CISA просит федеральные агентства исправить активно эксплуатируемые ошибки в Chrome и Magento

Как показать скрытые файлы и папки в Windows 10

Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) добавило девять новых уязвимостей в свою коллекцию активно эксплуатируемых уязвимостей, включая две недавно исправленные «нулевые дни», затрагивающие Google Chrome и Adobe Commerce/Magento Open Source.

Уязвимость в Chrome (CVE-2022-0609) — это ошибка высокой степени серьезности, которая может позволить злоумышленникам выполнить произвольный код или выйти из песочницы безопасности браузера на компьютерах с непропатченными версиями Chrome, устраненная в Chrome 98.0.4758.102.

Adobe выпустила экстренное обновление для исправления критического недостатка (CVE-2022-24086), эксплуатируемого в дикой природе «в очень ограниченных атаках» для удаленного выполнения кода с помощью эксплойтов, нацеленных на Adobe Commerce и Magento Open Source версий 2.4.3-p1/2.3.7-p2.

Компания Sansec, занимающаяся безопасностью электронной коммерции, предупредила, что дефект Magento похож на критическую ошибку 2015 года Magento Shoplift, которая позволяла субъектам угроз захватывать уязвимые сайты Magento.

CISA заявила, что все федеральные гражданские агентства исполнительной власти (FCEB) должны установить исправления для этих двух уязвимостей безопасности до 1 марта 2022 года.

Полный список из девяти уязвимостей, добавленных сегодня в каталог известных эксплуатируемых уязвимостей CISA, включает в себя сочетание старых и новых ошибок, начиная с 2013 года и заканчивая 2022 годом.

Согласно обязательной оперативной директиве (BOD 22-01), выпущенной CISA в ноябре 2021 года, федеральные агентства обязаны исправлять свои системы от этих активно эксплуатируемых уязвимостей.

«Эти типы уязвимостей являются частым вектором атак для злоумышленников всех типов и представляют значительный риск для федерального предприятия», — говорится в сообщении агентства по кибербезопасности.

«Хотя BOD 22-01 относится только к агентствам FCEB, CISA настоятельно призывает все организации снизить свою подверженность кибератакам, уделяя первоочередное внимание своевременному устранению уязвимостей каталога в рамках своей практики управления уязвимостями».

На прошлой неделе Агентство по кибербезопасности США также рекомендовало ведомствам до 25 февраля обновить iPhone, Mac и iPad для защиты от ошибки Apple WebKit, связанной с удаленным выполнением кода, которая эксплуатируется в дикой природе.

Днем ранее агентствам FCEB также было предложено исправить 15 других активно эксплуатируемых дефектов, при этом ошибка повышения привилегий Windows SeriousSAM, позволяющая злоумышленникам выполнять произвольный код с привилегиями SYSTEM, должна быть исправлена до 24 февраля.

Последнее обновление 16.02.2022