2023-yil dekabr va 2024-yil yanvar oylarida aniqlangan dolzarb zaifliklar to'g'risidagi ma'lumotlar quyida keltirilgan.
2023-yil dekabr oyi bo‘yicha
1. "Netgear" marshrutizatorida masofadan buyruq bajarish zaifligi mavjud.
NETGEAR WNR2000v4 marshrutizatorining 1.0.0.70 versiyasida SOAP orqali autentifikatsiyadan o‘tish qismida zaiflik borligi aniqlangan.
Mazkur zaiflik buzg‘unchilarga masofadan buyruq bajarish imkoniyatini beradi.
Tavsiyalar: dasturiy ta’minotni yangilangan xavfsiz versiyasiga yangilash yoki yangilanishlar mavjud bo‘lmasa, zaiflik mavjud mahsulotlardan foydalanmaslik tavsiya etiladi.
2. “Apache Struts” da jiddiy zaiflik borligi aniqlandi.
Apache Struts freymvorkining 2.0.0–2.3.37 (EOL), 2.5.0–2.5.32 va 6.0.0–6.3.0 versiyalarida jiddiy zaiflik mavjud bo‘lib, ushbu zaiflik serverga zararli fayl joylashtirish bilan birga masofadan buyruq bajarish imkonini beradi.
Tavsiyalar: Apache Struts freymvorkini 2.5.33 yoki 6.3.0.2 versiyalariga yangilash hamda doimiy tarzda aktual versiyalarga yangilab borish.
3. PHPGurukul Nipah tizimida SQL-inyeksiya aniqlandi.
PHPGurukul Nipah Viruslarni tekshirishni boshqarish tizimida SQL-inyeksiya zaifligi aniqlangan bo‘lib, mazkur zaiflik hakerlarga SQL so‘rovlarni yuborish orqali ma’lumotlar bazasida joylashgan ma’lumotlarni qo‘lga kiritish imkonini beradi.
Tavsiyalar: parametrlangan so‘rovlar va saqlangan protseduralardan foydalanish tavsiya etiladi. Saqlangan protseduralar SQL kodini inkapsulyatsiya qilishda va ma’lumotlar bazasiga faqat saqlangan protsedurani bajarishda hamda SQL in'ektsiyasining oldini olishda yordam beradi.
4. Hyland Software kompaniyasining Alfresco Community Edition tizimida jiddiy zaiflik mavjud.
Alfresco – bu hujjatlar, yozuvlar, veb-nashrlar, guruh ishlari va tashkilotdagi biznes jarayonlarni boshqarish uchun foydalaniladigan tizimdir.
Mazkur zaiflik Alfresco Community Edition tizimining 7.2.0 versiyasigacha bo‘lgan talqinlarida mavjud bo‘lib, ushbu zaiflik orqali SSTI (server tomonidan shablonni kiritish) hujumini uyishtirishga keyinchalik masofadan buyruq bajarishga olib kelishi mumkin.
Tavsiyalar: dasturiy ta’minotni yangilangan xavfsiz versiyasiga yangilash yoki yangilanishlar mavjud bo‘lmasa, zaiflik mavjud mahsulotlardan foydalanmaslik tavsiya etiladi.
5. WSO2 mahsulotlarida XML Injection zaifligi mavjud.
WSO2 kompaniyasining bir qancha mahsulotlarida XML External Entity (XXE) zaifligi mavjudligi hamda ushbu zaiflik yordamida hakerlar maxfiy ma’lumotlarni qo‘lga kiritishi yoki ichki tizimlar bilan ishlashi mumkinligi aniqlandi.
Tavsiyalar: zaiflik aniqlangan dasturiy mahsulotlarni so‘nggi aktual versiyalariga yangilash.
6. OpenSSH da operatsion tizim buyrug‘ini bajarish zaifligi mavjud.
Shaxsiy kompyuterlarni va serverlarni masofadan boshqarishga mo‘ljallangan OpenSSH dasturining 9.6 versiyasigacha bo‘lgan barcha talqinlarida ruxsatsiz OT buyruqlarini bajarish zaifligi aniqlandi. Hakerlar %u yoki %h kabi kengaytmali tokenlardan foydalangan holda ixtiyoriy OT buyruqlarini bajarishi mumkin.
Tavsiyalar: dasturiy mahsulotlarni so‘nggi aktual versiyalariga yangilash.
2024-yil yanvar oyi bo‘yicha
1. Adobe ColdFusion dasturida kritik zaifliklar aniqlandi.
ColdFusion - bu veb-serverda HTML kodlarini yaratish va ma'lumotlar bazasi bilan ishlash uchun mo'ljallangan dasturiy mahsulotdir.
Mazkur zaifliklar Adobe ColdFusion dasturining 2018u17, 2021u7 va 2023u1 versiyalarida mavjud bo‘lib, ushbu zaiflik orqali hakerlar masofadan zararli kodlarni yurg’izishi mumkin.
Tavsiyalar: Adobe kompaniyasi tomonidan chiqarilgan tegishli xavfsizlik yangilanishlarini zudlik bilan o‘rnatish.
2. ManageEngine OpManager monitoring tizimida kritik zaifliklar aniqlandi.
Mazkur zaiflik kataloglar bo’ylab o’tish bilan bog’liq zaiflik bo’lib, hakerlarga belgilangan katalogdan tashqaridagi fayl yo'llarini boshqarishga imkon beradi hamda tizimlarga katta xavf tug'diradi.
Tavsiyalar: ManageEngine kompaniyasi tomonidan chiqarilgan tegishli xavfsizlik yangilanishlarini zudlik bilan o‘rnatish.
3. “Cisco Unity Connection” dasturiy ta’minotida jiddiy zaiflik aniqlandi.
Cisco Unity Connection boshqaruv interfeysida autentifikatsiya qilinmagan foydalanuvchilar o'zboshimchalik bilan fayl yuklash zaifligi mavjud. Ushbu zaiflik ma'lum bir APIda autentifikatsiyaning yo'qligi va foydalanuvchi tomonidan taqdim etilgan ma'lumotlarning noto'g'ri tekshirilishi bilan bog'liq.
Tavsiyalar: dasturiy mahsulotni so‘nggi versiyasiga yangilash hamda muntazam ravishda aktual versiyalariga yangilab borish.
4. Nginx UI-da bir nechta zaifliklar mavjud.
Nginx veb-serverining foydalanuvchi interfeysida bir nechta zaifliklar mavjudligi aniqlandi.
Ushbu zaifliklar CVE-2024-22196 va CVE-2024-22198 identifikator raqamlari bilan belgilangan bo‘lib, nozik ma’lumotlarni oshkor qilish (server qurilmasidagi protsessorning, operativ xotiraning va doimiy xotiraning qay darajada yuklanganligi), masofadan buyruq bajarish, imtiyozlarni (privilegiyani) oshirish va serverga tegishli boshqa ma’lumotlarni oshkor qilish imkonini beradi.
Tavsiyalar: dasturiy mahsulotni so‘nggi versiyasiga yangilash hamda muntazam ravishda aktual versiyalariga yangilab borish.
5. Juniper Networks Junos operatsion tizimida yuqori darajadagi zaiflik aniqlandi.
Ushbu zaiflik CVE-2024-21595 identifikator raqamiga ega bo‘lib, autentifikatsiya qilinmagan foydalanuvchilarga DoS-hujumini uyishtirish imkonini beradi.
Tavsiyalar: operatsion tizimni so‘nggi va xavfsiz versiyalariga yangilash lozim.