Дайджест трендовых уязвимостей. Ноябрь 2024 года

В ноябре мы отнесли к трендовым восемь уязвимостей. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время.

Три уязвимости были обнаружены в продуктах Microsoft. Первая из них (CVE-2024-43451) дает возможность похитить NTLMv2¹-хеш, который используется в Windows-системах для проверки подлинности пользователя, и аутентифицироваться в сети от его имени легитимного пользователя. Получив доступ легитимного пользователя, злоумышленник может перейти к следующим этапам атаки, включая повышение привилегий до уровня администратора, выполнение вредоносного кода и перемещение на другие системы. В результате злоумышленник может получить полный контроль над скомпрометированными устройствами, украсть конфиденциальные данные или внедрить вредоносное ПО. Вторая уязвимость (CVE-2024-49039) позволяет злоумышленнику повысить свои привилегии в операционной системе Windows и выполнять команды управления службами, сетевыми настройками или учетными записями пользователей, доступ к которым имеют только привилегированные учётные записи. Эксплуатация уязвимости может привести к утечке конфиденциальных данных. Третья уязвимость (CVE-2024-49040) затрагивает почтовый сервер Microsoft Exchange 2016, 2019 и позволяет злоумышленникам подделывать адреса отправителей входящих электронных писем. Уязвимость потенциально может использоваться в фишинговых атаках. Эксплуатируя ее, киберпреступники могут получить доступ к конфиденциальной информации, выдавая себя за легитимного отправителя.

Мы обращаем особое внимание на критическую уязвимость (CVE-2024-47575) в системе управления FortiManager компании Fortinet, которая позволяет выполнить вредоносный код, получить доступ к конфиденциальной информации и полностью контролировать устройства Fortinet в корпоративной сети. В результате эксплуатации уязвимости злоумышленники могут нарушить работу скомпрометированных устройств Fortinet или заблокировать трафик между сегментами сети, что приведет к нарушению работы сети и снижению ее безопасности.

Кроме того, исследователи безопасности обнаружили уязвимость (CVE-2024-48990) в утилите needrestart операционной системы Ubuntu Linux для определения процессов, которые необходимо перезапустить после обновления системных библиотек. Ее эксплуатация позволяет злоумышленнику с локальным доступом повысить привилегии до уровня суперпользователя (root). Это может привести к утечке конфиденциальных данных, внедрению вредоносного ПО, а также удалению или изменению важных файлов

Еще две уязвимости (CVE-2024-0012 и CVE-2024-9474) были обнаружены в продуктах компании Palo Alto Networks. Одновременная эксплуатация этих уязвимостей давала неаутентифицированному злоумышленнику возможность получить права администратора и использовать их для удаленного выполнения кода на скомпрометированном устройстве. В результате киберпреступник может получить полный контроль над системой или ее компонентами и внедрить вредоносное ПО, нарушить работу устройства или похитить конфиденциальные данные.

Уязвимость (CVE-2024-11667) была обнаружена в межсетевых экранах Zyxel. Эксплуатация этой уязвимости позволяет удаленным злоумышленникам реализовать атаку обхода каталога², с помощью которой они могут получить доступ к защищенным каталогам и файлам. Это может повлечь за собой компрометацию учетных данных, внедрению вредоносного ПО, сбоям в работе критический важных систем и ресурсов, а также к последующему вымогательству.

Подробнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в дайджесте.

Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows

CVE-2024-43451 (оценка по CVSS — 6,5; средний уровень опасности)

Уязвимость связана с устаревшей платформой MSHTML (Microsoft HTML), которая все еще используется в современных версиях Windows для отображения веб-страниц. Недостаток позволяет злоумышленнику получить хеш-сумму NTLMv2 и с ее помощью аутентифицироваться в качестве легитимного пользователя.

Для эксплуатации уязвимости пользователю достаточно минимального взаимодействия пользователя с вредоносным URL-файлом, например, он может кликнуть по нему правой кнопкой мыши, перенести в другую папку или удалить. При этом открывать вредоносный файл не нужно. Если злоумышленникам удастся скомпрометировать учетную запись с правами администратора, они смогут перейти к следующим этапам атаки, используя полученный доступ для изменения или удаления важных файлов, установки вредоносного ПО или кражи конфиденциальных данных.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. По данным ClearSky, она использовалась для распространения вредоносного ПО Spark RAT. Кроме того, CISA добавили эту уязвимость в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: нет в открытом доступе.

