CISA призвало исправить ошибки в программном обеспечении Cisco, Microsoft, Adobe, Oracle и других компаний.
Агентство США по кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA) добавило 95 новых ошибок в свой каталог известных эксплуатируемых уязвимостей, включая несколько критических ошибок в маршрутизаторах Cisco, Windows, Adobe Flash Player и пр.
Уязвимость в Windows (CVE-2021-41379) использовалась в реальных атаках на клиентов в ноябре прошлого года. Уязвимость повышения привилегий затрагивает версии Windows 11 и старше.
Проблемы в маршрутизаторах Cisco получили максимальную оценку в 10 баллов по шкале CVSS. Эксплуатация уязвимостей позволяла злоумышленникам выполнять вредоносный код, повышать привилегии, запускать случайные команды, отключать устройство от сети, обходить аутентификацию и пр. Проблемы затрагивают маршрутизаторы Cisco для малого бизнеса серий RV160, RV260, RV340 и RV345.
Список CISA важен для федеральных правительственных учреждений США, поскольку в соответствии с обязательной оперативной директивой BOD 22-01 сотрудники обязаны реагировать на предупреждения CISA об уязвимостях в установленные сроки. В данном случае крайний срок применения этих обновлений от поставщиков — март, что свидетельствует о том, насколько важно для CISA быстрое реагирование агентств.
Источник: securitylab