В ноябре 2024 года эксперты Positive Technologies отнесли к трендовым восемь уязвимостей. Это недостатки безопасности в продуктах Microsoft, системе централизованного управления и мониторинга FortiManager, программном обеспечении PAN-OS, операционной системе Ubuntu Server и межсетевых устройствах Zyxel.
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями нового поколения — MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.
Уязвимости в Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows (например, Windows 11 и Windows 10).
Уязвимость в Windows, приводящая к раскрытию хешей в протоколах сетевой аутентификации NTLMv21
CVE-2024-43451 (CVSS — 6,5)
Уязвимость связана с устаревшим движком платформы для обработки HTML-страниц — MSHTML, которая все еще используется в современных версиях Windows для отображения веб-страниц и позволяет злоумышленнику получить NTLMv2-хеши пользователей. Скомпрометировав их, он может попытаться аутентифицироваться в качестве легитимного пользователя, не имея его реальных учетных данных. Если злоумышленникам удастся скомпрометировать учетную запись с правами администратора, они смогут перейти к следующим этапам атаки, используя полученный доступ для изменения или удаления важных файлов, установки вредоносного ПО или кражи конфиденциальных данных.
Уязвимость в планировщике заданий (Task Scheduler) Windows, приводящая к повышению привилегий
CVE-2024-49039 (CVSS — 8,8)
Обнаруженная уязвимость связана с недостатками процедуры аутентификации. Для успешной эксплуатации уязвимости злоумышленнику необходимо запустить в целевой системе специально разработанное приложение. Используя эту уязвимость, злоумышленник может повысить свои права до уровня medium integrity2, что позволит ему выполнять функции RPC (remote procedure call)3, доступные только привилегированным учетным записям. В результате он сможет перейти к следующим этапам атаки и распространить вредоносные действия на другие системы в сети.
Уязвимость в почтовом сервере Microsoft Exchange, связанная с подменой отправителя
CVE-2024-49040 (CVSS — 7,5)
Уязвимость затрагивает всех пользователей Microsoft Exchange Server 2016 и 2019, которые не скачали обновления безопасности.
Уязвимость связана с неправильной обработкой почтовым сервером адресов получателей и позволяет злоумышленнику проводить спуфинг-атаки4. В процессе эксплуатации уязвимости злоумышленники могут оправлять письма с поддельного адреса отправителя. Успешное использование недостатка значительно повышает эффективность фишинговых атак, которые часто являются первым этапом при проникновении во внутреннюю сеть компании и могут привести к утечке конфиденциальных данных, внедрению вредоносного ПО или финансовым потерям.
Чтобы защититься, необходимо установить обновления безопасности, которые представлены на официальных страницах Microsoft, — CVE-2024-43451, CVE-2024-49039, CVE-2024-49040.
Уязвимость в системе управления FortiManager5, связанная с удаленным выполнением кода
CVE-2024-47575 (CVSS — 9,8)
Недостаток безопасности может затрагивать всех пользователей уязвимых версий FortiManager. Исследователи сообщают, что в интернете доступны более 55 000 устройств FortiManager.
Успешная эксплуатация уязвимости позволяет удаленному неаутентифицированному злоумышленнику выполнить произвольные команды на сервере FortiManager. В результате он может похитить данные конфигурации с подконтрольных устройств и файлы с сервера FortiManager, включая зашифрованные пароли пользователей. Украденные данные могут использоваться для получения первоначального доступа к корпоративной сети, с помощью которого злоумышленники смогут дальше развивать атаку.
Чтобы защититься, необходимо обновить FortiManager до исправленной версии. Если невозможно установить актуальную версию прошивки, Fortinet предлагает использовать компенсирующие меры.
Уязвимость в пакете для определения перезапуска процессов needrestart в Ubuntu Server, приводящая к повышению привилегий
CVE-2024-48990 (CVSS — 7,8)
Уязвимость может затронуть всех пользователей уязвимых версий Ubuntu Server и других дистрибутивов Linux, в которых установлен пакет needrestart версии 3.8 и ниже.
