Опасная десятка. ФБР опубликовала топ 10 уязвимостей.

Новые реалии диктуют новые правила. С приходом коронавируса все больше людей переходит на “удаленку”. Чтобы отвечать новым требованиям, компании второпях разворачивают сервисы облачной коллаборации, такие как Microsoft Office 365. Вот только спешка нужна лишь при ловле блох и грабеже банков. В остальных случаях спешка приводит к печальным последствиям.

В торопях разворачивая новое ПО администраторы пожертвовали безопасностью в пользу скорости предоставления новых сервисов. Без сомнения, эти сервисы тут же стали целью для злоумышленников.

Согласно новому отчету подразделения по кибербезопасности США DHS CISA и ФБР, освещающему 10 наиболее часто атакуемых уязвимостей, внезапный переход к работе на дому в марте привел к поспешному развертыванию облачных сервисов коллаборации пользователей. В результате, организации допустили упущения в настройках безопасности и стали уязвимы для атак. И это только один из недочетов, по словам американских агенств участвовавших в составлении рейтинга.

В связи с переходом на “удаленку” увеличилось и количество сервисов VPN, которые стали еще одной целью для хакеров. В частности активно атаковались две уязвимости:

• Уязвимость CVE-2019-19781, позволяющая удаленно исполнить произвольный код, эксплоиты под которую уже в свободном обращении. Citrix выпустил патчи в январе, после того, как сервера подверглись атаке. Атака допускает обход пути в каталогах, другими словами, предоставляет способ получить неограниченный доступ ко всем директориям без аутентификации.
• Уязвимость произвольного чтения файлов на серверах Pulse Secure VPN, известная как CVE-2019-11510, по-прежнему привлекает злоумышленников. Несмотря на то, что исправления были доступны с апреля 2019 года, по состоянию на январь 2020 года хакеры все еще используют дыру для проникновения на непропатченные серверы компаний и устанавливают крипто-вымогатель REvil (Sodinokibi).

Топ 10 уязвимостей:

Как и прежде, пальму первенства держит Microsoft, а вернее пользователи его продуктов, которые ленятся своевременно устанавливать обновления и патчи, зачастую по приине того, что используют пиратские версии. Иногда продукты Microsoft просто неверно настроены или не изолированы должным образом, что, опять же, приводит к плачевным последствиям.

В списке 10 самых распространенных уязвимостей на 2016–2019 годы. Включены их номера CVE, уязвимые продукты, связанные с ними вредоносные программы и стратегии смягчения вреда.

Список вредоносов связанных с каждой из CVE – не полный. Скорее, он предназначен для выявления семейств малвари, связанной с каждым из CVE.

CVE-2017-11882

• Уязвимость уходящая своими корнями в далекий 2002 позволяет злоумышленнику выполнить произвольный код из-за того, что некоторые MS Ofiice неверно хранит в памяти некоторые объекты. Для атаки на эту дырищу созданно множество инструментов, таких, как NebulaOne, позволяющих даже не особо продвинутым хакерам выполнять атаки.
• Уязвимые продукты: Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016 Products
• Связанная малварь: Loki, FormBook, Pony/FAREIT
• Как защититься: Обновите уязвимые продукты Microsoft последними патчами
• Дополнительно: https://nvd.nist.gov/vuln/detail/CVE-2017-11882
• IOCs: https://www.us-cert.gov/ncas/analysis-reports/ar20-133e
• Обзор.

CVE-2017-0199

• Дыра в Microsoft Word, берущая начало в 2016 году и активно атакуемая хакерами до сих пор. Позволяет внедрить вредоносный код в документ, открытие которго приведет к исполнению этого кода. Билдеры под эту дыру входят даже в состав Metasploit. Тем не менее уязвимость активно используется и по сей день, так, как многие не торопятся обновлять свой Microsoft Office.
• Уязвимые продукты: Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016, Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1
• Связанная малварь: FINSPY, LATENTBOT, Dridex
• Устранение: Обновите уязвимые продукты Microsoft последними патчами
• Дополнительно: https://nvd.nist.gov/vuln/detail/CVE-2017-0199
• IOCs: https://www.us-cert.gov/ncas/analysis-reports/ar20-133g, https://www.us-cert.gov/ncas/analysis-reports/ar20-133h, https://www.us-cert.gov/ncas/analysis-reports/ar20-133p
• Обзор.

CVE-2017-5638

• Уязвимость серверов Apache, позволяющая повысить привелегии до root. Например, атакующий, имеющий доступ к хостингу, взломав отдельного клиента через кривой скрипт или купив аккаунт может получить привелегии root и захватить контроль над всем хостингом.
• Уязвимые продукты: Apache Struts 2 2.3.x до 2.3.32 и 2.5.x до 2.5.10.1
• Связанная малварь: JexBoss
• Устранение: Обновитесь до Struts 2.3.32 или Struts 2.5.10.1
• Дополнительно:
  • https://www.us-cert.gov/ncas/analysis-reports/AR18-312A
  • https://nvd.nist.gov/vuln/detail/CVE-2017-5638
  • Our coverage.

