В Тренде VM Июнь 2024: 9 CVE в Windows, PHP, Linux, Check Point, VMware vCenter и Veeam

00:00 Приветствие, что такое трендовые уязвимости 00:34 Повышение привилегий в службе CSC Windows (CVE-2024-26229) ❗ Оценка по CVSS — 7,8, высокий уровень опасности Уязвимость из апрельского Microsoft Patch Tuesday. В апреле эту уязвимость вообще никто не подсвечивал. 10 июня, на GitHub появился рабочий эксплойт. 01:18 Повышение привилегий в службе Windows Error Reporting (CVE-2024-26169) ❗ Оценка по CVSS — 7,8, высокий уровень опасности Уязвимость была исправлена в мартовском Microsoft Patch Tuesday. Эту уязвимость также никто не выделял. Однако через три месяца, 12 июня, исследователи из Symantec сообщили об атаках, связанных с известным шифровальщиком Black Basta, в которых использовались эксплойты для этой уязвимости. 02:15 Повышение привилегий в ядре Windows (CVE-2024-30088) ❗ Оценка по CVSS — 7,0, высокий уровень опасности Уязвимость свежая, из июньского Microsoft Patch Tuesday. Через две недели после Patch Tuesday, 24 июня, на GitHub появился репозиторий с техническими деталями по этой уязвимости и PoC эксплойта. Кроме того, доступно видео с запуском утилиты для получения привилегий SYSTEM. 2:59 Выполнение произвольного кода в PHP на Windows узлах (CVE-2024-4577) ❗ Оценка по CVSS — 9,8, критический уровень опасности Еще одна уязвимость связанная с Windows. Уязвимость может позволить неаутентифицированному злоумышленнику, выполняющему argument injection атаку, обойти защиту от старой активно эксплуатируемой RCE-уязвимости CVE-2012-1823 с помощью определенных последовательностей символов и выполнить произвольный код. Эксплоиты для уязвимости уже доступны на GitHub. Исследователи Imperva Threat Research сообщают, что эта уязвимость используется злоумышленниками для доставки зловреда, идентифицированого как компонент шифровальщика TellYouThePass. 04:33 Повышение привилегий в Linux (CVE-2024-1086) ❗ Оценка по CVSS — 7,8, высокий уровень опасности Сама уязвимость относительно старая, январская. В марте для нее вышел write-up и публичный эксплойт. 30 мая уязвимость добавили в CISA KEV, а значит, факт использования ее в атаках все-таки был установлен. Но подробностей по атакам пока нет. Обратите внимание на эту уязвимость при обновлении узлов под управлением Linux. 05:25 Раскрытие информации в Check Point Quantum Security Gateways (CVE-2024-24919) ❗ Оценка по CVSS — 8,6, высокий уровень опасности В конце мая, 28 числа, Check Point выпустили бюллетень безопасности, в котором сообщили о критически опасной уязвимости Check Point Quantum Security Gateways в конфигурации IPSec VPN или Mobile Access. Эксплуатация уязвимости тривиальная — достаточно одного POST-запроса; на GitHub уже есть множество скриптов для этого. Попытки эксплуатации уязвимости были зафиксированы с 7 апреля, то есть за 1,5 месяца до появления исправления от вендора. Уязвимость уже представлена в CISA KEV. 06:48 Выполение произвольного кода в VMware vCenter (CVE-2024-37079, CVE-2024-37080) ❗ Оценка по CVSS — 9,8, критический уровень опасности vCenter — это продукт для централизованного управления виртуальной инфраструктурой на платформе VMware vSphere. Обе уязвимости были исправлены 17 июня. У них одинаковое описание и оценка по CVSS 9,8. Уязвимости связаны с переполнением кучи в реализации протокола системы удаленного вызова процедур DCERPC. Злоумышленник, имеющий сетевой доступ к vCenter Server, может отправить специально подготовленный сетевой пакет и потенциально получить RCE. Публичного эксплоита и признака эксплуатации вживую пока нет, однако: Уязвимости очень похожи по описанию на прошлогоднюю эксплуатируемую RCE уязвимость vCenter (CVE-2023-34048). И CVSS вектор такой же. “Скриншот vSphere Client“, интерфейса для vCenter, стал своеобразным мемом злоумышленников, подтверждающим, что в ходе атаки им удалось скомпрометировать виртуальную инфраструктуру организации. Цель очень лакомая! 07:57 Обход аутентификации в Veeam Backup & Replication (CVE-2024-29849) ❗ Оценка по CVSS — 9,8, критический уровень опасности Закончим обходом аутентификации в Veeam Backup & Replication. Уязвимость была исправлена вендором 21 мая. Через три недели, 10 июня, исследователь под ником SinSinology выложил в своем блоге разбор этой уязвимости (на основе анализа патча) и PoC для нее. Подтверждений эксплуатации уязвимости в реальных атаках пока нет, но, вероятно, скоро могут быть. Компрометация бэкапов не менее лакомая цель, чем компрометация виртуальной инфраструктуры. До 2022 года продукты Veeam были популярны в России, и наверняка остается еще много инсталляций. Подписывайтесь на Telegram-канал avleonovrus “Управление Уязвимостями и прочее“! Там со ссылками! #ВтрендеVM #TrendVulns #PositiveTechnologies #CSC #Microsoft #Windows #Symantec #CISAKEV #BlackBasta #ransomware #WindowsKernel #ZDI #NtQueryInformationToken #PHP #TellYouThePass #Imperva #nftables #Linux #EoP #LPE #MakeMeRoot #DirtyPagedirectory #CheckPoint #CheckPointSecurityGateway #CISAKEV #vCenter #VMware #vSphere #DCERPC #Veeam #Backup #Replication