Приветствую вас!

Меня зовут Анастасия Травкина, я младший аналитик в компании Вебмониторэкс. Вместе с отделом детекта мы подготовили дайджест по уязвимостям за прошедшие два месяца лета. Эта информация поможет вам обезопасить свои системы и предотвратить потенциальные угрозы.

Мониторинг уязвимостей помогает своевременно выявлять и устранять потенциальные угрозы. Регулярный аудит систем, обновление программного обеспечения и обучение сотрудников помогут создать надежную защиту от потенциальных атак. Не забывайте: безопасность — это не конечная цель, а постоянный процесс!

Обращаем ваше внимание на следующие уязвимости:

⚡️ Zabbix Audit Log CVE-2024-22120

⚡️ Git CVE-2024-32002

⚡️WordPress PostX Plugin CVE-2024-5326

⚡️Atlassian Confluence Data Server и Data Center CVE-2024-21683

⚡️ JetBrains TeamCity CVE-2024-36370

⚡️ PHP CVE-2024-4577

⚡️ Mailcow CVE-2024-31204/ CVE-2024-30270

⚡️ Adobe Commerce/Magento CVE-2024-34102 

⚡️ Docassemble - CVE-2024-27292

⚡️ Microsoft SharePoint Server 2019 - CVE-2024-38094/ CVE-2024-38023/ CVE-2024-38024

Эти уязвимости охватывают широкий спектр технологий и платформ, и каждая из них требует своевременного устранения потенциальных угроз. Внимательно ознакомьтесь с описанием каждой уязвимости и следуйте рекомендациям по обновлению для защиты ваших систем.

Zabbix Audit Log CVE-2024-22120

Обнаружена уязвимость в недостаточной проверке входных данных, которая ведет к SQL-инъекции.

Затронутые версии: 6.0.0-6.0.27, 6.4.0-6.4.12, 7.0.0alpha1-7.0.0beta1.

Рекомендация: обновите Zabbix до безопасной версии, чтобы защититься от SQL-инъекций.

Git CVE-2024-32002

Обнаружена уязвимость в использовании symlinks при использовании hooks. Эксплуатация данной уязвимости ведет к удаленному выполнению кода (RCE).

Устранение: git config --global core.symlinks false

Рекомендация: настройте Git с помощью команды git config --global core.symlinks false, чтобы предотвратить RCE через хуки.

WordPress PostX Plugin CVE-2024-5326

Обнаружена уязвимость, оцененная по CVSS в 8.8,  во всех версиях плагина, включая 4.1.2.

Проблема: отсутствует проверка прав доступа на изменение данных, что позволяет авторизованным пользователям изменять настройки всего сайта, включая установку роли "Администратор" для новых пользователей.

Рекомендация: Обновите плагин до последней версии и ограничьте доступ к настройкам.

Atlassian Confluence Data Server и Data Center CVE-2024-21683

Затронутые версии: 8.9.0, 8.8.0 - 8.8.1, 8.7.1 - 8.7.2, 8.6.0 - 8.6.2, 8.5.0 - 8.5.8 (LTS), 8.4.0 - 8.4.5, 8.3.0 - 8.3.4, 8.2.0 - 8.2.3, 8.1.0 - 8.1.4, 8.0.0 - 8.0.4, 7.20.0 - 7.20.3, 7.19.0 - 7.19.21.

Проблема: уязвимость кода, позволяющая авторизованному пользователю запускать вредоносный код (RCE).

Рекомендация: Установите последние обновления безопасности.

JetBrains TeamCity CVE-2024-36370

Затронутые версии: до 2022.04.7, 2022.10.0 - 2022.10.6, 2023.05.0 - 2023.05.6, 2023.11.0 - 2023.11.5.

Проблема: уязвимость в процессе CI/CD при использовании OAuth протокола позволяет проводить межсайтовые сценарные атаки (XSS).

Рекомендация:  Проведите анализ и обновите систему.

PHP CVE-2024-4577 (CVE-2012-1823)

Для известной уязвимости (CVE-2012-1823), исправленной ранее, появилось дополнение.

