Топ самых интересных CVE за июнь 2023 года
Уязвимости в компонентах Google Chrome
Начнем с ряда уязвимостей, которые были обнаружены в компонентах браузера Google Chrome. Ранее мы уже рассматривали более десятка уязвимостей, связанных с повреждением кучи.
С июнем эта группа пополнилась новыми уязвимостями, Google экстренно среагировал и выпустил обновления для системы безопасности браузера Chrome.
CVE-2023-3029
Об уязвимости:
Уязвимость, возникающая из-за путаницы типов в движке JavaScript версии 8 в Google Chrome до версии 114.0.5735.110. Это уже третья уязвимость нулевого дня в текущем году, с которой столкнулся Google (две другие уязвимости — CVE-2023-2136, CVE-2023-2033).
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику потенциально использовать повреждение кучи через созданную HTML-страницу.
Исправление:
Google экстренно выпустил исправление, также компанией сообщается, что эксплойт находится в свободном доступе для злоумышленников.
Для решения этой критической проблемы пользователям рекомендуется самостоятельно обновить свой браузер Google Chrome до последней версии, не дожидаясь автоматического обновления.
Рекомендуемые обновления включают версию 114.0.5735.110 для Windows и версию 114.0.5735.106 для macOS и Linux. Исправления также требуются для браузеров на базе Chromium: Opera, Brave, Microsoft Edge и др. (подробнее).
Подробнее:
CVE-2023-3079
CVE-2023-3214
Об уязвимости:
Возможность использования освобожденной памяти (use-after-free) при автозаполнении платежей (модуль Autofill) в Google Chrome до версии 114.0.5735.133.
Уязвимость с идентификатором CVE-2023-3214 может привести к возможности выполнения произвольного кода в контексте вошедшего в систему пользователя. В зависимости от привилегий пользователя удаленный злоумышленник может устанавливать программы, скомпрометировать данные или создавать новые учетные записи с полными правами пользователя.
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику потенциально использовать повреждение кучи через созданную HTML-страницу.
Подробнее:
CVE-2023-3214
Кроме того, в Google Chrome до версии 114.0.5735.133 были обнаружены следующие уязвимости:
CVE-2023-3215 — use-after-free в WebRTC
CVE-2023-3216 — путаница типов в движке JavaScript версии 8
CVE-2023-3217 — use-after-free в WebXR
Исправление:
Google выпустил обновление для Chrome 114 до версии 114.0.5735.133 для Mac и Linux и 114.0.5735.133/134 для Windows, в котором содержатся исправления описанных уязвимостей. Рекомендуется срочно обновиться до исправленной версии (подробнее).
Все описанные уязвимости были оценены по шкале CVSS3.1 и имеют высокую оценку — 8.8 баллов.
Подробнее:
CVE-2023-3215
CVE-2023-3216
CVE-2023-3217
Уязвимость в Apache Struts
Apache Struts — это фреймворк с открытым исходным кодом для создания веб-приложений Java.
Июнь не обделил вниманием и Apache Struts, рассмотрим ниже, какие компоненты были затронуты, и что рекомендуется сделать для исправления.
CVE-2023-34396
Об уязвимости:
Выделение ресурсов без ограничений или уязвимость регулирования в Apache Software Foundation Apache Struts. Эта проблема затрагивает Apache Struts версии до 2.5.30 и до 6.1.2.
Эксплуатация:
Успешное использование уязвимости CVE-2023-34396 может привести к отказу в обслуживании в уязвимой системе.
Исправление:
Рекомендуется провести обновление до Struts 2.5.31 или 6.1.2.1, или более поздней версии.
При отсутствии возможности обновления рекомендуется установить значение struts.multipart.maxSize, намного меньшее, чем доступная память.
Оценка уязвимости по шкале CVSS3.1 — 7.5 баллов.
Подробнее:
CVE-2023-34396
SQL-Injection в MOVEit Transfer
MOVEit Transfer — это программа передачи файлов, которая позволяет деловым партнерам и клиентам обмениваться данными с использованием протоколов SFTP, SCP и HTTPS.
В июне компания Progress обнаружила сразу три критические уязвимости SQL-Injection в MOVEit Transfer. В дальнейшем были опубликованы немедленные меры по смягчению последствий, чтобы помочь предотвратить использование этих уязвимостей.
