CISA добавило 7 новых CVE в список эксплуатируемых уязвимостей

CISA добавило 7 новых CVE в список эксплуатируемых уязвимостей

С добавлением новых семи уязвимостей список CISA теперь содержит 654 CVE.

image

Агентство по кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA) США добавило семь уязвимостей в свой список активно эксплуатируемых проблем, в том числе уязвимости в Microsoft, Linux и Jenkins.

Уязвимости позволяют злоумышленникам выполнять различные атаки, включая кражу учетных данных, получение доступа к сетям, удаленное выполнение команд, загрузку и выполнение вредоносных программ или кражу информации с устройств.

С добавлением этих семи уязвимостей список CISA теперь содержит 654 CVE. Семь новых уязвимостей должны быть исправлены до 16 мая 2022 года.

Уязвимость в WSO2 (CVE-2022-29464) была обнаружена 18 апреля 2022 года, а через несколько дней после этого в общем доступе оказался PoC-код для ее эксплуатации.

Уязвимости «повышения привилегий службы профилей пользователей» в Windows (CVE-2022-21919 и CVE-2022-26904) представляют собой обходы исходной уязвимости CVE-2021-34484, исправленной в августе 2021 года. Для всех проблем были опубликованы PoC-коды для эксплуатации, и вымогательские группировки активно их используют для перемещения по сети.

Уязвимость повышения привилегий в Linux, известная как DirtyPipe (CVE-2022-0847), была обнаружена в марте 2022 года. Вскоре после ее раскрытия были выпущены многочисленные PoC-коды для ее эксплуатации, позволяющие получить привилегии суперпользователя.

Уязвимости повышения привилегий в Win32k (CVE-2021-40450 и CVE-2021-41357) были исправлены в октябре 2021 года и нет никаких свидетельств их эксплуатации в реальных атаках.

Последней является уязвимость обхода песочницы в Jenkins Script Security Plugin (CVE-2019-1003029), которая в прошлом использовалась операторами вредоносного ПО Capoae для развертывания криптомайнера XMRig.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!