Топ 10 самых интересных CVE за март 2022 года

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

ДИСКЛЕЙМЕР!

Внимание! Вся представленная информация предназначена для ознакомительного изучения. Автор не несет никакой ответственности за причиненный вред с использованием изложенной информации.

Третий месяц 2022 года подходит к концу, а это значит пора подвести итоги по вышедшим уязвимостям и отобрать самые интересные из них.

Linux Kernel. The Dirty Pipe Vulnerability (CVE-2022-0847)

Уязвимость в ядре Linux, позволяющая перезаписывать данные в произвольных файлах, доступных только для чтения. Использование уязвимости может привести к повышению привилегий, так как непривилегированные пользователи будут иметь возможность внедрять код в процессы, работающие из-под root. Эта проблема появилась в ядре с версии 5.8 и была исправлена в версиях 5.16.11, 5.15.25 и 5.10.102. NVD оценивает Dirty Pipe в 7.8 балла по стандарту CVSS 3.1, что является высоким уровнем критичности уязвимости.

Подробнее:

1.1) https://www.cve.org/CVERecord?id=CVE-2022-0847

1.2) https://dirtypipe.cm4all.com/

1.3) https://nvd.nist.gov/vuln/detail/CVE-2022-0847

Veeam Software. Veeam Backup & Replication. CVE-2022-26504

Уязвимость в компоненте Veeam Backup & Replication, используемом для интеграции с Microsoft System Center Virtual Machine Manager (SCVMM), позволяет доменным пользователям удаленно выполнить произвольный код. Уязвимый процесс Veeam.Backup.PSManager.exe (порт TCP 8732 по умолчанию) разрешает аутентификацию с использованием неадминистративных доменных учетных данных. По версии вендора CVE-2022-26504 имеет высокую степень критичности по шкале CVSS 3.1 (8.8 балла). Veeam Backup & Replication версий 9.5U3, 9.5U4, 10.x и 11.x подвержены этой проблеме, а для версий 10а и 11а (сборки 10.0.1.4854 P20220304 и 11.0.1.1261 P20220302 соответственно) доступны обновления, исправляющие уязвимость. Также стоит отметить, что уязвима только установка Veeam Backup & Replication с зарегистрированным SCVMM сервером, при этом установка по умолчанию, без использования SCVMM сервера, не подвержена этой проблеме.

Подробнее:

2.1) https://www.cve.org/CVERecord?id=CVE-2022-26504

2.2) https://www.veeam.com/kb4290

2.3) https://nvd.nist.gov/vuln/detail/CVE-2022-26504

Veeam Software. Veeam Backup & Replication. CVE-2022-26500 и CVE-2022-26501

Две уязвимости (CVE-2022-26500 и CVE-2022-26501) в Veeam Backup & Replication дают удаленно выполнить произвольный код без прохождения аутентификации. В случае эксплуатации уязвимостей злоумышленник может скомпрометировать целевую систему.

Служба Veeam Distribution Service (порт TCP 9380 по умолчанию) позволяет без прохождения процедуры аутентификации получить доступ к внутренним функциям API. При этом удаленный злоумышленник может с использованием внутреннего API отправить определенный набор данных, который приведет к загрузке и выполнению вредоносного кода.

CVE-2022-26500. Неправильное ограничение имени пути в версиях 9.5U3, 9.5U4, 10.x и 11.x продукта Veeam Backup & Replication открывает удаленным аутентифицированным пользователям доступ к внутренним функциям API, что в последствии позволяет потенциальному нарушителю загружать и выполнять произвольный код. National Vulnerability Database оценивает эту уязвимость в 8.8 балла (высокий уровень критичности) по шкале CVSS 3.1.

CVE-2022-26501. Эта CVE в версиях 9.5U3, 9.5U4, 10.x и 11.x продукта Veeam Backup & Replication позволяет нарушителям удаленно выполнять произвольный код без прохождения этапа аутентификации. National Vulnerability Database оценивает уязвимость в 9.8 балла, что является критическим уровнем по стандарту CVSS 3.1.

К настоящему моменту уже доступны обновления для Veeam Backup & Replication версий 10а и 11а (сборки 10.0.1.4854 P20220304 и 11.0.1.1261 P20220302 соответственно), исправляющие описанные уязвимости.

