Дайджест трендовых уязвимостей. Декабрь 2024 года

В декабре мы отнесли к трендовым четыре уязвимости. Это самые опасные недостатки безопасности, которые или уже активно эксплуатируются злоумышленниками, или могут быть использованы ими в ближайшее время.

Две уязвимости (CVE-2024-38144, CVE-2024-49138), позволяющие получить привилегии уровня SYSTEM — максимального уровня привилегий Windows, — были обнаружены в продуктах Microsoft. В результате эксплуатации этих недостатков безопасности злоумышленник может получить полный контроль над скомпрометированными устройствами, украсть конфиденциальные данные или внедрить вредоносное ПО.

Третья уязвимость (CVE-2024-11972) была обнаружена в плагине Hunk Companion, предназначенном для дополнения и улучшения функциональности макетов сайтов (тем), разработанных ThemeHunk, для системы управления контентом WordPress. Она является критически опасной. Эксплуатация этой уязвимости позволяет злоумышленнику установить другие устаревшие плагины, содержащие уязвимости, на сайт на WordPress. Так преступник может получить контроль над веб-сервером, на котором размещен сайт.

Четвертая уязвимость (CVE-2024-53677) была обнаружена во фреймворке для создания веб-приложений Apache Struts. Эксплуатация этой уязвимости позволяет реализовать атаку обхода каталогов¹, с помощью которой злоумышленник может загрузить на сервер произвольные файлы и запустить их, получая возможность выполнить вредоносный код в системе, а в результате — получить доступ к управлению веб-сервером.

Подробнее про эти уязвимости, случаи их эксплуатации и способы устранения читайте в дайджесте.

Уязвимости, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.

CVE-2024-38144 (оценка по CVSS — 8,8; высокий уровень опасности)

Уязвимость в обработчике CKSAutomationThunk::ThunkEnableEventIrp драйвера ksthunk.sys, который используется для обеспечения совместимости 32-битных процессов на 64-битной системе. Уязвимость возникает из-за отсутствия проверки на переполнение при выравнивании размера буфера в процессе обработки входных и выходных данных. Она позволяет повысить привилегии при помощи переполнения кучи, которое происходит после манипуляций с размером буфера и дальнейшей операции копирования. Локальный злоумышленник, запустивший специально разработанное приложение в целевой системе, может получить привилегии уровня SYSTEM. Это дает ему полный контроль над системой, позволяя выполнять любые операции, в том числе устанавливать вредоносное ПО, похищать данные и изменять системные параметры.

Признаки эксплуатации: Microsoft не отмечает фактов эксплуатации уязвимости.

Количество потенциальных жертв: все пользователи Windows, которые не скачали обновления безопасности.

Публично доступные эксплойты: в открытом доступе был опубликован эксплойт.

CVE-2024-49138 (оценка по CVSS — 7,8; высокий уровень опасности)

Уязвимость драйвера CLFS.sys, используемого для работы подсистемы журналирования Common Log File System (CLFS) Windows, связана с переполнением буфера в динамической памяти. Эксплуатация этого недостатка безопасности возможна, если злоумышленник запускает специально разработанное приложение, создающее вредоносные файлы журнала CLFS, в уязвимой системе. Подобная атака может позволить нарушителю, действующему локально, повысить свои привилегии до уровня SYSTEM и получить полный контроль над операционной системой.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Компания CrowdStrike сообщает, что уязвимость активно эксплуатируется злоумышленниками.

Количество потенциальных жертв: все пользователи Windows, которые не скачали обновления безопасности.

Публично доступные эксплойты: в открытом доступе был опубликован PoC эксплойта.

Способы устранения, компенсирующие меры: установить обновления безопасности, которые представлены на сайте Microsoft (CVE-2024-38144, CVE-2024-49138).

CVE-2024-11972 (оценка по CVSS — 9,8; критический уровень опасности)

Уязвимость, найденная в этом плагине, вызвана неправильной обработкой привилегий в вызове API для добавления темы по пути «/wp-json/hc/v1/themehunk-import». В результате злоумышленник может удаленно выполнять неаутентифицированные запросы, которые могут быть использованы для несанкционированной установки устаревших плагинов, содержащих известные уязвимости. Эксплуатируя недостатки безопасности в этих плагинах, злоумышленник может обойти параметры безопасности, изменить записи в базах данных, выполнить вредоносный код или получить несанкционированный доступ с привилегиями администратора к сайту. В известных успешных случаях эксплуатации злоумышленники устанавливали плагин WP Query Console с критически опасной RCE-уязвимостью², позволяющей выполнять произвольный вредоносный код на PHP.

Признаки эксплуатации: WPScan сообщает о фактах эксплуатации уязвимости.

Количество потенциальных жертв: по данным WordPress, уязвимая версия установлена более чем у 6800 пользователей.

Публично доступные эксплойты: в открытом доступе был опубликован эксплойт.

Способы устранения, компенсирующие меры: всем пользователям рекомендуется обновить плагин Hunk Companion до версии 1.9 и выше.

CVE-2024-53677 (оценка по CVSS — 9,0; критический уровень опасности)

Фреймворк Apache Struts используется для создания веб-приложений на языке Java. Для успешной эксплуатации уязвимости злоумышленнику необходимо отправить специально сформированный HTTP-запрос³ к веб-приложению, работающему на Apache Struts. Этот запрос использует уязвимость обхода каталога в механизме обработки загружаемых файлов и позволяет злоумышленнику загрузить произвольный файл на сервер, что может привести к выполнению вредоносного кода на стороне сервера. В результате все приложения, использующие уязвимую версию фреймворка, подвержены риску массовых атак, потенциальные последствия которых варьируются от потери данных до прекращения функционирования всех сервисов.

Признаки эксплуатации: несколько вредоносных узлов, пытающихся использовать уязвимость, заметили в GreyNoise, но информация об успешных атаках отсутствует.

Количество потенциальных жертв: по данным Maven Central, уязвимую версию фреймворка установили около 40 000 раз.

Публично доступные эксплойты: в открытом доступе был опубликован эксплойт.

Способы устранения, компенсирующие меры: всем пользователям рекомендуется обновить Apache Struts до версии 6.4.0 (или выше) и перейти на использование нового механизма загрузки файлов, не имеющего обратной совместимости со старым.

Использование продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению и защитить инфраструктуру компании. Кроме того, мы рекомендуем использовать межсетевые экраны уровня веб-приложений, например PT Application Firewall, которые позволяют обезопасить общедоступные ресурсы.

В дайджесте приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 31 декабря 2024 года.