Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Xiaomi, HPE Aruba Networking, ArubaOS, TunnelVision, Лаборатория Касперского, Ivanti, Mullvad, Microsoft, Dirty Stream, Xiaomi File Manager, WPS Office, Google, WP Automatic, WordPress.
В устройствах от Xiaomi были найдены серьезные уязвимости безопасности. Использование этих багов может привести к раскрытию конфиденциальной информации пользователей и возможности удаленного контроля над устройствами.
Компания HPE Aruba Networking выпустила обновления для исправления ряда критических уязвимостей в ArubaOS, которые могут позволить осуществлять удаленное выполнение кода на затронутых системах. В бюллетене безопасности перечислены десять уязвимостей, четыре из которых имеют критический уровень опасности.
Специалисты по кибербезопасности выявили новую атаку, способную перехватывать трафик VPN-пользователей, даже несмотря на использование шифрования. Уязвимость TunnelVision использует настройки DHCP-сервера и эффективна против большинства VPN-приложений.
Эксперты из «Лаборатории Касперского» сообщили, что в первом квартале 2024 года наиболее часто эксплуатировались уязвимости, связанные с внедрением команд и обходом аутентификации в программном обеспечении Ivanti, а именно CVE-2024-21887 и CVE-2023-46805.
Пользователь VPN-сервиса Mullvad обратил внимание, что устройства на Android могут раскрывать DNS-запросы во время смены VPN-серверов, даже при активированной функции Always-on VPN, которая блокирует соединения вне VPN. Функция Always-on VPN предусматривает автоматический запуск и поддержание работы VPN с момента включения устройства до выключения или деактивации профиля.
Специалисты Microsoft описали новую технику атаки Dirty Stream, предназначенную для path traversal, которая дает возможность вредоносным приложениям на Android перезаписывать файлы в домашних директориях других приложений. Это может привести к выполнению произвольного кода и утечке данных. Проблема затрагивает популярные приложения, к примеру, Xiaomi File Manager и WPS Office, насчитывающие свыше 1,5 миллиарда установок.
Корпорация Google значительно увеличила размер вознаграждений за обнаружение уязвимостей удаленного выполнения кода в приложениях для Android — с 30 000 до 300 000 долларов, а максимальное вознаграждение теперь составляет 450 000 долларов.
Хакеры начали активно использовать критическую уязвимость в плагине WP Automatic для WordPress, которая позволяет создавать новых пользователей с правами администратора и устанавливать бэкдоры.
Оригинал публикации на сайте CISOCLUB: "Обзор уязвимостей за прошедшую неделю (1-7 мая)".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.