Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) szerdán két újabb aktívan kihasznált biztonsági hibával egészítette ki KEV (Known Exploited Vulnerabilities) katalógusát, miközben megfelelő bizonyíték hiányában öt hibát törölt a listáról.
Az újonnan hozzáadott sebezhetőségek:
CVE-2023-42793 (CVSS-pontszám: 9,8) – JetBrains TeamCity hitelesítés megkerülő biztonsági rése, amely távoli kódfuttatást tesz lehetővé a TeamCity Serveren.
CVE-2023-28229 (CVSS-pontszám: 7,0) – Microsoft Windows Cryptographic Next Generation (CNG) kulcsleválasztó szolgáltatásának súlyos hibája, amely lehetővé teszi a támadók számára, hogy meghatározott rendszerjogosultságokat szerezzenek. A Microsoft a maga részéről a jelzést a „Kishasználás kevésbé valószínű” értékeléssel látta el.
A két hiba aktív kihasználásának fényében az érintett állami szerveknek 2023. október 25-ig kell alkalmazniuk a szállító által biztosított javításokat, hogy megvédjék hálózatukat a potenciális fenyegetésekkel szemben.
A kiberbiztonsági ügynökség “elégtelen bizonyítékra” hivatkozva eltávolított a KEV katalógusából az alábbi sérülékenységeket:
A CVE-2022-31460-at 2022 júniusában a, a másik négy sebezhetőséget (CVE-2022-31459, CVE-2022-31461, CVE-2022-31462 és CVE-2022-31463) 2018. szeptember 2-án adták hozzá.