Дайджест трендовых уязвимостей. Май 2024 года

В майском дайджесте мы отнесли к трендовым четыре уязвимости. Это самые опасные уязвимости, которые активно использовались злоумышленниками или могут быть использованы в ближайшее время.

Две уязвимости были найдены в продуктах Microsoft. Первая из них, CVE-2024-30040, затрагивает движок для обработки и отображения HTML-страниц Windows MSHTML. Она может использоваться в фишинговых атаках и в результате приводить к удаленному выполнению кода. Вторая, уязвимость в библиотеке ядра Windows DWM Core Library CVE-2024-30051, может использоваться для повышения привилегий до уровня системных (то есть максимальных).

Третья уязвимость была выявлена в инструменте для сбора и обработки логов Fluent Bit (CVE-2024-4323), четвертая — в корпоративной веб-вики Confluence (CVE-2024-21683). Эти продукты принадлежат вендорам Treasure Data и Atlassian соответственно. Обе уязвимости являются уязвимостями удаленного выполнения кода.

Подробнее про эти уязвимости, случаи их эксплуатации и способы устранения читайте в дайджесте.

Уязвимости в продуктах Microsoft

Уязвимости Windows, описанные ниже, потенциально затрагивают, согласно данным The Verge, около миллиарда устройств. Они могут коснуться всех пользователей устаревших версий Windows.

Уязвимость обхода функций безопасности в движке для обработки и отображения HTML-страниц Windows MSHTML — CVE-2024-30040 (CVSS — 8,8, высокий уровень опасности)

Используя эту уязвимость, злоумышленники могут обойти функции безопасности Object Linking and Embedding (OLE) в Microsoft 365 и Microsoft Office, защищающие пользователей от вредоносных файлов. Для эксплуатации уязвимости злоумышленнику потребуется с помощью фишинга убедить пользователя загрузить вредоносный файл в уязвимую систему. Если пользователь откроет специально подготовленный файл, атакующий, не проходя аутентификацию, сможет выполнить код в системе жертвы (получить управление).

Признаки эксплуатации: факты эксплуатации, отмеченные Microsoft.

Количество потенциальных жертв: все пользователи необновленной версии Windows.

Публично доступные эксплойты: нет в открытом доступе.

Способы устранения, компенсирующие меры: скачать и установить официальные обновления безопасности Windows.

Уязвимость повышения привилегий в библиотеке ядра Windows DWM Core Library — CVE-2024-30051 (CVSS — 7,8, высокий уровень опасности)

Используя эту уязвимость, злоумышленник может получить системные привилегии, предварительно получив первоначальный доступ к системе. Это позволит ему закрепиться на узле и продолжить развитие атаки. Уязвимость не требует от атакующего взаимодействия с пользователем.

Признаки эксплуатации: исследователи из «Лаборатории Касперского» отмечают, что эта уязвимость эксплуатируется совместно с трояном QakBot и другими вредоносными программами. Они также полагают, что к эксплойту имеют доступ несколько группировок злоумышленников.

Количество потенциальных жертв: все пользователи необновленной версии Windows.

Публично доступные эксплойты: нет в открытом доступе.

Способы устранения, компенсирующие меры: скачать и установить официальные обновления безопасности Windows.

Уязвимость в продукте Atlassian

Уязвимость удаленного выполнения кода в корпоративной веб-вики Confluence — CVE-2024-21683 (CVSS — 8,3, высокий уровень опасности)

Уязвимость вызвана некорректной валидацией входных данных на одной из конечных точек. Эксплуатация уязвимости позволяет аутентифицированному злоумышленнику выполнить произвольные команды на сервере. Он может получить полный контроль над системой с целью дальнейшего развития атаки.

Процесс эксплуатации представляет собой загрузку вредоносного файла по одному из адресов в админ-панели на сервер Confluence.

Признаки эксплуатации: нет информации.

Количество потенциальных жертв: по данным Shadow Server, в сети работает 10 тысяч устройств Atlassian Confluence, из которых в России расположено более 300.

Публично доступные эксплойты: есть в открытом доступе.

Способы устранения, компенсирующие меры: скачать и установить обновления с официального сайта Atlassian.

Уязвимость в продукте Treasure Data

Уязвимость удаленного выполнения кода во встроенном HTTP-сервере в опенсорсном инструменте для сбора и обработки логов Fluent Bit — CVE-2024-4323 (CVSS — 9,8, критический уровень опасности)

Эта уязвимость вызвана ошибкой, возникающей во время работы с памятью в исходном коде приложения. Используя уязвимость, злоумышленник может отправить на конечную точку большой объем данных, а следом — полезную нагрузку. В роли конечных точек могут выступать конченые точки API: /api/v1/trace или /api/v1/traces, которые доступны неавторизованному пользователю (то есть не только администратору системы).

В отчете Tenable Research (производитель решений для управления уязвимостями) было установлено, что некоторые варианты эксплуатации уязвимости могут привести к отказу в обслуживании или утечкам информации из системы.

Признаки эксплуатации: нет информации.

Количество потенциальных жертв: нет информации.

Публично доступные эксплойты: есть в открытом доступе.

Способы устранения, компенсирующие меры: рекомендации на странице Fluent Bit на GitHub.

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет своевременно принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.

В дайджесте представлены уязвимости, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 31 мая 2024 года.