Американское Агентство по кибербезопасности и защите инфраструктуры (CISA) внесло в свой каталог известных используемых уязвимостей (KEV) пятилетнюю брешь в JavaScript-библиотеке jQuery. Уязвимость с идентификатором CVE-2020-11023 представляет собой межсайтовый скриптинг (XSS) и считается умеренно опасной, с оценкой CVSS 6.1 или 6.9 в зависимости от способа расчета. Этот шаг обусловлен обнаруженными случаями активной эксплуатации данной уязвимости, что делает ее актуальной угрозой для информационных систем.
Суть проблемы заключается в том, что передача HTML-кода, содержащего элементы
Особую тревогу вызывает тот факт, что, несмотря на существование патча, уязвимость CVE-2020-11023 вновь оказалась в фокусе внимания из-за признаков ее активного использования. CISA не раскрывает конкретных деталей эксплуатации, а также не называет конкретных злоумышленников, которые ее используют. Тем не менее, факт ее включения в каталог KEV свидетельствует о реальной угрозе.
Примечательно, что голландская фирма по безопасности EclecticIQ в феврале 2024 года обнаружила кампанию, эксплуатирующую уязвимости в устройствах Ivanti. При исследовании серверов управления (C2), связанных с этой кампанией, выяснилось, что на них использовалась версия jQuery, подверженная не только CVE-2020-11023, но также CVE-2020-11022 и CVE-2019-11358. Хотя прямая связь между CVE-2020-11023 и атаками на Ivanti не доказана, эта находка является косвенным подтверждением того, что злоумышленники активно используют старые уязвимости.
В ответ на возрастающую угрозу, CISA выпустило обязывающую оперативную директиву (BOD) 22-01, которая предписывает всем федеральным органам исполнительной власти (FCEB) устранить уязвимость CVE-2020-11023 до 13 февраля 2025 года. Это означает, что государственные учреждения обязаны обновить jQuery до версии 3.5.0 или более поздней, чтобы защитить свои системы от потенциальных атак.
Если обновление невозможно по каким-либо причинам, в качестве обходного пути рекомендуется использовать библиотеку DOMPurify с включенным флагом
Актуализация данной уязвимости напоминает о важности своевременного обновления программного обеспечения и поддержания надлежащего уровня кибербезопасности. Даже уязвимости, которые считаются устаревшими, могут быть использованы злоумышленниками для нанесения ущерба, если не будут приняты соответствующие меры по их устранению.
Использование устаревших и уязвимых версий программного обеспечения является общей проблемой, которая наблюдается не только в государственных, но и в частных организациях. Подобная ситуация создает существенную угрозу для безопасности данных и инфраструктур.
События вокруг CVE-2020-11023 подчеркивают необходимость регулярного проведения анализа уязвимостей, а также постоянного мониторинга угроз, так как злоумышленники не гнушаются использовать даже старые дыры в программном обеспечении, если это им дает возможность проникнуть в целевую систему.
Усилия CISA направлены на защиту государственных ресурсов, но также могут служить напоминанием всем организациям о необходимости соблюдения базовых правил кибергигиены, включая своевременное обновление программного обеспечения, реализацию эффективных методов фильтрации входящего HTML-кода и проведение регулярных аудитов безопасности.
В конечном итоге, быстрое и эффективное устранение уязвимости CVE-2020-11023 является критически важным шагом в обеспечении защиты от потенциальных атак. Это требует постоянного внимания со стороны специалистов по безопасности, системных администраторов и ответственных лиц в организациях.
Изображение носит иллюстративный характер
Суть проблемы заключается в том, что передача HTML-кода, содержащего элементы
<option> из ненадежных источников, в методы DOM-манипуляции jQuery, такие как .html() и .append(), может привести к выполнению несанкционированного кода, даже если этот HTML был предварительно подвергнут санитарной обработке. Эта уязвимость была исправлена в версии jQuery 3.5.0, выпущенной в апреле 2020 года. Однако многие системы по-прежнему работают с устаревшими версиями, что создает широкую поверхность для атак. Особую тревогу вызывает тот факт, что, несмотря на существование патча, уязвимость CVE-2020-11023 вновь оказалась в фокусе внимания из-за признаков ее активного использования. CISA не раскрывает конкретных деталей эксплуатации, а также не называет конкретных злоумышленников, которые ее используют. Тем не менее, факт ее включения в каталог KEV свидетельствует о реальной угрозе.
Примечательно, что голландская фирма по безопасности EclecticIQ в феврале 2024 года обнаружила кампанию, эксплуатирующую уязвимости в устройствах Ivanti. При исследовании серверов управления (C2), связанных с этой кампанией, выяснилось, что на них использовалась версия jQuery, подверженная не только CVE-2020-11023, но также CVE-2020-11022 и CVE-2019-11358. Хотя прямая связь между CVE-2020-11023 и атаками на Ivanti не доказана, эта находка является косвенным подтверждением того, что злоумышленники активно используют старые уязвимости.
В ответ на возрастающую угрозу, CISA выпустило обязывающую оперативную директиву (BOD) 22-01, которая предписывает всем федеральным органам исполнительной власти (FCEB) устранить уязвимость CVE-2020-11023 до 13 февраля 2025 года. Это означает, что государственные учреждения обязаны обновить jQuery до версии 3.5.0 или более поздней, чтобы защитить свои системы от потенциальных атак.
Если обновление невозможно по каким-либо причинам, в качестве обходного пути рекомендуется использовать библиотеку DOMPurify с включенным флагом
SAFE_FOR_JQUERY. Этот подход гарантирует, что HTML-код, передаваемый методам jQuery, будет тщательно очищен от потенциально опасных элементов, что предотвратит выполнение нежелательного кода. Актуализация данной уязвимости напоминает о важности своевременного обновления программного обеспечения и поддержания надлежащего уровня кибербезопасности. Даже уязвимости, которые считаются устаревшими, могут быть использованы злоумышленниками для нанесения ущерба, если не будут приняты соответствующие меры по их устранению.
Использование устаревших и уязвимых версий программного обеспечения является общей проблемой, которая наблюдается не только в государственных, но и в частных организациях. Подобная ситуация создает существенную угрозу для безопасности данных и инфраструктур.
События вокруг CVE-2020-11023 подчеркивают необходимость регулярного проведения анализа уязвимостей, а также постоянного мониторинга угроз, так как злоумышленники не гнушаются использовать даже старые дыры в программном обеспечении, если это им дает возможность проникнуть в целевую систему.
Усилия CISA направлены на защиту государственных ресурсов, но также могут служить напоминанием всем организациям о необходимости соблюдения базовых правил кибергигиены, включая своевременное обновление программного обеспечения, реализацию эффективных методов фильтрации входящего HTML-кода и проведение регулярных аудитов безопасности.
В конечном итоге, быстрое и эффективное устранение уязвимости CVE-2020-11023 является критически важным шагом в обеспечении защиты от потенциальных атак. Это требует постоянного внимания со стороны специалистов по безопасности, системных администраторов и ответственных лиц в организациях.
