Cyber Threat Pulse
#12, November 2024
Анализ уязвимостей PAN-OS (CVE-2024-0012 и CVE-2024-9474): Причины, риски и рекомендации
Компания Palo Alto Networks сообщила о двух критических уязвимостях в программном обеспечении PAN-OS, касающихся доступа к веб-интерфейсу файрволов: ● CVE-2024-0012 позволяет злоумышленнику с сетевым доступом к веб-интерфейсу управления обойти аутентификацию и получить административный доступ. ● CVE-2024-9474 позволяет администратору с сетевым доступом к веб-интерфейсу выполнять действия на файерволах с привилегиями root.
Эти уязвимости активно эксплуатируются злоумышленниками, что подтверждено исследованиями Unit 42. Основные векторы атак включают установку вебшелов, загрузку вредоносных утилит и последующую эксплуатацию инфраструктуры.
Ключевой причиной успешных атак остается человеческий фактор: многие сетевые инженеры по-прежнему оставляют интерфейсы управления (веб-интерфейсы, SSH) доступными из интернета. Это делает устройства уязвимыми вне зависимости от их производителя (Palo Alto Networks, Cisco, Fortinet, Check Point и др.). Такой подход противоречит устоявшимся лучшим практикам, категорически исключающим публичную доступность интерфейсов управления.
Рекомендации и способы решения
Для предотвращения подобных инцидентов необходимо предпринять следующие шаги:
1. Обновление PAN-OS: ● Установите исправленные версии PAN-OS:
2. Ограничение доступа: ● Запрещайте доступ к интерфейсу управления из Интернета. ● Разрешите доступ только из внутренних сетей или через VPN.
Уязвимости будут всегда, но риск их эксплуатации можно минимизировать. Главное — соблюдать проверенные временем рекомендации, где приоритетом является безопасность и защита данных, а не удобство.
Лучшие практики конфигурации веб-интерфейса управления: https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431
Кибератака через файлы RDP: анализ деятельности Midnight Blizzard
В конце октября была зафиксирована масштабная фишинговая кампания, организованная пророссийской группировкой Midnight Blizzard (APT29, Cozy Bear). Целью кампании стали правительственные учреждения, академические организации и оборонный сектор в разных странах, включая Украину, Великобританию, Австралию, Европу и Японию.
Атака начиналась с рассылки электронных писем, маскирующихся под официальные сообщения от Amazon, Microsoft или других компаний. Тематика часто сосредотачивалась на внедрении Zero Trust архитектуры, что придавало доверия к письмам.
В качестве полезной нагрузки злоумышленники использовали конфигурационные файлы RDP, которые были прикреплены к фишинговому электронному письму.
Для обхода средств защиты файл RDP был подписан с помощью сертификата Let's Encrypt — бесплатного центра сертификации.
После открытия файла создается RDP-соединение с сервером злоумышленников, которое предоставляет им доступ к ресурсам жертвы, открывает возможности установки вредоносного ПО и похищения учетных данных.
Рекомендации
● Запретить или ограничить возможность подключения по RDP к внешним и публичным ресурсам ● Запретить передачу RDP-файлов через почтовые клиенты и службы веб-почты, чтобы избежать случайного выполнения вредоносных RDP-конфигураций. ● Внедрить политики Conditional Access Authentication Strength, гарантирующие доступ к критическим системам на основе определенных критериев, таких как идентификация пользователя, местонахождение или тип устройства. ● Внедрить решение класса EDR для постоянного мониторинга активности на конечных точках
Источник: https://cert.gov.ua/article/6281076
Подробный анализ техники атаки: https://www.picussecurity.com/resource/blog/understanding-and-mitigating-midnight-blizzards-rdp-based-spearphishing-campaign
Драйвер Avast: троянский конь для кибератак
Недавняя хакерская кампания, раскрытая Trellix Advanced Research Center, показывает, как злоумышленники используют легитимное программное обеспечение для компрометации систем. Вместо того чтобы обходить механизмы безопасности, злонамеренное ПО злоупотребляет легитимным драйвером Avast Anti-Rootkit (aswArPot.sys), чтобы отключить защиту и взять под контроль зараженные системы. Это подчеркивает все большую угрозу атак BYOVD (Bring Your Own Vulnerable Driver), когда легитимные, но уязвимые драйверы используются как оружие.