CVE-2024-49039 (оценка по CVSS — 8,8; высокий уровень опасности)

Уязвимость, обнаруженная в планировщике заданий (Task Scheduler) операционной системы Windows, связана с недостатками процедуры аутентификации. Для успешной эксплуатации уязвимости злоумышленнику необходимо запустить специально разработанное приложение в целевой системе. Атака может быть инициирована из AppContainer с низкими привилегиями. AppContainer позволяет упаковать приложение со всеми его зависимостями (библиотеками, конфигурационными файлами, средой выполнения и т.д.) в изолированную среду, которую можно легко переносить и запускать на любой системе, поддерживающей контейнеризацию. Контейнеризация обеспечивает изоляцию приложения от основной операционной системы и от других приложений, предоставляя ему доступ только к специально выделенным для него ресурсам. Используя эту уязвимость, злоумышленник может поднять свои права до уровня medium integrity³, что позволит ему выполнять RPC-функции⁴ привилегированных учетных записей. В результате он сможет перейти к следующим этапам атаки и распространить вредоносные действия на другие системы в сети.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. По данным ESET Research, уязвимость CVE-2024-49039 используется совместно с другой уязвимостью в продуктах Mozilla (CVE-2024-9680) для распространения вредоносного ПО RomCom. Кроме того, CISA добавили эту уязвимость в каталог известных эксплуатируемых уязвимостей.

Публично доступные эксплойты: существуют в открытом доступе.

CVE-2024-49040 (оценка по CVSS — 7,5 высокий уровень опасности)

Уязвимость связана с неправильной обработкой почтовым сервером адресов получателей и позволяет злоумышленнику проводить спуфинг-атаки⁵ — оправлять письма с поддельным адресом отправителя, как если бы он был легитимным. Успешная эксплуатация уязвимости значительно повышает эффективность фишинговых атак, которые часто являются первым этапом при проникновении во внутреннюю сеть компании и могут привести утечке конфиденциальных данных, внедрению вредоносного ПО или финансовым потерям.

Признаки эксплуатации: Microsoft отмечает, что уязвимость может эксплуатироваться злоумышленниками.

Количество потенциальных жертв: уязвимость затрагивает всех пользователей Microsoft Exchange Server 2016 и 2019, которые не скачали обновления безопасности.

Публично доступные эксплойты: нет в открытом доступе.

Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft – CVE-2024-43451, CVE-2024-49039, CVE-2024-49040.

CVE-2024-47575 (оценка по CVSS — 9,8; критический уровень опасности)

FortiManager – система централизованного управления и мониторинга, которая обеспечивает согласованную работу всех программно-аппаратных решений от компании Fortinet. Уязвимость связана с ошибкой проверки аутентификации для критической функции в процессе fgfmsd, который отвечает за обмен данными между брандмауэром FortiGate и системой управления FortiManager. Успешная эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику удаленно выполнить произвольные команды на сервере FortiManager. В результате он может похитить данные конфигурации с подконтрольных устройств и файлы с сервера FortiManager, включая зашифрованные пароли пользователей. Украденные данные могут использоваться для взлома брандмауэров FortiGate с целью получения первоначального доступа к корпоративной сети, с помощью которого злоумышленники смогут дальше развивать атаку.

Признаки эксплуатации: Fortinet отмечает факты эксплуатации уязвимости. По данным Mandiant, уязвимость CVE-2024-47575 активно эксплуатируется группировкой UNC5820 с июня 2024 года. Их кибератаки привели к компрометации более чем 50 серверов. Кроме того, CISA добавили эту уязвимость в каталог известных эксплуатируемых уязвимостей.

Количество потенциальных жертв: все пользователи уязвимых версий FortiManager. Исследователи сообщают, что в интернете доступны более 55000 устройств FortiManager.

Публично доступные эксплойты: существует в открытом доступе. Эксплойт был добавлен в Metasploit Framework – популярный инструмент для тестирования на проникновение.

Способы устранения, компенсирующие меры: всем пользователям рекомендуется обновить FortiManager до исправленной версии. Если в данный момент невозможно установить актуальную версию прошивки, Fortinet предлагает использовать компенсирующие меры:

• запретить устройствам с неизвестными серийными номерами регистрироваться в FortiManager, добавив соответствующий параметр в файл конфигурации FortiManager (для версий 7.0.12 и выше, 7.2.5 и выше, 7.4.3 и выше);
• использовать пользовательский сертификат при создании SSL-туннеля и аутентификации устройств FortiGate с помощью FortiManager (для версий 7.2.2 и выше, 7.4.0 и выше, 7.6.0 и выше);
• создать «белый» список IP-адресов устройств FortiGate, которым разрешено подключаться к FortiManager (для версий 7.2.0 и выше).

CVE-2024-48990 (оценка по CVSS — 7,8; высокий уровень опасности)

Утилита needrestart по умолчанию установлена в Ubuntu Server, начиная с версии 21.04, и используется для определения процессов, которые необходимо перезапустить после обновления системных библиотек. Эксплуатация уязвимости позволяет авторизованному злоумышленнику повысить свои привилегии в системе, выполнив произвольный код с правами суперпользователя (root), с помощью изменения значения переменной окружения PYTHONPATH⁶. В результате успешной эксплуатации он может установить вредоносное ПО и получить полный доступ ко всем файлам и данным в системе, включая конфиденциальную информацию, системные файлы и учетные данные пользователей.

Признаки эксплуатации: случаев эксплуатации уязвимости не выявлено.

