Az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) hat sebezhetőséggel egészítette ki az Known Exploited Vulnerabilities katalógusát, amelyek az Apple, az Adobe, az Apache, a D-Link és a Joomla termékeit érintik.
A Known Exploited Vulnerabilities katalógus, vagy röviden KEV, olyan biztonsági problémákat tartalmaz, amelyeket aktívan kihasználnak. Ez értékes forrás a szervezetek számára világszerte a sebezhetőségek kezelésében és a prioritások meghatározásában.
A kiemelt hat sebezhetőség a következő:
CVE-2023-27524 – Az erőforrások nem biztonságos alapértelmezett inicializálása, amely hatással van az Apache Superset 2.0.1-ig terjedő verzióira. A biztonsági rés akkor áll fenn, ha az alapértelmezett SECRET_KEY kulcs nem módosul, így a támadó hitelesítheti és hozzáférhet a jogosulatlan erőforrásokhoz (8,9 pontszám).
CVE-2023-23752 – Nem megfelelő hozzáférés-ellenőrzés a Joomla! 4.0.0-tól 4.2.7-ig, amely jogosulatlan hozzáférést tesz lehetővé a webszolgáltatás végpontjaihoz (5.3 pontszám).
CVE-2023-41990 – Távoli kódfuttatási hiba az iMessage csatolmányként küldött betűtípusfájl feldolgozásában, ami tetszőleges kódfuttatáshoz vezet az iOS 16.2 vagy régebbi iOS-t futtató Apple iPhone készülékeken (7.8 pontszám).
CVE-2023-38203 – Nem megbízható adatok deserializálása az Adobe ColdFusion 2018u17 és korábbi, 2021u7 és korábbi, valamint 2023u1 és korábbi verzióiban, ami tetszőleges kódfuttatáshoz vezet felhasználói beavatkozás nélkül (9.8 “kritikus súlyosságú” pontszám).
CVE-2023-29300 – Nem megbízható adatok deserializálása az Adobe ColdFusion 2018u17 és korábbi, 2021u7 és korábbi, valamint 2023u1 és korábbi verzióiban, ami tetszőleges kódfuttatáshoz vezet felhasználói beavatkozás nélkül (9,8 pontszám).
CVE-2016-20017 – Távoli, nem hitelesített parancsinjekciós sebezhetőség a D-Link DSL-2750B eszközökben az 1.05 előtti verziószámmal, 2016-tól 2022-ig aktívan kihasználva (9.8 pontszám).
A felsorolt hibák némelyikét olyan támadásokban használták ki, amelyeket csak nemrég hoztak nyilvánosságra.
A CVE-2023-41990-t a 2019 óta aktív “Operation Triangulation” kampányban használták fel, és csak 2023 júniusában fedezte fel a Kaspersky, amikor néhány kutatója készülékét megfertőzték.
A CVE-2023-38203 és a CVE-2023-29300 sérülékenységet 2023 közepe óta használták ki hackerek, miután a biztonsági kutatók bebizonyították, hogy a gyártó javításai megkerülhetők.
A CVE-2023-27524 esetében tavaly szeptemberben adtak ki proof-of-concept (PoC) exploitokat.
A szervezeteket és a szövetségi ügynökségeket arra kérik, hogy ellenőrizzék eszközeiket a fenti és a KEV katalógusban felsorolt egyéb sebezhetőségek tekintetében, és szükség szerint alkalmazzák a rendelkezésre álló biztonsági frissítéseket vagy enyhítő lépéseket.