В тренде VM: под угрозой продукты Microsoft, сайты на WordPress и веб-приложения на Apache Struts

Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

В декабре мы отнесли к трендовым четыре уязвимости:

Уязвимости в Microsoft

• Уязвимость в драйвере ksthunk.sys, связанная с повышением привилегий (CVE-2024-38144),

• Уязвимость в драйвере CLFS.sys, связанная с повышением привилегий (CVE-2024-49138).

Уязвимость в Apache Struts, фреймворке для создания веб-приложений

• Уязвимость, связанная с обходом каталога (CVE-2024-53677).

Уязвимость в Hunk Companion, плагине для WordPress

• Уязвимость, связанная с установкой уязвимых плагинов (CVE-2024-11972).

Уязвимости в продуктах Microsoft

Уязвимость в драйвере ksthunk.sys, связанная с повышением привилегий при помощи переполнения буфера в Windows

💥 CVE-2024-38144 (оценка по CVSS — 8,8; высокий уровень опасности)

Уязвимость из августовского дайджеста Microsoft Patch Tuesday ^[1]. В обзорах ее не выделяли как трендовую. Было известно только то, что локальный атакующий может получить привилегии уровня SYSTEM — максимального в операционной системе.

Через три с половиной месяца, 27 ноября, компания SSD Secure Disclosure, специализирующаяся на раскрытии уязвимостей, опубликовала исследование ^[2] с кодом эксплойта. Оказалось, что эксплуатация этой уязвимости была представлена на конкурсе TyphoonPWN 2024 ^[3] в конце мая. Исследователь получил за нее 70 000 $.

Специалисты SSD отмечают, что коммуникация с Microsoft была непростой и «на момент проверки на последней версии Windows 11 уязвимость все еще эксплуатировалась». Непонятно, когда именно был этот момент проверки: до августовского дайджеста Microsoft Patch Tueasday или перед выходом исследования. Если второе, то получается, что уязвимость может быть до сих пор не исправлена и ее можно отнести к 0-day. Ждем разъяснений от SSD или Microsoft.

Про эксплуатацию уязвимости в реальных атаках пока не слышно.

Признаки эксплуатации: Microsoft не отмечает  ^[4]фактов эксплуатации уязвимости.

Количество потенциальных жертв: все пользователи Windows, которые не скачали обновления безопасности.

Публично доступные эксплойты: есть в открытом доступе.

Уязвимость в драйвере CLFS.sys, связанная с повышением привилегий при помощи переполнения буфера в Windows

💥 CVE-2024-49138 (оценка по CVSS — 7,8; высокий уровень опасности)

Уязвимость из декабрьского дайджеста Microsoft Patch Tuesday ^[5]. Недостаток безопасности был обнаружен в стандартном компоненте Windows во всех версиях начиная с Windows Server 2003 R2 ^[6]. Описание у нее типично для уязвимости, связанной с повышением привилегий (EoP) в Windows: в случае успешной эксплуатации локальный злоумышленник может получить привилегии уровня SYSTEM. Причина уязвимости — heap-based buffer overflow ^[7]. Переполнение буфера в области данных кучи возникает, когда программа записывает в буфер памяти, выделенный для кучи, больше данных, чем туда может поместиться.

Microsoft сразу подтвердили случаи эксплуатации вживую, однако не предоставили информации о том, где эксплуатировалась уязвимость и насколько масштабными были атаки.

Публичный эксплойт появился 15 января, его представил Alessandro Iandoli из HN Security ^[8]. На GitHub доступен исходный код и видео с демонстрацией работы эксплойта: локальный атакующий запускает EXE-файл в PowerShell и через секунду получает максимальные привилегии уровня SYSTEM. Исследователь протестировал работоспособность эксплойта на Windows 11 23H2. Он также обещает опубликовать пост с подробным анализом уязвимости.

Признаки эксплуатации: Microsoft отмечает ^[9] факты эксплуатации уязвимости. Компания CrowdStrike сообщает ^[10], что уязвимость активно эксплуатируется злоумышленниками.

