Агентство кибербезопасности и инфраструктуры США (CISA) в понедельник разместило три уязвимости в своем каталоге известных эксплуатируемых уязвимостей (KEV), ссылаясь на доказательства активного использования.
Добавлены следующие уязвимости -
С тех пор Fortinet пересмотрела свою рекомендацию, чтобы подтвердить, что она использовалась в естественных условиях, хотя никаких других подробностей о характере атак в настоящее время нет.
CVE-2021-44529, с другой стороны, касается уязвимости внедрения кода в облачном сервисном устройстве Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA), которая позволяет пользователю, не прошедшему проверку подлинности, выполнять вредоносный код с ограниченными разрешениями.
Недавнее исследование, опубликованное исследователем безопасности Роном Боузом, указывает на то, что недостаток, возможно, был введен как преднамеренный бэкдор в ныне прекращенном проекте с открытым исходным кодом под названием csrf-magic, который существовал по крайней мере с 2014 года.
CVE-2019-7256, который позволяет злоумышленнику выполнять удаленный код на контроллерах доступа серии Nice Linear eMerge E3, был использован злоумышленниками еще в феврале 2020 года.
Этот недостаток, наряду с 11 другими ошибками, был устранен компанией Nice (ранее Nortek) ранее в этом месяце. Тем не менее, эти уязвимости были первоначально раскрыты исследователем безопасности Джоко Крстичем в мае 2019 года.
В свете активного использования трех недостатков федеральные агентства обязаны применить меры по устранению недостатков, предоставленные поставщиком, к 15 апреля 2024 года.
Разработка началась после того, как CISA и Федеральное бюро расследований (ФБР) выпустили совместное предупреждение, призывающее производителей программного обеспечения предпринять шаги по устранению недостатков SQL-инъекций.
В рекомендации особо подчеркивается использование CVE-2023-34362, критической уязвимости SQL-инъекции в MOVEit Transfer от Progress Software, бандой программ-вымогателей Cl0p (она же Lace Tempest) для взлома тысяч организаций.
"Несмотря на широкое распространение знаний и документации об уязвимостях SQLi за последние два десятилетия, наряду с наличием эффективных средств их устранения, производители программного обеспечения продолжают разрабатывать продукты с этим дефектом, что подвергает риску многих клиентов", - сказали в агентствах.
Добавлены следующие уязвимости -
- CVE-2023-48788 (оценка CVSS: 9.3) - Уязвимость для SQL-инъекций Fortinet FortiClient EMS
- CVE-2021-44529 (оценка CVSS: 9,8) - Уязвимость при внедрении кода в облачные сервисы Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA)
- CVE-2019-7256 (оценка CVSS: 10.0) - Уязвимость для внедрения команд в ОС серии Nice Linear eMerge E3
С тех пор Fortinet пересмотрела свою рекомендацию, чтобы подтвердить, что она использовалась в естественных условиях, хотя никаких других подробностей о характере атак в настоящее время нет.
CVE-2021-44529, с другой стороны, касается уязвимости внедрения кода в облачном сервисном устройстве Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA), которая позволяет пользователю, не прошедшему проверку подлинности, выполнять вредоносный код с ограниченными разрешениями.
Недавнее исследование, опубликованное исследователем безопасности Роном Боузом, указывает на то, что недостаток, возможно, был введен как преднамеренный бэкдор в ныне прекращенном проекте с открытым исходным кодом под названием csrf-magic, который существовал по крайней мере с 2014 года.
CVE-2019-7256, который позволяет злоумышленнику выполнять удаленный код на контроллерах доступа серии Nice Linear eMerge E3, был использован злоумышленниками еще в феврале 2020 года.
Этот недостаток, наряду с 11 другими ошибками, был устранен компанией Nice (ранее Nortek) ранее в этом месяце. Тем не менее, эти уязвимости были первоначально раскрыты исследователем безопасности Джоко Крстичем в мае 2019 года.
В свете активного использования трех недостатков федеральные агентства обязаны применить меры по устранению недостатков, предоставленные поставщиком, к 15 апреля 2024 года.
Разработка началась после того, как CISA и Федеральное бюро расследований (ФБР) выпустили совместное предупреждение, призывающее производителей программного обеспечения предпринять шаги по устранению недостатков SQL-инъекций.
В рекомендации особо подчеркивается использование CVE-2023-34362, критической уязвимости SQL-инъекции в MOVEit Transfer от Progress Software, бандой программ-вымогателей Cl0p (она же Lace Tempest) для взлома тысяч организаций.
"Несмотря на широкое распространение знаний и документации об уязвимостях SQLi за последние два десятилетия, наряду с наличием эффективных средств их устранения, производители программного обеспечения продолжают разрабатывать продукты с этим дефектом, что подвергает риску многих клиентов", - сказали в агентствах.
