В среду Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) добавило в свой каталог известных уязвимостей новую опасность, своевременно связанную с шлюзами SonicWall Secure Mobile Access (SMA) 100 серии, основываясь на данных о ее активном использовании.
Эта уязвимость высокой степени серьезности, получившая обозначение CVE-2021-20035 (оценка CVSS: 7.2), предоставляет возможность инъекции команд операционной системы, что может привести к выполнению произвольного кода.
Компания SonicWall в своем уведомлении, выпущенном в сентябре 2021 года, отметила, что "неправильная нейтрализация специальных элементов в интерфейсе управления SMA100 позволяет удаленно аутентифицированному злоумышленнику вводить произвольные команды от имени пользователя 'nobody', что потенциально может привести к выполнению кода."
Уязвимость затрагивает устройства SMA 200, SMA 210, SMA 400, SMA 410 и SMA 500v (ESX, KVM, AWS, Azure), работающие на следующих версиях:
- 10.2.1.0-17sv и ранее (исправлено в 10.2.1.1-19sv и выше)
- 10.2.0.7-34sv и ранее (исправлено в 10.2.0.8-37sv и выше)
- 9.0.0.10-28sv и ранее (исправлено в 9.0.0.11-31sv и выше)
Хотя точные детали эксплуатации CVE-2021-20035 сейчас неизвестны, SonicWall обновила информацию и подтвердила, что "данная уязвимость, возможно, используется в реальных условиях."
Агентства Федеральной гражданской исполнительной власти (FCEB) обязаны принять необходимые меры по устранению уязвимости до 7 мая 2025 года, чтобы защитить свои сети от активных угроз.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru