375/67 (IT) ประจำวันพฤหัสบดีที่ 24 ตุลาคม 2567
หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ของระบบ ScienceLogic SL1 ที่หมายเลขช่องโหว่ CVE-2024-9537 โดยมีคะแนน CVSS 9.3 ลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) ซึ่งช่องโหว่ดังกล่าวเกิดจากส่วนประกอบของ third-party ภายในระบบ ScienceLogic SL1 ที่ได้รับการแก้ไขในเวอร์ชัน 12.1.3+, 12.2.3+ และ 12.3+ โดยมีการออกแพตช์สำหรับรุ่นเก่าที่ใช้ตั้งแต่ 10.1.x ขึ้นไป
เมื่อวันที่ 24 กันยายน 2567 บริษัท Rackspace ผู้ให้บริการคลาวด์โฮสติ้งได้รายงานถึงปัญหาที่เกิดขึ้นกับเครื่องมือ ScienceLogic EM7 ซึ่งเป็นเวอร์ชันเก่าของ SL1 โดยมีผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ zero-day ในซอฟต์แวร์ของ third-party ที่มาพร้อมกับแอปพลิเคชัน ScienceLogic ซึ่งการละเมิดความปลอดภัยดังกล่าวส่งผลให้ข้อมูลที่มีความอ่อนไหว รวมถึงชื่อผู้ใช้งาน ข้อมูลบัญชี และข้อมูลรับรองที่ถูกเข้ารหัส ถูกเปิดเผยออกมา ซึ่งอย่างไรก็ตามได้มีการออกแพตช์เพื่อแก้ไขปัญหานี้และบริษัทได้แจ้งให้ลูกค้าที่ได้รับผลกระทบทราบแล้ว
เพื่อป้องกันและลดความเสี่ยงจากช่องโหว่ หน่วยงานภายใต้การกำกับดูแลของ Federal Civilian Executive Branch (FCEB) จะต้องแก้ไขช่องโหว่ภายในเวลาที่กำหนด โดย CISA กำหนดให้หน่วยงานรัฐบาลต้องแก้ไขช่องโหว่นี้ภายในวันที่ 11 พฤศจิกายน 2024 เพื่อป้องกันการถูกใช้ประโยชน์จากช่องโหว่ดังกล่าว
