Архив рубрики: Vulristics

Обновил июньский Linux Patch Wednesday и перевыпустил отчёт Vulristics

Обновил июньский Linux Patch Wednesday и перевыпустил отчёт Vulristics

Обновил июньский Lin­ux Patch Wednes­day и перевыпустил отчёт Vul­ris­tics. Общее количество уязвимостей снизилось с 1053 до 1040. Видимо для них стали доступны более ранние таймстемпы фиксов. Но уязвимости с признаком эксплуатации вживую и с публичным эксплоитом это не зацепило, они остались теми же.

🗒 Отчёт Vul­ris­tics по июньскому Lin­ux Patch Wednes­day

Linux Patch Wednesday: вот где этот майский пик!

Linux Patch Wednesday: вот где этот майский пик!

Lin­ux Patch Wednes­day: вот где этот майский пик! 🤦‍♂️ Также об июньском Lin­ux Patch Wednes­day. Помните, я в посте про майский Lin­ux Patch Wednes­day радовался, что, несмотря на введение правила по Unknown датам, пик в мае был незначительный. Хотя "32 406 oval def­i­n­i­tion-ов без даты получили номинальную дату 2024-05-15". Оказалось пик не был виден из-за ошибки в коде. Ба-дум-тсс! 🥸🤷‍♂️

То, что не все CVE-шки у меня попадаются в LPW бюллетени, несмотря на введение номинальных дат, я заметил на примере громкой уязвимости Ele­va­tion of Priv­i­lege (Local Priv­i­lege Esca­la­tion) — Lin­ux Ker­nel (CVE-2024–1086), которой действительно нигде не было. Подебажил функцию распределения по бюллетеням, добавил тесты. Добился того, что все 38 362 CVE-шки из Lin­ux-ового OVAL-контента действительно раскидываются по бюллетеням. Включая CVE-2024–1086. Вот она в феврале:

$ grep "CVE-2024-1086"  bulletins/*
bulletins/2024-02-21.json: "CVE-2024-1086": [
bulletins/2024-02-21.json: "title": "CVE-2024-1086 linux",
bulletins/2024-02-21.json: "title": "CVE-2024-1086 linux",
bulletins/2024-02-21.json: "title": "CVE-2024-1086 linux",

Ну и пик в мае действительно есть. Да ещё какой! 11 476 CVE! 😱 Настолько много, что я перегенерил Vul­ris­tics отчёт для него только с использованием 2 источников: Vul­ners и БДУ. И даже из Vul­ners данные подгружались не быстро. В отчёте 77 уязвимостей с признаком активной эксплуатации вживую и 1 404 уязвимости с эксплоитами, но без признаков активной эксплуатации. Т.к. по больше части это уязвимости старые, для которых просто не было понятно когда именно они были исправлены, например, Remote Code Exe­cu­tion — Apache HTTP Serv­er (CVE-2021–42013), я не буду подробно их разбирать — кому интересно смотрите отчёт. Но обратите внимание, что размер отчёта очень большой.

🗒 Отчёт Vul­ris­tics по майскому Lin­ux Patch Wednes­day (31.3 мб.)

Что касается июньского Lin­ux Patch Wedne­day, который финализировался 19 июня, то там 1040 уязвимости. Тоже довольно много. Почему так? С одной стороны правило по Unknown датам добавило 977 Debian-овских OVAL дефинишенов без даты. Не 30к, как в мае, но тоже значительно. Из 1040 уязвимостей 854 это уязвимости Lin­ux Ker­nel. Причём, довольно много "старых" идентификаторов уязвимостей, но заведенных в 2024 году. Например, CVE-2021–47489 с NVD Pub­lished Date 05/22/2024. 🤔 Что-то странное творит CNA Lin­ux Ker­nel.

🔻 С признаками эксплуатации вживую опять Remote Code Exe­cu­tion — Chromi­um (CVE-2024–5274, CVE-2024–4947), как и Microsoft Patch Tues­day. Судя по данным БДУ, Remote Code Exe­cu­tion — Libarchive (CVE-2024–26256) также активно эксплуатируется.

🔸 Ещё 20 уязвимостей с публичным эксплоитом. Можно подсветить отдельно Remote Code Exe­cu­tion — Cac­ti (CVE-2024–25641) и Remote Code Exe­cu­tion — onnx/onnx frame­work (CVE-2024–5187).

