16/02/24
Эксперты Positive Technologies в январе 2024 отнесли шесть уязвимостей к статусу трендовых. Среди них уязвимости, уже использовавшиеся в кибератаках, и уязвимости, эксплуатация которых прогнозируется на ближайшее время. К трендовым были отнесены уязвимости, обнаруженные в Atlassian Confluence, VMware vCenter, GitLab, Jenkins, Junos OS и Microsoft Outlook.
Трендовыми уязвимостями называются наиболее опасные уязвимости, которые нужно быстро устранить — или принять компенсирующие меры. Для определения трендовых уязвимостей необходимо в автоматическом режиме собирать и актуализировать информацию из различных источников (баз уязвимостей, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и т. п.). Выявлять такие уязвимости помогает система управления уязвимостями нового поколения MaxPatrol VM .
«Количество известных уязвимостей растет с каждым днем. За прошлый год в среднем добавлялось около 78 уязвимостей в день. Мы отслеживаем информацию по новым уязвимостям и изменение состояния по всем ранее вышедшим, чтобы выяснить, какие уязвимости представляют наибольшую опасность для наших клиентов. Детекты для трендовых уязвимостей мы добавляем в MaxPatrol VM не более чем за 12 часов», — говорит Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center.
Уязвимость, связанная с удаленным выполнением кода (Remote Code Execution) в Atlassian Confluence
CVE-2023-22527 (балл по CVSS — 10,0[1])
Atlassian Confluence — корпоративная веб-вики, разработанная австралийской компанией — разработчиком программного обеспечения Atlassian; используется для создания единой базы знаний организации. Уязвимость удаленного выполнения произвольного кода в Atlassian Confluence позволяет неаутентифицированному злоумышленнику удаленно выполнить произвольный код на сервере Confluence. Уязвимость затрагивает версии, выпущенные до 5 декабря 2023 года, в том числе те, которые уже не имеют официальной поддержки от вендора.
На момент публикации бюллетеня безопасности компания Atlassian заверяла, что никаких подтверждений активного использования данной уязвимости в реальных атаках, а также каких-либо индикаторов компрометации (IoC), которые помогли бы обнаружить уязвимость, нет. По информации службы мониторинга угроз Shadowserver, с 19 января 2024 года было зафиксировано более 39 000 попыток эксплуатации уязвимости с 602 различных IP-адресов.
С помощью поисковой системы Netlas было обнаружено более 14 000 инсталляций Atlassian Confluence, из них более 1200 — на российских IP-адресах.
Для устранения уязвимости необходимо установить актуальные версии компонентов продукта, загрузив обновления с сайта разработчика. Тем, кто не может немедленно установить доступные обновления, рекомендуется перевести системы в автономный режим, а также создать резервную копию данных за пределами экземпляра Confluence.
Уязвимость, связанная с удаленным выполнением кода (Remote Code Execution) в VMware vCenter Server
CVE-2023-34048 (балл по CVSS — 9,8)
VMware vCenter Server — это приложение для централизованного управления средами VMware vSphere и построения виртуальной облачной инфраструктуры. Уязвимость CVE-2023-34048 является ошибкой записи за пределами выделенного блока (out-of-bounds write) и позволяет злоумышленнику с доступом к сети vCenter Server выполнить произвольный код.
Уязвимость была обнаружена в октябре 2023 года. Вскоре после ее обнаружения компания VMware выпустила обновления, исправляющие эту уязвимость, а также некоторые другие. Ввиду серьезности проблемы компания выпустила патчи даже для старых версий продукта, срок поддержки которых уже истек. На момент обнаружения не было подтвержденных случаев использования этой уязвимости, однако 17 января 2024 года VMware обновила свои рекомендации по устранению последствий, в которых подтвердила факты эксплуатации уязвимости при проведении кибератак.
Эксперты Mandiant сообщают, что уязвимость использовалась китайской преступной кибергруппировкой UNC3886 еще с конца 2021 года. По информации Mandiant, UNC3886 известна тем, что фокусируется на организациях оборонного, правительственного, телекоммуникационного и технологического секторов в США и регионе APJ (Asia-Pacific and Japan).
По информации Enlyft, более 10 000 компаний по всему миру используют vCenter Server, 43% из них — большого размера (более 1000 сотрудников). Чаще всего данные продукты используются в отрасли информационных технологий (33%), финансовом секторе (4,3%) и в области медицины (3,6%).
Для устранения уязвимости необходимо следовать рекомендациям экспертов вендора и обновить VMware vCenter Server до актуальной версии.
Уязвимость, связанная с получением контроля над чужой учетной записью (Authentication Bypass) в GitLab CE/EE
CVE-2023-7028 (балл по CVSS — 10,0)
GitLab CE/EE — это система управления репозиториями Git для совместной разработки проектов. Уязвимость GitLab CE/EE позволяет получить контроль над чужой учетной записью путем манипуляций с формой восстановления пароля. Злоумышленник может отправить письмо с кодом для сброса пароля на заранее подготовленный неподтвержденный адрес электронной почты. Для эксплуатации уязвимости необходимо, чтобы у учетной записи была отключена двухфакторная аутентификация, либо злоумышленник должен обойти двухфакторную аутентификацию при помощи социальной инженерии или другим способом.
