CISA avertizează despre 15 vulnerabilități care pot fi exploatate

Agenția americană pentru securitatea cibernetică și a infrastructurii (CISA) a adăugat încă 15 vulnerabilități la lista de vulnerabilități care sunt exploatate în mod activ de către atacatori.  O parte dintre vulnerabilități sunt din anul 2014, dar două sunt mai recente și afectează unele componente Windows.

Una dintre vulnerabilitățile care au fost adăugate recent în listă, este regăsită ca CVE-2021-36934 și este cunoscută în domeniul securității sub numele de SeriousSAM, deoarece a fost identificată în Microsoft Windows Security Accounts Manager (SAM). Vulnerabilitate are un scor CVSS de 8 din 10, iar impactul său este descris ca fiind o escaladare a privilegiilor pe sistemele Windows 10. Vulnerabilitatea este cauzată de permisiunile incorecte de acces la fișierul care stochează baza de date SAM, permițând atacatorilor care au acces cu privilegii reduse să extragă hash-uri de parole pentru alte conturi, inclusiv pentru cel SYSTEM și să execute cod cu privilegii ridicate. Vulnerabilitatea a fost raportată public în iulie 2021, ceea ce a determinat echipa de la Microsoft să lanseze un patch out-of-band.

Cercetătorii au demonstrat că atacatorii pot exploata vulnerabilitatea CVE-2021-36934 pentru a extrage hash-uri care ar putea permite apoi executarea de cod de la distanță cu privilegii SYSTEM pe alte sisteme, ceea ce face ca această vulnerabilitate să reprezinte un risc crescut pentru atacuri de tip lateral movement.

CISA i-a atribuit un termen limită de aplicare a patch-urilor de 24 februarie, fiind cea mai nouă vulnerabilitate de pe listă, celelalte având ca termen 10 august.

Vulnerabilitățile de escaladare a privilegiilor au scoruri de severitate mai mici decât cele de execuție de cod de la distanță, deoarece acestea necesită ca atacatorul să obțină deja un anumit nivel de acces al unui sistem. Acestea reprezintă o parte importantă a tipurilor de atacuri moderne și ar trebui tratate la fel de serios ca cele de executare de cod de la distanță.

A doua vulnerabilitate adăugată recent pe lista CISA, este regăsită ca CVE-2020-0796 și este considerate critică. Aceasta a fost remediată de Microsoft în martie 2020 și provine din modul în care protocolul SMBv3 gestionează anumite cereri cu compresie. Vulnerabilitatea poate duce la executarea de cod de la distanță, atât de la clienți către un server, cât și de la un server către clienți și are impact asupra sistemelor Windows 10 și Windows Server core. Vulnerabilitățile de tip RCE (remote code execution) SMB sunt periculoase deoarece SMB este protocolul principal care se află în centrul tuturor rețelelor Windows, permițând partajarea fișierelor, partajarea imprimantelor, navigarea în rețea și comunicarea între servicii. Vulnerabilități mai vechi SMB precum EternalBlue (CVE-2017-0144) și EternalRomance (CVE-2017-0145) au dus la atacuri globale de ransomware precum WannaCry, care au provocat pagube de miliarde de dolari. EternalBlue și EternalRomance se numără, printre cele 15 vulnerabilități care au fost adăugate în catalog. Lista de vulnerabilități adăugate în catalog afectează o gamă largă de software-uri folosite de majoritatea organizațiilor, de la sisteme de operare precum Windows și OS X de la Apple, la servere de automatizare precum Jenkins, framework-uri precum Apache Struts, servere de aplicații web precum Oracle WebLogic, brokerul de mesaje open-source Apache ActiveMQ și chiar firmware-ul routerului. Lista completă cuprinde următoarele vulnerabilități:

• CVE-2021-36934 – Vulnerabilitatea de escaladare a privilegiilor locale Microsoft Windows SAM;
• CVE-2020-0796 – Vulnerabilitatea Microsoft SMBv3 de executare de cod de la distanță;
• CVE-2018-1000861 – Vulnerabilitatea de deserializare a datelor untrusted din cadrul Jenkins Stapler Web Framework;
• CVE-2017-9791 – Vulnerabilitatea Improper Input Validation Apache Struts 1;
• CVE-2017-8464 – Vulnerabilitatea Microsoft Windows Shell (.lnk) RCE;
• CVE-2017-10271 – Vulnerabilitate RCE în Oracle Corporation WebLogic Server;
• CVE-2017-0263 – Vulnerabilitate  Microsoft Win32k de escaladare a privilegiilor;
• CVE-2017-0262 – Vulnerabilitate RCE în Microsoft Office;
• CVE-2017-0145 – Vulnerabilitate RCE în Microsoft SMBv1;
• CVE-2017-0144 – Vulnerabilitate RCE în Microsoft SMBv1;
• CVE-2016-3088 – Vulnerabilitate Improper Input Validation Apache ActiveMQ;
• CVE-2015-2051 – RCE în cadrul routerului D-Link DIR-645;
• CVE-2015-1635 – Vulnerabilitate RCE în Microsoft HTTP.sys;
• CVE-2015-1130 – Vulnerabilitate de bypass a autentificării din Apple OS X;
• CVE-2014-4404 – Vulnerabilitate de buffer overflow din Apple OS X.

Sursa: https://www.csoonline.com/article/3649991/cisa-warns-about-15-actively-exploited-vulnerabilities.html