CISA сообщает о активных эксплойтах в Windows и Cisco

Управление кибербезопасности и безопасности инфраструктуры США (CISA) добавило две уязвимости безопасности, затрагивающие продукты Cisco и Windows, в свой каталог известных эксплуатируемых уязвимостей (KEV) в понедельник, предупреждая организации о активной эксплуатации со стороны злоумышленников.

Две нижеупомянутые уязвимости, которые были добавлены в KEV на основе доказательств кампаний эксплуатации, являются частыми векторами атак для злонамеренных кибер-актеров и представляют собой значительные риски для организаций. Это:

CVE-2023-20118 (CVSS Score: 6.5) – Уязвимость внедрения команд в маршрутизаторах Cisco Small Business RV Series:

Этот недостаток существует в веб-интерфейсе управления маршрутизаторов Cisco Small Business RV016, RV042, RV042G, RV082, RV320 и RV325.

Уязвимость позволяет аутентифицированному удаленному злоумышленнику выполнять произвольные команды на затронутом устройстве, что связано с неправильной проверкой пользовательского ввода в входящих HTTP-пакетах.

Эта уязвимость может быть использована злоумышленником, отправив специально подготовленный HTTP-запрос в веб-интерфейс управления.

Если атака успешна, злоумышленник может получить привилегии уровня root и доступ к несанкционированным данным. Однако для эксплуатации требуется действительные административные учетные данные на затронутом устройстве.

CVE-2018-8639 (CVSS Score: 7.8) – Уязвимость неправильного завершения или освобождения ресурсов Win32k в Microsoft Windows:

Этот недостаток является уязвимостью повышения привилегий, которая существует в Windows, когда компонент Win32k не может правильно обрабатывать объекты в памяти, также известная как «Уязвимость повышения привилегий Win32k».

Эксплуатация этой уязвимости может позволить локальным злоумышленникам получить повышенные привилегии и потенциально выполнять произвольный код в режиме ядра, фактически беря под контроль затронутую систему Windows.

Согласно уведомлению о безопасности, выпущенному Microsoft в декабре 2018 года, уязвимость CVE-2018-8639 затрагивает Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 и Windows 10 Servers.

В ответ на активную эксплуатацию этих уязвимостей CISA обязала все агентства Федеральной гражданской исполнительной власти (FCEB), в соответствии с Обязательным оперативным указанием (BOD) 22-01 от ноября 2021 года, применить патчи до 24 марта 2025 года, чтобы смягчить выявленные уязвимости и защитить свои сети от потенциальных угроз.

Что касается уязвимости CVE-2023-20118, Cisco не выпустила патч для ее исправления, так как затронутые модели достигли конца своего жизненного цикла (EoL).

С другой стороны, Microsoft исправила уязвимость CVE-2018-8639 в декабре 2018 года с помощью обновления безопасности Microsoft Windows.

Организациям, использующим эти продукты, рекомендуется принять немедленные защитные меры, такие как отключение удаленного управления, обновление до последней версии прошивки, мониторинг необычной сетевой активности, использование надежных учетных данных, таких как сложные пароли, ограничение доступа к доверенным источникам и внедрение многоуровневых стратегий защиты.