Agencja US Cybersecurity and Infrastructure Security Agency (CISA) dodała sześć nowych luk do swojego katalogu znanych wykorzystanych luk.

Amerykańska agencja ds. cyberbezpieczeństwa i bezpieczeństwa infrastruktury (CISA) dodała sześć nowych luk w zabezpieczeniach do swojego katalogu znanych wykorzystanych luk w zabezpieczeniach.

Poniżej lista numerów dodanych do katalogu:

• CVE-2023-32434: Luka w zabezpieczeniach wielu produktów Apple związana z przepełnieniem liczb całkowitych – Apple iOS. iPadOS, macOS i watchOS zawierają lukę w zabezpieczeniach przepełnienia liczb całkowitych, która może pozwolić aplikacji na wykonanie kodu z uprawnieniami jądra.
• CVE-2023-32435: Luka w zabezpieczeniach Apple iOS i iPadOS WebKit związana z uszkodzeniem pamięci – Apple iOS i iPadOS WebKit zawierają lukę w zabezpieczeniach umożliwiającą uszkodzenie pamięci, która prowadzi do wykonania kodu podczas przetwarzania treści internetowych.
• CVE-2023-32439: Luka w zabezpieczeniach Apple WebKit związana z pomyłką typów — systemy Apple iOS, iPadOS, macOS i Safari WebKit zawierają lukę w zabezpieczeniach umożliwiającą pomyłkę typów, która prowadzi do wykonania kodu podczas przetwarzania złośliwie spreparowanej zawartości internetowej.
• CVE-2023-20867: Luka w zabezpieczeniach VMware Tools umożliwiająca obejście uwierzytelnienia — VMware Tools zawiera lukę w zabezpieczeniach umożliwiającą obejście uwierzytelnienia w module vgauth. W pełni skompromitowany host ESXi może zmusić VMware Tools do niepowodzenia w uwierzytelnianiu operacji host-gość, wpływając na poufność i integralność gościnnej maszyny wirtualnej. Aby wykorzystać tę lukę, osoba atakująca musi mieć uprawnienia administratora do ESXi.
• CVE-2023-27992: Luka w zabezpieczeniach wielu urządzeń NAS firmy Zyxel związana z wstrzykiwaniem poleceń — wiele urządzeń pamięci masowych podłączonych do sieci (NAS) firmy Zyxel zawiera lukę umożliwiającą wstrzykiwanie poleceń przed uwierzytelnieniem, która może pozwolić nieuwierzytelnionemu atakującemu na zdalne wykonywanie poleceń za pośrednictwem spreparowanego żądania HTTP.
• CVE-2023-20887: Vmware Aria Operations for Networks Luka w zabezpieczeniach Command Injection: VMware Aria Operations for Networks (dawniej vRealize Network Insight) zawiera lukę umożliwiającą wstrzyknięcie poleceń, która umożliwia złośliwemu aktorowi z dostępem do sieci przeprowadzenie ataku skutkującego zdalnym wykonaniem kodu.

Zgodnie z Wiążącą dyrektywą operacyjną (BOD) 22-01: Zmniejszenie znaczącego ryzyka związanego ze znanymi wykorzystanymi lukami, agencje FCEB muszą zająć się zidentyfikowanymi lukami w odpowiednim terminie, aby chronić swoje sieci przed atakami wykorzystującymi luki w katalogu.

Eksperci zalecają również organizacjom prywatnym przejrzenie Katalogu i usunięcie luk w ich infrastrukturze.

CISA nakazuje agencjom federalnym naprawienie tych luk do 14 lipca 2023 r.

W tym tygodniu CISA dodała również trzy luki do swojego katalogu znanych wykorzystanych luk, które zostały wykorzystane przez powiązaną z Rosją grupę APT28 do włamania się do serwerów pocztowych Roundcube używanych przez ukraińskie organizacje.

W ostatniej kampanii cyberprzestępcy wykorzystali wiadomości o trwającym konflikcie między Rosją a Ukrainą jako przynętę. Cyberszpiedzy wysłali spreparowane e-maile do docelowych organizacji, po otwarciu wiadomości zostały uruchomione luki Roundcube Webmail (CVE-2020-35730, CVE-2020-12641 i CVE-2021-44026), co umożliwiło im zhakowanie wrażliwych serwerów.

CISA nakazuje agencjom federalnym naprawienie tych trzech błędów do 14 lipca 2023 r.

Obserwuj mnie na Twitterze: @zagadnienia bezpieczeństwa I Facebook I Mastodont

Pierluigiego Paganiniego

(Sprawy bezpieczeństwa – hakerstwo, Katalog znanych wykorzystanych luk w zabezpieczeniach)

Podziel się