Каким ‎радостным‏ ‎был ‎день ‎31 ‎октября ‎2023‏ ‎года, ‎когда‏ ‎компания‏ ‎Atlassian ‎любезно ‎сообщила‏ ‎миру ‎о‏ ‎CVE-2023–22518, ‎восхитительной ‎маленькой ‎странности‏ ‎во‏ ‎всех ‎версиях‏ ‎центров ‎обработки‏ ‎данных ‎и ‎серверов ‎Confluence. ‎Этот‏ ‎незначительный‏ ‎сбой, ‎всего‏ ‎лишь ‎уязвимость,‏ ‎которая ‎при ‎неправильной ‎авторизации, ‎открывает‏ ‎перед‏ ‎любым‏ ‎незнакомцем, ‎не‏ ‎прошедшим ‎проверку‏ ‎подлинности, ‎захватывающую‏ ‎возможность‏ ‎войти, ‎перезагрузить‏ ‎Confluence ‎и, ‎возможно, ‎только ‎возможно,‏ ‎взять ‎всю‏ ‎систему‏ ‎под ‎свой ‎доброжелательный‏ ‎контроль. ‎Изначально‏ ‎этой ‎игре ‎была ‎присвоена‏ ‎скромная‏ ‎оценка ‎CVSS‏ ‎в ‎9,1‏ ‎балла, ‎но, ‎поскольку ‎все ‎мы‏ ‎любим‏ ‎немного ‎драматизма,‏ ‎она ‎была‏ ‎доведена ‎до ‎идеальных ‎10 ‎баллов,‏ ‎благодаря‏ ‎нескольким‏ ‎ярким ‎достижениям‏ ‎группе ‎энтузиастов,‏ ‎известной ‎как‏ ‎«Storm-0062».

В‏ ‎качестве ‎героического‏ ‎ответа ‎Atlassian ‎выпустила ‎не ‎одну,‏ ‎а ‎целых‏ ‎пять‏ ‎блестящих ‎новых ‎версий‏ ‎Confluence ‎(7.19.16,‏ ‎8.3.4, ‎8.4.4.4, ‎8.5.3 ‎и‏ ‎8.6.1),‏ ‎чтобы ‎немного‏ ‎разрядить ‎атмосферу‏ ‎праздника. ‎Они ‎любезно ‎предположили, ‎что‏ ‎организации‏ ‎могут ‎захотеть‏ ‎перейти ‎на‏ ‎эти ‎версии, ‎чтобы ‎избежать ‎появления‏ ‎незваных‏ ‎гостей.‏ ‎И, ‎в‏ ‎гениальном ‎порыве,‏ ‎они ‎рекомендуют‏ ‎соблюдать‏ ‎строгость, ‎ограничив‏ ‎внешний ‎доступ ‎к ‎серверам ‎Confluence‏ ‎до ‎тех‏ ‎пор,‏ ‎пока ‎такие ‎обновления‏ ‎не ‎будут‏ ‎применены. ‎Пользователи ‎облачных ‎сервисов,‏ ‎вы‏ ‎можете ‎расслабиться‏ ‎и ‎сидеть‏ ‎сложа ‎руки; ‎эта ‎вечеринка ‎проводится‏ ‎исключительно‏ ‎на ‎территории‏ ‎компании.

Вся ‎эта‏ ‎эпопея ‎действительно ‎подчёркивает ‎острые ‎ощущения‏ ‎от‏ ‎жизни‏ ‎на ‎грани‏ ‎в ‎цифровом‏ ‎мире, ‎напоминая‏ ‎всем‏ ‎нам ‎о‏ ‎том, ‎как ‎важно ‎своевременно ‎вносить‏ ‎исправления ‎и‏ ‎принимать‏ ‎надёжные ‎меры ‎безопасности.

-------

В‏ ‎этом ‎документе‏ ‎представлен ‎анализ ‎уязвимости ‎CVE-2023–22518,‏ ‎связанной‏ ‎с ‎неправильной‏ ‎авторизацией ‎в‏ ‎Atlassian ‎Confluence ‎Data ‎Center ‎and‏ ‎Server.‏ ‎Анализ ‎будет‏ ‎охватывать ‎различные‏ ‎аспекты ‎уязвимости, ‎включая ‎её ‎обнаружение,‏ ‎воздействие,‏ ‎методы‏ ‎эксплуатации ‎и‏ ‎стратегии ‎смягчения‏ ‎последствий.

Специалисты ‎по‏ ‎безопасности‏ ‎найдут ‎этот‏ ‎анализ ‎особенно ‎полезным, ‎поскольку ‎он‏ ‎предоставляет ‎оперативную‏ ‎информацию,‏ ‎включая ‎показатели ‎компрометации‏ ‎и ‎подробные‏ ‎шаги ‎по ‎смягчению ‎последствий.‏ ‎Понимая‏ ‎первопричины, ‎методы‏ ‎эксплуатации ‎и‏ ‎эффективные ‎контрмеры, ‎эксперты ‎по ‎безопасности‏ ‎могут‏ ‎лучше ‎защитить‏ ‎свои ‎организации‏ ‎от ‎подобных ‎угроз ‎в ‎будущем.

Подробный‏ ‎разбор

CVE-2023-22518 [RU].pdf

389,25 KB

Скачать

По ‎иронии‏ ‎судьбы, ‎та ‎самая ‎технология, ‎которая‏ ‎поддерживает ‎наши‏ ‎модели‏ ‎искусственного ‎интеллекта ‎и‏ ‎машинного ‎обучения,‏ ‎теперь ‎стала ‎объектом ‎новой‏ ‎уязвимости,‏ ‎получившей ‎название‏ ‎«LeftoverLocals». ‎Как‏ ‎сообщает ‎Trail ‎of ‎Bits, ‎этот‏ ‎недостаток‏ ‎безопасности ‎позволяет‏ ‎восстанавливать ‎данные‏ ‎из ‎локальной ‎памяти ‎графического ‎процессора,‏ ‎созданные‏ ‎другим‏ ‎процессом, ‎и‏ ‎влияет ‎на‏ ‎графические ‎процессоры‏ ‎Apple,‏ ‎Qualcomm, ‎AMD‏ ‎и ‎Imagination

-------

В ‎документ ‎приводится ‎подробный‏ ‎анализ ‎уязвимости‏ ‎«LeftoverLocals»‏ ‎CVE-2023–4969, ‎которая ‎имеет‏ ‎значительные ‎последствия‏ ‎для ‎целостности ‎приложений ‎с‏ ‎графическим‏ ‎процессором, ‎особенно‏ ‎для ‎больших‏ ‎языковых ‎моделях ‎(LLM) ‎и ‎машинного‏ ‎обучения‏ ‎(ML), ‎выполняемых‏ ‎на ‎затронутых‏ ‎платформах ‎с ‎графическим ‎процессором, ‎включая‏ ‎платформы‏ ‎Apple,‏ ‎Qualcomm, ‎AMD‏ ‎и ‎Imagination.

Этот‏ ‎документ ‎предоставляет‏ ‎ценную‏ ‎информацию ‎для‏ ‎специалистов ‎по ‎кибербезопасности, ‎команд ‎DevOps,‏ ‎ИТ-специалистов ‎и‏ ‎заинтересованных‏ ‎сторон ‎в ‎различных‏ ‎отраслях. ‎Анализ‏ ‎призван ‎углубить ‎понимание ‎проблем‏ ‎безопасности‏ ‎графических ‎процессоров‏ ‎и ‎помочь‏ ‎в ‎разработке ‎эффективных ‎стратегий ‎защиты‏ ‎конфиденциальных‏ ‎данных ‎от‏ ‎аналогичных ‎угроз‏ ‎в ‎будущем.

Подробный ‎разбор

LeftOverLocals [RU].pdf

409,30 KB

Скачать

Исследователи ‎из‏ ‎Bitdefender ‎выявили ‎множество ‎уязвимостей ‎в‏ ‎WebOS ‎от‏ ‎LG,‏ ‎влияющих ‎на ‎различные‏ ‎модели ‎смарт-телевизоров‏ ‎компании. ‎Использование ‎этих ‎уязвимостей‏ ‎может‏ ‎позволить ‎злоумышленникам‏ ‎получить ‎несанкционированный‏ ‎root-доступ ‎к ‎устройствам.

Уязвимые ‎версии ‎и‏ ‎модели:

📌Уязвимости‏ ‎затрагивают ‎телевизоры‏ ‎LG, ‎работающие‏ ‎под ‎управлением ‎WebOS ‎версий ‎с‏ ‎4.9.7‏ ‎по‏ ‎7.3.1, ‎в‏ ‎таких ‎моделях,‏ ‎как ‎LG43UM7000PLA,‏ ‎OLED55CXPUA,‏ ‎OLED48C1PUB ‎и‏ ‎OLED55A23LA

Конкретные ‎уязвимости:

📌CVE-2023-6317: Позволяет ‎обойти ‎проверку ‎PIN-кода‏ ‎и ‎добавить‏ ‎профиль‏ ‎привилегированного ‎пользователя ‎без‏ ‎участия ‎пользователя

📌CVE-2023-6318:‏ ‎Позволяет ‎повысить ‎свои ‎привилегии‏ ‎и‏ ‎получить ‎root-доступ

📌CVE-2023-6319:‏ ‎Позволяет ‎внедрять‏ ‎команды ‎операционной ‎системы, ‎манипулируя ‎библиотекой‏ ‎для‏ ‎отображения ‎музыкальных‏ ‎текстов

📌CVE-2023-6320: ‎Позволяет‏ ‎вводить ‎команды, ‎прошедшие ‎проверку ‎подлинности,‏ ‎используя‏ ‎com.webos.конечная‏ ‎точка ‎API‏ ‎service.connectionmanager/tv/setVlanStaticAddress

Масштабы ‎воздействия:

📌Более‏ ‎91 ‎000‏ ‎устройств‏ ‎были ‎идентифицированы‏ ‎как ‎потенциально ‎уязвимые. ‎В ‎основном‏ ‎эти ‎устройства‏ ‎расположены‏ ‎в ‎Южной ‎Корее,‏ ‎Гонконге, ‎США,‏ ‎Швеции ‎и ‎Финляндии

Меры ‎по‏ ‎устранению‏ ‎уязвимостей ‎и‏ ‎действия ‎пользователей:

📌Компания‏ ‎LG ‎выпустила ‎исправления ‎для ‎этих‏ ‎уязвимостей,‏ ‎которые ‎доступны‏ ‎в ‎меню‏ ‎настроек ‎телевизора ‎в ‎разделе ‎«Обновление‏ ‎программного‏ ‎обеспечения»

📌Пользователям‏ ‎рекомендуется ‎включить‏ ‎автоматическое ‎обновление‏ ‎ПО, ‎чтобы‏ ‎обеспечить‏ ‎получение ‎на‏ ‎свои ‎устройства ‎последних ‎исправлений ‎безопасности

Потенциальные‏ ‎риски:

📌В ‎случае‏ ‎использования‏ ‎эти ‎уязвимости ‎позволяют‏ ‎получить ‎контроль‏ ‎над ‎телевизором, ‎получить ‎доступ‏ ‎к‏ ‎конфиденциальным ‎пользовательским‏ ‎данным ‎и‏ ‎потенциально ‎использовать ‎скомпрометированное ‎устройство ‎как‏ ‎часть‏ ‎ботнета ‎или‏ ‎для ‎других‏ ‎вредоносных ‎действий

Рекомендации ‎по ‎безопасности:

📌 Помимо ‎применения‏ ‎последних‏ ‎обновлений‏ ‎встроенного ‎ПО,‏ ‎пользователи ‎должны‏ ‎использовать ‎надежные‏ ‎уникальные‏ ‎пароли ‎для‏ ‎своих ‎устройств ‎и ‎защищать ‎свои‏ ‎сети ‎Wi-Fi,‏ ‎чтобы‏ ‎еще ‎больше ‎снизить‏ ‎риск ‎их‏ ‎использования

