Агентство по кибербезопасности и защите инфраструктуры США (CISA) предписало американским правительственным ведомствам обеспечить защиту своих систем от критической уязвимости в Microsoft Configuration Manager, устраненной в октябре 2024 года и уже используемой в атаках.
Microsoft Configuration Manager (также известный как ConfigMgr и ранее System Center Configuration Manager, или SCCM) — это инструмент ИТ-администрирования для управления большими группами серверов и рабочих станций под управлением Windows.
Эта уязвимость SQL-инъекций, отслеживаемая как CVE-2024-43468 и обнаруженная компанией Synacktiv, специализирующейся на наступательной безопасности, позволяет удаленным злоумышленникам без каких-либо привилегий выполнять произвольные команды с наивысшим уровнем доступа на сервере и/или базой данных Microsoft Configuration Manager.
“Неаутентифицированный злоумышленник может использовать эту уязвимость, отправляя специально сформированные запросы к целевой среде, которые обрабатываются небезопасным образом, позволяя атакующему выполнять команды на сервере и/или базовой базе данных”, — пояснили в Microsoft, когда устранили этот недостаток в октябре 2024 года.
На тот момент Microsoft оценила вероятность эксплуатации как “Низкая”, заявив, что “злоумышленнику, вероятно, будет сложно создать код, требующий специальных знаний и/или сложного расчета времени, и/или дающий разные результаты при нацеливании на уязвимый продукт”.
Однако 26 ноября 2024 года Synacktiv опубликовала код для демонстрации эксплуатации CVE-2024-43468, почти через два месяца после того, как Microsoft выпустила обновления безопасности для устранения этой уязвимости удаленного выполнения кода.
Хотя Microsoft еще не обновила свою консультацию дополнительной информацией, CISA внесла CVE-2024-43468 в список активно эксплуатируемых в реальных атаках и предписала федеральным исполнительным органам гражданской власти (FCEB) устранить уязвимость в своих системах к 5 марта в соответствии с Директивой оперативного управления (BOD) 22-01.
“Подобные уязвимости являются частыми векторами атак для злонамеренных киберсубъектов и представляют значительные риски для федеральных предприятий”, — предупредило американское агентство по кибербезопасности.
“Применяйте меры по устранению уязвимостей согласно инструкциям поставщика, следуйте применимому руководству BOD 22-01 для облачных сервисов или прекратите использование продукта, если меры по устранению недоступны”.
Несмотря на то, что BOD 22-01 применяется только к федеральным ведомствам, CISA призвала всех защитников сетей, в том числе в частном секторе, как можно скорее обезопасить свои устройства от продолжающихся атак с использованием CVE-2024-43468.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
