Новая уязвимость Cisco SD-WAN Manager позволяет получить удаленный доступ к серверу
Компания Cisco предупреждает о пяти новых уязвимостях в продуктах Catalyst SD-WAN Manager. Наиболее серьезной из обнаруженных уязвимостей является CVE-2023-20252 (CVSS v3.1: 9.8), позволяющая злоумышленнику получить доступ к vManage из-за проблем с API Security Assertion Markup Language (SAML). Эту уязвимость можно использовать, отправляя специально созданные запросы непосредственно к SAML API, которые генерируют произвольные токены авторизации, обеспечивающие доступ к приложению. Cisco не предоставила никаких обходных путей для исправления ошибок, поэтому единственное рекомендуемое действие — обновление до версии 20.12.1.
Google выпустила патч для уязвимости нулевого дня
Компания Google устранила пятую с начала года 0-day уязвимость CVE-2023-5217 (CVSS v3.1: 8.8) для Chrome в экстренных обновлениях безопасности. Уязвимость вызвана переполнением буфера в кодировании VP8 в библиотеке видеокодеков libvpx и позволяет злоумышленнику использовать RCE. Мэдди Стоун из Google TAG обнаружила, что уязвимость нулевого дня CVE-2023-5217 позволяла злоумышленникам устанавливать шпионское ПО Cytrox Predator в период с мая по сентябрь 2023 года. Клиентам предлагается обновить версию Google Chrome до 117.0.5938.132, которая распространяется для всех актуальных платформ.
Разработчик MOVEit Transfer предупредил клиентов о критичной уязвимости в программном обеспечении WS_FTP Server
Компания Progress Software, разработчик платформы для обмена файлами MOVEit Transfer, предупредила клиентов о необходимости устранения уязвимостей для своего ПО WS_FTP Server. В опубликованном бюллетене Progress Software раскрыла многочисленные уязвимости, затрагивающие интерфейс менеджера и модуль Ad Hoc Transfer Module. Уязвимость CVE-2023-40044 получила максимальную оценку 10 и позволяет неаутентифицированным злоумышленникам выполнять удаленные команды после успешной эксплуатации уязвимости в модуле Ad Hoc Transfer. Другая критическая ошибка с оценкой 9.9 — CVE-2023-42657 — представляет собой уязвимость обхода каталога, позволяющую злоумышленникам выполнять файловые операции в папке WS_FTP. Progress Software рекомендует обновиться до самой последней версии — 8.8.2. Обновление до исправленной версии с использованием полной программы установки является единственным способом устранения данной проблемы. На время выполнения обновления в системе будет наблюдаться перерыв в работе.
Новая версия ВПО ZenRAT атакует пользователей Windows под видом парольного менеджера
В новом техническом отчете компании Proofpoint, специализирующейся на корпоративной безопасности, был проанализирован новый штамм вредоносного ПО под названием ZenRAT. Полезная нагрузка представляет собой троянскую версию стандартного ПО Bitwarden, содержащую вредоносный исполняемый файл ApplicationRuntimeMonitor.exe. ZenRAT (ApplicationRuntimeMonitor.exe), в отличие от файла-установщика, содержит метаданные, утверждающие, что это совершенно другое приложение. В свойствах файла указано, что он создан Monitoring Legacy World Ltd. При выполнении он использует запросы WMI и другие системные инструменты для сбора информации о хосте. После сбора данных с хоста и браузера ZenRAT отправляет эту информацию на свой (C2) сервер в zip-файле под названием Data.zip с именами файлов InstalledApps.txt и SysInfo.txt. В прошлом подобные вредоносные программы распространялись с помощью фишинга, вредоносной рекламы или SEO-атак.
На GitHub выпущен эксплойт для обхода аутентификации Microsoft SharePoint Server
Исследователь Jang из STAR Labs опубликовал на GitHub код для проверки уязвимостей в Microsoft SharePoint Server. В их число входят уязвимости CVE-2023-29357 и CVE-2023-24955, основанные на повышении привилегий и позволяющие удаленно выполнить код через инъекцию команд. Злоумышленники применяют сетевую атаку, подделывая токены аутентификации JWT, которые позволяют обходить аутентификацию и получать доступ к привилегиям аутентифицированного пользователя. Несмотря на то, что существующий эксплойт не дает использовать RCE, настоятельно рекомендуется применять исправления безопасности KB5002402.