**Расширение каталога уязвимостей CISA: новые угрозы для кибербезопасности**
Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) недавно расширило свой каталог известных эксплуатируемых уязвимостей (KEV), включив в него критические уязвимости, затрагивающие несколько широко используемых программных продуктов. Это обновление подчеркивает важность бдительности в области кибербезопасности, особенно для организаций, полагающихся на эти технологии.
**Подробности о новых уязвимостях**
В каталог были добавлены следующие уязвимости:
— CVE-2024-27348: Уязвимость неправильного контроля доступа в Apache HugeGraph-Server
— CVE-2020-0618: Уязвимость удаленного выполнения кода в Microsoft SQL Server Reporting Services
— CVE-2019-1069: Уязвимость повышения привилегий в планировщике задач Microsoft Windows
— CVE-2022-21445: Уязвимость удаленного выполнения кода в Oracle JDeveloper
— CVE-2020-14644: Уязвимость удаленного выполнения кода в Oracle WebLogic Server
Среди них уязвимость CVE-2022-21445, имеющая оценку CVSS 9.8, представляет значительный риск. Она позволяет неаутентифицированным злоумышленникам с сетевым доступом через HTTP использовать уязвимость в Oracle JDeveloper, что может привести к полному захвату приложения. Эта уязвимость затрагивает версии 12.2.1.3.0 и 12.2.1.4.0 и известна своей легкостью эксплуатации.
Аналогично, уязвимость CVE-2020-14644, также с оценкой 9.8, затрагивает Oracle WebLogic Server. Злоумышленник может использовать эту уязвимость удаленного выполнения кода через IIOP, компрометируя сервер и получая над ним контроль. Эта уязвимость затрагивает версии 12.2.1.3.0, 12.2.1.4.0 и 14.1.1.0.0 и также легко эксплуатируется.
Кроме того, уязвимость CVE-2019-1069, с оценкой CVSS 7.8, связана с повышением привилегий в планировщике задач Microsoft Windows. Эта уязвимость позволяет злоумышленнику получить повышенные привилегии на системе жертвы при наличии возможностей выполнения непривилегированного кода.
Уязвимость CVE-2020-0618, также с оценкой 7.8, затрагивает Microsoft SQL Server Reporting Services и возникает из-за неправильной обработки запросов страниц, что позволяет удаленным злоумышленникам выполнять произвольный код через ошибку повреждения памяти.
Наконец, уязвимость CVE-2024-27348 в Apache HugeGraph-Server, оцененная на 9.8, позволяет злоумышленникам обходить ограничения песочницы и потенциально выполнять удаленный код. Эта проблема затрагивает версии от 1.0.0 до 1.3.0 в Java8 и Java11.
В соответствии с директивой Binding Operational Directive (BOD) 22-01, направленной на снижение рисков, связанных с известными эксплуатируемыми уязвимостями, федеральные агентства обязаны устранить эти выявленные уязвимости до 9 октября 2024 года. Эксперты также советуют частным организациям ознакомиться с каталогом KEV и принять необходимые меры для укрепления своей инфраструктуры против этих угроз.
**Уязвимости** остаются одной из главных угроз для **кибербезопасности**, и своевременное обновление **программного обеспечения** является ключевым шагом для защиты от возможных атак.