Positive Technologies

Дайджест трендовых уязвимостей. Сентябрь 2024 года

Дайджест трендовых уязвимостей. Сентябрь 2024 года

В сентябре мы отнесли к трендовым семь уязвимостей: это самые опасные недостатки безопасности, которые либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время.

Три уязвимости (CVE-2024-38014, CVE-2024-38217, CVE-2024-43461) были найдены в продуктах Microsoft. Две из них имеют высокий уровень опасности, а третья — средний. Использование одной уязвимости приводит к повышению привилегий в системе до максимальных (SYSTEM). Получив полный контроль над системой, злоумышленник сможет перейти к следующим этапам атаки. Использование двух других уязвимостей позволяет злоумышленнику выполнять произвольный код (remote code execution, RCE), однако требует взаимодействия с пользователем: жертва должна посетить вредоносную страницу или открыть вредоносный файл. Все уязвимости в продуктах Microsoft затрагивают пользователей устаревших версий Windows.

Эксплуатация критически опасных уязвимостей в продуктах Veeam и VMware позволяет удаленному неаутентифицированному злоумышленнику выполнить произвольный код на сервере. В результате эксплуатации Remote Code Execution (RCE) может получить полный контроль над системой или ее отдельными компонентами, внедрить вредоносное ПО, нарушить работу узла или похитить конфиденциальные данные.

Уязвимость межсайтового скриптинга среднего уровня опасности в веб-клиенте для работы с электронной почтой Roundcube позволяет удаленному неаутентифицированному злоумышленнику добиться выполнения в браузере пользователя произвольного JavaScript-кода, однако для ее эксплуатации требуется взаимодействие с пользователем.

Эксплуатация критически опасной уязвимости типа SQL-внедрения в плагине WordPress позволяет неаутентифицированному злоумышленнику выполнить произвольный SQL-запрос, что может привести к утечке или изменению конфиденциальных данных, а также сбоям в обслуживании.

Уязвимости в продуктах Microsoft

Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.

Уязвимость повышения привилегий в установщике Windows

CVE-2024-38014 (оценка по CVSS — 7,8; высокий уровень опасности)

Уязвимость компонента для установки программ Windows Installer связана с недостатками разграничения доступа. Эксплуатация этой уязвимости может позволить локальному нарушителю, не имеющему каких-либо привилегий, получить привилегии уровня SYSTEM. Получив полный контроль над системой, злоумышленник сможет перейти к следующим этапам атаки: высокий уровень привилегий позволит ему выполнять любые действия от имени локального администратора, то есть устанавливать вредоносное ПО, изменять или удалять важные файлы и получать доступ к конфиденциальным данным.

Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не установили обновления безопасности.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, эксперты CISA добавили уязвимость в свой каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: отсутствуют в открытом доступе.

Уязвимость обхода функции безопасности Mark of the Web (MotW) в Windows

CVE-2024-38217 (оценка по CVSS — 5,4; средний уровень опасности)

Если пользователь откроет подготовленный злоумышленниками файл, с помощью этой уязвимости они смогут обойти защитную функцию SmartScreen в Windows, связанную с меткой Mark of the Web (MotW). Метка MotW ставится на файлы, загруженные из недоверенных источников, чтобы при их открытии активировались дополнительные меры безопасности, такие как проверки Windows Defender SmartScreen и защищенный режим в Microsoft Office.

Эксплуатация уязвимости позволяет злоумышленникам распространять вредоносные программы под видом легитимных установщиков. В результате пользователи могут запускать опасные файлы, не подозревая о рисках, поскольку защитные механизмы Windows не активируются. Для эксплуатации уязвимости требуется, чтобы пользователь выполнил определенные действия.

Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не установили обновления безопасности.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, эксперты CISA добавили уязвимость в свой каталог известных эксплуатируемых уязвимостей. Специалисты Elastic Security Labs обнаружили, что уязвимость эксплуатируется злоумышленниками как минимум с 2018 года.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Уязвимость в движке для обработки и отображения HTML-страниц платформы Windows MSHTML

CVE-2024-43461 (оценка по CVSS — 8,8; высокий уровень опасности)

Эксплуатация уязвимости позволяет скрыть истинное расширение файла, загружаемого через Internet Explorer. Так злоумышленники могут ввести пользователя в заблуждение, отправив зловредное вложение под видом легитимного файла. Далее у пользователя, запустившего вредоносный файл, могут быть украдены личные данные или денежные средства, он может столкнуться с нарушением работы системы и риском дальнейших атак на устройство и сеть. Для эксплуатации уязвимости требуется взаимодействие с пользователем, поскольку жертва должна посетить вредоносную страницу или открыть вредоносный файл.

Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не установили обновления безопасности.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, эксперты CISA добавили уязвимость в свой каталог известных эксплуатируемых уязвимостей. Исследователи ZDI сообщали об эксплуатации уязвимости в атаках 0-day группировки Void Banshee, которая применяла уязвимость для развертывания инфостилера.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

 

Способы устранения: обновления безопасности можно скачать на официальных страницах Microsoft, посвященных соответствующим уязвимостям: CVE-2024-38014, CVE-2024-38217, CVE-2024-43461.

