Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) baru saja menambahkan eksploitasi baru ke daftar yang sedang dieksploitasi, seperti yang pertama kali diperhatikan oleh BleepingComputer.
Tindakan CISA pada dasarnya berfungsi sebagai peringatan kepada agensi federal AS tentang kerentanan yang saat ini dieksploitasi di alam liar.
Salah satu eksploitasi yang dilacak, CVE-2023-20118, memungkinkan peretas untuk secara remote “mengeksekusi perintah sewenang-wenang” pada beberapa router VPN. Router-router ini termasuk Router Bisnis Kecil Cisco RV016, RV042, RV042G, RV082, RV320, dan RV325.
“Seorang penyerang bisa mengeksploitasi kerentanan ini dengan mengirimkan permintaan HTTP yang diformat ke antarmuka manajemen berbasis web,” tulis CISA. “Eksploitasi yang berhasil bisa memungkinkan penyerang untuk mendapatkan hak istimewa tingkat root dan mengakses data yang tidak diotorisasi.”
Untuk bisa memanfaatkan eksploitasi ini, seorang penyerang memerlukan kredensial admin. Namun, seperti yang ditunjukkan oleh BleepingComputer, penyerang bisa memanfaatkan kerentanan lain, CVE-2023-20025, untuk melewati otentikasi.
Kerentanan lain yang ditambahkan oleh CISA adalah CVE-2018-8639. Bug ini mempengaruhi sejumlah besar sistem operasi Windows termasuk Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10, dan Windows 10 Servers.
Menurut CISA, kerentanan ini “ada di Windows ketika komponen Win32k gagal menangani objek dalam memori.” Seorang aktor jahat dengan akses lokal ke sistem yang rentan dapat memanfaatkan eksploitasi ini untuk menjalankan kode sewenang-wenang dalam mode kernel. BleepingComputer melaporkan bahwa seorang aktor jahat bisa menggunakan kerentanan ini untuk “mengubah data atau membuat akun palsu dengan hak pengguna penuh untuk mengambil alih perangkat Windows yang rentan.”
Microsoft dan Cisco belum merilis peringatan keamanan mereka sendiri mengenai kedua eksploitasi ini.