Positive Technologies

Дайджест трендовых уязвимостей. Март 2024 года

Дайджест трендовых уязвимостей. Март 2024 года

В мартовском дайджесте мы выделили пять самых опасных уязвимостей месяца, которые активно использовались злоумышленниками или могут быть использованы ими в ближайшее время.

Стоит обратить особое внимание на уязвимости, связанные с удаленным выполнением кода (RCE): CVE-2024-21378 (Microsoft Outlook), CVE-2023-48788 (Fortinet FortiClient EMS), CVE-2024-27198 (JetBrains TeamCity) — две последние не требуют взаимодействия с пользователем.

Кроме того, громко прогремели сразу два недостатка безопасности в Windows. Эксплуатация CVE-2024-21338 и CVE-2023-36424 позволяет злоумышленнику повысить привилегии до уровня ядра. Так, хакерская группировка Lazarus уже использовала первую уязвимость в ходе атак.

Подробнее про все уязвимости, случаи их эксплуатации и способы устранения читайте в дайджесте.

Подробнее об этих уязвимостях

    Уязвимости в продуктах Microsoft

  • Уязвимость, связанная с удаленным выполнением кода в Microsoft Outlook

    CVE-2024-21378 (оценка по CVSS — 8,0, высокий уровень опасности)

    Эксплуатация уязвимости позволяет злоумышленнику удаленно добиться выполнения произвольного кода в системе жертвы при активации формы в Microsoft Outlook. Информация взята из исследования NETSPI

    Признаки эксплуатации: Microsoft не отметила фактов эксплуатации.

    Количество потенциальных жертв: все пользователи необновленной версии Microsoft Outlook.

    Публично доступные эксплойты: есть в открытом доступе.

  • Уязвимость ядра Windows, приводящая к повышению привилегий

    CVE-2024-21338 (оценка по CVSS — 7,8, высокий уровень опасности)

    Благодаря этой уязвимости авторизованный злоумышленник может повысить уровень привилегий в драйвере IOCTL компонента Windows AppLocker до максимальных на узле. После этого он может получить полный контроль над узлом, на котором использовал уязвимость.

    После выхода отчета Avast злоумышленники стали активнее использовать уязвимость, поэтому опасность возросла. В нем эксперты утверждают, что уязвимость длительное время эксплуатировалась хакерской группировкой Lazarus. Злоумышленники использовали во время работы руткит FudModule, добиваясь более незаметного для детектирования повышения привилегий. Затем руткит выполнял операции прямой манипуляции объектами ядра Windows для отключения систем защиты, скрытия злонамеренных действий и устойчивой работы в зараженной системе.

    Признаки эксплуатации: Microsoft зафиксировала факты эксплуатации уязвимости. По данным Avast, уязвимость эксплуатировалась APT-группировкой Lazarus вместе с использованием руткита FudModule, что обеспечивало повышение привилегий, более незаметное для детектирования.

    Количество потенциальных жертв: все пользователи устаревшей версии Windows.

    Публично доступные эксплойты: есть в открытом доступе.

  • Уязвимость, приводящая к повышению привилегий из-за повреждения Windows Kernel Pool (clfs.sys)

    CVE-2023-36424 (оценка по CVSS — 7,8, высокий уровень опасности)

    Уязвимость драйвера Common Log File System Driver операционной системы Windows связана с переполнением пула в clfs.sys из-за недостаточной проверки данных, поступающих из точки повторной обработки NTFS. Эксплуатация уязвимости позволяет авторизованному злоумышленнику повысить привилегии до максимального уровня. После этого он может получить полный контроль над узлом, на котором использовал уязвимость.

    Признаки эксплуатации: Microsoft не зафиксировала фактов эксплуатации.

    Количество потенциальных жертв: все пользователи устаревшей версии Windows.

    Публично доступные эксплойты: есть в открытом доступе.

  • Способы устранения, компенсирующие меры: разработчики Microsoft рекомендуют установить обновления, которые можно скачать на страницах, посвященных уязвимостям: CVE-2024-21378, CVE-2024-21338, CVE-2023-36424. Для специалистов по ИБ компания Microsoft также опубликовала руководство по обнаружению и устранению нарушений правил и форм Outlook.


    Уязвимость в продукте от Fortinet

  • Уязвимость, связанная с удаленным внедрением SQL-кода в FortiClient EMS

    CVE-2023-48788 (оценка по CVSS — 9,8, критически опасная уязвимость)

    Возможность внедрения SQL-запроса была обнаружена во время исследования процесса взаимодействия FortiClient Enterprise Management Server (центральной системы управления) и FCTDas (сервера доступа к базе данных). В ходе исследования специалисты выявили, что потенциально зараженные SQL-запросы можно отправлять на порт 8013 в FortiClient EMS, после чего они попадут к БД.

    Так как никакой дополнительной обработки специальных символов и фильтрации предусмотрено не было, злоумышленники могли бы получить PoC (основанный на временной задержке) этой уязвимости, добавив к уязвимому параметру SQL-код. В конечном счете злоумышленник может получить возможность удаленного выполнения кода на скомпрометированном узле . Это может привести к атакам и реализации недопустимых событий в организациях, использующих FortiClient EMS. Информация взята из исследования Horizon3

    Количество потенциальных жертв: по данным ShadowServer, в сети работает более 1500 устройств, связанных с FortiClient EMS.

    Публично доступные эксплойты: есть в открытом доступе.

  • Способы устранения, компенсирующие меры: обновления, обеспечивающие защиту от CVE-2023-48788, можно скачать с официального сайта Fortinet.


    Уязвимость в продукте от JetBrains

  • Уязвимость обхода аутентификации в TeamCity, приводящая к удаленному выполнению кода

    CVE-2024-27198 (оценка по CVSS — 9,8, критически опасная уязвимость)

    Злоумышленник может использовать специально сгенерированный URI чтобы получить доступ к серверу JetBrains TeamCity CI/CD, оставаясь неаутентифицированным. Эта возможность появляется из-за того, что информация, передающаяся во вредоносном запросе, удовлетворяет правилам безопасности (которых оказывается недостаточно, чтобы полностью защититься). В частности, вредоносный URI должен содержать:

    1. несуществующий адрес;
    2. определенный параметр;
    3. определенный конец.
    И в конечном счете такой запрос может выглядеть так:

    		  
    /incorrectpath?specialparameter=/target/endpoint;.specialending

    Хакер может обратиться к критически важной конечной точке и, к примеру, создать нового пользователя-администратора, новый токен доступа администратора (из-за того, что существует возможность отправки POST-запросов с данными). После этих действий он получает полный контроль над системой. Информация взята из исследования rapid7

    Количество потенциальных жертв: по данным Shodan, в сети работает более 20 000 устройств, ассоциирующихся с TeamCity.

    Публично доступные эксплойты: есть в открытом доступе.

    Способы устранения, компенсирующие меры: 4 марта компания JetBrains выпустила версию TeamCity 2023.11.4, содержащую исправления CVE-2024-27198.

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.

В дайджесте приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 30 марта 2024 года.