Zraniteľné systémy:

• Qualcomm Digital Signal Processor (DSP)
• Qualcomm WLAN Resource Manager

Kompletný prehľad zraniteľných chipsetov sa nachádza tu.

Opis činnosti:

Spoločnosť Qualcomm opravila v októbri 2024 20 zraniteľností vo svojich produktoch. Z toho je jedna hodnotená ako kritická, 12 vysoko a 7 stredne závažné. Jednu zraniteľnosť aktívne zneužívajú útočníci pri cielených útokoch.

CVE-2024-43047 (CVSS skóre 7,8)

Aktívne zneužívaná zero-day zraniteľnosť v službe DSP (Digital Signal Processor), ktorú využívajú viaceré chipsety. CVE-2024-43047 spočíva v opätovnom použití uvoľneného miesta v pamäti a lokálny útočník s nízkymi oprávneniami by ju mohol zneužiť na poškodenie pamäte.

Chybu objavil Seth Jenkins z Google Project Zero a Conghui Wang z Amnesty International Security Lab.

CVE-2024-33066 (CVSS skóre 9,8)

Kritická zraniteľnosť WLAN Resource Manager, ktorá bola objavená pred rokom, spočíva v nedostatočnom overovaní vstupov a možno ju zneužiť na poškodenie pamäte.

Možné škody:

• Poškodenie pamäte

Odporúčania:

Qualcomm odporúča bezodkladnú aktualizáciu firmvéru (ovládač FASTRPC) zraniteľných chipsetov.

Odkazy:

• https://docs.qualcomm.com/product/publicresources/securitybulletin/october-2024-bulletin.html
• https://www.bleepingcomputer.com/news/security/qualcomm-patches-high-severity-zero-day-exploited-in-attacks/

Zraniteľné systémy:

• Apache Avro Java SDK verzie staršie ako 1.11.4

Opis činnosti:

CVE-2024-47561 (CVSS skóre 7,3)

Vývojári Apache Avro Java SDK vydali aktualizácie svojho produktu, ktoré opravujú vysoko závažnú zraniteľnosť. CVE-2024-47561 spočíva v nesprávnom spracovaní používateľských schém v rámci direktív ReflectData a SpecificData a útočník by ju prostredníctvom podvrhnutia špeciálne vytvorenej schémy mohol zneužiť na vykonanie škodlivého kódu.

Zraniteľnosť objavil výskumník Kostya Kortchinsky z tímu Databricks Security Team.

Možné škody:

• Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia Apache Avro Java SDK na verziu 1.11.4 alebo 1.12.0.

Pre mitigovanie zraniteľnosti môžete zakázať spracovanie používateľských schém alebo ich pred spracovaním sanitizovať.

Odkazy:

• https://nvd.nist.gov/vuln/detail/CVE-2024-47561
• https://lists.apache.org/thread/c2v7mhqnmq0jmbwxqq3r5jbj1xg43h5x
• https://thehackernews.com/2024/10/critical-apache-avro-sdk-flaw-allows.html

Mesačný prehľad – 09/2024 PDF (618 kB)

Prehľady sú spracovávané od októbra 2014 a sú dostupné na tomto odkaze.

Zraniteľné systémy:

• WordPress LiteSpeed Cache 6.5.0.2 a staršie

Opis činnosti:

CVE-2024-47374 (CVSS skóre 7,1)

Vývojári pluginu WordPress LiteSpeed Cache vydali bezpečnostné aktualizácie, ktoré opravili vysoko závažnú zraniteľnosť. CVE-2024-47374 spočíva v nesprávnej sanitizácii poľa X-LSCACHE-VARY-VALUE v HTTP hlavičkách, ktorého hodnotu preberá funkcia „Vary Group“ a publikuje ju na administrátorskej stránke. Vzdialený neautentifikovaný útočník by ju prostredníctvom zaslania špeciálne vytvorenej HTTP požiadavky mohol zneužiť na realizáciu útokov typu Stored XSS (Cross Site Scripting) a následne získanie neoprávneného prístupu k citlivým údajom a eskaláciu privilégií. Zraniteľnosť je možné zneužiť len na systémoch, na ktorých sú súčasne aktivované funkcie “CSS Combine” a “Generate UCSS”.

