Cyber Threat Pulse
#12, November 2024
Аналіз вразливостей PAN-OS (CVE-2024-0012 та CVE-2024-9474): Причини, ризики та рекомендації
Компанія Palo Alto Networks повідомила про дві критичні вразливості в програмному забезпеченні PAN-OS, що стосуються доступу до вебінтерфейсу фаєрволів:
● CVE-2024-0012 дозволяє зловмиснику з мережевим доступом до вебінтерфейсу управління обійти аутентифікацію та отримати адміністративний доступ. ● CVE-2024-9474 дозволяє адміністратору з мережевим доступом до вебінтерфейсу виконувати дії на фаєрволах із привілеями root.
Ці вразливості активно експлуатуються зловмисниками, що підтверджено дослідженнями Unit 42. Основні вектори атак охоплюють встановлення вебшелів, завантаження шкідливих утиліт та подальшу експлуатацію інфраструктури.
Ключовою причиною успішних атак залишається людський фактор: багато мережевих інженерів, як і раніше, залишають інтерфейси управління (вебінтерфейси, SSH) доступними з інтернету. Це робить пристрої вразливими незалежно від їхнього виробника (Palo Alto Networks, Cisco, Fortinet, Check Point та ін.). Такий підхід суперечить усталеним кращим практикам, які категорично виключають публічну доступність інтерфейсів управління.
Рекомендації та способи вирішення
Для запобігання подібним інцидентам необхідно зробити такі кроки:
1. Оновлення PAN-OS: ● Встановіть виправлені версії PAN-OS:
2. Обмеження доступу: ● Забороніть доступ до інтерфейсу керування з Інтернету. ● Дозволяйте доступ лише з внутрішніх мереж або через VPN.
Вразливості існуватимуть завжди, але ризик їх експлуатації можна мінімізувати. Головне — дотримуватись перевірених часом рекомендацій, де пріоритетом є безпека та захист даних, а не зручність.
Найкращі практики конфігурації вебінтерфейсу управління: https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431
Кібератака через файли RDP: аналіз діяльності Midnight Blizzard
У кінці жовтня було зафіксовано масштабну фішингову кампанію, організовану проросійським угрупуванням Midnight Blizzard (APT29, Cozy Bear). Метою кампанії стали урядові установи, академічні організації та оборонний сектор в різних країнах, включно з Україною, Великою Британією, Австралією, Європою та Японією.
Атака починалася з розсилки електронних листів, які маскуються під офіційні повідомлення від Amazon, Microsoft чи інших компаній. Тематика часто зосереджувалася на впровадженні Zero Trust архітектури, що додавала довіри до листів.
Як корисне навантаження зловмисники використовували конфігураційні файли RDP, які були прикріплені до фішингового електронного листа.
Для обходу засобів захисту файл RDP було підписано за допомогою сертифіката Let’s Encrypt — безплатного центру сертифікації.
Після відкриття файлу створювалось RDP-з'єднання з сервером зловмисників, яке надавало їм доступ до ресурсів жертви, відкривало можливості для встановлення шкідливого ПЗ та викрадення облікових даних.
Рекомендації
● Заборонити або обмежити можливість підключення по RDP до зовнішніх та публічних ресурсів ● Заборонити передачу RDP-файлів через поштові клієнти та служби вебпошти, щоб запобігти випадковому виконанню зловмисних RDP-конфігурацій. ● Впровадити політики Conditional Access Authentication Strength, що гарантують доступ до критичних систем на основі певних критеріїв, таких як ідентифікація користувача, геолокація або тип пристрою. ● Впровадити рішення класу EDR для постійного моніторингу активності на кінцевих точках
Джерело: https://cert.gov.ua/article/6281076
Детальний аналіз техніки атаки: https://www.picussecurity.com/resource/blog/understanding-and-mitigating-midnight-blizzards-rdp-based-spearphishing-campaign
Драйвер Avast: троянський кінь для кібератак
Нещодавня хакерська кампанія, розкрита Trellix Advanced Research Center, показує, як зловмисники використовують легітимне програмне забезпечення для компрометації систем. Замість того, щоб обходити механізми безпеки, зловмисне ПЗ зловживає легітимним драйвером Avast Anti-Rootkit (aswArPot.sys), щоб вимкнути захист і взяти під контроль заражені системи. Це підкреслює чимраз більшу загрозу атак BYOVD (Bring Your Own Vulnerable Driver), коли легітимні, але вразливі драйвери використовуються як зброя.
