Positive Technologies представила топ трендовых уязвимостей за март

В марте 2024 года эксперты Positive Technologies отнесли к трендовым еще пять уязвимостей: это уже использовавшиеся в кибератаках уязвимости и те, эксплуатация которых прогнозируется на ближайшее время. К трендовым специалисты отнесли уязвимости, обнаруженные в продуктах Fortinet, JetBrains и Microsoft.

Трендовыми уязвимостями называются наиболее опасные недостатки в инфраструктуре компании, которые нужно быстро устранить — или принять компенсирующие меры. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают информацию из различных источников (баз уязвимостей, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и т. п.) и актуализируют ее. Выявлять такие недостатки помогает система управления уязвимостями нового поколения — MaxPatrol VM (экспертиза поступает в продукт в течение 12 часов). Эксперты собрали топ уязвимостей, которые активно эксплуатировались в прошлом месяце.

Уязвимость удаленного выполнения кода с помощью внедрения SQL-кода[1] в FortiClient EMS

CVE-2023-48788 (оценка по шкале CVSS — 9,8)

По данным ShadowServer, в интернете работают 1064 устройства, связанные с FortiClient EMS.

Возможность эксплуатации уязвимости типа внедрения SQL-кода была обнаружена компанией Horizon3.ai в центральной системе управления Enterprise Management Server и сервере доступа к базе данных — FCTDas.exe. В ходе исследования было выявлено, что потенциально зараженные SQL-запросы можно отправлять на порт[2] 8013 в EMS, после чего они будут попадать в запрос к базе данных. В конечном итоге злоумышленник может получить возможность удаленного выполнения кода на скомпрометированном узле. Это может привести к развитию атаки и реализации недопустимых для организации событий.

Для устранения уязвимости необходимо скачать обновление с официального сайта Fortinet.

Уязвимость обхода аутентификации в JetBrains TeamCity, приводящая к удаленному выполнению кода

CVE-2024-27198 (оценка по шкале CVSS — 9,8)

По данным Shodan, в интернете работает более 20 тысяч устройств, связанных с TeamCity.

Согласно исследованию Rapid7, злоумышленник может использовать специально сгенерированный URL, чтобы получить доступ к серверу JetBrains TeamCity, оставаясь неаутентифицированным. Хакер может обратиться к критически важной конечной точке, и, к примеру, создать нового пользователя-администратора или новый токен доступа администратора. После этих действий он получает полный контроль над системой. Но главная опасность заключается в том, что TeamCity используется в компаниях для сборки софта. Поэтому злоумышленники, скомпрометировав TeamCity, могут попытаться внедрить зловредную функциональность в продукты компании. Так может быть реализована атака на цепочку поставок — злоумышленник получит доступ к инфраструктуре клиентов атакуемого вендора софта.

Для устранения уязвимости требуется обновить версию TeamCity до 2023.11.4.

Далее речь пойдет об уязвимостях, которые потенциально затрагивают, согласно данным The Verge, около миллиарда устройств. Они могут коснуться всех пользователей устаревших версий Windows.

Уязвимость ядра Windows, приводящая к повышению привилегий компонента Windows —AppLocker

CVE-2024-21338 (оценка по CVSS — 7,8)

По данным Avast, уязвимость эксплуатировалась APT-группировкой Lazarus вместе с использованием руткита[3] FudModule, что обеспечивало более незаметное для детектирования повышение привилегий. Затем руткит мог напрямую манипулировать объектами ядра Windows для отключения продуктов безопасности, маскировки злонамеренных действий и обеспечения устойчивости на зараженной системе.

Эксплуатация уязвимости позволяет авторизованному злоумышленнику повысить привилегии до максимальных на узле. После этого злоумышленник может получить полный контроль над узлом, на котором он проэксплуатировал уязвимость. В результате это может привести к потере и краже данных, а также к развитию атаки и реализации недопустимых для организации событий.

Уязвимость удаленного выполнения кода в Microsoft Outlook

CVE-2024-21378 (оценка по CVSS — 8,0)

Эксплуатация уязвимости позволяет злоумышленнику добиться выполнения произвольного кода в системе жертвы при активации формы в Microsoft Outlook. Для компаний, в которых используются Microsoft Exchange и Outlook, возникает опасность эксплуатации уязвимости после того, как злоумышленники получают первоначальный доступа к инфраструктуре. Это может привести к реализации недопустимых для организации событий.

Исследователи из компании NetSPI, обнаружившие эту уязвимость, обещают добавить функциональность по ее эксплуатации в опенсорсную утилиту Ruler. Эта утилита используется для проведения пентестов. Но ее могут применять в своих атаках и злоумышленники.

Уязвимость повышения привилегий с помощью повреждения Windows Kernel Pool (clfs.sys)

CVE-2023-36424 (оценка по CVSS — 7,8)

Эксплуатация уязвимости позволяет авторизованному злоумышленнику повысить привилегии до максимальных на узле. После этого злоумышленник может получить полный контроль над узлом, на котором он проэксплуатировал уязвимость.

Для устранения уязвимостей в своих системах Microsoft рекомендует установить обновления, которые можно скачать на страницах, посвященных уязвимостям: CVE-2024-21338, CVE-2024-21378, CVE-2023-36424. Для специалистов по ИБ Microsoft также опубликовала руководство по обнаружению и устранению нарушений в правилах и формах Outlook.

[1] Внедрение SQL-кода — это тактика атаки, которая позволяет злоумышленнику вмешиваться в запросы, которые приложение делает к своей базе данных.
[2] Порт в компьютере необходим для обмена данными по сети. Номера порта помогают компьютеру понять, куда отправить или откуда получить информацию.
[3] Руткит – программа (набор программ), позволяющая скрыть присутствие вредоносного ПО в системе.