VMware рекомендует срочно пропатчить критические баги в ряде продуктов

VMware рекомендует срочно пропатчить критические баги в ряде продуктов

VMware рекомендует клиентам срочно установить патчи, устраняющие критические уязвимости во множестве продуктов компании. В случае эксплуатации этих багов злоумышленники могут выполнить вредоносный код удалённо.

«Последствия от использования этих критических уязвимостей могут быть очень серьёзными, поэтому их нужно пропатчить незамедлительно в соответствии с инструкциями VMSA-2021-0011», — пишут представители VMware.

Всего специалисты перечисляют пять выявленных уязвимостей:

  • CVE-2022-22954 — удалённое выполнение кода, инъекция в шаблон на стороне сервера.
  • CVE-2022-22955, CVE-2022-22956 — баги обхода аутентификации OAuth2 ACS.
  • CVE-2022-22957, CVE-2022-22958 — JDBC-инъекция, приводящая к удалённому выполнению кода.

Разработчики VMware также устранили другие уязвимости, получившие высокую и среднюю степени риска:

  • CVE-2022-22959 — межсайтовая подделка запроса (Cross-site request forgery, CSRF).
  • CVE-2022-22960 — повышение прав.
  • CVE-2022-22961 — доступ к важной информации без аутентификации.

В официальном уведомлении перечислены затронутые продукты:

  • VMware Workspace ONE Access (Access)
  • VMware Identity Manager (vIDM)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Легенда о едином счете: банки предупреждают о новой схеме мошенничества

Банки сообщили о новом сценарии телефонного мошенничества. Аферисты предлагают застраховать деньги на якобы едином межбанковском счете Банка России. Жертву обрабатывает цепочка “социальных инженеров”.

В новой мошеннической схеме с каждым клиентом работает несколько злоумышленников, рассказали Anti-Malware.ru в пресс-службе ВТБ.

Сначала они обзванивают клиентов якобы от имени полиции и рассказывают о поступившем “заявлении от Центрального банка” о компрометации персональных данных. Аферист №1 уточняет, что списания производились не со счета конкретного банка, а по единому внутрибанковскому счету. По легенде доступ к нему имеют только сотрудники кредитных организаций, которых и подозревают в попытке мошенничества.

Дальше звонок переводится на “сотрудника департамента безопасности ЦБ”. Аферист №2 узнает, в каком банке обслуживается клиент, какими продуктами пользуется, “проверяет” остатки на счетах и даже размер зарплаты.

Именно в этот момент мошенники предлагают “застраховать” общую сумму на едином счете. Перевод всех денег на “безопасный счет ЦБ” якобы поможет отбиться от мошенников.

Легенда о “едином счете в ЦБ” появилась чуть ранее в этом году и, к сожалению, пользуется успехом, комментирует новость Никита Чугунов, руководитель департамента цифрового бизнеса, старший вице-президент ВТБ. Клиенты в стрессовой ситуации могут поверить, что подобный счет у них действительно может быть.

“Поэтому предложение быстро оформить страховку, которая защитит все деньги клиента — та самая уловка, на которую злоумышленники стремятся поймать своих жертв”, — объясняет Чугунов.

В банке советуют не поддаваться на провокации: деньги клиента могут храниться только на счете, который он открывал физически в своем банке. Никакого “единого счета в ЦБ” не существует и страховать его – переводить деньги мошенникам.

Добавим, сегодня стало известно, что экспертный совет по защите прав потребителей финуслуг при Центробанке предложил “замораживать” переводы свыше 10 тыс. рублей для дополнительной проверки.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru