Топ самых интересных CVE за март 2023 года
Многочисленные уязвимости в Google Chrome
По традиции перечислим несколько уязвимостей в Google Chrome. В январе и феврале текущего года в разных компонентах Google Chrome уже было обнаружено несколько десятков уязвимостей. Большинство из них связаны с повреждением кучи и могут быть проэксплуатированы удаленно через специально созданную HTML-страницу.
Уязвимость, которую можно отследить по идентификатору CVE-2023-1214, обнаружена в движке JavaScript V8 для Google Chrome до версии 111.0.5563.64. Она связана с путаницей типов в V8 и позволяет удаленному злоумышленнику эксплуатировать повреждение кучи через специально созданную HTML-страницу. Любопытно, что в декабре прошлого года в Google Chrome (до версии 108.0.5359.94) была устранена идентичная уязвимость, которой был присвоен номер CVE-2022-4262. Об этом писали в одном из наших прошлых обзоров.
Снова путаница типов, на этот раз в CSS для Google Chrome до версии 111.0.5563.64. Как и в случае с V8 уязвимость позволяет использовать повреждение кучи через HTML-страницу. Идентификатор уязвимости – CVE-2023-1215.
Неограниченный доступ к памяти в WebHID в Google Chrome до версии 111.0.5563.110 позволяет атакующему эксплуатировать повреждение кучи с помощью вредоносного HID-устройства. Данной уязвимости присвоен номер CVE-2023-1529 и оценка 9.8 баллов по CVSS3.1.
Все уязвимости имеют оценки от 7.8 баллов по шкале CVSS3.1.
Подробнее:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1213
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1214
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1215
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1216
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1218
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1219
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1220
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1222
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1227
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1528
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1529
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1530
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1531
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1532
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1533
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1534
Уязвимости в платформе InsightCloudSec
InsightCloudSec (ранее DivvyCloud) – это платформа от Rapid7, которая позволяет обеспечить безопасность облачных ресурсов. Автоматизация различных задач в платформе осуществляется с помощью «ботов».
Исследователи, обнаружившие и описавшие уязвимости в InsightCloudSec, обратили внимание, что в теле электронного письма, отправляемого при запуске бота, можно использовать шаблоны Jinja, что стало отправной точкой для поиска уязвимостей.
В ходе исследования выяснилось, что внедрение шаблона приводит к удаленному выполнению команд ОС (CVE-2023-1304), чтению и записи произвольных файлов (CVE-2023-1305) и выполнению кода (CVE-2023-1306).
Подробное описание способов эксплуатации уязвимостей доступно по ссылкам ниже.
Подробнее:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1304
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1305
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1306
PoC: https://nephosec.com/exploiting-rapid7s-insightcloudsec/
Повышение привилегий в Windows через cloudflared (CVE-2023-1314)
В установщике cloudflared до версии 2023.3.0 включительно, для 32-разрядных устройств Windows обнаружена уязвимость, которая позволяет локальному пользователю без прав администратора повысить свои привилегии на уязвимом устройстве. Уязвимость существует из-за того, что установщик MSI, используемый cloudflared, полагался на доступный для записи каталог. Злоумышленник с локальным доступом к устройству может использовать символические ссылки, чтобы заставить установщик MSI удалить файлы в местах, к которым у злоумышленника в противном случае не было бы доступа. Использование этой уязвимости позволяет злоумышленнику удалить системные файлы или заменить их вредоносными файлами, что может привести к компрометации уязвимого устройства. Уязвимость оценивается в 7.8 баллов по шкале CVSS.
Подробнее:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1314
Внедрение команд ОС в TP-Link Archer AX21 (AX1800) (CVE-2023-1389)
Исследователи из Tenable обнаружили уязвимость в прошивке TP-Link Archer AX21 (AX1800) версии до 1.1.4 Build 20230219, которая позволяла злоумышленнику, не прошедшему аутентификацию, выполнять команды ОС с привилегиями root через веб-интерфейс устройства. Уязвимость существует в эндпоинте «/cgi-bin/luci/;stok=/locale». Команда ОС внедряется в теле POST-запроса в параметре «country». Оценка уязвимости по CVSS – 8.8 баллов. Proof of Concept доступен по ссылке ниже.
Подробнее: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-1389
PoC: https://www.tenable.com/security/research/tra-2023-11
Кража сессии в Next.js (CVE-2023-27490)
NextAuth.js — это решение для аутентификации с открытым исходным кодом для приложений Next.js.
