GuardianCortex

VMware исправила критическую уязвимость SQL-инъекции CVE-2024-22280 (CVSS 8,5) в Aria Automation. VMware Aria Automation - это современная платформа облачной автоматизации, которая упрощает и оптимизирует развертывание, управление и руководство облачной инфраструктурой и приложениями. Она предоставляет унифицированную платформу для автоматизации задач в нескольких облачных средах, включая VMware Cloud on AWS, VMware Cloud on Azure и VMware Cloud Foundation. Аутентифицированный злоумышленник может воспользоваться уязвимостью, введя специально созданные SQL-запросы и выполнив несанкционированные операции чтения/записи в базе данных. Обнаруженная исследователями Канадского правительственного центра киберзащиты (CGCD) уязвимость затрагивает VMware Aria Automation версии 8.x и Cloud Foundation версий 5.x и 4.x. VMware заявляет, что обходные пути для этой проблемы отсутствуют, для устранения CVE-2024-22280 рекомендуется применить исправления.

Следуя вышеизложенным умозаключениям Грибов, Позитивы прошерстили информацию об уязвимостях из бюллетеней вендоров, соцсетей, блогов, ТГ-каналов, баз эксплойтов, публичных репозиториев кода, выделив наиболее трендовые уязвимости июня. По сути это самые опасные уязвимости, которые либо уже эксплуатируются вживую, либо могут эксплуатироваться в ближайшее время. В этом месяце таких уязвимостей оказалось достаточно много — девять: - Уязвимости в Microsoft Windows, связанные с повышением привилегий: в службе CSC (CVE-2024-26229), службе Error Reporting (CVE-2024-26169) и ядре ОС (CVE-2024-30088); - Уязвимость, приводящая к выполнению произвольного кода, в скриптовом языке PHP на узлах под управлением Windows (CVE-2024-4577); - Уязвимость, приводящая к повышению привилегий, в ядре Linux (CVE-2024-1086); - Уязвимость, связанная с раскрытием информации, в Check Point Quantum Security Gateways (CVE-2024-24919); - Уязвимость в VMware vCenter, позволяющие выполнить произвольный код (CVE-2024-37079, CVE-2024-37080); - Уязвимость в Veeam Backup & Replication, приводящая к обходу аутентификации (CVE-2024-29849). Подробно по каждой с указанием признаков эксплуатации, количеству потенциальных жертв, наличия публично доступных эксплойтов, а также способов устранения и компенсирующих мер - в блоге Positive Technologies.

Ведущие поставщики ICS выкатили свои бюллетени с исправлениями в рамках PatchTuesday. Siemens представила 17 новых рекомендаций с описанием более 50 уязвимостей, выпустив соответствующие исправления и меры по их устранению, а также обновила 21 ранее выпущенную рекомендацию. Наиболее серьезным из дефектов является критическая ошибка в сервере удаленного подключения SINEMA, которая может позволить аутентифицированному злоумышленнику повысить свои привилегии в базовой ОС. Отдельная рекомендация посвящена CVE-2024-3596, уязвимости BlastRADIUS, обнаруженной в одноименном протоколе, которая позволяет злоумышленникам обойти защиту MFA. Компания выпустила исправления для некоторых из продуктов и планирует обновления для целого ряда семейств продуктов, рекомендуя при этом ограничить доступ к сетям с RADIUS и настроить сервера с требованием Message-Authenticator во всех пакетах Access-Request. Schneider Electric выпустила четыре новых бюллетеня, описывающих 6 уязвимостей, влияющих на контроллеры Wiser Home Controller WHC-5918A, EcoStruxure Foxboro DCS, EcoStruxure Foxboro SCADA FoxRTU Station и Modicon. Наиболее важной из этих проблем является критическая уязвимость в контроллере Wiser Home Controller WHC-5918A, контроллере домашней автоматизации на базе C-Bus, выпуск которого был прекращен девять лет. Клиентам следует рассмотреть возможность обновления до новейший решений и прекратить эксплуатацию уязвимого контроллера. Schneider выпустила исправления для уязвимостей высокой степени серьезности в EcoStruxure Foxboro DCS и EcoStruxure Foxboro SCADA FoxRTU Station, но еще не разработала план устранения ошибки средней степени серьезности в контроллерах Modicon. Немецкий производитель промышленных контроллеров Ifm Electronic GmbH в рамках PatchTuesday выпустил исправления для 5 уязвимостей в прошивке Smart PLC, включая две критически важные проблемы. Они позволяют получить доступ к устройствам с высокими привилегиями или внедрить команды ОС для включения доступа по протоколу Telnet, который принимает жестко запрограммированные учетные данные.

