Хабр, привет! Я Александр Леонов, и мы с командой аналитиков Positive Technologies каждый месяц изучаем информацию о недостатках безопасности из баз, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и определяем трендовые уязвимости. То есть те, которые либо уже эксплуатируются вживую, либо могут начать эксплуатироваться в ближайшее время.

Сегодня расскажу про самые опасные в марте. Всего их было пять:

• Уязвимость обхода аутентификации в TeamCity, приводящая к удаленному выполнению кода (CVE-2024-27198).

• Уязвимости Microsoft: уязвимость ядра Windows, приводящая к повышению привилегий (CVE-2024-21338); уязвимость Windows Common Log File System Driver, приводящая к повышению привилегий (CVE-2023-36424); уязвимость, связанная с удаленным выполнением кода в Microsoft Outlook (CVE-2024-21378).

• Уязвимость, связанная с удаленным внедрением SQL-кода в FortiClient EMS (CVE-2023-48788).

Уязвимость обхода аутентификации в TeamCity, приводящая к удаленному выполнению кода (CVE-2024-27198)

(❗ Оценка по CVSS — 9,8; критически опасная уязвимость)

TeamCity — это популярный инструмент непрерывной интеграции и развертывания для разработчиков и DevOps-инженеров. Если вы работаете в компании, которая занимается разработкой софта, велики шансы, что TeamCity у вас используется.

Информация о недостатке безопасности и его подробное описание от компании Rapid7 появились в начале марта. Всего через несколько часов после этого скрипт для эксплуатации оказался на гитхабе. Он очень простой и сводится к созданию аккаунта администратора одним запросом.

Естественно, вскоре недостаток безопасности начали активно эксплуатировать злоумышленники.

Главная опасность заключается в том, что TeamCity используется в компаниях для сборки софта. Скомпрометировав TeamCity, злоумышленники могут попытаться внедрить в эти сборки вредоносную программу. И такой «затрояненный» софт уйдет ничего не подозревающим клиентам. В результате может быть реализована так называемая атака на цепочку поставок, когда злоумышленник, ломая вендора софта, получает доступ к инфраструктуре его клиентов.

Количество потенциальных жертв: по данным Shodan, в сети работает более 20 000 устройств, ассоциирующихся с TeamCity.

Публично доступные эксплойты: есть в открытом доступе.

?️ Способы устранения и компенсирующие меры: 4 марта компания JetBrains выпустила версию TeamCity 2023.11.4, содержащую исправления CVE-2024-27198.

Поэтому, если в вашей организации используется TeamCity, обязательно обновляйтесь или импортозамещайтесь!

Уязвимости Microsoft

Уязвимость ядра Windows, приводящая к повышению привилегий (CVE-2024-21338)

(❗ Оценка по CVSS — 7,8; высокий уровень опасности)

Была исправлена в февральском Microsoft Patch Tuesday. Опасность уязвимости резко повысилась 28 февраля после выхода подробной статьи от компании Avast.

В ней эксперты утверждают, что недостаток безопасности длительное время эксплуатировался злоумышленниками из группировки Lazarus. Они использовали его совместно с руткитом FudModule, добиваясь более незаметного для детектирования повышения привилегий. Затем руткит выполнял прямую манипуляцию объектами ядра для отключения систем защиты, сокрытия злонамеренных действий и обеспечения устойчивости в зараженной системе.

Исследователи из Avast разработали код (proof of concept) для эксплуатации уязвимости и сообщили о ней в Microsoft еще в августе 2023 года. Как видим, компании понадобилось семь месяцев, чтобы исправить проблему. Первоначально в февральском Microsoft Patch Tuesday не было указано, что недостаток безопасности эксплуатируется вживую. Microsoft исправили ошибку в описании только после выхода статьи.

Признаки эксплуатации: Microsoft зафиксировала факты эксплуатации уязвимости. По данным отчета Avast, ее использовала группировка Lazarus.

Количество потенциальных жертв: все пользователи устаревшей версии Windows.

Публично доступные эксплойты: есть в открытом доступе.

