Агентство по кибербезопасности и инфраструктурной безопасности США добавило в каталог известных уязвимостей две уязвимости: недавно исправленный дефект в Google Chrome и ошибку, затрагивающую библиотеку Perl с открытым исходным кодом для чтения информации в файле Excel под названием Spreadsheet::ParseExcel.
Американское агентство по киберзащите предоставило федеральным агентствам время до 23 января, чтобы устранить две проблемы безопасности, обозначенные как CVE-2023-7024 и CVE-2023-7101, в соответствии с инструкциями производителей или прекратить использование уязвимых продуктов.
Spreadsheet::ParseExcel RCE
Первой проблемой, которую CISA добавила в список известных эксплуатируемых уязвимостей (KEV), является CVE-2023-7101уязвимость удаленного выполнения кода, затрагивающая версии 0.65 и старше библиотеки Spreadsheet::ParseExcel.
"Spreadsheet::ParseExcel содержит уязвимость удаленного выполнения кода из-за передачи невалидированного ввода из файла в строковый тип "eval." В частности, проблема связана с оценкой строк формата Number в логике разбора Excel", говорится в описании недостатка, подготовленном CISA.
Spreadsheet::ParseExcel - это библиотека общего назначения, которая позволяет выполнять операции импорта/экспорта данных из файлов Excel, запускать сценарии анализа и автоматизации. Продукт также предоставляет слой совместимости для обработки файлов Excel в веб-приложениях на базе Perl.
Одним из продуктов, использующих библиотеку с открытым исходным кодом, является Barracuda ESG (Email Security Gateway), который в конце декабря подвергся атаке со стороны китайские хакеры которые использовали CVE-2023-7101 в Spreadsheet::ParseExcel для компрометации устройств.
В сотрудничестве с компанией Mandiant, специализирующейся на кибербезопасности, Barracuda считает, что за атаками стоит UNC4841, который использовал этот дефект для развертывания вредоносных программ 'SeaSpy' и 'Saltwater'.
Barracuda применила средства защиты для ESG 20 декабря, а обновление безопасности, устраняющее CVE-2023-7101, было выпущено 29 декабря 2023 г. для Spreadsheet::ParseExcel версии 0.66.
Переполнение буфера в Google Chrome
Последней активно эксплуатируемой уязвимостью, добавленной в KEV, является CVE-2023-7024Проблема переполнения буфера кучи в WebRTC в браузере Google Chrome.
"Google Chromium WebRTC, проект с открытым исходным кодом, обеспечивающий веб-браузеры связью в режиме реального времени, содержит уязвимость переполнения буфера кучи, которая позволяет злоумышленнику вызвать сбои или выполнить код", - говорится в кратком описании недостатка, подготовленном CISA.
"Эта уязвимость может повлиять на веб-браузеры, использующие WebRTC, включая Google Chrome, но не ограничиваясь им", - добавляет агентство.
Дефект был обнаружен группой анализа угроз (TAG) Google и исправлен в экстренном обновлении 20 декабря в версиях 120.0.6099.129/130 для Windows и 120.0.6099.129 для Mac и Linux.
Это был восьмая уязвимость нулевого дня Уязвимость, которую Google устранила в Chrome в 2023 году, подчеркивает, что хакеры постоянно тратят силы и время на поиск и использование недостатков в широко распространенном веб-браузере.
Каталог KEV от CISA - это ценный ресурс для организаций по всему миру, которые стремятся к более эффективному управлению уязвимостями и определению приоритетов.
