В мае 2024 г. эксперты Positive Technologies отнесли к трендовым четыре уязвимости: это уже использовавшиеся в кибератаках уязвимости и те, эксплуатация которых прогнозируется на ближайшее время. К трендовым специалисты отнесли уязвимости, обнаруженные в продуктах Microsoft, опенсорсном инструменте для сбора и обработки логов Fluent Bit и корпоративной веб-вики Confluence. Об этом CNews сообщили представители Positive Technologies.
Трендовыми уязвимостями называются наиболее опасные недостатки в инфраструктуре компаний, которые нужно быстро устранить или принять компенсирующие меры. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и т. п. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями нового поколения — MaxPatrol VM, информация о них поступает в продукт в течение 12 часов.
Уязвимости Windows, описанные ниже, потенциально затрагивают, согласно данным The Verge, около миллиарда устройств. Они могут коснуться всех пользователей устаревших версий Windows.
Уязвимость обхода функций безопасности в движке для обработки и отображения HTML-страниц Windows MSHTML[1] — CVE-2024-30040 (CVSS — 8,8)
Эксплуатация уязвимости позволяет злоумышленникам обходить функции безопасности Object Linking and Embedding (OLE)[2] в Microsoft 365 и Microsoft Office, защищающие пользователей от вредоносных файлов. Эксплуатация этой уязвимости может в дальнейшем привести к развитию атаки и реализации недопустимого для организации события.
Для эксплуатации уязвимости злоумышленнику потребуется с помощью фишинга убедить пользователя загрузить вредоносный файл в уязвимую систему. Если пользователь откроет специально подготовленный файл, атакующий, даже не проходя аутентификацию в системе, сможет выполнить код в системе жертвы и начать управлять ей.
Уязвимость повышения привилегий в библиотеке ядра Windows DWM[3] Core Library — CVE-2024-30051 (CVSS — 7,8)
Эксплуатация этой уязвимости позволяет злоумышленнику повысить свои привилегии до уровня системных после получения первоначального доступа к системе. Это позволит ему закрепиться на узле сети и продолжить развитие атаки.
Исследователи из «Лаборатории Касперского» отмечают, что эта уязвимость эксплуатируется совместно с QakBot[4] и другими вредоносными программами. Также они полагают, что к эксплойту имеют доступ несколько группировок злоумышленников.
Для устранения перечисленных выше уязвимостей Microsoft рекомендует установить соответствующие обновления безопасности: CVE-2024-30040, CVE-2024-30051.
Уязвимость удаленного выполнения кода во встроенном HTTP-сервере в опенсорсном инструменте для сбора и обработки логов Fluent Bit[5] — CVE-2024-4323 (CVSS — 9,8)
Согласно данным Cloud Native, Fluent Bit был скачан пользователями более 13 млрд раз.
В отчете Tenable Research говорится, что некоторые варианты эксплуатации уязвимости могут привести к отказу в обслуживании и утечкам информации.
Эта уязвимость вызвана ошибкой в исходном коде приложения. Эксплуатируя ее, злоумышленник может отправить на компьютер пользователя большой объем данных, а следом — полезную нагрузку. В роли конечных точек могут выступать конечные точки API, доступные неавторизированному пользователю.
Для устранения уязвимости необходимо обновить систему в соответствии с официальными рекомендациями Fluent Bit.
Уязвимость удаленного выполнения кода в корпоративной веб-вики Confluence — CVE-2024-21683 (CVSS — 8,3)
По данным Shadow Server, в сети работает 10 тыс. устройств Atlassian Confluence, из которых в России расположено более 300.
Эксплуатация уязвимости позволяет аутентифицированному злоумышленнику выполнить произвольные команды на сервере. В результате он может получить полный контроль над системой с целью дальнейшего развития атаки.
Для устранения уязвимости необходимо обновить систему в соответствии с официальными рекомендациями Atlassian.
Поделиться