Обзор уязвимостей за неделю: с 1 по 9 февраля 2021 года

На минувшей неделе компания Google выпустила версию Chrome 88.0.4324.150 для Windows, Mac и Linux, исправляющую уязвимость, используемую преступниками в реальных атаках. Проблема ( CVE-2021-21148 ) представляет собой уязвимость переполнения кучи в движке V8 JavaScript в Google Chrome. Удаленный преступник может путем обмана заставить жертву открыть специально созданную web-страницу, вызвать переполнение буфера на основе кучи и выполнить произвольный код на целевой системе. Помимо CVE-2021-21148, техногигант также устранил множественные опасные уяз вимости в Chrome, большинство из которых позволило бы удаленному злоумышленнику взломать уязвимую систему.

Компания Fortinet устранила несколько опасных уязвимостей в портале SSL VPN web-шлюза FortiProxy. Одной из проблем является уязвимость переполнения буфера ( CVE-2018-13381 ), которая допускает удаленное выполнение кода. Хакер может обманом заставить пользователя посетить вредоносный web-сайт и проэксплуатировать проблему. Уязвимость затрагивает следующие версии FortiProxy: 1.0.0, 1.0.1, 1.0.2, 1.0.3, 1.0.4, 1.0.5, 1.0.6, 1.0.7, 1.1.0, 1.1.1, 1.1. 2, 1.1.3, 1.1.4, 1.1.5, 1.1.6, 1.2.0, 1.2.1, 1.2.2, 1.2.3, 1.2.4, 1.2.5, 1.2.6, 1.2.7, 1.2.8, 2.0.0

Вторая проблема ( CVE-2018-13383 ) связана с ошибкой границ при синтаксическом анализе web-страниц на web-портале SSL VPN. Удаленный преступник может путем обмана заставить авторизованную жертву посетить специально созданную web-страницу, вызвать переполнение буфера и выполнить произвольный код на системе. Проблема затрагивает версии FortiProxy 1.0.0, 1.0.1, 1.0.2, 1.0.3, 1.0.4, 1.0.5, 1.0.6, 1.0.7, 1.1.0, 1.1.1, 1.1.2, 1.1.3, 1.1.4, 1.1.5, 1.1.6, 1.2.0, 1.2.1, 1.2.2, 1.2.3, 1.2.4, 1.2.5, 1.2.6, 1.2.7, 1.2.8 и 2.0. 0.

Компания SolarWinds выпустила исправления для трех опасных уязвимостей, которые могут позволить злоумышленникам использовать инструменты корпоративного IT-администрирования для получения контроля над системами Windows. Уязвимости были обнаружены после того, как финансируемые иностранным правительством хакеры взломали компьютерные сети американского производителя программного обеспечения SolarWinds и внедрили вредоносное обновление для его ПО Orion с целью заражения сетей использующих его правительственных и коммерческих организаций.

Самая опасная уязвимость ( CVE-2021-25275 ) связана с взаимодействием ПО Orion и технологии Microsoft Message Queue (MSMQ) и позволяет получить доступ к защищенным учетным данным в бэкэнде, а также перехватить полный контроль над Windows-сервером. Проблема может быть использована для кражи информации или добавления новых пользователей уровня администратора в Orion. Вторая уязвимость ( CVE-2021-25274 ) позволяет удаленным неавторизованным пользователям запускать код таким образом, чтобы обеспечить полный контроль над базовой операционной системой Windows. Третья уязвимость ( CVE-2021-25276 ) связана с FTP SolarWinds Serv-U и позволяет любому пользователю (локальному или удаленно подключенному через RDP) добавить учетную запись администратора, потенциально предоставляя злоумышленнику доступ к конфиденциальной информации.

Кроме того, в FTP-сервере SolarWinds Serv-U было обнаружено несколько уязвимостей, в том числе одна уязвимость удаленного выполнения кода ( CVE-2020-35481 ).

Компания Siemens выпустила патчи для своих панелей человеко-машинного интерфейса SIMATIC, исправляющие критическую уязвимость ( CVE-2020-15798 ), которую можно использовать удаленно для получения полного контроля над устройством. Проблема связана с тем, что уязвимые устройства с включенной службой Telnet не требуют аутентификации. Уязвимость затрагивает все предыдущие версии продуктов SIMATIC HMI Comfort Panels v16 Update и SIMATIC HMI KTP Mobile Panels v16 Update.

Компания Cisco предупредила об опасных уязвимостях в ряде VPN-маршрутизаторов для малого бизнеса и продуктах SD-WAN. В частности, web-интерфейс управления VPN-маршрутизаторами RV160, RV160W, RV260, RV260P и RV260W для малого бизнеса содержит множественные уязвимости, которые могут быть использованы удаленными злоумышленниками для выполнения произвольного кода (CVE-2021-1289, CVE-2021-1290, CVE-2021-1291, CVE-2021-1292, CVE-2021-1293, CVE-2021-1294, CVE-2021-1295) или для выполнения атаки обхода каталога (CVE-2021-1296, CVE-2021-1297).

Высокопроизводительная среда RPC (удаленного вызова процедур) Apache Dubbo на основе Java содержит RCE-уязвимость , которая может привести к перехвату контроля над системой. Проблема связана с некорректной проверкой ввода при обработке сериализованных данных в readUTF в протоколе Dubbo. Удаленный злоумышленник может передать приложению специально созданные данные и выполнить произвольный код на целевой системе. В настоящее время для этой проблемы нет исправления.