Обновись сейчас! ТОП-5 самых опасных уязвимостей сентября
В этой заметке расскажем о самых опасных уязвимостях сетевого периметра, которые мы в CyberOK отслеживали в сентябре 2023 года.
Сегодня в топ-5:
- Гонки на Битриксе (BDU:2023-05857);
- Экспериментальный разгласитель почты (ZDI-23-1473 и их друзья);
- Когда Пойнт слишком Шеринг (CVE-2023–29357);
- Не звоните наверх (CVE‑2022‑46764);
- Город Команд (CVE-2023-42793).
1. Гонки на Битриксе
Состояние гонок в модуле Landing в CMS 1С-Битрикс приводящее к выполнению произвольного кода (BDU:2023-05857).
Система управление сайтом 1С-Битрикс постоянно находится в фокусе злоумышленников. Массовые взломы сайтов различных организаций проходят волнами уже не первый год. Прошлые уязвимости CVE-2022-27228 («Опросы, голосования»/«Vote» и «Визуальный редактор»/”html_editor_action”) активно эксплуатируются злодеями с марта 2022 года и конца-края не видно.
Новая уязвимость в модуле Конструктора сайтов (Landing) встречается во всех версиях вплоть до 23.800.0 и исправлена в версии 23.850.0. Шум поднялся 21.09.2023 после публикации уведомления БДУ ФСТЭК.
Разработчик выпустил обновление заранее, 14 сентября 2023, с пометкой «Критическое обновление безопасности. Рекомендуется к немедленной установке». Команда СайберОК присоединяется к рекомендации: обновить прямо сейчас!
Важно! В CMS 1С-Битрикс модули имеют собственное версионирование, отличное от модуля ядра, поэтому после обновления надо проверить, что версия именно модуля Landing не ниже v23.850.0. Да и ядро неплохо бы обновить.
Сейчас СКИПА видит на своих радарах около 160,000 сайтов подверженных этой уязвимости, при этом динамика установки обновлений очень небольшая (см. график).
Эксплойт пока не публичен, флоу эксплуатации достаточно заморочен и по-своему красив. Этакая гоночная многоходовочка. Чем-то напомнил цепочку багов в Microsoft SharePoint, о которой ниже. Спасибо тем, кто находит (и патчит) такие интересные баги. Остается только скрестить пальцы и надеяться, что эксплойт не утечет в паблик до того, как большинство обновится.
При обновлении было бы полезно еще раз проверить свои сайты на признаки компрометации, изложенные в нашем документе. Практика показывает, что взломанный сайт может «нормально» работать месяцами и попутно делиться паролями и персональными данными со злоумышленниками до тех пор, пока они не решат, что он бесполезен и «сломают» его окончательно. Ну или подерутся там, решая чья это «корова». Бывает.
В настоящее время СайберОК СКИПА отслеживает более 2300 сайтов с уязвимостью Vote и около 300 с «Визуальный редактор». 1500 из них взломаны злоумышленниками и имеют внешние признаки компрометации.
P. S. Еще пару слов о битрогенезисе.
На конференции Kazhackstan Антон Лопаницын aka Bo0oM в своем докладе «Выйди и зайди нормально!» рассказал о некоторых особенностях административного интерфейса CMS 1С-Битрикс. Не то чтобы ужас-ужас, но доступ к /bitrix/admin/* из внешних сетей рекомендуем ограничить. Можно и просто по IP. Мало ли что…
Ссылки:
2. Эксперименты с разглашением почты
Удаленное выполнение кода в Exim не требующее аутентификации.
27 сентября ZDI опубликовала информацию о нескольких 0-day уязвимостях в популярном почтовом сервере Exim. Памятуя массовые взломы Exim в 2019 году мы почувствовали легкое беспокойство, переходящее в панику. Дело в том, что на момент публикации баги не были закрыты, обновление отсутствовало. Что делать — непонятно.
