Дайджест трендовых уязвимостей. Июнь 2024 года
В дайджесте вы сможете найти самые опасные уязвимости, которые активно использовались злоумышленниками или могут быть использованы ими в ближайшее время. Всего за июнь их было выделено девять.
Три уязвимости (CVE-2024-26229, CVE-2024-26169, CVE-2024-30088) были найдены в продуктах Microsoft — все они имеют высокий уровень опасности, их использование приводит к повышению привилегий в системе до максимальных (SYSTEM). Получив полный контроль над узлом, злоумышленник может продолжить дальнейшее развитие атаки.
Все уязвимости в продуктах Microsoft затрагивают пользователей устаревших версий Windows и Windows-сервера.
Эксперты выявили уязвимость, приводящую к повышению привилегий для Linux (CVE-2024-1086), а также критически опасную уязвимость (CVE-2024-4577) в скриптовом языке PHP. Когда пользователь использует Apache и CGI она приводит к удаленному выполнению кода в системе. Шестая уязвимость (CVE-2024-24919) была обнаружена в VPN-шлюзе от вендора Check Point Software Technologies. Эксплуатируя ее, злоумышленники могут получить доступ к чувствительной информации, хранящейся на сервере. Кроме того, исследователи обнаружили уязвимость обхода аутентификации в клиент-серверном ПО для централизованного резервного копирования виртуальных машин Veeam Backup Enterprise Manager (CVE-2024-29849), которая позволяет злоумышленнику выдать себя за любого пользователя, в том числе за администратора системы. Две последние уязвимости (CVE-2024-37080, CVE-2024-37079) относятся к продукту для централизованного управления виртуальной инфраструктурой vCenter от вендора VMware. Их использование приводит к удаленному выполнению кода с помощью одного запроса.
Подробнее про эти уязвимости, случаи их эксплуатации и способы устранения читайте в далее.
Уязвимости в продуктах Microsoft:
Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств. Они позволяют злоумышленнику получить максимальные привилегии в системе и продолжать развивать атаку. Последствия могут коснуться всех пользователей устаревших версий Windows.
1. Уязвимость в компоненте для хранения автономных файлов CSC (Client-Side Caching), приводящая к повышению привилегий
CVE-2024-26229 (оценка по CVSS — 7,8, высокий уровень опасности)
Эта уязвимость определена в категорию CWE-122, то есть связана с переполнением буфера, при котором осуществляется зловредная перезапись памяти в куче. Это происходит из-за некорректной работы с памятью в службе CSC.
Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.
2. Уязвимость в службе для отправки сообщений об ошибках (Windows Error Reporting), приводящая к повышению привилегий CVE-2024-26169 (оценка по CVSS — 7,8, высокий уровень опасности)
Уязвимость обнаружена в службе регистрации ошибок Windows и определена в категорию CWE-269. Этот недостаток безопасности связан с тем, что служба неправильно назначает, изменяет, отслеживает или проверяет привилегии пользователя, из-за чего у злоумышленников появляется возможность его эксплуатировать.
Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.
3. Уязвимость в ядре Windows, приводящая к повышению привилегий CVE-2024-30088 (оценка по CVSS — 7,0, высокий уровень опасности)
Был обнаружен недостаток безопасности в реализации подпрограммы NtQueryInformationToken. Проблема возникает из-за отсутствия правильной блокировки при выполнении операций над объектом.
Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.
Способы устранения, компенсирующие меры: обновления безопасности можно скачать на официальных страницах Microsoft, посвященных соответствующим уязвимостям: CVE-2024-26229, CVE-2024-26169, CVE-2024-30088.
Уязвимость в Linux
4. Уязвимость в подсистеме межсетевого экрана netfilter ядра Linux, приводящая к повышению привилегий CVE-2024-1086 (оценка по CVSS — 7,8, высокий уровень опасности)
Уязвимость в Linux потенциально затрагивает, согласно данным Steam Hardware & Software Survey, более полутора миллионов устройств.
Этот недостаток безопасности вызван ошибкой работы с оперативной памятью. Эксплуатация уязвимости позволяет авторизованному в системе злоумышленнику повысить привилегии до уровня root (то есть до максимальных). Это может привести к развитию атаки и реализации недопустимых для организации событий. С более подробным техническим описанием уязвимости можно ознакомиться на этой странице.
Признаки эксплуатации: зафиксированы факты эксплуатации уязвимости.
Количество потенциальных жертв: все пользователи устаревшей версии ядра.
Уязвимость в PHP
5. Уязвимость, связанная с удаленным выполнением кода в языке PHP при применении пользователем Apache и PHP CGI в Windows CVE-2024-4577 (оценка по CVSS — 9,8, критически опасная уязвимость)
Недостаток безопасности возникает из-за различия в интерпретации символа «мягкий перенос» (U+00AD) у Apache и языка PHP. Apache воспринимает его как мягкий дефис, в то время как PHP применяет так называемый принцип наилучшего соответствия и считает, что пользователь при вводе мягкого переноса на самом деле намеревался набрать настоящий дефис. Таким образом, из-за включенного CGI-режима злоумышленник может эксплуатировать эту уязвимость и получить возможность удаленно выполнить код (remote code execution, RCE).
Количество потенциальных жертв: эта уязвимость затрагивает все версии PHP, установленные на Windows:
- PHP 8.3–8.3.8
- PHP 8.2–8.2.20
- PHP 8.1–8.1.29
Уязвимость в продукте Check Point Software Technologies
6. Уязвимость, приводящая к раскрытию информации в VPN-шлюзах Check Point Quantum Security Gateways CVE-2024-24919 (оценка по CVSS — 8,6, высокий уровень опасности)
Эта уязвимость возникает из-за того, что в исходном коде приложения некорректно проверяется адрес, который запрашивает пользователь: в процессе валидации используется функция strstr, которая проверяет вхождение одной строки в другую, а не полное равенство. В результате неаутентифицированный злоумышленник может получить доступ к чувствительной информации, хранящейся на сервере.
Количество потенциальных жертв: от 20 000 до 40 000.
Уязвимость в продукте Veeam
7. Уязвимость обхода аутентификации в Veeam Backup Enterprise Manager CVE-2024-29849 (оценка по CVSS — 9,8, критически опасная уязвимость)
Недостаток безопасности возникает из-за того, что пользователь контролирует адрес сервера с технологией единого входа (SSO), на котором проверяются введенные данные, и имя пользователя, под которым он хочет аутентифицироваться. В связи с этим злоумышленник может установить свой вредоносный сервер, который будет подтверждать все запросы. После этого преступник может отправить форму, где вместо своего имени он ставит произвольное, в том числе администратора системы.
Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику получить доступ к любой учетной записи сервера Veeam Backup Enterprise Manager.
Количество потенциальных жертв: все пользователи Veeam Backup Enterprise Manager, использующие версии ниже 12.1.2.172.
Уязвимости в продуктах VMware
8 и 9. Уязвимости, связанные с удаленным выполнением кода в VMware vCenter CVE-2024-37080 и CVE-2024-37079 (оценки по CVSS — 9,8, критически опасные уязвимости)
Эти недостатки безопасности вызваны ошибкой работы с памятью в реализации протокола системы удаленного вызова процедур DCE (RPC). Эксплуатация уязвимостей позволяет неаутентифицированному злоумышленнику выполнить произвольный код на сервере VMware vCenter. В результате он может получить полный контроль над системой с целью дальнейшего развития атаки.
Количество потенциальных жертв: по данным Shadowserver в сети работает более 2000 узлов vCenter.
Источник статьи: clck.ru/3BweH7
Вернуться к списку новостей
Записаться на консультацию