Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã thêm ba lỗ hổng vào danh mục Các lỗ hổng bị khai thác (KEV), dựa trên bằng chứng về hoạt động khai thác tích cực.
Các lỗ hổng bảo mật như sau:
- CVE-2023-1389 (Điểm CVSS: 8,8) – Lỗ hổng TP-Link Archer AX-21
- CVE-2021-45046 (Điểm CVSS: 9,0) – Apache Log4j2 Deserialization
- CVE-2023-21839 (điểm CVSS: 7,5) – Lỗ hổng không xác định của Oracle WebLogic Server
CVE-2023-1389 liên quan đến trường hợp chèn lệnh ảnh hưởng đến bộ định tuyến TP-Link Archer AX-21 có thể bị khai thác để thực thi mã từ xa. Theo Trend Micro, lỗ hổng này đã được các tác nhân đe dọa liên quan đến botnet Mirai sử dụng kể từ ngày 11 tháng 4 năm 2023.
Lỗ hổng thứ hai được thêm vào danh mục KEV là CVE-2021-45046, là lỗ hổng thực thi mã từ xa ảnh hưởng đến thư viện ghi nhật ký Apache Log4j2 được công bố vào tháng 12 năm 2021.
Hiện tại vẫn chưa rõ lỗ hổng này đang bị lạm dụng như thế nào trong thực tế, mặc dù dữ liệu do GreyNoise thu thập cho thấy bằng chứng về các nỗ lực khai thác từ 74 địa chỉ IP duy nhất trong 30 ngày qua. Tuy nhiên, nó cũng bao gồm CVE-2021-44228 (còn gọi là Log4Shell ).
Cuối cùng là một lỗi nghiêm trọng trong Oracle WebLogic Server phiên bản 12.2.1.3.0, 12.2.1.4.0 và 14.1.1.0.0 cho phép truy cập trái phép vào dữ liệu nhạy cảm. Lỗ hổng này được vá trong bản cập nhật được phát hành vào tháng 1 năm 2023.
CISA cho biết “Máy chủ Oracle WebLogic chứa một lỗ hổng không xác định cho phép kẻ tấn công có quyền truy cập mạng thông qua T3, IIOP, để xâm nhập Máy chủ Oracle WebLogic”
Mặc dù tồn tại các khai thác bằng chứng khái niệm (PoC) cho lỗ hổng, nhưng dường như không có bất kỳ báo cáo công khai nào về việc khai thác độc hại. Các cơ quan của Chi nhánh Hành pháp Dân sự Liên bang (FCEB) được yêu cầu áp dụng các bản sửa lỗi do nhà cung cấp cung cấp trước ngày 22 tháng 5 năm 2023, để bảo mật mạng của họ trước các mối đe dọa.