Я Александр Леонов, ведущий эксперт PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях, полученную из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода, и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те недостатки, которые либо уже эксплуатируются, либо будут в ближайшее время. В статье мы также рассмотрим несколько вопросов, которые касаются практик управления уязвимостями.
Уязвимости в Windows
-
Уязвимость, связанная с раскрытием хеш-суммы NTLMv2 (CVE-2024-43451).
-
Уязвимость, связанная с повышением привилегий, в планировщике заданий Task Scheduler (CVE-2024-49039).
-
Уязвимость, связанная с подменой данных об отправителе, в почтовом сервере Microsoft Exchange (CVE-2024-49040).
Уязвимости в Ubuntu
-
Уязвимость, связанная с повышением привилегий, в пакете needrestart для определения перезапуска процессов (CVE-2024-48990).
Уязвимость в FortiManager, системе управления Fortinet
-
Уязвимость, связанная с удаленным выполнением кода, в FortiManager (CVE-2024-47575).
Уязвимости в продуктах Palo Alto Networks:
-
Уязвимость, связанная с обходом аутентификации в веб-интерфейсе PAN-OS (CVE-2024-0012).
-
Уязвимость, связанная с повышением привилегий в PAN-OS (CVE-2024-9474).
Уязвимость в продуктах Zyxel:
-
Уязвимость, связанная с обходом каталога, в межсетевых экранах Zyxel (CVE-2024-11667).
Практики управления уязвимостями:
-
Можно ли заниматься управлением уязвимостями без бюджета?
-
Должен ли VM-специалист в задаче на устранение уязвимости указывать патч, который нужно установить на узле?
Уязвимости в продуктах Microsoft
Уязвимость, связанная с раскрытием хеш-суммы NTLMv2, в Windows
📌 CVE-2024-43451 (оценка по CVSS — 6,5; средний уровень опасности)
Уязвимость, устраненная в рамках ноябрьского Microsoft Patch Tuesday. Для нее сразу были признаки эксплуатации вживую. Она связана с устаревшей платформой MSHTML, которая до сих пор используется в Windows. Для эксплуатации пользователь должен минимально провзаимодействовать со зловредным URL-файлом: щелкнуть по нему правой кнопкой мыши, удалить его или перенести в другую папку. Открывать вредоносный файл не требуется. В результате злоумышленник получает хеш-сумму NTLMv2 пользователя, которую может применить для аутентификации.
По данным компании ClearSky, уязвимость используется для распространения SparkRAT — трояна удаленного доступа с открытым исходным кодом.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Уязвимость добавили в CISA KEV.
Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.
Публично доступные эксплойты: нет в открытом доступе.
Уязвимость, связанная с повышением привилегий, в планировщике заданий Windows
📌 CVE-2024-49039 (оценка по CVSS — 8,8; высокий уровень опасности)
Уязвимость, устраненная в рамках ноябрьского Microsoft Patch Tuesday. Для нее сразу были признаки эксплуатации вживую. Для эксплуатации недостатка аутентифицированный злоумышленник запускает в целевой системе специальное приложение. Атака может быть произведена из AppContainer — ограниченной среды, в которой приложения получают доступ только к предоставленным им ресурсам.
С помощью этой уязвимости злоумышленник способен повысить свои права до уровня по умолчанию (medium integrity) и выполнить функции удаленного вызова процедур (RPC), доступные только привилегированным учетным записям. ESET сообщает, что, проэксплуатировав уязвимость, атакующие из RomCom выполняли зловредный код вне песочницы Firefox, а затем запускали скрытые PowerShell-процессы для скачивания и запуска ВПО с C2-серверов.
На GitHub есть код бэкдора, эксплуатирующего эту уязвимость.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Уязвимость добавили в CISA KEV.
Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.
Публично доступные эксплойты: существует в открытом доступе.
Уязвимость, связанная с подменой данных об отправителе, в почтовом сервере Microsoft Exchange
📌 CVE-2024-49040 (оценка по CVSS — 7,5; высокий уровень опасности)
Уязвимость, устраненная в рамках ноябрьского Microsoft Patch Tuesday. Некорректно сформулированная политика обработки хедера P2 FROM позволяет злоумышленнику сделать так, чтобы адрес его почты выглядел легитимным для жертвы (например, как адрес коллеги по работе). Это, естественно, значительно повышает эффективность фишинговых атак.
