Дайджест трендовых уязвимостей. Июнь 2024 года

В июньском дайджесте мы отнесли к трендовым девять уязвимостей. Это самые опасные уязвимости, которые активно использовались злоумышленниками или могут быть использованы ими в ближайшее время.

Три уязвимости (CVE-2024-26229, CVE-2024-26169, CVE-2024-30088) были найдены в продуктах Microsoft — все они имеют высокий уровень опасности, их использование приводит к повышению привилегий в системе до максимальных (SYSTEM). Получив полный контроль над узлом, злоумышленник может продолжить дальнейшее развитие атаки.
Все уязвимости в продуктах Microsoft затрагивают пользователей устаревших версий Windows и Windows-сервера.

Эксперты выявили уязвимость, приводящую к повышению привилегий для Linux (CVE-2024-1086), а также критически опасную уязвимость (CVE-2024-4577) в скриптовом языке PHP. Когда пользователь использует Apache и CGI она приводит к удаленному выполнению кода в системе. Шестая уязвимость (CVE-2024-24919) была обнаружена в VPN-шлюзе от вендора Check Point Software Technologies. Эксплуатируя ее, злоумышленники могут получить доступ к чувствительной информации, хранящейся на сервере. Кроме того, исследователи обнаружили уязвимость обхода аутентификации в клиент-серверном ПО для централизованного резервного копирования виртуальных машин Veeam Backup Enterprise Manager (CVE-2024-29849), которая позволяет злоумышленнику выдать себя за любого пользователя, в том числе за администратора системы. Две последние уязвимости (CVE-2024-37080, CVE-2024-37079) относятся к продукту для централизованного управления виртуальной инфраструктурой vCenter от вендора VMware. Их использование приводит к удаленному выполнению кода с помощью одного запроса.

Подробнее про эти уязвимости, случаи их эксплуатации и способы устранения читайте в дайджесте.

HTTP-сервер Apache — свободный веб-сервер, поддерживает Linux, BSD, macOS, Windows, NetWare, BeOS.

Common Gateway Interface, "общий интерфейс шлюза" — является интерфейсом для связи внешней программы с веб-сервером.

Уязвимости в продуктах Microsoft

Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Они позволяют злоумышленнику получить максимальные привилегии в системе и продолжать развивать атаку. Последствия могут коснуться всех пользователей устаревших версий Windows.

Уязвимость в компоненте для хранения автономных файлов CSC (Client-Side Caching), приводящая к повышению привилегий
CVE-2024-26229 (оценка по CVSS — 7,8, высокий уровень опасности)

Эта уязвимость определена в категорию CWE-122, то есть связана с переполнением буфера, при котором осуществляется зловредная перезапись памяти в куче. Это происходит из-за некорректной работы с памятью в службе CSC.

Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.

Публично доступные эксплойты: есть в открытом доступе.

Уязвимость в службе для отправки сообщений об ошибках (Windows Error Reporting), приводящая к повышению привилегий
CVE-2024-26169 (оценка по CVSS — 7,8, высокий уровень опасности)

Уязвимость обнаружена в службе регистрации ошибок Windows и определена в категорию CWE-269. Этот недостаток безопасности связан с тем, что служба неправильно назначает, изменяет, отслеживает или проверяет привилегии пользователя, из-за чего у злоумышленников появляется возможность его эксплуатировать.

Публично доступные эксплойты: нет в открытом доступе.

Windows Error Reporting - подсистема современной Windows, служащая для отправки сообщений об ошибках в Microsoft. Используется в версиях для настольных компьютеров начиная с Windows XP и в Windows Mobile версий 5 и 6.

Уязвимость в ядре Windows, приводящая к повышению привилегий

CVE-2024-30088 (оценка по CVSS — 7,0, высокий уровень опасности)

Был обнаружен недостаток безопасности в реализации подпрограммы NtQueryInformationToken. Проблема возникает из-за отсутствия правильной блокировки при выполнении операций над объектом.

Публично доступные эксплойты: есть в открытом доступе.

Способы устранения, компенсирующие меры: обновления безопасности можно скачать на официальных страницах Microsoft, посвященных соответствующим уязвимостям: CVE-2024-26229, CVE-2024-26169, CVE-2024-30088.

Подпрограмма NtQueryInformationToken извлекает сведения указанного типа о маркере доступа.

Уязвимость в Linux

Уязвимость в подсистеме межсетевого экрана netfilter ядра Linux, приводящая к повышению привилегий
CVE-2024-1086 (оценка по CVSS — 7,8, высокий уровень опасности)

Уязвимость в Linux потенциально затрагивает, согласно данным Steam Hardware & Software Survey, более полутора миллионов устройств.

