Эксперты Positive Technologies отнесли к трендовым уязвимостям марта пять проблем, обнаруженных в продуктах Fortinet, JetBrains и Microsoft. К трендовым относятся уязвимости уже использовавшиеся в атаках и те, эксплуатация которых прогнозируется на ближайшее время.
Для выявления трендовых уязвимостей эксперты компании собирают информацию из различных источников (баз уязвимостей, бюллетеней безопасности вендоров, социальных сетей, блогов, Telegram-каналов, баз эксплоитов, публичных репозиториев кода и так далее) и актуализируют ее. В топ уязвимостей, которые активно эксплуатировались в прошлом месяце, вошли следующие баги.
Удаленное выполнение кода с помощью внедрения SQL-кода в FortiClient EMS
CVE-2023-48788 (9,8 балла по шкале CVSS)
По данным ShadowServer, в интернете работают 1064 устройства, связанные с FortiClient EMS.
Проблема была обнаружена компанией Horizon3.ai в центральной системе управления Enterprise Management Server и сервере доступа к базе данных — FCTDas.exe. В ходе исследования было выявлено, что потенциально зараженные SQL-запросы можно отправлять на порт 8013 в EMS, после чего они будут попадать в запрос к БД. В конечном итоге злоумышленник может получить возможность удаленного выполнения кода на скомпрометированном узле. Это может привести к развитию атаки и реализации недопустимых для организации событий.
Для устранения уязвимости необходимо скачать обновление с официального сайта Fortinet.
Обход аутентификации в JetBrains TeamCity, приводящий к удаленному выполнению кода
CVE-2024-27198 (9,8 балла по шкале CVSS)
По данным Shodan, в интернете работает более 20 000 устройств, связанных с TeamCity.
Согласно исследованию Rapid7, злоумышленник может использовать специально сгенерированный URL, чтобы получить доступ к серверу JetBrains TeamCity, оставаясь неаутентифицированным. Хакер может обратиться к критически важной конечной точке, и например, создать нового пользователя-администратора или новый токен доступа администратора, получив полный контроль над системой. Но главная опасность заключается в том, что TeamCity используется в компаниях для сборки софта. Поэтому злоумышленники, скомпрометировав TeamCity, могут попытаться внедрить вредоносную функциональность в продукты компании. Так может быть реализована атака на цепочку поставок — злоумышленник получит доступ к инфраструктуре клиентов атакуемого вендора софта.
Для устранения уязвимости требуется обновить версию TeamCity до 2023.11.4.
Уязвимость ядра Windows, приводящая к повышению привилегий компонента Windows — AppLocker
CVE-2024-21338 (7,8 балла по шкале CVSS)
По данным Avast, уязвимость эксплуатировалась APT-группировкой Lazarus, наряду с с использованием руткита FudModule, что обеспечивало более незаметное для детектирования повышение привилегий. Затем руткит мог напрямую манипулировать объектами ядра Windows для отключения продуктов безопасности, маскировки вредоносных действий и обеспечения устойчивости на зараженной системе.
Эксплуатация уязвимости позволяет авторизованному злоумышленнику повысить привилегии до максимальных. После этого злоумышленник может получить полный контроль над узлом, на котором он использовал уязвимость. В результате это может привести к потере и краже данных, а также к развитию атаки и реализации недопустимых для организации событий.
Удаленное выполнение кода в Microsoft Outlook
CVE-2024-21378 (8 баллов по шкале CVSS)
Эксплуатация уязвимости позволяет злоумышленнику добиться выполнения произвольного кода в системе жертвы при активации формы в Microsoft Outlook. Для компаний, в которых используются Microsoft Exchange и Outlook, возникает опасность эксплуатации уязвимости после того, как злоумышленники получили первоначальный доступа к инфраструктуре. Это может привести к реализации недопустимых для организации событий.
Исследователи из компании NetSPI, обнаружившие эту уязвимость, обещают добавить функциональность по ее эксплуатации в опенсорсную утилиту Ruler. Эта утилита используется для проведения пентестов, однако ее могут применять в своих атаках и злоумышленники.
Повышение привилегий с помощью повреждения Windows Kernel Pool (clfs.sys)
CVE-2023-36424 (7,8 балла по шкале CVSS)
Эксплуатация уязвимости позволяет авторизованному злоумышленнику повысить привилегии до максимальных. После этого атакующий может получить полный контроль над узлом, где он использовал уязвимость.
Для устранения уязвимостей в своих системах Microsoft рекомендует установить обновления, которые можно скачать на страницах, посвященных уязвимостям: CVE-2024-21338, CVE-2024-21378, CVE-2023-36424. Также Microsoft опубликовала руководство по обнаружению и устранению нарушений в правилах и формах Outlook.