🗒 Отчёт Vul­ris­tics по июньскому Lin­ux Patch Wednes­day (4.4 мб.)

upd. 30.06 Обновил отчёт.

Июньский Microsoft Patch Tuesday

Июньский Microsoft Patch Tuesday

Июньский Microsoft Patch Tues­day. Всего 69 уязвимостей, из них 18 набежало между майским и июньским Patch Tues­day. Среди этих набежавших 2 уязвимости с признаками эксплуатации вживую:

🔻 Remote Code Exe­cu­tion — Chromi­um (CVE-2024–5274, CVE-2024–4947). Обе уязвимости в CISA KEV, эксплоитов пока нет.

Для остальных уязвимостей формальных признаков эксплуатации вживую и публичных эксплоитов пока нет.

В профильных СМИ обращают внимание на эти 2:

🔸 Remote Code Exe­cu­tion — Microsoft Mes­sage Queu­ing (MSMQ) (CVE-2024–30080). У этой уязвимости большой CVSS Score — 9.8. Для получения RCE злоумышленник отправляет специально созданный вредоносный пакет на сервер MSMQ. Уязвимость вполне может стать wormable для Win­dows серверов с включенным MSMQ. Очень похоже на прошлогоднюю Queue­Jumper (CVE-2023–21554).
🔸 Denial of Ser­vice — DNSSEC (CVE-2023–50868). Уязвимость в валидации DNSSEC. Злоумышленник может вызвать DoS, используя стандартные протоколы для обеспечения целостности DNS. 🤷‍♂️ Какой-то супер-критичности не вижу, но для MS Patch Tues­day такое редкость, видимо поэтому все пишут.

На что ещё можно обратить внимание:

🔸 Ele­va­tion of Priv­i­lege — Win­dows Win32k (CVE-2024–30091), Win­dows Ker­nel (CVE-2024–30088, CVE-2024–30099) и Win­dows Cloud Files Mini Fil­ter Dri­ver (CVE-2024–30085). Почему именно эти? В CVSS от Microsoft значится, что для них есть приватные Proof-of-Con­cept эксплоиты.
🔸 Remote Code Exe­cu­tion — Microsoft Office (CVE-2024–30101). Это уязвимость Microsoft Out­look. Для успешной эксплуатации этой уязвимости пользователю необходимо открыть вредоносное электронное письмо в уязвимой версии Microsoft Out­look, а затем выполнить некоторые действия, чтобы активировать уязвимость. При этом достаточно открыть письмо в панели предварительного просмотра (Pre­view Pane). Однако для успешной эксплуатации этой уязвимости злоумышленнику нужно выиграть race con­di­tion.
🔸 Remote Code Exe­cu­tion — Microsoft Out­look (CVE-2024–30103). Панель предварительного просмотра (Pre­view Pane) является вектором. Требуется аутентификация. Уязвимость связана с созданием вредоносных файлов DLL. 🤷‍♂️
🔸 Remote Code Exe­cu­tion — Win­dows Wi-Fi Dri­ver (CVE-2024–30078). Злоумышленник может выполнить код в уязвимой системе, отправив специально созданный сетевой пакет. Необходимо находиться в зоне действия Wi-Fi злоумышленника и использовать адаптер Wi-Fi. Звучит забавно, ждём подробностей. 😈
🔸 Remote Code Exe­cu­tion — Microsoft Office (CVE-2024–30104). Злоумышленник должен отправить пользователю вредоносный файл и убедить его открыть этот файл. Панель предварительного просмотра (Pre­view Pane) НЕ является вектором атаки.

🗒 Отчёт Vul­ris­tics по июньскому Microsoft Patch Tues­day

Майский Linux Patch Wednesday

Майский Linux Patch Wednesday
Майский Linux Patch WednesdayМайский Linux Patch WednesdayМайский Linux Patch WednesdayМайский Linux Patch WednesdayМайский Linux Patch Wednesday

Майский Lin­ux Patch Wednes­day. В прошлом месяце мы совместно решили, что стоит ввести правило по Unknown датам с мая 2024. Что я, собственно, и реализовал. Теперь, если я вижу oval def­i­n­i­tion, для которого нет даты публикации (даты появления исправлений для соответствующих уязвимостей), то я номинально присваиваю сегодняшнюю дату. Таким образом 32406 oval def­i­n­i­tion-ов без даты получили номинальную дату 2024-05-15. Можно было бы предположить, что мы получим огромный пик для уязвимостей, которые "начали исправляться в мае" исходя из номинальной даты. А как вышло на самом деле?

