Positive Technologies представила топ трендовых уязвимостей за ноябрь

В ноябре 2024 года эксперты Positive Technologies отнесли к трендовым восемь уязвимостей. Это недостатки безопасности в продуктах Microsoft, системе централизованного управления и мониторинга FortiManager, программном обеспечении PAN-OS, операционной системе Ubuntu Server и межсетевых устройствах Zyxel.

Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями нового поколения — MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.

Уязвимости в Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows (например, Windows 11 и Windows 10).

Уязвимость в Windows, приводящая к раскрытию хешей в протоколах сетевой аутентификации NTLMv2[1]

CVE-2024-43451 (CVSS — 6,5)

Уязвимость связана с устаревшим движком платформы для обработки HTML-страниц — MSHTML, которая все еще используется в современных версиях Windows для отображения веб-страниц и позволяет злоумышленнику получить NTLMv2-хеши пользователей. Скомпрометировав их, он может попытаться аутентифицироваться в качестве легитимного пользователя, не имея его реальных учетных данных. Если злоумышленникам удастся скомпрометировать учетную запись с правами администратора, они смогут перейти к следующим этапам атаки, используя полученный доступ для изменения или удаления важных файлов, установки вредоносного ПО или кражи конфиденциальных данных.

Уязвимость в планировщике заданий (Task Scheduler) Windows, приводящая к повышению привилегий

CVE-2024-49039 (CVSS — 8,8)

Обнаруженная уязвимость связана с недостатками процедуры аутентификации. Для успешной эксплуатации уязвимости злоумышленнику необходимо запустить в целевой системе специально разработанное приложение. Используя эту уязвимость, злоумышленник может повысить свои права до уровня medium integrity^[2], что позволит ему выполнять функции RPC (remote procedure call)^[3], доступные только привилегированным учетным записям. В результате он сможет перейти к следующим этапам атаки и распространить вредоносные действия на другие системы в сети.

Уязвимость в почтовом сервере Microsoft Exchange, связанная с подменой отправителя

CVE-2024-49040 (CVSS — 7,5)

Уязвимость затрагивает всех пользователей Microsoft Exchange Server 2016 и 2019, которые не скачали обновления безопасности.

Уязвимость связана с неправильной обработкой почтовым сервером адресов получателей и позволяет злоумышленнику проводить спуфинг-атаки^[4]. В процессе эксплуатации уязвимости злоумышленники могут оправлять письма с поддельного адреса отправителя. Успешное использование недостатка значительно повышает эффективность фишинговых атак, которые часто являются первым этапом при проникновении во внутреннюю сеть компании и могут привести к утечке конфиденциальных данных, внедрению вредоносного ПО или финансовым потерям.

Чтобы защититься, необходимо установить обновления безопасности, которые представлены на официальных страницах Microsoft, — CVE-2024-43451, CVE-2024-49039, CVE-2024-49040.

Уязвимость в системе управления FortiManager[5], связанная с удаленным выполнением кода

CVE-2024-47575 (CVSS — 9,8)

Недостаток безопасности может затрагивать всех пользователей уязвимых версий FortiManager. Исследователи сообщают, что в интернете доступны более 55 000 устройств FortiManager.

Успешная эксплуатация уязвимости позволяет удаленному неаутентифицированному злоумышленнику выполнить произвольные команды на сервере FortiManager. В результате он может похитить данные конфигурации с подконтрольных устройств и файлы с сервера FortiManager, включая зашифрованные пароли пользователей. Украденные данные могут использоваться для получения первоначального доступа к корпоративной сети, с помощью которого злоумышленники смогут дальше развивать атаку.

Чтобы защититься, необходимо обновить FortiManager до исправленной версии. Если невозможно установить актуальную версию прошивки, Fortinet предлагает использовать компенсирующие меры.

Уязвимость в пакете для определения перезапуска процессов needrestart в Ubuntu Server, приводящая к повышению привилегий

CVE-2024-48990 (CVSS — 7,8)

Уязвимость может затронуть всех пользователей уязвимых версий Ubuntu Server и других дистрибутивов Linux, в которых установлен пакет needrestart версии 3.8 и ниже.