Исследователи Group-IB задетектили и подробно разобрали атаки новой ransomware, известной как EstateRansomware. Сингапурская компания обнаружила злоумышленника еще в начале апреля 2024 года. Вредоносная активность включала эксплуатацию уязвимости CVE-2023-27532 (оценка CVSS: 7,5) программном обеспечении Veeam Backup & Replication. Первоначальный доступ к целевой среде был осуществлен с помощью устройства SSL VPN брандмауэра Fortinet FortiGate с использованием неактивной учетной записи, идентифицированной как «Acc1». Злоумышленник перешел от межсетевого экрана FortiGate к сервису SSL VPN, получив доступ к отказоустойчивому серверу. Несколько дней спустя успешный вход в VPN с использованием «Acc1» был отслежен до удаленного IP-адреса 149.28.106[.]252. Затем злоумышленники приступили к установке RDP-подключений от брандмауэра к отказоустойчивому серверу, после чего развернули постоянный бэкдор «svchost.exe», который ежедневно выполнялся в рамках запланированной задачи. Последующий доступ к сети был осуществлен с помощью бэкдора для избежания обнаружения. Его основная задача - подключиться к C2 по протоколу HTTP и выполнить произвольные команды, выданные злоумышленником. При этом ресерчеры Group-IB заметили, как злоумышленник эксплуатировал уязвимость Veeam CVE-2023-27532 с целью включения xp_cmdshell на сервере резервного копирования и создания подконтрольной учетной записи пользователя с именем «VeeamBkp». Кроме того, актор также реализовал сканирование сети, сбор учетных данных с использованием таких инструментов, как NetScan, AdFind и NitSoft, посредством вновь созданной учетной записи. Эксплуатация потенциально включала атаку, исходящую из папки VeeamHax на файловом сервере, в отношении уязвимой версии Veeam Backup & Replication, установленной на сервере резервного копирования. Атака завершилась развертыванием вируса-вымогателя, однако перед этим были предприняты меры по ослаблению защиты и горизонтальному перемещению с сервера AD на все другие сервера и рабочие станции с использованием скомпрометированных учетных записей домена. Защитник Windows был окончательно отключен с помощью DC.exe (Defender Control), после чего была осуществлена загрузка и выполнение программы-вымогателя с помощью PsExec.exe. Как заключили специалисты, задержка обновлений безопасности и пренебрежение регулярными проверками создали уязвимости, которыми воспользовались злоумышленники, что привело к серьезным последствиям для программ-вымогателей. IoC и подробный технический разбор в материале Group-IB.

GitLab предупреждает о критической уязвимости в GitLab Community и Enterprise, которая влияет на функционал непрерывной интеграции/непрерывного развертывания (CI/CD). CVE-2024-6385 получила оценку серьезности CVSS 9,6 из 10 и затрагивает все версии GitLab CE/EE от 15.8 до 16.11.6, от 17.0 до 17.0.4 и от 17.1 до 17.1.2. При определенных обстоятельствах, которые GitLab еще не раскрыл, злоумышленники могут использовать ошибку, чтобы запустить новый конвейер от имени другого пользователя. Причем в конце прошлого месяца компания исправила похожую ошибку (CVE-2024-5655, оценка CVSS: 9,6), которую можно было использовать аналогичным образом. Компания выпустила GitLab Community и Enterprise 17.1.2, 17.0.4 и 16.11.6 для устранения критической уязвимости безопасности и рекомендует администраторам немедленно обновить все свои установки. При этом GitLab.com и GitLab Dedicated уже используют исправленную версию. В этих же версиях закрыта другая проблема средней серьезности (CVE-2024-5257, оценка CVSS: 4,9), которая позволяет пользователю-разработчику с правами admin_compliance_framework изменять URL-адрес для пространства имен группы.