Количество потенциальных жертв: все пользователи Windows, которые не скачали обновления безопасности.

Публично доступные эксплойты: в открытом доступе опубликован PoC.

Способ устранения описанных уязвимостей: установить обновления безопасности, которые представлены на официальном сайте Microsoft (CVE-2024-38144 ^[4], CVE-2024-49138 ^[9]).

Уязвимость во фреймворке для создания веб-приложений Apache Struts

Уязвимость, связанная с обходом каталога в Apache Struts

💥 CVE-2024-53677 (оценка по CVSS — 9,5; критический уровень опасности)

Apache Struts — это открытая программная платформа для создания веб-приложений на языке Java. Она позволяет разработчикам отделять бизнес-логику приложения от пользовательского интерфейса. Apache Struts часто используется в крупных корпоративных проектах.

Бюллетень безопасности с описанием уязвимости вышел ^[11] 14 декабря. Ошибка в логике загрузки файлов позволяет неаутентифицированному злоумышленнику выполнить атаку типа path traversal, загрузить зловредный файл и при определенных условиях осуществить удаленное выполнение кода (remote code execution). Публичный эксплойт появился 20 декабря. Есть сообщения о попытках эксплуатации ^[12], но информации об успешных атаках пока нет.

Вендор рекомендует обновиться до версии 6.4.0 или выше и мигрировать приложения на новый безопасный механизм File Upload ^[13].

Признаки эксплуатации: несколько вредоносных узлов, пытающихся использовать уязвимость, заметили в GreyNoise ^[14], но информация об успешных атаках отсутствует.

Количество потенциальных жертв: по данным Maven Central ^[15], уязвимую версию фреймворка установили около 40 000 раз.

Публично доступные эксплойты: есть в открытом доступе.

Способы устранения, компенсирующие меры: всем пользователям рекомендуется обновить ^[16] Apache Struts минимум до версии 6.4.0 и перейти на использование нового механизма загрузки файлов, не имеющего обратной совместимости со старым.

Уязвимость в плагине Hunk Companion для WordPress

Уязвимость, связанная с установкой уязвимых плагинов через плагин Hunk Companion для WordPress

💥 CVE-2024-11972 (оценка по CVSS — 9,8; критический уровень опасности)

Компания ThemeHunk ^[17] разрабатывает коммерческие темы для WordPress CMS, а плагин Hunk Companion ^[18] предназначен для дополнения и расширения функциональности этих тем. У плагина более 10 000 установок.

Бюллетень ^[19] от WPScan с описанием уязвимости в версиях плагина Hunk Companion ниже 1.9.0 вышел 10 декабря. Уязвимость позволяет неаутентифицированному атакующему устанавливать и активировать на сайте произвольные плагины из репозитория WordPressOrg. Эксплойт доступен на GitHub с 28 декабря.

Несанкционированная установка плагинов опасна тем, что устанавливаемые плагины могут содержать свои уязвимости. Так, в инциденте, зафиксированном WPScan, злоумышленники установили на сайте плагин WP Query Console ^[20] с уязвимостью, связанной с удаленным выполнением кода (CVE‑2024‑50498), и проэксплуатировали ее для установки бэкдора.

Если вы используете WordPress, старайтесь минимизировать количество плагинов и регулярно их обновляйте!

Признаки эксплуатации: WPScan сообщает ^[19] о фактах эксплуатации уязвимости.

Количество потенциальных жертв: по данным WordPress ^[21], уязвимая версия установлена более чем у 6800 пользователей.

Публично доступные эксплойты: есть в открытом доступе.

Способы устранения, компенсирующие меры: всем пользователям рекомендуется обновить Hunk Companion ^[22] до исправленной версии 1.9 и выше.

👷 Как защититься

Использование продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM ^[23] информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению и защитить инфраструктуру компании. Кроме того, мы рекомендуем использовать межсетевые экраны уровня веб-приложений, например PT Application Firewall ^[24], которые позволяют обезопасить общедоступные ресурсы.

В статье приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 31 декабря 2024 года.

Александр Леонов

Ведущий эксперт PT Expert Security Center