Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — обновления безопасности Microsoft для 89 уязвимостей, повышение привилегий и RCE в Citrix Virtual Apps and Desktops, новые уязвимости Palo Alto Networks, критичная уязвимость в PostgreSQL, новый шифровальщик Ymir.

Microsoft выпустила обновления, закрывающие 89 уязвимостей

Специалисты Microsoft выпустили обновления безопасности для 89 уязвимостей, включая 4 0-day уязвимости, две из которых активно эксплуатируются. Уязвимость CVE-2024-49039 (CVSS: 8.8) представляет собой ошибку в планировщике задач Windows, которая позволяет повышать привилегии. Уязвимость CVE-2024-43451 (CVSS: 6.5) связана с раскрытием хэша NTLMv2 через компонент MSHTML, что делает хэш доступным для удаленных злоумышленников при минимальном взаимодействии с вредоносным файлом. Другая 0-day уязвимость CVE-2024-49040 (CVSS: 7.5) в Microsoft Exchange Server позволяет подделывать адрес электронной почты отправителя в письмах для локальных получателей. Уязвимость служб сертификатов Active Directory CVE-2024-49019 (CVSS: 7.8) позволяет получать привилегии администратора домена, злоупотребляя встроенными шаблонами сертификатов версии 1. Рекомендуется ознакомиться с полным перечнем исправлений и затронутых систем в бюллетене.

Повышение привилегий и RCE в Citrix Virtual Apps and Desktops

Специалисты JetCSIRT предупреждают о двух новых уязвимостях, которые могут привести к повышению привилегий и удаленному выполнению кода (RCE) в Citrix Virtual Apps and Desktops. Уязвимости отслеживаются как CVE-2024-8068 (CVSS: 5.1) и CVE-2024-8069 (CVSS: 5.1) соответственно. Выполнение неаутентифицированного RCE реализуется за счет разрешений по умолчанию в механизме записи сеансов MSMQ, небезопасного класса .NET BinaryFormatter, а также возможности взаимодействия с MSMQ по HTTP с любого хоста. Для устранения данных уязвимостей рекомендуется выполнить установку соответствующих обновлений для Citrix Session Recording.

Новые уязвимости Palo Alto Networks активно используются в атаках

CISA предупредила, что в настоящее время активно эксплуатируются две критичные уязвимости в инструменте для переноса конфигураций Expedition компании Palo Alto Networks. Уязвимость CVE-2024-9463 (CVSS: 9.9) связана с неаутентифицированным внедрением команд и позволяет злоумышленникам запускать произвольные команды ОС от имени пользователя root, раскрывая имена пользователей, пароли, конфигурации устройств и ключи API брандмауэров PAN-OS. Другая уязвимость CVE-2024-9465 (CVSS: 9.2) представляет собой неаутентифицированную SQL-инъекцию и может быть использована для доступа к содержимому базы данных Expedition и создания или чтения произвольных файлов в уязвимых системах. Для устранения уязвимости необходимо обновить Expedition до 1.2.96 и более поздних версий.

Критичная уязвимость в PostgreSQL позволяет изменять переменные окружения

Исследователи компании Varonis обнаружили уязвимость CVE-2024-10979 (CVSS: 8.8) в Postgres PL/Perl, которая позволяет устанавливать произвольные переменные окружения, например PATH. Это в конечном итоге приводит к тому, что злоумышленник выполняет произвольный код вне зависимости от того, есть ли у него доступ к пользователю операционной системы. Для устранения уязвимости необходимо обновить PostgreSQL до версий 17.1, 16.5, 15.9, 14.14, 13.17 и 12.21.

Обнаружен новый шифровальщик Ymir

Специалисты «Лаборатории Касперского» обнаружили новую программу-вымогатель Ymir, которая обладает продвинутыми механизмами обхода обнаружения, включая выполнение кода в оперативной памяти. Также Ymir оставляет комментарии к коду на языке лингала и использует PDF-файлы в качестве записок с требованиями выкупа. За два дня до развертывания Ymir внедряется RustyStealer — инструмент, который позволяет злоумышленникам получать несанкционированный доступ к системам и собирать информацию. После запуска Ymir выполняет системную разведку и проверяет, работает ли она в изолированной среде. В ходе шифрования алгоритмом ChaCha20 пропускает расширения файлов на основе жестко заданного списка. В конце использует PowerShell для удаления своего исполняемого файла. Рекомендуется ознакомиться с индикаторами компрометации, представленными в отчете.

Источник: habr.com

0 0 голоса
Рейтинг новости
419
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии