Топ 10 самых интересных CVE за март 2022 года

Linux Kernel. The Dirty Pipe Vulnerability (CVE-2022-0847)

Уязвимость в ядре Linux, позволяющая перезаписывать данные в произвольных файлах, доступных только для чтения. Использование уязвимости может привести к повышению привилегий, так как непривилегированные пользователи будут иметь возможность внедрять код в процессы, работающие из-под root. Эта проблема появилась в ядре с версии 5.8 и была исправлена в версиях 5.16.11, 5.15.25 и 5.10.102. NVD оценивает Dirty Pipe в 7.8 балла по стандарту CVSS 3.1, что является высоким уровнем критичности уязвимости.

Подробнее:

1.1) https://www.cve.org/CVERecord?id=CVE-2022-0847

1.2) https://dirtypipe.cm4all.com/

1.3) https://nvd.nist.gov/vuln/detail/CVE-2022-0847

Veeam Software. Veeam Backup & Replication. CVE-2022-26504

Уязвимость в компоненте Veeam Backup & Replication, используемом для интеграции с Microsoft System Center Virtual Machine Manager (SCVMM), позволяет доменным пользователям удаленно выполнить произвольный код. Уязвимый процесс Veeam.Backup.PSManager.exe (порт TCP 8732 по умолчанию) разрешает аутентификацию с использованием неадминистративных доменных учетных данных. По версии вендора CVE-2022-26504 имеет высокую степень критичности по шкале CVSS 3.1 (8.8 балла). Veeam Backup & Replication версий 9.5U3, 9.5U4, 10.x и 11.x подвержены этой проблеме, а для версий 10а и 11а (сборки 10.0.1.4854 P20220304 и 11.0.1.1261 P20220302 соответственно) доступны обновления, исправляющие уязвимость. Также стоит отметить, что уязвима только установка Veeam Backup & Replication с зарегистрированным SCVMM сервером, при этом установка по умолчанию, без использования SCVMM сервера, не подвержена этой проблеме.

Подробнее:

2.1) https://www.cve.org/CVERecord?id=CVE-2022-26504

2.2) https://www.veeam.com/kb4290

2.3) https://nvd.nist.gov/vuln/detail/CVE-2022-26504

Veeam Software. Veeam Backup & Replication. CVE-2022-26500 и CVE-2022-26501

Две уязвимости (CVE-2022-26500 и CVE-2022-26501) в Veeam Backup & Replication дают удаленно выполнить произвольный код без прохождения аутентификации. В случае эксплуатации уязвимостей злоумышленник может скомпрометировать целевую систему.

Служба Veeam Distribution Service (порт TCP 9380 по умолчанию) позволяет без прохождения процедуры аутентификации получить доступ к внутренним функциям API. При этом удаленный злоумышленник может с использованием внутреннего API отправить определенный набор данных, который приведет к загрузке и выполнению вредоносного кода.

CVE-2022-26500. Неправильное ограничение имени пути в версиях 9.5U3, 9.5U4, 10.x и 11.x продукта Veeam Backup & Replication открывает удаленным аутентифицированным пользователям доступ к внутренним функциям API, что в последствии позволяет потенциальному нарушителю загружать и выполнять произвольный код. National Vulnerability Database оценивает эту уязвимость в 8.8 балла (высокий уровень критичности) по шкале CVSS 3.1.

CVE-2022-26501. Эта CVE в версиях 9.5U3, 9.5U4, 10.x и 11.x продукта Veeam Backup & Replication позволяет нарушителям удаленно выполнять произвольный код без прохождения этапа аутентификации. National Vulnerability Database оценивает уязвимость в 9.8 балла, что является критическим уровнем по стандарту CVSS 3.1.

К настоящему моменту уже доступны обновления для Veeam Backup & Replication версий 10а и 11а (сборки 10.0.1.4854 P20220304 и 11.0.1.1261 P20220302 соответственно), исправляющие описанные уязвимости.

