Дисклеймер!

Внимание! Вся представленная информация предназначена для ознакомительного изучения. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации.

Заканчивается апрель 2022 года, пора подвести итоги и посмотреть на новые и интересные вышедшие CVE за последний месяц.

7-Zip. Уязвимость эскалации привилегий (CVE-2022-29072)

В популярном и бесплатном архиваторе 7-Zip для операционной системы Windows исследователь Каган Чагар (Kağan Çapar) обнаружил уязвимость, позволяющую локальному пользователю с ограниченными правами повысить свои привилегии до уровня NT AUTHORITY SYSTEM. Для этого пользователю необходимо переместить специально созданный файл в область графического интерфейса 7-Zip в раздел справки Help, в подменю Contents. Проблема возникает из-за неправильной конфигурации библиотеки 7z.dll и как следствие приводит к переполнению буфера в процессе 7zFM.exe. Исследователь рекомендует удалить файл контекстной помощи 7-zip.chm, чтобы таким способом решить проблему эксплуатации этой CVE.

NVD оценивает найденную уязвимость в 7.8 балла по шкале CVSS 3.1.

Подробнее:

1.1)  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29072

1.2)  https://github.com/kagancapar/CVE-2022-29072

1.3)  https://nvd.nist.gov/vuln/detail/CVE-2022-29072

1.4)  https://sourceforge.net/p/sevenzip/bugs/2337/?page=0

1.5)  https://www.youtube.com/watch?v=sT1cvbu7ZTA

1.6)  https://news.ycombinator.com/item?id=31070256

Microsoft. Удаленное выполнение кода (RCE) в Microsoft RPC (CVE-2022-26809)

В Microsoft Remote Procedure Call (RPC) была обнаружена критическая уязвимость, позволяющая потенциальному злоумышленнику без прохождения процесса аутентификации произвести удаленное выполнение произвольного кода с привилегиями службы RPC. Обнаруженная CVE оценена вендором в 9.8 балла по стандарту CVSS 3.1. Также стоит отметить, что найденная уязвимость потенциально может использоваться в широкомасштабных атаках, как было, например, с эпидемией WannaCry в 2017 году.

Подробнее:

2.1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26809

2.2) https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809

2.3) https://www.pwndefend.com/2022/04/14/cve-2022-26809/

Google. Уязвимость type confusion в JavaScript движке V8 (CVE-2022-1364)

В известном движке JavaScript V8 исследователем Клементом Лесинем (Clément Lecigne), из группы анализа угроз Google, была обнаружена уязвимость «путаницы типов» (type confusion), которая вызывает появление логических ошибок при обработке переменных, указателей или объектов, что впоследствии может привести к интерпретации одного и того же ресурса несколькими способами. В связи с тем, что эксплоит используется в «дикой природе», то технические детали найденной уязвимости не раскрываются, а также рекомендуется проверить наличие обновлений
у браузеров, использующих JS движок V8. Коллеги из vuldb.com оценили CVE в 6.0 балла по шкале CVSS 3.1.

Подробнее:

3.1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1364

3.2) https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_14.html

3.3) https://vuldb.com/ru/?id.197551

3.4) https://cwe.mitre.org/data/definitions/843.html

BusyBox. Уязвимость удаленного выполнения кода (CVE-2022-28391)

В знаменитом наборе консольных утилит BusyBox версии 1.35.0 обнаружена уязвимость, позволяющая удаленному злоумышленнику выполнить произвольный код, если апплет netstat используется для вывода значения записи DNS PRT на терминал, совместимый с VT. Busybox поставляется с включенным апплетом netstat, который уязвим для инъекции «управляющей последовательности» (escape sequence). Для успешной эксплуатации описанной уязвимости PTR для удаленного хоста должен содержать управляющую последовательность, а атакуемый пользователь должен запустить netstat. NVD оценила CVE-2022-28391 в 9.8 балла по стандарту CVSS 3.1.

Подробнее:

4.1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-28391

4.2) https://gitlab.alpinelinux.org/alpine/aports/-/issues/13661

4.3) https://git.alpinelinux.org/aports/plain/main/busybox/0001-libbb-sockaddr2str-ensure-only-printable-characters-.patch

4.4) https://git.alpinelinux.org/aports/plain/main/busybox/0002-nslookup-sanitize-all-printed-strings-with-printable.patch

4.5) https://nvd.nist.gov/vuln/detail/CVE-2022-28391

McAfee, LLC. McAfee Agent. CVE-2022-1256, CVE-2022-1257 и CVE-2022-1258

В программном обеспечении McAfee Agent до версии 5.7.6 были обнаружены три уязвимости: локальное повышение привилегий, небезопасное хранение конфиденциальной информации и слепая SQL инъекция.

CVE-2022-1256. Уязвимость локального повышения привилегий в McAfee Agent для Windows позволяет локальному низкопривилегированному пользователю получить системные привилегии путем запуска функции восстановления. Вендор оценил найденную уязвимость в 7.8 балла по шкале CVSS 3.1.

CVE-2022-1257. Уязвимость небезопасного хранения конфиденциальной информации в McAfee Agent для Linux, macOS и Windows позволяет локальному пользователю получить доступ к конфиденциальной информации, хранящуюся в ma.db.

В исправленной версии программного обеспечения конфиденциальная информация была перемещена в зашифрованные файлы базы данных. CVE получила 6.1 балла по открытому стандарту CVSS 3.1 от вендора представленного ПО.

CVE-2022-1258. В расширении ePolicy Orchestrator (ePO) в McAfee Agent присутствует уязвимость слепой SQL инъекции, которая может быть использована аутентифицированным администратором на ePO для выполнения произвольных SQL запросов во внутренней базе данных, что потенциально может привести к выполнению команд на сервере. Описанная уязвимость получила 8.4 балла
по шкале CVSS 3.1 от производителя антивирусного ПО.

Подробнее:

5.1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1256

5.2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1257

5.3) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1258

5.4) https://kc.mcafee.com/corporate/index?page=content&id=SB10382

Cisco Systems, Inc. Cisco IP Phone, Cisco Web Security Appliance и Cisco Identity Services Engine.CVE-2022-20774, CVE-2022-20781 и CVE-2022-20782

У производителя сетевого оборудования Cisco в различных программных продуктах были обнаружены три уязвимости со средней степенью критичности.

CVE-2022-20774. Уязвимость в веб-интерфейсе управления Cisco IP Phone 6800, 7800 и 8800 Series с мультиплатформенной прошивкой позволяет удаленному не прошедшему процедуру аутентификации злоумышленнику провести атаку подделки межсайтового запроса (CSRF) против пользователя уязвимой системы. Нарушитель может использовать обнаруженную уязвимость, убедив пользователя перейти по поддельной ссылке. При успешной эксплуатации появляется возможность изменить конфигурацию атакуемого устройства, что может привести к отказу в обслуживании (DoS). Cisco присвоила описанной уязвимости 6.8 балла по шкале CVSS 3.1.

CVE-2022-20781. С помощью уязвимости в веб-интерфейсе управления Cisco AsyncOS Software для Cisco Web Security Appliance (WSA) удаленный аутентифицированный злоумышленник может провести атаку хранимого (stored) межсайтового выполнения сценариев (XSS). Успешная эксплуатация позволяет нарушителю выполнить произвольный код сценария в контексте атакуемого интерфейса. Обнаруженная уязвимость оценена в 5.4 балла по стандарту CVSS 3.1
от вендора.

CVE-2022-20782. В веб-интерфейсе управления Cisco Identity Services Engine (ISE) присутствует уязвимость получения конфиденциальной информации удаленным аутентифицированным нарушителем. Такая возможность существует благодаря неправильному применению уровней административных привилегий. Злоумышленник с ограниченными административными правами, только для чтения (read-only), в веб-интерфейсе управления может собрать информацию о конфигурации системы. Cisco оценила обнаруженную уязвимость в 6.5 балла по CVSS 3.1.

