Egyre gyakoribban a nulladik napi sérülékenységeket kihasználó támadások, figyelmeztetett a Five Eyes. Az USA, Kanada, az Egyesült Királyság, valamint Ausztrália és Új-Zéland kiberbiztonsági szervei alkotta szövetség idén is kiadta a listáját a 15 legjobban kihasznált sebezhetőségről.

A brit NCSC (National Cyber Security Centre) technológiai igazgatója, Ollie Whitehouse szerint a lista is tükrözi, hogy a nulladik napi sebezhetőségek kihasználása egyre rutinszerűbb, ezért erre a kockázatra a végfelhasználó szervezeteknek és a gyártóknak is sokkal jobban kell figyelniük. Létfontosságú lenne például, hogy a felhasználó szervezetek azonnal telepítsék a megjelenő patch-eket, ahogy az is, hogy a fejlesztők a biztonságot tegyék a terméktervezés és az életciklus központi elemévé.

A tizenöt sebezhetőség, amit sokszor kihasználtak

A listának a Citrix valószínűleg nem örült, az első két hely ugyanis az övé. A NetScaler ADC-ben és a Gateway-ben tavaly nyáron (jogosulatlan kódfuttatás) és októberben (érézkeny adatok kiszivárgása) is azonosítottak súlyos és gyakran kiaknázott sérülékenységet.

A Cisco is két helyet foglal (3-4. hely). Mindkét hiba az IOS XE operációs rendszert érinti. A szoftver webes felhasználói felületének egy hibája miatt jogosultság nélkül lehetett létrehozni új felhasználó-jelszó párost, míg a másik sérülékenység kiaknázásával a támadó root jogosultságot szerezhet.

Ötödik a Fortinet FortiOS-e, amelyben egy puffertúlcsordulási sebezhetőség miatt lehetőség nyílt lehetőség jogosulatlan távoli kódfuttatásra.

A hatodik helyre egy SQL-injekciós sebezhetőség került, melyet a Progress MOVEit Transferben találtak. A használt adatbázis-motortól függően (MySQL, Microsoft SQL Server , Azure SQL) a támadó képes lehet az adatbázis szerkezetére és tartalmára vonatkozó információkhoz hozzájutni, és olyan SQL utasításokat végrehajtani, amelyek módosítják vagy törlik az adatbázis elemeit.

Hetedik lett az Atlassian Confluence-ének a Data Center és Server verziója, amikben a támadó admin jogokat szerezhet, és jogosulatlanul kódot futtathat. A sérülékenység a felhős verziót nem érinti.

A nyolcadik helyezett régi és ragaszkodó ismerősünk: az Apache Log4j-t 2021-ben azonosították, és réges-rég javították is. "Remek" helyezése azonban azt mutatja, hogy a javítás sok helyen elmaradt.

2023-ban fedezték fel a kínai támadók egyik kedvencét, a Barracuda Networks Email Security Gateway sérülékenységét. A távoli parancsinjektálást lehetővé tevő biztonsági rés mit sem veszített népszerűségéből, ezért is a jó helyezése.

Az első tízbe még a Zoho nevű gyártó ManageEngine eszköze fért be, amelynek sérülékenysége távoli kódfuttatást tesz lehetővé, ha a a SAML (Security Assertion Markup Language) egyszeri bejelentkezési mechanizmus aktív.

A tizenötös listára felkerült még a PaperCut nyomtatásmenedzsment rendszer (hitelesítésmegkerülés), a Microsoft a netlogon protokoll egy 2020-ban(!) felfedezett hibájával (root jogosultságok megszerzése), valamint egy 2023 márciusában azonosított Outlook-hibával (jogosultságkiterjesztés). A két MS-hiba közé ékelődött egy cseh cég, a JetBrains a TeamCity nevű termékének hitelesítési problémáival. A lista utolsó szereplője egy nyílt forráskódú projekt, az ownCloud (érzékeny adatok szivárgása).

További részletek az amerikai kiberbiztonsági ügynökség oldalán »