Хабр, привет! Уже по традиции я, Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center, рассказываю про трендовые уязвимости месяца. Мы с командой аналитиков Positive Technologies изучаем информацию из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо могут эксплуатироваться в ближайшее время.
Сегодня расскажу про самые опасные уязвимости мая. Всего их было четыре:
уязвимость, приводящая к удаленному выполнению кода в многоплатформенном опенсорсном инструменте для сбора и обработки журналов Fluent Bit (CVE-2024-4323);
уязвимость, приводящая к удаленному выполнению кода в корпоративной веб-вики Confluence (CVE-2024-21683);
уязвимости Microsoft, связанные с обходом функций безопасности в Windows MSHTML Platform (CVE-2024-30040) и повышением привилегий в Windows DWM Core Library (CVE-2024-30051).
Уязвимость, приводящая к удаленному выполнению кода в многоплатформенном опенсорсном инструменте для сбора и обработки журналов Fluent Bit
❗ Оценка CVE-2024-4323 по CVSS — 9,8, критически опасная уязвимость
Fluent Bit часто применяют в инфраструктурах крупных компаний, особенно в облачных провайдерах.
Уязвимость, получившую название Linguistic Lumberjack, обнаружили исследователи Tenable Research. Она связана с повреждением памяти во встроенном HTTP-сервере Fluent Bit. Он используется для мониторинга состояния Fluent Bit: аптайма, метрик плагинов, работоспособности. Оказалось, что определенные неаутентифицированные запросы к API сервера могут привести к отказу в обслуживании (DoS), утечке информации или удаленному выполнению кода (RCE). По мнению исследователей из Tenable Research, сделать надежный RCE-эксплойт будет непросто, но доказательство концепции (PoC) для DoS уже есть в публичном доступе, и, возможно, злоумышленники смогут его докрутить до RCE.
Уязвимость была исправлена в версии 3.0.4. Если в вашей организации используется Fluent Bit, обязательно обновитесь.
Признаки эксплуатации: нет информации.
Количество потенциальных жертв: все пользователи необновленной версии Fluent Bit.
Публично доступные эксплойты: есть в открытом доступе.
Способы устранения, компенсирующие меры: обновления можно получить на соответствующей странице на GitHub.
Уязвимость, приводящая к удаленному выполнения кода в корпоративной веб-вики Confluence
❗ Оценка CVE-2024-21683 по CVSS — 8,3, высокий уровень опасности
Confluence — это очень популярная коммерческая корпоративная веб-вики, разработанная австралийской компанией Atlassian. C помощью этого продукта организации могут создавать единую внутреннюю базу знаний и работать с ней совместно.
Для Confluence есть две редакции с разным набором функций: Data Center и Server. И обе подвержены этой уязвимости удаленного выполнения кода, которая может привести к полной
компрометации системы. Правда, для эксплуатации злоумышленнику потребуется аутентификация. Подобные уязвимости активно эксплуатировались для
установки разнообразного вредоносного ПО: майнеров криптовалюты, шифровальщиков, троянов. Вполне вероятно, что так будет и с этой уязвимостью.
Версия 8.5.9 LTS, исправляющая уязвимость, вышла 9 мая. 23 мая, после появления описания уязвимости в NVD и тикета от Atlassian, исследователь Huong Kieu изучил патч, описал уязвимость и сообщил, что у него получилось сделать PoC эксплойта. В тот же день реализации эксплойта появились на GitHub.
? Вероятно, Atlassian придерживала информацию об исправлении уязвимости, чтобы больше организаций успели обновиться до начала активной эксплуатации, но у нее это не вполне получилось. Выглядит так, что Atlassian случайно опубликовала тикет 15 мая, а потом убрала до 23 мая. Но поисковик по уязвимостям Vulners все запомнил. Так что информация об уязвимости все это время была доступна.
Если в вашей организации используется Confluence, то обязательно обновляйтесь или импортозамещайтесь.
Признаки эксплуатации: нет информации.
Количество потенциальных жертв: по данным Shadow Server, в сети работает 10 тысяч устройств Atlassian Confluence, из которых более 300 расположено в России.
Публично доступные эксплойты: есть в открытом доступе.
Способы устранения, компенсирующие меры: обновления можно скачать с официального сайта Atlassian, на странице, посвященной CVE-2024-21683.