Немного поругавшись с ZDI в рассылке Open Wall oss-sec, разработчики выпустили обновления для наиболее критичных уязвимостей.
Как пишет Хайко Шлиттерманн (Heiko Schlittermann):
- 3 из них связаны с SPA/NTLM и external аутентификацией. Если вы не используете SPA/NTLM или external аутентификацию, на вас это не влияет.
- Одна проблема связана с данными, полученными от прокси-сервера прокси-протокола. Если вы не используете прокси перед Exim, на вас это не влияет. Если ваш прокси заслуживает доверия, вы не пострадаете.
- Один связан с libspf2. Если вы не используете тип поиска `spf` или условие `spf` ACL, на вас это не влияет.
- Последний связан с поиском DNS. Если вы используете надежный сервер (который проверяет полученные данные), вы не затронуты.
Версии с устранением CVE-2023-42115 и сестер на 3 октября 2023 года: 4.97_RC1-2, 4.94.2-7 и 4.96-15. Эксплойт пока не публичен, но ходят слухи о точечных взломах Exim, что вселяет беспокойство и желание обновить прямо сейчас! Рейтинг EPSS 0.975 – очень высокий, что совпадает с нашим ощущением. По последним данным от разработчиков, наиболее критичные уязвимости могут использоваться только в случаях специфических конфигураций (например, аутентификации NTLM, SPA, external) или в случае, если ваш DNS-сервер не верифицирует DNS-ответы. Это должно снизить поверхность атаки. Осталось только понять, что именно DNS-сервер должен считать подозрительным и отбрасывать как негодное… Задачное пока.
Мы отслеживаем в Рунете более 56 тысяч (!) Exim уязвимых версий. При этом многие сервисы уязвимы и для более старых критичных уязвимостей. Приведем статистику по версиям Exim в Рунете:
Из этих десятков тысяч потенциальных мишеней большая доля (~91%) развернуты на площадках хостеров. Более того, у некоторых заботливых хостеров на новой VPS Exim уже установлен и служба добавлена в автозапуск. У правильно заботливых хостеров она привязана к localhost, что радует.
Коллеги из хостинг-провайдеров, обратите внимание или свяжитесь с нами, если нужна дополнительная информация.
Примечателен таймлайн уязвимости. Процитируем разработчиков:
«ZDI связался с нами в июне 2022 года. Мы спросили подробности, но не получили ответы, с которыми мы смогли работать. Следующий контакт с ZDI состоялся в мае 2023 года… Остальные проблемы являются спорными или не содержат информации, которая необходима для их исправления… Мы более чем рады предоставить исправления для всех проблем, как только мы сможем получить подробную информацию».
Т. е. дырка была известна ZDI больше года, но «лежала на полочке» (нет) без передачи детальной информации разработчику. Очень радует «скоординированное разглашение» ZDI без выпуска обновления производителей. У нас есть такие эксплойты, но мы вам о них не расскажем. Координированная такая координация.
PS. Что-то этих идентификаторов стало так много, сами запутались. На всякий случай ниже приведем табличку со статусом.
Ссылки:
3. Точка разглашения
Удаленное выполнение кода в Microsoft SharePoint не требующее аутентификации.
Критическими уязвимостями в продуктах Microsoft никого не удивить. Начиная с MS01-033 (или раньше? кто помнит, пишите в комменты), они десятки раз становились причинами масштабных взломов и эпидемий сетевых червей. Продукт Microsoft Sharepoint далеко не первый в этом печальном рейтинге, но…
Баги CVE-2023–29357 & CVE-2023–24955 были использованы 22 марта 2023 на конкурсе Pwn2Own Vancouver 2023, чтобы получить приятный баунти, и закрыты Microsoft в KB5002390 в мае того же года.