CVE-2024-0204 ‎как‏ ‎ключ ‎под ‎ковриком, ‎не ‎прошедших‏ ‎проверку ‎подлинности,‏ ‎и‏ ‎желающих ‎создать ‎своего‏ ‎собственного ‎пользователя-администратора.‏ ‎Эта ‎уязвимость ‎может ‎быть‏ ‎использована‏ ‎удаленно ‎и‏ ‎является ‎классическим‏ ‎примером ‎CWE-425: ‎«Принудительный ‎доступ, ‎когда‏ ‎веб-приложение‏ ‎просто ‎слишком‏ ‎вежливое, ‎чтобы‏ ‎обеспечить ‎надлежащую ‎авторизацию». ‎Уязвимые ‎версии‏ ‎6.x‏ ‎начиная‏ ‎с ‎6.0.1‏ ‎и ‎версии‏ ‎7.x ‎до‏ ‎7.4.1,‏ ‎которая ‎была‏ ‎исправлена, ‎а ‎для ‎уязвимых ‎версией‏ ‎необходимо ‎удалить‏ ‎файл‏ ‎/InitialAccountSetup.xhtml ‎или ‎заменить‏ ‎на ‎пустой‏ ‎с ‎перезапуском ‎службы.

Теперь ‎давайте‏ ‎поговорим‏ ‎о ‎самом‏ ‎GoAnywhere ‎MFT.‏ ‎Это ‎защищённое ‎программное ‎решение, ‎которое,‏ ‎как‏ ‎предполагается, ‎упрощает‏ ‎обмен ‎данными‏ ‎и ‎повышает ‎безопасность, ‎что ‎довольно‏ ‎забавно,‏ ‎учитывая‏ ‎обстоятельства. ‎Оно‏ ‎может ‎быть‏ ‎развёрнуто ‎локально,‏ ‎в‏ ‎облаке ‎или‏ ‎в ‎гибридных ‎средах ‎и ‎поддерживает‏ ‎множество ‎операционных‏ ‎систем‏ ‎и ‎протоколов

CVE-2024-0204, ‎уязвимость‏ ‎в ‎GoAnywhere‏ ‎MFT ‎от ‎Fortra, ‎практически‏ ‎является‏ ‎VIP-пропуском ‎для‏ ‎злоумышленников, ‎не‏ ‎прошедших ‎проверку ‎подлинности. ‎Зачем ‎утруждать‏ ‎себя‏ ‎взломом, ‎когда‏ ‎вы ‎можете‏ ‎просто ‎создать ‎свою ‎собственную ‎учётную‏ ‎запись‏ ‎администратора,‏ ‎верно? ‎Система‏ ‎как ‎будто‏ ‎говорит: ‎«Пожалуйста,‏ ‎заходите,‏ ‎чувствуйте ‎себя‏ ‎как ‎дома, ‎и ‎пока ‎вы‏ ‎этим ‎занимаетесь,‏ ‎не‏ ‎стесняйтесь ‎все ‎контролировать».

А‏ ‎последствия ‎этой‏ ‎уязвимости ‎подобны ‎альбому ‎величайших‏ ‎хитов‏ ‎о ‎кошмарах‏ ‎кибербезопасности:

❇️Создание ‎неавторизованных‏ ‎пользователей-администраторов ‎(акция ‎«избавляемся ‎от ‎складских‏ ‎запасов‏ ‎аутентификационных ‎ключей»)

❇️Потенциальная‏ ‎утечка ‎данных‏ ‎(для ‎повышения ‎популярности ‎компании)

❇️Внедрение ‎вредоносных‏ ‎программ‏ ‎(вместо‏ ‎традиционных ‎схем‏ ‎распространения)

❇️Риск ‎вымогательства‏ ‎(минутка ‎шантажа)

❇️Сбои‏ ‎в‏ ‎работе ‎(разнообразие‏ ‎от ‎повелителя ‎хаоса)

❇️Комплаенс ‎и ‎юридические‏ ‎вопросы ‎(ничто‏ ‎так‏ ‎не ‎оживляет ‎зал‏ ‎заседаний, ‎как‏ ‎старый ‎добрый ‎скандал ‎с‏ ‎комплаенсом‏ ‎и ‎потенциальная‏ ‎юридическая ‎драма)