Цепь заражения:
● Вредоносное программное обеспечение, поставляемое как kill-floor.exe, удаляет легитимный драйвер Avast как ntfs.bin в каталоге Windows. ● С помощью sc.exe он регистрирует драйвер в качестве службы (aswArPot.sys), предоставляя доступ на уровне ядра. ● Вредоносное программное обеспечение использует драйвер для прекращения процессов безопасности, минуя стандартную защиту от несанкционированного доступа.
Желательно ввести списки блокировки драйверов в режиме ядра и убедиться, что решение EDR/AV настроено для обнаружения аномального поведения драйверов.
Полное исследование:: https://www.trellix.com/blogs/research/when-guardians-become-predators-how-malware-corrupts-the-protectors/
Рубрика «Время обновиться»
Microsoft
Недавно Microsoft исправила 88 уязвимостей, в том числе 4 критические. Следует обратить внимание на два эксплойта нулевого дня, один из которых активно используется с подтверждением концепции. К числу важных уязвимостей можно отнести:
● CVE-2024-43451 (CVSS 6.5) — NTLM Hash Disclosure Spoofing — Неправильная обработка хешей NTLMv2 через вредоносные файлы. Облегчает атаку передачи хеша для перемещения сетью. Используется в фишинговых кампаниях. ● CVE-2024-49039 (CVSS 8.8) — Windows Task Scheduler EoP — Неправильное управление токенами позволяет повышать привилегии. Повышение от пользователя с низким уровнем привилегий к пользователю со средним. ● CVE-2024-49019 (CVSS 7.8) — AD CS Privilege Escalation — Шаблоны сертификатов с широкими разрешениями. Доступ администратора домена в плохо настроенных средах. ● CVE-2024-43639 — Kerberos RCE — Критическая ошибка числового сокращения в Kerberos. Удаленное исполнение кода на контроллерах домена.
Google Chrome (v130)
Компания Google устранила две критические проблемы безопасности:
● CVE-2024-10487: Запись за пределами разрешенного в WebGPU, включение RCE. ● CVE-2024-10488: Use-after-free в WebRTC, что приводит к произвольному выполнению кода.
Mozilla (v132)
Компания Mozilla суммарно исправила 11 уязвимостей в Firefox и Thunderbird, важнейшие из которых:
● CVE-2024-10458: утечка разрешений, вызывающая проблемы с конфиденциальностью данных.● CVE-2024-10459: Use-after-free влечет за собой возможные сбои системы. ● CVE-2024-9680: UAF во временной шкале анимации, активно использовался.
Apple
Компания Apple суммарно исправила более 70 уязвимостей в iOS 18 & macOS Sequoia 15, важнейшие из которых:
● 70 уязвимостей исправлено, включая повреждение «кучи» (heap corruption) и недостатки повышения уровня файловой системы. ● Эксплойт GPU ShadyShader: GPU аварийно завершает работу через код шейдера WebGL во вредоносном контенте
Android
Компания Google устранила 51 уязвимость в Android. Среди них наиболее важны две уязвимости, которые уже активно используются злоумышленниками для таргетированных атак:
● CVE-2024-43093 (CVSS 7.8) позволяет получить несанкционированный доступ к важным системным директориям. В результате злоумышленники могут получить доступ к конфиденциальной информации или выполнить действия с повышенными привилегиями. Уязвимыми являются Android 12, 13, 14 и 15. ● CVE-2024-43047 (CVSS 7.8) связано с ошибкой управления памятью (use-after-free) в компонентах Qualcomm DSP.