Positive Technologies представила топ трендовых уязвимостей за май

В мае 2024 г. эксперты Positive Technologies отнесли к трендовым четыре уязвимости: это уже использовавшиеся в кибератаках...

В мае 2024 г. эксперты Positive Technologies отнесли к трендовым четыре уязвимости: это уже использовавшиеся в кибератаках уязвимости и те, эксплуатация которых прогнозируется на ближайшее время. К трендовым специалисты отнесли уязвимости, обнаруженные в продуктах Microsoft, опенсорсном инструменте для сбора и обработки логов Fluent Bit и корпоративной веб-вики Confluence. Об этом CNews сообщили представители Positive Technologies.

Трендовыми уязвимостями называются наиболее опасные недостатки в инфраструктуре компаний, которые нужно быстро устранить или принять компенсирующие меры. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и т. п. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями нового поколения — MaxPatrol VM, информация о них поступает в продукт в течение 12 часов.

Уязвимости Windows, описанные ниже, потенциально затрагивают, согласно данным The Verge, около миллиарда устройств. Они могут коснуться всех пользователей устаревших версий Windows.

Уязвимость обхода функций безопасности в движке для обработки и отображения HTML-страниц Windows MSHTML[1] — CVE-2024-30040 (CVSS — 8,8)

Эксплуатация уязвимости позволяет злоумышленникам обходить функции безопасности Object Linking and Embedding (OLE)[2] в Microsoft 365 и Microsoft Office, защищающие пользователей от вредоносных файлов. Эксплуатация этой уязвимости может в дальнейшем привести к развитию атаки и реализации недопустимого для организации события.

Для эксплуатации уязвимости злоумышленнику потребуется с помощью фишинга убедить пользователя загрузить вредоносный файл в уязвимую систему. Если пользователь откроет специально подготовленный файл, атакующий, даже не проходя аутентификацию в системе, сможет выполнить код в системе жертвы и начать управлять ей.

Уязвимость повышения привилегий в библиотеке ядра Windows DWM[3] Core Library — CVE-2024-30051 (CVSS — 7,8)

Эксплуатация этой уязвимости позволяет злоумышленнику повысить свои привилегии до уровня системных после получения первоначального доступа к системе. Это позволит ему закрепиться на узле сети и продолжить развитие атаки.

Исследователи из «Лаборатории Касперского» отмечают, что эта уязвимость эксплуатируется совместно с QakBot[4] и другими вредоносными программами. Также они полагают, что к эксплойту имеют доступ несколько группировок злоумышленников.

Для устранения перечисленных выше уязвимостей Microsoft рекомендует установить соответствующие обновления безопасности: CVE-2024-30040, CVE-2024-30051.

Уязвимость удаленного выполнения кода во встроенном HTTP-сервере в опенсорсном инструменте для сбора и обработки логов Fluent Bit[5] — CVE-2024-4323 (CVSS — 9,8)

Согласно данным Cloud Native, Fluent Bit был скачан пользователями более 13 млрд раз.

В отчете Tenable Research говорится, что некоторые варианты эксплуатации уязвимости могут привести к отказу в обслуживании и утечкам информации.

Эта уязвимость вызвана ошибкой в исходном коде приложения. Эксплуатируя ее, злоумышленник может отправить на компьютер пользователя большой объем данных, а следом — полезную нагрузку. В роли конечных точек могут выступать конечные точки API, доступные неавторизированному пользователю.

Для устранения уязвимости необходимо обновить систему в соответствии с официальными рекомендациями Fluent Bit.

Уязвимость удаленного выполнения кода в корпоративной веб-вики Confluence — CVE-2024-21683 (CVSS — 8,3)

По данным Shadow Server, в сети работает 10 тыс. устройств Atlassian Confluence, из которых в России расположено более 300.

Эксплуатация уязвимости позволяет аутентифицированному злоумышленнику выполнить произвольные команды на сервере. В результате он может получить полный контроль над системой с целью дальнейшего развития атаки.

Для устранения уязвимости необходимо обновить систему в соответствии с официальными рекомендациями Atlassian.