Эксперты Positive Technologies предупреждают: злоумышленники активно используют шесть брешей в известных продуктах, чтобы атаковать компании в 2024 году. Уязвимости были обнаружены в Atlassian Confluence, VMware vCenter, GitLab, Jenkins, Junos OS и Microsoft Outlook.
Для определения трендовых уязвимостей эксперты Positive Technologies анализируют базы уязвимостей, бюллетени безопасности вендоров, социальные сети, блоги, телеграм-каналы, базы эксплойтов, публичные репозитории кода и т. п. Среди этой информации в январе 2024 г. они выделили 6 трендовых уязвимостей. Их обнаружили в Atlassian Confluence, VMware vCenter, GitLab, Jenkins, Junos OS и Microsoft Outlook. Это уже используемые в кибератаках уязвимости и те, которые могут быть использованы в ближайшее время.
По словам Александра Леонова, ведущего эксперта лаборатории PT Expert Security Center, за прошлый год в базу уязвимостей National Vulnerability Database (NVD) в среднем 78 уязвимостей в день. Он добавил, что эксперты отслеживают информацию по новым уязвимостям и изменение состояния уже вышедших. Так они могут понять, какие уязвимости представляют наибольшую опасность для клиентов. Детекты для трендовых уязвимостей мы добавляем в MaxPatrol VM не более чем за 12 часов.
CVE-2023-22527 (балл по CVSS — 10,0)
Atlassian Confluence — корпоративная веб-вики, разработанная австралийской компанией — разработчиком программного обеспечения Atlassian; используется для создания единой базы знаний организации. Уязвимость удаленного выполнения произвольного кода в Atlassian Confluence позволяет неаутентифицированному злоумышленнику удаленно выполнить произвольный код на сервере Confluence. Уязвимость затрагивает версии, выпущенные до 5 декабря 2023 года, в том числе те, которые уже не имеют официальной поддержки от вендора.
На момент публикации бюллетеня безопасности компания Atlassian заверяла, что никаких подтверждений активного использования данной уязвимости в реальных атаках, а также каких-либо индикаторов компрометации (IoC), которые помогли бы обнаружить уязвимость, нет. По информации службы мониторинга угроз Shadowserver, с 19 января 2024 года было зафиксировано более 39 000 попыток эксплуатации уязвимости с 602 различных IP-адресов.
С помощью поисковой системы Netlas было обнаружено более 14 000 инсталляций Atlassian Confluence, из них более 1200 — на российских IP-адресах.
Для устранения уязвимости необходимо установить актуальные версии компонентов продукта, загрузив обновления с сайта разработчика. Тем, кто не может немедленно установить доступные обновления, рекомендуется перевести системы в автономный режим, а также создать резервную копию данных за пределами экземпляра Confluence.
CVE-2023-34048 (балл по CVSS— 9,8)
VMware vCenter Server — это приложение для централизованного управления средами VMware vSphere и построения виртуальной облачной инфраструктуры. Уязвимость CVE-2023-34048 является ошибкой записи за пределами выделенного блока (out-of-bounds write) и позволяет злоумышленнику с доступом к сети vCenter Server выполнить произвольный код.
Уязвимость была обнаружена в октябре 2023 года. Вскоре после ее обнаружения компания VMware выпустила обновления, исправляющие эту уязвимость, а также некоторые другие. Ввиду серьезности проблемы компания выпустила патчи даже для старых версий продукта, срок поддержки которых уже истек. На момент обнаружения не было подтвержденных случаев использования этой уязвимости, однако 17 января 2024 года VMware обновила свои рекомендации по устранению последствий, в которых подтвердила факты эксплуатации уязвимости при проведении кибератак.
Эксперты Mandiant сообщают, что уязвимость использовалась китайской преступной кибергруппировкой UNC3886 еще с конца 2021 года. По информации Mandiant, UNC3886 известна тем, что фокусируется на организациях оборонного, правительственного, телекоммуникационного и технологического секторов в США и регионе APJ (Asia-Pacific and Japan).
По информации Enlyft, более 10 000 компаний по всему миру используют vCenter Server, 43% из них — большого размера (более 1000 сотрудников). Чаще всего данные продукты используются в отрасли информационных технологий (33%), финансовом секторе (4,3%) и в области медицины (3,6%).
Для устранения уязвимости необходимо следовать рекомендациям экспертов вендора и обновить VMware vCenter Server до актуальной версии.
CVE-2023-7028 (балл по CVSS — 10,0)
GitLab CE/EE — это система управления репозиториями Git для совместной разработки проектов. Уязвимость GitLab CE/EE позволяет получить контроль над чужой учетной записью путем манипуляций с формой восстановления пароля. Злоумышленник может отправить письмо с кодом для сброса пароля на заранее подготовленный неподтвержденный адрес электронной почты. Для эксплуатации уязвимости необходимо, чтобы у учетной записи была отключена двухфакторная аутентификация, либо злоумышленник должен обойти двухфакторную аутентификацию при помощи социальной инженерии или другим способом.
Компания GitLab заявляла, что на момент публикации бюллетеня безопасности случаев активной эксплуатации для данной уязвимости обнаружено не было. Однако с помощью поисковой системы Netlas было обнаружено более 89 000 инсталляций Gitlab, из них около 10 000 — на российских IP-адресах.