Možné škody:

• Eskalácia privilégií
• Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia WordPress LiteSpeed Cache na verziu 6.5.1.

Odkazy:

• https://patchstack.com/articles/unauthenticated-stored-xss-vulnerability-in-litespeed-cache-plugin-affecting-6-million-sites/
• https://nvd.nist.gov/vuln/detail/CVE-2024-47374
• https://thehackernews.com/2024/10/wordpress-litespeed-cache-plugin.html

Zraniteľné systémy:

• Suricata, verzie staršie ako 7.0.7

Opis činnosti:

Nová verzia IDS/ IPS Suricata opravuje tri kritické a tri vysoko závažné zraniteľnosti. Zraniteľnosti možno zneužiť na obídenie bezpečnostných mechanizmov, vzdialené vykonanie škodlivého kódu a zneprístupnenie služby. Žiadne bližšie informácie neboli zverejnené.

CVE-2024-45797 (kritická)
CVE-2024-47187 (kritická)
CVE-2024-47188 (kritická)
CVE-2024-47522 (vysoko závažná)
CVE-2024-45795 (vysoko závažná)
CVE-2024-45796 (vysoko závažná)

Možné škody:

• Vzdialené vykonávanie kódu
• Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná aktualizácia Suricata na verziu 7.0.7.

Odkazy:

https://suricata.io/2024/10/01/suricata-7-0-7-released/

Zraniteľné systémy:

• cups-filters 2.0.1 a staršie
• libcupsfilters 2.1b1 a staršie
• libppd 2.1b1 a staršie
• cups-browsed 2.0.1 a staršie

Tieto služby sú prítomné na väčšine unixových systémov, vrátane väčšiny distribúcií GNU/Linux, BSD, Solaris a Chromium/ChromeOS.

Opis činnosti:

Modulárny tlačový subsystém CUPS (Common UNIX Printing System) pre operačné systémy na báze Unix, ktorý je implementáciou protokolu IPP (Internet Printing Protocol), obsahuje 1 kritickú a 3 vysoko závažné zraniteľnosti. Ich kombináciou môže vzdialený neautentifikovaný útočník dosiahnuť schopnosť vzdialene vykonávať kód na zariadení, odkiaľ bola spustená tlačová úloha. Vzhľadom na povahu CUPS môže útočník zneužiť zraniteľnosti priamo z internetu.

CVE-2024-47177 (CVSS skóre 9,0)

Kritická zraniteľnosť v cups-filters. Tlačový filter foomatic-rip umožňuje vykonávať ľubovoľné príkazy vo FoomaticRIPCommandLine. Útočník na to môže zneužiť hodnoty v súbore PPD, ktorý ich posúva konzole.

CVE-2024-47076 (CVSS skóre 8,6)

Vysoko závažná zraniteľnosť v knižnici libcupsfilters. Chýbajúca sanitizácia a validácia atribútov prijímaných zo servera IPP vo funkcii cfGetPrinterAttributes5 umožňuje útočníkovi podvrhnúť dáta ďalším súčastiam systému CUPS.

CVE-2024-47175 (CVSS skóre 8,6)

Vysoko závažná zraniteľnosť v libppd. Vo funkcii ppdCreatePPDFromIPP2 chýba sanitizácia a validácia IPP atribútov zapisovaných do súboru PPD, čo umožňuje útočníkom kontrolovať obsah súboru PPD.

CVE-2024-47176 (CVSS skóre 8,3)

Vysoko závažná zraniteľnosť v cups-browsed. Tento komponent CUPS počúva na UDP porte 631 bez kontroly zdroja komunikácie. Útočník tak môže spôsobiť vykonanie požiadavky Get-Printer-Attributes IPP z URL adresy, ktorú má pod kontrolou.

