Срочно патчим FortiOS, Windows SmartScreen, MS Exchange, VPN-серверы Ivanti

Срочно патчим FortiOS, Windows SmartScreen, MS Exchange, VPN-серверы Ivanti

Срочно патчим FortiOS, Windows SmartScreen, MS Exchange, VPN-серверы Ivanti

Эксперты Positive Technologies составили список наиболее опасных уязвимостей по итогам февраля. Все восемь активно использовались злоумышленниками; вендоры (Fortinet, Microsoft, Ivanti) уже выпустили патчи, их следует как можно скорее установить.

1.   CVE-2024-21762 (9,8 балла CVSS) — возможность удаленного выполнения кода, выявленная в FortiOS и FortiProxy. Эксплойт не требует аутентификации и осуществляется с помощью специально созданных HTTP-запросов.

По данным Shadowserver, в настоящее время (по состоянию на 4 февраля) FortiOS SSL VPN работает более чем на 400 тыс. устройств. В России таких узлов свыше 2800. При отсутствии возможности обновить софт в кратчайшие сроки Fortinet советует временно отключить SSL VPN, это снизит риски.

2.   CVE-2024-21351 (7,6 балла) — обход ограничений Windows SmartScreen, актуальный для ОС версий 10 и 11. Уязвимость используется для доставки вредоносных программ; злоумышленнику нужно лишь убедить пользователя открыть присланный файл.

3.   CVE-2024-21412 (8,1 балла) — обход ограничений безопасности для файлов ярлыков веб-страниц (Internet Shortcut). Эксплойт позволяет скрытно доставить в систему зловреда — без срабатывания правил MoTW и вывода соответствующих предупреждений Microsoft Defender.

4.   CVE-2024-21413 (9,8 балла) — возможность удаленного выполнения кода в Microsoft Outlook. Эксплойт позволяет обойти защиту Protected View путем добавления символа «!» во вредоносную ссылку, вставленную в письмо.

5.   CVE-2024-21410 (9,8 балла) — возможность повышения привилегий в Microsoft Exchange. Уязвимость позволяет через атаку NTLM relay перехватить аутентификационные данные и использовать их для получения несанкционированного доступа к серверу.

6.   CVE-2024-21893 (8,2 балла) — возможность подмены запроса на стороне сервера (SSRF), выявленная в SAML-компоненте Ivanti Connect Secure (ICS), Ivanti Policy Secure и Ivanti Neurons for ZTA. Эксплойт возможен, когда на устройстве отсутствует аутентификация либо установлена устаревшая версия xmltooling, и позволяет получить несанкционированный доступ к ряду ресурсов.

7.   CVE-2023-46805 (8,2 балла) — обход аутентификации в ICS (версии 9 и 22) и Ivanti Policy Secure.

8.   CVE-2024-21887 (9,1 балла) — возможность инъекции команд в ICS (версии 9 и 22) и Ivanti Policy Secure. Эксплойт требует наличия прав администратора и может быть произведен удаленно.

При использовании в связке две последние уязвимости позволяют удаленно и без аутентификации выполнить на хосте любой код, а также получить доступ к внутренней сети организации и запустить туда зловреда — например, шифровальщика. По данным Shadowserver (на 4 марта), в интернете сейчас активны порядка 18,4 тыс. экземпляров Ivanti Connect Secure.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России предложили штрафовать за поиск экстремистских материалов и VPN

Ко второму чтению законопроекта №755710-8 предложены поправки, вводящие штрафы за умышленный поиск и получение доступа к «заведомо экстремистским материалам», а также за рекламу VPN-сервисов и других технических средств, позволяющих обходить блокировки.

Поправки внесены в законопроект о внесении изменений в КоАП, изначально касавшийся исключительно регулирования транспортно-экспедиционной деятельности. Документ был принят в первом чтении 20 января 2025 года.

Как сообщает «Интерфакс», предлагается дополнить КоАП РФ новой статьёй 13.53, устанавливающей ответственность за умышленный поиск в интернете «заведомо экстремистских материалов», включённых в соответствующий список, а также за получение доступа к ним, в том числе с использованием VPN. За это предусмотрен штраф для граждан в размере от 3 до 5 тысяч рублей.

Реклама технических средств доступа к информационным ресурсам, доступ к которым ограничен, повлечёт административную ответственность: штраф для граждан составит от 50 до 80 тысяч рублей, для должностных лиц — от 80 до 150 тысяч рублей, для юридических лиц — от 200 до 500 тысяч рублей.

Неисполнение владельцем VPN-сервиса требований по взаимодействию с Роскомнадзором или отказ от подключения к государственной информационной системе учёта ресурсов повлечёт аналогичные штрафы: для граждан — от 50 до 80 тысяч рублей, для должностных лиц — от 80 до 150 тысяч, для юридических лиц — от 200 до 500 тысяч рублей. При повторных нарушениях размер штрафов увеличится в 2–4 раза.

Как отметил юрист Станислав Селезнёв в комментарии для Forbes, ранее в российском законодательстве отсутствовала ответственность за потребление контента. Сведения о поисковых запросах и доступе к сайтам правоохранительные органы могут получать у владельцев поисковых систем и операторов связи — если пользователь не шифрует трафик.

По словам источника Forbes, доказать факт такого правонарушения затруднительно без изъятия устройства.

«К тексту очень много вопросов и замечаний. Можно лишь пожелать, чтобы для думских инициатив были предусмотрены процедуры, аналогичные тем, что применяются к правительственным законопроектам — это могло бы значительно повысить качество депутатских инициатив», — отметил собеседник Forbes из отрасли.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru