Предлагаем ознакомиться с небольшим обзоров уязвимостей за прошлую неделю. В центре внимания компании Thales, MITRE, ZDI, WordPress.
Исследование, проведенное компанией Claroty, показало, что около 70% действующих в разных странах мира АСУ ТП уязвимы из-за возможности их использования удаленно. В общей сложности насчитывается 365 уязвимостей автоматизированных систем управления, которые могут быть эксплуатированы киберпреступникам дистанционно. Найденные уязвимости были обнаружены за первые 7 месяцев 2020 года в 53 крупных компаниях.
В модуле компании Thales, который интегрируется в большинство современных IoT-устройств, обнаружена критическая уязвимость. Поверженные кибератаки модули Thales используют Java-код, содержащий разную информацию (сертификаты, пароли, ключи шифрования), поэтому хакеры, которые имеют доступ к определенному IoT-устройству, могут с помощью уязвимости обойти систему защиты, получив доступ к персональным данным, а также к панели управления устройством или всей сетью, в которой проблемное IoT-устройство находится.
Компания MITRE представила рейтинг ТОП-25 наиболее опасных уязвимостей за 2018-19 гг. В предложенном списке можно найти разнообразные ошибки, уязвимости, недочеты, которые были найдены экспертами по информационной безопасности в коде, архитектуре, дизайне программного решения.
За 15 лет работы платформа ZDI перечислила ИБ-специалистам более 20 млн. долларов вознаграждений. За обнаружение уязвимостей в проектах, которые были размещены на платформе ZDI, деньги были выплачены более 10 000 человек.
Критические уязвимости были устранены в банкоматах производителей Diebold Nixdorf и NCR. Обнаруженные ранее ошибки позволяли киберпреступникам выполнять произвольный код в программном обеспечении банкоматов, за счет чего при наличии физического доступа к устройствам злоумышленники могли выполнять незаконное снятие наличных.
Серьезная уязвимость была обнаружена в плагине Discount Rules для WordPress WooCommerce. Киберпреступники ранее использовали SQL-инъекцию, проблемы с аутентификацией и авторизация, а также ряд других ошибок в системе безопасности межсайтового скриптинга, чтобы получить на атакуемом сайте права администратора. Разработчиками WooCommerce соответствующий патч был выпущен 13 августа, но на момент написания статьи его установили не более 40% пользователей плагина Discount Rules.
