De Amerikaanse overheid waarschuwt gebruikers van onder andere Apache CouchDB, Apache APISIX, Grafana en DOPSoft 2 voor aanvallen waarbij misbruik wordt gemaakt van bekende kwetsbaarheden. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren.

De lijst, die inzicht geeft in kwetsbaarheden waarvan aanvallers misbruik maken, wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste update telt tien kwetsbaarheden in onder andere Apache CouchDB (CVE-2022-24706), Apache APISIX (CVE-2022-24112), Grafana (CVE-2021-39226) en Delta Electronics DOPSoft 2 (CVE-2021-38406). Op het moment dat de betreffende leveranciers updates uitbrachten werd er nog geen misbruik van de beveiligingslekken gemaakt.

DOPSoft 2 is software van Delta Electronics en wordt gebruikt voor het programmeren en ontwerpen van human-machine interfaces (HMI's). Door het openen van een malafide project kan een aanvaller willekeurige code op het systeem uitvoeren. Delta Electronics heeft geen update voor de kwetsbaarheid uitgebracht omdat het product end-of-life is.

De kwetsbaarheid in opensource-analyticsplatform Grafana maakt het mogelijk voor een ongeauthenticeerde aanvaller om snapshots te bemachtigen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De kwetsbaarheid in Apache CouchDB heeft een zelfde impactscore en kan een aanvaller admintoegang tot installaties geven. En ook het lek in Apache APISIX is met een 9.8 beoordeeld. Via de kwetsbaarheid is remote code execution mogelijk. Details over de waargenomen aanvallen zijn niet door het CISA gegeven. Federale Amerikaanse overheidsinstanties hebben tot 15 september om de updates te installeren of het product niet meer te gebruiken.