CVE-2023-34362
Об уязвимости:
В версиях 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5), и 2023.0.1 (15.0.1) веб-приложения MOVEit Transfer была обнаружена уязвимость SQL-Injection. В зависимости от используемого компонента database engine (MySQL, Microsoft SQL Server или Azure SQL) злоумышленник может получить информацию о структуре и содержимом базы данных и выполнить инструкции SQL, которые изменяют или удаляют элементы базы данных. Эта уязвимость затрагивает все версии MOVEit Transfer.
Эксплуатация:
Уязвимость с идентификатором CVE-2023-34362 позволяет злоумышленнику, не прошедшему проверку подлинности, получить доступ к базе данных MOVEit Transfer.
Исправление:
Необходимо провести обновление MOVEit Transfer до одной из исправленных версий, подробнее можно ознакомиться по ссылке.
При отсутствии проведения обновления предлагается следующее временное решение. Оно заключается в срочной блокировке внешнего трафика на портах 80 и 443 сервера MOVEit Transfer. Однако следует учесть, что это может вызвать некоторые ограничения, такие как отсутствие доступа к веб-интерфейсу, проблемы с работой автоматизации, блокировку API и помехи в работе плагина Outlook MOVEit Transfer.
Оценка уязвимости по шкале CVSS3.1 — 9.8 баллов.
Подробнее:
CVE-2023-34362
CVE-2023-35036
Об уязвимости:
В версиях 2021.0.7 (13.0.7), 2021.1.5 (13.1.5), 2022.0.5 (14.0.5), 2022.1.6 (14.1.6), 2023.0.2 (15.0.2) веб-приложения MOVEit Transfer была обнаружена уязвимость для внедрения SQL. Злоумышленник может отправить обработанную полезную нагрузку на конечную точку приложения MOVEit Transfer, что может привести к изменению и раскрытию содержимого базы данных MOVEit. Эта уязвимость затрагивает все версии MOVEit Transfer.
Эксплуатация:
Уязвимость с идентификатором CVE-2023-35036 позволяет злоумышленнику, не прошедшему проверку подлинности, получить несанкционированный доступ к базе данных MOVEit Transfer.
Исправление
Необходимо провести обновление MOVEit Transfer до одной из исправленных версий, подробнее можно ознакомиться по ссылке.
При отсутствии проведения обновления предлагается следующее временное решение. Оно заключается в срочной блокировке внешнего трафика на портах 80 и 443 сервера MOVEit Transfer. Однако следует учесть, что это может вызвать некоторые ограничения, такие как отсутствие доступа к веб-интерфейсу, проблемы с работой автоматизации, блокировку API и помехи в работе плагина Outlook MOVEit Transfer.
Оценка уязвимости по шкале CVSS3.1 — 9.1 баллов.
Подробнее:
CVE-2023-35036
CVE-2023-35708
Об уязвимости:
В версиях MOVEit Transfer 2021.0.8 (13.0.8), 2021.1.6 (13.1.6), 2022.0.6 (14.0.6), 2022.1.7 (14.1.7), 2023.0.3 (15.0.3) была выявлена третья критическая уязвимость, при которой удаленный злоумышленник может отправить обработанную полезную нагрузку на конечную точку приложения MOVEit Transfer, что может привести к изменению и раскрытию содержимого базы данных MOVEit. Эта уязвимость затрагивает все версии MOVEit Transfer.
Эксплуатация:
Уязвимость с идентификатором CVE-2023-35708 позволяет злоумышленнику, не прошедшему проверку подлинности, получить несанкционированный доступ к базе данных MOVEit Transfer.
Исправление:
Необходимо провести обновление MOVEit Transfer до одной из исправленных версий, подробнее можно ознакомиться по ссылке.
При отсутствии проведения обновления предлагается следующее временное решение. Оно заключается в срочной блокировке внешнего трафика на портах 80 и 443 сервера MOVEit Transfer. Однако следует учесть, что это может вызвать некоторые ограничения, такие как отсутствие доступа к веб-интерфейсу, проблемы с работой автоматизации, блокировку API и помехи в работе плагина Outlook MOVEit Transfer.
Оценка уязвимости по шкале CVSS3.1 — 9.8 баллов.
Подробнее:
CVE-2023-35708
Ошибки безопасности памяти в Firefox
CVE-2023-34416
Об уязвимости:
Разработчики Mozilla сообщили, что в версиях Firefox 113, Firefox ESR 102.11 и Thunderbird 102.12 имеются ошибки безопасности при работе с памятью, некоторые из которых могут привести к её повреждению. Эта уязвимость затрагивает Firefox ESR < 102.12, Firefox < 114 и Thunderbird < 102.12.
