Бесплатно Экспресс-аудит сайта:

13.05.2020

Обзор уязвимостей за неделю: 12 мая 2020 года

За последнюю неделю был обнаружен ряд уязвимостей в браузерах Mozilla Firefox и Google Chrome, web-сервере NGINX Controller, ПО Cisco Adaptive Security Appliance и Firepower Threat Defense и пр.

Компания Mozilla выпустила обновления безопасности, устраняющие множество уязвимостей в браузере Firefox и почтовом приложении Thunderbird, включая несколько опасных уязвимостей, позволяющих удаленному злоумышленнику взломать систему ( CVE-2020-12387 ), обойти ограничения песочницы и повысить привилегии на системе ( CVE-2020-12388 и CVE-2020-12389 ), или выполнить произвольный код на целевой системе ( CVE-2020-6831 ).

Google также исправила несколько опасных уязвимостей в своем браузере Chrome, эксплуатация которых позволяла удаленно выполнить код.

Компания Cisco исправила в своем программном обеспечении Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD) 34 уязвимости, включая 12 опасных. Самой опасной проблемой является обход пути ( CVE-2020-3187 ) в ПО ASA и FTD, которая получила оценку в 9,1 балла по шкале CVSS. Злоумышленник может проэксплуатировать уязвимость путем отправки специально сформированного HTTP-запроса, содержащего последовательности символов обхода каталога. Это позволит преступнику просматривать или удалять файлы на системе. Как отметили специалисты, все удаленные файлы восстанавливаются после перезагрузки устройства.

Web-сервер NGINX Controller содержит две уязвимости, наиболее опасная из которых ( CVE-2020-5895 ) позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость связана с ошибкой границ при обработке сообщений в демонах Analytics, Visibility и Reporting. Удаленный злоумышленник может отправить приложению специально сформированное сообщение, вызвать повреждение памяти и выполнить произвольный код на целевой системе. Проблема затрагивает версии NGINX Controller 3.0.0, 3.1.0, 3.2.0 и 3.3.0.

В ПО Salt от SaltStack обнаружены две проблемы ( CVE-2020-11651 и CVE-2020-11652 ) — уязвимость обхода каталога и уязвимость обхода аутентификации соответственно. Эксплуатация данных уязвимостей позволяет злоумышленнику обойти аутентификацию и запустить произвольный код на главных серверах Salt, доступных в Сети.

Уязвимости уже использовались во время атак на ряд организаций, использующих данную технологию, включая мобильную операционную систему LineageOS на базе Android и популярную платформу для ведения блогов Ghost .

В решении Advantech WebAccess/SCADA обнаружены множественные уязвимости , наиболее опасные из которых позволяют удаленному злоумышленнику выполнить произвольный код на целевой системе.

В программном обеспечении для управления логами Zoho ManageEngine EventLog Analyzer обнаружена опасная RCE-уязвимость . Проблема связана с некорректной проверкой введенных пользователем данных на страницах продукта. Удаленный злоумышленник может передать специально сформированные данные в приложение и выполнить произвольный код на системе.