Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Солар, FreeIPA, React Native Image Picker, Angara Security, Positive Technologies, Fortinet, Microsoft, Ivanti, Apple, Avast, Lazarus, TeamCity, LiteSpeed Cache, WordPress, Tornado Cash.
По информации ГК «Солар», в 2023 году значительно возросла доля сканирований, то есть выявление уязвимостей в веб-приложениях автоматизированными инструментами. Подобное регистрировалось в 2022 году: в первом полугодии злоумышленники активно искали уязвимости в веб-приложениях, а во втором реализовывали сложные целевые атаки с применением этих «находок».
В IT-продуктах FreeIPA и React Native Image Picker обнаружены уязвимости средней и высокой критичности соответственно. Уязвимости нашли эксперты отдела анализа защищенности Angara Security в процессе исследования безопасности web- и мобильных приложений.
В феврале 2024 года специалисты Positive Technologies отнесли к трендовым еще восемь уязвимостей. Это уже эксплуатируемые в хакерских атаках уязвимости и те, использование которых прогнозируется в скором времени. К трендовым эксперты отнесли ошибки, найденные в продуктах Fortinet, Microsoft и Ivanti.
Корпорация Apple представила экстренные патчи для исправления двух уязвимостей нулевого дня в iOS, которые уже эксплуатировались хакерами в атаках. Производитель представил ряд обновлений для своих операционных систем (iOS 17.4, iPadOS 17.4 и iOS 16.7.6), с релизом которых уязвимости были устранены.
Эксперты компании Avast рассказали, что северокорейская группа хакеров Lazarus эксплуатировала уязвимость повышения привилегий в Windows как 0-day. Эта ошибка была исправлена в феврале 2024 года, лишь через 6 месяцев после того, как корпорации Microsoft сообщили, что уязвимость уже взята на вооружение киберпреступниками.
Критическая ошибка с идентификатором CVE-2024-27198 в CI/CD-решении TeamCity позволяет удаленному неаутентифицированному киберпреступнику получить права администратора и контроль над сервером. Из-за того, что технические детали о создании эксплоита уже доступны, администраторам советуется как можно скорее установить версию TeamCity 2023.11.4.
В популярном плагине LiteSpeed Cache для WordPress нашли уязвимость, позволяющую неавторизованным пользователям повышать свои привилегии. LiteSpeed Cache применяется для увеличения производительности сайтов и насчитывает более 5 млн установок.
В коде криптовалютного миксера Tornado Cash найден вредоносный JavaScript, в течение двух месяцев передававший данные депозитных сертификатов (deposit notes) на удаленный сервер.
Оригинал публикации на сайте CISOCLUB: "Обзор уязвимостей за прошедшую неделю (28 февраля – 5 марта)".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.