Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

CISA выявило шесть эксплуатируемых уязвимостей в продуктах Apple, Adobe, Apache и др.

11/01/24

hack109-Jan-11-2024-09-53-07-6174-AM

Агентство по кибербезопасности и защите инфраструктуры США (CISA) обновило свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerability, KEV), включив в него 6 уязвимостей, затрагивающих продукты компаний Apple, Adobe, Apache, D-Link и Joomla.

Каталог KEV содержит информацию о проблемах безопасности, которые активно используются злоумышленниками. Сервис имеет большое значение для организаций по всему миру в процессе управления уязвимостями и их приоритизации. Такие уязвимости часто используются злоумышленниками для атак и представляют значительные риски для федеральных учреждений. Об этом пишет Securitylab.

CISA установило срок до 29 января для устранения шести активно эксплуатируемых уязвимостей или прекращения использования уязвимых продуктов. В список вошли следующие недостатки:

  1. CVE-2023-27524 (оценка CVSS: 9.8) – небезопасная инициализация ресурсов в Apache Superset версий до 2.0.1. Уязвимость возникает, когда не изменяется настройка SECRET_KEY по умолчанию, что позволяет атакующему аутентифицироваться и получить несанкционированный доступ к ресурсам;
  2. CVE-2023-23752 (оценка CVSS: 5.3) – Неправильная проверка доступа в Joomla! версий 4.0.0 до 4.2.7, открывающая несанкционированный доступ к конечным точкам веб-службы.
  3. CVE-2023-41990 (оценка CVSS: 7.8) – Уязвимость удаленного выполнения кода (Remote Code Execution, RCE) при обработке файла шрифта, отправленного в виде вложения iMessage, что приводит к произвольному выполнению кода на устройствах Apple iPhone, работающих на iOS 16.2 и более ранних версиях.
  4. CVE-2023-38203 (оценка CVSS: 9.8) и CVE-2023-29300 (оценка CVSS: 9.8) – Десериализация недоверенных данных в Adobe ColdFusion, что приводит к произвольному выполнению кода без взаимодействия с пользователем.
  5. CVE-2016-20017 (оценка CVSS: 9.8) – уязвимость удаленного внедрения команд без аутентификации в устройствах D-Link DSL-2750B до версии 1.05, активно эксплуатировалась с 2016 по 2022 год.

Некоторые из указанных ошибок были использованы в недавно раскрытых атаках. Например, CVE-2023-41990 использовалась в кампании «Операция Триангуляция» с 2019 года, обнаруженной в июне 2023 года Лабораторией Касперского.

CISA призвала организации и федеральные агентства проверить свои системы на наличие вышеуказанных и других уязвимостей, перечисленных в каталоге KEV, и применить доступные обновления безопасности или шаги по смягчению последствий.

Темы:AppleУгрозыAdobeCISA
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...