Для исправления уязвимости необходимо следовать рекомендациям разработчиков и обновить GitLab до актуальной версии. Кроме того, всем пользователям следует настроить двухфакторную аутентификацию для повышения уровня защищенности аккаунта. Компания предложила способ проверки аккаунтов на факт компрометации: необходимо проверить файл gitlab-rails/production_json.log на наличие HTTP-запросов к пути /users/password с параметром params.value.email, состоящим из массива JSON с несколькими адресами электронной почты. Следует также проверить файл gitlab-rails/audit_json.log на наличие записей с meta.caller.id из PasswordsController#create и target_details, состоящих из массива JSON с несколькими адресами электронной почты.
Стоит отметить, что риск эксплуатации с уязвимости при использовании двухфакторной аутентификации сохраняется.
CVE-2024-23897 (балл по CVSS — 9,8)
Jenkins — программная система с открытым исходным кодом на Java, предназначенная для обеспечения процесса непрерывной интеграции программного обеспечения. Эксплуатация уязвимости в модуле CLI позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, прочесть произвольный файл либо выполнить произвольный код на сервере Jenkins.
Компания выпустила исправления для девяти уязвимостей в системе безопасности, в числе которых есть CVE-2024-23897, 24 января.
Некоторые эксперты сообщают, что их серверы-приманки Jenkins уже подверглись атакам — а значит, хакеры уже начали эксплуатировать уязвимость. Есть сообщения об успешной эксплуатации.
По информации Enlyft, во всем мире найдено более 77 000 компаний, использующих Jenkins. Бо́льшая часть из них находится в США (45%), Индии (7%) и Великобритании (7%). Распределение компаний, использующих Jenkins, по размеру (количеству сотрудников) выглядит следующим образом: 35% — малого размера (менее 50 работников), 46% — среднего размера, а также 18% компаний — большого размера (более 1000 сотрудников).
Исследователи Shadowserver сообщают, что в сети обнаружено около 45 000 непропатченных экземпляров Jenkins, большинство из которых находятся в Китае (12 000) и США (11 830).
Для устранения уязвимости необходимо следовать рекомендациям разработчиков компании Jenkins и установить актуальную версию продукта. Тем, у кого нет возможности в ближайшее время установить обновления, рекомендуется отключить доступ к CLI.
CVE-2024-21591 (балл по CVSS — 9,8)
Junos OS — это операционная система, созданная на основе FreeBSD и используемая в оборудовании компании Juniper Networks. Уязвимость в веб-интерфейсе данной ОС вызвана ошибкой работы с памятью, позволяющей злоумышленнику записывать данные в произвольные участки памяти за пределами выделенного блока. Успешная эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику выполнить произвольный код на устройстве либо вызвать отказ в обслуживании.
Случаев эксплуатации уязвимости на практике не выявлено. Тем не менее сообщается, что обнаружено более 10 000 устройств Juniper с веб-интерфейсом, доступным через интернет, бо́льшая часть из них находится в Азии (Южная Корея, Гонконг, Китай) и США. Кроме того, большинство из них доступны по стандартным портам: 443, 80 и 8080.
Для исправления уязвимости рекомендуется как можно скорее установить патч. Если возможности установить патч нет, компания Juniper рекомендует отключить функцию веб-интерфейса или ограничить доступ к нему, оставив возможность только для определенных доверенных узлов.
CVE-2023-35636 (балл по CVSS — 6,5)
Microsoft Outlook — персональный информационный менеджер с функциями почтового клиента, входящий в пакет офисных программ Microsoft Office. Уязвимость раскрытия информации в Microsoft Outlook позволяет злоумышленнику получить NTLMv2-хеши пользователей. Для эксплуатации уязвимости злоумышленник может применять несколько сценариев атаки: с использованием Microsoft Outlook, обработчиков URI и WPA и проводника Windows. В сценарии атаки по электронной почте злоумышленнику необходимо отправить пользователю специально созданный файл или ссылку и убедить его открыть содержимое. В ходе веб-атаки злоумышленник создает вредоносный сайт и отправляет жертве фишинговое электронное письмо с ссылкой на вредоносный ресурс. Переход по ссылке приводит к автоматическому перенаправлению на полезную нагрузку.
Хотя официальных заявлений об использовании уязвимости для проведения атак нет, Outlook остается привлекательной целью для злоумышленников: этот инструмент электронной почты и календаря (по умолчанию для пакета Microsoft 365), используется миллионами людей по всему миру как для работы, так и для личных целей.
По заявлению экспертов, Microsoft Outlook используют более 3,17 миллиона компаний по всему миру с суммарным числом пользователей более 400 миллионов. Из них 35% — небольшие компании (менее 50 сотрудников), 47% — среднего размера и 17% — крупные компании (1000 сотрудников и более).
Для устранения уязвимости необходимо следовать рекомендациям экспертов Microsoft и установить патч, выпущенный 12 декабря 2023 года.
В дайджесте представлены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация об уязвимостях и публично доступных эксплойтах представлена по состоянию на 31 января 2024 года.
Сбалансированная диета для серого вещества