Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) недавно расширило свой каталог известных эксплуатируемых уязвимостей (KEV), включив в него критические уязвимости, затрагивающие несколько широко используемых программных продуктов. Это обновление подчеркивает важность бдительности в практике кибербезопасности, особенно для организаций, полагающихся на эти технологии.
Детали недавно добавленных уязвимостей
Уязвимости, теперь включенные в каталог, следующие:
- CVE-2024-27348: Уязвимость неправильного контроля доступа в Apache HugeGraph-Server
- CVE-2020-0618: Уязвимость удаленного выполнения кода в службах отчетности Microsoft SQL Server
- CVE-2019-1069: Уязвимость повышения привилегий в планировщике задач Microsoft Windows
- CVE-2022-21445: Уязвимость удаленного выполнения кода в Oracle JDeveloper
- CVE-2020-14644: Уязвимость удаленного выполнения кода в Oracle WebLogic Server
Среди них уязвимость CVE-2022-21445, имеющая оценку CVSS 9.8, представляет значительный риск. Она позволяет неаутентифицированным атакующим с сетевым доступом через HTTP использовать уязвимость в Oracle JDeveloper, что потенциально может привести к полному захвату приложения. Эта уязвимость затрагивает версии 12.2.1.3.0 и 12.2.1.4.0 и известна своей легкостью эксплуатации.
Аналогично, уязвимость CVE-2020-14644, также оцененная на 9.8, затрагивает Oracle WebLogic Server. Атакующий может использовать эту уязвимость удаленного выполнения кода через IIOP, компрометируя сервер и получая над ним контроль. Эта уязвимость затрагивает версии 12.2.1.3.0, 12.2.1.4.0 и 14.1.1.0.0 и также легко эксплуатируется.
Кроме того, уязвимость CVE-2019-1069, с оценкой CVSS 7.8, связана с повышением привилегий в планировщике задач Microsoft Windows. Эта уязвимость позволяет атакующему получить повышенные привилегии на системе жертвы при наличии возможности выполнения непривилегированного кода. Обнаруженная исследователем SandboxEscaper в июне, Microsoft оперативно устранила эту проблему с помощью обновлений безопасности.
Уязвимость CVE-2020-0618, также оцененная на 7.8, затрагивает службы отчетности Microsoft SQL Server. Она возникает из-за неправильной обработки запросов страниц, что позволяет удаленным атакующим выполнять произвольный код через уязвимость повреждения памяти.
Наконец, уязвимость CVE-2024-27348 в Apache HugeGraph-Server, оцененная на 9.8, позволяет атакующим обходить ограничения песочницы и потенциально выполнять удаленный код. Эта проблема затрагивает версии от 1.0.0 до, но не включая 1.3.0 в Java8 и Java11.
В соответствии с директивой по обязательным операциям (BOD) 22-01, которая направлена на снижение рисков, связанных с известными эксплуатируемыми уязвимостями, федеральные агентства обязаны устранить эти выявленные уязвимости до 9 октября 2024 года. Эксперты также советуют частным организациям ознакомиться с каталогом KEV и принять необходимые меры для укрепления своей инфраструктуры против этих угроз.