada 2 Februari.
Pada 8 Februari, Ivanti merilis sebuah patch untuk masalah lain yang dilacak sebagai CVE-2024-22024, yang memicu peringatan CISA lainnya.
Fortinet
Fortinet telah merilis patch untuk masalah kritis dengan skor CVSS 9.6, yang dikatakan sudah digunakan dalam serangan. Dilacak sebagai CVE-2024-21762, kerentanan eksekusi kode berdampak pada versi FortiOS 6.0, 6.2, 6.4, 7.0, 7.2, dan 7.4. Kerentanan menulis di luar batas dapat digunakan untuk eksekusi kode sewenang-wenang menggunakan permintaan HTTP yang dirancang khusus, kata Fortinet.
Ini datang hanya beberapa hari setelah perusahaan merilis patch untuk dua masalah dalam produk FortiSIEM-nya, CVE-2024-23108 dan CVE-2024-23109, yang dinilai sebagai kritis dengan skor CVSS 9.7. Kerentanan dalam FortiSIEM Supervisor dapat memungkinkan penyerang jarak jauh yang tidak terotentikasi untuk menjalankan perintah tanpa izin melalui permintaan API yang dirancang, kata Fortinet dalam peringatan.
Cisco
Cisco telah mencantumkan beberapa kerentanan dalam Seri Expressway-nya yang dapat memungkinkan penyerang jarak jauh yang tidak terotentikasi untuk melakukan serangan permintaan lintas situs.
Dilacak sebagai CVE-2024-20252 dan CVE-2024-20254, dua kerentanan dalam API perangkat Seri Expressway Cisco diberikan skor CVSS 9.6. “Seorang penyerang dapat mengeksploitasi kerentanan ini dengan meyakinkan pengguna API untuk mengikuti tautan yang dirancang khusus,” kata Cisco. “Eksploitasi yang berhasil dapat memungkinkan penyerang untuk melakukan tindakan sewenang-wenang dengan tingkat hak akses pengguna yang terpengaruh.”
SAP
Perusahaan perangkat lunak enterprise SAP telah merilis 13 pembaruan keamanan sebagai bagian dari SAP Security Patch Day-nya. CVE-2024-22131 adalah kerentanan injeksi kode di SAP ABA dengan skor CVSS 9.1.
CVE-2024-22126 adalah kerentanan scripting lintas situs di NetWeaver AS Java yang tercatat memiliki dampak tinggi, dengan skor CVSS 8.8. “Parameter URL masuk tidak divalidasi dengan cukup dan tidak disandikan dengan benar sebelum dimasukkan ke dalam URL pengalihan,” kata perusahaan keamanan Onapsis. “Hal ini dapat mengakibatkan kerentanan scripting lintas situs, yang mengakibatkan dampak tinggi pada kerahasiaan dan dampak ringan pada integritas dan ketersediaan.”