Уязвимость, отслеживаемая как CVE-2023-27490, позволяет злоумышленнику украсть сессию пользователя уязвимого приложения в обход защиты CSRF, подменив URL-адрес, используемый для авторизации. Уязвимости подвержены приложения next-auth, которые используют OAuth до версии v4.20.1. Для эксплуатации уязвимости требуется взаимодействие с пользователем либо контроль над трафиком в сети жертвы. Оценка уязвимости по CVSS3.1 – 8.8 баллов.
Подробности: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27490
PoC: https://github.com/nextauthjs/next-auth/security/advisories/GHSA-7r7x-4c4q-c4qf
Множественные уязвимости в продуктах SAP SE
Уязвимость обхода каталога обнаружена в SAP NetWeaver AS for ABAP и ABAP Platform.
Авторизованный пользователь без привилегий администратора используя обход каталога в компоненте SAPRSBRO (CVE-2023-27500), имеет возможность перезаписать системные файлы. При эксплуатации уязвимости никакие данные не могут быть прочитаны, но в результате перезаписи системных файлов ОС система может стать недоступной. Оценка уязвимости – 8.1 баллов.
Похожая уязвимость имеет идентификатор CVE-2023-27501. В результате атаки злоумышленник может удалить произвольные файлы, что также значительно влияет на целостность и доступность системы. Критичность данной уязвимости оценивается в 9.6 баллов по CVSS3.1.
Также обнаружены уязвимости в платформе SAP BusinessObjects Business Intelligence версий 420 и 430.
Злоумышленник имеет возможность манипулировать параметрами CMS и в результате выполнять поиск во внутренней сети, которая не должна быть доступна внешним пользователям. При успешной эксплуатации атакующий может сканировать внутреннюю сеть и получить информацию о внутренней инфраструктуре, что может помочь ему в планировании дальнейших атак. Уязвимость имеет идентификатор CVE-2023-27894.
Также злоумышленник имеет возможность с помощью собственного вредоносного BOE-сервера заставить сервер приложений подключиться к своей CMS, что сильно влияет на доступность (CVE-2023-27271 и CVE-2023-27896).
Подробнее:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27500
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27501
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27896
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27271
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27894
HTTP Response Smuggling в Apache HTTP Server (CVE-2023-27522)
Компонент mod_proxy_uwsgi в Apache HTTP Server в версиях от 2.4.30 до 2.4.55 уязвим к HTTP Response Smuggling. Специальные символы в заголовках оригинального ответа сервера могут разделить ответ на несколько частей. Уязвимость обнаружил исследователь Dimas Fariski Setyawan Putra (nyxsorcerer). Других подробностей об уязвимости не сообщается.
Подробнее: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27522
SQL-инъекции в PrestaShop (CVE-2023-27637 и CVE-2023-27638)
В модуле Custom Product Designer (tshirtecommerce) для PrestaShop имеются уязвимости, позволяющие анонимному пользователю выполнить SQL-инъекцию.
В контроллере designer.php имеется уязвимый параметр «product_id» (CVE-2023-27637). Кроме того, исследователи полагают, что имеется еще один уязвимый параметр «tshirtecommerce_design_cart_id» (CVE-2023-27638). Модуль tshirtecommerce настоятельно рекомендуется удалить, так как он не обновляется с 2019 года, а уязвимость активно эксплуатируется в дикой природе.
Также слепая SQL-инъекция обнаружена в модуле xipblog в версии до 2.0.1, уязвимый параметр «rewrite». Эта уязвимость тоже эксплуатируется в дикой природе, поэтому рекомендуется обновить модуль до актуальной версии.
Все уязвимости оцениваются в 9.8 баллов по шкале CVSS.
Подробнее:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27637
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27638
PoC:
https://friends-of-presta.github.io/security-advisories/module/2023/03/21/tshirtecommerce_cwe-89.html
https://friends-of-presta.github.io/security-advisories/modules/2023/03/23/xipblog.html
Множественные уязвимости в Jenkins
Когда подключаемый модуль Jenkins загружается с компьютера администратора, Jenkins создает временный файл. Jenkins 2.393 и более ранние версии, а также LTS 2.375.3 и более ранние версии, создают этот временный файл во временном системном каталоге с разрешениями по умолчанию для вновь создаваемых файлов. Если эти разрешения будут чрезмерными, то злоумышленник с доступом к файловой системе сможет читать и перезаписывать этот файл до того, как он будет использован Jenkins при установке. В таком случае возможно выполнение произвольного кода.