Подробнее:

3.1) CVE-2022-26500

3.1.1) https://www.cve.org/CVERecord?id=CVE-2022-26500

3.1.2) https://www.veeam.com/kb4288

3.1.3) https://nvd.nist.gov/vuln/detail/CVE-2022-26500

3.2) CVE-2022-26501

3.2.1) https://www.cve.org/CVERecord?id=CVE-2022-26501

3.2.2) https://www.veeam.com/kb4288

3.2.3) https://nvd.nist.gov/vuln/detail/CVE-2022-26501

Microsoft. Azure Site Recovery. CVE-2022-24469, CVE-2022-24506, CVE-2022-24515, CVE-2022-24518 и CVE-2022-24519

В Microsoft Azure Site Recovery обнаружены 5 различных уязвимостей повышения привилегий, которые затрагивают программное обеспечение до версии 9.47.

Злоумышленнику не требуется никаких специальных привилегий для эксплуатации уязвимости CVE-2022-24469, ему необходимо только сетевое подключение к устройству репликации. Подключившись к устройству, нарушитель может вызвать Azure Site Recovery API и получить доступ к конфигурационной информации, включая учетные данные для защищаемых систем. Используя представленную API, злоумышленник может изменить или удалить данные конфигурации, что в последствии повлияет на работу Azure Site Recovery.

С целью эксплуатации оставшихся уязвимостей (CVE-2022-24506, CVE-2022-24515, CVE-2022-24518 и CVE-2022-24519) злоумышленнику необходимы скомпрометированные учетные данные администратора одной из виртуальных машин, связанных с сервером конфигурации. При успешном использовании уязвимостей нарушитель получает перечень аккаунтов пользователей и раскрывает таблицы с их данными, включающие зашифрованные учетные записи.

Microsoft оценивает CVE-2022-24469 в 8.1 балла (высокий уровень критичности), а CVE-2022-24506, CVE-2022-24515, CVE-2022-24518 и CVE-2022-24519 в 6.5 балла (средний уровень критичности) по стандарту CVSS 3.1.

Подробнее:

4.1) CVE-2022-24469

4.1.1) https://www.cve.org/CVERecord?id=CVE-2022-24469

4.1.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24469

4.2) CVE-2022-24506

4.2.1) https://www.cve.org/CVERecord?id=CVE-2022-24506

4.2.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24506

4.3) CVE-2022-24515

4.3.1) https://www.cve.org/CVERecord?id=CVE-2022-24515

4.3.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24515

4.4) CVE-2022-24518

4.4.1) https://www.cve.org/CVERecord?id=CVE-2022-24518

4.4.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24518

4.5) CVE-2022-24519

4.5.1) https://www.cve.org/CVERecord?id=CVE-2022-24519

4.5.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24519

Microsoft. Azure Site Recovery. CVE-2022-24467, CVE-2022-24468, CVE-2022-24470, CVE-2022-24471, CVE-2022-24517 и CVE-2022-24520

В Microsoft Azure Site Recovery выявлено 6 различных уязвимостей удаленного выполнения кода, затрагивающие программное обеспечение до версии 9.47. Злоумышленнику требуется скомпрометированные учетные данные администратора устройства репликации, сервера конфигурации или одной из виртуальных машин, связанных с сервером конфигурации, для эксплуатации перечисленных уязвимостей. Все уязвимости оценены вендором в 7.2 балла по шкале CVSS 3.1, что равно высокой степени критичности.

Подробнее:

