CISA добавляет в свой каталог новую ошибку, дающую хакеру полную свободу действий.
Агентство CISA добавило уязвимость ядра Linux в каталог известных эксплуатируемых уязвимостей ( KEV ), сославшись на доказательства активной эксплуатации.
CVE-2024-1086 (оценка CVSS 3.1: 7,8) связана с ошибкой use-after-free (UAF) в компоненте netfilter и позволяет локальному злоумышленнику повысить привилегии обычного пользователя до root и выполнить произвольный код. Уязвимость была устранена в январе 2024 года. При этом точная природа атак, использующих уязвимость, на данный момент неизвестна.
Netfilter — это платформа, предоставляемая ядром Linux, которая позволяет реализовывать различные сетевые операции в виде пользовательских обработчиков для облегчения фильтрации пакетов, трансляции сетевых адресов и трансляции портов.
В каталог KEV также добавлен недавно обнаруженный недостаток, влияющий на продукты безопасности сетевых шлюзов Check Point ( CVE-2024-24919 с оценкой CVSS 3.1: 8,6). Данная уязвимость позволяет атакующему читать определенную информацию на подключенных к Интернету шлюзах с включенным удаленным доступом VPN или мобильным доступом. Зафиксированные попытки атак в основном направлены на удаленные сценарии доступа через старые локальные аккаунты с нерекомендуемой аутентификацией по паролю.
ИБ-компания Censys заявила, что по состоянию на 31 мая наблюдалось 13 800 подключенных к Интернету устройств по всему миру, подверженных воздействию уязвимых программных продуктов, но не все из устройств обязательно уязвимы для этой ошибки. Большинство зараженных хостов находятся в Японии и Италии.
Исследователи Censys пояснили, что один из затронутых продуктов — Quantum Spark Gateway — создан для малого и среднего бизнеса, а Quantum Security Gateway предназначен для крупных компаний и центров обработки данных. Также затронуты продукты Check Point CloudGuard Network, Quantum Maestro и Quantum Scalable Chassis.
По данным Censys, более 91% устройств, подключенных к Интернету, являются шлюзами Quantum Spark, что указывает на то, что «большинство затронутых организаций могут быть небольшими коммерческими организациями».
Ввиду активной эксплуатации CVE-2024-1086 и CVE-2024-24919 федеральным агентствам рекомендуется применить последние исправления до 20 июня 2024 года, чтобы защитить свои сети от потенциальных угроз.