НАЗАД К НОВОСТЯМ
CERT рекомендации

CISA добавляет четыре активно эксплуатируемые уязвимости в каталог KEV

3 мин чтенияИсточник: CISA Cybersecurity Advisories
CVE-2019-19006

Агентство CISA включило четыре критические уязвимости в каталог KEV из-за подтверждённых атак. Организациям рекомендовано срочно устранить угрозы.

CISA обновило каталог KEV: четыре активно эксплуатируемые уязвимости

Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило четыре новые уязвимости в каталог известных эксплуатируемых уязвимостей (KEV), ссылаясь на доказательства их активного использования злоумышленниками. Федеральным агентствам и организациям настоятельно рекомендуется устранить эти уязвимости в приоритетном порядке для снижения текущих киберугроз.

Уязвимости, добавленные в каталог KEV

В обновлённый список вошли следующие уязвимости:

  1. CVE-2019-19006 – Sangoma FreePBX

    • Тип: Удаленное выполнение кода (RCE)
    • Уязвимый продукт: Sangoma FreePBX (популярная открытая PBX-система)
    • Воздействие: Позволяет неаутентифицированным злоумышленникам выполнять произвольный код через специально сформированные HTTP-запросы.

  2. CVE-2019-2725 – Oracle WebLogic Server

    • Тип: Десериализация и удаленное выполнение кода (RCE)
    • Уязвимый продукт: Oracle WebLogic Server (версии 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0)
    • Воздействие: Уязвимость эксплуатируется без аутентификации, позволяя злоумышленникам получить контроль над уязвимыми серверами.

  3. CVE-2019-17621 – Маршрутизатор D-Link DIR-859

    • Тип: Внедрение команд (Command Injection)
    • Уязвимый продукт: D-Link DIR-859 (прошивки до версии 1.06)
    • Воздействие: Удалённые злоумышленники могут выполнять произвольные команды через специально сформированный HTTP-запрос.

  4. CVE-2016-4117 – Adobe Flash Player

    • Тип: Use-After-Free и удаленное выполнение кода (RCE)
    • Уязвимый продукт: Adobe Flash Player (версии 21.0.0.226 и ранее)
    • Воздействие: Эксплуатируется через вредоносный Flash-контент, что приводит к выполнению произвольного кода.

Технический анализ и доказательства эксплуатации

Включение этих уязвимостей в каталог KEV указывает на подтверждённую эксплуатацию со стороны киберпреступников. Хотя конкретные детали атак не раскрываются, можно сделать следующие наблюдения:

  • CVE-2019-19006 (Sangoma FreePBX): Эксплойты нацелены на открытые веб-интерфейсы, часто встречающиеся в неправильно настроенных VoIP-системах.
  • CVE-2019-2725 (Oracle WebLogic): Исторически использовалась группами вымогателей (например, Sodinokibi/REvil) и майнерами криптовалют.
  • CVE-2019-17621 (D-Link DIR-859): Уязвимости маршрутизаторов часто используются для вербовки в ботнеты (например, варианты Mirai).
  • CVE-2016-4117 (Adobe Flash): Уязвимости в устаревшем Flash остаются постоянным вектором атак в непропатченных системах.

Воздействие и рекомендации по устранению

Организациям, использующим уязвимые продукты, следует предпринять немедленные меры:

  • Приоритетное обновление: Установите исправления от вендоров без промедления. Федеральные агентства обязаны устранить уязвимости в сроки, установленные директивой CISA (обычно в течение 2–4 недель).
  • Сегментация сети: Изолируйте уязвимые системы (например, VoIP-серверы, маршрутизаторы) от критически важной инфраструктуры.
  • Снижение риска: Отключите ненужные сервисы (например, Flash Player) и ограничьте доступ к административным интерфейсам.
  • Мониторинг угроз: Разверните системы обнаружения и предотвращения вторжений (IDS/IPS) для выявления попыток эксплуатации.

Следующие шаги для ИБ-команд

  1. Инвентаризация: Определите все экземпляры уязвимых продуктов в вашей инфраструктуре.
  2. Сканирование уязвимостей: Используйте инструменты, такие как Nessus или OpenVAS, для обнаружения непропатченных систем.
  3. Реагирование на инциденты: Проведите расследование на предмет возможного компрометации, если есть подозрения на эксплуатацию уязвимостей.

Дополнительные рекомендации можно найти в каталоге KEV CISA и бюллетенях вендоров.

Оригинальное уведомление: CISA Alert AA26-033A

Поделиться

TwitterLinkedIn