Этот недостаток безопасности вызван ошибкой работы с оперативной памятью. Эксплуатация уязвимости позволяет авторизованному в системе злоумышленнику повысить привилегии до уровня root (то есть до максимальных). Это может привести к развитию атаки и реализации недопустимых для организации событий. С более подробным техническим описанием уязвимости можно ознакомиться на этой странице.

Признаки эксплуатации: зафиксированы факты эксплуатации уязвимости.

Количество потенциальных жертв: все пользователи устаревшей версии ядра.

Публично доступные эксплойты: есть в открытом доступе.

Способы устранения, компенсирующие меры: исправление уязвимости можно найти на официальной странице kernel.org.

UAF (Use-After-Free) — уязвимость, связанная с некорректным использованием динамической памяти в процессе работы программы: при освобождении ячейки памяти указатель на нее не обнуляется, что позволяет хакерам воспользоваться ею в своих целях.

Уязвимость в PHP

Уязвимость, связанная с удаленным выполнением кода в языке PHP при применении пользователем Apache и PHP CGI в Windows
CVE-2024-4577 (оценка по CVSS — 9,8, критически опасная уязвимость)

Недостаток безопасности возникает из-за различия в интерпретации символа «мягкий перенос» (U+00AD) у Apache и языка PHP. Apache воспринимает его как мягкий дефис, в то время как PHP применяет так называемый принцип наилучшего соответствия и считает, что пользователь при вводе мягкого переноса на самом деле намеревался набрать настоящий дефис. Таким образом, из-за включенного CGI-режима злоумышленник может эксплуатировать эту уязвимость и получить возможность удаленно выполнить код (remote code execution, RCE).

Количество потенциальных жертв: эта уязвимость затрагивает все версии PHP, установленные на Windows:

PHP 8.3–8.3.8
PHP 8.2–8.2.20
PHP 8.1–8.1.29

Публично доступные эксплойты: есть в открытом доступе.

Способы устранения, компенсирующие меры: версии с исправлениями можно скачать на официальной странице PHP:

Информация взята из исследования watchTowr Labs

Уязвимость в продукте Check Point Software Technologies

Уязвимость, приводящая к раскрытию информации в VPN-шлюзах Check Point Quantum Security Gateways
CVE-2024-24919 (оценка по CVSS — 8,6, высокий уровень опасности)

Эта уязвимость возникает из-за того, что в исходном коде приложения некорректно проверяется адрес, который запрашивает пользователь: в процессе валидации используется функция strstr, которая проверяет вхождение одной строки в другую, а не полное равенство. В результате неаутентифицированный злоумышленник может получить доступ к чувствительной информации, хранящейся на сервере.

Количество потенциальных жертв: от 20 000 до 40 000.

Публично доступные эксплойты: есть в открытом доступе.

Способы устранения, компенсирующие меры: обновления безопасности можно скачать на официальной странице Check Point Software Technologies, посвященной CVE-2024-24919.

Информация взята из исследования watchTowr Labs

Уязвимость в продукте Veeam

Уязвимость обхода аутентификации в Veeam Backup Enterprise Manager
CVE-2024-29849 (оценка по CVSS — 9,8, критически опасная уязвимость)

Недостаток безопасности возникает из-за того, что пользователь контролирует адрес сервера с технологией единого входа (SSO), на котором проверяются введенные данные, и имя пользователя, под которым он хочет аутентифицироваться. В связи с этим злоумышленник может установить свой вредоносный сервер, который будет подтверждать все запросы. После этого преступник может отправить форму, где вместо своего имени он ставит произвольное, в том числе администратора системы.

Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику получить доступ к любой учетной записи сервера Veeam Backup Enterprise Manager.

Количество потенциальных жертв: все пользователи Veeam Backup Enterprise Manager, использующие версии ниже 12.1.2.172.

Публично доступные эксплойты: есть в открытом доступе.

Способы устранения, компенсирующие меры: обновления безопасности можно скачать на официальной странице Veeam, посвященной CVE-2024-29849.

Уязвимости в продуктах VMware

Уязвимости, связанные с удаленным выполнением кода в VMware vCenter
CVE-2024-37080 и CVE-2024-37079 (оценки по CVSS — 9,8, критически опасные уязвимости)

Эти недостатки безопасности вызваны ошибкой работы с памятью в реализации протокола системы удаленного вызова процедур DCE (RPC). Эксплуатация уязвимостей позволяет неаутентифицированному злоумышленнику выполнить произвольный код на сервере VMware vCenter. В результате он может получить полный контроль над системой с целью дальнейшего развития атаки.

Количество потенциальных жертв: по данным Shadowserver в сети работает более 2000 узлов vCenter.

Публично доступные эксплойты: нет в открытом доступе.

Способы устранения, компенсирующие меры: следует обновить ПО, следуя рекомендациям.

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.

В дайджесте приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 30 июня 2024 года.