Ланцюг зараження: 1. Зловмисне програмне забезпечення, яке постачається як «kill-floor.exe», видаляє легітимний драйвер Avast як ntfs.bin у каталозі Windows. 2. За допомогою sc.exe він реєструє драйвер як службу (aswArPot.sys), надаючи доступ на рівні ядра. 3. Зловмисне програмне забезпечення використовує драйвер для припинення процесів безпеки, минаючи стандартний захист від несанкціонованого доступу.
Бажано впровадити списки блокування драйверів у режимі ядра та переконатися, що рішення EDR/AV налаштовано для виявлення аномальної поведінки драйверів.
Повне дослідження: https://www.trellix.com/blogs/research/when-guardians-become-predators-how-malware-corrupts-the-protectors/
Рубрика «Час оновитися»
Microsoft
Нещодавно Microsoft виправила 88 вразливостей, в тому числі 4 критичні. Варто звернути увагу на два експлойти нульового дня, один з яких активно використовується з підтвердженням концепції. До важливих вразливостей можна зарахувати:
● CVE-2024-43451 (CVSS 6.5) — NTLM Hash Disclosure Spoofing — Неналежна обробка хешів NTLMv2 через шкідливі файли. Полегшує атаки передавання хешу для переміщення мережею. Використовується у фішингових кампаніях. ● CVE-2024-49039 (CVSS 8.8) — Windows Task Scheduler EoP — Неправильне управління токенами, що дозволяє підвищувати привілеї. Підвищення від користувача з низьким рівнем привілеїв до користувача із середнім. ● CVE-2024-49019 (CVSS 7.8) — AD CS Privilege Escalation — Шаблони сертифікатів з широкими дозволами. Доступ адміністратора домену в погано налаштованих середовищах. ● CVE-2024-43639 — Kerberos RCE — Критична помилка числового скорочення в Kerberos. Віддалене виконання коду на контролерах домену.
Google Chrome (v130)
Компанія Google виправила дві критичні проблеми безпеки:
● CVE-2024-10487: Запис за межами дозволеного у WebGPU, включення RCE. ● CVE-2024-10488: Use-after-free у WebRTC, що призводить до довільного виконання коду.
Mozilla (v132)
Компанія Mozilla сумарно виправила 11 уразливостей у Firefox та Thunderbird, найважливіші з яких:
● CVE-2024-10458: витік дозволів, що викликає проблеми з конфіденційністю даних. ● CVE-2024-10459: Use-after-free спричиняє можливі збої системи. ● CVE-2024-9680: UAF у часовій шкалі анімації, активно використовувався.
Apple
Компанія Apple сумарно виправила понад 70 уразливостей у iOS 18 & macOS Sequoia 15, найважливіші з яких:
● 70 вразливостей виправлено, включно з пошкодженням «купи» (heap corruption) та недоліками підвищення рівня файлової системи. ● Експлойт GPU ShadyShader: GPU аварійно завершує роботу через код шейдера WebGL у шкідливому контенті.
Android
Компанія Google усунула 51 вразливість в Android. Серед них найважливішими є дві вразливості, які вже активно використовуються зловмисниками для таргетованих атак:
● CVE-2024-43093 (CVSS 7.8) дозволяє отримати несанкціонований доступ до важливих системних директорій. Внаслідок цього зловмисники можуть отримати доступ до конфіденційної інформації або виконати дії з підвищеними привілеями. Вразливими є Android 12, 13, 14 та 15. ● CVE-2024-43047 (CVSS 7.8) пов'язана з помилкою керування пам'яттю (use-after-free) у компонентах Qualcomm DSP.