Подробнее:

3.1) CVE-2022-26500

3.1.1) https://www.cve.org/CVERecord?id=CVE-2022-26500

3.1.2) https://www.veeam.com/kb4288

3.1.3) https://nvd.nist.gov/vuln/detail/CVE-2022-26500

3.2) CVE-2022-26501

3.2.1) https://www.cve.org/CVERecord?id=CVE-2022-26501

3.2.2) https://www.veeam.com/kb4288

3.2.3) https://nvd.nist.gov/vuln/detail/CVE-2022-26501

Microsoft. Azure Site Recovery. CVE-2022-24469, CVE-2022-24506, CVE-2022-24515, CVE-2022-24518 и CVE-2022-24519

В Microsoft Azure Site Recovery обнаружены 5 различных уязвимостей повышения привилегий, которые затрагивают программное обеспечение до версии 9.47.

Злоумышленнику не требуется никаких специальных привилегий для эксплуатации уязвимости CVE-2022-24469, ему необходимо только сетевое подключение к устройству репликации. Подключившись к устройству, нарушитель может вызвать Azure Site Recovery API и получить доступ к конфигурационной информации, включая учетные данные для защищаемых систем. Используя представленную API, злоумышленник может изменить или удалить данные конфигурации, что в последствии повлияет на работу Azure Site Recovery.

С целью эксплуатации оставшихся уязвимостей (CVE-2022-24506, CVE-2022-24515, CVE-2022-24518 и CVE-2022-24519) злоумышленнику необходимы скомпрометированные учетные данные администратора одной из виртуальных машин, связанных с сервером конфигурации. При успешном использовании уязвимостей нарушитель получает перечень аккаунтов пользователей и раскрывает таблицы с их данными, включающие зашифрованные учетные записи.

Microsoft оценивает CVE-2022-24469 в 8.1 балла (высокий уровень критичности), а CVE-2022-24506, CVE-2022-24515, CVE-2022-24518 и CVE-2022-24519 в 6.5 балла (средний уровень критичности) по стандарту CVSS 3.1.

Подробнее:

4.1) CVE-2022-24469

4.1.1) https://www.cve.org/CVERecord?id=CVE-2022-24469

4.1.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24469

4.2) CVE-2022-24506

4.2.1) https://www.cve.org/CVERecord?id=CVE-2022-24506

4.2.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24506

4.3) CVE-2022-24515

4.3.1) https://www.cve.org/CVERecord?id=CVE-2022-24515

4.3.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24515

4.4) CVE-2022-24518

4.4.1) https://www.cve.org/CVERecord?id=CVE-2022-24518

4.4.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24518

4.5) CVE-2022-24519

4.5.1) https://www.cve.org/CVERecord?id=CVE-2022-24519

4.5.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24519

Microsoft. Azure Site Recovery. CVE-2022-24467, CVE-2022-24468, CVE-2022-24470, CVE-2022-24471, CVE-2022-24517 и CVE-2022-24520

В Microsoft Azure Site Recovery выявлено 6 различных уязвимостей удаленного выполнения кода, затрагивающие программное обеспечение до версии 9.47. Злоумышленнику требуется скомпрометированные учетные данные администратора устройства репликации, сервера конфигурации или одной из виртуальных машин, связанных с сервером конфигурации, для эксплуатации перечисленных уязвимостей. Все уязвимости оценены вендором в 7.2 балла по шкале CVSS 3.1, что равно высокой степени критичности.

Подробнее:

5.1) CVE-2022-24467

5.1.1) https://www.cve.org/CVERecord?id=CVE-2022-24467

5.1.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24467

5.2) CVE-2022-24468

5.2.1) https://www.cve.org/CVERecord?id=CVE-2022-24468

5.2.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24468

5.3) CVE-2022-24470

5.3.1) https://www.cve.org/CVERecord?id=CVE-2022-24470

5.3.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24470

5.4) CVE-2022-24471

5.4.1) https://www.cve.org/CVERecord?id=CVE-2022-24471

5.4.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24471

5.5) CVE-2022-24517

5.5.1) https://www.cve.org/CVERecord?id=CVE-2022-24517

5.5.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24517

5.6) CVE-2022-24520

5.6.1) https://www.cve.org/CVERecord?id=CVE-2022-24520

5.6.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24520

Sophos Ltd. Sophos Firewall. CVE-2022-1040

Межсетевые экраны Sophos Firewall версии v18.5 MR3 (18.5.3) и старше содержат критическую уязвимость обхода аутентификации, позволяющую удаленное выполнение произвольного кода. Уязвимость была найдена в веб-интерфейсе администрирования межсетевого экрана (Webadmin) и на пользовательском портале (User Portal). Клиентам Sophos, которые не меняли настройки и оставили функцию «Allow automatic installation of hotfixes» включенной, ничего не нужно делать, обновление безопасности само будет установлено на уязвимый межсетевой экран. Включенная настройка – это значение, установленное производителем по умолчанию. В целях профилактики вендор также советует отключить WAN-доступ к Webadmin и User Portal, а также в качестве альтернативы использовать VPN или облачный сервис Sophos Central. Sophos Limited оценила критическую уязвимость в 9.8 балла по шкале CVSS 3.1.