Эксплуатация:
Предполагается, что данная уязвимость безопасности памяти, CVE-2023-34416, может быть использована для запуска произвольного кода.
Исправление:
Необходимо установить обновление для Firefox и Thunderbird.
Оценка уязвимости по шкале CVSS3.1 — 9.8 баллов.
Подробнее:
CVE-2023-34416
CVE-2023-34417
Об уязвимости:
Разработчики Mozilla сообщили, что в версии Firefox 113 имеются ошибки безопасности при работе с памятью, некоторые из которых могут привести к её повреждению. Эта уязвимость затрагивает Firefox < 114.
Эксплуатация:
Предполагается, что данная уязвимость безопасности памяти, CVE-2023-34417, может быть использована для запуска произвольного кода.
Исправление:
Необходимо установить обновление для Firefox.
Оценка уязвимости по шкале CVSS3.1 — 9.8 баллов.
Подробнее:
CVE-2023-34417
Обход аутентификации в PMM
Percona Monitoring and Management (PMM) — это инструмент для наблюдения, мониторинга и управления базами данных с открытым исходным кодом для MySQL, PostgreSQL и MongoDB.
В этом месяце была обнаружена уязвимость, которой присвоен идентификатор CVE-2023-34409. Уязвимость заключается в обходе аутентификации PMM.
CVE-2023-34409
Об уязвимости:
На сервере PMM 2.x до 2.37.1 функция аутентификации в auth_server.go не формализует и не очищает URL-адреса должным образом, чтобы отклонить попытки обхода пути.
Эксплуатация:
Удаленный неаутентифицированный злоумышленник при выполнении специально подготовленного POST-запроса по не прошедшим проверку подлинности маршрутам API может получить доступ к защищенным маршрутам API, что ведет к эскалации привилегий и раскрытию информации.
Исправление:
Необходимо провести срочное обновление до версии 2.37.1 для устранения уязвимости CVE-2023-34409 (подробнее).
Оценка уязвимости по шкале CVSS3.1 — 9.8 баллов.
Подробнее:
CVE-2023-34409
Обход аутентификации в ADSelfService Plus
ADSelfService Plus — это интегрированное решение для самостоятельного управления паролями Active Directory и единого входа в систему.
В июне компания Zoho ManageEngine столкнулась с уязвимостью обхода аутентификации в своем продукте ADSelfService Plus, данной уязвимости был присвоен идентификатор CVE-2023-35854.
CVE-2023-35854
Об уязвимости:
В Zoho ManageEngine ADSelfService Plus до 6113 реализован обход аутентификации, который может быть использован для кражи токена сеанса контроллера домена для подмены идентификационных данных, тем самым получая привилегии администратора контроллера домена.
Эксплуатация:
Удаленный злоумышленник может получить привилегии администратора контроллера домена.
Исправление:
Компанией пока не выпущены обновления для устранения данной уязвимости.
Оценка уязвимости по шкале CVSS3.1 — 9.8 баллов.
Подробнее:
CVE-2023-35854
Уязвимость 0-day в плагине Ultimate Member в WordPress
В конце месяца была обнаружена критическая уязвимость 0-day в плагине Ultimate Member в WordPress. Выпустить обновление для закрытия уязвимости получилось только 1 июля.
CVE-2023-3460
Об уязвимости:
Проблема возникает с формой регистрации плагина. В этой форме представляется возможным изменить определенные значения для регистрируемой учетной записи. Сюда входит значение “wp_capabilities”, которое определяет роль пользователя на веб-сайте. Плагин не позволяет пользователям вводить это значение, но, оказывается, что этот фильтр легко обойти, что позволяет удаленному злоумышленнику редактировать wp_capabilities и стать администратором веб-сайта.
Эксплуатация:
Удаленный злоумышленник, не прошедший проверку подлинности, имеет возможность зарегистрироваться в качестве администратора и получить полный контроль над веб-сайтом.
Исправление:
Рекомендуется установить обновление плагина Ultimate Member на версию 2.6.7, включая последнюю версию 2.6.6, также необходимо поменять все пароли на веб-сайте и проверить наличие аккаунтов с правами администратора (подробнее).
Оценка уязвимости по шкале CVSS3.1 — 9.8 баллов.
Подробнее:
CVE-2023-3460