17/03/22
Агентство кибербезопасности и безопасности инфраструктуры США (Cybersecurity & Infrastructure Security Agency, CISA) пополнило свой список активно эксплуатируемых хакерами уязвимостей еще пятнадцатью уязвимостями. Это должно послужить стимулом для системных администраторов, до сих пор не установивших все необходимые исправления.
Поскольку киберпреступники уже эксплуатируют уязвимости в атаках, промедление с установкой патчей может поставить корпоративные сети под угрозу кибератак, в том числе с использованием вымогательского ПО. В связи с этим CISA обязало организации применить все доступные исправления для 15 представленных ниже уязвимостей до 5 апреля 2022 года. Все они были обнаружены и исправлены в период с 2015-го по 2020 год.
CVE-2020-5135 - переполнение буфера в SonicWall SonicOS;
CVE-2019-1405 - повышение привилегий в Microsoft Windows UPnP Service;
CVE-2019-1322 - повышение привилегий в Microsoft Windows;
CVE-2019-1315 - повышение привилегий в Microsoft Windows Error Reporting Manager;
CVE-2019-1253 - повышение привилегий в Microsoft Windows AppX Deployment Server;
CVE-2019-1129 - повышение привилегий в Microsoft Windows AppXSVC;
CVE-2019-1069 - повышение привилегий в Microsoft Task Scheduler;
CVE-2019-1064 - повышение привилегий в Microsoft Windows AppXSVC;
CVE-2019-0841 - повышение привилегий в Microsoft Windows AppXSVC;
CVE-2019-0543 - повышение привилегий в Microsoft Windows;
CVE-2018-8120 - повышение привилегий в Microsoft Win32k;
CVE-2017-0101 - повышение привилегий в Microsoft Windows Transaction Manager;
CVE-2016-3309 - повышение привилегий в ядре Microsoft Windows;
CVE-2015-2546 - повреждение памяти в Microsoft Win32k;
CVE-2019-1132 - повышение привилегий в Microsoft Win32k.
Для уязвимости CVE-2019-0841 уже доступен PoC-эксплоит, которым хакеры могут воспользоваться для атаки.
Уязвимость CVE-2019-1069 эксплуатировалась кибервымогательской группировкой Ryuk в апреле 2021 года для повышения привилегий на атакуемых системах с целью выполнения вредоносного кода.
Уязвимость CVE-2019-1132 эксплуатировалась хакерской группировкой Buhtrap в атаках на правительственные организации с целью запуска вредоносного кода в режиме ядра.
Эксплуатация более старой CVE-2018-8120 была впервые зафиксирована в мае 2018 года, и уязвимость до сих пор остается весьма ценной для хакеров.
На момент обнаружения уязвимости CVE-2020-5135 она затрагивала более 800 тыс. устройств SonicWall VPN. Хотя производитель выпустил исправление, позднее оказалось, что оно устраняло проблему неполностью. В результате администраторам пришлось устанавливать еще один патч, в то время как PoC-эксплоит уже вовсю циркулировал в хакерском сообществе.
