Positive Technologies
Новости

Positive Technologies представила топ трендовых уязвимостей за февраль

В феврале эксперты Positive Technologies отнесли к трендовым еще восемь уязвимостей. Это уже использовавшиеся в кибератаках уязвимости и те, эксплуатация которых прогнозируется в ближайшее время. К трендовым специалисты отнесли недостатки, обнаруженные в продуктах Fortinet, Microsoft и Ivanti.

Трендовыми уязвимостями называются наиболее опасные недостатки, которые нужно быстро устранить — или принять компенсирующие меры. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и актуализируют информацию из различных источников (баз уязвимостей, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и т. п.). Выявлять такие недостатки помогает система управления уязвимостями нового поколения — MaxPatrol VM. Экспертиза поступает в продукт в течение 12 часов. В топ эксперты собрали уязвимости, которые активно эксплуатировались в прошлом месяце.

Уязвимость, связанная с удаленным выполнением кода, в FortiOS и FortiProxy

CVE-2024-21762 (CVSS1 — 9,8)

По данным Shadowserver, количество устройств, на которых присутствует FortiOS SSL VPN, — более 465 000. В России это ПО выявлено на 2816 узлах.

Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику выполнить произвольный код с помощью специально созданных HTTP-запросов. По данным вендора, она уже используется в хакерских атаках. Ранее Fortinet сообщала о том, что злоумышленники применяли похожую уязвимость в FortiOS для развертывания трояна удаленного доступа COATHANGER.

Согласно рекомендациям Fortinet, чтобы устранить недостаток, требуется обновить ПО. В случае невозможности немедленного обновления, чтобы снизить риски, можно временно отключить SSL VPN на устройствах FortiOS.

Уязвимость, связанная с обходом функции безопасности Windows SmartScreen

CVE-2024-21351 (CVSS — 7,6)

Согласно данным The Verge, уязвимость касается пользователей Windows версий 10 и 11. В результате ее эксплуатации нарушитель получает возможность обойти проверки Windows Defender SmartScreen. Недостаток используется для доставки вредоносного ПО в систему: злоумышленнику необходимо отправить цели вредоносный файл и убедить ее открыть содержимое.

Уязвимость, связанная с обходом функции безопасности ярлыков веб-страниц (файлов Internet Shortcut)

CVE-2024-21412 (CVSS — 8,1)

Уязвимость позволяет доставить вредоносное ПО в целевую систему. Microsoft Defender не предупреждает пользователя о том, что открывается файл с недоверенного ресурса (функция MoTW не срабатывает). Пользователя также может запутать то, что проводник отправляется в папке «Загрузки» (Downloads), хотя по факту она лежит на стороннем ресурсе.

Уязвимость Microsoft Outlook, приводящая к удаленному выполнению кода

CVE-2024-21413 (CVSS — 9.8)

Эксплуатация уязвимости позволяет удаленному злоумышленнику обойти встроенные проверки безопасности (Protected View) в Microsoft Outlook. Жертва открывает вредоносный документ в режиме редактирования, что приводит к удаленному выполнению кода в системе.

Уязвимость сервера Microsoft Exchange, приводящая к несанкционированному повышению привилегий

CVE-2024-21410 (CVSS — 9,8)

Уязвимость позволяет злоумышленнику провести атаку типа NTLM relay (перехватить аутентификационные данные, использующие протокол NTLM, и перенаправить их на другой сервер или сервис с целью получения несанкционированного доступа) и пройти аутентификацию на сервере Exchange.

По данным Microsoft, зафиксированы факты эксплуатации всех вышеописанных уязвимостей. Кроме того, TrendMicro зафиксировала эксплуатацию уязвимости CVE-2024-21412 APT-группировкой Water Hydra: ее фишинговые кампании были направлены на трейдеров финансовых рынков.

Для устранения уязвимостей требуется установить обновления безопасности, их можно скачать с официального сайта Microsoft.

Уязвимость, связанная с подделкой запроса со стороны сервера, в продуктах Ivanti Connect Secure, Ivanti Policy Secure и Ivanti Neurons for ZTA

CVE-2024-21893 (CVSS — 8,2)

Уязвимость присутствует в Ivanti Connect Secure, в компоненте Security Assertion Markup Language (SAML). Пятнадцатого января Volexity сообщила, что нашла доказательства взлома2 более 1700 устройств, принадлежащих компаниям разного размера из разных отраслей (финансовым, государственным организациям, военным учреждениям и другим). По данным Shadowserver, в сети работает более 19 500 устройств с Ivanti Connect Secure.

Злоумышленники могут использовать уязвимость, если на устройстве отсутствует аутентификация или установлена устаревшая версия xmltooling.

Уязвимость, связанная с обходом аутентификации в Ivanti Connect Secure, Ivanti Policy Secure

CVE-2023-46805 (CVSS — 8,2)

Эта уязвимость нулевого дня присутствует в версиях 9 и 22 Ivanti Connect Secure — ПО, позволяющего использовать личное устройство для работы. «Если CVE-2023-46805 эксплуатируется совместно с CVE-2024-21887, злоумышленнику не требуется аутентификация, злоумышленник может создавать вредоносные запросы и выполнять произвольные команды в системе без аутентификации», — написала Ivanti.

Уязвимость, связанная с внедрением команд в Ivanti ICS, Ivanti Policy Secure

CVE-2024-21887 (CVSS — 9,1)

Это еще одна уязвимость нулевого дня в Ivanti Connect Secure версий 9 и 22. Она позволяет злоумышленнику, аутентифицированному в роли администратора, выполнять произвольные команды на устройстве и может быть проэксплуатирована через интернет. Используя ее в связке с CVE-2023-46805, нарушитель может удаленно выполнить код на узле без аутентификации. Таким образом злоумышленник получает доступ ко внутренней инфраструктуре организации, а также может провести атаку и зашифровать серверы.

Восьмого февраля Ivanti заявила, что устранила уязвимость, и выпустила обновления безопасности для Ivanti Connect Secure (версии 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3 и 22.6R2.2), Ivanti Policy Secure (версии 9.1R17.3, 9.1R18.4 и 22.5R1.2) и ZTA-шлюзов (версии 22.5R1.6, 22.6R1.5 и 22.6R1.7). Если установить обновления безопасности невозможно, следует использовать XML-файл, доступный для клиентов Ivanti. Он позволяет минимизировать последствия возможной эксплуатации уязвимости.

Агентство CISA выпустило статью с вариантами снижения рисков и устранения уязвимости.

  1. CVSS — Common Vulnerability Scoring System.
  2. Эксплуатация CVE-2023-46805 в комбинации с CVE-2024-21887.