Подробнее:

6.1) https://www.cve.org/CVERecord?id=CVE-2022-1040

6.2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-1040

6.3) https://www.sophos.com/en-us/security-advisories/sophos-sa-20220325-sfos-rce

6.4) https://support.sophos.com/support/s/article/KB-000043853?language=en_US

6.5) https://nvd.nist.gov/vuln/detail/CVE-2022-1040

1С-Битрикс. Битрикс24. CVE-2022-27228

В программном обеспечении «Битрикс24» обнаружена недостаточная проверка пользовательского ввода, что позволяет удаленному пользователю без прохождения процедуры аутентификации выполнить произвольный код. Эксплуатация уязвимости может привести к компрометации целевой системы. Разработчик продукта рекомендует обновить модуль «Опросы, голосования» (Polls, Votes (vote)) до версии 21.0.100. Специалисты VulDB оценили уязвимость в 7.0 баллов по шкале CVSS 3.1.

Подробнее:

7.1) https://www.cve.org/CVERecord?id=CVE-2022-27228

7.2) https://helpdesk.bitrix24.com/open/15536776/

7.3) https://vuldb.com/?id.195620

Honda Motor Co., Ltd. Honda's Remote Keyless System. CVE-2022-27254

Система дистанционного доступа без ключа на различных автомобилях Honda Civic (LX, EX, EX-L, Touring, Si, Type R) 2016-2020 годов выпуска посылает один и тот же незашифрованный радиочастотный сигнал для каждого из запросов на открытие и закрытие двери, открытие багажника и дистанционный запуск двигателя, что позволяет злоумышленнику осуществить атаку повторного воспроизведения… и угнать машину. Исследователь nonamecoder, обнаруживший эту уязвимость, рекомендует автолюбителям носить брелок в чехле Фарадея и использовать систему пассивного бесключевого доступа (Passive Keyless Entry [PKE]) вместо системы дистанционного бесключевого доступа (Remote Keyless Entry [RKE]), так как злоумышленнику придется подойти гораздо ближе, чтобы успешно скопировать сигнал брелка.

Подробнее:

8.1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27254

8.2) https://github.com/nonamecoder/CVE-2022-27254

Dell. Dell BIOS. CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 и CVE-2022-24421

Dell BIOS содержит уязвимости некорректной проверки ввода. Локально авторизованный злоумышленник может использовать прерывание SMI (System Management Interrupt) для получения возможности произвольного выполнения кода во время режима SMM (System Management Mode). Dell присвоил этим уязвимостям 8.2 балла (высокий уровень критичности) каждой по шкале CVSS 3.1.

9.1) https://www.dell.com/support/kbdoc/en-uk/000197057/dsa-2022-053

9.2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24415

9.3) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24416

9.4) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24419

9.5) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24420

9.6) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24421

Vim. Heap-based Buffer Overflow (CVE-2022-0943)

В Vim была обнаружена уязвимость переполнения буфера на основе кучи (heap-based) в функции suggest_try_change(). Пользователи с huntr.dev присвоили уязвимости высокий уровень критичности на основе 8.4 балла по стандарту CVSS 3.1.

Подробнее:

10.1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0943

10.2) https://huntr.dev/bounties/9e4de32f-ad5f-4830-b3ae-9467b5ab90a1/

10.3) https://github.com/vim/vim/commit/5c68617d395f9d7b824f68475b24ce3e38d653a3

Источник: https://habr.com/ru/company/tomhunter/blog/658423/


Интересные статьи

Интересные статьи

С 01 марта 2021 года вступают в силу новые правила обработки персональных данных, сделанных доступными неопределенному кругу третьих лиц «общедоступных персональных данны...
Чтобы увеличить привлекательность смартфонов, производители ставят на них как можно больше разных программ. Это понятно. Просто берём и удаляем ненужное… Стоп. Оказывается, некотор...
О смартфоне PinePhone на базе Linux мы уже писали. Это модульный телефон, который можно использовать в качестве десктопа. Достоинств у него немало — например, пользователь может контрол...
Любой программист знает, что теоретически он может внести свой посильный вклад в развитие Linux ядра. С другой стороны, подавляющее большинство уверено, что занимаются этим исключит...
Всем привет! Продолжаем дайджесты новостей и других материалов о свободном и открытом ПО и немного о железе. Всё самое главное про пингвинов и не только, в России и мире. Проек...