Агентство по кибербезопасности и инфраструктуре США (CISA) внесло в каталог известных эксплуатируемых уязвимостей (KEV) новую угрозу, свидетельствующую об активном использовании эксплойтов в реальной среде.
Обнаруженная уязвимость с идентификатором CVE-2024-48248 получила оценку CVSS 8.6 и представляет собой ошибку абсолютного обхода пути, позволяющую неаутентифицированному злоумышленнику читать произвольные файлы на целевом хосте, в том числе критически важные системные файлы, например, «/etc/shadow». Согласно сообщению CISA, «NAKIVO Backup and Replication содержит уязвимость обхода абсолютного пути, которая позволяет злоумышленнику читать произвольные файлы».
Уязвимость затрагивает все версии программного обеспечения NAKIVO Backup & Replication до версии 10.11.3.86570. Доказательство концепции (PoC) эксплойта было опубликовано лабораторией watchTowr Labs в конце прошлого месяца, а проблема была решена в ноябре 2024 года выпуском версии v11.0.0.88174.
В каталог KEV добавлены также две дополнительные уязвимости, демонстрирующие широкий спектр угроз в современных системах. Первая из них, CVE-2025-1316 с оценкой CVSS 9.3, затрагивает IP-камеру Edimax IC-7100, являясь следствием ошибки обработки входных данных, что приводит к внедрению команд операционной системы.
Данная уязвимость позволяет выполнять удалённый код с использованием специально сформированных запросов. Акцент делается на том, что устройство находится в состоянии завершения поддержки, а согласно материалам компании Akamai, с мая 2024 года против камер с использованием учетных данных по умолчанию атакуют с применением как минимум двух вариантов ботнета Mirai.
Вторая дополнительная уязвимость, CVE-2017-12637 с оценкой CVSS 7.5, обнаружена в SAP NetWeaver Application Server (AS) Java. Проблема заключается в ошибке обхода каталогов в компоненте scheduler/ui/js/ffffffffbca41eb4/UIUtilJavaScriptJS, что позволяет злоумышленнику использовать последовательности «..» в строке запроса для несанкционированного доступа к произвольным файлам.
Федеральные агентства исполнительной власти (FCEB) обязаны принять необходимые меры для устранения выявленных угроз. Срок внедрения указанных мер установлен до 9 апреля 2025 года, что подчёркивает серьёзность проблемы и необходимость оперативного реагирования.
Указанные уязвимости подчёркивают критическую важность своевременного обновления программного обеспечения и применения рекомендованных мер безопасности для защиты конфиденциальных данных и предотвращения дальнейших компрометаций в условиях динамично развивающихся кибератак.
Изображение носит иллюстративный характер
Обнаруженная уязвимость с идентификатором CVE-2024-48248 получила оценку CVSS 8.6 и представляет собой ошибку абсолютного обхода пути, позволяющую неаутентифицированному злоумышленнику читать произвольные файлы на целевом хосте, в том числе критически важные системные файлы, например, «/etc/shadow». Согласно сообщению CISA, «NAKIVO Backup and Replication содержит уязвимость обхода абсолютного пути, которая позволяет злоумышленнику читать произвольные файлы».
Уязвимость затрагивает все версии программного обеспечения NAKIVO Backup & Replication до версии 10.11.3.86570. Доказательство концепции (PoC) эксплойта было опубликовано лабораторией watchTowr Labs в конце прошлого месяца, а проблема была решена в ноябре 2024 года выпуском версии v11.0.0.88174.
В каталог KEV добавлены также две дополнительные уязвимости, демонстрирующие широкий спектр угроз в современных системах. Первая из них, CVE-2025-1316 с оценкой CVSS 9.3, затрагивает IP-камеру Edimax IC-7100, являясь следствием ошибки обработки входных данных, что приводит к внедрению команд операционной системы.
Данная уязвимость позволяет выполнять удалённый код с использованием специально сформированных запросов. Акцент делается на том, что устройство находится в состоянии завершения поддержки, а согласно материалам компании Akamai, с мая 2024 года против камер с использованием учетных данных по умолчанию атакуют с применением как минимум двух вариантов ботнета Mirai.
Вторая дополнительная уязвимость, CVE-2017-12637 с оценкой CVSS 7.5, обнаружена в SAP NetWeaver Application Server (AS) Java. Проблема заключается в ошибке обхода каталогов в компоненте scheduler/ui/js/ffffffffbca41eb4/UIUtilJavaScriptJS, что позволяет злоумышленнику использовать последовательности «..» в строке запроса для несанкционированного доступа к произвольным файлам.
Федеральные агентства исполнительной власти (FCEB) обязаны принять необходимые меры для устранения выявленных угроз. Срок внедрения указанных мер установлен до 9 апреля 2025 года, что подчёркивает серьёзность проблемы и необходимость оперативного реагирования.
Указанные уязвимости подчёркивают критическую важность своевременного обновления программного обеспечения и применения рекомендованных мер безопасности для защиты конфиденциальных данных и предотвращения дальнейших компрометаций в условиях динамично развивающихся кибератак.
