Cisco, Fortinet и VMware выпустили исправления для множества уязвимостей системы безопасности, включая критические уязвимости, которые могут быть использованы для выполнения произвольных действий на затронутых устройствах.
Первый набор исправлений от Cisco состоит из трех недостатков – CVE-2024-20252 и CVE-2024-20254 (оценка CVSS: 9,6) и CVE-2024-20255 (оценка CVSS: 8,2)– влияющих на серию Cisco Expressway, которые могут позволить удаленному злоумышленнику без проверки подлинности проводить атаки с подделкой межсайтовых запросов (CSRF).
Все проблемы, обнаруженные в ходе внутреннего тестирования безопасности, связаны с недостаточной защитой CSRF веб-интерфейса управления, что может позволить злоумышленнику выполнять произвольные действия с уровнем привилегий затронутого пользователя.
"Если у затронутого пользователя есть права администратора, эти действия могут включать изменение конфигурации системы и создание новых привилегированных учетных записей", - сказали в Cisco о CVE-2024-20252 и CVE-2024-20254.
С другой стороны, успешное использование CVE-2024-20255, нацеленного на пользователя с правами администратора, может позволить субъекту угрозы перезаписать параметры конфигурации системы, что приведет к отказу в обслуживании (DoS).
Еще одно важное различие между двумя наборами недостатков заключается в том, что, в то время как первые два влияют на устройства Cisco серии Expressway в конфигурации по умолчанию, CVE-2024-20252 влияет на них только в том случае, если включена функция API кластерной базы данных (CDB). По умолчанию это отключено.
Исправления для уязвимостей доступны в версиях выпуска Cisco серии Expressway 14.3.4 и 15.0.0.
Fortinet, со своей стороны, выпустила второй раунд обновлений, направленных на устранение ранее выявленных критических недостатков (CVE-2023-34992, оценка CVSS: 9.7) в FortiSIEM supervisor, которые могут привести к выполнению произвольного кода, согласно Horizon3.ai исследователь Зак Хэнли.
Отслеженные как CVE-2024-23108 и CVE-2024-23109 (оценка CVSS: 9,8), недостатки "могут позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнять несанкционированные команды с помощью обработанных запросов API".
Стоит отметить, что Fortinet устранила другой вариант CVE-2023-34992, закрыв CVE-2023-36553 (оценка CVSS: 9.3) в ноябре 2023 года. Две новые уязвимости подключены / будут подключены в следующих версиях -
Завершает тройную проверку компания VMware, которая предупредила о пяти недостатках от средней до важной степени серьезности в Aria Operations for Networks (ранее vRealize Network Insight) -
Учитывая историю использования недостатков Cisco, Fortinet и VMware, исправление является необходимым и решающим первым шагом, который организации должны предпринять для устранения недостатков.
Первый набор исправлений от Cisco состоит из трех недостатков – CVE-2024-20252 и CVE-2024-20254 (оценка CVSS: 9,6) и CVE-2024-20255 (оценка CVSS: 8,2)– влияющих на серию Cisco Expressway, которые могут позволить удаленному злоумышленнику без проверки подлинности проводить атаки с подделкой межсайтовых запросов (CSRF).
Все проблемы, обнаруженные в ходе внутреннего тестирования безопасности, связаны с недостаточной защитой CSRF веб-интерфейса управления, что может позволить злоумышленнику выполнять произвольные действия с уровнем привилегий затронутого пользователя.
"Если у затронутого пользователя есть права администратора, эти действия могут включать изменение конфигурации системы и создание новых привилегированных учетных записей", - сказали в Cisco о CVE-2024-20252 и CVE-2024-20254.
С другой стороны, успешное использование CVE-2024-20255, нацеленного на пользователя с правами администратора, может позволить субъекту угрозы перезаписать параметры конфигурации системы, что приведет к отказу в обслуживании (DoS).
Еще одно важное различие между двумя наборами недостатков заключается в том, что, в то время как первые два влияют на устройства Cisco серии Expressway в конфигурации по умолчанию, CVE-2024-20252 влияет на них только в том случае, если включена функция API кластерной базы данных (CDB). По умолчанию это отключено.
Исправления для уязвимостей доступны в версиях выпуска Cisco серии Expressway 14.3.4 и 15.0.0.
Fortinet, со своей стороны, выпустила второй раунд обновлений, направленных на устранение ранее выявленных критических недостатков (CVE-2023-34992, оценка CVSS: 9.7) в FortiSIEM supervisor, которые могут привести к выполнению произвольного кода, согласно Horizon3.ai исследователь Зак Хэнли.
Отслеженные как CVE-2024-23108 и CVE-2024-23109 (оценка CVSS: 9,8), недостатки "могут позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнять несанкционированные команды с помощью обработанных запросов API".
Стоит отметить, что Fortinet устранила другой вариант CVE-2023-34992, закрыв CVE-2023-36553 (оценка CVSS: 9.3) в ноябре 2023 года. Две новые уязвимости подключены / будут подключены в следующих версиях -
- FortiSIEM версии 7.1.2 или выше
- FortiSIEM версии 7.2.0 или выше (готовится к выпуску)
- FortiSIEM версии 7.0.3 или выше (готовится к выпуску)
- FortiSIEM версии 6.7.9 или выше (готовится к выпуску)
- FortiSIEM версии 6.6.5 или выше (готовится к выпуску)
- FortiSIEM версии 6.5.3 или выше (готовится к выпуску), а также
- FortiSIEM версии 6.4.4 или выше (готовится к выпуску)
Завершает тройную проверку компания VMware, которая предупредила о пяти недостатках от средней до важной степени серьезности в Aria Operations for Networks (ранее vRealize Network Insight) -
- CVE-2024-22237 (оценка CVSS: 7,8) - Уязвимость локального повышения привилегий, которая позволяет пользователю консоли получать обычный root-доступ
- CVE-2024-22238 (оценка CVSS: 6.4) - Уязвимость межсайтового скриптинга (XSS), которая позволяет злоумышленнику с правами администратора внедрять вредоносный код в конфигурации профилей пользователей
- CVE-2024-22239 (оценка CVSS: 5.3) - Уязвимость локального повышения привилегий, которая позволяет пользователю консоли получать обычный доступ к командной строке
- CVE-2024-22240 (оценка CVSS: 4,9) - Уязвимость для чтения локальных файлов, которая позволяет злоумышленнику с правами администратора получать доступ к конфиденциальной информации
- CVE-2024-22241 (оценка CVSS: 4.3) - Уязвимость межсайтового скриптинга (XSS), которая позволяет злоумышленнику с правами администратора внедрять вредоносный код и завладевать учетной записью пользователя
Учитывая историю использования недостатков Cisco, Fortinet и VMware, исправление является необходимым и решающим первым шагом, который организации должны предпринять для устранения недостатков.
