Security News 01/2023

Vzdálené spuštění kódu v ManageEngine produktech

Zranitelnost způsobuje chyba v Apache Santuario, který ManageEngine ve svých produktech využívá k SAML SSO. Pokud je SAML SSO v rámci produktů využívána nebo byla historicky aktivní, může vzdálený útočník spustit libovolný kód na úrovni systému a plně jej kompromitovat. Předchozí autentizace není nutná. Zranitelnost je útočníky aktivně zneužívána a nebližších dnech má dojít k zveřejnění PoC exploitu.
Návrh řešení týmu viz ThreatGuard-ID: 2454

Zraniteľnosť SQL Injection v nástroji Cisco Unified Communications Manager


Zraniteľnosť vo webovom rozhraní pre správu aplikácií Cisco Unified Communications Manager (Unified CM) a Cisco Unified Communications Manager Session Management Edition (Unified CM SME) môže autentifikovanému vzdialenému útočníkovi umožniť vykonať útoky SQL injection na postihnutý systém.
Táto zraniteľnosť existuje, pretože webové rozhranie pre správu nedostatočne overuje vstupné údaje používateľa. Útočník by mohol túto zraniteľnosť zneužiť tak, že sa autentifikuje v aplikácii ako používateľ s nízkym oprávnením a odošle vytvorené SQL dotazy do postihnutého systému. Úspešné zneužitie by mohlo útočníkovi umožniť čítať alebo upravovať akékoľvek údaje v základnej databáze alebo zvýšiť svoje oprávnenia.
Návrh řešení týmu viz ThreatGuard-ID: 2458

2 kritické zraniteľnosti v GIT


Externý bezpečnostný audit odhalil zraniteľnosti CVE-2022-23521 a CVE-2022-41903 v populárnom nástroji GIT. Jedná sa o zraniteľnosti integer overflow v pamäti systému a útočník pomocou nich dokáže nasadiť malware. Tento malware má potenciál šíriť naprieč zariadeniami, ktoré majú daný GIT repozitár stiahnutý. GIT je populárny nástroj pre management zdrojového kódu, používaný vývojármi na celom svete. Zraniteľnými sú taktiež všetky platformy, ktoré tento nástroj implementujú – napr. GitLab.
Návrh řešení týmu viz ThreatGuard-ID: 2457

Co potřebujete vyřešit? Ozveme se Vám nazpět

Než začneme poskytovat službu outsourcing IT, zpracujeme nejdříve vstupní audit informačních technologií. Tento audit slouží k zjištění aktuálního stavu výpočetní techniky a softwarového vybavení a zároveň k vytvoření návrhu pro případné změny a optimalizace. Na základě výsledků auditu navrhneme specifikaci parametrů smlouvy a cenové nabídky.

Kontakt

+420 596 620 071
+420 596 620 070
obchod@brain.cz