Архив метки: CheckPoint

Финализирую список трендовых уязвимостей 2024 года по версии Positive Technologies

Финализирую список трендовых уязвимостей 2024 года по версии Positive Technologies

Финализирую список трендовых уязвимостей 2024 года по версии Positive Technologies. В прошедшем году к трендовым отнесли 74 уязвимости (для сравнения масштабов - всего в NVD за 2024 год добавили чуть более 40000).

Все трендовые уязвимости в западных коммерческих продуктах и open source проектах. Уязвимости отечественных продуктов в список трендовых не попали.

Для 55 из всех трендовых на текущий момент есть зафиксированные признаки эксплуатации в атаках, для 17 есть публичные эксплоиты (но нет признаков эксплуатации) и для 2 оставшихся есть только вероятность будущей эксплуатации.

При этом часто уязвимости добавлялись в трендовые и до появления признаков эксплуатации в реальных атаках. Так, например, уязвимость выполнения произвольного кода в VMware vCenter (CVE-2024-38812) была добавлена в список трендовых 20 сентября, через 3 дня после появления бюллетеня безопасности вендора. Для этой уязвимости не было признаков эксплуатации в реальных атаках и публичного эксплоита. Признаки эксплуатации появились только через 2 месяца, 18 ноября.

В списке трендовых больше всего уязвимостей выполнения произвольного кода и команд (24), а также повышения привилегий (21).

4 уязвимости в Barracuda Email Security Gateway (CVE-2023-2868), MOVEit Transfer (CVE-2023-34362), papercut (CVE-2023-27350) и SugarCRM (CVE-2023-22952) были добавлены в начале января 2024 года. Они активно эксплуатировались на Западе в 2023 году, но атаки с использованием этих уязвимостей могли по касательной задеть и те отечественные организации, где эти продукты ещё не были выведены из эксплуатации. Остальные уязвимости стали трендовыми именно в 2024 году.

34 трендовых уязвимостей касаются продуктов Microsoft (45 %).

🔹 Из них 17 - это уязвимости повышения привилегий в ядре Windows и стандартных компонентах.

🔹 1 уязвимость выполнения произвольного кода в Windows Remote Desktop Licensing Service (CVE-2024-38077).

2 трендовые уязвимости касаются повышения привилегий в Linux: одна в nftables (CVE-2024-1086), а вторая в needrestart (CVE-2024-48990).

Другие группы уязвимостей

🔻 Фишинговые атаки: 19 (компоненты Windows, Outlook, Exchange, Ghostscript, Roundcube)
🔻 Сетевая безопасность и точки проникновения: 13 (Palo Alto, Fortinet, Juniper, Ivanti, Check Point, Zyxel)
🔻 Виртуальная инфраструктура и бэкапы: 7 (VMware, Veeam, Acronis)
🔻 Разработка ПО: 6 (GitLab, TeamCity, Jenkins, PHP, Fluent Bit, Apache Struts)
🔻 Инструменты совместной работы: 3 (Atlassian Confluence, XWiki)
🔻 Плагины CMS WordPress: 3 (LiteSpeed Cache, The Events Calendar, Hunk Companion)

🗒️ Полный отчёт Vulristics

🟥 Статья на официальном сайте "Уязвимое ПО и «железо» vs исследователи безопасности"

Трендовые уязвимости июля по версии Positive Technologies

Трендовые уязвимости июля по версии Positive Technologies.

Съемочная команда SecLab-а ушла на каникулы. Поэтому был выбор: пропускать выпуск в Тренде VM про июльские уязвимости, либо попробовать рассказать о них самостоятельно. Что я и постарался сделать. А со следующего выпуска мы снова вернемся на SecLab. 😉

📹 Ролик "В тренде VM" на YouTube, RuTube и VK Видео
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 00:33 Spoofing в Windows MSHTML Platform (CVE-2024-38112)
🔻 02:23 RCE в Artifex Ghostscript (CVE-2024-29510)
🔻 03:55 RCE в Acronis Cyber Infrastructure (CVE-2023-45249)

Что известно про Spoofing - Windows MSHTML Platform (CVE-2024-38112) из июльского Microsoft Patch Tuesday?

Что известно про Spoofing - Windows MSHTML Platform (CVE-2024-38112) из июльского Microsoft Patch Tuesday?

Что известно про Spoofing - Windows MSHTML Platform (CVE-2024-38112) из июльского Microsoft Patch Tuesday?

🔻 По данным Check Point, злоумышленники используют в атаках специальные ".url" файлы, иконка которых похожа на иконку pdf документа. Если пользователь кликает на файл и игнорирует 2 малоинформативных warning-а, то в устаревшем браузере Internet Explorer, встроенном в Windows, запускается зловредное HTA приложение. 😱 Почему именно в IE? Вcё из-за обработки префикса "mhtml:" в ".url" файле. Июльское обновление это блочит. 👍

🔻 Check Point находили образцы таких ".url" файлов аж от января 2023 года. По данным Trend Micro, уязвимость эксплуатируется APT группой Void Banshee для установки зловреда Atlantida Stealer и сбора паролей, cookies и других чувствительных данных. Void Banshee добавляют вредоносные ".url" файлы в архивы с PDF-книгами и распространяют их через сайты, мессенджеры и фишинговые рассылки.

Трендовые уязвимости июня по версии Positive Technologies

Трендовые уязвимости июня по версии Positive Technologies. Традиционно в 3 форматах:

📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 EoP в Microsoft Windows CSC (CVE-2024-26229)
🔻 EoP в Microsoft Windows Error Reporting (CVE-2024-26169)
🔻 EoP в Microsoft Windows Kernel (CVE-2024-30088)
🔻 RCE в PHP (CVE-2024-4577)
🔻 EoP в Linux Kernel (CVE-2024-1086)
🔻 InfDisclosure в Check Point Security Gateways (CVE-2024-24919)
🔻 RCE в VMware vCenter (CVE-2024-37079, CVE-2024-37080)
🔻 AuthBypass в Veeam Backup & Replication (CVE-2024-29849)

Распишу по поводу эксплуатируемой вживую уязвимости Information Disclosure - Check Point Security Gateway (CVE-2024-24919)

Распишу по поводу эксплуатируемой вживую уязвимости Information Disclosure - Check Point Security Gateway (CVE-2024-24919)

Распишу по поводу эксплуатируемой вживую уязвимости Information Disclosure - Check Point Security Gateway (CVE-2024-24919). 28 мая Check Point выпустили бюллетень безопасности, в котором сообщили о критичной уязвимости Check Point Security Gateway, сконфигурированных с программными блейдами "IPSec VPN" или "Mobile Access".

📖 Практически сразу появились технические подробности по уязвимости. Уязвимость позволяет неаутентифицированному удаленному злоумышленнику прочитать содержимое произвольного файла, расположенного на уязвимом устройстве. Таким образом злоумышленник может прочитать файл /etc/shadow и хэши паролей локальных учетных записей, включая учетные записи, используемые для подключения к Active Directory. Злоумышленник может получить пароли по хэшам, и затем использовать эти пароли для аутентификации и дальнейшего развития атаки. Если, конечно, Security Gateway разрешает аутентификацию только по паролю.

🔨 Эксплуатация уязвимости тривиальная - достаточно одного Post-запроса, на GitHub-е уже множество скриптов для этого.

👾 Попытки эксплуатации уязвимости были зафиксированы с 7 апреля, т.е. за 1,5 месяца до появления исправления от вендора. Уязвимость уже в CISA KEV.

Уязвимы продукты:

🔻 CloudGuard Network
🔻 Quantum Maestro
🔻 Quantum Scalable Chassis
🔻 Quantum Security Gateways
🔻 Quantum Spark Appliances

🔍 Сколько может быть уязвимых хостов? Qualys-ы нашли 45 000 в Fofa и около 20 000 в Shodan. Больше всего, разумеется, находится в Израиле. России в ТОП-5 стран нет. Для России Fofa показывает 408 хостов. 🤷‍♂️

🩹 На сайте вендора приводятся хотфиксы, скрипт для проверки на компрометацию и рекомендации по харденингу устройств.

CheckPoint-ы выпустили отчёт о группировке Magnet Goblin, которая отметилась оперативной эксплуатацией уязвимостей в сервисах доступных из Интернет

CheckPoint-ы выпустили отчёт о группировке Magnet Goblin, которая отметилась оперативной эксплуатацией уязвимостей в сервисах доступных из Интернет

CheckPoint-ы выпустили отчёт о группировке Magnet Goblin, которая отметилась оперативной эксплуатацией уязвимостей в сервисах доступных из Интернет. На момент эксплуатации для этих уязвимостей уже есть патчи (поэтому они 1-day, а не 0-day). Но так как компании, как правило, обновляются не очень оперативно, злоумышленники из Magnet Goblin успешно проводят свои атаки. 🤷‍♂️

В отчёте упоминаются следующие уязвимости, эксплуатируемые Magnet Goblin:

🔻 Magento (опенсурсная e-commerce платформа) – CVE-2022-24086
🔻 Qlik Sense (решение для анализа данных) – CVE-2023-41265, CVE-2023-41266, и CVE-2023-48365
🔻 Ivanti Connect Secure (средство для удаленного доступа к инфраструктуре) – CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 и CVE-2024-21893.
🔻 Apache ActiveMQ (брокер сообщений) - CheckPoint пишут, что "возможно" и не указывают CVE, но вероятно это речь о CVE-2023-46604.

Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023

Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023
Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023

Elevation of Privilege - Microsoft Streaming Service (CVE-2023-29360) эксплуатируется вживую малварью Raspberry Robin с августа 2023. Уязвимость позволяет получать привилегии SYSTEM. С сентября 2023 eсть PoC на гитхабе.

Вот как оно бывает. Была ничем не примечательная уязвимость с небольшим CVSS, которую в момент выхода июньского Microsoft Patch Tuesday только Qualys мельком подсветили. А потом бамс - оказывается и уязвимый компонент другой, и уязвимость успешно эксплуатируется. 🤷‍♂️

CheckPoint-ы пишут, что Raspberry Robin использует и Elevation of Privilege – Microsoft Streaming Service Proxy (CVE-2023-36802), но для неё признак эксплуатации вживую был в сентябрьском MSPT, так что не особо новость. Для этой уязвимости также есть PoC на GitHub.