Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо могут эксплуатироваться в ближайшее время.
Сегодня расскажу про самые опасные уязвимости июня. Всего в этом месяце таких уязвимостей было довольно много — девять:
-
уязвимости в Microsoft Windows, связанные с повышением привилегий:
в службе CSC (CVE-2024-26229);
службе Error Reporting (CVE-2024-26169);
ядре ОС (CVE-2024-30088);
уязвимость, приводящая к выполнению произвольного кода, в скриптовом языке PHP на узлах под управлением Windows (CVE-2024-4577);
уязвимость, приводящая к повышению привилегий, в ядре Linux (CVE-2024-1086);
уязвимость, связанная с раскрытием информации, в Check Point Quantum Security Gateways (CVE-2024-24919);
уязвимости в VMware vCenter, позволяющие выполнить произвольный код (CVE-2024-37079, CVE-2024-37080);
уязвимость в Veeam Backup & Replication, приводящая к обходу аутентификации (CVE-2024-29849).
Первые три уязвимости связаны с повышением привилегий в Microsoft Windows. В случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM (самые высокие). А получив полный контроль над узлом, злоумышленник может продолжить дальнейшее развитие атаки.
Уязвимость, связанная с повышением привилегий, в службе CSC Windows (CVE-2024-26229)
❗ Оценка по CVSS — 7,8, высокий уровень опасности
Уязвимость из апрельского Microsoft Patch Tuesday. В апреле эту уязвимость вообще никто не подсвечивал. Как пелось в новогоднем фильме: «На Танечку внимания никто не обращал». Microsoft про нее написали «exploitation less likely». Известно было только то, что в случае успешной эксплуатации злоумышленник может получить привилегии SYSTEM.
Но через два месяца, 10 июня, на GitHub появился рабочий эксплойт. Сюрприз! Опасность уязвимости скачкообразно повысилась. Можно было это как-то спрогнозировать? Скорее всего, нельзя.
Небольшая подробность. Автор эксплойта уточнил CWE уязвимости.
Было: CWE-122 — Heap-based Buffer Overflow.
Стало: CWE-781 — Improper Address Validation in IOCTL with METHOD_NEITHER I/O Control Code
Признаки эксплуатации: нет информации.
Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.
Публично доступные эксплойты: есть в открытом доступе.
Уязвимость, связанная с повышением привилегий, в службе CSC Windows (CVE-2024-26229)
❗ Оценка по CVSS — 7,8, высокий уровень опасности
Уязвимость была исправлена в мартовском Microsoft Patch Tuesday. Эту уязвимость также никто не выделял.
Однако через три месяца, 12 июня, исследователи из Symantec сообщили об атаках, связанных с известным шифровальщиком Black Basta, в которых использовались эксплойты для этой уязвимости. Если верить меткам времени компиляции, эти эксплойты были созданы задолго до выхода патчей от Microsoft, в феврале 2024 года или даже в декабре 2023-го. Конечно, эти временные метки злоумышленники могли и подделать, но зачем?
На следующий день, 13 июня, уязвимость была добавлена в CISA KEV. В паблике эксплойта пока не видно.
Как видите, трендовыми могут стать и уязвимости, которым уже несколько месяцев или даже лет. Так что всегда нужно быть начеку.
Признаки эксплуатации: по данным группы Threat Hunter Symantec, эта уязвимость могла использоваться в программе-вымогателе Black Basta, которая находится под управлением группировки злоумышленников Cardinal (также известной как Storm-1811, UNC4393).
Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.
Публично доступные эксплойты: нет в открытом доступе.
Уязвимость, связанная с повышением привилегий, в ядре Windows (CVE-2024-30088)
❗ Оценка по CVSS — 7,0, высокий уровень опасности
Уязвимость свежая, из июньского Microsoft Patch Tuesday. На момент публикации июньского Patch Tuesday об уязвимости было мало что известно. Было ясно, что в случае успешной эксплуатации, злоумышленник может получить привилегии SYSTEM. Согласно CVSS-вектору от Microsoft, существовал приватный proof-of-concept exploit. По данным бюллетеня ZDI, уязвимость затрагивает реализацию NtQueryInformationToken и заключается в отсутствии правильной блокировки при выполнении операций над объектом.
Через две недели после Patch Tuesday, 24 июня, на GitHub появился репозиторий с техническими деталями по этой уязвимости и PoC эксплойта. Кроме того, доступно видео с запуском утилиты для получения привилегий SYSTEM.
В последнее время уязвимости, приводящие к повышению привилегий в системах Windows, очень часто докручивают до реальной эксплуатации. Обращайте, пожалуйста, на них внимание и исправляйте заранее.
Признаки эксплуатации: нет информации.
Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.
Публично доступные эксплойты: есть в открытом доступе.
Способы устранения, компенсирующие меры: обновления безопасности можно скачать на официальных страницах Microsoft, посвященных соответствующим уязвимостям: CVE-2024-26229, CVE-2024-26169, CVE-2024-30088.
Уязвимость, позволяющая выполнить произвольный код в скриптовом языке PHP на узлах под управлением Windows (CVE-2024-4577)
❗ Оценка по CVSS — 9,8, критический уровень опасности
Еще одна уязвимость связанная с Windows. Шестого июня разработчики скриптового языка PHP выпустили обновление для устранения RCE-уязвимости, которая связана с функцией преобразования кодировки Best-Fit в операционной системе Windows. Уязвимость может позволить неаутентифицированному злоумышленнику, выполняющему argument injection атаку, обойти защиту от старой активно эксплуатируемой RCE-уязвимости CVE-2012-1823 с помощью определенных последовательностей символов и выполнить произвольный код. Эксплоиты для уязвимости уже доступны на GitHub.
Уязвимость затрагивает все версии PHP, установленные в операционной системе Windows.
? PHP 8.3–8.3.8
? PHP 8.2–8.2.20
? PHP 8.1–8.1.29
Версии PHP 8.0, PHP 7 и PHP 5 тоже уязвимы, но они уже в end of life и не поддерживаются.
Отдельно подчеркивается, что все инсталляции XAMPP также уязвимы по умолчанию. XAMPP — это популярная кросс-платформенная сборка локального веб-сервера, содержащая Apache, MariaDB, PHP, Perl и большое количество дополнительных библиотек.
В случае, если обновление до актуальной версии PHP невозможно, исследователи из компании DEVCORE предлагают конфигурации для противодействия эксплуатации уязвимости. Однако эти рекомендации касаются инсталляций на Windows с определенными языковыми локалями (Traditional Chinese, Simplified Chinese, Japanese), для которых эксплуатация уязвимости была подтверждена. В других локалях из-за широкого спектра сценариев использования PHP в настоящее время невозможно полностью перечислить и исключить все потенциальные сценарии эксплуатации уязвимости.
Поэтому пользователям рекомендуется провести комплексную оценку активов, проверить сценарии использования PHP и обновить PHP до последней версии.
Исследователи Imperva Threat Research сообщают, что эта уязвимость используется злоумышленниками для доставки зловреда, идентифицированого как компонент шифровальщика TellYouThePass.
Атаки были замечены 8 июня, менее чем через 48 часов после выпуска патча от разработчиков PHP. В атаках использовался эксплойт, который к тому времени уже был публично доступен. Атаки с использованием TellYouThePass отмечаются с 2019 года. Они нацелены на организации и частных лиц. Злоумышленники шифруют и Windows-, и Linux-инфраструктуры.
Какие можно сделать выводы? Если видите уязвимость с публичным эксплойтом и более-менее понятным вектором эксплуатации — не поленитесь запатчить ее как можно быстрее. Потому что злоумышленники точно не поленятся добавить этот эксплойт в свою малварь. ?
Признаки эксплуатации: нет информации.
Количество потенциальных жертв: эта уязвимость затрагивает все версии PHP, установленные в операционной системе Windows:
PHP 8.3–8.3.8
PHP 8.2–8.2.20
PHP 8.1–8.1.29
Публично доступные эксплойты: есть в открытом доступе.
Способы устранения, компенсирующие меры: версии 8.3.8, 8.2.20, и 8.1.29 можно скачать на официальной странице PHP.
Уязвимость в ядре Linux, связанная с повышением привилегий (CVE-2024-1086)
❗ Оценка по CVSS — 7,8, высокий уровень опасности
Сама уязвимость относительно старая, январская. В марте для нее вышел write-up и публичный эксплойт.
Несмотря на тривиальную эксплуатацию — злоумышленник может запустить утилиту и получить root, — до недавнего времени признаков активной эксплуатации этой уязвимости не фиксировали. Что довольно странно: такой важный эксплойт должен сразу попадать в инструментарий злоумышленников. Тут либо практическая эксплуатация все же чем-то осложнена, либо использующие ее злоумышленники не оставляли следов.
Как бы то ни было, 30 мая уязвимость добавили в CISA KEV, а значит, факт использования ее в атаках все-таки был установлен. Но подробностей по атакам пока нет. Обратите внимание на эту уязвимость при обновлении узлов под управлением Linux.
Признаки эксплуатации: зафиксированы факты эксплуатации уязвимости.
Количество потенциальных жертв: все пользователи устаревшей версии ядра.
Публично доступные эксплойты: есть в открытом доступе.
