Jan 08, 2025Ravie LakshmananVulnerability / Usalama wa Mtandao Wakala wa Usalama wa Mtandao na Miundombinu wa Marekani (CISA) mnamo Jumanne waliongeza dosari tatu zinazoathiri Seva ya Mitel MiCollab na Oracle WebLogic kwenye katalogi yake ya Athari Zinazotumika Zinazojulikana (KEV), ikitoa ushahidi tendaji. Orodha ya athari ni kama ifuatavyo – CVE-2024-41713 (alama ya CVSS: 9.1) – Athari ya traversal katika Mitel MiCollab ambayo inaweza kuruhusu mshambuliaji kupata ufikiaji usioidhinishwa na ambao haujaidhinishwa wa CVE-2024-55550 (alama ya CVSS: 4.4) Athari ya upitishaji njia katika Mitel MiCollab ambayo inaweza ruhusu mshambulizi aliyeidhinishwa aliye na haki za msimamizi kusoma faili za ndani ndani ya mfumo kwa sababu ya ukosefu wa usafishaji wa ingizo CVE-2020-2883 (alama ya CVSS: 9.8) – Athari za kiusalama katika Seva ya Oracle WebLogic ambayo inaweza kudhulumiwa na mvamizi ambaye hajaidhinishwa na ufikiaji wa mtandao kupitia mtandao. IIOP au T3 Ni muhimu kuzingatia kwamba CVE-2024-41713 inaweza kuunganishwa na CVE-2024-55550 ili kuruhusu mshambulizi ambaye hajaidhinishwa, wa mbali kusoma faili kiholela kwenye seva. Maelezo juu ya dosari hizo pacha yaliibuka mwezi uliopita kufuatia ripoti kutoka kwa WatchTowr Labs, ambayo iligundua maswala hayo kama sehemu ya juhudi zake za kuiga mdudu mwingine muhimu katika Mitel MiCollab (CVE-2024-35286, alama ya CVSS: 9.8) ambayo iliwekwa alama mnamo Mei 2024 . Kuhusu CVE-2020-2883, Oracle alionya mwishoni mwa Aprili 2020 kwamba ilikuwa imepokea. “ripoti za majaribio ya kutumia vibaya udhaifu kadhaa uliotiwa viraka hivi majuzi, ikijumuisha uwezekano wa CVE-2020-2883.” Kwa sasa hakuna maelezo kuhusu jinsi dosari zilizotajwa hapo juu zinavyotumiwa katika mashambulizi ya ulimwengu halisi, ambao huenda wanawanyonya, au walengwa wa shughuli hizi. Kwa mujibu wa Maagizo ya Utendaji ya Binding (BOD) 22-01, mashirika ya Shirikisho la Tawi la Kiraia (FCEB) wanatakiwa kutumia masasisho yanayohitajika kufikia Januari 28, 2025, ili kulinda mitandao yao. Je, umepata makala hii ya kuvutia? Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.
Leave a Reply