Уязвимости Microsoft
Уязвимость обхода функций безопасности в Windows MSHTML Platform
❗ Оценка CVE-2024-30040 по CVSS — 8,8, высокий уровень опасности
Согласно описанию на сайте Microsoft, уязвимость представляет собой обход некоторых функций безопасности OLE в Microsoft 365 и Microsoft Office, в результате чего злоумышленник может выполнить произвольный код в системе пользователя. Несмотря на упоминание Microsoft 365 и Microsoft Office, эта уязвимость находится не в этих продуктах, а именно в компоненте Windows.
Что такое OLE?
Object Linking and Embedding — это технология связывания и внедрения объектов в другие документы и объекты, разработанная Microsoft. Самый распространенный пример использования этой технологии — открытие таблицы Excel в документе Word.
Какие именно функции безопасности OLE могут обойти злоумышленники при эксплуатации уязвимости, не очень понятно. Известно только то, что они защищают пользователей от уязвимых элементов управления COM и OLE. Однако (судя по названию уязвимости) они как-то связаны с MSHTML — браузерным движком для Microsoft Internet Explorer. Microsoft давно отказалась от браузера Internet Explorer, но MSHTML еще используется в Windows как программный компонент.
Как уязвимость эксплуатируется? Для успешной атаки злоумышленник должен убедить пользователя загрузить специальный зловредный файл, видимо Microsoft Office или Microsoft 365, в уязвимую систему. Например, он может сделать это посредством фишинговой атаки через электронную почту или мессенджер.
Что дальше пользователь должен сделать с этим файлом для эксплуатации уязвимости?
В описании Microsoft есть противоречие. В одном месте они пишут, что пользователь должен просто открыть файл, а в другом что-то более загадочное и широкое: «манипулировать специально созданным файлом, но не обязательно кликать на вредоносный файл или открывать его». Видимо, такая неоднозначность — результат того, что описание уязвимости на сайте Microsoft было сгенерировано автоматически.
Пока нет публичного PoC, независимого исследования этой уязвимости или сообщений о конкретных атаках, сложно сказать что-то более определенное. Поэтому ждем подробностей и не забываем обновляться, так как, по данным Microsoft, уязвимость активно эксплуатируется злоумышленниками вживую.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации.
Количество потенциальных жертв: все пользователи необновленной версии Windows.
Публично доступные эксплойты: нет в открытом доступе.
Способы устранения, компенсирующие меры: обновления можно скачать с официального сайта Microsoft, на странице, посвященной CVE-2024-30040.
Уязвимость повышения привилегий в Windows DWM Core Library
❗ Оценка CVE-2024-30051 по CVSS — 7,8, высокий уровень опасности
DWM (Desktop Window Manager) — это композитный оконный менеджер в Microsoft Windows начиная с Windows Vista, который позволяет использовать аппаратное ускорение для визуализации графического пользовательского интерфейса Windows.
Злоумышленник, получив первоначальный доступ к уязвимому Windows-узлу, может проэксплуатировать эту уязвимость DWM, чтобы поднять свои привилегии до системных. Это позволит ему закрепиться на узле и продолжить развитие атаки.
Исследователи из «Лаборатории Касперского» поделились в своем блоге интересной историей о том, как они нашли информацию об этой уязвимости в таинственном документе на ломаном английском. Он был загружен на сервер VirusTotal 1 апреля 2024 года. VirusTotal — это бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ. В ходе исследования эксперты подтвердили наличие уязвимости, описанной в документе, сообщили о ней в Microsoft и с середины апреля фиксировали эксплуатацию этой уязвимости банковским трояном QakBot и другими зловредами. Таким образом, атаки начали фиксироваться где-то за месяц до выхода патчей Microsoft.
Обязательно устанавливайте обновления из майского Microsoft Patch Tuesday.
Признаки эксплуатации: исследователи из «Лаборатории Касперского» отмечают эксплуатацию этой уязвимости нулевого дня совместно с трояном QakBot и другими вредоносными программами. Кроме того, есть предположения, что к эксплойту имеют доступ несколько группировок.
Количество потенциальных жертв: все пользователи необновленной версии Windows.
Публично доступные эксплойты: база уязвимостей БДУ ФСТЭК сообщает о наличии эксплойта в публичном доступе, однако в пакетах эксплойтов и на GitHub его пока нет.
Способы устранения, компенсирующие меры: обновления можно скачать с официального сайта Microsoft, на странице, посвященной CVE-2024-30051.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.
В статье приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 31 мая 2024 года.
Александр Леонов
Ведущий эксперт лаборатории PT Expert Security Center