Хуситы, оказывается, не только в войну могут, но и в киберпространстве неплохо ориентируются. Исследователи Lookout раскрыли продолжающуюся операцию с использованием шпионского ПО под названием GuardZoo, нацеленную на военных по всему Ближнему Востоку. По данным ресерчеров, кампания, предположительно начавшаяся еще в октябре 2019 года, приписывается группировке, связанной с хуситами. В основе атрибуции анализ приманок, журналы С2, спектр целей и расположение инфраструктуры атак. Вредоносная активность охватила более 450 жертв из Египта, Омана, Катара, Саудовской Аравии, Турции, ОАЭ и Йемена, где по данным телеметрии, зафиксировано наибольшее число заражений. GuardZoo - это модифицированная версия RAT для Android под названием Dendroid RAT, который был впервые обнаружен компанией Symantec в марте 2014 года. Весь исходный код, связанный с этим вредоносным ПО, был опубликован позднее в августе. Изначально продававшийся как вредоносное ПО за 300 долларов США GuardZoo обладает возможностями совершать звонки, удалять журналы вызовов, открывать веб-страницы, записывать аудио переговоры, получать доступ к SMS, делать и загружать фотографии и видео и даже инициировать HTTP-флуд. Однако в кодовую базу было внесено много изменений в плане добавления нового функционала. При этом GuardZoo не задействует утекшую веб-панель PHP из Dendroid RAT для C2, а использует новый бэкэнд C2, созданный с помощью ASP.NET. Цепочки атак включают личные сообщения WhatsApp для распространения GuardZoo в виде APK-файлов или же прямые загрузки троянизированных приложений Android из браузера по ссылке. Обновленная версия вредоносного ПО поддерживает более 60 команд, которые позволяют ему извлекать дополнительные полезные данные, доставлять файлы и APK, красть данные, изображения и картографические файлы с устройств жертвы, менять C2, завершать работу, обновляться или удаляться с устройства. GuardZoo использует одни и те же динамические домены DNS для операций C2 с октября 2019 года с различными IP из YemenNet. Исследователи полагают, что GuardZoo используется для сбора как тактических, так и стратегических военных разведданных, которые могут быть использованы в интересах операций, проводимых хуситами.

Ошибка возрастом 30 лет обнаружена исследователями из Бостонского университета, Cloudflare, BastionZero, Microsoft, Centrum Wiskunde&Informatica и Калифорнийского университета в Сан-Диего в популярном протоколе RADIUS, которая приводит к атаке BlastRADIUS. Отсдеживаемая как CVE-2024-3596 (и VU#456537) позволяет опытному злоумышленнику реализовать эксплойты для аутентификации любого пользователя в локальной сети, обходя любые средства MFA. InkBridge Networks уже выкатила техническое описание атаки BlastRADIUS, предупредив о серьезных рисках для корпоративных сетей, включая внутренние сети предприятий, сети интернет-провайдеров (ISP) и телекоммуникационных компаний. Основная причина атаки заключается в том, что в протоколе RADIUS некоторые пакеты Access-Request не аутентифицированы и не имеют проверки целостности. Затем злоумышленник может выполнить атаку с выбранным префиксом, которая позволяет изменить Access-Request, чтобы заменить допустимый ответ на тот, который выбрал злоумышленник. Несмотря на то, что ответ аутентифицирован и проверен целостность, уязвимость выбранного префикса позволяет злоумышленнику изменить пакет ответа практически по своему желанию. Протокол RADIUS, впервые стандартизированный в конце 1990-х годов, используется для управления доступом к сети посредством аутентификации, авторизации и учета и до сих пор широко применяется в коммутаторах, маршрутизаторах, точках доступа и продуктах VPN. InkBridge Networks описала проблему как фундаментальный недостаток конструкции протокола и отметила, что все соответствующие стандартам клиенты и серверы RADIUS, вероятно, уязвимы для этой атаки. Поскольку вся безопасность протокола RADIUS для транспортов UDP и TCP основана на общем секрете, эта атака, возможно, является самой серьезной атакой на протокол. InkBridge Networks рекомендует как минимум обновить каждый сервер RADIUS по всему миру, чтобы устранить эту уязвимость. Компания смогла разработать эксплойт, однако заверяет об отсутствии признаков того, что эта уязвимость активно эксплуатируется в реальных условиях. И даже если кому-то это удастся воссоздать эксплойт, исследователи отмечают, что успешная атака будет дорогостоящей. Правда, добавили, что такое вполне под силу, например, отдельно взятому государству.

