Приветствую вас!
Меня зовут Анастасия Травкина, я младший аналитик в компании Вебмониторэкс. Вместе с отделом детекта мы подготовили дайджест по уязвимостям за прошедшие два месяца лета. Эта информация поможет вам обезопасить свои системы и предотвратить потенциальные угрозы.
Мониторинг уязвимостей помогает своевременно выявлять и устранять потенциальные угрозы. Регулярный аудит систем, обновление программного обеспечения и обучение сотрудников помогут создать надежную защиту от потенциальных атак. Не забывайте: безопасность — это не конечная цель, а постоянный процесс!
Обращаем ваше внимание на следующие уязвимости:
⚡️ Zabbix Audit Log CVE-2024-22120
⚡️ Git CVE-2024-32002
⚡️WordPress PostX Plugin CVE-2024-5326
⚡️Atlassian Confluence Data Server и Data Center CVE-2024-21683
⚡️ JetBrains TeamCity CVE-2024-36370
⚡️ PHP CVE-2024-4577
⚡️ Mailcow CVE-2024-31204/ CVE-2024-30270
⚡️ Adobe Commerce/Magento CVE-2024-34102
⚡️ Docassemble - CVE-2024-27292
⚡️ Microsoft SharePoint Server 2019 - CVE-2024-38094/ CVE-2024-38023/ CVE-2024-38024
Эти уязвимости охватывают широкий спектр технологий и платформ, и каждая из них требует своевременного устранения потенциальных угроз. Внимательно ознакомьтесь с описанием каждой уязвимости и следуйте рекомендациям по обновлению для защиты ваших систем.
Zabbix Audit Log CVE-2024-22120
Обнаружена уязвимость в недостаточной проверке входных данных, которая ведет к SQL-инъекции.
Затронутые версии: 6.0.0-6.0.27, 6.4.0-6.4.12, 7.0.0alpha1-7.0.0beta1.
Рекомендация: обновите Zabbix до безопасной версии, чтобы защититься от SQL-инъекций.
Git CVE-2024-32002
Обнаружена уязвимость в использовании symlinks при использовании hooks. Эксплуатация данной уязвимости ведет к удаленному выполнению кода (RCE).
Устранение: git config --global core.symlinks false
Рекомендация: настройте Git с помощью команды git config --global core.symlinks false, чтобы предотвратить RCE через хуки.
WordPress PostX Plugin CVE-2024-5326
Обнаружена уязвимость, оцененная по CVSS в 8.8, во всех версиях плагина, включая 4.1.2.
Проблема: отсутствует проверка прав доступа на изменение данных, что позволяет авторизованным пользователям изменять настройки всего сайта, включая установку роли "Администратор" для новых пользователей.
Рекомендация: Обновите плагин до последней версии и ограничьте доступ к настройкам.
Atlassian Confluence Data Server и Data Center CVE-2024-21683
Затронутые версии: 8.9.0, 8.8.0 - 8.8.1, 8.7.1 - 8.7.2, 8.6.0 - 8.6.2, 8.5.0 - 8.5.8 (LTS), 8.4.0 - 8.4.5, 8.3.0 - 8.3.4, 8.2.0 - 8.2.3, 8.1.0 - 8.1.4, 8.0.0 - 8.0.4, 7.20.0 - 7.20.3, 7.19.0 - 7.19.21.
Проблема: уязвимость кода, позволяющая авторизованному пользователю запускать вредоносный код (RCE).
Рекомендация: Установите последние обновления безопасности.
JetBrains TeamCity CVE-2024-36370
Затронутые версии: до 2022.04.7, 2022.10.0 - 2022.10.6, 2023.05.0 - 2023.05.6, 2023.11.0 - 2023.11.5.
Проблема: уязвимость в процессе CI/CD при использовании OAuth протокола позволяет проводить межсайтовые сценарные атаки (XSS).
Рекомендация: Проведите анализ и обновите систему.
PHP CVE-2024-4577 (CVE-2012-1823)
Для известной уязвимости (CVE-2012-1823), исправленной ранее, появилось дополнение.
Проблема: При использовании php-cgi на Windows с определенными кодировками (GB2312, shift_jis и т.д.) знак равенства интерпретируется неверно, что позволяет передавать параметры запроса как аргументы в командной строке, из чего следует удаленное исполнение кода (RCE).
Рекомендация: Проверьте настройки и обновите используемые компоненты.
Mailcow (версии до 2024-04) CVE-2024-31204
Уязвимость в Mailcow, позволяющая за счет неверной обработки информации (sanitize) во время сохранения информации о ошибке, в дальнейшем эксплуатировать XSS, внедряя вредоносный код в панель администратора
Mailcow (версии до 2024-04) CVE-2024-30270
Уязвимость в Mailcow, которая является комбинацией Path Traversal и выполняя код, использует функцию rspamd_maps()
Adobe Commerce/Magento CVE-2024-34102
Обнаружена критическая уязвимость в Adobe Commerce и Magento - CVE-2024-34102, оцененная по CVSS в 9.8, которая позволяет злоумышленнику удаленно выполнить произвольный код на сервере. Проблема связана с внедрением XML-объектов перед аутентификацией (XXE).
Эта уязвимость позволяет злоумышленнику отфильтровать файл app/etc/env.php, который содержит криптографический ключ для подписи JWT, используемых для аутентификации. В результате злоумышленник может создать JWT администратора и получить полный доступ к вашему API Magento. Это создает серьезный риск для безопасности данных и инфраструктуры.
Уязвимость CVE-2024-34102 затрагивает Adobe Commerce версий 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 и более ранние версии.
Критическая уязвимость в Docassemble - CVE-2024-27292
Уязвимость обхода пути без проверки подлинности раскрывает конфиденциальные файлы и секреты, что может привести к повышению привилегий и внедрению шаблонов, позволяя выполнять удаленный код. Уязвимость затрагивает версии Docassemble с 1.4.53 по 1.4.96.
Эта уязвимость позволяет злоумышленникам получать несанкционированный доступ к информации в системе посредством манипулирования URL. Это может привести к утечке данных, раскрытию конфиденциальной информации и предоставлению злоумышленникам доступа к важным ресурсам, что может использоваться для дальнейших атак.
Эксплойт, подтверждающий концепцию, доступен на GitHub и уже используется злоумышленниками. Они могут считывать конфиденциальную информацию из произвольных файлов на сервере, что создает серьезный риск для безопасности данных.
Исправление доступно в версии Docassemble 1.4.97. Если немедленное обновление невозможно, рассмотрите возможность внедрения дополнительных средств контроля доступа, проверки входных данных и очистки URL-адресов. Отслеживайте системные журналы на предмет подозрительных попыток доступа по URL и ограничивайте доступ к системе только доверенным пользователям.
Microsoft SharePoint Server 2019 — RCE
Недавнее обновление системы безопасности устраняет несколько уязвимостей удаленного выполнения кода и раскрытия информации в Microsoft SharePoint Server. Эти уязвимости могут серьезно повлиять на безопасность ваших данных и инфраструктуры.
CVE-2024-38094: Уязвимость удаленного выполнения кода в Microsoft SharePoint.
Аутентифицированный злоумышленник с правами владельца сайта может выполнять произвольный код в контексте сервера SharePoint.
CVE-2024-38023: Уязвимость раскрытия информации в Microsoft SharePoint Server.
Злоумышленник с правами владельца сайта или выше может загрузить специально созданный файл и отправить запросы API, чтобы выполнить код на сервере SharePoint.
CVE-2024-38024: Уязвимость раскрытия информации в Microsoft SharePoint Server.
Прошедший проверку подлинности злоумышленник с правами владельца сайта может выполнить произвольный код на сервере SharePoint.
Постоянное обновление и контроль — ключ к надежной защите. Использование продуктов Вебмониторэкс поможет вам создать устойчивую защиту от потенциальных атак, оперативно реагировать на угрозы и поддерживать высокий уровень безопасности вашей инфраструктуры.
Все об API Security, Web Security. Еще немного про уязвимости и технические изыскания команды Вебмониторэкс. Никакой рекламы. Только полезные материалы. https://t.me/WMXWAS
Автор: travkina_anastasia