Positive Technologies представила топ трендовых уязвимостей за сентябрь

В сентябре 2024 года эксперты Positive Technologies отнесли к трендовым семь уязвимостей. Среди них недостатки безопасности в продуктах Microsoft, приложении для резервного копирования Veeam, программном обеспечении VMware, веб-клиенте для работы с электронной почтой Roundсube Webmail, а также в плагине The Events Calendar для системы управления контентом WordPress.

Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями нового поколения MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.

Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.

Уязвимость повышения привилегий в установщике Windows

CVE-2024-38014 (CVSS — 7,8)

Эксплуатация этой уязвимости может позволить злоумышленнику, который уже получил доступ к инфраструктуре, повысить свои привилегии до уровня SYSTEM. Получение такого уровня привилегий позволяет злоумышленнику устанавливать вредоносное ПО, изменять или удалять важные файлы и получать доступ к конфиденциальным данным. Уязвимость компонента для установки программ Windows Installer связана с недостатками разграничения доступа.

Уязвимость обхода функции безопасности Mark of the Web (MotW) в Windows

CVE-2024-38217 (CVSS — 5,4)

Эксплуатация уязвимости позволяет злоумышленникам распространять вредоносные программы под видом легитимных установщиков. В результате пользователи могут запускать опасные файлы, не подозревая о рисках, поскольку защитные механизмы Windows не активируются. Для эксплуатации уязвимости требуется взаимодействие с пользователем. Специалисты из Elastic Security Labs обнаружили, что уязвимость эксплуатируется злоумышленниками как минимум с 2018 года.

Уязвимость в движке для обработки и отображения HTML-страниц платформы Windows MSHTML

CVE-2024-43461 (CVSS — 8,8)

Эксплуатация уязвимости позволяет скрыть истинное расширение файла, загружаемого через Internet Explorer. Так злоумышленники могут ввести пользователя в заблуждение, отправив зловредное вложение под видом легитимного файла. У пользователя, запустившего вредоносный файл, могут украсть личные данные и денежные средства, он может столкнуться с нарушением работы системы и риском дальнейших атак на устройство и сеть. Для эксплуатации уязвимости требуется взаимодействие с пользователем, поскольку жертва должна посетить вредоносную страницу или открыть вредоносный файл.

Чтобы защититься, необходимо скачать обновления на официальных страницах Microsoft, посвященных уязвимостям: CVE-2024-38014, CVE-2024-38217, CVE-2024-43461.

Уязвимость удаленного выполнения кода в приложении для резервного копирования Veeam Backup & Replication

CVE-2024-40711 (CVSS — 9,9)

Уязвимость может затрагивать 2833 серверов Veeam Backup & Replication.

Эксплуатация уязвимости позволяет удаленному неаутентифицированному злоумышленнику выполнить произвольный код на сервере. Злоумышленник может получить контроль над сервером, что может привести к утечке конфиденциальных данных, внедрению вредоносного ПО и компрометации инфраструктуры.

Чтобы защититься, необходимо скачать обновления на официальной странице Veeam, посвященной CVE-2024-40711.

Уязвимость, связанная с удаленным выполнением кода в программном обеспечении VMware vCenter и VMware Cloud Foundation

CVE-2024-38812 (CVSS — 9,8)

По данным Shadowserver, в сети работает более 1900 узлов vCenter.

Эксплуатация уязвимости позволяет неаутентифицированному удаленному злоумышленнику выполнить произвольный код на сервере, отправив специальным образом сформированный сетевой пакет. В результате нарушитель может получить полный контроль над системой с целью дальнейшего развития атаки. Уязвимость вызвана ошибкой переполнения буфера в реализации протокола системы удаленного вызова процедур DCE (RPC).

Чтобы защититься, необходимо обновить программное обеспечение, следуя рекомендациям.

Уязвимость в веб-клиенте для работы с электронной почтой Roundсube Webmail

CVE-2024-37383 (CVSS — 6,1)

По данным Shadowserver, в сети работает более 882 000 узлов Roundcube Webmail.

Эксплуатация уязвимости позволяет удаленному неаутентифицированному злоумышленнику добиться выполнения произвольного JavaScript-кода. В результате злоумышленник может получить доступ к учетной записи пользователя, перехватывать сессии, похищать конфиденциальные данные или выполнять несанкционированные действия от имени жертвы. Для эксплуатации уязвимости требуется взаимодействие с пользователем, поскольку жертва должна открыть вредоносное письмо.

Чтобы защититься, необходимо обновить программное обеспечение Roundcube Webmail версий 1.5 и ниже до версии 1.5.7 или выше, версий 1.6 — до версии 1.6.7 или выше.

Уязвимость типа «SQL-внедрение» в плагине The Events Calendar для WordPress

CVE-2024-8275 (CVSS — 9,8)

Уязвимость может затрагивать более 700 000 сайтов на WordPress CMS с установленным плагином The Events Calendar.

Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику выполнить произвольный запрос на языке программирования SQL. Нарушитель может получить доступ, изменить или удалить конфиденциальные данные в базе данных веб-сайта — это может привести к утечке данных, манипулированию данными или сбоям в обслуживании. Уязвимая функция в самом плагине не используется, эксплуатация возможна только на веб-сайтах, где вручную добавили вызов этой функции.

В случае использования уязвимой функции на веб-сайте, следует удалить или отключить ее до обновления до исправленной версии. Кроме того, рекомендуется обновить плагин The Events Calendar до версии 6.6.4.1 или выше.