CVE-2024-39717: как простой PNG-файл способен взломать ваш компьютер

Агентство кибербезопасности и инфраструктурной безопасности США (CISA) добавило новую уязвимость, затрагивающую платформу Versa Director, в свой каталог известных эксплуатируемых уязвимостей (KEV). Решение основано на подтверждённых данных об активном использовании этой уязвимости злоумышленниками.

Речь идёт об уязвимости средней степени опасности, зарегистрированной под кодом CVE-2024-39717 с оценкой CVSS 6.6. Проблема заключается в функции загрузки файлов в интерфейсе «Change Favicon», которая позволяет злоумышленнику загрузить вредоносный файл, замаскированный под безобидное изображение в формате PNG.

Versa Director — это программная платформа, предназначенная для управления сетевой инфраструктуры в организациях, использующих решения Versa Networks. Она предоставляет централизованный интерфейс для развёртывания, настройки и мониторинга широкого спектра сетевых функций, включая программно-определяемые сети (SD-WAN), безопасность и оптимизацию приложений.

Для успешной эксплуатации CVE-2024-39717 злоумышленнику необходимо, чтобы пользователь с соответствующими правами (Provider-Data-Center-Admin или Provider-Data-Center-System-Admin) успешно прошёл аутентификацию и вошёл в систему.

Хотя точные обстоятельства использования CVE-2024-39717 пока остаются неясными, национальная база данных уязвимостей США (NVD) сообщает, что Versa Networks подтвердила один случай, когда клиент подвергся атаке. При этом отмечается, что клиент не реализовал рекомендации по настройке межсетевого экрана, выпущенные в 2015 и 2017 годах, что и позволило злоумышленнику воспользоваться уязвимостью без использования графического интерфейса.

Всем федеральным агентствам исполнительной ветви власти США (FCEB) предписано принять меры по защите от данной уязвимости, установив исправления от производителя до 13 сентября 2024 года.

Эта новость появилась на фоне недавнего добавления CISA в KEV-каталог других уязвимостей, среди которых, например:

• CVE-2021-33044 и CVE-2021-33045 (оценка CVSS 9.8) — уязвимость обхода аутентификации в IP-камерах Dahua;
• CVE-2024-28987 (оценка CVSS 9.1) — уязвимость жёстко закодированных учётных данных веб-службы поддержки;
• CVE-2024-23897 (оценка CVSS 9.8) — уязвимость обхода пути в интерфейсе командной строки Jenkins, способная привести к выполнению произвольного кода.

Кибербезопасность — это непрерывный процесс, требующий постоянной бдительности и своевременного обновления систем. Даже небольшие упущения в настройках или игнорирование рекомендаций производителей могут привести к серьёзным последствиям.

Важно помнить, что злоумышленники постоянно ищут новые способы обхода защиты, и только комплексный подход к безопасности, включающий регулярные обновления, мониторинг угроз и обучение персонала, может обеспечить надёжную защиту информационных систем.