Търсене
Close this search box.

CISA предупреждава за недостатъци в продуктите на Fortinet, Ivanti и Nice

В понеделник Американската агенция за киберсигурност и инфраструктурна сигурност (CISA) включи три пропуски в сигурността в каталога си с известни експлоатирани уязвимости (KEV), като посочи доказателства за активна експлоатация.

Добавените уязвимости са следните –

  • CVE-2023-48788 (CVSS score: 9.3) – уязвимост при SQL инжектиране в Fortinet FortiClient EMS
  • CVE-2021-44529 (CVSS оценка: 9.8) – уязвимост при инжектиране на код в устройството за облачни услуги на Ivanti Endpoint Manager (EPM CSA)
  • CVE-2019-7256 (CVSS score: 10.0) – уязвимост при инжектиране на команди в операционната система на Nice Linear eMerge E3-Series

Недостатъкът, засягащ Fortinet FortiClient EMS, излезе наяве по-рано този месец, като компанията го описва като недостатък, който може да позволи на неавтентифициран нападател да изпълни неупълномощен код или команди чрез специално създадени заявки.

Оттогава Fortinet ревизира своята консултация, за да потвърди, че тя е била експлоатирана в дивата природа, въпреки че към момента няма други подробности относно естеството на атаките.

CVE-2021-44529, от друга страна, се отнася до уязвимост за инжектиране на код в Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA), която позволява на неавтентифициран потребител да изпълни злонамерен код с ограничени права.

Неотдавнашно изследване, публикувано от изследователя в областта на сигурността Рон Боус, показва, че недостатъкът може да е бил въведен като умишлена задна врата във вече прекратения проект с отворен код, наречен csrf-magic, който съществува поне от 2014 г.

CVE-2019-7256, който позволява на атакуващия да извърши отдалечено изпълнение на код на контролери за достъп от серията Nice Linear eMerge E3, е бил използван от участници в заплахи още през февруари 2020 г.

Недостатъкът, заедно с още 11 други грешки, беше отстранен от Nice (преди това Nortek) по-рано този месец. При това тези уязвимости бяха първоначално разкрити от изследователя по сигурността Гьоко Кръстич през май 2019 г.

В светлината на активната експлоатация на трите недостатъка федералните агенции са задължени да приложат предоставените от доставчика смекчаващи мерки до 15 април 2024 г.

Разработката идва в момент, когато CISA и Федералното бюро за разследване (ФБР) публикуваха съвместно предупреждение, в което призовават производителите на софтуер да предприемат мерки за намаляване на недостатъците, свързани с инжектирането на SQL.

В консултацията специално се изтъква използването на CVE-2023-34362, критична уязвимост в SQL инжектирането в MOVEit Transfer на Progress Software, от бандата Cl0p ransomware (известна още като Lace Tempest) за пробив в хиляди организации.

„Въпреки широкото познаване и документиране на уязвимостите SQLi през последните две десетилетия, както и наличието на ефективни мерки за намаляване на риска, производителите на софтуер продължават да разработват продукти с този дефект, което излага на риск много клиенти“, заявиха агенциите.

 

 

Източник: The Hacker News

Подобни публикации

21 април 2024

Как OpenAI и Microsoft събудиха заспал софтуере...

Само преди десетилетие най-големият технологичен звяр в света беше ...
20 април 2024

Готви се нова методика за удостоверяване на съо...

Актуализирането на методиката за удостоверяване на съответствието н...
20 април 2024

Критична уязвимост на Forminator за WordPress и...

Плъгинът Forminator за WordPress, използван в над 500 000 сайта, е ...
20 април 2024

Бандата "Медуза" нанася нов удар

Въпреки че общинската агенция уверява обществеността, че малцина са...
19 април 2024

Пробиха MITRE чрез нулевите дни на Ivanti

Корпорацията MITRE твърди, че подкрепяна от държавата хакерска груп...
19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
Бъдете социални
Още по темата
17/04/2024

Последни тенденции при злов...

В днешната дигитална ера киберсигурността се...
07/04/2024

92 000 NAS устройства на D-...

Изследовател на заплахи е разкрил нов...
27/03/2024

TheMoon проби хиляди рутери...

Забелязан е нов вариант на зловредния...
Последно добавени
21/04/2024

Как OpenAI и Microsoft събу...

Само преди десетилетие най-големият технологичен звяр...
20/04/2024

Готви се нова методика за у...

Актуализирането на методиката за удостоверяване на...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!