5.1) CVE-2022-24467

5.1.1) https://www.cve.org/CVERecord?id=CVE-2022-24467

5.1.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24467

5.2) CVE-2022-24468

5.2.1) https://www.cve.org/CVERecord?id=CVE-2022-24468

5.2.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24468

5.3) CVE-2022-24470

5.3.1) https://www.cve.org/CVERecord?id=CVE-2022-24470

5.3.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24470

5.4) CVE-2022-24471

5.4.1) https://www.cve.org/CVERecord?id=CVE-2022-24471

5.4.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24471

5.5) CVE-2022-24517

5.5.1) https://www.cve.org/CVERecord?id=CVE-2022-24517

5.5.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24517

5.6) CVE-2022-24520

5.6.1) https://www.cve.org/CVERecord?id=CVE-2022-24520

5.6.2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24520

Sophos Ltd. Sophos Firewall. CVE-2022-1040

Межсетевые экраны Sophos Firewall версии v18.5 MR3 (18.5.3) и старше содержат критическую уязвимость обхода аутентификации, позволяющую удаленное выполнение произвольного кода. Уязвимость была найдена в веб-интерфейсе администрирования межсетевого экрана (Webadmin) и на пользовательском портале (User Portal). Клиентам Sophos, которые не меняли настройки и оставили функцию «Allow automatic installation of hotfixes» включенной, ничего не нужно делать, обновление безопасности само будет установлено на уязвимый межсетевой экран. Включенная настройка – это значение, установленное производителем по умолчанию. В целях профилактики вендор также советует отключить WAN-доступ к Webadmin и User Portal, а также в качестве альтернативы использовать VPN или облачный сервис Sophos Central. Sophos Limited оценила критическую уязвимость в 9.8 балла по шкале CVSS 3.1.

Подробнее:

6.1) https://www.cve.org/CVERecord?id=CVE-2022-1040

6.2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=2022-1040

6.3) https://www.sophos.com/en-us/security-advisories/sophos-sa-20220325-sfos-rce

6.4) https://support.sophos.com/support/s/article/KB-000043853?language=en_US

6.5) https://nvd.nist.gov/vuln/detail/CVE-2022-1040

1С-Битрикс. Битрикс24. CVE-2022-27228

В программном обеспечении «Битрикс24» обнаружена недостаточная проверка пользовательского ввода, что позволяет удаленному пользователю без прохождения процедуры аутентификации выполнить произвольный код. Эксплуатация уязвимости может привести к компрометации целевой системы. Разработчик продукта рекомендует обновить модуль «Опросы, голосования» (Polls, Votes (vote)) до версии 21.0.100. Специалисты VulDB оценили уязвимость в 7.0 баллов по шкале CVSS 3.1.

Подробнее:

7.1) https://www.cve.org/CVERecord?id=CVE-2022-27228

7.2) https://helpdesk.bitrix24.com/open/15536776/

7.3) https://vuldb.com/?id.195620

Honda Motor Co., Ltd. Honda’s Remote Keyless System. CVE-2022-27254

Система дистанционного доступа без ключа на различных автомобилях Honda Civic (LX, EX, EX-L, Touring, Si, Type R) 2016-2020 годов выпуска посылает один и тот же незашифрованный радиочастотный сигнал для каждого из запросов на открытие и закрытие двери, открытие багажника и дистанционный запуск двигателя, что позволяет злоумышленнику осуществить атаку повторного воспроизведения… и угнать машину. Исследователь nonamecoder, обнаруживший эту уязвимость, рекомендует автолюбителям носить брелок в чехле Фарадея и использовать систему пассивного бесключевого доступа (Passive Keyless Entry [PKE]) вместо системы дистанционного бесключевого доступа (Remote Keyless Entry [RKE]), так как злоумышленнику придется подойти гораздо ближе, чтобы успешно скопировать сигнал брелка.

Подробнее:

8.1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-27254

8.2) https://github.com/nonamecoder/CVE-2022-27254

Dell. Dell BIOS. CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 и CVE-2022-24421

Dell BIOS содержит уязвимости некорректной проверки ввода. Локально авторизованный злоумышленник может использовать прерывание SMI (System Management Interrupt) для получения возможности произвольного выполнения кода во время режима SMM (System Management Mode). Dell присвоил этим уязвимостям 8.2 балла (высокий уровень критичности) каждой по шкале CVSS 3.1.

9.1) https://www.dell.com/support/kbdoc/en-uk/000197057/dsa-2022-053

9.2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24415

9.3) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24416

9.4) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24419

9.5) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24420

9.6) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24421

Vim. Heap-based Buffer Overflow (CVE-2022-0943)

В Vim была обнаружена уязвимость переполнения буфера на основе кучи (heap-based) в функции suggest_try_change(). Пользователи с huntr.dev присвоили уязвимости высокий уровень критичности на основе 8.4 балла по стандарту CVSS 3.1.

Подробнее:

10.1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0943

10.2) https://huntr.dev/bounties/9e4de32f-ad5f-4830-b3ae-9467b5ab90a1/

10.3) https://github.com/vim/vim/commit/5c68617d395f9d7b824f68475b24ce3e38d653a3