͏В то время, как Microsoft анонсирует свой PatchTuesday, в даркнете выкатывают новую Windows LPE 0-day. Некто Cvsp предлагает приблуду за 150 000 долларов США и заверяет, что вероятность успеха составляет 98%.

Китайская KnownSec404 представила отчет в отношении SilverFox, которая, по всей видимости, переориентировалась с финсектора на кибершпионаж. Начиная с 2022 года, как отмечают исследователи, Silver Fox стала более активной в Китае, задействуя различные каналы (почту, фишинговый сайты и мессенджеры) для распространения троянов. На этот раз их внимание сместилось на учреждения и компании в сфере кибербезопасности, что заставляет пересмотреть цели атак этой группы. Раскрытие недавней атаки Silver Fox началось с отслеживания фишинговых сайтов и связанных с ними вредоносных файлов. В арсенале группы удалось заметить троян Winos, не известный загрузчик UpdateDll и инструмент обфускации PowerShell Out-EncodedSpecialCharOnlyCommand. Причем Winos ранее уже неоднократно использовался Silver Fox в предыдущих атаках, нацеленных на налоговых и финансовых сотрудников. Все текущие образцы Winos реализуют VMP (Virtual Machine Protect) для защиты кода. Запись реестра, в которой в данном случае хранится шелл-код, — «HKCU\Console\huorongniubi». Функциональность и поток кода в других частях практически такие же, как и в ранее представленных версиях. Первоначальный образец загрузчика, изначально названный Simple_ATL.DLL, в основном функционирует путем записи жестко закодированных данных в C:\Windows\system32\UpdateDll.dll и последующего их выполнения с помощью rundll32.  Основная функция, экспортируемая UpdateMyDll, - это загрузка DLL с указанного адреса и ее выполнение.  Out-EncodedSpecialCharOnlyCommand — это инструмент, который преобразует код скрипта PowerShell в чистый символьный код, который может использоваться злоумышленниками для улучшения обфускации вредоносных полезных нагрузок. Принцип инструмента заключается в преобразовании кода PowerShell в непонятный символьный код с помощью настраиваемой таблицы сопоставления символов. Новые образцы Winos свидетельствуют о том, что SilverFox предпринимает дополнительные усилия для противодействия анализу и активному расширению своего арсенала, но может быть частью маскировки другой APT.

Подкатил июльский PatchTuesday от Microsoft с исправлениями для 142 уязвимостей, включая 2 активно эксплуатируемых и 2 публично раскрытых нуля. В целом исправлено пять критических уязвимостей, все из которых связаны с RCE (в этой категории всего 59), а также 26, связанных с EoP, 24 - обходом функций безопасности, 9 - раскрытием информации, 17 - DoS и 7 - спуфингом. Одна из активно эксплуатируемых 0-day CVE-2024-38080 затрагивает Windows Hyper-V и приводит к повышению привилегий до SYSTEM. Несмотря на сообщения об эксплуатации, Microsoft не разглашает никаких дополнительных подробностей об уязвимости, включая информацию о том, кто ее обнаружил. Другая используемая CVE-2024-38112 представляет собой уязвимость спуфинга в Windows MSHTML Platform. Для успешной эксплуатации злоумышленнику придется отправить жертве вредоносный файл, который жертва должна будет выполнить. Microsoft также не предоставила дополнительных подробностей о том, как была использована уязвимость, но поделилась, что обнаружил ее Хайфэем Ли из Check Point Research. Среди публично раскрытых нулей: CVE-2024-35264 и CVE-2024-37985. Первая связана с RCE в NET и Visual Studio. Злоумышленник может воспользоваться ей, закрыв поток http/3 во время обработки тела запроса, что приведет к состоянию гонки и удаленному выполнению кода. Microsoft не разглашает, как именно была раскрыта эта информация, и утверждает, что она была обнаружена внутри компании. CVE-2024-37985 связана с атакой по побочному каналу на ARM-процессорах, получившая название FetchBench. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может просматривать динамическую память из привилегированного процесса, запущенного на сервере. Полный перечень с описанием каждой уязвимости и систем, которые она затрагивает, - здесь.