В июльском дайджесте мы отнесли к трендовым три уязвимости. Это самые опасные недостатки безопасности, которые либо уже активно эксплуатируются злоумышленниками прямо сейчас, либо могут быть использованы ими в ближайшее время.
Одна из этих уязвимостей используется во время фишинговых атак на пользователей продуктов Windows, а использование другой приводит к удаленному выполнению кода на многопользовательских системах UNIX, на которых присутствует программное обеспечение Ghostscript. Эксплуатация последней уязвимости приводит к удаленному выполнению кода в гиперконвергентной платформе Acronis Cyber Infrastructure (ACI).
UNIX-система – семейство операционных систем (Mac OS X, GNU/Linux).
Гиперконвергентная система — ИТ-инфраструктура, объединенная программными средствами в единое целое и управляемая через единую панель администрирования.
Подробнее про эти уязвимости, случаи их использования и способы устранения читайте в дайджесте.
Подробнее об этих уязвимостях
Уязвимость в движке для обработки и отображения HTML-страниц Windows MSHTML Platform
CVE-2024-38112 (оценка по CVSS — 7,5, высокий уровень опасности)
Уязвимость потенциально затрагивает, все устройства под управлением Windows (Windows 10, Windows 11, Windows Server 2022 и т.д.), на которых не установлены июльские обновления безопасности. По оценкам The Verge всего существует около миллиарда устройств под управлением Windows, что даёт оценку масштаба проблемы.
Эксплуатация уязвимости позволяет ввести пользователя в заблуждение, отправив зловредное вложение под видом PDF-файла, и может привести к раскрытию конфиденциальной информации. Злоумышленники могут использовать фишинг, отправляя электронные письма с опасными вложениями или ссылками, ведущими на подконтрольные им ресурсы.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.
Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.
Публично доступные эксплойты: есть в открытом доступе.
Способы устранения, компенсирующие меры: скачать и установить официальные обновления безопасности Windows.
Уязвимость в программном обеспечении для преобразования документов Ghostscript, Artifex
CVE-2024-29510 (оценка по CVSS — 6,3, средний уровень опасности)
Программное обеспечение Ghostscript присутствует практически на всех UNIX-узлах, а также в значительной части Windows-узлов и в прошивке разнообразных устройств.
Уязвимость Ghostscript связана с выходом операции записи за границы буфера памяти. Эксплуатация недостатка безопасности может позволить нарушителю выполнить выход из изолированной программной среды. Таким образом злоумышленник может взломать сервис, который использует форматы PostScript или PDF, а также изменить файлы, в частности их зашифровать.
Признаки эксплуатации: есть свидетельства эксплуатации.
Публично доступные эксплойты: есть в открытом доступе; добавлены в Metasploit — популярный инструмент для пентестеров.
Способы устранения, компенсирующие меры: лучший способ устранения этой уязвимости — обновить Ghostscript до версии 10.03.1 (например, для Debian, Ubuntu, Fedora).
Ghostscript — набор программного обеспечения для обработки, преобразования и генерации документов; позволяет интерпретировать язык PostScript и документы PDF.
Уязвимость, связанная с выполнением произвольного кода в гиперконвергентной платформе Acronis Cyber Infrastructure
CVE-2023-45249 (оценка по CVSS — 9,8, критически опасная уязвимость)
Согласно официальной статистике компании, сервисы Acronis, среди которых и ACI, используют около 20 000 сервис-провайдеров. Уязвимость может коснуться пользователей устаревших версий.
Уязвимость удаленного запуска кода в ACI вызвана тем, что злоумышленник может использовать пароль по умолчанию. Эксплуатация недостатка безопасности позволяет неавторизованному преступнику получить доступ к серверу ACI и выполнить на нем произвольный код. В результате он может получить полный контроль над системой с целью дальнейшего развития атаки.
Признаки эксплуатации: зафиксированы факты эксплуатации.
Публично доступные эксплойты: нет в открытом доступе.
Способы устранения, компенсирующие меры: скачать и установить официальные обновления безопасности Acronis.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.
В дайджесте приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 31 июля 2024 года.