Újabb sérülékenységekkel bővült a CISA listája

Az amerikai kiberbiztonsági ügynökség (Cybersecurity and Infrastructure Security Agency – CISA) újabb 7 sebezhetőséggel egészítette ki az ismerten kihasznált sérülékenységek listáját, a legkritikusabb közülük a CVE-2022-22536 (10.0-s CVSS pontszámú) SAP sebezhetőség, ami még a 2022. februári patch kedd részeként került javításra.

A további sérülékenységek között szerepel:

  • a CVE-2022-32893 – iOS és macOS out-of-bounds biztonsági rés, amely távoli kódfuttatást tesz lehetővé a rosszindulatú webtartalmak feldolgozásakor.
  • CVE-2022-32894 – iOS és macOS out-of-bounds biztonsági rés, amely lehetővé teszi az alkalmazások számára, hogy kernel szintű jogosultsággal hajtsanak végre kódot.
  • CVE-2022-2856 – Google Chrome Intents nem megfelelő felhasználói bemenet-ellenőrzés hatása egyelőre ismeretlen, a CISA több információ birtokában frissíteni fogja leírását.
  • CVE-2022-21971 – Microsoft Windows Runtime egy meg nem határozott biztonsági hibája, ami távoli kódfuttatást tesz lehetővé.
  • CVE-2022-26923 – lehetővé teszi egy hitelesített felhasználó számára, hogy módosítsa az általa birtokolt vagy kezelt számítógépfiókok attribútumait és beszerezzen egy tanúsítványt az Active Directory Certificate Services-től, amivel kiterjeszthetők a jogosultságok SYSTEM-re.
  • és a CVE-2017-15944 – a Palo Alto Network PAN-OS több meg nem határozott sebezhetőségét tartalmazza, amelyek együttes kihasználása távoli kódfuttatást tesz lehetővé.

 

A Binding Operational Directive (BOD) dokumentum 22-01-es kiadásában foglaltak szerint a kockázatok csökkentése érdekében az FCEB ügynökségeknek (Federal Civilian Executive Branch Agencies) egy bizonyos határidőn belül – jelen esetben a CISA utasítása szerint 2022. szeptember 8-ig – javítaniuk kell a sérülékenységeket. A magánszervezetek számára szintén a katalógus áttekintését és a szükség szerinti javítást ajánlják a szakértők.

(securityaffairs.co)