Обзор уязвимостей за прошедшую неделю (14-20 ноября)
Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Microsoft Exchange, Atlassian, 1С, F5, Mozilla, Zendesk, LiteSpeed, AWS, AppSync.
В компании BI.ZONE заявили, что злоумышленники активно взламывают сети российских организаций из-за уязвимостей в продукте Microsoft Exchange. После взлома киберпреступники требуют выкуп примерно в 10-15 тыс. долларов.
Компания Atlassian представила исправления для устранения двух критических уязвимостей, которые затрагивают продукты Bitbucket Server, Data Center и Crowd. Ошибки в защите отслеживаются под идентификаторами CVE-2022-43781 и CVE-2022-43782 и имеют оценку 9 из 10 классификации CVSS.
14 ноября 2022 года официальные представители 1С направили своим клиентам информационное письмо с настоятельной рекомендацией срочно обновить платформу 1С:Предприятие 8 из-за обнаруженной критической уязвимости в продукте.
Эксперты компании Rapid7 выявили несколько уязвимостей и других потенциальных проблем с безопасностью, которые влияют на продукты разработчика F5. Наиболее серьезной обнаруженной уязвимостью является CVE-2022-41622 , проблема подделки межсайтовых запросов (CSRF), затрагивающая продукты BIG-IP и BIG-IQ.
Разработчики Mozilla объявили о выпуске Firefox 107. В последней версии популярного веб-браузера исправлено значительное количество уязвимостей, девять из которых были признаны «серьёзными».
Уязвимость внедрения SQL-кода в Zendesk Explore могла позволить злоумышленнику украсть информацию об учетной записи клиента Zendesk. Об обнаружении проблемы сообщила компания Varonis, занимающаяся защитой данных.
Уязвимости веб-сервера LiteSpeed, обнаруженные исследователями Palo Alto Networks, могут быть использованы злоумышленниками для получения полного контроля над целевым сервером.
Компания AWS исправила уязвимость безопасности в AppSync, сервисе, который предоставляет API для запроса, обновления или публикации данных в нескольких базах данных или микросервисах из одной конечной точки.