CVE-2012-0158

• Дыра обнаруженная в далеком 2012, уже заезженная в нескольких кибершпионских и криминальных атаках, как не странно, актуальна и по сей день. А все потому, что люди не обновляют продукты Office. Microsoft Windows Common Controls подвержены атаке с удаленным выполнением кода в контексте кривого приложения.
• Уязвимые продукты: Microsoft Office 2003 SP3, 2007 SP2 and SP3, and 2010 Gold and SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, и 2008 SP2, SP3, и R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2, и 2009 Gold и R2; Visual FoxPro 8.0 SP1 и 9.0 SP2; и даже Visual Basic 6.0
• Связанная малварь: Dridex
• Устраните: Обновите уязвимые продукты Microsoft с помощью последних патчей
• Дополнительно:
  • https://www.us-cert.gov/ncas/alerts/aa19-339a
  • https://nvd.nist.gov/vuln/detail/CVE-2012-0158
• IOCs: https://www.us-cert.gov/ncas/analysis-reports/ar20-133i, https://www.us-cert.gov/ncas/analysis-reports/ar20-133j, https://www.us-cert.gov/ncas/analysis-reports/ar20-133k, https://www.us-cert.gov/ncas/analysis-reports/ar20-133l, https://www.us-cert.gov/ncas/analysis-reports/ar20-133n, https://www.us-cert.gov/ncas/analysis-reports/ar20-133o
• Обзор.

CVE-2019-0604

• Для использования этой уязвимости пользователь должен загрузить специально созданное приложение в уязвимую версию SharePoint в результате атакующий получает доступ в контексте пула приложений SharePoint или учетной записи фермы серверов SharePoint.
• Уязвимые продукты: Microsoft SharePoint
• Связанная малварь: China Chopper
• Устранение: Обновите уязвимые продукты Microsoft с помощью последних патчей
• Дополнительно: https://nvd.nist.gov/vuln/detail/CVE-2019-0604
• Обзор.

CVE-2017-0143

• Эта уязвимость берет свое начало с утечки в NSA, когда в паблик попали инструменты используемые американскими разведчиками. Уязвимость позволяет атаковать SMBv1, что приводит к удаленному исполнению кода.
• Уязвимые продукты: Microsoft Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; and Windows 10 Gold, 1511, and 1607; and Windows Server 2016
• Связанная малварь: различные малвари, использующие EternalSynergy и EternalBlue киты эксплоитов.
• Устранение: Обновите уязвимые продукты Microsoft с помощью последних патчей
• Дополнительно: https://nvd.nist.gov/vuln/detail/CVE-2017-0143
• Обзор.

CVE-2018-4878

• Это уже даже не смешно. Не опять, а снова – очередная уязвимость в Adobe Flash Player. Пользователи не только не отключают злополучный продукт, но и не обновляют его.
• Уязвимые продукты: Adobe Flash Player до 28.0.0.161
• Свзанная малварь: DOGCALL
• Устранение: Обновление Adobe Flash Player до последней версии. А еще лучше удалите его, пока в нем не нашли еще что нибудь.
• Дополнительно: https://nvd.nist.gov/vuln/detail/CVE-2018-4878
• IOCs: https://www.us-cert.gov/ncas/analysis-reports/ar20-133d
• Обзор.

CVE-2017-8759

• Позволяет атакующему выполнить произвольный код через специально созданный документ или приложение. Например в некоторых атаках малвари активно использовались RTF документы.
• Уязвимые продукты: Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 и 4.7
• Связанная малварь: FINSPY, FinFisher, WingBird
• Устранение: Обновите продукты Microsoft до последних версий
• Дополнительно: https://nvd.nist.gov/vuln/detail/CVE-2017-8759
• IOCs: https://www.us-cert.gov/ncas/analysis-reports/ar20-133f
• Обзор.

CVE-2015-1641

• Уязвимость обнаруженная в Microsoft Word еще в 2015 году может позволить атакующему создать документ, открытие которого приведет к исполнению произвольного кода. Атака обычно производится путем отправки жертве файла Word через Email.
• Уязвимые продукты: Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word for Mac 2011, Office Compatibility Pack SP3, Word Automation Services on SharePoint Server 2010 SP2 and 2013 SP1, and Office Web Apps Server 2010 SP2 and 2013 SP1
• Связанная малварь: Toshliph, UWarrior
• Устранение: Обновите продукты Microsoft до последних версий.
• Дополнительно: https://nvd.nist.gov/vuln/detail/CVE-2015-1641
• IOCs: https://www.us-cert.gov/ncas/analysis-reports/ar20-133m
• Обзор.

CVE-2018-7600

• Уязвимость обнаруженная еще в 2018 году и названная Drupalogeddon2, позволяет атакующему удаленно исполнять произвольный код. Уязвимость актуальна до сих пор так, как не все админы обновляются вовремя.
• Уязвимые продукты: Drupal до 7.58, 8.x до 8.3.9, 8.4.x до 8.4.6, и 8.5.x до 8.5.1
• Связанная малварь: Kitty
• Устранение: Обновитесь до последней версии Drupal core 7 или 8.
• Дополнительно: https://nvd.nist.gov/vuln/detail/CVE-2018-7600
• Обзор.

Недочеты в настройке Microsoft O365

• Уязвимые продукты: Microsoft O365
• Устранение: Следуйте рекомендациям безопасности Microsoft O365.
• Дополнительно: https://www.us-cert.gov/ncas/alerts/aa20-120a

Как мы видим, все новое – это хорошо забытое старое. И большинство проблем кроется не в ПО, а в глупости и лени пользователей и админов, своевременно не обновляющих ПО или неправильно настраивающих свои системы.