Эксплуатация уязвимости позволяет авторизованному злоумышленнику повысить свои привилегии в системе, выполнив произвольный код с правами суперпользователя (root). В результате успешной эксплуатации он может установить вредоносное ПО и получить полный доступ ко всем файлам и данным в системе, включая конфиденциальную информацию. Утилита needrestart по умолчанию установлена в Ubuntu Server и используется для определения процессов, которые необходимо перезапустить после обновления системных библиотек.

По данным исследователей из Shadowserver, уязвимости в программном обеспечении PAN-OS, описанные ниже, коснулись более 2000 устройств.

Уязвимость в веб-интерфейсе PAN-OS [6], связанная с обходом аутентификации

CVE-2024-0012 (CVSS — 9,8)

Успешная эксплуатация уязвимости позволяет злоумышленнику, не прошедшему аутентификацию, но имеющему доступ к управляющему веб-интерфейсу, получить права администратора PAN-OS. Используя их, он может просматривать конфиденциальную информацию, вносить изменения в конфигурацию устройства или эксплуатировать другие уязвимости для повышения привилегий.

Чтобы защититься, необходимо установить обновления и следовать рекомендациям вендора.

Уязвимость в программном обеспечении PAN-OS, связанная с повышением привилегий

CVE-2024-9474 (CVSS — 7,2)

Эксплуатация уязвимости позволяет злоумышленнику, имеющему доступ к веб-интерфейсу управления, выполнять на устройстве произвольные команды с правами суперпользователя. После успешной эксплуатации он может попытаться установить на скомпрометированное устройство инструменты для постэксплуатации или вредоносные программы, которые позволяют похищать данные конфигурации, загружать двоичные файлы для майнинга и другую полезную нагрузку.

Чтобы защититься, необходимо установить обновления и следовать рекомендациям вендора.

Уязвимость в межсетевых экранах Zyxel, связанная с обходом каталога

CVE-2024-11667 (CVSS — 7,5)

Уязвимость может коснуться всех пользователей межсетевых экранов Zyxel ATP и USG FLEX с прошивкой ZLD версий от 4.32 до 5.38, которых, по данным Shadowserver, в сети Интернет доступно около 15 000.

Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику, действующему удаленно, скачивать и загружать на устройство произвольные файлы через специально созданные URL-адреса. В результате он может получить доступ к учетным данным администратора, что приведет к дальнейшим вредоносным действиям: изменению правил межсетевого экрана, внедрению вредоносного ПО, краже конфиденциальной информации и созданию скрытого VPN-соединения для последующей эксфильтрации этих данных. Уязвимость в веб-интерфейсе управления межсетевых экранов Zyxel серий ATP и USG FLEX связана с некорректной обработкой имени пути к файлу или каталогу с ограниченным доступом.

Чтобы защититься, пользователям рекомендуется обновить уязвимые версии прошивки и изменить учетные данные администратора.

[1] NTLMv2 — это протоколы, используемые для сетевой аутентификации в средах Windows.
[2] Medium integrity (средний уровень целостности) — уровень надежности, который присваивается процессам, запущенным от имени стандартной учетной записи пользователя. Процессы на этом уровне имеют доступ к большинству ресурсов операционной системы, но с определенными ограничениями, направленными на защиту системы от потенциальных вредоносных действий.
[3] RPC (remote procedure call) — технология межпроцессного взаимодействия, которая позволяет одной программе вызывать функции или процедуры в другой программе, находящейся на другом компьютере или в другом процессе, как если бы они находились в одном адресном пространстве.
[4] Спуфинг-атаки — тип кибератак, при которых злоумышленник выдает себя за другое устройство или пользователя для получения несанкционированного доступа к информации.
[5] FortiManager — система централизованного управления и мониторинга, которая обеспечивает согласованную работу всех программно-аппаратных решений компании Fortinet.
[6] PAN-OS — проприетарная операционная система от компании Palo Alto Networks для управления брандмауэрами и другими сетевыми устройствами.