Агентство по кибербезопасности и безопасности инфраструктуры (CISA) внесло критическую уязвимость типа SQL-инъекция в Microsoft Configuration Manager в свой каталог Known Exploited Vulnerabilities (KEV, Известные эксплуатируемые уязвимости). Это означает, что злоумышленники уже активно используют данную брешь в реальных атаках. Включение в каталог KEV сигнализирует о непосредственной угрозе для организаций, использующих эту платформу для управления корпоративной IT-инфраструктурой.
Детали уязвимости
Уязвимость, зарегистрированная под идентификатором CVE-2024-43468, позволяет неавторизованным удаленным злоумышленникам выполнять произвольные команды на затронутых серверах и в базовых базах данных. Для этого достаточно отправить специально сформированные запросы к уязвимым средам Configuration Manager. Проблема коренится в небезопасной обработке вводимых пользователем данных, что классифицируется как слабость CWE-89 - недостаточная нейтрализация SQL-команд.
Microsoft Configuration Manager, который компании по всему миру используют для управления крупномасштабной IT-инфраструктурой, становится крайне привлекательной целью при компрометации. Более того, для эксплуатации уязвимости не требуется аутентификация, что значительно снижает барьер для злоумышленников. В случае успешной атаки они получают возможность манипулировать содержимым базы данных, извлекать конфиденциальные сведения о конфигурации, изменять системные настройки или продвигаться глубже в корпоративную сеть.
Серьезность этой бреши усугубляется привилегированным положением Configuration Manager в корпоративных средах. Как правило, этот инструмент хранит учетные данные и имеет доступ к тысячам устройств. Следовательно, его компрометация потенциально предоставляет злоумышленникам обширный доступ к сети и контроль над управляемыми конечными точками.
Хотя CISA не подтвердила, используется ли данная уязвимость в кампаниях по распространению программ-вымогателей, её характеристики делают её привлекательной для операций по получению первоначального доступа. Такие операции часто предшествуют развертыванию вредоносного ПО.
Корпорация Microsoft уже выпустила обновления безопасности, устраняющие CVE-2024-43468. Эксперты настоятельно рекомендуют организациям немедленно расставить приоритеты и установить эти патчи для всех установок Configuration Manager. Параллельно командам безопасности следует проанализировать логи на предмет подозрительных SQL-запросов, необычной активности в базах данных или попыток несанкционированного выполнения команд.
В качестве временных мер, пока исправления внедряются, можно снизить риски за счет сегментации сети и ограничения доступа к Configuration Manager только доверенным сетям. Статус активной эксплуатации подчеркивает срочность принятия мер по устранению угрозы. Злоумышленники часто целенаправленно атакуют платформы управления предприятиями, чтобы создать устойчивый плацдарм и перемещаться по сети в боковом направлении.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2024-43468
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43468
