През март експертите на Positive Technologies (руска компания, специализирана в

През март специалистите на Positive Technologies (руска компания, профилирана в региона на киберсигурността, един от водещите международни снабдители на услуги и артикули в тази област) класифицираха 5 уязвимости като тенденциозни. Това са уязвимости, които към този момент са били употребявани при хакерски атаки, и такива, които се чака да бъдат употребявани в близко бъдеще. Експертите откриха тези уязвимости в продуктите на фирмите Microsoft, Fortinet и JetBrains.

За да разпознават тенденциозните уязвимости, специалистите на Positive Technologies събират информация от разнообразни източници (бази данни за уязвимости, бюлетини за сигурност на доставчиците, обществени мрежи, блогове, Telegram канали, бази данни за експлойти, обществени складове на код и т.н.) и я актуализират.

Уязвимост при отдалечено осъществяване на код посредством инжектиране на SQL код във FortiClient EMS

CVE-2023-48788 (CVSS оценка: 9,8)

Според ShadowServer, в интернет работят 1064 устройства, свързани с FortiClient EMS.

Възможността за потребление на накърнимост от вида SQL code injection е открита от Horizon3.ai в централната система за ръководство на Enterprise Management Server и сървъра за достъп до бази данни FCTDas.exe. Разследването разкри, че евентуално инфектирани SQL поръчки могат да бъдат изпратени на порт 8013 на EMS, след което да бъдат инжектирани в поръчка за база данни. В последна сметка атакуващият би могъл да получи опция за отдалечено осъществяване на код на злепоставен хост. Това би могло да докара до развиване на офанзива и реализиране на неприемливи за организацията събития.

За да отстраните тази накърнимост, изтеглете актуализацията от формалния уеб страница на Fortinet.

Уязвимост при заобикаляне на достоверността в JetBrains TeamCity, водеща до осъществяване на далечен код

CVE-2024-27198 (CVSS оценка – 9,8)

Според Shodan, в интернет се употребяват повече от 20 000 устройства, свързани с TeamCity.

Според изследване на Rapid7, нападателят може да употребява особено генериран URL адрес, с цел да получи достъп до JetBrains TeamCity сървъра, като остане неавтентикиран. Хакерът може да получи достъп до сериозна последна точка и да вземем за пример да сътвори нов администраторски профил или нов токен за достъп до подобен. След тези дейности той получава цялостен надзор над системата. Основната заплаха обаче е, че TeamCity се употребява в фирмите за основаване на програмен продукт, затова нападателите, откакто компрометират TeamCity могат да се опитат да вкарат злонамерена функционалност в продуктите на компанията. По този метод може да се осъществя офанзива по веригата на доставки. Нападателят може да получи достъп до инфраструктурата на клиентите на атакувания снабдител на програмен продукт.

За да се в профил уязвимостта, версията на TeamCity би трябвало да се актуализира до 2023.11.4.

По-нататък ще приказваме за уязвимости, които евентуално засягат към един милиард устройства, съгласно The Verge. Те биха могли да обиден всички консуматори на по-стари версии от Windows 11.

Уязвимост в ядрото на Windows, водеща до увеличение на привилегиите на съставен елемент на Windows -AppLocker

CVE-2024-21338 (CVSS оценка 7,8)

По данни на Avast, уязвимостта е била употребена от хакерската формация Lazarus в композиция с руткита FudModule, който е осигурявал по-неоткриваемо повишение на привилегиите. След това руткитът е можел непосредствено да манипулира обектите на ядрото на Windows, с цел да деактивира продуктите за сигурност, да маскира злонамерената активност и да обезпечи резистентност на инфектираната система.

Използването на уязвимостта разрешава на акредитиран нападател да усили привилегиите до оптимални права на хоста. След това нападателят може да получи цялостен надзор над хоста, на който е употребявал уязвимостта. В резултат на това може да се стигне до загуба и кражба на данни. Както и до създаване на офанзива и реализиране на неприемливи за организацията събития.

Уязвимост с отдалечено осъществяване на код в Microsoft Outlook

CVE-2024-21378 (CVSS оценка 8,0)

Използването на уязвимостта разрешава на атакуващия да реализира случайно осъществяване на код в системата на жертвата при активиране на формуляр в Microsoft Outlook. За фирмите, употребяващи Microsoft Exchange и Outlook съществува риск от потребление на уязвимостта, откакто нападателите получат първичен достъп до инфраструктурата. Това може да докара до осъществяване на неприемливи за организацията събития.

Изследователите от NetSPI, които са разкрили тази накърнимост дават обещание да прибавят функционалност за нейното потребление в помощната стратегия Ruler. Тази помощна стратегия се употребява за пентестове, само че тя може да бъде употребена и от хакери при техните офанзиви.

Уязвимост с повишение на привилегиите посредством разваляне на Windows Kernel Pool (clfs.sys)

CVE-2023-36424 (CVSS оценка 7,8)

Използването на уязвимостта разрешава на акредитиран нападател да усили привилегиите до оптимални привилегии в хоста. След това нападателят може да получи цялостен надзор над хоста, в който е употребявал уязвимостта.

За премахване на уязвимостите в своите системи Microsoft предлага да се конфигурират актуализации, които могат да се изтеглят от страниците за уязвимости надлежно:

За експертите в региона на осведомителните технологии Microsoft разгласява и управление за разкриване и премахване на пробиви в разпоредбите и формулярите на Outlook.