Архив метки: Veeam

Про уязвимость Remote Code Execution - Veeam Backup & Replication (CVE-2025-23120)

Добавить комментарий

Про уязвимость Remote Code Execution - Veeam Backup & Replication (CVE-2025-23120)

Про уязвимость Remote Code Execution - Veeam Backup & Replication (CVE-2025-23120). Veeam B&R - клиент-серверное ПО для централизованного резервного копирования виртуальных машин в средах VMware vSphere и Microsoft Hyper-V.

Уязвимость, вызванная ошибкой десериализации (CWE-502), позволяет злоумышленнику выполнить произвольный код на уязвимом сервере. Необходимые условия: сервер Veeam должен быть в домене Active Directory, а злоумышленник должен быть аутентифицирован в этом домене.

Бюллетень вендора вышел 19 марта. А уже 20 марта в блоге компании watchTowr Labs появился разбор уязвимости. Скорее всего, скоро появится PoC эксплоита на основе этого описания.

До 2022 года продукты Veeam были популярны в России, и, вероятно, ещё остались активные инсталляции.

❗️ Компрометация системы бэкапирования помешает быстрому восстановлению инфраструктуры после атаки шифровальщика. 😉

Обновитесь до версии 12.3.1 и, по возможности, отключите сервер B&R от домена.

Финализирую список трендовых уязвимостей 2024 года по версии Positive Technologies

Добавить комментарий

Финализирую список трендовых уязвимостей 2024 года по версии Positive Technologies

Финализирую список трендовых уязвимостей 2024 года по версии Positive Technologies. В прошедшем году к трендовым отнесли 74 уязвимости (для сравнения масштабов - всего в NVD за 2024 год добавили чуть более 40000).

Все трендовые уязвимости в западных коммерческих продуктах и open source проектах. Уязвимости отечественных продуктов в список трендовых не попали.

Для 55 из всех трендовых на текущий момент есть зафиксированные признаки эксплуатации в атаках, для 17 есть публичные эксплоиты (но нет признаков эксплуатации) и для 2 оставшихся есть только вероятность будущей эксплуатации.

При этом часто уязвимости добавлялись в трендовые и до появления признаков эксплуатации в реальных атаках. Так, например, уязвимость выполнения произвольного кода в VMware vCenter (CVE-2024-38812) была добавлена в список трендовых 20 сентября, через 3 дня после появления бюллетеня безопасности вендора. Для этой уязвимости не было признаков эксплуатации в реальных атаках и публичного эксплоита. Признаки эксплуатации появились только через 2 месяца, 18 ноября.

В списке трендовых больше всего уязвимостей выполнения произвольного кода и команд (24), а также повышения привилегий (21).

4 уязвимости в Barracuda Email Security Gateway (CVE-2023-2868), MOVEit Transfer (CVE-2023-34362), papercut (CVE-2023-27350) и SugarCRM (CVE-2023-22952) были добавлены в начале января 2024 года. Они активно эксплуатировались на Западе в 2023 году, но атаки с использованием этих уязвимостей могли по касательной задеть и те отечественные организации, где эти продукты ещё не были выведены из эксплуатации. Остальные уязвимости стали трендовыми именно в 2024 году.

34 трендовых уязвимостей касаются продуктов Microsoft (45 %).

🔹 Из них 17 - это уязвимости повышения привилегий в ядре Windows и стандартных компонентах.

🔹 1 уязвимость выполнения произвольного кода в Windows Remote Desktop Licensing Service (CVE-2024-38077).

2 трендовые уязвимости касаются повышения привилегий в Linux: одна в nftables (CVE-2024-1086), а вторая в needrestart (CVE-2024-48990).