Количество потенциальных жертв: все пользователи уязвимых версий Ubuntu Server и других дистрибутивов Linux, в которых установлен пакет needrestart до версии 3.8.

Публично доступные эксплойты: в открытом доступе был опубликован PoC.

Способы устранения, компенсирующие меры: пользователям необходимо обновить ПО, следуя рекомендациям, и отключить функцию «interpreter scanning» в файле конфигурации needrestart.

CVE-2024-0012 (оценка по CVSS — 9,8; критический уровень опасности)

Уязвимость связана с ошибкой аутентификации, обнаруженной в скрипте uiEnvSetup.php. Он содержит параметр HTTP_X_PAN_AUTHCHECK, который указывает, требуется ли аутентификация для доступа к веб-странице управления PAN-OS⁷. По умолчанию для этого параметра установлено значение «on», и скрипт перенаправляет пользователей на страницу входа. Чтобы обойти аутентификацию злоумышленники могут создать вредоносный HTTP-запрос, в котором для параметра HTTP_X_PAN_AUTH CHECK будет установлено значение «off». Успешная эксплуатация уязвимости позволяет злоумышленнику, не прошедшему аутентификацию, но имеющему доступ к управляющему веб-интерфейсу, получить права администратора PAN-OS. Используя их, он имеет возможность просматривать конфиденциальную информацию, вносить изменения в конфигурацию устройства или эксплуатировать другие уязвимости для повышения привилегий.

Признаки эксплуатации: Palo Alto Networks отмечает факты эксплуатации уязвимости. По данным Arctic Wolf, злоумышленники используют уязвимость CVE-2024-0012 совместно с другой уязвимостью в PAN-OS (CVE-2024-9474) с 19 ноября 2024 года. Кроме того, CISA добавили эту уязвимость в каталог известных эксплуатируемых уязвимостей.

Количество потенциальных жертв: по данным исследователей из Shadowserver, уязвимость потенциально может затрагивать более чем 2000 устройств.

Публично доступные эксплойты: существует в открытом доступе. Эксплойт был добавлен в Metasploit Framework.

Способы устранения, компенсирующие меры: установить обновления на уязвимые устройства и следовать рекомендациям вендора.

CVE-2024-9474 (оценка по CVSS — 7,2; высокий уровень опасности)

Уязвимость повышения привилегий содержится в скрипте для создания удаленных сеансов, в котором отсутствует проверка входных данных. Эксплуатация уязвимости позволяет злоумышленнику, имеющему доступ к веб-интерфейсу управления, выполнить на устройстве произвольные команды с правами root-пользователя. После успешной эксплуатации он может попытаться установить на скомпрометированное устройство инструменты для пост-эксплуатации или вредоносные программы, которые позволяют похищать данные конфигурации, загружать двоичные файлы для майнинга и другие полезные нагрузки.

Признаки эксплуатации: Palo Alto Networks отмечает факты эксплуатации уязвимости. Также CISA добавили эту уязвимость в каталог известных эксплуатируемых уязвимостей.

Количество потенциальных жертв: по данным исследователей из Shadowserver, уязвимость потенциально может затрагивать более чем 2000 устройств.

Публично доступные эксплойты: в открытом доступе существует инструмент для эксплуатации уязвимости. Кроме того, эксплойт был добавлен в Metasploit Framework.

Способы устранения, компенсирующие меры: установить обновления на уязвимые устройства и следовать рекомендациям вендора. 

CVE-2024-11667 (оценка по CVSS — 7,5; высокий уровень опасности)

Уязвимость в веб-интерфейсе управления межсетевым экраном Zyxel серий ATP и USG FLEX связана с некорректной обработкой имени пути к файлу или каталогу с ограниченным доступом. Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику, действующему удаленно, скачивать и загружать произвольные файлы на устройство через специально созданные URL-адреса. В результате он может получить доступ к учетным данным администратора, что приведет к дальнейшим вредоносным действиям, таким как изменение правил межсетевого экрана, внедрение вредоносного ПО, кража конфиденциальной информации и создание скрытого VPN-соединения для последующей эксфильтрации этих данных.

Признаки эксплуатации: Zyxel отмечает факты эксплуатации уязвимости. По данным CERT-Bund, уязвимость активно используется для распространения программы-вымогателя Helldown, среди потенциальных жертв которой — 32 компании по всему миру.

Количество потенциальных жертв: все пользователи межсетевых экранов Zyxel ATP и USG FLEX с прошивкой ZLD версий от 4.32 до 5.38.

Публично доступные эксплойты: нет в открытом доступе.

Способы устранения, компенсирующие меры: пользователям рекомендуется обновить уязвимые версии прошивки и изменить учетные данные администратора.

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов, что позволяет своевременно принять меры для устранения наиболее опасных из них и защитить инфраструктуру компании. Кроме того, мы рекомендуем использовать межсетевые экраны уровня веб-приложений, например PT Application Firewall, которые позволяют обезопасить общедоступные ресурсы.

В дайджесте приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 30 ноября 2024 года.