Первоначальные исправления, опубликованные 12 ноября, были отозваны через два дня: их установка приводила к сбоям. Новые исправления опубликованы Microsoft только 27 ноября.
Признаки эксплуатации: Microsoft отмечает, что уязвимость может эксплуатироваться злоумышленниками.
Количество потенциальных жертв: все пользователи Microsoft Exchange Server 2016 и 2019, которые не скачали обновления безопасности.
Публично доступные эксплойты: нет в открытом доступе.
Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальных страницах Microsoft — CVE-2024-43451, CVE-2024-49039, CVE-2024-49040.
От Windows перейдем к Linux, а точнее — к Ubuntu.
Уязвимость в Ubuntu
Уязвимость, связанная с повышением привилегий, в пакете needrestart для определения перезапуска процессов
📌 CVE-2024-48990 (оценка по CVSS — 7,8; высокий уровень опасности)
Qualys 19 ноября выпустили бюллетень безопасности про пять уязвимостей, связанных с повышением привилегий (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 и CVE-2024-11003), в утилите needrestart — она используется по умолчанию в Ubuntu Server начиная с версии 21.04.
Утилита запускается автоматически после операций пакетного менеджера APT, таких как установка, обновление или удаление пакетов. Она определяет, требуется ли перезагрузить систему или ее службы. Таким образом гарантируется, что службы используют последние версии библиотек, без снижения аптайма.
Все пять уязвимостей позволяют обычному пользователю стать суперпользователем с максимальными правами (root). Для всех у Qualys есть приватные эксплойты.
Публичный эксплойт есть пока только для одной, связанной с переменной окружения PYTHONPATH. Он доступен на GitHub с 20 ноября.
Признаки эксплуатации: случаев эксплуатации уязвимости не выявлено.
Количество потенциальных жертв: все пользователи уязвимых версий Ubuntu Server и других дистрибутивов Linux, в которых установлен пакет needrestart до версии 3.8.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Способы устранения, компенсирующие меры: пользователям необходимо обновить ПО, следуя рекомендациям, и отключить функцию interpreter scanning в файле конфигурации needrestart.
А теперь расскажу про четыре уязвимости в сетевых устройствах.
Уязвимость в системе управления FortiManager
Уязвимость, связанная с удаленным выполнением кода
📌 CVE-2024-47575 (оценка по CVSS — 9,8; критический уровень опасности)
Информация об уязвимости появилась 23 октября. Отсутствие аутентификации для критически значимой функции в демоне fgfmd (FortiGate to FortiManager) на устройствах FortiManager позволяет удаленному злоумышленнику выполнять произвольный код или команды с помощью специальных запросов. Сразу были признаки эксплуатации вживую, и уязвимость добавили в CISA KEV.
watchTowr Labs опубликовали пост об этой уязвимости 15 ноября — специалисты назвали ее FortiJump. В посте есть видео эксплуатации и ссылка на PoC эксплойта. Исследователи указали, что индикаторы компрометации из бюллетеня Fortinet можно обойти, а сам патч оказался неполным. На пропатченном устройстве можно повысить привилегии, проэксплуатировав уязвимость, которую в watchTowr Labs назвали FortiJump Higher.
Признаки эксплуатации: Fortinet отмечает факты эксплуатации уязвимости.
Количество потенциальных жертв: все пользователи уязвимых версий. Исследователи сообщают, что в интернете доступны более 55 000 устройств FortiManager.
Публично доступные эксплойты: существуют в открытом доступе. Эксплойт добавлен в Metasploit Framework — популярный инструмент для тестирования на проникновение.