Способы устранения, компенсирующие меры: исправление уязвимости можно найти на официальной странице kernel.org.
Уязвимость, приводящая к раскрытию информации, в Check Point Quantum Security Gateways (CVE-2024-24919)
❗ Оценка по CVSS — 8,6, высокий уровень опасности
В конце мая, 28 числа, Check Point выпустили бюллетень безопасности, в котором сообщили о критически опасной уязвимости Check Point Quantum Security Gateways в конфигурации IPSec VPN или Mobile Access.
Сколько может быть уязвимых узлов? Всего, по разным оценкам, от 20 000 до 45 000.
На сайте вендора приводятся хотфиксы, скрипт для проверки на компрометацию и рекомендации по харденингу устройств.
Практически сразу появились технические подробности об уязвимости. Она позволяет неаутентифицированному удаленному злоумышленнику прочитать содержимое произвольного файла, расположенного на уязвимом устройстве. Таким образом, злоумышленник может прочитать файл /etc/shadow и получить хеши паролей локальных учетных записей, включая учетные записи, используемые для подключения к Active Directory. Злоумышленник может получить пароли по хешам и затем использовать их для аутентификации и дальнейшего развития атаки. Если, конечно, Security Gateway разрешает аутентификацию только по паролю.
Эксплуатация уязвимости тривиальная — достаточно одного POST-запроса; на GitHub уже есть множество скриптов для этого.
Попытки эксплуатации уязвимости были зафиксированы с 7 апреля, то есть за 1,5 месяца до появления исправления от вендора. Уязвимость уже представлена в CISA KEV.
Уязвимые продукты:
? CloudGuard Network
? Quantum Maestro
? Quantum Scalable Chassis
? Quantum Security Gateways
? Quantum Spark Appliances
Признаки эксплуатации: зафиксированы факты эксплуатации уязвимости.
Количество потенциальных жертв: от 20 000 до 45 000.
Публично доступные эксплойты: есть в открытом доступе.
Способы устранения, компенсирующие меры: обновления безопасности можно скачать на официальной странице Check Point, посвященной CVE-2024-24919.
Уязвимости в VMware vCenter, позволяющие выполнить произвольный код (CVE-2024-37079, CVE-2024-37080)
❗ Оценка по CVSS — 9,8, критический уровень опасности
vCenter — это продукт для централизованного управления виртуальной инфраструктурой на платформе VMware vSphere. Обе уязвимости были исправлены 17 июня. У них одинаковое описание и оценка по CVSS 9,8.
Уязвимости связаны с переполнением кучи в реализации протокола системы удаленного вызова процедур DCERPC. Злоумышленник, имеющий сетевой доступ к vCenter Server, может отправить специально подготовленный сетевой пакет и потенциально получить RCE.
Публичного эксплоита и признака эксплуатации вживую пока нет, однако:
Уязвимости очень похожи по описанию на прошлогоднюю эксплуатируемую RCE уязвимость vCenter (CVE-2023-34048). И CVSS вектор такой же.
"Скриншот vSphere Client", интерфейса для vCenter, стал своеобразным мемом злоумышленников, подтверждающим, что в ходе атаки им удалось скомпрометировать виртуальную инфраструктуру организации. Цель очень лакомая!
Закончим обходом аутентификации в Veeam Backup & Replication. Это клиент-серверное ПО для централизованного резервного копирования виртуальных машин в средах VMware vSphere и Microsoft Hyper-V.
Уязвимость нашли в компоненте Backup Enterprise Manager — веб-консоли для управления и создания отчетов. Неаутентифицированный злоумышленник может войти в веб-консоль от имени любого пользователя.
Уязвимость была исправлена вендором 21 мая. Через три недели, 10 июня, исследователь под ником SinSinology выложил в своем блоге разбор этой уязвимости (на основе анализа патча) и PoC для нее.
Подтверждений эксплуатации уязвимости в реальных атаках пока нет, но, вероятно, скоро могут быть. Компрометация бэкапов не менее лакомая цель, чем компрометация виртуальной инфраструктуры.
До 2022 года продукты Veeam были популярны в России, и наверняка остается еще много инсталляций.
Признаки эксплуатации: нет информации.
Количество потенциальных жертв: все пользователи Veeam Backup Enterprise Manager, использующие версии ниже 12.1.2.172.
Публично доступные эксплойты: есть в открытом доступе.
Способы устранения, компенсирующие меры: обновления безопасности можно скачать на официальной странице Veeam, посвященной CVE-2024-29849.
⚔️ Как защититься ⚔️
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.
В статье приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 30 июня 2024 года.
Александр Леонов
Ведущий эксперт лаборатории PT Expert Security Center