.
CVE-2024-1553 e CVE-2024-1557 são bugs de segurança de memória classificados como de alta gravidade. “Alguns desses bugs mostraram evidências de corrupção de memória e presumimos que com esforço suficiente alguns deles poderiam ter sido explorados para executar código arbitrário”, disseram os pesquisadores da Mozilla.
Ampliação
A gigante de videoconferência Zoom emitiu correções para sete falhas em seu software, uma das quais tem pontuação CVSS de 9,6. CVE-2024-24691 é um bug de validação de entrada inadequada no Zoom Desktop Client para Windows, Zoom VDI Client para Windows e Zoom Meeting SDK para Windows. Se explorado, o problema pode permitir que um invasor não autenticado aumente seus privilégios por meio do acesso à rede, disse Zoom em um boletim de segurança.
Outra falha notável é CVE-2024-24697, um problema de caminho de pesquisa não confiável em alguns clientes Windows Zoom de 32 bits que pode permitir que um usuário autenticado com acesso local aumente seus privilégios.
Ivanti
Em janeiro, a Ivanti alertou que os invasores tinham como alvo duas vulnerabilidades não corrigidas em seus produtos Connect Secure e Policy Secure, rastreadas como CVE-2023-46805 e CVE-2024-21887. Com uma pontuação CVSS de 8,2, a primeira vulnerabilidade de desvio de autenticação no componente web do Ivanti Connect Secure e do Ivanti Policy Secure permite que um invasor remoto acesse recursos restritos, ignorando as verificações de controle.
Com uma pontuação CVSS de 9,1, a segunda vulnerabilidade de injeção de comando nos componentes web do Ivanti Connect Secure e do Ivanti Policy Secure permite que um administrador autenticado envie solicitações especialmente criadas e execute comandos arbitrários no dispositivo. Esta vulnerabilidade pode ser explorada pela Internet.
No final do mês, a empresa alertou as empresas sobre outras duas falhas graves, uma delas explorada em ataques. O problema explorado é um bug de falsificação de solicitação do lado do servidor no componente SAML rastreado como CVE-2024-21893. Enquanto isso, CVE-2024-21888 é uma vulnerabilidade de escalonamento de privilégios.
Os patches estavam disponíveis em 1º de fevereiro, mas os problemas foram considerados tão sérios que a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) aconselhou a desconexão de todos os produtos Ivanti até 2 de fevereiro.
Em 8 de fevereiro, a Ivanti lançou um patch para outro problema identificado como CVE-2024-22024, que gerou outro aviso da CISA.
Fortuna
A Fortinet lançou um patch para um problema crítico com pontuação CVSS de 9,6, que afirma já estar sendo usado em ataques. Rastreada como CVE-2024-21762, a falha de execução de código afeta as versões 6.0, 6.2, 6.4, 7.0, 7.2 e 7.4 do FortiOS. A vulnerabilidade de gravação fora dos limites pode ser usada para execução arbitrária de código usando solicitações HTTP especialmente criadas, disse Fortinet.
Isso aconteceu poucos dias depois que a empresa lançou um patch para dois problemas em seus produtos FortiSIEM, CVE-2024-23108 e CVE-2024-23109, classificados como críticos com uma pontuação CVSS de 9,7. A falha no FortiSIEM Supervisor pode permitir que um invasor remoto não autenticado execute comandos não autorizados por meio de solicitações de API criadas, disse a Fortinet em um comunicado.
Cisco
A Cisco listou várias vulnerabilidades em sua série Expressway que poderiam permitir que um invasor remoto não autenticado conduzisse ataques de falsificação de solicitação entre sites.
Rastreadas como CVE-2024-20252 e CVE-2024-20254, duas vulnerabilidades na API dos dispositivos Cisco Expressway Series receberam uma pontuação CVSS de 9,6. “Um invasor pode explorar essas vulnerabilidades persuadindo um usuário da API a seguir um link criado”, disse Cisco. “Uma exploração bem-sucedida pode permitir que o invasor execute ações arbitrárias com o nível de privilégio do usuário afetado.”
SEIVA
A empresa de software empresarial SAP lançou 13 atualizações de segurança como parte do SAP Security Patch Day. CVE-2024-22131 é uma vulnerabilidade de injeção de código no SAP ABA com uma pontuação CVSS de 9,1.
CVE-2024-22126 é uma vulnerabilidade de script entre sites no NetWeaver AS Java listada como de alto impacto, com uma pontuação CVSS de 8,8. “Os parâmetros de URL recebidos são validados de forma insuficiente e codificados incorretamente antes de serem incluídos em URLs de redirecionamento”, disse a empresa de segurança Onapsis. “Isso pode resultar em uma vulnerabilidade de script entre sites, levando a um alto impacto na confidencialidade e um impacto moderado na integridade e disponibilidade.”
.
