Уязвимость удаленного выполнения кода в Fortinet FortiOS и FortiProxy (CVE-2024-21762, CVSS — 9,8)
Эксплуатация уязвимости позволяет неаутентифицированному злоумышленнику выполнить произвольный код с помощью специально созданных HTTP-запросов. Уязвимость выполнения произвольного кода в Fortinet FortiOS и FortiProxy (CVE-2024-21762), по данным вендора, используется в хакерских атаках. Ранее Fortinet сообщала о том, что злоумышленники использовали похожую уязвимость FortiOS для развертывания трояна удаленного доступа Coathanger.
Уязвимость обхода функции безопасности Windows SmartScreen (CVE-2024-21351, CVSS — 7,6)
В результате эксплуатации этой уязвимости злоумышленник получает возможность обойти проверки Windows Defender SmartScreen. Уязвимость может быть использована для доставки ВПО на систему. Для эксплуатации требуется взаимодействие с пользователем: злоумышленнику необходимо отправить цели специально созданный вредоносный файл и убедить его открыть содержимое, что может быть использовано при фишинге.
Уязвимость обхода функции безопасности ярлыков веб-страниц (CVE-2024-21412, CVSS — 8,1)
Эта уязвимость позволяет доставить вредоносное ПО на целевую систему.
Для эксплуатации уязвимости злоумышленнику необходимо отправить пользователю ссылку на контролируемый преступником ресурс, на котором размещен специально созданный файл с двойным расширением (*.jpeg.url). Этот файл, в свою очередь, указывает на другой файл ярлыка, содержащий логику для использования ранее исправленной уязвимости обхода SmartScreen в Microsoft Defender (CVE-2023-36025).
Для эксплуатации уязвимости злоумышленнику необходимо отправить пользователю ссылку на контролируемый преступником ресурс, на котором размещен специально созданный файл с двойным расширением (*.jpeg.url). Этот файл, в свою очередь, указывает на другой файл ярлыка, содержащий логику для использования ранее исправленной уязвимости обхода SmartScreen в Microsoft Defender (CVE-2023-36025).
Уязвимость в Microsoft Outlook, приводящая к удаленному выполнению кода (CVE-2024-21413, CVSS — 9,8)
Эксплуатация обходит Protected View в Microsoft Outlook, что позволяет удаленному злоумышленнику добиться открытия жертвой вредоносного документа в режиме редактирования, что может привести к удаленному выполнению кода в системе.
Уязвимость сервера Microsoft Exchange, приводящая к несанкционированному повышению привилегий (CVE-2024-21410, CVSS — 9,8)
Уязвимость повышения привилегий в Microsoft Exchange Server. Ее эксплуатация позволяет злоумышленнику провести атаку типа NTLM Relay (тип атаки, при котором злоумышленник перехватывает аутентификационные данные, использующие протокол NTLM, и перенаправляет их на другой сервер или сервис с целью получения несанкционированного доступа) и успешно пройти аутентификацию на сервере Exchange.
Уязвимость подделки запроса на стороне сервера в продуктах Ivanti Connect Secure, Ivanti Policy Secure, Ivanti Neurons for ZTA (CVE-2024-21893, CVSS — 8,2)
Подделка запросов на стороне сервера (SSRF) присутствует в программном обеспечении Ivanti Connect Secure (ICS), в компоненте Security Assertion Markup Language (SAML). Возникает из-за отсутствия аутентификации, использования устаревшей версии XMLTooling, подверженной SSRF, для обработки данных XML на стороне сервера, а также из-за возможности отправлять вредоносные данные XML на конечную точку.
Уязвимость обхода аутентификации в Ivanti Connect Secure и Policy Secure (CVE-2023-46805, CVSS — 8,2)
Эта уязвимость нулевого дня в программном обеспечении Ivanti Connect Secure (ICS), ранее известном как шлюз Pulse Connect Secure, и Ivanti Policy Secure. Уязвимость присутствует в версиях 9.x и 22.x и возникает из-за того, что сервер не осуществляет полноценную проверку доступа к файлам по одному из путей
Уязвимость внедрения команд в Ivanti Connect Secure и Ivanti Policy Secure (CVE-2024-21887, CVSS — 9,1)
Это еще одна уязвимость нулевого дня в программном обеспечении Ivanti Connect Secure версий 9.x и 22.x. Она дает возможность злоумышленнику, аутентифицированному в роли администратора, выполнять произвольные команды на устройстве. Смысл эксплуатации заключается в том, что на конечную точку подается вредоносный аргумент, который во время обработки приложением попадает в функцию создания нового процесса или команды (например: popen() в Python). Эта уязвимость может быть проэксплуатирована через интернет.
Как защититься?
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет своевременно принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.
Подробнее про все уязвимости, случаи эксплуатации и способы устранения читайте в дайджесте
