Дайджест Jet CSIRT [04.07.2022]

04.07.2022

Команда Jenkins выпустила бюллетень о 25 уязвимостях в плагинах к своему продукту

Описанные уязвимости включают: межсайтовый скриптинг (XSS), хранящиеся в открытом виде пароли, API-ключи и токены, подделку межсайтовых запросов (CSRF), а также отсутствующие и некорректные проверки разрешений. Для большинства описанных уязвимостей еще нет исправлений, а некоторые дублируют уязвимости годовой давности, исправление которых оказалось неэффективным. По словам исследователя Шона Галлахера из компании Sophos, уязвимости по отдельности не должны вызывать серьезного беспокойства, но в целом это очень большая поверхность для атак.


В Microsoft Defender добавлена сетевая защита для устройств на базе Android и iOS

Корпорация Microsoft представила предварительную версию новой функции Mobile Network Protection в Microsoft Defender for Endpoint (MDE), которая будет обеспечивать защиту мобильных устройств и уведомлять при обнаружении угроз, связанных с Wi-Fi и зловредными сертификатами (основной вектор атаки для Wi-Fi). MDE может обнаружить присутствие мошеннического оборудования, например, устройства Hak5 Wi-Fi Pineapple, которое могут использовать как пентестеры, так и преступники для сбора данных, передаваемых в сети. MDE также предупредит пользователя в случае обнаружения подозрительной или незащищенной сети и отправит push-уведомление, когда найдет открытые Wi-Fi-сети.


Для RCE-уязвимости в Zoho ManageEngine ADAudit Plus доступен публичный эксплойт

Исследователи из Horizon3.ai опубликовали технические подробности и код эксплойта для CVE-2022-28219 - критической уязвимости в инструменте ADAudit Plus компании Zoho для мониторинга действий в Active Directory. Уязвимость состоит из трех проблем: ненадежной десериализации Java, Path Traversal и слепой инъекции XML (XXE), которые в итоге позволяют злоумышленнику, не прошедшему аутентификацию, удаленно выполнять код и скомпрометировать учетные записи Active Directory. Zoho исправили проблему в конце марта в ADAudit Plus версии 7060 после того, как Навин Санкавалли из Horizon3.ai сообщил об этом компании.