Уязвимость в продукте Veeam

Уязвимость удаленного выполнения кода в Veeam Backup & Replication

CVE-2024-40711 (оценка по CVSS — 9,8; критически опасная уязвимость)

Уязвимость вызвана ошибкой десериализации1 недоверенных данных. Эксплуатация уязвимости позволяет удаленному неаутентифицированному злоумышленнику выполнить произвольный код на сервере. В результате злоумышленник может получить контроль над сервером, что может привести к утечке конфиденциальных данных, внедрению вредоносного ПО и компрометации инфраструктуры.

Количество потенциальных жертв: все пользователи Veeam Backup Enterprise Manager, использующие версии 12.1.2.172 и ниже.

Признаки эксплуатации: исследователи Vulnera сообщают об использовании уязвимости в атаках группировок Cuba ransomware gang и FIN7.

Публично доступные эксплойты: доступны на GitHub.

Способы устранения: обновления безопасности можно скачать на официальной странице Veeam, посвященной CVE-2024-40711.

1Десериализация — обратный процесс, при котором данные, ранее сериализованные, восстанавливаются в и предстают в исходной сложной структуре. Десериализация выполняется с целью использования или анализа этих данных в программе.

Уязвимость в продуктах VMware

Уязвимость, связанная с удаленным выполнением кода в VMware vCenter и VMware Cloud Foundation

CVE-2024-38812 (оценка по CVSS — 9,8; критически опасная уязвимость)

Уязвимость вызвана ошибкой переполнения буфера в реализации протокола системы удаленного вызова процедур DCE (RPC). Эксплуатация уязвимости позволяет неаутентифицированному удаленному злоумышленнику выполнить произвольный код на сервере, отправив специальным образом сформированный сетевой пакет. В результате нарушитель может получить полный контроль над системой с целью дальнейшего развития атаки.

Количество потенциальных жертв: все пользователи vCenter Server 7.07.0 U3s, 8.08.0 U3b и пользователи VMware Cloud Foundation версий 4 и 5. По данным Shadowserver, в сети работает более 1900 узлов vCenter.

Признаки эксплуатации: компания Broadcom не отмечает фактов эксплуатации уязвимости.

Публично доступные эксплойты: есть в открытом доступе.

Способы устранения: необходимо обновить ПО, следуя рекомендациям.

Уязвимость в продукте Roundсube

Уязвимость в веб-клиенте для работы с электронной почтой Roundсube Webmail

CVE-2024-37383 (оценка по CVSS — 6,1; средний уровень опасности)

Уязвимость в компоненте SVG Handler почтового клиента связана с отсутствием валидации значений атрибутов анимации SVG. Эксплуатация уязвимости позволяет удаленному неаутентифицированному злоумышленнику добиться выполнения в браузере пользователя произвольного JavaScript-кода. В результате успешной эксплуатации злоумышленник потенциально может получить доступ к учетной записи пользователя, перехватывать сессии, похищать конфиденциальные данные или выполнять несанкционированные действия от имени жертвы. Для эксплуатации уязвимости требуется взаимодействие с пользователем, поскольку жертва должна открыть вредоносное письмо.

Количество потенциальных жертв: по данным Shadowserver, в сети работает более 882 000 узлов Roundcube Webmail.

Признаки эксплуатации: в сентябре 2024 года специалисты Positive Technologies  обнаружили признаки эксплуатации этой уязвимости.

Публично доступные эксплойты: нет в открытом доступе.

Способы устранения: следует обновить ПО Roundcube Webmail версий 1.5 и ниже до версии 1.5.7 или выше, версий 1.6 — до версии 1.6.7 или выше.

Уязвимость в плагине для WordPress

Уязвимость типа SQL-внедрения в плагине The Events Calendar для WordPress

CVE-2024-8275 (оценка по CVSS — 9,8, критически опасная уязвимость)

Уязвимость вызвана недостаточным экранированием входящих данных в функции tribe_has_next_event(). Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику выполнить произвольный SQL запрос. Нарушитель потенциально может получить доступ, изменить или удалить конфиденциальные данные в базе данных веб-сайта, что приведет к утечке данных, несанкционированному манипулированию данными или сбоям в обслуживании. Уязвимая функция tribe_has_next_event() самим плагином не используется, эксплуатация возможна только на веб-сайтах, которые вручную добавили вызов этой функции.

Количество потенциальных жертв: более чем 700 000 вебсайтов используют плагин.

Признаки эксплуатации: случаев эксплуатации уязвимости на практике не выявлено.

Публично доступные эксплойты: есть в открытом доступе.

Способы устранения:

  • в случае использования уязвимой функции на веб-сайте, следует удалить или отключить ее до обновления до исправленной версии;
  • следует обновить плагин The Events Calendar до версии 6.6.4.1 или выше.

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.

В дайджесте приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 31 сентября 2024 года.