Способы устранения, компенсирующие меры: всем пользователям рекомендуется обновить FortiManager до исправленной версии. Если установить актуальную версию прошивки невозможно, Fortinet предлагает использовать компенсирующие меры:
✔️ Запретить устройствам с неизвестными серийными номерами регистрироваться в FortiManager, добавив соответствующий параметр в файл конфигурации FortiManager (для версий 7.0.12 и выше, 7.2.5 и выше, 7.4.3 и выше);
✔️ Использовать пользовательский сертификат при создании SSL-туннеля и аутентификации устройств FortiGate с помощью FortiManager (для версий 7.2.2 и выше, 7.4.0 и выше, 7.6.0 и выше);
✔️ Создать «белый» список IP-адресов устройств FortiGate, которым разрешено подключаться к FortiManager (для версий 7.2.0 и выше).
Уязвимости в продуктах Palo Alto Networks
Уязвимость, связанная с обходом аутентификации в веб-интерфейсе PAN-OS
📌 CVE-2024-0012 (оценка по CVSS — 9,8; критический уровень опасности)
Неаутентифицированный злоумышленник, имеющий сетевой доступ к веб-интерфейсу управления устройствами Palo Alto Networks, может получить привилегии администратора PAN-OS для выполнения административных действий, изменения конфигурации или эксплуатации других уязвимостей. Уязвимы файрволы серий PA, VM, CN и платформа управления Panorama. Вендор рекомендует ограничить доступ к веб-интерфейсу управления только доверенными внутренними IP-адресами.
Хронология:
-
8 ноября опубликован бюллетень Palo Alto Networks.
-
15 ноября появились признаки атак, которые в Palo Alto Networks обозначили как Operation Lunar Peek.
-
18 ноября уязвимость добавлена в CISA KEV.
-
19 ноября исследователи из watchTowr Labs выпустили пост с техническими деталями («Укажите значение off в заголовке HTTP-запроса X-PAN-AUTHCHECK, и сервер любезно отключит аутентификацию», говорится в посте), и на GitHub практически сразу появились эксплойты.
Признаки эксплуатации: Palo Alto Networks отмечает факты эксплуатации уязвимости. По данным Arctic Wolf, злоумышленники используют ее совместно с другой уязвимостью в PAN-OS (CVE-2024-9474) с 19 ноября.
Количество потенциальных жертв: Shadowserver сообщили о компрометации более чем 2000 узлов, в основном в США и Индии.
Публично доступные эксплойты: существует в открытом доступе. Эксплойт добавлен в Metasploit Framework.
Способы устранения, компенсирующие меры: установить обновления на уязвимые устройства и следовать рекомендациям вендора.
Уязвимость, связанная с повышением привилегий в PAN-OS
📌 CVE-2024-9474 (оценка по CVSS — 7,2; высокий уровень опасности)
Злоумышленник, имеющий доступ к веб-интерфейсу управления устройствами Palo Alto Networks с правами администратора PAN-OS, может выполнять действия от лица суперпользователя (root). Эксплуатация строится на том, что в одном из скриптов (createRemoteAppwebSession.php) не проверяются входные данные — и это позволяет сделать инъекцию команд Linux.
Необходимость в аутентификации и получении админских прав делали бы уязвимость малополезной. Но тут вспоминаем про предыдущую уязвимость, связанную с authentication bypass в PAN-OS (CVE-2024-0012). В Palo Alto Networks заметили эксплуатацию цепочки этих уязвимостей 17 ноября. После 19 ноября, когда вышла статья watchTowr Labs и появились рабочие эксплойты, начались массовые атаки. По данным Wiz, злоумышленники развертывали на них веб-шеллы, импланты Sliver и криптомайнеры.
Признаки эксплуатации: Palo Alto Networks отмечает факты эксплуатации уязвимости. Кроме того, CISA добавило этот недостаток в каталог известных эксплуатируемых уязвимостей.
Количество потенциальных жертв: Shadowserver сообщили о компрометации более чем 2000 узлов, в основном в США и Индии.
Публично доступные эксплойты: в открытом доступе существует инструмент для эксплуатации уязвимости. Кроме того, в Metasploit Framework добавлен эксплойт.
Способы устранения, компенсирующие меры: установить обновления на уязвимые устройства и следовать рекомендациям вендора.
Уязвимость в продуктах Zyxel
Уязвимость, связанная с обходом каталога, в межсетевых экранах Zyxel
📌 CVE-2024-11667 (оценка по CVSS — 7,5; высокий уровень опасности)
Уязвимость, связанная с обходом директорий, в веб-интерфейсе управления файрволом Zyxel позволяет неаутентифицированному злоумышленнику загружать или выгружать файлы через специальный URL-адрес. Уязвимости подвержены версии прошивки Zyxel ZLD от 5.00 до 5.38, используемые в сериях устройств ATP, USG FLEX, USG FLEX 50(W) и USG20(W)-VPN.
Специалисты из компании Sekoia обнаружили в своих ханипотах эксплуатацию этой уязвимости рансомварщиками из группы Helldown. Публичных эксплойтов пока нет.
Zyxel рекомендует:
✔️ Обновить прошивку до версии 5.39, которая вышла 3 сентября.
✔️ Отключить удаленный доступ до обновления устройств.
✔️ Изучить лучшие практики по конфигурированию устройств.
Если в вашей компании используются файрволы Zyxel, обратите внимание.
Признаки эксплуатации: Zyxel отмечает факты эксплуатации уязвимости. По данным CERT-Bund, она активно используется для распространения программы-вымогателя Helldown, среди потенциальных жертв которой — 32 компании по всему миру.
Количество потенциальных жертв: все пользователи межсетевых экранов Zyxel ATP и USG FLEX с прошивкой ZLD версий 4.32–5.38.
Публично доступные эксплойты: нет в открытом доступе.
Способы устранения, компенсирующие меры: пользователям рекомендуется обновить уязвимые версии прошивки и изменить учетные данные администратора.
🦸♂️ Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов, что позволяет своевременно принять меры для устранения наиболее опасных из них и защитить инфраструктуру компании. Кроме того, мы рекомендуем использовать межсетевые экраны уровня веб-приложений, например PT Application Firewall, которые позволяют обезопасить общедоступные ресурсы.
В дайджесте приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 30 ноября 2024 года.
Практики управления уязвимостями
Можно ли заниматься управлением уязвимостями без бюджета❓
В принципе да. По большей части для организации этого процесса не требуется закупать какие-либо решения. Детектировать и описывать активы вы можете самостоятельно, согласовывать с владельцами активов SLA об устранении уязвимостей (и, желательно, регулярный патчинг) — тоже. Заведение тасков и отслеживание их статуса не так сложно заскриптовать.
Основная трудность — детектирование уязвимостей. Сложно представить инфраструктуру организации, для которой будет достаточно бесплатных утилит. Разве что там используются только Linux-узлы и софт ставится только из официального репозитория. Тогда да, хватит OpenSCAP с контентом от вашего Linux-вендора.
При использовании коммерческих решений тоже будут слепые пятна — инсталляции софта или «железа», для которых уязвимости не детектируются. Но в случае только одних бесплатных утилит это одно сплошное слепое пятно.
В теории — все возможно, особенно если у специалиста в сутках 48 часов и нет других задач. Но на практике гораздо проще и эффективнее заниматься VM и использовать коммерческие решения по управлению уязвимостями нового поколения.
Должен ли VM-специалист в задаче на устранение уязвимости указывать патч, который нужно установить на узле❓
Я думаю так: если есть простой способ отдавать такую информацию службе IT, то нужно это делать. Например, если рекомендации выдает сканер уязвимостей. Если же требуется трудоемкий ресерч, то заниматься этим не следует, иначе все превратится в очередное «докажи — покажи». И вместо построения VM-процесса для повышения безопасности всей организации вы будете выяснять, какая уязвимость какой KB-шкой закрывается. Такое себе.
Важно не забывать: если уязвимость детектируется на узле, то это свидетельствует о том, что в работе службы IT что-то не так. В идеале все должно фикситься в рамках процесса безусловного регулярного патчинга. А сканирование на уязвимости должно лишь подтверждать, что все действительно регулярно обновляется. Если в IT-отделе к этому не готовы — пусть решают вопросы с каждой конкретной уязвимостью и каждым конкретным патчем.
Александр Леонов
Ведущий эксперт PT Expert Security Center
Автор: ptsecurity