Эта уязвимость затрагивает только операционные системы, использующие общий временный каталог для всех пользователей.
Jenkins 2.394, LTS 2.375.4 и LTS 2.387.1 создают временный файл с более строгими разрешениями. Данной уязвимости присвоен идентификатор CVE-2023-27899 и оценка 7.0 баллов.
Те же самые версии Jenkins позволяют удаленному злоумышленнику, не прошедшему аутентификацию, инициировать DoS-атаку, так как в данных версиях используется уязвимая библиотека Apache Commons FileUpload (CVE-2023-27900 и CVE-2023-27901).
Подробнее:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27899
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27900
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27901
Множественные уязвимости в Moodle
Версии Moodle с 4.1 до 4.1.1, с 4.0 до 4.0.6, с 3.11 до 3.11.12, с 3.9 до 3.9.19 и более ранние неподдерживаемые версии уязвимы к SQL-инъекции. Для эксплуатации уязвимости требуется аутентификация. Уязвимость имеет идентификатор CVE-2023-28329.
Еще одна уязвимость затрагивает компонент Mustache Pix Helper и связана с потенциальным риском внедрения кода Mustache. Уязвимые версии Moodle те же, что и выше. Идентификатор уязвимости – CVE-2023-28333.
Кроме того, в версиях Moodle с 4.1 по 4.1.1 ссылка для сброса всех шаблонов действий базы данных не включала токен для предотвращения атаки CSRF. Данная уязвимость получила идентификатор CVE-2023-28335.
Подробнее:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28329
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28333
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28335
Неправильная реализация границы доверия в Zoom (CVE-2023-28597)
Клиентские приложения Zoom до версии 5.13.5 имеют уязвимость, связанную с неправильной реализацией границы доверия. Если жертва сохраняет локальную запись в SMB-каталоге, а затем открывает ее по ссылке с веб-портала Zoom, злоумышленник в соседней сети может использовать вредоносный SMB-сервер для ответов на запросы клиента-жертвы. В результате успешной атаки жертва может запустить исполняемый файл атакующего, что приведет к компрометации системы. Затронуты версии клиентов Zoom и Zoom Rooms для Android, iOS, macOS и Windows, а также Zoom VDI Windows Meeting. Оценка уязвимости по шкале CVSS – 8.3 баллов.
Подробнее: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28597
Отказ в обслуживании в Redis (CVE-2023-28425)
Уязвимость существует в Redis начиная с версии 7.0.8 и до 7.0.10. Аутентифицированные пользователи могут использовать команду MSETNX для завершения серверного процесса Redis. Уязвимость оценивается в 5.5 баллов.
Исследователь под псевдонимом Altin (tin-z) попробовал разобраться в коде Redis и написать PoC. Деликатно составляя вопросы к ChatGPT он получил нужную команду и проэксплуатировал уязвимость в тестовой среде. Подробности можно почитать в личном блоге исследователя, ссылка предоставлена ниже. Судя по всему, ChatGPT имеет доступ в интернет и при правильном подходе может анализировать контент по предоставленным ему ссылкам.
Подробнее: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28425
PoC от ChatGPT: https://tin-z.github.io/redis/cve/chatgpt/2023/04/02/redis-cve2023.html
Обход аутентификации и повышение привилегий в WooCommerce Payments
В популярном плагине WooCommerce Payments для WordPress была найдена критическая уязвимость, которая не имеет своей CVE, но точно заслуживает место в нашем топе.
Эксплуатация уязвимости позволяет злоумышленнику, не прошедшему аутентификацию, выдать себя за произвольного пользователя, в том числе администратора, и выполнять от его имени некоторые действия, что в может привести к захвату сайта.
На сайте компании Wordfence сообщается, что специалисты компании разработали эксплойт для данной уязвимости. Можно предположить, что скоро эксплойты появятся в открытом доступе.
Всем пользователям настоятельно рекомендуется обновить плагин до актуальной версии, проверить свои сайты на наличие следов компрометации и изменить любые секретные данные, которые потенциально могли быть скомпрометированы злоумышленниками.
Затронутые версии плагина от 4.8.0 до 5.6.1.
