Обзор уязвимостей за прошедшую неделю (2-8 октября)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Positive Technologies, MasterSCADA 4D, Zimbra, CUPS, Adobe Commerce, Magento, CosmicSting, Rackspace, ScienceLogic SL1, DrayTek, The Browser Company, Arc, Wiz, Nvidia Container Toolkit.
Эксперт компании Positive Technologies Айнур Акчурин выявил критические уязвимости в платформе MasterSCADA 4D, предназначенной для создания систем автоматизации и диспетчеризации технологических процессов в различных отраслях промышленности. Платформа MasterSCADA (версии 3 и 4D) используется в десятках тысяч проектов по всему миру, охватывая более 40 отраслей. После получения уведомления об уязвимостях, разработчик оперативно выпустил обновления безопасности, следуя принципам ответственного раскрытия информации.
Исследователи предупреждают, что злоумышленники уже начали использовать недавно обнаруженную RCE-уязвимость в системе Zimbra. Эта проблема усугубляется тем, что эксплуатировать уязвимость можно через простую отправку специально сформированных писем на SMTP-сервер.
Новая уязвимость, обнаруженная в системе CUPS, может быть использована для усиления DDoS-атак. Эксперты поясняют, что уязвимость CVE-2024-47176 в демоне cups-browsed, в сочетании с тремя другими ошибками, может позволить удаленное выполнение кода, а также быть инструментом для усиления DDoS-атак.
Хакерские атаки продолжают угрожать интернет-магазинам, работающим на платформах Adobe Commerce и Magento, из-за уязвимости в CosmicSting. По данным экспертов, около 5% магазинов уже были взломаны.
Компания Rackspace пострадала от утечки данных, вызванной уязвимостью нулевого дня в стороннем инструменте ScienceLogic SL1, используемом на платформе. В результате инцидента были скомпрометированы «ограниченные» данные клиентов.
DrayTek выпустила обновления для ряда моделей маршрутизаторов, устранив 14 уязвимостей. Одна из этих уязвимостей получила критическую оценку (10 баллов по CVSS), поскольку допускает удаленное выполнение произвольного кода.
Компания The Browser Company, разработавшая браузер Arc, запустила программу поощрения за поиск уязвимостей (bug bounty). Этот шаг был вызван недавним обнаружением RCE-уязвимости CVE-2024-45489, которая позволяла злоумышленникам осуществлять массовые атаки на пользователей Arc.
Эксперты компании Wiz выявили критическую уязвимость в Nvidia Container Toolkit, активно применяемом в облачных средах и для работы с искусственным интеллектом. Эта уязвимость могла позволить злоумышленникам выйти за пределы контейнеров и получить доступ к хост-системе.



