Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: ESXiArgs, VMware, OMRON, Atlassian, Rockstar Games, GTA Online, Zyxel, Baicells, F5, BIG-IP.
Несколько дней назад множество вычислительных систем по всей планете были взломаны и заблокированы с использованием шифровальщика ESXiArgs за счёт эксплуатации уязвимости двухлетней давности в серверном ПО VMware.
Специалисты компании Positive Technologies помогли в устранении серьезной уязвимости в программируемых логических контроллерах OMRON, применяемых для управления широким спектром оборудования — от станочных до трубопроводных систем.
Критическая уязвимость, которая затрагивает Jira Service Management Server и Data Center компании Atlassian, позволяет киберпреступникам без аутентификации выдавать себя за других пользователей и получать дистанционный доступ к целевым системам.
Компания Rockstar Games представила патч для устранения критической уязвимости в GTA Online, которая допускала потерю игрового прогресса, утрату игровых денег, бан и иные неприятные последствия для пользователей. Кроме того, ошибка угрожала дистанционным выполнением произвольного кода на любом устройстве с запущенной игрой.
Эксперты компании Eclypsium обнаружили в прошивках BMC у крупнейших мировых производителей серверного оборудования критические уязвимости под общим названием BMC&C. Они позволяют киберпреступникам довольно легко получать контроль над системой. Ошибки касаются оборудования, которое поставляется AMD, ASRock, Asus, Arm, Gigabyte, HPE, Huawei, Intel, Lenovo, NVIDIA, Qualcomm и т. д.
Разработчики компании Zyxel сообщили об устранении ещё четырёх серьёзных уязвимостей в роутерах, оптических сетевых терминалах, интернет-шлюзах и усилителях Wi-Fi.
Эксперты обнаружили критическую уязвимость, затрагивающую базовые станции беспроводной связи от Baicells. Она может быть использована для нарушения или полного контроля над данными и голосовым трафиком.
Компания F5 предупредила о выявлении о серьезной уязвимости строки формата в BIG-IP, которая может позволить злоумышленнику, прошедшему проверку подлинности, вызвать состояние отказа в обслуживании (DoS) и потенциально выполнить произвольный код.
