Агентство кібербезпеки і безпеки інфраструктури (CISA) додало ще дев’ять вразливостей у свій список помилок, що активно експлуатуються, у тому числі вразливість підвищення привілеїв VMware та вразливість нульового дня Google Chrome, яку можна використовувати для віддаленого виконання коду.
Вразливість VMware (CVE-2022-22960) була виправлена 6 квітня і дозволяє зловмисникам підвищувати привілеї до рівня root на вразливих серверах через неправильні дозволи у сценаріях підтримки.
Нульовий день Chrome також був включений до каталогу відомих експлуатованих уразливостей (KEV) CISA, помилка, що відстежується як CVE-2022-1364 і дозволяє видалене виконання коду через вразливість, пов’язану з плутаниною типів V8.
Усі агентства федеральних цивільних виконавчих органів влади (FCEB) повинні виправити свої системи проти цих помилок безпеки після того, як вони були додані до списку KEV CISA відповідно до листопадової операційної директиви (BOD 22-01).
Сьогодні CISA додала у свій каталог ще сім вразливостей безпеки, і всі вони використовуються в ході атак, що продовжуються.
Всім організаціям США рекомендується приділяти пріоритетну увагу цим оновленням безпеки.
Не зважаючи на те, що директива BOD 22-01 застосовується тільки до агентств FCEB США, CISA також закликає всі американські організації з приватного та державного секторів надавати виправленню цих помилок, що активно експлуатуються, більш високий пріоритет.
| CVE | Vulnerability Name | Due Date |
| CVE-2022-22960 | VMware Multiple Products Privilege Escalation Vulnerability | 2022-05-06 |
| CVE-2022-1364 | Google Chromium V8 Type Confusion Vulnerability | 2022-05-06 |
| CVE-2019-3929 | Crestron Multiple Products Command Injection Vulnerability | 2022-05-06 |
| CVE-2019-16057 | D-Link DNS-320 Remote Code Execution Vulnerability | 2022-05-06 |
| CVE-2018-7841 | Schneider Electric U.motion Builder SQL Injection | 2022-05-06 |
| CVE-2016-4523 | Trihedral VTScada (formerly VTS) Denial-of-Service | 2022-05-06 |
| CVE-2014-0780 | InduSoft Web Studio NTWebServer Directory Traversal | 2022-05-06 |
| CVE-2010-5330 | Ubiquiti AirOS Command Injection Vulnerability | 2022-05-06 |
| CVE-2007-3010 | Alcatel OmniPCX Enterprise Remote Code Execution | 2022-05-06 |
Якщо прийняти цю пораду близько до серця, це має значно знизити кількість поверхневих загроз, які суб’єкти можуть використовувати для зламування своїх мереж.
“Ці типи вразливостей є частим вектором атак для зловмисників всіх типів і становлять значний ризик для федерального підприємства”, – пояснює агентство кібербезпеки США.
З того часу, як була випущена обов’язкова директива BOD 22-01, CISA додала сотні недоліків у свій каталог помилок, що активно експлуатуються, наказавши федеральним агентствам США виправити їх якнайшвидше, щоб заблокувати порушення безпеки. Джерело