Možné škody:

• Vzdialené vykonávanie príkazov a kódu

Odporúčania:

Na uvedené zraniteľnosti v súčasnosti nie sú dostupné aktualizácie. Odporúčame sledovať stránku výrobcu a po vydaní aktualizácií bezodkladne vykonať aktualizáciu zasiahnutých systémov.

Pre mitigáciu zraniteľností odporúčame zakázať a odobrať službu cups-browsed, alebo na firewalle blokovať sieťovú komunikáciu na UDP port 631 a komunikáciu súvisiacu s protokolmi zeroconf, mDNS a DNS-SD.

Odkazy:

• https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/#Summary
• https://www.bleepingcomputer.com/news/security/cups-flaws-enable-linux-remote-code-execution-but-theres-a-catch/
• https://nvd.nist.gov/vuln/detail/CVE-2024-47177
• https://nvd.nist.gov/vuln/detail/CVE-2024-47076
• https://nvd.nist.gov/vuln/detail/CVE-2024-47175
• https://nvd.nist.gov/vuln/detail/CVE-2024-47176

Zraniteľné systémy:

• OpenPLC _v3 b4702061dc14d1024856f71b4543298d77007b88
• OpenPLC _v3 16bf8bac1a36d95b73e7b8722d0edb8b9c5bb56a

Opis činnosti:

CVE-2024-34026 (CVSS skóre 9,8)

Kritická zraniteľnosť označená ako CVE-2024-34026 sa nachádza v parseri EtherNet/IP  prostredia OpenPLC Runtime (verzia OpenPLV_v3 b4702061dc14d1024856f71b4543298d77007b88).  Chyba spočíva v nedostatočnej kontrole veľkosti alokovanej pamäte pre uloženie záznamu o požiadavke, čo vedie k možnosti spôsobiť pretečenie zásobníka. Útočník môže odoslať špeciálne vytvorenú sériu požiadaviek EtherNet/IP, a tak získať schopnosť vzdialene vykonávať kód.

CVE-2024-36980, CVE-2024-36981, CVE-2024-39589, CVE-2024-39590 (CVSS skóre 7,5)

Zraniteľnosti sa nachádzajú v parseri EtherNet/IP PCCC prostredia OpenPLC Runtime. Odoslaním špeciálne vytvorených požiadaviek EtherNet/IP môže útočník spôsobiť odmietnutie služby (DoS).

• CVE-2024-36980 a CVE-2024-36981 (OpenPLC _v3 b4702061dc14d1024856f71b4543298d77007b88) umožňujú čítanie mimo povolený rozsah pamäte.
• CVE-2024-39589 a CVE-2024-39590 (OpenPLC _v3 16bf8bac1a36d95b73e7b8722d0edb8b9c5bb56a) súvisia s nesprávnou dereferenciou ukazovateľa.

Možné škody:

• Nedostupnosť služby (DoS)
• Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia na najnovšiu verziu OpenPLC.
Pokiaľ nemôžete aktualizovať na najnovšiu verziu, Cisco Talos odporúča pre zraniteľnosti CVE-2024-36981 a CVE-2024-36980 upraviť zdrojový kód tak, aby sa v dotknutom porovnávaní typ -1 zmenil na zodpovedajúci typ.

uint16_t newPcccSize = processPCCCMessage(pcccData, currentPcccSize);
if (newPcccSize == (uint16_t) -1)
return -1;

Pre zmiernenie zraniteľností CVE-2024-39589 a CVE-2024-39590 upravte zdrojový kód tak, aby ste odstránili tri pretypovania ukazovateľov vo volaniach Protected_Logical_Write_Reply memmove.

memmove(&buffer[0], header.RP_CMD_Code, 1);
memmove(&buffer[1], header.HD_Status, 1);
memmove(&buffer[2], header.HD_TransactionNum, 2);

Odkazy:

• https://www.securityweek.com/remote-code-execution-dos-vulnerabilities-patched-in-openplc/
• https://nvd.nist.gov/vuln/detail/CVE-2024-34026
• https://talosintelligence.com/vulnerability_reports/TALOS-2024-2005
• https://talosintelligence.com/vulnerability_reports/TALOS-2024-2004
• https://talosintelligence.com/vulnerability_reports/TALOS-2024-2016

