Поделиться
Positive Technologies представила топ трендовых уязвимостей за январь 2024 года
Эксперты Positive Technologies в январе 2024 г. отнесли шесть уязвимостей к статусу трендовых. Среди них уязвимости, уже использовавшиеся в кибератаках, и уязвимости, эксплуатация которых прогнозируется на ближайшее время. К трендовым были отнесены уязвимости, обнаруженные в Atlassian Confluence, VMware vCenter, GitLab, Jenkins, Junos OS и Microsoft Outlook. Об этом CNews сообщили представители Positive Technologies.
Трендовыми уязвимостями называются наиболее опасные уязвимости, которые нужно быстро устранить — или принять компенсирующие меры. Для определения трендовых уязвимостей необходимо в автоматическом режиме собирать и актуализировать информацию из различных источников (баз уязвимостей, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и т. п.). Выявлять такие уязвимости помогает система управления уязвимостями нового поколения MaxPatrol VM .
«Количество известных уязвимостей растет с каждым днем. За прошлый год в среднем добавлялось около 78 уязвимостей в день. Мы отслеживаем информацию по новым уязвимостям и изменение состояния по всем ранее вышедшим, чтобы выяснить, какие уязвимости представляют наибольшую опасность для наших клиентов. Детекты для трендовых уязвимостей мы добавляем в MaxPatrol VM не более чем за 12 часов», — сказал Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center.
Уязвимость, связанная с удаленным выполнением кода (Remote Code Execution) в Atlassian Confluence CVE-2023-22527 (балл по CVSS — 10,01)
Atlassian Confluence — корпоративная веб-вики, разработанная австралийской компанией — разработчиком программного обеспечения Atlassian; используется для создания единой базы знаний организации. Уязвимость удаленного выполнения произвольного кода в Atlassian Confluence позволяет неаутентифицированному злоумышленнику удаленно выполнить произвольный код на сервере Confluence. Уязвимость затрагивает версии, выпущенные до 5 декабря 2023 г., в том числе те, которые уже не имеют официальной поддержки от вендора.
На момент публикации бюллетеня безопасности компания Atlassian заверяла, что никаких подтверждений активного использования данной уязвимости в реальных атаках, а также каких-либо индикаторов компрометации (IoC), которые помогли бы обнаружить уязвимость, нет. По информации службы мониторинга угроз Shadowserver, с 19 января 2024 г. было зафиксировано более 39 тыс. попыток эксплуатации уязвимости с 602 различных IP-адресов.
С помощью поисковой системы Netlas было обнаружено более 14 тыс. инсталляций Atlassian Confluence, из них более 1200 — на российских IP-адресах.
Для устранения уязвимости необходимо установить актуальные версии компонентов продукта, загрузив обновления с сайта разработчика. Тем, кто не может немедленно установить доступные обновления, рекомендуется перевести системы в автономный режим, а также создать резервную копию данных за пределами экземпляра Confluence.
Уязвимость, связанная с удаленным выполнением кода (Remote Code Execution) в VMware vCenter Server CVE-2023-34048 (балл по CVSS — 9,8)
VMware vCenter Server — это приложение для централизованного управления средами VMware vSphere и построения виртуальной облачной инфраструктуры. Уязвимость CVE-2023-34048 является ошибкой записи за пределами выделенного блока (out-of-bounds write) и позволяет злоумышленнику с доступом к сети vCenter Server выполнить произвольный код.
Уязвимость была обнаружена в октябре 2023 г. Вскоре после ее обнаружения компания VMware выпустила обновления, исправляющие эту уязвимость, а также некоторые другие. Ввиду серьезности проблемы компания выпустила патчи даже для старых версий продукта, срок поддержки которых уже истек. На момент обнаружения не было подтвержденных случаев использования этой уязвимости, однако 17 января 2024 г. VMware обновила свои рекомендации по устранению последствий, в которых подтвердила факты эксплуатации уязвимости при проведении кибератак.
Эксперты Mandiant сообщают, что уязвимость использовалась китайской преступной кибергруппировкой UNC3886 еще с конца 2021 г. По информации Mandiant, UNC3886 известна тем, что фокусируется на организациях оборонного, правительственного, телекоммуникационного и технологического секторов в США и регионе APJ (Asia-Pacific and Japan).
По информации Enlyft, более 10 тыс. компаний по всему миру используют vCenter Server, 43% из них — большого размера (более 1000 сотрудников). Чаще всего данные продукты используются в отрасли информационных технологий (33%), финансовом секторе (4,3%) и в области медицины (3,6%).
Для устранения уязвимости необходимо следовать рекомендациям экспертов вендора и обновить VMware vCenter Server до актуальной версии.
Уязвимость, связанная с получением контроля над чужой учетной записью (Authentication Bypass) в GitLab CE/EE CVE-2023-7028 (балл по CVSS — 10,0)
GitLab CE/EE — это система управления репозиториями Git для совместной разработки проектов. Уязвимость GitLab CE/EE позволяет получить контроль над чужой учетной записью путем манипуляций с формой восстановления пароля. Злоумышленник может отправить письмо с кодом для сброса пароля на заранее подготовленный неподтвержденный адрес электронной почты. Для эксплуатации уязвимости необходимо, чтобы у учетной записи была отключена двухфакторная аутентификация, либо злоумышленник должен обойти двухфакторную аутентификацию при помощи социальной инженерии или другим способом.
Компания GitLab заявляла, что на момент публикации бюллетеня безопасности случаев активной эксплуатации для данной уязвимости обнаружено не было. Однако с помощью поисковой системы Netlas было обнаружено более 89 тыс. инсталляций Gitlab, из них около 10 тыс. — на российских IP-адресах.
