CISA į savo žinomų išnaudotų pažeidžiamumų (KEV) katalogą pridėjo tris trūkumus, tarp kurių yra kritinis „SolarWinds Web Help Desk“ (WHD) kredencialų trūkumas, kurį pardavėjas ištaisė 2024 m. rugpjūčio pabaigoje.
„SolarWinds Web Help Desk“ yra IT pagalbos tarnybos rinkinys, kurį naudoja 300 000 klientų visame pasaulyje, įskaitant vyriausybines agentūras, dideles korporacijas ir sveikatos priežiūros organizacijas.
„SolarWinds“ trūkumas stebimas kaip CVE-2024-28987 ir jį sukelia užkoduoti kredencialai, „helpdeskIntegrationUser“ vartotojo vardas ir „dev-C4F8025E7“ slaptažodis. Naudodami šiuos kredencialus nuotoliniai neautentifikuoti užpuolikai gali pasiekti WHD galinius taškus ir be apribojimų pasiekti arba modifikuoti duomenis.
„SolarWinds“ išleido karštąsias pataisas praėjus keturioms dienoms po to, kai gavo pranešimą iš Horizon3.ai tyrinėtojo Zacho Hanley, kuris jį atrado, ragindamas sistemos administratorius pereiti prie WHD 12.8.3 Hotfix 2 ar naujesnės versijos.
CISA dabar pridėjo KEV trūkumą, nurodydama, kad jis naudojamas atakoms laukinėje gamtoje.
JAV vyriausybės agentūra nepasidalijo daugybe informacijos apie kenkėjišką veiklą ir nustatė, kad išpirkos reikalaujančios programos išnaudojimo būsena yra nežinoma.
Tikimasi, kad JAV federalinės agentūros ir vyriausybinės organizacijos iki 2024 m. lapkričio 5 d. atnaujins į saugią versiją arba nustos naudoti produktą.
Atsižvelgiant į aktyvaus CVE-2024-28987 naudojimo būseną, sistemos administratoriams rekomenduojama imtis atitinkamų priemonių, kad WDH galiniai taškai būtų apsaugoti anksčiau nei nustatytas terminas.
Kiti du trūkumai yra susiję su „Windows“ ir „Mozilla Firefox“ – jau žinoma, kad abi spragos yra išnaudojamos atakų metu. CISA taip pat reikalauja, kad federalinės agentūros ištaisytų šiuos trūkumus iki lapkričio 5 d.
„Windows“ trūkumas yra branduolio TOCTOU lenktynių būklė, stebima kaip CVE-2024-30088, kurią, kaip buvo nustatyta, aktyviai naudoja „Trend Micro“. Kibernetinio saugumo įmonė piktybinę veiklą priskyrė „OilRig“ (APT34), kuri pasinaudojo šia klaida, kad padidintų savo teises į SISTEMOS lygį pažeistuose įrenginiuose.
„Microsoft“ išsprendė pažeidžiamumą 2024 m. birželio mėn. antradienio pataisų pakete, tačiau neaišku, kada prasidėjo aktyvus išnaudojimas.
„Mozilla Firefox CVE-2024-9680“ trūkumą 2024 m. spalio 8 d. aptiko ESET tyrėjas Damienas Schaefferis, o „Mozilla“ ištaisė po 25 valandų.
„Mozilla“ teigia, kad ESET pateikė atakų grandinę, kuri gali nuotoliniu būdu vykdyti kodą vartotojo įrenginyje, perteikdama CSS animacijos laiko juostas „Firefox“.
Nors ESET vis dar analizuoja pastebėtą ataką, atstovas BleepingComputer sakė, kad kenkėjiška veikla, atrodo, kilo iš Rusijos ir greičiausiai buvo panaudota šnipinėjimo operacijoms.