JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) įtraukė keturis pažeidžiamumus į savo žinomą išnaudojamų pažeidžiamumų katalogą, ragindama federalines agentūras ir dideles organizacijas kuo greičiau pritaikyti turimus saugumo atnaujinimus.
Tarp jų yra trūkumai, darantys įtaką „Microsoft .NET Framework“ ir „Apache ofbiz“ („Open for Business“), dvi plačiai naudojamos programinės įrangos programos.
Nors agentūra pažymėjo tuos trūkumus kaip aktyviai išnaudotos išpuolių metu, ji nepateikė konkrečios informacijos apie kenkėjišką veiklą, kuri ją vykdo ir prieš kam.
Pirmasis trūkumas, stebimas CVE-2024-29059, yra didelis sunkumas (CVSS V3 balas: 7,5) informacijos atskleidimo klaida .NET sistemoje, kurią „Code White“ aptiko ir atskleista „Microsoft“ 2023 m. Lapkričio mėn.
2023 m. Gruodžio mėn. „Microsoft“ uždarė atskleidimo ataskaitą, kurioje teigiama: „Po kruopštaus tyrimo mes nustatėme, kad ši byla neatitinka mūsų advokatūros, kad būtų galima nedelsiant aptarnauti“.
Tačiau „Microsoft“ galiausiai nustatė trūkumą 2024 m. Sausio mėn. Saugumo atnaujinimuose, tačiau klaidingai neišleido CVE ir nepripažino tyrėjų.
Vasario mėn. „Code White“ išleido technines detales ir koncepcijos išnaudojimo įrodymą, kaip nutekėti vidinis objektas URI, kuris gali būti naudojamas .NET ištraukimo atakoms atlikti,
„Microsoft“ pagaliau paskelbė šio trūkumo patarimą pagal CVE-2024-29059 2024 m. Kovo mėn. Ir priskyrė atradimą tyrėjams.
„Apache ofbiz“ trūkumas yra CVE-2024-45195, kritinis sunkumas (CVSS V3 balas: 9,8) Nuotolinio kodo vykdymo pažeidžiamumas, paveikiantis BIZ prieš 18.12.16.
Trūkumą sukelia priverstinis naršymo silpnumas, dėl kurio riboti keliai yra nelaisvūs tiesioginių prašymų atakos.
Iš pradžių trūkumą atrado „Rapid7“, kuris taip pat pristatė koncepcijos įrodymo (POC) išnaudojimą, o pardavėjas jį ištaisė 2024 m. Rugsėjo mėn.
Vartotojams rekomenduojama atnaujinti į „Apache OfBiz“ versiją 18.12.16 ar naujesnę versiją, kurioje nagrinėjama konkreti rizika.
Dabar CISA ragina potencialiai paveiktas agentūras ir organizacijas pritaikyti turimus pataisas ir švelninimą iki 2025 m. Vasario 25 d., Arba nustoti naudoti produktus.
Kiti du trūkumai, pridedami prie KEV, yra CVE-2018-9276 ir CVE-2018-19410, kurie daro įtaką „Paessler PRTG“ tinklo stebėjimo programinei įrangai. Klausimai buvo išspręsti 18.2.41.1652 versijoje, išleistoje 2018 m. Birželio mėn.
Pirmasis trūkumas yra OS komandų injekcijos problema, o antrasis yra vietinio failo įtraukimo pažeidžiamumas. Pataisymo terminas taip pat buvo nustatytas 2025 m. Vasario 25 d.
Deja, nėra informacijos apie tai, kaip iš šių atakų išnaudojama bet kuris iš šių trūkumų.
