CISA предупреждает, что злоумышленники начали использовать уязвимость Microsoft SharePoint для инъекции кода, которая может быть соединена с критическим недостатком повышения привилегий для атак удаленного выполнения кода перед авторизацией.
Отслеживаемая как CVE-2023-24955, эта уязвимость SharePoint Server позволяет аутентифицированным злоумышленникам с привилегиями владельца сайта удаленно выполнять код на уязвимых серверах.
Вторая уязвимость (CVE-2023-29357) позволяет удаленным злоумышленникам получить привилегии администратора на уязвимых серверах SharePoint, обойдя аутентификацию с помощью поддельных токенов JWT auth.
Эти две уязвимости в безопасности SharePoint Server могут быть объединены в цепочку для получения RCE на непропатченных серверах, что продемонстрировал исследователь STAR Labs Нгуен Тиен Гианг (Janggggg) во время прошлогоднего конкурса Pwn2Own March 2023 в Ванкувере.
Эксплойт CVE-2023-29357 был опубликован на GitHub 25 сентября, через день после того, как исследователь безопасности опубликовал технический анализ, описывающий процесс эксплуатации.
Хотя PoC-эксплойт не позволял злоумышленникам получить удаленное выполнение кода на целевых системах, угрожающие лица могли модифицировать его для завершения цепочки с возможностями эксплуатации CVE-2023-24955 для RCE-атак.
С тех пор в сети появилось множество PoC-эксплойтов, нацеленных на эту цепочку (в том числе один, выпущенный Star Labs), что облегчает менее опытным злоумышленникам ее использование в своих атаках.
Спустя месяц CISA добавила дефект CVE-2023-29357 в свой каталог известных эксплуатируемых уязвимостей и приказала федеральным агентствам США устранить его до конца месяца, 31 января.
Во вторник агентство по кибербезопасности также добавило уязвимость CVE-2023-24955, связанную с инъекцией кода, в список активно эксплуатируемых уязвимостей. В соответствии с обязательной оперативной директивой BOD 22-01 федеральные агентства должны обеспечить безопасность своих серверов Sharepoint до 16 апреля.
Хотя CISA не сообщила никаких подробностей об атаках, использующих эти две уязвимости Sharepoint, агентство по кибербезопасности заявило, что у него нет доказательств того, что они использовались в атаках на выкупное ПО.
"Подобные уязвимости являются частыми векторами атак для злоумышленников и представляют значительный риск для федеральных предприятий", - заявили в CISA.
В то время как каталог KEV от CISA сосредоточен на предупреждении федеральных агентств об уязвимостях, которые необходимо устранить как можно скорее, частным организациям также рекомендуется в приоритетном порядке исправлять эту цепочку эксплойтов, чтобы блокировать атаки.
26Министерство юстиции США (DoJ) предъявило обвинения глобальной криптовалютной бирже KuCoin и двум ее основателям в несоблюдении требований по борьбе с отмыванием денег (AML), что позволило угрожающим субъектам использовать платформу для отмывания денег.
23В прошлом году число уязвимостей нулевого дня, использованных в атаках, достигло 97, что на 50 % больше, чем в предыдущем году, когда число уязвимостей составляло 62.
31В JDK 22 добавлены 10 новых сертификатов корневых центров сертификации, новый интерфейс асимметричных ключей и опция -XshowSettings для отображения настроек безопасности.
45Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии