MKD-CIRT National Centre for Computer Incident Response
Американската агенција за сајбер безбедност и безбедност на инфраструктурата додаде две пропусти во каталогот на познати експлоатирани ранливости, неодамна закрпен пропуст во Google Chrome и грешка што влијае на библиотеката со отворен код Perl за читање информации во датотека Excel наречена Spreadsheet::ParseExcel.
Американската агенција за сајбер одбрана им даде рок на федералните агенции до 23 јануари да ги ублажат двата безбедносни прашања следени како CVE-2023-7024 и CVE-2023-7101 според упатствата на продавачот или да престанат да ги користат ранливите производи.
Табеларен лист::ParseExcel RCE
Првиот проблем што CISA го додаде на своите познати експлоатирани пропусти (KEV) е CVE-2023-7101, ранливост за далечинско извршување код што влијае на верзии 0.65 и постари на библиотеката Spreadsheet::ParseExcel.
„Spreadsheet::ParseExcel содржи ранливост за далечинско извршување на код поради пренесување невалидиран влез од датотека во „eval“ од типот на низа. Поточно, проблемот произлегува од евалуацијата на низите на формат на број во рамките на логиката за парсирање на Excel,” гласи описот на CISA за пропустот.
Табеларен лист::ParseExcel е библиотека за општа намена која овозможува операции за увоз/извоз на податоци на датотеки на Excel, извршување на анализа и скрипти за автоматизација. Производот, исто така, обезбедува слој на компатибилност за обработка на датотеки Excel на веб-апликации базирани на Perl.
Еден производ што ја користи библиотеката со отворен код е Barracuda ESG (Email Security Gateway), кој беше насочен кон крајот на декември од Chinese hackers кој го експлоатираше CVE-2023-7101 во Spreadsheet::ParseExcel за да ги компромитира уредите.
Во соработка со фирмата за сајбер безбедност Mandiant, Баракуда оценува дека актерот за закана зад нападите е UNC4841, кој го искористи пропустот за да распореди малициозен софтвер „SeaSpy“ и „Saltwater“.
Barracuda applied mitigations за ESG на 20 декември, а безбедносното ажурирање што се однесуваше на CVE-2023-7101 беше достапно на 29 декември. 2023 година, со Spreadsheet::ParseExcel version 0.66.
Прелевање на баферот на Google Chrome
Последната активно искористена ранливост додадена на KEV е CVE-2023-7024, проблем со прелевање на баферот на купот во WebRTC во веб-прелистувачот Google Chrome .
„Google Chromium WebRTC, проект со отворен код кој им обезбедува на веб-прелистувачите комуникација во реално време, содржи ранливост за прелевање на баферот на купот што му овозможува на напаѓачот да предизвика падови или извршување на кодот“, се вели во резимето на CISA за пропустот.
„Оваа ранливост може да влијае на веб-прелистувачите кои користат WebRTC, вклучително, но не ограничувајќи се на Google Chrome“, додава агенцијата.
Пропустот беше откриен од Групата за анализа на закани на Google (TAG) и доби поправка преку итно ажурирање на 20 декември, во верзии 120.0.6099.129/130 за Windows и 120.0.6099.129 за Mac и Linux.
Ова беше eighth zero-day ранливоста што Google ја поправи во Chrome за 2023 година, нагласувајќи го упорниот напор и времето кое хакерите го посветуваат на пронаоѓање и искористување недостатоци во широко користениот веб-прелистувач.
Каталогот KEV на CISA е вреден ресурс за организациите ширум светот кои имаат за цел подобро управување со ранливоста и одредување приоритети.
Извор: bleepingcomputer