Планка‏ ‎«сложности ‎атаки» ‎установлена ‎так ‎низко,‏ ‎что‏ ‎даже ‎малыш‏ ‎может ‎споткнуться‏ ‎об ‎неё. ‎Мы ‎говорим ‎о‏ ‎той‏ ‎простоте,‏ ‎которая ‎заставляет‏ ‎задуматься, ‎не‏ ‎является ‎ли‏ ‎«безопасность»‏ ‎просто ‎модным‏ ‎словом, ‎которым ‎они ‎пользуются, ‎чтобы‏ ‎казаться ‎важными.

Сценарий‏ ‎атаки

Итак,‏ ‎вот ‎сценарии ‎блокбастерной‏ ‎атаки ‎для‏ ‎этой ‎феерии ‎обхода ‎аутентификации:

❇️Первоначальный‏ ‎доступ: наш‏ ‎неустрашимый ‎злоумышленник,‏ ‎вооружённый ‎цифровым‏ ‎эквивалентом ‎пластикового ‎брелка, ‎заходит ‎на‏ ‎портал‏ ‎администрирования ‎GoAnywhere‏ ‎MFT ‎без‏ ‎вашего ‎разрешения.

❇️Эксплуатация: далее ‎наш ‎злодей ‎использует‏ ‎проблему‏ ‎обхода‏ ‎пути, ‎которая‏ ‎в ‎основном‏ ‎похожа ‎на‏ ‎поиск‏ ‎секретного ‎прохода‏ ‎в ‎эпизоде ‎«Скуби-Ду», ‎ведущего ‎прямо‏ ‎к ‎конечной‏ ‎точке‏ ‎/InitialAccountSetup.xhtml. ‎К ‎сожалению,‏ ‎поблизости ‎нет‏ ‎назойливых ‎детей, ‎которые ‎могли‏ ‎бы‏ ‎их ‎остановить.

❇️Создание‏ ‎пользователя-администратора: как ‎только‏ ‎они ‎на ‎цыпочках ‎пройдут ‎по‏ ‎секретному‏ ‎проходу, ‎они‏ ‎могут ‎создать‏ ‎пользователя-администратора. ‎Заметьте, ‎это ‎не ‎просто‏ ‎любой‏ ‎пользователь;‏ ‎это ‎тот,‏ ‎у ‎которого‏ ‎есть ‎все‏ ‎навороты‏ ‎— ‎чтение,‏ ‎запись, ‎выполнение ‎команд. ‎Это ‎все‏ ‎равно ‎что‏ ‎дать‏ ‎грабителю ‎ключи ‎от‏ ‎сейфа, ‎коды‏ ‎сигнализации ‎и ‎чашку ‎хорошего‏ ‎чая.

❇️Потенциальная‏ ‎дальнейшая ‎эксплуатация: С‏ ‎ключами ‎от‏ ‎королевства ‎наш ‎злоумышленник ‎теперь ‎может‏ ‎делать‏ ‎все ‎самое‏ ‎интересное: ‎получать‏ ‎доступ ‎к ‎конфиденциальным ‎данным, ‎внедрять‏ ‎вредоносное‏ ‎ПО‏ ‎или ‎просто‏ ‎получать ‎полный‏ ‎контроль, ‎потому‏ ‎что,‏ ‎почему ‎бы‏ ‎и ‎нет? ‎Это ‎бесплатно ‎для‏ ‎всех!

Короче ‎говоря,‏ ‎CVE-2024-0204‏ ‎достойное ‎внимания ‎напоминание‏ ‎о ‎том,‏ ‎что, ‎возможно, ‎просто ‎возможно,‏ ‎следует‏ ‎отнестись ‎ко‏ ‎всей ‎этой‏ ‎истории ‎с ‎«безопасностью» ‎немного ‎серьёзнее.

Подробный‏ ‎разбор

CVE. Fortra's GoAnywhere MFT [RU].pdf

483,95 KB

Скачать