Zraniteľné systémy:

• Ivanti CSA (Cloud Services Appliance) verzia 4.6 pred Patch 519

Opis činnosti:

CVE-2024-8963 (CVSSv3.0 skóre 9,4)

Spoločnosť IVANTI vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť v produkte Cloud Services Appliance. CVE-2024-8963 je chyba typu path traversal. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na obídenie mechanizmov autentifikácie a získanie prístupu k administrátorským funkcionalitám CSA.

Útočníci zraniteľnosť aktívne zneužívajú v kombinácii so zraniteľnosťou CVE-2024-8190, ktorá bola opravená už 10. septembra 2024. Chyba umožňovala injektovať systémové príkazy a vzdialene vykonávať kód, pokiaľ mal útočník administrátorský prístup k zariadeniu. Zraniteľnosť CVE-2024-8963 však dovoľuje túto podmienku obísť.

Možné škody:

• Eskalácia oprávnení
• Prístup ku chráneným zdrojom

Odporúčania:

Bezodkladná aktualizácia na verziu Ivanti CSA 4.6 Patch 519 alebo CSA 5.0, vzhľadom na to, že verzia 4.6 už nie je podporovaná.

Spoločnosť Ivanti odporúča v CSA kontrolu používateľov, či nedošlo ku zmene alebo pridaniu nových účtov. Pre zníženie rizika odporúča nakonfigurovať dual homing s rozhraním eth0 ako internou sieťou a nasadiť EDR.

Odkazy:

• https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-CSA-4-6-Cloud-Services-Appliance-CVE-2024-8963?language=en_US
• https://www.bleepingcomputer.com/news/security/ivanti-warns-of-another-critical-csa-flaw-exploited-in-attacks/
• https://www.securityweek.com/ivanti-warns-of-second-csa-vulnerability-exploited-in-attacks/

Zraniteľné systémy:

• GitLab Community Edition (CE) staršie ako 17.3.3, 17.2.7, 17.1.8, 17.0.8 a 16.11.10
• GitLab Enterprise Edition (EE) staršie ako 17.3.3, 17.2.7, 17.1.8, 17.0.8 a 16.11.10

Opis činnosti:

CVE-2024-45409 (CVSS skóre 10,0)

Kritická zraniteľnosť CVE-2024-45409 súvisí s chybami v knižniciach omniauth-saml a ruby-saml, ktoré GitLab využíva v rámci autentifikácie na báze štandardu SAML (Security Assertion Markup Language). Knižnice nesprávne overujú podpis SAML odpovede. Neautentifikovaný útočník s prístupom k podpísanému dokumentu SAML tak môže vytvoriť falošnú odpoveď a prihlásiť sa ako ľubovoľný používateľ.
Zraniteľnosť zasahuje iba inštancie s nastavenou autentifikáciou pomocou SAML.

Možné škody:

• Obchádzanie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia na verziu 17.3.3, 17.2.7, 17.1.8, 17.0.8 alebo 16.11.10. Tieto záplaty aktualizujú závislosti omniauth-saml na verziu 2.2.1 a ruby-saml na 1.17.0.

Pokiaľ aktualizácia nie je možná, vynúťte dvojfaktorovú autentifikáciu pre všetkých používateľov. Zároveň zakážte možnosť, aby ju prihlasovanie prostredníctvom SAML obchádzalo.

Preveriť potenciálnu úspešnú kompromitáciu môžete v logoch application_json a auth_json, kde bude zaznamenaná hodnota extern_id a extern_uid, ktorú útočník použil. Znakom zneužitia zraniteľnosti môžu byť aj chýbajúce alebo nesprávne informácie v položke attributes v súbore auth_json.

Odkazy:

• https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3-released/
• https://nvd.nist.gov/vuln/detail/CVE-2024-45409
• https://thehackernews.com/2024/09/gitlab-patches-critical-saml.html