Проблема: При использовании php-cgi на Windows с определенными кодировками (GB2312, shift_jis и т.д.) знак равенства интерпретируется неверно, что позволяет передавать параметры запроса как аргументы в командной строке, из чего следует удаленное исполнение кода (RCE).

Рекомендация: Проверьте настройки и обновите используемые компоненты.

Mailcow (версии до 2024-04) CVE-2024-31204

Уязвимость в Mailcow, позволяющая за счет неверной обработки информации (sanitize) во время сохранения информации о ошибке, в дальнейшем эксплуатировать XSS, внедряя вредоносный код в панель администратора

 Mailcow (версии до 2024-04) CVE-2024-30270

Уязвимость в Mailcow, которая является комбинацией Path Traversal и выполняя код, использует функцию rspamd_maps()

Adobe Commerce/Magento CVE-2024-34102

Обнаружена критическая уязвимость в Adobe Commerce и Magento - CVE-2024-34102, оцененная по CVSS в 9.8, которая позволяет злоумышленнику удаленно выполнить произвольный код на сервере. Проблема связана с внедрением XML-объектов перед аутентификацией (XXE).

Эта уязвимость позволяет злоумышленнику отфильтровать файл app/etc/env.php, который содержит криптографический ключ для подписи JWT, используемых для аутентификации. В результате злоумышленник может создать JWT администратора и получить полный доступ к вашему API Magento. Это создает серьезный риск для безопасности данных и инфраструктуры.

 Уязвимость CVE-2024-34102 затрагивает Adobe Commerce версий 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 и более ранние версии.

Критическая уязвимость в Docassemble - CVE-2024-27292

Уязвимость обхода пути без проверки подлинности раскрывает конфиденциальные файлы и секреты, что может привести к повышению привилегий и внедрению шаблонов, позволяя выполнять удаленный код. Уязвимость затрагивает версии Docassemble с 1.4.53 по 1.4.96.

Эта уязвимость позволяет злоумышленникам получать несанкционированный доступ к информации в системе посредством манипулирования URL. Это может привести к утечке данных, раскрытию конфиденциальной информации и предоставлению злоумышленникам доступа к важным ресурсам, что может использоваться для дальнейших атак.

Эксплойт, подтверждающий концепцию, доступен на GitHub и уже используется злоумышленниками. Они могут считывать конфиденциальную информацию из произвольных файлов на сервере, что создает серьезный риск для безопасности данных.

Исправление доступно в версии Docassemble 1.4.97. Если немедленное обновление невозможно, рассмотрите возможность внедрения дополнительных средств контроля доступа, проверки входных данных и очистки URL-адресов. Отслеживайте системные журналы на предмет подозрительных попыток доступа по URL и ограничивайте доступ к системе только доверенным пользователям.

Microsoft SharePoint Server 2019 — RCE

Недавнее обновление системы безопасности устраняет несколько уязвимостей удаленного выполнения кода и раскрытия информации в Microsoft SharePoint Server. Эти уязвимости могут серьезно повлиять на безопасность ваших данных и инфраструктуры.

CVE-2024-38094: Уязвимость удаленного выполнения кода в Microsoft SharePoint.

Аутентифицированный злоумышленник с правами владельца сайта может выполнять произвольный код в контексте сервера SharePoint.

CVE-2024-38023: Уязвимость раскрытия информации в Microsoft SharePoint Server.

Злоумышленник с правами владельца сайта или выше может загрузить специально созданный файл и отправить запросы API, чтобы выполнить код на сервере SharePoint.

CVE-2024-38024: Уязвимость раскрытия информации в Microsoft SharePoint Server.

Прошедший проверку подлинности злоумышленник с правами владельца сайта может выполнить произвольный код на сервере SharePoint.

Постоянное обновление и контроль — ключ к надежной защите. Использование продуктов Вебмониторэкс поможет вам создать устойчивую защиту от потенциальных атак, оперативно реагировать на угрозы и поддерживать высокий уровень безопасности вашей инфраструктуры.

Все об API Security, Web Security. Еще немного про уязвимости и технические изыскания команды Вебмониторэкс. Никакой рекламы. Только полезные материалы. https://t.me/WMXWAS