Az öt ország kiberbiztonsági ügynökségei szerint ezeket a sebezhetőségeket használták ki legintenzívebben a kiberbűnözők.

Egyre gyakoribban a nulladik napi sérülékenységeket kihasználó támadások, figyelmeztetett a Five Eyes. Az USA, Kanada, az Egyesült Királyság, valamint Ausztrália és Új-Zéland kiberbiztonsági szervei alkotta szövetség idén is kiadta a listáját a 15 legjobban kihasznált sebezhetőségről.

A brit NCSC (National Cyber Security Centre) technológiai igazgatója, Ollie Whitehouse szerint a lista is tükrözi, hogy a nulladik napi sebezhetőségek kihasználása egyre rutinszerűbb, ezért erre a kockázatra a végfelhasználó szervezeteknek és a gyártóknak is sokkal jobban kell figyelniük. Létfontosságú lenne például, hogy a felhasználó szervezetek azonnal telepítsék a megjelenő patch-eket, ahogy az is, hogy a fejlesztők a biztonságot tegyék a terméktervezés és az életciklus központi elemévé.

A tizenöt sebezhetőség, amit sokszor kihasználtak

A listának a Citrix valószínűleg nem örült, az első két hely ugyanis az övé. A NetScaler ADC-ben és a Gateway-ben tavaly nyáron (jogosulatlan kódfuttatás) és októberben (érézkeny adatok kiszivárgása) is azonosítottak súlyos és gyakran kiaknázott sérülékenységet.

A Cisco is két helyet foglal (3-4. hely). Mindkét hiba az IOS XE operációs rendszert érinti. A szoftver webes felhasználói felületének egy hibája miatt jogosultság nélkül lehetett létrehozni új felhasználó-jelszó párost, míg a másik sérülékenység kiaknázásával a támadó root jogosultságot szerezhet.

Ötödik a Fortinet FortiOS-e, amelyben egy puffertúlcsordulási sebezhetőség miatt lehetőség nyílt lehetőség jogosulatlan távoli kódfuttatásra.

A hatodik helyre egy SQL-injekciós sebezhetőség került, melyet a Progress MOVEit Transferben találtak. A használt adatbázis-motortól függően (MySQL, Microsoft SQL Server , Azure SQL) a támadó képes lehet az adatbázis szerkezetére és tartalmára vonatkozó információkhoz hozzájutni, és olyan SQL utasításokat végrehajtani, amelyek módosítják vagy törlik az adatbázis elemeit.

Hetedik lett az Atlassian Confluence-ének a Data Center és Server verziója, amikben a támadó admin jogokat szerezhet, és jogosulatlanul kódot futtathat. A sérülékenység a felhős verziót nem érinti.

A nyolcadik helyezett régi és ragaszkodó ismerősünk: az Apache Log4j-t 2021-ben azonosították, és réges-rég javították is. "Remek" helyezése azonban azt mutatja, hogy a javítás sok helyen elmaradt.

2023-ban fedezték fel a kínai támadók egyik kedvencét, a Barracuda Networks Email Security Gateway sérülékenységét. A távoli parancsinjektálást lehetővé tevő biztonsági rés mit sem veszített népszerűségéből, ezért is a jó helyezése.

Az első tízbe még a Zoho nevű gyártó ManageEngine eszköze fért be, amelynek sérülékenysége távoli kódfuttatást tesz lehetővé, ha a a SAML (Security Assertion Markup Language) egyszeri bejelentkezési mechanizmus aktív.

A tizenötös listára felkerült még a PaperCut nyomtatásmenedzsment rendszer (hitelesítésmegkerülés), a Microsoft a netlogon protokoll egy 2020-ban(!) felfedezett hibájával (root jogosultságok megszerzése), valamint egy 2023 márciusában azonosított Outlook-hibával (jogosultságkiterjesztés). A két MS-hiba közé ékelődött egy cseh cég, a JetBrains a TeamCity nevű termékének hitelesítési problémáival. A lista utolsó szereplője egy nyílt forráskódú projekt, az ownCloud (érzékeny adatok szivárgása).

További részletek az amerikai kiberbiztonsági ügynökség oldalán »

Biztonság

A vámtárgyalások miatt csúszhat az amerikai cégek EU-s büntetése

Az Európai Bizottságnak elvileg a héten kellett volna bejelentenie a Meta és az Apple ellen tavaly indított vizsgálatok eredményét, ám sajtóértesülések szerint Brüsszel az USA-val folytatott kereskedelmi tárgyalások miatt jegeli az ügyeket.
 
Hirdetés

Exkluzív szakmai nap a felhők fölött: KYOCERA Roadshow a MOL Toronyban

A jövő irodája már nem a jövő – hanem a jelen. A digitális transzformáció új korszakába lépünk, és ebben a KYOCERA nemcsak követi, hanem formálja is az irányt. Most itt a lehetőség, hogy első kézből ismerje meg a legújabb hardveres és szoftveres fejlesztéseket, amelyekkel a KYOCERA új szintre emeli a dokumentumkezelést és az üzleti hatékonyságot.

A mesterséges intelligencia új korszakába léptünk. A generatív MI nem csupán kísérleti technológia. Sok cég stratégiai eszköznek tekinti, amely segít a versenyképesség megőrzésében, javításában.

a melléklet támogatója a One Solutions

CIO KUTATÁS

AZ IRÁNYÍTÁS VISSZASZERZÉSE

Valóban egyre nagyobb lehet az IT és az IT-vezető súlya a vállalatokon belül? A nemzetközi mérések szerint igen, de mi a helyzet Magyarországon?

Segítsen megtalálni a választ! Töltse ki a Budapesti Corvinus Egyetem és a Bitport anonim kutatását, és kérje meg erre üzleti oldalon dolgozó vezetőtársait is!

Az eredményeket május 8-9-én ismertetjük a 16. CIO Hungary konferencián.

LÁSSUNK NEKI!

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2025 Bitport.hu Média Kft. Minden jog fenntartva.