Обстановка накалилась, когда ребята из Starlabs 25 сентября опубликовали детальный технический райтап описывающий флоу экплуатации, после которого даже школьнику стало понятно как сделать экплотес, а стало быть и шелкодес. Любители эксплойтостроительства не подвели и уже через пару дней весь гит был забит разной злобы нуклейками и питончиками. Кто-то даже на C# эксплойт написал. Говорят, что ChatGPT заставил. Где мой тинфоилхэт?..
Нельзя ждать, обновитесь прямо сейчас!
В настоящее время мы отслеживаем более 2500 подключенных к Интернет SharePoint глобально из них около 650 в Рунете (ухх, спокойнее).
Немного «подката» для любителей статистики.
Вот так выглядит топ актуальных версий SharePoint по миру.
Красиво, но непонятно. Но если разметить «неуязвимые», «дырявые» и «прям бери и ломай», то 80% хакабельно без особых усилий.
И это если брать только поддерживаемую версию SharePoint 2019 и 2016. Если добавить более ранние версии, такие как SharePoint 2013 и старше, получаем совсем печальную картинку.
Остается только предполагать, сколько эта бага будет жить во внутренних сетях и приносить приятные пробивы пентестерам и вкусные битки рансомварщикам.
Ссылки:
4. Не звоните наверх
Выполнение кода в TrueConf до аутентификации.
Печально, но админы и девопсы не любят патчить не только продукцию Microsoft. Связка из двух уязвимостей в API аутентификации (CVE‑2022‑46764) и в реализации хранимых в PostgreSQL функций (CVE‑2022‑46763) позволяла неавторизованному злоумышленнику выполнить произвольный код на сервере TrueConf Server. Ну как «позволяла» — уязвимость, выявленная ребятами из Solidlab, широко известна с 20 декабря 2022 года, производитель исправил ее в версии 5.2.6, выпущенной 28 ноября 2022), общедоступного эксплойта нет. Но те, кто занимаются расследованием инцидентов знают то, что знают. И говорят хором: обновитесь прямо сейчас!
Ссылки:
5. Город Команд
Удаленное выполнение кода в JetBrains TeamCity до аутентификации.
Уязвимость CVE-2023-42793 могла бы пройти тихо и незаметно. Ну подумаешь, yet another dev tool RCE? Мало ли их было и будет в этих ваших GitLab, Confluence и прочих Jira?
И патч вышел вовремя, и информация о проблеме подробная. Слишком подробная, к сожалению…
В вышедшем 21 сентября 2023 уведомлении содержится много полезной информации. Без сарказма. Респект AppSec команде JetBrains, очень информативный и полезный сайт, подробные адвизки и все такое. Но в тексте упоминаются «Security patch plugin», скачав которые любой скажет…
А что, так можно было?
Ну или что сказали бы вы?
Ну и буквально через несколько дней в сети появились вполне себе рабочие эксплойты, некоторые из которых даже не надо дорабатывать напильником. А после того, как 27 сентября был опубликован технический разбор, начался чад кутежа, огонь индикаторов компрометации и прекрасное будущее. Что значит (хором): обновись прямо сейчас!
Интересно, что 28 сентября TeamCity опубликовали подробный таймлайн. Только приписка «Post-Mortem» немного смущает. Они знают тоже самое, что и те, кто занимается расследованием инцидентов?
Ссылки:
Откуда мы все это знаем?
Мы в СайберОК разрабатываем Систему Контроля и Информирования о Поверхности Атак (СКИПА), перелопачивающую сотни гигабит трафика в сети и петабайты данных в хранилке, чтобы выявлять актуальные угрозы и вовремя защищать компании и организации. Да, это как Shodan, Censys, MaxPatrol или RiskIQ, только лучше!
СКИПА уже доступна для корпоративных клиентов и, надеемся, в скором времени мы откроем доступ независимым экспертам и баг хантерам.
Мы всегда ищем крутых разработчиков (golang), экcпертов в области кибербеза, пентестеров.
До новых встреч и обновись сейчас!
Ниче не понял, но спасибо!