Actieve exploitatie van IBM Aspera Faspex CVE-2022-47986

Op 26 januari 2023 publiceerde IBM een advies voor meerdere beveiligingsproblemen die van invloed waren op de Aspera Faspex-software. De meest kritieke hiervan was CVE-2022-47986 , een pre-authenticatie YAML-deserialisatiekwetsbaarheid in Ruby on Rails-code. De kwetsbaarheid heeft een CVSS-score van 9,8.

Details over de kwetsbaarheid en werkende proof-of-concept-code zijn beschikbaar sinds februari, en sindsdien zijn er meerdere meldingen van misbruik geweest, waaronder het gebruik van de kwetsbaarheid in de IceFire-ransomwarecampagne . Rapid7-kwetsbaarheidsonderzoekers publiceerden in februari 2023 een volledige analyse van CVE-2022-47986 in AttackerKB.

Rapid7 is op de hoogte van ten minste één recent incident waarbij een klant is gehackt via CVE-2022-47986. In het licht van actief misbruik en het feit dat Aspera Faspex doorgaans op de netwerkperimeter wordt geïnstalleerd, raden we ten zeerste aan om in noodgevallen te patchen, zonder te wachten op een typische patchcyclus.

Volgens IBM omvatten de betrokken producten Aspera Faspex 4.4.2 Patch Level 1 en lager. CVE-2022-47986 is hersteld in 4.4.2 Patch Level 2.

/opt/aspera/faspex/logLogfiles zijn standaard in de map te vinden . Inzendingen met betrekking tot PackageRelayController#relay_packagemoeten als verdacht worden beschouwd. Zie AttackerKB voor aanvullende diepgaande technische analyse.

Rapid7-klanten

InsightVM- en Nexpose-klanten kunnen hun blootstelling aan CVE-2022-47986 beoordelen met een geverifieerde kwetsbaarheidscontrole die beschikbaar is vanaf de contentrelease van 17 februari 2023. Op 27 februari 2023 is een externe kwetsbaarheidscheck uitgebracht. Nauwkeurigheidsverbeteringen voor beide controles zijn uitgebracht op 28 maart 2023.