Positive Technologies представила топ трендовых уязвимостей за июнь

08.07.2024
Positive Technologies представила топ трендовых уязвимостей за июнь

Эксперты Positive Technologies отнесли к трендовым девять уязвимостей. Среди них уязвимости, обнаруженные в продуктах Microsoft и VMware, Linux, VPN-шлюзе от Check Point Software Technologies и в программном обеспечении Veeam Backup Enterprise Manager.

Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, которые нужно быстро устранить или против которых следует незамедлительно принять компенсирующие меры. Они либо уже активно использовались злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода и т. п. Выявлять такие недостатки безопасности в инфраструктуре компании помогает система управления уязвимостями нового поколения — MaxPatrol VM, информация о них поступает в продукт в течение 12 часов.

Три уязвимости Windows, описанные ниже, потенциально затрагивают, согласно данным The Verge, около миллиарда устройств. Они позволяют злоумышленнику получить максимальные привилегии в системе и продолжить развивать атаку. Последствия могут коснуться всех пользователей устаревших версий Windows.

Уязвимость в компоненте для хранения автономных файлов Client-Side Caching (CSC) Windows, приводящая к повышению привилегий

CVE-2024-26229 (оценка по CVSS — 7,8)

Уязвимость связана с переполнения буфера, при котором осуществляется зловредная перезапись памяти в куче (отнесена в категорию CWE-122). Это происходит из-за некорректной работы с памятью в службе кэширования CSC.

Уязвимость в службе для отправки сообщений об ошибках (Windows Error Reporting), приводящая к повышению привилегий

CVE-2024-26169 (оценка по CVSS — 7,8)

Уязвимость обнаружена в службе регистрации ошибок Windows[1] и определена в категорию CWE-269. Этот недостаток безопасности связан с тем, что служба неправильно назначает, изменяет, отслеживает или проверяет привилегии пользователя, из-за чего у злоумышленников появляется возможность его эксплуатировать.

Уязвимость ядра Windows, приводящая к повышению привилегий

CVE-2024-30088 (оценка по CVSS — 7,0)

Уязвимость вызвана недостатком безопасности в реализации подпрограммы NtQueryInformationToken[2]. Проблема возникает из-за отсутствия правильной блокировки при выполнении операций над объектом.

Для устранения перечисленных выше уязвимостей Microsoft рекомендует установить соответствующие обновления безопасности:  CVE-2024-26229, CVE-2024-26169, CVE-2024-30088.

Уязвимость в подсистеме межсетевого экрана netfilter ядра Linux, приводящая к повышению привилегий

CVE-2024-1086 (оценка по CVSS — 7,8)

Уязвимость в Linux потенциально затрагивает, согласно данным Steam Hardware & Software Survey, более полутора миллионов устройств.

Она вызвана ошибкой работы с оперативной памятью[3]. Ее эксплуатация позволяет авторизованному в системе злоумышленнику повысить привилегии до уровня root (то есть до максимальных). Это может привести к развитию атаки и реализации недопустимых для организации событий.

Для устранения уязвимости необходимо следовать инструкции на официальной странице kernel.org.

Уязвимости, связанные с удаленным выполнением кода в VMware vCenter

CVE-2024-37080 и CVE-2024-37079 (оценка по CVSS — 9,8)

По данным Shadowserver, в сети работает более 2000 узлов vCenter.

Эксплуатация уязвимостей позволяет неаутентифицированному злоумышленнику выполнить произвольный код на сервере VMware vCenter и получить полный контроль над системой с целью дальнейшего развития атаки. Эти недостатки безопасности вызваны ошибкой работы с памятью в реализации протокола системы удаленного вызова процедур DCE (RPC)[4].

Для устранения уязвимости необходимо скачать обновление на официальной странице VMware.

Уязвимость, связанная с удаленным выполнением кода в языке PHP при применении пользователем Apache и PHP CGI в Windows

CVE-2024-4577 (оценка по CVSS — 9,8)

Эксплуатация уязвимости позволяет злоумышленнику выполнить удаленный код (remote code execution, RCE) в системе. В результате он может получить полный контроль над ней с целью дальнейшего развития атаки.

Уязвимость возникает из-за различия в интерпретации символа «мягкий перенос» у Apache и языка PHP. Apache воспринимает символ как мягкий перенос, в то время как PHP применяет так называемый метод наилучшего соответствия и считает, что пользователь при вводе мягкого дефиса на самом деле намеревался ввести настоящий дефис.[5]

Для устранения уязвимости необходимо следовать инструкции на официальной странице PHP.

Уязвимость, связанная с раскрытием информации в VPN-шлюзах Check Point Sofrtware Technologies

CVE-2024-24919 (оценка по CVSS — 8,6)

Эксплуатируя уязвимость, неаутентифицированный злоумышленник может получить доступ к чувствительной информации, хранящейся на сервере.

Уязвимость возникает из-за того, что в исходном коде приложения некорректно проверяется адрес, который запрашивает пользователь: в процессе валидации используется функция, которая проверяет вхождение одной строки в другую, а не полное равенство.

Для устранения уязвимости необходимо скачать обновление на официальной странице Check Point Software Technologies.

Уязвимость обхода аутентификации в Veeam Backup Enterprise Manager

CVE-2024-29849 (оценка по CVSS — 9,8)

Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику получить доступ к любой учетной записи сервера Veeam Backup Enterprise Manager.

Недостаток безопасности возникает из-за того, что пользователь контролирует адрес сервера с технологией единого входа (SSO), на котором происходит проверка введенных данных, и имя пользователя, под которым он хочет аутентифицироваться. В связи с этим злоумышленник может установить свой вредоносный сервер, который будет подтверждать все запросы. После этого преступник может отправить форму, где вместо своего имени он ставит произвольное, в том числе администратора системы.

Для устранения уязвимости необходимо скачать обновление на официальной странице Veeam.


[1] Подсистема современной Windows, служащая для отправки сообщений об ошибках в Microsoft. Используется в версиях для настольных компьютеров начиная с Windows XP и в Windows Mobile версий 5 и 6.
[2] Подпрограмма NtQueryInformationToken извлекает сведения указанного типа о маркере доступа. 
[3] UAF (Use-After-Free) — уязвимость, связанная с некорректным использованием динамической памяти в процессе работы программы: при освобождении ячейки памяти указатель на нее не обнуляется, что позволяет хакерам воспользоваться ею в своих целях.
[4] DCE (RPC) — система удаленного вызова процедур, разработанная для Distributed Computing Environment. 
[5] Информация взята из исследования watchTowr Labs.
Итоги премии «Киберпросвет» 2024 Итоги премии «Киберпросвет» 2024
Популярные материалы