Поскольку киберпреступники уже эксплуатируют уязвимости в атаках, промедление с установкой патчей может поставить корпоративные сети под угрозу кибератак, в том числе с использованием вымогательского ПО. В связи с этим CISA обязало организации применить все доступные исправления для 15 представленных ниже уязвимостей до 5 апреля 2022 года. Все они были обнаружены и исправлены в период с 2015-го по 2020 год.
CVE-2020-5135 - переполнение буфера в SonicWall SonicOS;
CVE-2019-1405 - повышение привилегий в Microsoft Windows UPnP Service;
CVE-2019-1322 - повышение привилегий в Microsoft Windows;
CVE-2019-1315 - повышение привилегий в Microsoft Windows Error Reporting Manager;
CVE-2019-1253 - повышение привилегий в Microsoft Windows AppX Deployment Server;
CVE-2019-1129 - повышение привилегий в Microsoft Windows AppXSVC;
CVE-2019-1069 - повышение привилегий в Microsoft Task Scheduler;
CVE-2019-1064 - повышение привилегий в Microsoft Windows AppXSVC;
CVE-2019-0841 - повышение привилегий в Microsoft Windows AppXSVC;
CVE-2019-0543 - повышение привилегий в Microsoft Windows;
CVE-2018-8120 - повышение привилегий в Microsoft Win32k;
CVE-2017-0101 - повышение привилегий в Microsoft Windows Transaction Manager;
CVE-2016-3309 - повышение привилегий в ядре Microsoft Windows;
CVE-2015-2546 - повреждение памяти в Microsoft Win32k;
CVE-2019-1132 - повышение привилегий в Microsoft Win32k.
Для уязвимости CVE-2019-0841 уже доступен PoC-эксплоит, которым хакеры могут воспользоваться для атаки.
Уязвимость CVE-2019-1069 эксплуатировалась кибервымогательской группировкой Ryuk в апреле 2021 года для повышения привилегий на атакуемых системах с целью выполнения вредоносного кода.
Уязвимость CVE-2019-1132 эксплуатировалась хакерской группировкой Buhtrap в атаках на правительственные организации с целью запуска вредоносного кода в режиме ядра.
Эксплуатация более старой CVE-2018-8120 была впервые зафиксирована в мае 2018 года, и уязвимость до сих пор остается весьма ценной для хакеров.
На момент обнаружения уязвимости CVE-2020-5135 она затрагивала более 800 тыс. устройств SonicWall VPN. Хотя производитель выпустил исправление, позднее оказалось, что оно устраняло проблему неполностью. В результате администраторам пришлось устанавливать еще один патч, в то время как PoC-эксплоит уже вовсю циркулировал в хакерском сообществе.