28/03/24
Агентство по кибербезопасности и безопасности инфраструктур (CISA) выразило озабоченность в связи с активной эксплуатацией уязвимости в системе Microsoft SharePoint, которая позволяет злоумышленникам осуществлять атаки с использованием удалённого выполнения кода (RCE).
Проблема связана с двумя уязвимостями, идентифицированными как CVE-2023-24955 и CVE-2023-29357, которые в комбинации позволяют неавторизованным атакующим получать административные привилегии на уязвимых серверах SharePoint и выполнять код удалённо.
Первая уязвимость (CVE-2023-24955) позволяет атакующим с правами владельца сайта исполнять код на уязвимых серверах. Вторая же (CVE-2023-29357) даёт возможность удалённо обходить аутентификацию с использованием поддельных токенов JWT и получать административные привилегии, пишет Securitylab.
Обе уязвимости могут быть объединены для проведения RCE-атак на необновлённых серверах, как это было продемонстрировано одним из исследователей компании STAR Labs на конкурсе Pwn2Own в Ванкувере в марте 2023 года.
После публикации примера эксплуатации уязвимости CVE-2023-29357 на GitHub в сентябре, появились множество PoC-эксплойтов, облегчающих атаки для менее опытных злоумышленников, включая те, что были опубликованы STAR Labs.
CISA, в свою очередь, призвала к незамедлительному устранению этих уязвимостей, добавив CVE-2023-29357 в свой каталог известных эксплуатируемых уязвимостей и потребовав от федеральных агентств США исправить проблему до конца января. А недавно, 26 марта, агентство добавило и CVE-2023-24955 с требованием обеспечить безопасность серверов SharePoint до 16 апреля.
Хотя CISA не предоставило конкретной информации об атаках, использующих эти уязвимости, оно подчеркнуло, что такого рода проблемы часто становятся целью для киберпреступников и представляют собой значительный риск.
CISA настоятельно рекомендует не только федеральным агентствам, но и частным организациям уделить приоритетное внимание устранению этих уязвимостей для предотвращения возможных атак.