Эксплуатация уязвимости позволяет авторизованному злоумышленнику повысить свои привилегии в системе, выполнив произвольный код с правами суперпользователя (root). В результате успешной эксплуатации он может установить вредоносное ПО и получить полный доступ ко всем файлам и данным в системе, включая конфиденциальную информацию. Утилита needrestart по умолчанию установлена в Ubuntu Server и используется для определения процессов, которые необходимо перезапустить после обновления системных библиотек.
По данным исследователей из Shadowserver, уязвимости в программном обеспечении PAN-OS, описанные ниже, коснулись более 2000 устройств.
Уязвимость в веб-интерфейсе PAN-OS6, связанная с обходом аутентификации
CVE-2024-0012 (CVSS — 9,8)
Успешная эксплуатация уязвимости позволяет злоумышленнику, не прошедшему аутентификацию, но имеющему доступ к управляющему веб-интерфейсу, получить права администратора PAN-OS. Используя их, он может просматривать конфиденциальную информацию, вносить изменения в конфигурацию устройства или эксплуатировать другие уязвимости для повышения привилегий.
Чтобы защититься, необходимо установить обновления и следовать рекомендациям вендора.
Уязвимость в программном обеспечении PAN-OS, связанная с повышением привилегий
CVE-2024-9474 (CVSS — 7,2)
Эксплуатация уязвимости позволяет злоумышленнику, имеющему доступ к веб-интерфейсу управления, выполнять на устройстве произвольные команды с правами суперпользователя. После успешной эксплуатации он может попытаться установить на скомпрометированное устройство инструменты для постэксплуатации или вредоносные программы, которые позволяют похищать данные конфигурации, загружать двоичные файлы для майнинга и другую полезную нагрузку.
Чтобы защититься, необходимо установить обновления и следовать рекомендациям вендора.
Уязвимость в межсетевых экранах Zyxel, связанная с обходом каталога
CVE-2024-11667 (CVSS — 7,5)
Уязвимость может коснуться всех пользователей межсетевых экранов Zyxel ATP и USG FLEX с прошивкой ZLD версий от 4.32 до 5.38, которых, по данным Shadowserver, в сети Интернет доступно около 15 000.
Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику, действующему удаленно, скачивать и загружать на устройство произвольные файлы через специально созданные URL-адреса. В результате он может получить доступ к учетным данным администратора, что приведет к дальнейшим вредоносным действиям: изменению правил межсетевого экрана, внедрению вредоносного ПО, краже конфиденциальной информации и созданию скрытого VPN-соединения для последующей эксфильтрации этих данных. Уязвимость в веб-интерфейсе управления межсетевых экранов Zyxel серий ATP и USG FLEX связана с некорректной обработкой имени пути к файлу или каталогу с ограниченным доступом.
Чтобы защититься, пользователям рекомендуется обновить уязвимые версии прошивки и изменить учетные данные администратора.
- NTLMv2 — это протоколы, используемые для сетевой аутентификации в средах Windows.
- Medium integrity (средний уровень целостности) — уровень надежности, который присваивается процессам, запущенным от имени стандартной учетной записи пользователя. Процессы на этом уровне имеют доступ к большинству ресурсов операционной системы, но с определенными ограничениями, направленными на защиту системы от потенциальных вредоносных действий.
- RPC (remote procedure call) — технология межпроцессного взаимодействия, которая позволяет одной программе вызывать функции или процедуры в другой программе, находящейся на другом компьютере или в другом процессе, как если бы они находились в одном адресном пространстве.
- Спуфинг-атаки — тип кибератак, при которых злоумышленник выдает себя за другое устройство или пользователя для получения несанкционированного доступа к информации.
- FortiManager — система централизованного управления и мониторинга, которая обеспечивает согласованную работу всех программно-аппаратных решений компании Fortinet.
- PAN-OS — проприетарная операционная система от компании Palo Alto Networks для управления брандмауэрами и другими сетевыми устройствами.
