Поделиться
Citrix, VMware и Atlassian одновременно объявили о критических «дырах». Нужно срочно обновиться
Компании Citrix, VMware и Atlassian практически одновременно объявили об обнаружении целого ряда уязвимостей в своих продуктах, часть из которых получила максимальные баллы по шкале угроз CVSS. Как минимум, уязвимости в продуктах Citrix активно эксплуатируются хакерами.
Citrix: 5,5-8,2 балла CVSS
Citrix объявил о выявлении уязвимостей нулевого дня в NetScaler ADC и NetScaler Gateway. Они не являются критическими, но тем не менее хакеры уже эксплуатируют их.
«Баг» под индексом CVE-2023-6548 (5,5 балла по шкале CVSS) допускает запуск произвольного кода в интерфейсе управления, но при соблюдении ряда условий, снижающих остроту проблемы. Во-первых, потенциальный злоумышленник должен быть авторизован в программной оболочке устройства. Во-вторых, ему требуется доступ к настройкам IP-адресов - NSIP, CLIP или SNIP. Запущенный код все равно будет обладать сравнительно низкими привилегиями в системе.
Вторая уязвимость - CVE-2023-6549 - оценивается как высокоопасная (8,2 балла по шкале CVSS). В случае, если устройство настроено в качестве шлюза или виртуального сервера авторизации, с помощью этой уязвимости можно вызвать отказ в обслуживании.
Уязвимости выявлены в версиях ADC и Gateway 12.1 (устаревшей), 13.0, 13.1 и 14.1, а также ADC 12.1-NDcPP, 12.1-FIPS и 13.1-FIPS. Для всех уже выпущены обновления. Кроме того, в Citrix рекомендуют удостовериться, что интерфейс управления не доступен из глобальной сети.
VMware: 9,9 баллов
Компания VMware проинформировала, что в ее разработке Aria Automation (ранее известной как vRealize Automation) выявлена критическая уязвимость, получившая оценку 9,9 из 10 возможных по шкале CVSS.
«Баг» CVE-2023-34063 описывается как «отсутствие средств контроля доступа». Благодаря ей злоумышленники смогут получить неавторизованный доступ к удаленным организациям и их процессам. Правда, для этого потребуется авторизоваться в самом устройстве.
Проблему выявили эксперты австралийского Государственного объединения научных и прикладных исследований (CSIRO).
Уязвимость затрагивает версии Aria Automation с 8.11 по 8.14, а также VMware Cloud Foundation 4.x и 5.x.
В бюллетене VMware указывается, что после установки патча апгрейд будет возможен только до версии 8.16. Обновление до промежуточной версии приведет к повторному появлению уязвимости.
Информации об успешной эксплуатации CVE-2023-34063 пока не поступало.
Atlassian: 10 баллов по шкале CVSS
Критический «баг», получивший максимальные баллы по шкале CVSS, выявлен в Atlassian Confluence Data Center и Confluence Server. Уязвимость CVE-2023-22527 затрагивает все версии с 8.0.x по 8.5.3, но при этом отсутствует в версиях LTS и 7.19.x.
Уязвимость класса «внедрение вредоносного шаблона» (template injection) обеспечивает потенциальному злоумышленнику возможность запустить произвольный код без авторизации в уязвимой среде.
Уязвимость устранена в версиях 8.5.4 и 8.5.5 (для Data Center и Server), 8.6.0, 8.7.1 и 8.7.2 (только для Data Center). Пользователям устаревших версий настоятельно рекомендуется обновиться как можно скорее.
«Можно считать удачей, что десятибалльные уязвимости в этот раз обнаружились до того, как их начали эксплуатировать злоумышленники», - говорит директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее словам, уязвимость в VMware, в частности, может привести к массированным атакам через «цепочки поставок» уровня SolarWinds. Она отмечает возможность угрозы пока все уязвимые версии уязвимого ПО не будут обновлены.
Инцидент с SolarWinds до сих пор считается самым крупным кибервзломом подобного рода: хакеры, скомпрометировавшие инфраструктуру компании, смогли проникнуть в сети 18 тысяч её клиентов, в том числе, государственных учреждений и частных компаний. Злоумышленники смогли внедрить вредоносное содержимое в штатное обновление ПО SolarWinds Orion, которое разошлось по клиентам и открыло возможность для атак на них самих.
Короткая ссылка
