В Тренде VM Февраль 2024: 8 CVE в Fortinet, Windows, Outlook, Exchange и Ivanti

00:00 Приветствие, что такое трендовые уязвимости 00:57 Разнообразные уязвимости в продуктах Ivanti Connect Secure, Ivanti Policy Secure и Ivanti Neurons (CVE-2024-21887, CVE-2023-46805, CVE-2024-21893) Три самые громкие уязвимости февраля в общемировом масштабе касаются продуктов одного вендора – Ivanti. Продукты этого вендора регулярно попадают в ТОПы мировых новостей из-за критичных эксплуатабельных уязвимостей. В пору уже говорить о каком-то проклятии Ivanti. Что стряслось в этот раз? Со времен ковида, многие компании перешли на гибридный режим работы, когда сотрудники подключаются к корпоративной инфраструктуре через Интернет. Собственно, решения для подключения и управления доступом к такой инфраструктуре и выпускает компания Ivanti. Это продукты Ivanti Connect Secure, Ivanti Policy Secure и Ivanti Neurons. Они поставляются в виде аппаратных и виртуальных устройств (или апплаенсов). Работа этих решений требует, чтобы к ним был доступ из Интернет, поэтому неудивительно, что они становятся желанной целью злоумышленников. Три супер-критичные уязвимости в этих продуктах позволяют полностью скомпрометировать апплаенсы Ivanti. Уязвимости активно эксплуатируются. Злоумышленники устанавливают на апллаенсы Ivanti зловредные скрипты позволяющие получить удаленный доступ к устройству и выполнять произвольные команды с правами администратора. И в дальнейшем злоумышленники могут через эти скомпрометированные устройства развивать атаку на инфраструктуру компаний, чем они активно и занимаются. Но есть и хорошие новости. Несмотря на то, что Ivanti в мировом масштабе весьма заметный вендор, в России он практически не представлен. Из-за санкций новые устройства приобрести в России непросто (но через параллельный импорт возможно всё). Да и оправданность такого приобретения будет сомнительна с учётом исследования компании Eclypsium, показавших что устройства Ivanti работают на устаревшей неподдерживаемой версии Linux-дистрибутива CentOS 6.4 и используют устаревшие пакеты со множеством критичных уязвимостей. 02:12 Выполнения произвольного кода в Fortinet FortiOS и FortiProxy (CVE-2024-21762) FortiOS это специализированная операционная система для разнообразных ИБшных продуктов компании Fortinet. Из них, наверное, наиболее известны межсетевые экраны FortiGate и коммутаторы FortiSwitch. FortiProxy — это корпоративный веб-прокси с дополнительными функциями безопасности, через который сотрудники компаний ходят в Интернет Один сплошной Forti, но такой уж компании Fortinet оригинальный нейминг. По мнению вендора, уязвимость может уже использоваться в хакерских атаках. Ранее Fortinet сообщали о том, что злоумышленники использовали похожую уязвимость FortiOS для развёртывания трояна удалённого доступа COATHANGER. В отличие от Ivanti, продукты Fortinet представлены в России достаточно широко. Несмотря на то, что в 2022 году Fortinet приостановили работу в России, включая техническую поддержку. Рекомендуем, по возможности, замещать решения Fortinet на отечественные аналоги. И наконец оставшиеся 4 уязвимости относятся к продуктам Microsoft и были представлены в февральском Microsoft Patch Tuesday. Две из них связаны с фишинговыми атаками. 03:25 Обход функций безопасности Windows SmartScreen (CVE-2024-21351) и Internet Shortcut Files (CVE-2024-21412) В обоих случаях речь идёт о том, что пользователь может открыть скаченный вредоносный файл и механизмом защит Windows Defender не заблокирует запуск этого файла. Обе эти уязвимости уже активно эксплуатируется в фишинговых атаках. Здесь стоит отметить, что функция защиты от запуска файлов, загруженных из сети (Mark of the Web) это самый последний рубеж защиты от фишинга Основная защита от фишинга обеспечивается бдительностью пользователей. Будьте внимательнее с тем, на что кликаете! Ещё две уязвимости связаны с электронной почтой и NTLM Relay атаками. 03:59 Повышение привилегий в Microsoft Exchange (CVE-2024-21410) и выполнение произвольного кода в Microsoft Outlook (CVE-2024-21413) NTLM Relay — это тип атаки, при котором злоумышленник перехватывает аутентификационные данные, использующие протокол NTLM, и перенаправляет их на другой сервер или сервис с целью получения несанкционированного доступа. Подробностей по уязвимости Exchange пока нет, но Microsoft отметили, что эта уязвимость эксплуатируется вживую. Что касается уязвимости Outlook, то Microsoft также отмечали эту уязвимость как эксплуатирующуюся вживую, но затем, буквально за одну ночь, своё решением изменили и отметку убрали. Зато для этой уязвимости есть статья с подробным техническим описанием от компании Check Point и код эксплоита, который позволяет получить доступ к компьютеру жертвы, кликнувшей на ссылку в письме в Outlook. Очень эффектно. Не кликайте по подозрительным ссылкам! Подписывайтесь на Telegram-канал avleonovrus “Управление Уязвимостями и прочее“! Там со ссылками! #ВтрендеVM #TrendVulns #PositiveTechnologies #Ivanti #Fortinet #Microsoft