Для исправления уязвимости необходимо следовать рекомендациям разработчиков и обновить GitLab до актуальной версии. Кроме того, всем пользователям следует настроить двухфакторную аутентификацию для повышения уровня защищенности аккаунта. Компания предложила способ проверки аккаунтов на факт компрометации: необходимо проверить файл gitlab-rails/production_json.log на наличие HTTP-запросов к пути /users/password с параметром params.value.email, состоящим из массива JSON с несколькими адресами электронной почты. Следует также проверить файл gitlab-rails/audit_json.log на наличие записей с meta.caller.id из PasswordsController#create и target_details, состоящих из массива JSON с несколькими адресами электронной почты.
Риск эксплуатации с уязвимости при использовании двухфакторной аутентификации сохраняется.
Уязвимость, связанная с произвольным чтением файлов (Arbitrary File Reading) в Jenkins CLI CVE-2024-23897 (балл по CVSS — 9,8)
Jenkins — программная система с открытым исходным кодом на Java, предназначенная для обеспечения процесса непрерывной интеграции программного обеспечения. Эксплуатация уязвимости в модуле CLI позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, прочесть произвольный файл либо выполнить произвольный код на сервере Jenkins.
Компания выпустила исправления для девяти уязвимостей в системе безопасности, в числе которых есть CVE-2024-23897, 24 января 2024 г.
Некоторые эксперты сообщают, что их серверы-приманки Jenkins уже подверглись атакам — а значит, хакеры уже начали эксплуатировать уязвимость. Есть сообщения об успешной эксплуатации.
По информации Enlyft, во всем мире найдено более 77 тыс. компаний, использующих Jenkins. Бо́льшая часть из них находится в США (45%), Индии (7%) и Великобритании (7%). Распределение компаний, использующих Jenkins, по размеру (количеству сотрудников) выглядит следующим образом: 35% — малого размера (менее 50 работников), 46% — среднего размера, а также 18% компаний — большого размера (более 1000 сотрудников).
Исследователи Shadowserver сообщают, что в сети обнаружено около 45 тыс. непропатченных экземпляров Jenkins, большинство из которых находятся в Китае (12 тыс.) и США (11830).
Для устранения уязвимости необходимо следовать рекомендациям разработчиков компании Jenkins и установить актуальную версию продукта. Тем, у кого нет возможности в ближайшее время установить обновления, рекомендуется отключить доступ к CLI.
Уязвимость, связанная с удаленным выполнением кода (Remote Code Execution) в Junos OS CVE-2024-21591 (балл по CVSS — 9,8)
Junos OS — это операционная система, созданная на основе FreeBSD и используемая в оборудовании компании Juniper Networks. Уязвимость в веб-интерфейсе данной ОС вызвана ошибкой работы с памятью, позволяющей злоумышленнику записывать данные в произвольные участки памяти за пределами выделенного блока. Успешная эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику выполнить произвольный код на устройстве либо вызвать отказ в обслуживании.
Случаев эксплуатации уязвимости на практике не выявлено. Тем не менее сообщается, что обнаружено более 10 тыс. устройств Juniper с веб-интерфейсом, доступным через интернет, большая часть из них находится в Азии (Южная Корея, Гонконг, Китай) и США. Кроме того, большинство из них доступны по стандартным портам: 443, 80 и 8080.
Для исправления уязвимости рекомендуется как можно скорее установить патч. Если возможности установить патч нет, компания Juniper рекомендует отключить функцию веб-интерфейса или ограничить доступ к нему, оставив возможность только для определенных доверенных узлов.
Уязвимость, приводящая к раскрытию информации (Information Disclosure) в Microsoft Outlook CVE-2023-35636 (балл по CVSS — 6,5)
Microsoft Outlook — персональный информационный менеджер с функциями почтового клиента, входящий в пакет офисных программ Microsoft Office. Уязвимость раскрытия информации в Microsoft Outlook позволяет злоумышленнику получить NTLMv2-хеши пользователей. Для эксплуатации уязвимости злоумышленник может применять несколько сценариев атаки: с использованием Microsoft Outlook, обработчиков URI и WPA и проводника Windows. В сценарии атаки по электронной почте злоумышленнику необходимо отправить пользователю специально созданный файл или ссылку и убедить его открыть содержимое. В ходе веб-атаки злоумышленник создает вредоносный сайт и отправляет жертве фишинговое электронное письмо с ссылкой на вредоносный ресурс. Переход по ссылке приводит к автоматическому перенаправлению на полезную нагрузку.
Хотя официальных заявлений об использовании уязвимости для проведения атак нет, Outlook остается привлекательной целью для злоумышленников: этот инструмент электронной почты и календаря (по умолчанию для пакета Microsoft 365), используется миллионами людей по всему миру как для работы, так и для личных целей.
По заявлению экспертов, Microsoft Outlook используют более 3,17 млн компаний по всему миру с суммарным числом пользователей более 400 млн. Из них 35% — небольшие компании (менее 50 сотрудников), 47% — среднего размера и 17% — крупные компании (1000 сотрудников и более).
Для устранения уязвимости необходимо следовать рекомендациям экспертов Microsoft и установить патч, выпущенный 12 декабря 2023 г.
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Трендовые уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет своевременно принять меры по устранению наиболее опасных уязвимостей и защитить инфраструктуру компании.
***
Positive Technologies является ведущим разработчиком продуктов, решений и сервисов, позволяющих выявлять и предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Ее технологии используют более 3300 организаций по всему миру.
Короткая ссылка