На самом деле пик получился не очень большой. В майском Lin­ux Patch Wednes­day 424 CVE. При том, что в апрельском было 348. Соизмеримо. Видимо не очень большой пик связан с тем, что для большей части уязвимостей уже были даты исправления старше выставленной номинальной (2024–05-15). Тем лучше. 🙂 В июне всё должно стать вообще хорошо.

Как обычно, я сгенерировал отчёт Vul­ris­tics для майских уязвимостей. Большая часть уязвимостей (282) относятся к Lin­ux Ker­nel. Это следствие того, что Lin­uх Ker­nel теперь CNA и они могут заводить CVE на всякую дичь типа багов с огромными трейсами прямо в описании уязвимостей.

На первом месте уязвимость из CISA KEV.

🔻Path Tra­ver­sal — Open­fire (CVE-2023–32315). Это трендовая уязвимость августа 2023 года. Она попала в отчёт из-за фикса в RedOS 2024-05-03. А в других Lin­ux дистрибутивах её не фиксили? Похоже, что нет. В Vul­ners среди связанных объектов безопасности можем видеть только бюллетень RedOS. Видимо в репозиториях других дистрибутивов пакеты Open­fire отсутствуют.

На втором месте уязвимость с признаком активной эксплуатации по Attack­erKB.

🔻 Path Tra­ver­sal — aio­http (CVE-2024–23334). Ошибка позволяет неаутентифицированным злоумышленникам получать доступ к файлам на уязвимых серверах.

По данным из БДУ ещё 16 уязвимостей имеют признаки активной эксплуатации вживую.

🔻 Mem­o­ry Cor­rup­tion — nghttp2 (CVE-2024–27983)
🔻 Mem­o­ry Cor­rup­tion — Chromi­um (CVE-2024–3832, CVE-2024–3833, CVE-2024–3834, CVE-2024–4671)
🔻 Mem­o­ry Cor­rup­tion — FreeRDP (CVE-2024–32041, CVE-2024–32458, CVE-2024–32459, CVE-2024–32460)
🔻 Mem­o­ry Cor­rup­tion — Mozil­la Fire­fox (CVE-2024–3855, CVE-2024–3856)
🔻 Secu­ri­ty Fea­ture Bypass — bluetooth_core_specification (CVE-2023–24023)
🔻 Secu­ri­ty Fea­ture Bypass — Chromi­um (CVE-2024–3838)
🔻 Denial of Ser­vice — HTTP/2 (CVE-2023–45288)
🔻 Denial of Ser­vice — nghttp2 (CVE-2024–28182)
🔻 Incor­rect Cal­cu­la­tion — FreeRDP (CVE-2024–32040)

Ещё для 22 уязвимостей есть эксплоит (публичный или приватный), но пока нет признаков активной эксплуатации вживую. Все их здесь перечислять не буду, можно обратить внимание на:

🔸 Secu­ri­ty Fea­ture Bypass — put­ty (CVE-2024–31497). Громкая уязвимость, позволяющая атакующему восстановить секретный ключ пользователя.
🔸 Remote Code Exe­cu­tion — GNU C Library (CVE-2014–9984)
🔸 Remote Code Exe­cu­tion — Flat­pak (CVE-2024–32462)
🔸 Com­mand Injec­tion — aio­http (CVE-2024–23829)
🔸 Secu­ri­ty Fea­ture Bypass — FreeIPA (CVE-2024–1481)

Думаю, что в качестве улучшения в отчёте Vul­ris­tics можно отдельно группировать уязвимости с публичными эксплоитами и приватными эксплоитами, т.к. всё-таки это сильно влияет на критичность. Ставьте 🐳, если нужно такое сделать.

🗒 Отчёт Vul­ris­tics по майскому Lin­ux Patch Wednes­day

Майский Microsoft Patch Tuesday

Майский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch TuesdayМайский Microsoft Patch Tuesday

Майский Microsoft Patch Tues­day. Всего 91 уязвимость. Из них 29 были добавлены между апрельским и майским Patch Tues­day.

У двух уязвимостей есть признаки эксплуатации вживую и признак наличия функционального эксплоита (пока непубличного):

🔻 Secu­ri­ty Fea­ture Bypass — Win­dows MSHTML Plat­form (CVE-2024–30040). Фактически это выполнение произвольного кода, когда жертва открывает специально созданной документ. Эксплуатируется через фишинг.
🔻 Ele­va­tion of Priv­i­lege — Win­dows DWM Core Library (CVE-2024–30051). Локальный злоумышленник может получить привилегии SYSTEM на уязвимом хосте. Microsoft благодарит четыре разные группы за сообщение об ошибке, что указывает на то, что уязвимость эксплуатируется широко. Уязвимость связывают с малварью Qak­Bot.

Из остальных можно отметить:

🔸 Secu­ri­ty Fea­ture Bypass — Win­dows Mark of the Web (CVE-2024–30050). Такие уязвимости в последнее время часто эксплуатируются. Microsoft указывает, что для уязвимости есть функциональный эксплоит (приватный).
🔸 Remote Code Exe­cu­tion — Microsoft Share­Point Serv­er (CVE-2024–30044). Аутентифицированный злоумышленник с правами Site Own­er или выше может выполнить произвольный кода в контексте Share­Point Serv­er посредством загрузки специально созданного файла.
🔸 Ele­va­tion of Priv­i­lege — Win­dows Search Ser­vice (CVE-2024–30033). ZDI считают, что у уязвимости есть потенциал для эксплуатации вживую.
🔸 Remote Code Exe­cu­tion — Microsoft Excel (CVE-2024–30042). Выполнение кода, предположительно в контексте пользователя, при открытии вредоносного файла.

🗒 Vul­ris­tics report

4 RCE в оборудовании HPE Aruba Networking

4 RCE в оборудовании HPE Aruba Networking4 RCE в оборудовании HPE Aruba Networking4 RCE в оборудовании HPE Aruba Networking4 RCE в оборудовании HPE Aruba Networking4 RCE в оборудовании HPE Aruba Networking

4 RCE в оборудовании HPE Aru­ba Net­work­ing. Все 4 уязвимости касаются переполнения буфера в различных сервисах ArubaOS — это специализированная операционная система для сетевого оборудования (коммутаторы, точки доступа, шлюзы и т.д.). В основном фокус у компании на беспроводных сетях.

Все 4 уязвимости эксплуатируются через запросы к Process Appli­ca­tion Pro­gram­ming Inter­face (PAPI), UDP порт 8211, аутентификация не требуется. У всех СVSS 9.8.

Уязвимые продукты:

🔻 Mobil­i­ty Con­duc­tor (for­mer­ly Mobil­i­ty Mas­ter)
🔻 Mobil­i­ty Con­trollers
🔻 Aru­ba Cen­tral man­ages WLAN Gate­ways and SD-WAN Gate­ways

Обновления доступны для минорных версий ArubaOS 8 и 10. Также уязвимости подвержены легаси-версии ArubaOS и SD-WAN.

Самое время проверить нет ли в вашей сетке чего-нибудь от HPE Aru­ba, пока не появились публичные эксплоиты. 😉

Повысилась критичность уязвимости RCE — Windows MSHTML Platform (CVE-2023–35628)

Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628)
Повысилась критичность уязвимости RCE - Windows MSHTML Platform (CVE-2023-35628)

Повысилась критичность уязвимости RCE — Win­dows MSHTML Plat­form (CVE-2023–35628). Уязвимость была исправлена в декабрьском Microsoft Patch Tues­day 2023.

"По данным Microsoft, злоумышленник может отправить специальное email-сообщение, которое будет автоматически обработано при получении Microsoft Out­look (до просмотра в Pre­view Pane). 🔥"

И вот через 4 месяца Aka­mai выложили подробный write-up и PoC эксплоита. Эксплоит это файл test.url, который крашит Win­dows File Explor­er. 🤔

А где zero-click RCE в Out­look? Такая эксплуатация возможна вместе с EoP — Microsoft Out­look (CVE-2023–23397):

"This vul­ner­a­bil­i­ty can be trig­gered through Out­look (0‑click using CVE-2023–23397)".

Впрочем, CVE-2023–23397 и без того была супер-критичной на момент выхода в марте 2023 с признаками активной эксплуатации вживую. Есть надежда, что её уже пофиксили везде. 🙏

По данным из БДУ ФСТЭК уязвимость CVE-2023–35628 эксплуатируется вживую (флаг vul_incident).