Другие группы уязвимостей

🔻 Фишинговые атаки: 19 (компоненты Windows, Outlook, Exchange, Ghostscript, Roundcube)
🔻 Сетевая безопасность и точки проникновения: 13 (Palo Alto, Fortinet, Juniper, Ivanti, Check Point, Zyxel)
🔻 Виртуальная инфраструктура и бэкапы: 7 (VMware, Veeam, Acronis)
🔻 Разработка ПО: 6 (GitLab, TeamCity, Jenkins, PHP, Fluent Bit, Apache Struts)
🔻 Инструменты совместной работы: 3 (Atlassian Confluence, XWiki)
🔻 Плагины CMS WordPress: 3 (LiteSpeed Cache, The Events Calendar, Hunk Companion)

🗒️ Полный отчёт Vulristics

🟥 Статья на официальном сайте "Уязвимое ПО и «железо» vs исследователи безопасности"

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников

Добавить комментарий

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁

📹 Ролик "В тренде VM" на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Содержание:

🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж

RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках

Добавить комментарий

RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках

RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках. 24 сентября признаков эксплуатации вживую этой уязвимости ещё не было. А 10 октября Sophos X-Ops сообщили, что в течение месяца они наблюдали серию атак с эксплуатацией этой уязвимости, целью которых была установка программ-вымогателей Akira и Fog. 🤷‍♂️

Тезис моего исходного поста подтвердился. Отсутствие сообщений об эксплуатации уязвимостей в реальных атаках не повод их игнорировать.

"Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надёжно зафиксированы."

🟥 Positive Technologies относит уязвимость к трендовым с 10 сентября.

В своём write-up-е watchTowr Labs обращают внимание на странности, связанные с исправлением уязвимости Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711)

Добавить комментарий

В своём write-up-е watchTowr Labs обращают внимание на странности, связанные с исправлением уязвимости Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711)

В своём write-up-е watchTowr Labs обращают внимание на странности, связанные с исправлением уязвимости Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711).

🔹 Описание уязвимости в NVD говорит нам о том, что аутентификация для эксплуатации уязвимости не требуется, но в CVSS векторе в бюллетене вендора значится что аутентификация требуется ("PR:L").

🔹 Большое количество изменений в патче намекает на то, что вендор исправлял некоторые уязвимости, не информируя клиентов (silent patching).

🔹 Исследователи пришли к выводу, что исправление CVE-2024-40711 происходило в несколько этапов. Сначала эксплуатация уязвимости не требовала аутентификации, потом выпустили патч и эксплуатация стала требовать аутентификацию и, наконец, второй патч полностью исправил эту уязвимость. Как обычно, лучше всего обновляться до последней версии. 😉

❗ Эксплуатация уязвимости позволяет уничтожить бэкапы и значительно затруднить восстановление инфраструктуры организации после атаки.

Про уязвимость Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711)

Добавить комментарий

Про уязвимость Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711)

Про уязвимость Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711). Бюллетень вендора вышел 4 сентября. В описании уязвимости её причиной называют десериализацию ненадежных данных с вредоносной полезной нагрузкой. Уязвимость обнаружил исследователь из компании CODE WHITE.

Через 5 дней, 9 сентября, исследователи из другой компании, watchTowr Labs, выложили в своём блоге подробный write-up, код эксплоита и видео с демонстрацией его работы.

Признаков эксплуатации вживую этой уязвимости пока не наблюдается. Как и для июньской уязвимости в Veeam B&R (CVE-2024-29849). Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надёжно зафиксированы. Так, например, в CISA KEV есть уязвимости Veeam B&R исправленные в марте 2022-го года, которые добавили в каталог только в декабре 2023-го. 😉

Обновляйтесь заранее!

Трендовые уязвимости июня по версии Positive Technologies

1 комментарий

Трендовые уязвимости июня по версии Positive Technologies. Традиционно в 3 форматах:

📹 Рубрика "В тренде VM" в новостном ролике SecLab-а (начинается с 15:03)
🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Список уязвимостей:

🔻 EoP в Microsoft Windows CSC (CVE-2024-26229)
🔻 EoP в Microsoft Windows Error Reporting (CVE-2024-26169)
🔻 EoP в Microsoft Windows Kernel (CVE-2024-30088)
🔻 RCE в PHP (CVE-2024-4577)
🔻 EoP в Linux Kernel (CVE-2024-1086)
🔻 InfDisclosure в Check Point Security Gateways (CVE-2024-24919)
🔻 RCE в VMware vCenter (CVE-2024-37079, CVE-2024-37080)
🔻 AuthBypass в Veeam Backup & Replication (CVE-2024-29849)