В Тренде VM Март 2024: 5 CVE в TeamCity, Windows и FortiClient EMS

00:00 Приветствие, что такое трендовые уязвимости 00:15 Обход аутентификации в JetBrains TeamCity (CVE-2024-27198) (❗ Оценка по CVSS — 9,8; критически опасная уязвимость) TeamCity — это популярный инструмент непрерывной интеграции и развертывания для разработчиков и DevOps-инженеров. Если вы работаете в компании, которая занимается разработкой софта, велики шансы, что TeamCity у вас используется. Информация о недостатке безопасности и его подробное описание от компании Rapid7 появились в начале марта. Всего через несколько часов после этого скрипт для эксплуатации оказался на гитхабе. Он очень простой и сводится к созданию аккаунта администратора одним запросом. Естественно, вскоре недостаток безопасности начали активно эксплуатировать злоумышленники. Главная опасность заключается в том, что TeamCity используется в компаниях для сборки софта. Скомпрометировав TeamCity, злоумышленники могут попытаться внедрить в эти сборки вредоносную программу. И такой «затрояненный» софт уйдет ничего не подозревающим клиентам. В результате может быть реализована так называемая атака на цепочку поставок, когда злоумышленник, ломая вендора софта, получает доступ к инфраструктуре его клиентов. Поэтому, если в вашей организации используется TeamCity, обязательно обновляйтесь или импортозамещайтесь! Уязвимости Microsoft 01:57 Повышение привилегий в ядре Windows (CVE-2024-21338) (❗ Оценка по CVSS — 7,8; высокий уровень опасности) Была исправлена в февральском Microsoft Patch Tuesday. Опасность уязвимости резко повысилась 28 февраля после выхода подробной статьи от компании Avast. В ней эксперты утверждают, что недостаток безопасности длительное время эксплуатировался злоумышленниками из группировки Lazarus. Они использовали его совместно с руткитом FudModule, добиваясь более незаметного для детектирования повышения привилегий. Затем руткит выполнял прямую манипуляцию объектами ядра для отключения систем защиты, сокрытия злонамеренных действий и обеспечения устойчивости в зараженной системе. Исследователи из Avast разработали код (proof of concept) для эксплуатации уязвимости и сообщили о ней в Microsoft еще в августе 2023 года. Как видим, компании понадобилось семь месяцев, чтобы исправить проблему. 03:02 Повышение привилегий в Windows Common Log File System Driver (CVE-2023-36424) (❗ Оценка по CVSS — 7,8; высокий уровень опасности) Была исправлена в рамках Microsoft Patch Tuesday в ноябре 2023 года, и на тот момент исследователи ее никак не выделяли. Однако 21 марта на GitHub выложили технический анализ этой уязвимости и код эксплойта. Эксплуатация позволяет авторизованному злоумышленнику повысить привилегии до уровня SYSTEM. После этого он может получить полный контроль над узлом. 03:33 Удаленное выполнение кода в Microsoft Outlook (CVE-2024-21378) (❗ Оценка по CVSS — 8,0; высокий уровень опасности) Была исправлена в февральском Microsoft Patch Tuesday. Эксплуатация недостатка безопасности позволяет злоумышленнику удаленно добиться выполнения произвольного кода в системе жертвы при активации формы в Microsoft Outlook. Уровень опасности этой уязвимости повысился 11 марта после публикации исследования компании NetSPI. В статье NetSPI приводится proof of concept кода для эксплуатации. Кроме того, исследователи обещают добавить функциональность по эксплуатации в опенсорсную утилиту Ruler. Как видите, даже относительно старые недостатки безопасности могут внезапно стать «эксплуатабельными», поэтому не затягивайте с обновлениями. 05:14 Удаленное внедрение SQL-кода в FortiClient EMS (CVE-2023-48788) (❗ Оценка по CVSS — 9,8; критически опасная уязвимость) FortiClient — продукт от компании Fortinet, обеспечивающий безопасность настольных компьютеров, ноутбуков и мобильных устройств. А FortiClient EMS — сервер, предназначенный для управления инсталляциями этой программы. Через него можно централизованно настраивать, например, антивирус, веб-фильтрацию, контроль съемных носителей. Опасность этого недостатка безопасности повысилась после выхода исследования и эксплойта компании . После этого Fortinet отметили, что он эксплуатируется вживую. В ходе исследования специалисты выявили, что потенциально зараженные SQL-запросы можно отправлять на порт 8013 в FortiClient EMS, после чего они попадут к БД. В конечном счете злоумышленник может получить возможность удаленного выполнения кода на скомпрометированном узле. Если вдруг вы используете FortiClient EMS, то обновляйтесь, а лучше — импортозамещайтесь! Подписывайтесь на Telegram-канал avleonovrus “Управление Уязвимостями и прочее“! Там со ссылками! #ВтрендеVM #TrendVulns #PositiveTechnologies #JetBrains #TeamCity #Fortinet #Microsoft