CISA добавило 95 новых CVE в свой список эксплуатируемых уязвимостей

Агентство США по кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA) добавило 95 новых ошибок в свой каталог известных эксплуатируемых уязвимостей, включая несколько критических ошибок в маршрутизаторах Cisco, Windows, Adobe Flash Player и пр.

Уязвимость в Windows (CVE-2021-41379) использовалась в реальных атаках на клиентов в ноябре прошлого года. Уязвимость повышения привилегий затрагивает версии Windows 11 и старше.

Проблемы в маршрутизаторах Cisco получили максимальную оценку в 10 баллов по шкале CVSS. Эксплуатация уязвимостей позволяла злоумышленникам выполнять вредоносный код, повышать привилегии, запускать случайные команды, отключать устройство от сети, обходить аутентификацию и пр. Проблемы затрагивают маршрутизаторы Cisco для малого бизнеса серий RV160, RV260, RV340 и RV345.

Список CISA важен для федеральных правительственных учреждений США, поскольку в соответствии с обязательной оперативной директивой BOD 22-01 сотрудники обязаны реагировать на предупреждения CISA об уязвимостях в установленные сроки. В данном случае крайний срок применения этих обновлений от поставщиков — март, что свидетельствует о том, насколько важно для CISA быстрое реагирование агентств.