За январь мы отнесли к трендовым Это уязвимости, которые активно используются в атаках или с высокой вероятностью будут использоваться в ближайшее время. Их нужно быстро устранять или принимать против них компенсирующие меры. Мы выделяем их из большого количества уязвимостей, которые появляются каждый день. Информация о таких уязвимостях поступает в систему MaxPatrol VM в течение 12 часов. шесть уязвимостей.
По четырем из них есть признаки эксплуатации в реальных кибератаках:
- уязвимость, связанная с удаленным выполнением кода (Remote Code Execution) в Atlassian Confluence, CVE-2023-22527 (балл по CVSS — 10,0);
- уязвимость, связанная с удаленным выполнением кода (Remote Code Execution) в VMware vCenter Server, CVE-2023-34048 (балл по CVSS — 9,8);
- уязвимость, связанная с получением контроля над чужой учетной записью (Authentication Bypass) в GitLab CE/EE, CVE-2023-7028 (балл по CVSS — 10,0);
- уязвимость, приводящая к произвольному чтению файлов (Arbitrary File Reading) в Jenkins CLI, CVE-2024-23897 (балл по CVSS — 9,8).
Вероятно, вскоре в атаках будут использоваться и две другие трендовые уязвимости:
- уязвимость, связанная с удаленным выполнением кода (Remote Code Execution) в Junos OS, CVE-2024-21591 (балл по CVSS — 9,8);
- уязвимость, связанная с раскрытием информации (Information Disclosure) в Microsoft Outlook, CVE-2023-35636 (балл по CVSS — 6,5).
Подробнее об этих уязвимостях
- Уязвимость, связанная с удаленным выполнением кода (Remote Code Execution) в Atlassian Confluence
CVE-2023-22527 (балл по CVSS — 10,0)
Atlassian Confluence — корпоративная веб-вики, разработанная австралийской компанией — разработчиком программного обеспечения Atlassian; используется для создания единой базы знаний организации. Уязвимость удалённого выполнения произвольного кода в Atlassian Confluence позволяет неаутентифицированному злоумышленнику удаленно выполнить произвольный код на сервере Confluence. Уязвимость затрагивает версии, выпущенные до 5 декабря 2023 года, в том числе те, которые уже не имеют официальной поддержки от вендора.
Случаи эксплуатации: на момент публикации бюллетеня безопасности компания Atlassian заверяла, что никаких подтверждений активного использования данной уязвимости в реальных атаках, а также каких-либо индикаторов компрометации (IoC), которые помогли бы обнаружить уязвимость, нет. По информации службы мониторинга угроз Shadowserver, с 19 января 2024 года было зафиксировано более 39 000 попыток эксплуатации уязвимости с 602 различных IP-адресов.
Количество потенциальных жертв: с помощью поисковой системы Netlas было обнаружено более 14 000 инсталляций Atlassian Confluence, из них более 1200 — на российских IP-адресах.
Публично доступные эксплойты: есть.
Способы устранения, компенсирующие меры: для устранения уязвимости необходимо установить актуальные версии компонентов продукта, загрузив обновления с сайта разработчика. Тем, кто не может немедленно установить доступные обновления, рекомендуется перевести системы в автономный режим, а также создать резервную копию данных за пределами экземпляра Confluence.
- Уязвимость, связанная с удаленным выполнением кода (Remote Code Execution) в VMware vCenter Server
CVE-2023-34048 (балл по CVSS — 9,8)
VMware vCenter Server — это приложение для централизованного управления средами VMware vSphere и построения виртуальной облачной инфраструктуры. Уязвимость CVE-2023-34048 является ошибкой записи за пределами выделенного блока (out-of-bounds write) и позволяет злоумышленнику с доступом к сети vCenter Server выполнить произвольный код.
Уязвимость была обнаружена в октябре 2023 года. Вскоре после ее обнаружения компания VMware выпустила обновления, исправляющие эту уязвимость, а также некоторые другие. Ввиду серьезности проблемы компания выпустила патчи даже для старых версий продукта, срок поддержки которых уже истек. На момент обнаружения не было подтвержденных случаев использования этой уязвимости, однако 17 января 2024 года VMware обновила свои рекомендации по устранению последствий, в которых подтвердила факты эксплуатации уязвимости при проведении кибератак.
