Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) в пятницу добавило 10 новых активно эксплуатируемых уязвимостей в свой каталог известных эксплуатируемых уязвимостей (KEV), включая дефект безопасности высокой степени критичности, затрагивающий программное обеспечение для промышленной автоматизации от компании Delta Electronics.
Проблема, отслеживаемая как CVE-2021-38406 (рейтинг CVSS: 7.8), затрагивает DOPSoft 2 версии 2.00.07 и предыдущие. Успешная эксплуатация может привести к выполнению произвольного кода.
«В Delta Electronics DOPSoft 2 отсутствует надлежащая проверка предоставленных пользователем данных при разборе определенных файлов проектов (неправильная проверка ввода), что приводит к записи за пределы границ, позволяющей выполнить код» - говорится в оповещении CISA.
Стоит отметить, что CVE-2021-38406 был первоначально раскрыта в рамках рекомендации по промышленным системам управления (ICS), опубликованной в сентябре 2021 года.
Однако исправлений, устраняющих эту уязвимость, не существует, и CISA отмечает, что «затронутый продукт находится в конце срока службы и должен быть отключен, если он все еще используется». Федеральные гражданские органы исполнительной власти (FCEB) обязаны выполнить это указание до 15 сентября 2022 года.
О характере атак, использующих ошибку безопасности, известно немного, однако в недавнем отчете Unit 42 компании Palo Alto Networks были отмечены атаки с использованием этого дефекта в период с февраля по апрель 2022 года.
Это событие подтверждает мнение о том, что киберпреступники все быстрее используют недавно опубликованные уязвимости, что приводит к беспорядочным и оппортунистическим попыткам сканирования, направленным на использование преимуществ отложенного обновления систем.
Такие атаки часто следуют определенной последовательности эксплуатации, включающей веб-шеллы, криптомайнеры, ботнеты и трояны удаленного доступа (RAT), а затем брокеры начального доступа (IAB), которые затем прокладывают путь для шифровальщиков.
Среди других активно эксплуатируемых дефектов, добавленных в список, следующие:
- CVE-2022-26352 - неограниченная загрузка файлов в dotCMS.
- CVE-2022-24706 - небезопасная инициализация ресурсов по умолчанию в Apache CouchDB.
- CVE-2022-24112 - обход аутентификации Apache APISIX.
- CVE-2022-22963 - удаленное выполнение кода VMware Tanzu Spring Cloud Function.
- CVE-2022-2294 - переполнение буфера WebRTC.
- CVE-2021-39226 - обход аутентификации Grafana.
- CVE-2020-36193 - неправильное разрешение ссылок в PEAR Archive_Tar.
- CVE-2020-28949 - десериализация недоверенных данных в PEAR Archive_Tar.
В список добавлены уязвимости iOS и macOS
Еще один серьезный дефект, добавленный в KEV Catalog, - CVE-2021-31010 (рейтинг CVSS: 7.5), проблема десериализации в компоненте Core Telephony компании Apple, которая может быть использована для обхода ограничений песочницы.
Технологический гигант устранил проблему в iOS 12.5.5, iOS 14.8, iPadOS 14.8, macOS Big Sur 11.6 (и Security Update 2021-005 Catalina) и watchOS 7.6.2, выпущенных в сентябре 2021 года.
Хотя в то время не было никаких признаков того, что эта уязвимость эксплуатируется, технологический гигант, похоже, молча пересмотрел свои рекомендации 25 мая 2022 года, чтобы добавить уязвимость в каталоги и подтвердить, что она действительно была использована в атаках.
«На момент выпуска Apple было известно о том, что данная проблема могла активно эксплуатироваться» - отметил технологический гигант, поставив в заслугу Citizen Lab и Google Project Zero.
Сентябрьское обновление также примечательно тем, что в нем устранены CVE-2021-30858 и CVE-2021-30860, которые использовались NSO Group, создателем шпионского ПО Pegasus, для обхода функций безопасности операционных систем.
Это повышает вероятность того, что CVE-2021-31010 мог быть объединен с вышеупомянутыми двумя дефектами в цепочку атак для выхода из песочницы и выполнения произвольного кода.
Источник: https://thehackernews.com
