09.09.202409.09.2024 Юлия МальцеваЮлия Мальцева 0 Comment

Oracle WebLogic Server.

ФСТЭК 19 августа разослала предупреждение об обнаружении опасной уязвимости BDU:2024-06272 в сервере приложений Oracle WebLogic Server, которая позволяет посторонним за счет манипуляции протоколами взаимодействия T3 и IIOP в том числе выполнять вредоносные действия в ядре сервера. По классификации CVSS 3 уязвимость имеет уровень 9,8 из 10, что говорит о легкости ее эксплуатации и опасности дистанционного выполнения кода. Производитель подтвердил возможность эксплуатации уязвимости без аутентификации в версии 12.2.1.4.0 и 14.1.1.0.0. Причем для уязвимости есть публичный эксплойт.

Как сказано в предупреждении ФСТЭК ошибка связана с недостаточно проверкой входных данных – сервер просто не проверяет на транспортном уровне пройдена ли процедура аутентификации. В результате, компонент Core сервера приложений Oracle Fusion Middleware дает посторонним возможность обратиться к нему напрямую по протоколам T3 и IIOP, которые отвечают за взаимодействие между сервером и клиентом, модифицировать системные ресурсы, украсть конфиденциальные данные или выполнить несанкционированный код.

Для защиты сервера приложений, Артем Чернов, ведущий системный инженер в «К2 Кибербезопасность», рекомендует рассмотреть возможность установки актуального Critical Patch Update, в котором эта уязвимость закрыта. Если же получить обновление все-таки не получится, то в качестве компенсирующих мер можно настроить дополнительные механизмы фильтрации и верификации вводимых данных для протокола T3, например, JEP290, так как большинство WAF, например, не смогут помочь из-за используемого проприетарного протокола. Сама же ФСТЭК рекомендует еще более радикальные меры:

  • использовать средства межсетевого экранирования для ограничения удалённого доступа к серверу;
  • ограничить доступ по протоколу T3 только доверенными источниками или отключение протокола, если он не используется;
  • отключить передачу по сети протокола IIOP при условии, что он не используется для работы приложений.

Следует отметить, что сервера приложений являются ключевыми элементами, которые атакуют хакеры, поскольку они одновременно имеют возможность исполнять различные высокоуровневые сценарии, а с другой – содержат, как правило, достаточно ценные данные. Вмешательство во взаимодействие работы брокера транзакций, для чего как раз и предназначены протоколы T3 и IIOP, особенно опасно, поскольку дает злоумышленникам прямой доступ к данным, накопленным в приложении. Наиболее опасные хакерские нападения последнего времени как раз и были связаны с атаками на подобные компоненты веб-приложений.

Chromium, Firefox, Safari и MacOS.

ФСТЭК в начале августа предупредила об обнаружении опасной уязвимости, которая позволяет в браузерах Chromium, Firefox и Safari под Linux и MacOS выполнить произвольный код при условии перехода пользователя по специально подготовленной ссылке. Уязвимость по классификации CVSS 3.0 имеет уровень 9,8 из 10.

Windows уязвимости не подвержена, поскольку вредоносная ссылка фильтруется на уровне операционной системы.

На текущий момент только разработчики Chrome объявили, что исправят ошибку в версии 133.

Ошибка была обнаружена исследователями компании Oligo Security, но, по их словам, она существует с 2006 года.

Проблема связана с IP-адресом 0.0.0.0, который браузер считает локальным – аналогом 127.0.0.1. Фильтрация локального обращения к сервисам в браузерах уже реализована, однако обращение по адресу 0.0.0.0 не фильтруется. Это позволяет вредоносным сайтам обращаться, например, к сервису Selenium Grid по URL типа http://0.0.0[.]0:4444. Так злоумышленники могут обратиться к любым службам на локальном устройстве, что позволяет получить доступ к закрытым извне сервисам.

Следует отметить, что в Windows IP-адрес 0.0.0.0 блокируется на уровне операционной системы, и поэтому атаки на эту операционную систему невозможны. Может быть, поэтому разработчики браузеров забыли реализовать эту защиту в своих продуктах, поскольку она работает на небольшом количестве инсталляций. Так, разработчики Chrome ранее уже заблокировали URL-адреса localhost и 127.0.0.1/8, но сохранили допустимость 0.0.0.0. Однако в России в связи с переходом на отечественные операционные системы, которые базируются на коде Linux, атаки подобного типа могут оказаться даже более эффективными, чем во всем остальном мире.

Эксплуатация данной уязвимости осложнена тем, что ей подвержены только ОС MacOS и Linux, и злоумышленникам нужны дополнительные эксплойты для атак на заранее известные либо популярные сервисы, которые могут работать у атакуемых пользователей локально, добавил эксперт.

Для защиты от эксплуатации уязвимости ФСТЭК рекомендует следующее:

  • использовать средства антивирусной защиты для отслеживания попыток эксплуатации уязвимости;
  • применять средства межсетевого экранирования для ограничения возможности её эксплуатации;
  • использовать SIEM-систему для отслеживания подозрительных событий безопасности, связанных с переходом по адресу 0.0.0.0;
  • добавить авторизацию даже при работе с localhost;
  • внедрить CSRF-токены в разрабатываемые приложения;
  • использовать HTTPS;
  • реализовать заголовки PNA.

Однако насколько эффективно будут работать антивирусы для Linux и MasOS для неизвестных эксплойтов, не очень понятно. Также межсетевые экраны ограничены в возможности фильтровать трафик по адресу localhost, поскольку они фильтруют только внешние попытки подключиться к устройствам в локальной сети. Важнее фильтровать веб-контенет и не допускать в локальную сеть вредоносные ссылки. В частности, в браузерах есть возможность оценивать опасность той или иной ссылки с помощью веб-фильтрации.

Аналогичный механизм защиты можно реализовать при обработке почты с помощью песочницы, которая будет оценивать опасность ссылки в сообщении.

SAP.

В середине августа 2024 года SAP выпустил обновление безопасности, устранив 17 новых уязвимостей, которые позволяли позволить злоумышленникам обходить аутентификацию, подделывать серверные запросы и полностью контролировать дефектные системы. Эти уязвимости имеют рейтинг 9,8 и 9,1 по шкале CVSS, что указывает на серьезный риск злоупотребления.

Согласно официальным примечаниям по безопасности SAP, одна из уязвимостей возникает из-за «отсутствия проверки аутентификации» в конечной точке REST. В таком случае неавторизованный пользователь может получить полный доступ к системе Business Intelligence Platform. Подобный взлом может полностью скомпрометировать систему, нарушив конфиденциальность и целостность данных.

Другая узявимость представляет угрозу для приложений, созданных с помощью SAP Build Apps. Ее относят к классу подделки запросов на стороне сервера (SSRF). Такая уязвимость позволяет злоумышленникам выполнять произвольный код в целевой системе, что потенциально обеспечивает полный захват системы.

Риску подвержены все организации, использующая SAP Business Intelligence Platform версий 430 или 440 или приложения, созданные с помощью SAP Build Apps версии старше 4.11.130. Всем организациям рекомендуется установить обновления и проверить конфигурации безопасности, в первую очередь те, которые связаны с единым входом (SSO) и контролем доступа. Кроме того, организациям рекомендуют рассмотреть дополнительные меры безопасности, такие как внедрение многофакторной аутентификации (MFA) и сегментации сети. Предприятиям также следует учитывать состояние безопасности сторонних поставщиков программного обеспечения и внедрять меры по снижению рисков, связанных с интегрированными решениями.