Случаи эксплуатации: эксперты Mandiant сообщают, что уязвимость использовалась китайской киберпреступной группировкой UNC3886 еще с конца 2021 года. По информации Mandiant, UNC3886 известна тем, что фокусируется на организациях оборонного, правительственного, телекоммуникационного и технологического секторов в США и регионе APJ (Asia-Pacific and Japan).
Количество потенциальных жертв: по информации Enlyft, более 10 000 компаний по всему миру используют vCenter Server, 43% из них — большого размера (более 1000 сотрудников). Чаще всего данные продукты используются в отрасли информационных технологий (33%), финансовом секторе (4,3%) и в области медицины (3,6%).
Публично доступные эксплойты: нет.
Способы устранения, компенсирующие меры: для устранения уязвимости необходимо следовать рекомендациям экспертов вендора и обновить VMware vCenter Server до актуальной версии.
- Уязвимость, связанная с получением контроля над чужой учетной записью (Authentication Bypass) в GitLab CE/EE
CVE-2023-7028 (балл по CVSS — 10,0)
GitLab CE/EE — это система управления репозиториями Git для совместной разработки проектов. Уязвимость GitLab CE/EE позволяет получить контроль над чужой учетной записью путем манипуляций с формой восстановления пароля. Злоумышленник может отправить письмо с кодом для сброса пароля на заранее подготовленный неподтвержденный адрес электронной почты. Для эксплуатации уязвимости необходимо, чтобы у учетной записи была отключена двухфакторная аутентификация, либо злоумышленник должен обойти двухфакторную аутентификацию при помощи социальной инженерии или другим способом.
Случаи эксплуатации: компания GitLab заявляла, что на момент публикации бюллетеня безопасности случаев активной эксплуатации для данной уязвимости обнаружено не было.
Количество потенциальных жертв: с помощью поисковой системы Netlas было обнаружено более 89 000 инсталляций Gitlab, из них около 10 000 — на российских IP-адресах.
Публично доступные эксплойты: есть.
Способы устранения, компенсирующие меры: для исправления уязвимости необходимо следовать рекомендациям разработчиков и обновить GitLab до актуальной версии. Кроме того, всем пользователям следует настроить двухфакторную аутентификацию для повышения уровня защищенности аккаунта. Компания предложила способ проверки аккаунтов на факт компрометации: необходимо проверить файл gitlab-rails/production_json.log на наличие HTTP-запросов к пути /users/password с параметром params.value.email, состоящим из массива JSON с несколькими адресами электронной почты. Следует также проверить файл gitlab-rails/audit_json.log на наличие записей с meta.caller.id из PasswordsController#create и target_details, состоящих из массива JSON с несколькими адресами электронной почты.
Стоит отметить, что риск эксплуатации с уязвимости при использовании двухфакторной аутентификации сохраняется.
- Уязвимость, связанная с произвольным чтением файлов (Arbitrary File Reading) в Jenkins CLI
CVE-2024-23897 (балл по CVSS — 9,8)
Jenkins — программная система с открытым исходным кодом на Java, предназначенная для обеспечения процесса непрерывной интеграции программного обеспечения. Эксплуатация уязвимости в модуле CLI позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, прочесть произвольный файл либо выполнить произвольный код на сервере Jenkins.
Компания выпустила исправления для девяти уязвимостей в системе безопасности, в числе которых есть CVE-2024-23897, 24 января.
Случаи эксплуатации: некоторые эксперты сообщают, что их серверы-приманки Jenkins уже подверглись атакам — а значит, хакеры уже начали эксплуатировать уязвимость. Есть сообщения об успешной эксплуатации.
Количество потенциальных жертв: по информации Enlyft, во всем мире найдено более 77 000 компаний, использующих Jenkins. Бо́льшая часть из них находится в США (45%), Индии (7%) и Великобритании (7%). Распределение компаний, использующих Jenkins, по размеру (количеству сотрудников), выглядит следующим образом: 35% — малого размера (менее 50 работников), 46% — среднего размера, а также 18% компаний — большого размера (более 1000 сотрудников).
Исследователи Shadowserver сообщают, что в сети обнаружено около 45 000 непропатченных экземпляров Jenkins, большинство из которых находятся в Китае (12 000) и США (11 830).
Публично доступные эксплойты: есть.
Способы устранения, компенсирующие меры: для устранения уязвимости необходимо следовать рекомендациям разработчиков компании Jenkins и установить актуальную версию продукта. Тем, у кого нет возможности в ближайшее время установить обновления, рекомендуется отключить доступ к CLI.
- Уязвимость, связанная с удаленным выполнением кода (Remote Code Execution) в Junos OS
CVE-2024-21591 (балл по CVSS — 9,8)
Junos OS — это операционная система, созданная на основе FreeBSD и используемая в оборудовании компании Juniper Networks. Уязвимость в веб-интерфейсе данной ОС вызвана ошибкой работы с памятью, позволяющей злоумышленнику записывать данные в произвольные участки памяти за пределами выделенного блока. Успешная эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику выполнить произвольный код на устройстве либо вызвать отказ в обслуживании.
Случаи эксплуатации: Случаев эксплуатации уязвимости на практике не выявлено.
Количество потенциальных жертв: сообщается, что обнаружено более 10 000 устройств Juniper с веб-интерфейсом, доступным через интернет, бо́льшая часть из них находится в Азии (Южная Корея, Гонконг, Китай) и США. Кроме того, большинство из них доступны по стандартным портам: 443, 80 и 8080.
Публично доступные эксплойты: нет.
Способы устранения, компенсирующие меры: для исправления уязвимости рекомендуется как можно скорее установить патч. Если возможности установить патч нет, компания Juniper рекомендует отключить функцию веб-интерфейса или ограничить доступ к нему, оставив возможность только для определенных доверенных узлов.
- Уязвимость, приводящая к раскрытию информации (Information Disclosure) в Microsoft Outlook
CVE-2023-35636 (балл по CVSS — 6,5)
Microsoft Outlook — персональный информационный менеджер с функциями почтового клиента, входящий в пакет офисных программ Microsoft Office. Уязвимость раскрытия информации в Microsoft Outlook позволяет злоумышленнику получить NTLMv2-хеши пользователей. Для эксплуатации уязвимости злоумышленник может применять несколько сценариев атаки: с использованием Microsoft Outlook, обработчиков URI и WPA и проводника Windows. В сценарии атаки по электронной почте злоумышленнику необходимо отправить пользователю специально созданный файл или ссылку и убедить его открыть содержимое. В ходе веб-атаки злоумышленник создает вредоносный сайт и отправляет жертве фишинговое электронное письмо с ссылкой на вредоносный ресурс. Переход по ссылке приводит к автоматическому перенаправлению на полезную нагрузку.
Случаи эксплуатации: хотя официальных заявлений об использовании уязвимости для проведения атак нет, Outlook остается привлекательной целью для злоумышленников: этот инструмент электронной почты и календаря (по умолчанию для пакета Microsoft 365), используется миллионами людей по всему миру как для работы, так и для личных целей.
Количество потенциальных жертв: по заявлению экспертов, Microsoft Outlook используют более 3,17 миллиона компаний по всему миру с суммарным числом пользователей более 400 миллионов. Из них 35% — небольшие компании (менее 50 сотрудников), 47% — среднего размера и 17% — крупные компании (1000 сотрудников и более).
Публично доступные эксплойты: нет.
Способы устранения, компенсирующие меры: для устранения уязвимости необходимо следовать рекомендациям экспертов Microsoft и установить патч, выпущенный 12 декабря 2023 года.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Трендовые уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет своевременно принять меры по устранению наиболее опасных уязвимостей и защитить инфраструктуру компании.
В дайджесте представлены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация об уязвимостях и публично доступных эксплойтах представлена по состоянию на 31 января 2024 года.