Уязвимость Windows Common Log File System Driver, приводящая к повышению привилегий (CVE-2023-36424)

(❗ Оценка по CVSS — 7,8; высокий уровень опасности)

Была исправлена в рамках Microsoft Patch Tuesday в ноябре 2023 года, и на тот момент исследователи ее никак не выделяли. Однако 21 марта на GitHub выложили технический анализ этой уязвимости и код эксплойта. Эксплуатация позволяет авторизованному злоумышленнику повысить привилегии до уровня SYSTEM. После этого он может получить полный контроль над узлом.

Признаки эксплуатации: Microsoft не зафиксировала фактов эксплуатации.

Количество потенциальных жертв: все пользователи устаревшей версии Windows.

Публично доступные эксплойты: есть в открытом доступе.

Уязвимость, связанная с удаленным выполнением кода в Microsoft Outlook (CVE-2024-21378)

(❗ Оценка по CVSS — 8,0; высокий уровень опасности)

Была исправлена в февральском Microsoft Patch Tuesday. Эксплуатация недостатка безопасности позволяет злоумышленнику удаленно добиться выполнения произвольного кода в системе жертвы при активации формы в Microsoft Outlook. Уровень опасности этой уязвимости повысился 11 марта после публикации исследования компании NetSPI.

В исследовании эксперты пишут, что обнаружили проблему в 2023 году. Получается, Microsoft потребовалось четыре с половиной месяца, чтобы выпустить исправления. В статье NetSPI приводится proof of concept кода для эксплуатации. Кроме того, исследователи обещают добавить функциональность по эксплуатации в опенсорсную утилиту Ruler.

Ruler — это инструмент, который позволяет удаленно взаимодействовать с серверами Exchange через протокол MAPI/HTTP или RPC/HTTP.

Основная задача утилиты — злоупотреблять клиентскими функциями Outlook и получать удаленный шелл.

Эта утилита используется для проведения пентестов. Но разумеется, ее могут эксплуатировать в своих атаках и злоумышленники.

Признаки эксплуатации: Microsoft не отметила фактов эксплуатации.

Количество потенциальных жертв: все пользователи необновленной версии Microsoft Outlook.

Публично доступные эксплойты: есть в открытом доступе.

Как видите, даже относительно старые недостатки безопасности могут внезапно стать «эксплуатабельными», поэтому не затягивайте с обновлениями. Разработчики Microsoft рекомендуют установить те, которые можно скачать на страницах, посвященных уязвимостям: CVE-2024-21378, CVE-2024-21338, CVE-2023-36424. Для специалистов по ИБ компания Microsoft также опубликовала руководство по обнаружению и устранению нарушений правил и форм Outlook.

Уязвимость, связанная с удаленным внедрением SQL-кода в FortiClient EMS (CVE-2023-48788)

(❗ Оценка по CVSS — 9,8; критически опасная уязвимость)

FortiClient — продукт от компании Fortinet, обеспечивающий безопасность настольных компьютеров, ноутбуков и мобильных устройств. А FortiClient EMS — сервер, предназначенный для управления инсталляциями этой программы. Через него можно централизованно настраивать, например, антивирус, веб-фильтрацию, контроль съемных носителей.

Опасность этого недостатка безопасности повысилась после выхода исследования и эксплойта компании Horizon3.ai. После этого Fortinet отметили, что он эксплуатируется вживую.

В ходе исследования специалисты выявили, что потенциально зараженные SQL-запросы можно отправлять на порт 8013 в FortiClient EMS, после чего они попадут к БД. В конечном счете злоумышленник может получить возможность удаленного выполнения кода на скомпрометированном узле.

Количество потенциальных жертв: по данным ShadowServer, в сети работает 1064 устройства, связанных с FortiClient EMS.

Публично доступные эксплойты: есть в открытом доступе.

?️ Способы устранения и компенсирующие меры: обновления, обеспечивающие защиту от CVE-2023-48788, можно скачать с официального сайта Fortinet.

Если вдруг вы используете FortiClient EMS, то обновляйтесь, а лучше — импортозамещайтесь!

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.

В дайджесте приведены примеры недостатков безопасности, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 30 марта 2024 года.

Александр Леонов

Ведущий эксперт лаборатории PT Expert Security Center