Подробнее:

6.1.1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-20774

6.1.2) https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voip-phone-csrf-K56vXvVx

6.2.1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-20781

6.2.2) https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-stored-xss-XPsJghMY

6.3.1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-20782

6.3.2) https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-info-exp-YXAWYP3s

npm-dependency-versions. Уязвимость внедрения команд (CVE-2022-29080)

Пакет npm-dependency-versions версии 0.3.0 для Node.js позволяет злоумышленнику внедрять команды при помощи вызова экспортируемого метода dependencyVersions с объектом JSON, в котором ключом является слово pkgs, а в значении присутствуют метасимволы shell’а. National Vulnerability Database присвоила найденной уязвимости 9.8 балла по шкале CVS 3.1.

Подробнее:

7.1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29080

7.2) https://github.com/barneycarroll/npm-dependency-versions/issues/6

7.3) https://nvd.nist.gov/vuln/detail/CVE-2022-29080

Apache APISIX. Раскрытие конфиденциальной информации (CVE-2022-29266)

В программном обеспечении Apache APISIX до версии 3.13.1 плагин jwt-auth имеет уязвимость утечки секретного ключа пользователя. Злоумышленник может получить настроенный плагином секрет через ответ на сообщение об ошибке, отправив неверный JSON Web Token. Проблема заключается в библиотеке lua-resty-jwt, которая позволяет отправить токен RS256 на конечную точку, требующую токен HS256, при этом исходное значение секретного ключа будет в ответе на ошибку. Исследователь Зепинг Бай (Zeping Bai) присвоил критический уровень важности найденной уязвимости.

Подробнее:

8.1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29266

8.2) https://www.openwall.com/lists/oss-security/2022/04/20/1

Vim. Уязвимость переполнения буфера (CVE-2022-1381)

В популярном текстовом редакторе vim до версии 8.2.4763 присутствует уязвимость глобального переполнения буфера на основе кучи в skip_range. Успешная эксплуатация уязвимости может привести к сбою программного обеспечения, обходу механизмов защиты модификации памяти и к возможности удаленного выполнения кода. Специалисты с ресурса huntr.dev оценили уязвимости в 7.8 балла по шкале CVSS 3.1.

Подробнее:

9.1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1381

9.2) https://huntr.dev/bounties/55f9c0e8-c221-48b6-a00e-bdcaebaba4a4/

9.3) https://github.com/vim/vim/commit/f50808ed135ab973296bca515ae4029b321afe47

Amazon AWS. Amazon SSM Agent. CVE-2022-29527

Программное обеспечение Amazon Simple Systems Manager (SSM) Agent до версии 3.1.1208.0 содержит уязвимость эскалации привилегий. Amazon SSM Agent создает перезаписываемый файл sudoers, что позволяет локальным нарушителям внедрить правила sudo и повысить свои привилегии до root. Эксплуатация происходит при определенных ситуациях, связанных с «состоянием гонки» (race condition). Уязвимость получила 8.4 балла по шкале CVSS 3.1. от коллег из SUSE.

Подробнее:

10.1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29527

10.2) https://bugzilla.suse.com/show_bug.cgi?id=1196556

10.3) https://github.com/advisories/GHSA-87pw-p9qx-p46w

10.4) https://github.com/aws/amazon-ssm-agent/commit/0fe8ae99b2ff25649c7b86d3bc05fc037400aca7

Комментарии (3)


  1. The_Kf
    04.05.2022 13:48
    +1

    Только уязвимости CVE-2022-29072 на самом деле не существует: twitter.com/wdormann/status/1521237068336316417


  1. Kremleb0t
    04.05.2022 14:06

    Сколько себя помню, всю жизнь у винды в RPC было remote code execution. Наверное так будет и в 2050 году.


    1. Aleksandr-JS-Developer
      04.05.2022 14:53

      100%, но если доживём