**CISA расширяет каталог известных эксплуатируемых уязвимостей**
Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) недавно расширило свой каталог известных эксплуатируемых уязвимостей (KEV), включив в него критические уязвимости, затрагивающие несколько широко используемых программных продуктов. Это обновление подчеркивает важность бдительности в практике кибербезопасности, особенно для организаций, полагающихся на эти технологии.
**Детали новых уязвимостей**
В каталог добавлены следующие уязвимости:
— CVE-2024-27348: Уязвимость неправильного контроля доступа в Apache HugeGraph-Server
— CVE-2020-0618: Уязвимость удаленного выполнения кода в Microsoft SQL Server Reporting Services
— CVE-2019-1069: Уязвимость повышения привилегий в Microsoft Windows Task Scheduler
— CVE-2022-21445: Уязвимость удаленного выполнения кода в Oracle JDeveloper
— CVE-2020-14644: Уязвимость удаленного выполнения кода в Oracle WebLogic Server
Среди них уязвимость CVE-2022-21445, имеющая оценку CVSS 9.8, представляет значительный риск. Она позволяет неаутентифицированным злоумышленникам с сетевым доступом через HTTP использовать уязвимость в Oracle JDeveloper, что потенциально может привести к полному захвату приложения. Эта уязвимость затрагивает версии 12.2.1.3.0 и 12.2.1.4.0 и известна своей легкостью эксплуатации.
Аналогично, уязвимость CVE-2020-14644, также с оценкой 9.8, затрагивает Oracle WebLogic Server. Злоумышленник может использовать эту уязвимость удаленного выполнения кода через IIOP, что приведет к компрометации сервера и получению контроля над ним. Эта уязвимость затрагивает версии 12.2.1.3.0, 12.2.1.4.0 и 14.1.1.0.0 и также легко эксплуатируется.
Кроме того, уязвимость CVE-2019-1069 с оценкой CVSS 7.8 связана с повышением привилегий в Microsoft Windows Task Scheduler. Эта уязвимость позволяет злоумышленнику получить повышенные привилегии на системе жертвы при наличии возможностей выполнения непривилегированного кода. Обнаруженная исследователем SandboxEscaper в июне, Microsoft оперативно устранила эту проблему с помощью обновлений безопасности.
Уязвимость CVE-2020-0618, также с оценкой 7.8, затрагивает Microsoft SQL Server Reporting Services. Она возникает из-за неправильной обработки запросов страниц, что позволяет удаленным злоумышленникам выполнять произвольный код через уязвимость повреждения памяти.
Наконец, уязвимость CVE-2024-27348 в Apache HugeGraph-Server, оцененная на 9.8, позволяет злоумышленникам обходить ограничения песочницы и потенциально выполнять удаленный код. Эта проблема затрагивает версии от 1.0.0 до 1.3.0 в Java8 и Java11.
В соответствии с Директивой по обязательным операциям (BOD) 22-01, направленной на снижение рисков, связанных с известными эксплуатируемыми уязвимостями, федеральные агентства обязаны устранить эти выявленные уязвимости до 9 октября 2024 года. Эксперты также советуют частным организациям ознакомиться с каталогом KEV и принять необходимые меры для укрепления своей инфраструктуры против этих угроз.
