В понеделник американската агенция за киберсигурност CISA предупреди, че в дивата природа са използвани уязвимости отпреди години в SAP Commerce, рамката Gpac и рутерите D-Link DIR-820.
Най-старият от пропуските е CVE-2019-0344 (CVSS оценка 9,8) – проблем с опасна десериализация в разширението „virtualjdbc“ на SAP Commerce Cloud, който позволява на атакуващите да изпълняват произволен код на уязвима система, с потребителски права „Hybris“.
Hybris е инструмент за управление на взаимоотношенията с клиентите (CRM), предназначен за обслужване на клиенти, който е дълбоко интегриран в облачната екосистема на SAP.
Засягайки версиите на Commerce Cloud 6.4, 6.5, 6.6, 6.7, 1808, 1811 и 1905, уязвимостта беше разкрита през август 2019 г., когато SAP разпространи кръпки за нея.
Следващата по ред уязвимост е CVE-2021-4043 (CVSS оценка 5,5), средно тежка грешка Null pointer dereference в Gpac, изключително популярна мултимедийна рамка с отворен код, която поддържа широк спектър от видео, аудио, криптирани медии и други видове съдържание. Проблемът е отстранен във версия 1.1.0 на Gpac.
Третият дефект в сигурността, за който CISA предупреди, е CVE-2023-25280 (CVSS оценка 9,8) – дефект с критична тежест, свързан с инжектиране на команди в операционната система в маршрутизатори D-Link DIR-820, който позволява на отдалечени, неавтентифицирани атакуващи да получат root привилегии на уязвимо устройство.
Дефектът в сигурността е разкрит през февруари 2023 г., но няма да бъде отстранен, тъй като засегнатият модел маршрутизатор е спрян от производство през 2022 г. Няколко други проблема, включително бъгове от типа „нулев ден“, засягат тези устройства и на потребителите се препоръчва да ги заменят с поддържани модели възможно най-скоро.
В понеделник CISA добави и трите недостатъка към своя каталог Known Exploited Vulnerabilities (KEV), заедно с CVE-2020-15415 (CVSS оценка 9,8), бъг с критична сериозност в устройствата DrayTek Vigor3900, Vigor2960 и Vigor300B.
Въпреки че няма предишни съобщения за експлоатиране на дефектите на SAP, Gpac и D-Link, за бъга на DrayTek е известно, че е експлоатиран от ботнет, базиран на Mira.
С добавянето на тези дефекти към KEV федералните агенции имат срок до 21 октомври да идентифицират уязвимите продукти в своите среди и да приложат наличните смекчаващи мерки, както е предписано от BOD 22-01.
Въпреки че директивата се отнася само за федералните агенции, на всички организации се препоръчва да прегледат каталога KEV на CISA и да отстранят посочените в него дефекти в сигурността възможно най-скоро.
