Microsoft виявила критичну помилку RCE у Perforce Helix Core Server
2 хв.

Microsoft виявила критичну помилку RCE у Perforce Helix Core Server

author avatar ProIT NEWS

У Perforce Helix Core Server, платформі керування вихідним кодом, яка широко використовується в ігровому, урядовому, військовому та технологічному секторах, виявлено чотири вразливості, одна з яких оцінена як критична. Про це повідомляє Bleeping Computer.

Аналітики компанії виявили недоліки під час перевірки безпеки продукту, який використовують студії розробки ігор компанії, і відповідально повідомили про них Perforce наприкінці серпня 2023 року.

Хоча Microsoft заявляє, що не спостерігала жодних спроб використання виявлених уразливостей in the wild, користувачам продукту рекомендується оновити до версії 2023.1/2513900, випущеної 7 листопада цього року, щоб зменшити ризик.

Вразливості Perforce Helix Core

Чотири вади, виявлені Microsoft, в основному пов’язані з проблемами відмови в обслуговуванні (DoS), причому найсерйозніша допускає довільне віддалене виконання коду як LocalSystem неавтентифікованими зловмисниками.

Нижче наведено вразливі місця:

  1. CVE-2023-5759 (оцінка CVSS 7,5): неавтентифікація (DoS) через зловживання заголовком RPC.
  2. CVE-2023-45849 (оцінка CVSS 9,8): неавтентифіковане віддалене виконання коду як LocalSystem.
  3. CVE-2023-35767 (оцінка CVSS 7,5): неавтентифікований DoS за допомогою віддаленої команди.
  4. CVE-2023-45319 (оцінка CVSS 7,5): неавтентифікований DoS за допомогою віддаленої команди.

Найнебезпечніший недолік, CVE-2023-45849, дає змогу неавтентифікованим зловмисникам виконувати код із LocalSystem, облікового запису ОС Windows із високими привілеями, зарезервованого для системних функцій. Цей рівень облікового запису може отримувати доступ до локальних ресурсів і системних файлів, змінювати параметри реєстру тощо.

Вразливість виникає через неправильну обробку сервером команди RPC user-bgtask. У конфігурації за замовчуванням Perforce Server дає змогу неавтентифікованим зловмисникам віддалено виконувати довільні команди, включаючи сценарії PowerShell, як LocalSystem.

Використовуючи CVE-2023-45849, зловмисники можуть установлювати бекдори, отримувати доступ до конфіденційної інформації, створювати або ж змінювати параметри системи та потенційно отримати повний контроль над системою, на якій працює вразлива версія Perforce Server.

Ланцюжок викликів функцій, що веде до виконання команди
Ланцюжок викликів функцій, що веде до виконання команд. Джерело: Microsoft

Решта вразливостей є менш серйозними й можуть дозволити потенційні атаки на відмову в обслуговуванні, але все одно можуть спричинити збої у роботі.

Рекомендації щодо захисту

Крім завантаження останньої версії Helix Core із порталу завантажень постачальника, Microsoft пропонує вжити таких кроків:

  • Регулярно оновлюйте програмне забезпечення сторонніх розробників.
  • Обмежте доступ за допомогою дозволеного списку VPN або IP.
  • Використовуйте сертифікати TLS із проксі для підтвердження користувача.
  • Зареєструйте всі доступи до сервера Perforce.
  • Налаштуйте сповіщення про збої для ІТ-команд і відділів безпеки.
  • Використовуйте сегментацію мережі, щоб утримувати порушення.

Також радимо дотримуватися порад, наданих у цьому офіційному посібнику із безпеки.

Раніше ми писали, що відділ цифрових злочинів корпорації Microsoft конфіскував кілька доменів, які використовувало в’єтнамське угруповання кіберзлочинців (Storm-1152). Воно зареєструвало понад 750 мільйонів шахрайських облікових записів і заробило мільйони доларів, продаючи їх онлайн іншим кіберзлочинцям.

Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!

Приєднатися до company logo
Продовжуючи, ти погоджуєшся з умовами Публічної оферти та Політикою конфіденційності.