Взлом без пароля: 8 новых уязвимостей угрожают корпоративным сетям

В ноябре 2024 года эксперты Positive Technologies отнесли к трендовым восемь уязвимостей. Это недостатки безопасности в продуктах Microsoft, системе централизованного управления и мониторинга FortiManager, программном обеспечении PAN-OS, операционной системе Ubuntu Server и межсетевых устройствах Zyxel.

Согласно данным , уязвимости в Windows могут затронуть до миллиарда устройств. В зону риска попадают пользователи устаревших версий Windows, включая Windows 10 и Windows 11.

Уязвимость в Windows, приводящая к раскрытию хешей в протоколах сетевой аутентификации NTLMv2

CVE-2024-43451 (CVSS — 6,5)

Уязвимость связана с устаревшим движком платформы для обработки HTML-страниц — MSHTML, которая все еще используется в современных версиях Windows для отображения веб-страниц и позволяет злоумышленнику получить NTLMv2-хеши пользователей. Скомпрометировав их, он может попытаться аутентифицироваться в качестве легитимного пользователя, не имея его реальных учетных данных. Если злоумышленникам удастся скомпрометировать учетную запись с правами администратора, они смогут перейти к следующим этапам атаки, используя полученный доступ для изменения или удаления важных файлов, установки вредоносного ПО или кражи конфиденциальных данных.

Уязвимость в планировщике заданий (Task Scheduler) Windows, приводящая к повышению привилегий

CVE-2024-49039 (CVSS — 8,8)

Обнаруженная уязвимость связана с недостатками процедуры аутентификации. Для успешной эксплуатации уязвимости злоумышленнику необходимо запустить в целевой системе специально разработанное приложение. Используя эту уязвимость, злоумышленник может повысить свои права до уровня medium integrity, что позволит ему выполнять функции RPC (remote procedure call), доступные только привилегированным учетным записям. В результате он сможет перейти к следующим этапам атаки и распространить вредоносные действия на другие системы в сети.

Уязвимость в почтовом сервере Microsoft Exchange, связанная с подменой отправителя

CVE-2024-49040 (CVSS — 7,5)

Уязвимость затрагивает всех пользователей Microsoft Exchange Server 2016 и 2019, которые не скачали обновления безопасности.

Уязвимость связана с неправильной обработкой почтовым сервером адресов получателей и позволяет злоумышленнику проводить спуфинг-атаки. В процессе эксплуатации уязвимости злоумышленники могут оправлять письма с поддельного адреса отправителя. Успешное использование недостатка значительно повышает эффективность фишинговых атак, которые часто являются первым этапом при проникновении во внутреннюю сеть компании и могут привести к утечке конфиденциальных данных, внедрению вредоносного ПО или финансовым потерям.

Чтобы защититься, необходимо установить обновления безопасности, которые представлены на официальных страницах Microsoft, — CVE-2024-43451 , CVE-2024-49039 , CVE-2024-49040 .

Уязвимость в системе управления FortiManager, связанная с удаленным выполнением кода

CVE-2024-47575 (CVSS — 9,8)

Недостаток безопасности может затрагивать всех пользователей уязвимых версий FortiManager. Исследователи сообщают , что в интернете доступны более 55 000 устройств FortiManager.

Успешная эксплуатация уязвимости позволяет удаленному неаутентифицированному злоумышленнику выполнить произвольные команды на сервере FortiManager. В результате он может похитить данные конфигурации с подконтрольных устройств и файлы с сервера FortiManager, включая зашифрованные пароли пользователей. Украденные данные могут использоваться для получения первоначального доступа к корпоративной сети, с помощью которого злоумышленники смогут дальше развивать атаку.

Чтобы защититься, необходимо обновить FortiManager до исправленной версии. Если невозможно установить актуальную версию прошивки, Fortinet предлагает использовать компенсирующие меры.

Уязвимость в пакете для определения перезапуска процессов needrestart в Ubuntu Server, приводящая к повышению привилегий

CVE-2024-48990 (CVSS — 7,8)

Уязвимость может затронуть всех пользователей уязвимых версий Ubuntu Server и других дистрибутивов Linux, в которых установлен пакет needrestart версии 3.8 и ниже.

Эксплуатация уязвимости позволяет авторизованному злоумышленнику повысить свои привилегии в системе, выполнив произвольный код с правами суперпользователя (root). В результате успешной эксплуатации он может установить вредоносное ПО и получить полный доступ ко всем файлам и данным в системе, включая конфиденциальную информацию. Утилита needrestart по умолчанию установлена в Ubuntu Server и используется для определения процессов, которые необходимо перезапустить после обновления системных библиотек.

По данным исследователей из Shadowserver , уязвимости в программном обеспечении PAN-OS, описанные ниже, коснулись более 2000 устройств.

Уязвимость в веб-интерфейсе PAN-OS, связанная с обходом аутентификации

CVE-2024-0012 (CVSS — 9,8)

Успешная эксплуатация уязвимости позволяет злоумышленнику, не прошедшему аутентификацию, но имеющему доступ к управляющему веб-интерфейсу, получить права администратора PAN-OS. Используя их, он может просматривать конфиденциальную информацию, вносить изменения в конфигурацию устройства или эксплуатировать другие уязвимости для повышения привилегий.

Для защиты необходимо установить обновления и следовать рекомендациям вендора.

Уязвимость в программном обеспечении PAN-OS, связанная с повышением привилегий

CVE-2024-9474 (CVSS — 7,2)

Эксплуатация уязвимости позволяет злоумышленнику, имеющему доступ к веб-интерфейсу управления, выполнять на устройстве произвольные команды с правами суперпользователя. После успешной эксплуатации он может попытаться установить на скомпрометированное устройство инструменты для постэксплуатации или вредоносные программы, которые позволяют похищать данные конфигурации, загружать двоичные файлы для майнинга и другую полезную нагрузку.

Для защиты необходимо установить обновления и следовать рекомендациям вендора.

Уязвимость в межсетевых экранах Zyxel, связанная с обходом каталога

CVE-2024-11667 (CVSS — 7,5)

Уязвимость может коснуться всех пользователей межсетевых экранов Zyxel ATP и USG FLEX с прошивкой ZLD версий от 4.32 до 5.38, которых, по данным Shadowserver , в сети Интернет доступно около 15 000.

Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику, действующему удаленно, скачивать и загружать на устройство произвольные файлы через специально созданные URL-адреса. В результате он может получить доступ к учетным данным администратора, что приведет к дальнейшим вредоносным действиям: изменению правил межсетевого экрана, внедрению вредоносного ПО, краже конфиденциальной информации и созданию скрытого VPN-соединения для последующей эксфильтрации этих данных. Уязвимость в веб-интерфейсе управления межсетевых экранов Zyxel серий ATP и USG FLEX связана с некорректной обработкой имени пути к файлу или каталогу с ограниченным доступом.

Для защиты рекомендуется обновить уязвимые версии прошивки и изменить учетные данные администратора.