Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA) издаде ново предупреждение към федералните агенции относно активно експлоатирани уязвимости, включително наскоро коригирана критична слабост в ScreenConnect, която позволява отдалечено изпълнение на код на сървъра.
В същия бюлетин CISA посочва още четири сериозни уязвимости, засягащи рутери ASUS и системата за управление на съдържание Craft CMS, които също се използват от злонамерени актьори в реални атаки.
На 24 април ConnectWise публикува кръпка за уязвимостта CVE-2025-3935, която се отнася до ViewState code injection в ASP.NET Web Forms – механизъм, използван за съхранение на състоянието на страници чрез base64-кодирани данни, защитени с machine keys.
Според доставчика, ако нападател със специализирани привилегии компрометира тези machine keys, той би могъл да инжектира зловреден код и да осъществи пълно отдалечено изпълнение на код на сървъра.
След скорошен пробив, за който се смята, че е осъществен от държавно спонсорирана хакерска група, някои клиенти предположиха, че атаката е свързана именно с тази уязвимост. Въпреки това ConnectWise не е потвърдила методите на атаката, като според наличните доклади много малък брой клиенти на ScreenConnect са засегнати.
CISA посочва и четири други уязвимости, сред които две с критично ниво на риск, които в момента се експлоатират активно:
CVE-2021-32030 (оценка 9.8 по CVSS) – позволява заобикаляне на автентикация в рутери ASUS GT-AC2900 и Lyra Mini
CVE-2023-39780 (оценка 8.8) – OS инжекция в ASUS RT-AX55, изискваща автентикация
CVE-2024-56145 (оценка 9.3) – инжекция на код в Craft CMS, водеща до отдалечено изпълнение на код при определени условия
CVE-2025-35939 (оценка 6.9) – PHP код може да бъде внедрен от неавтентикиран клиент в известни файлови местоположения на сървъра с Craft CMS
Особено тревожна е уязвимостта CVE-2023-39780, която е експлоатирана през последните месеци в прикрити атаки, приписвани на добре финансиран и технически напреднал противник.
Според доклад на платформата за кибернаблюдение GreyNoise, хакерите комбинират тази уязвимост с допълнителни методи за заобикаляне на автентикация (все още без CVE), за да изградят ботмрежа, наречена AyySSHush.
CISA добави всичките пет уязвимости към своя Каталог на известни експлоатирани уязвимости (KEV) и изиска федералните агенции да приложат препоръчаните мерки от доставчиците или да преустановят използването на засегнатите продукти до 23 юни 2025 г.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
