Эксперты Positive Technologies отнесли к трендовым девять уязвимостей. Среди них уязвимости, обнаруженные в продуктах Microsoft и VMware, Linux, VPN-шлюзе от Check Point Software Technologies и в программном обеспечении Veeam Backup Enterprise Manager.
Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, которые нужно быстро устранить или против которых следует незамедлительно принять компенсирующие меры. Они либо уже активно использовались злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода и т. п. Выявлять такие недостатки безопасности в инфраструктуре компании помогает система управления уязвимостями нового поколения — MaxPatrol VM, информация о них поступает в продукт в течение 12 часов.
Три уязвимости Windows, описанные ниже, потенциально затрагивают, согласно данным The Verge, около миллиарда устройств. Они позволяют злоумышленнику получить максимальные привилегии в системе и продолжить развивать атаку. Последствия могут коснуться всех пользователей устаревших версий Windows.
Уязвимость связана с переполнения буфера, при котором осуществляется зловредная перезапись памяти в куче (отнесена в категорию CWE-122). Это происходит из-за некорректной работы с памятью в службе кэширования CSC.
Уязвимость в службе для отправки сообщений об ошибках (Windows Error Reporting), приводящая к повышению привилегий
CVE-2024-26169 (оценка по CVSS — 7,8)
Уязвимость обнаружена в службе регистрации ошибок Windows[1] и определена в категорию CWE-269. Этот недостаток безопасности связан с тем, что служба неправильно назначает, изменяет, отслеживает или проверяет привилегии пользователя, из-за чего у злоумышленников появляется возможность его эксплуатировать.
Уязвимость ядра Windows, приводящая к повышению привилегий
CVE-2024-30088 (оценка по CVSS — 7,0)
Уязвимость вызвана недостатком безопасности в реализации подпрограммы NtQueryInformationToken[2]. Проблема возникает из-за отсутствия правильной блокировки при выполнении операций над объектом.
Для устранения перечисленных выше уязвимостей Microsoft рекомендует установить соответствующие обновления безопасности: CVE-2024-26229, CVE-2024-26169, CVE-2024-30088.
Уязвимость в подсистеме межсетевого экрана netfilter ядра Linux, приводящая к повышению привилегий
CVE-2024-1086 (оценка по CVSS — 7,8)
Уязвимость в Linux потенциально затрагивает, согласно данным Steam Hardware & Software Survey, более полутора миллионов устройств.
Она вызвана ошибкой работы с оперативной памятью[3]. Ее эксплуатация позволяет авторизованному в системе злоумышленнику повысить привилегии до уровня root (то есть до максимальных). Это может привести к развитию атаки и реализации недопустимых для организации событий.
Для устранения уязвимости необходимо следовать инструкции на официальной странице kernel.org.
Уязвимости, связанные с удаленным выполнением кода в VMware vCenter
CVE-2024-37080 и CVE-2024-37079 (оценка по CVSS — 9,8)
По данным Shadowserver, в сети работает более 2000 узлов vCenter.
Эксплуатация уязвимостей позволяет неаутентифицированному злоумышленнику выполнить произвольный код на сервере VMware vCenter и получить полный контроль над системой с целью дальнейшего развития атаки. Эти недостатки безопасности вызваны ошибкой работы с памятью в реализации протокола системы удаленного вызова процедур DCE (RPC)[4].
Для устранения уязвимости необходимо скачать обновление на официальной странице VMware.
Уязвимость, связанная с удаленным выполнением кода в языке PHP при применении пользователем Apache и PHP CGI в Windows
CVE-2024-4577 (оценка по CVSS — 9,8)
Эксплуатация уязвимости позволяет злоумышленнику выполнить удаленный код (remote code execution, RCE) в системе. В результате он может получить полный контроль над ней с целью дальнейшего развития атаки.
Уязвимость возникает из-за различия в интерпретации символа «мягкий перенос» у Apache и языка PHP. Apache воспринимает символ как мягкий перенос, в то время как PHP применяет так называемый метод наилучшего соответствия и считает, что пользователь при вводе мягкого дефиса на самом деле намеревался ввести настоящий дефис.[5]
Для устранения уязвимости необходимо следовать инструкции на официальной странице PHP.
Уязвимость, связанная с раскрытием информации в VPN-шлюзах Check Point Sofrtware Technologies
CVE-2024-24919 (оценка по CVSS — 8,6)
Эксплуатируя уязвимость, неаутентифицированный злоумышленник может получить доступ к чувствительной информации, хранящейся на сервере.
Уязвимость возникает из-за того, что в исходном коде приложения некорректно проверяется адрес, который запрашивает пользователь: в процессе валидации используется функция, которая проверяет вхождение одной строки в другую, а не полное равенство.
Для устранения уязвимости необходимо скачать обновление на официальной странице Check Point Software Technologies.
Уязвимость обхода аутентификации в Veeam Backup Enterprise Manager
CVE-2024-29849 (оценка по CVSS — 9,8)
Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику получить доступ к любой учетной записи сервера Veeam Backup Enterprise Manager.
Недостаток безопасности возникает из-за того, что пользователь контролирует адрес сервера с технологией единого входа (SSO), на котором происходит проверка введенных данных, и имя пользователя, под которым он хочет аутентифицироваться. В связи с этим злоумышленник может установить свой вредоносный сервер, который будет подтверждать все запросы. После этого преступник может отправить форму, где вместо своего имени он ставит произвольное, в том числе администратора системы.
Для устранения уязвимости необходимо скачать обновление на официальной странице Veeam.
[1] Подсистема современной Windows, служащая для отправки сообщений об ошибках в Microsoft. Используется в версиях для настольных компьютеров начиная с Windows XP и в Windows Mobile версий 5 и 6.
[2] Подпрограмма NtQueryInformationToken извлекает сведения указанного типа о маркере доступа.
[3] UAF (Use-After-Free) — уязвимость, связанная с некорректным использованием динамической памяти в процессе работы программы: при освобождении ячейки памяти указатель на нее не обнуляется, что позволяет хакерам воспользоваться ею в своих целях.
[4] DCE (RPC) — система удаленного вызова процедур, разработанная для Distributed Computing Environment.
[5] Информация взята из исследования watchTowr Labs.
