457/67 (IT) ประจำวันพุธที่ 25 ธันวาคม 2567
หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ในระบบ USAHERDS ของบริษัท Acclaim Systems ที่หมายเลข CVE-2021-44207 ซึ่งมีคะแนนความรุนแรง CVSS: 8.1 ลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) โดยช่องโหว่นี้เกี่ยวข้องกับการใช้ข้อมูลรับรอง (credentials) ที่ฝังไว้ในโค้ด ส่งผลให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายบนระบบได้ ช่องโหว่นี้เคยถูกกลุ่ม APT41 จากจีน ใช้ในการโจมตีเครือข่ายรัฐบาลสหรัฐฯ หลายแห่ง โดยระบบที่ได้รับผลกระทบคือ USAHERDS รุ่น 7.4.0.1 และก่อนหน้า
USAHERDS เป็นแอปพลิเคชันบนเว็บที่พัฒนาโดย Acclaim Systems เพื่อช่วยให้หน่วยงานรัฐบาลของสหรัฐฯ ในการติดตามและจัดการสุขภาพสัตว์ รวมถึงการควบคุมการระบาดของโรค ซึ่งเป็นส่วนหนึ่งของชุดผลิตภัณฑ์ AgraGuard ที่สนับสนุนการดำเนินงานด้านเกษตรกรรมและความปลอดภัยทางอาหาร เช่น USALIMS, USAPlants, USAFoodSafety, และ USAMeals
เพื่อป้องกันและลดความเสี่ยงจากช่องโหว่เหล่านี้ หน่วยงานภายใต้การกำกับดูแลของหน่วยงานรัฐบาลกลางของสหรัฐฯ Federal Civilian Executive Branch (FCEB) จะต้องแก้ไขช่องโหว่ภายในเวลาที่กำหนด โดย CISA ได้กำหนดให้แก้ไขเสร็จสิ้นภายในวันที่ 13 มกราคม 2025 เพื่อป้องกันการถูกใช้ประโยชน์จากช่องโหว่และดำเนินการแก้ไขช่องโหว่ที่เกี่ยวข้องโดยเร็วที่สุด
