Обзор уязвимостей за прошедшую неделю (21-27 декабря)

Дата: 28.12.2020. Автор: Артем П. Категории: Уязвимости

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Kepware, HackerOne, Cisco, Dell, CISA, Windows, Orange Cyberdefense.

Специалисты компании Claroty нашли в программных решениях Kepware, которые используются в автоматизированных системах управления промышленных предприятий, несколько критических уязвимостей. Отмечается, что найденные ошибки могут эксплуатироваться киберпреступниками для кражи конфиденциальной информации, вызова сбоя сервера, удаленного выполнения произвольного кода.

Румынский этичный хакер Космин Йордач смог заработать за последние три года более 2 млн. долларов на платформе HackerOne. Он стал первым специалистом, который с помощью поиска уязвимостей смог достичь этой суммы. Космин Йордач обнаружил ошибки в популярных сервисах и программных решениях (Verizon Media, PayPal, Dropbox, Facebook, Spotify и во многих других).

Эксперты заявили об обнаружении проблемы в роутерах Cisco, которая позволяет дистанционно завершать их работу. В операционных системах для маршрутизаторов Cisco линейки ASR 9000 найдена уязвимость, которая позволяет вызвать переполнение буфера и остановку работу устройств. Эксплойтов к ней нет. Разработчик уже заявил о выпуске обновления безопасности для ее исправления.

Компания Dell сообщила о выпуске обновлений безопасности для ряда моделей Wyse Thin Client, с помощью которых были устранены несколько критических уязвимостей, доступных для удаленной эксплуатации и получения доступа к серверам без аутентификации. По информации специалистов CyberMDX, которые нашли уязвимости, продукты Dell Wyse Thin Client используются более 6 тыс. организациями.

CISA (Агентство по кибербезопасности и безопасности инфраструктуры США) заявило о наличии критических уязвимостей в библиотеке TCP/IP нижнего уровня от разработчика Treck. При их эксплуатации киберпреступники смогут выполнять произвольный код, вызывать DoS (отказ в обслуживании).

Выпущенный в июне 2020 г. патч не смог полностью исправить уязвимость нулевого дня в Windows. Специалисты компании Google Project Zero выяснили, что Microsoft, выпустив в июне патч, не смогли устранить уязвимость, поэтому киберпреступники всё еще могут ее эксплуатировать, повышая привилегии до уровня ядра.

Специалисты компании Orange Cyberdefense провели исследование, по результатам которого выяснили, что большинство разработчиков программных решений только спустя три месяца исправляют найденные уязвимости. В течение одной недели уязвимости устраняют только 20% разработчиков. А треть всех уязвимостей исправляются только за 90 суток.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *