Horizon3 | Александр В. Леонов

Майский "В тренде VM": громкие уязвимости в Linux, ActiveMQ, SharePoint и Adobe Acrobat Reader. Представляю традиционную ежемесячную подборку трендовых уязвимостей по версии Positive Technologies. Если в прошлом апрельском выпуске была всего одна уязвимость, то в этот раз уже четыре и весьма разноплановых.

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

🔻 EoP - Linux Kernel "Copy Fail" (CVE-2026-31431). Уязвимость позволяет получить права root на Linux-хосте.

🔻 RCE - Apache ActiveMQ (CVE-2026-34197). Уязвимость в решении, широко используемом в корпоративных системах и интеграционных платформах.

🔻 Spoofing - Microsoft SharePoint Server (CVE-2026-32201). Уязвимость в решении Microsoft, широко используемом в корпоративных системах для организации совместной работы, управления документами и построения внутренних порталов.

🔻 RCE - Adobe Reader (CVE-2026-34621). Уязвимость в распространенном решении для просмотра PDF-документов; эксплуатируется в фишинговых атаках.

🟥 Полный список трендовых уязвимостей смотрите на портале

Про уязвимость Remote Code Execution - Apache ActiveMQ (CVE-2026-34197). Apache ActiveMQ - популярный брокер сообщений с открытым исходным кодом, написанный на языке Java. Его основная задача - передавать сообщения между разными сервисами, системами и микросервисами без прямого соединения между ними.

Уязвимость из апрельского Linux Patch Wednesday. Подробности об уязвимости были опубликованы 7 апреля в блоге компании HORIZON3.ai. Они утверждают, что эта уязвимость в Apache ActiveMQ Classic оставалась незамеченной на протяжении 13 лет. Атакующий может вызвать управляющую операцию ("invoke a management operation") через API Jolokia в ActiveMQ, чтобы заставить брокер загрузить удалённый файл конфигурации и выполнить произвольные команды операционной системы. В результате злоумышленник может получить доступ к конфиденциальной информации, включая сообщения, учётные данные и файлы конфигурации, внедрить вредоносное ПО или использовать скомпрометированный сервер для дальнейшего развития атаки внутри инфраструктуры.

Для эксплуатации уязвимости требуются учётные данные, однако во многих средах по-прежнему используются стандартные учётные данные (admin:admin). В некоторых версиях (6.0.0-6.1.1) учётные данные не требуются вовсе из-за другой уязвимости, CVE-2024-32114, которая непреднамеренно открывает доступ к API Jolokia без аутентификации. В этих версиях CVE-2026-34197 фактически является unauthenticated RCE.

🛠 Публичные эксплоиты доступны на GitHub с 8 апреля.

👾 Признаки эксплуатации уязвимости в реальных атаках были зафиксированы экспертами компании FortiGuard 13 апреля. Уязвимость была добавлена в CISA KEV 16 апреля.

🌐 По данным The Shadowserver Foundation на 14 мая в интернете оставалось доступно около 7000 уязвимых серверов Apache ActiveMQ.

⚙️ Согласно бюллетеню вендора, уязвимость устранена в версиях ActiveMQ 5.19.4 и 6.2.3. Но, по данным HORIZON3.ai, она была устранена в 5.19.6 и 6.2.5. Лучше установить более старшие версии. 😉

Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109). Злоумышленник может выполнить несанкционированный код или команды с помощью специальных запросов к API. Есть пруфы получения root-ового shell-а.

🔻 5 февраля эти две CVE с идентичным описанием появляются в NVD. CVSS 10/10. Все подпрыгнули. Смущала только ссылка на старый бюллетень вендора от 10 октября прошлого года и схожесть со старой CVE-2023-34992 с точностью до версий и опечатки "via via".
🔻 В тот же день Fortinet сообщают, что произошла ошибка и эти уязвимости дубликаты CVE-2023-34992. "В данном случае из-за проблемы с API, которую мы в настоящее время изучаем, произошло не редактирование [старой уязвимости], а создание двух новых CVE, дубликатов исходного CVE-2023-34992". 🤷‍♂️ Все выдыхают и ждут отзывы этих новых CVE-шек.
🔻 7 февраля исследователь Zach Hanley из Horizon3 сообщает, что уязвимости есть и это он их нашёл. Это байпасы фикса оригинальной CVE-2023-34992. Пруфает перепиской с Fortinet и скриншотом root-ового shell-а. 😈
🔻 Вскоре после этого Fortinet выпускают ещё одно заявление, что да, новые уязвимость есть и это действительно байпассы. А в предыдущем сообщении они неверно выразились ("misstated"). 🤡🤦‍♂️

На вчерашнем Прожекторе по ИБ выяснили, что инсталляции FortiSIEM в России хоть и редко, но встречались. И даже в окологосах. Если у вас FortiSIEM ещё используется, то обязательно обновитесь (а лучше импортозаместитесь).

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: Horizon3

Майский "В тренде VM": громкие уязвимости в Linux, ActiveMQ, SharePoint и Adobe Acrobat Reader

Про уязвимость Remote Code Execution - Apache ActiveMQ (CVE-2026-34197)

Странная история двух новых критичных RCE-уязвимостей в FortiSIEM (CVE-2024-23108, CVE-2024-23109)