Уязвимость BDU:2020-03266

Дата: 17.06.2020. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2020-03266.

Наименование уязвимости: Уязвимость компонента ftusbbus2.sys программного средства перенаправления USB-устройств на удаленное сетевое соединение FabulaTech USB for Remote Desktop, позволяющая нарушителю повысить свои привилегии.

Описание уязвимости: Уязвимость компонента ftusbbus2.sys программного средства перенаправления USB-устройств на удаленное сетевое соединение FabulaTech USB for Remote Desktop связана с ошибками управления привилегиями. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии, используя специально сформированный системный вызов IoCtl
Уязвимое ПО: Сетевое средство, Прикладное ПО информационных систем FabulaTech LLP. FabulaTech USB for Remote Desktop до 2020-02-19 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 17.06.2020.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению:
Обновление программного средства перенаправления USB-устройств на удаленное сетевое соединение FabulaTech USB for Remote Desktop до версии 6.0.2 или новее
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2020-9332.

Тип ошибки CWE: CWE-269
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://nvd.nist.gov/vuln/detail/CVE-2020-9332
https://labs.sentinelone.com/click-from-the-backyard-cve-2020-9332/
https://www.fabulatech.com/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.