Компания GitLab заявляла, что на момент публикации бюллетеня безопасности случаев активной эксплуатации для данной уязвимости обнаружено не было. Однако с помощью поисковой системы Netlas было обнаружено более 89 000 инсталляций Gitlab, из них около 10 000 — на российских IP-адресах.
Для исправления уязвимости необходимо следовать рекомендациям разработчиков и обновить GitLab до актуальной версии. Кроме того, всем пользователям следует настроить двухфакторную аутентификацию для повышения уровня защищенности аккаунта. Компания предложила способ проверки аккаунтов на факт компрометации: необходимо проверить файл gitlab-rails/production_json.log на наличие HTTP-запросов к пути /users/password с параметром params.value.email, состоящим из массива JSON с несколькими адресами электронной почты. Следует также проверить файл gitlab-rails/audit_json.log на наличие записей с meta.caller.id из PasswordsController#create и target_details, состоящих из массива JSON с несколькими адресами электронной почты.
Стоит отметить, что риск эксплуатации с уязвимости при использовании двухфакторной аутентификации сохраняется.
Уязвимость, связанная с произвольным чтением файлов (Arbitrary File Reading) в Jenkins CLI
CVE-2024-23897 (балл по CVSS — 9,8)
Jenkins — программная система с открытым исходным кодом на Java, предназначенная для обеспечения процесса непрерывной интеграции программного обеспечения. Эксплуатация уязвимости в модуле CLI позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, прочесть произвольный файл либо выполнить произвольный код на сервере Jenkins.
Компания выпустила исправления для девяти уязвимостей в системе безопасности, в числе которых есть CVE-2024-23897, 24 января.
Некоторые эксперты сообщают, что их серверы-приманки Jenkins уже подверглись атакам — а значит, хакеры уже начали эксплуатировать уязвимость. Есть сообщения об успешной эксплуатации.
По информации Enlyft, во всем мире найдено более 77 000 компаний, использующих Jenkins. Бо́льшая часть из них находится в США (45%), Индии (7%) и Великобритании (7%). Распределение компаний, использующих Jenkins, по размеру (количеству сотрудников) выглядит следующим образом: 35% — малого размера (менее 50 работников), 46% — среднего размера, а также 18% компаний — большого размера (более 1000 сотрудников).
Исследователи Shadowserver сообщают, что в сети обнаружено около 45 000 непропатченных экземпляров Jenkins, большинство из которых находятся в Китае (12 000) и США (11 830).
Для устранения уязвимости необходимо следовать рекомендациям разработчиков компании Jenkins и установить актуальную версию продукта. Тем, у кого нет возможности в ближайшее время установить обновления, рекомендуется отключить доступ к CLI.
Уязвимость, связанная с удаленным выполнением кода (Remote Code Execution) в Junos OS
CVE-2024-21591 (балл по CVSS — 9,8)
Junos OS — это операционная система, созданная на основе FreeBSD и используемая в оборудовании компании Juniper Networks. Уязвимость в веб-интерфейсе данной ОС вызвана ошибкой работы с памятью, позволяющей злоумышленнику записывать данные в произвольные участки памяти за пределами выделенного блока. Успешная эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику выполнить произвольный код на устройстве либо вызвать отказ в обслуживании.
Случаев эксплуатации уязвимости на практике не выявлено. Тем не менее сообщается, что обнаружено более 10 000 устройств Juniper с веб-интерфейсом, доступным через интернет, бо́льшая часть из них находится в Азии (Южная Корея, Гонконг, Китай) и США. Кроме того, большинство из них доступны по стандартным портам: 443, 80 и 8080.
Для исправления уязвимости рекомендуется как можно скорее установить патч. Если возможности установить патч нет, компания Juniper рекомендует отключить функцию веб-интерфейса или ограничить доступ к нему, оставив возможность только для определенных доверенных узлов.
Уязвимость, приводящая к раскрытию информации (Information Disclosure) в Microsoft Outlook
CVE-2023-35636 (балл по CVSS — 6,5)
Microsoft Outlook — персональный информационный менеджер с функциями почтового клиента, входящий в пакет офисных программ Microsoft Office. Уязвимость раскрытия информации в Microsoft Outlook позволяет злоумышленнику получить NTLMv2-хеши пользователей. Для эксплуатации уязвимости злоумышленник может применять несколько сценариев атаки: с использованием Microsoft Outlook, обработчиков URI и WPA и проводника Windows. В сценарии атаки по электронной почте злоумышленнику необходимо отправить пользователю специально созданный файл или ссылку и убедить его открыть содержимое. В ходе веб-атаки злоумышленник создает вредоносный сайт и отправляет жертве фишинговое электронное письмо с ссылкой на вредоносный ресурс. Переход по ссылке приводит к автоматическому перенаправлению на полезную нагрузку.
Хотя официальных заявлений об использовании уязвимости для проведения атак нет, Outlook остается привлекательной целью для злоумышленников: этот инструмент электронной почты и календаря (по умолчанию для пакета Microsoft 365), используется миллионами людей по всему миру как для работы, так и для личных целей.
По заявлению экспертов, Microsoft Outlook используют более 3,17 миллиона компаний по всему миру с суммарным числом пользователей более 400 миллионов. Из них 35% — небольшие компании (менее 50 сотрудников), 47% — среднего размера и 17% — крупные компании (1000 сотрудников и более).
Для устранения уязвимости необходимо следовать рекомендациям экспертов Microsoft и установить патч, выпущенный 12 декабря 2023 года.
