Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 22-23 августа 2024.
Миллионы сайтов могут быть уязвимы из-за критической ошибки в плагине LiteSpeed Cache WordPress
Пользователям популярного плагина LiteSpeed Cache для WordPress настоятельно рекомендуется как можно скорее обновиться до последней версии (6.4), чтобы избежать взлома своих сайтов. Обновление исправляет критическую уязвимость CVE-2024-28000 (CVSS: 9.8), связанную с повышением привилегий, которая может позволить не прошедшему аутентификацию посетителю сайта повысить привилегии до уровня администратора и получить контроль над сайтом.
Ошибка возникает из-за небезопасного алгоритма в функции симуляции, используемой для генерации случайных чисел для значения litespeed_hash в файле cookie. Из-за своего дизайна она создает ситуацию, когда для хэша litespeed_hash можно сгенерировать только миллион возможных хэшей. Злоумышленник может использовать эту функцию с помощью брутфорса, отправляя POST-запросы к конечной точке API /wp/v2/users с хэшем litespeed_hash и ID пользователя для попытки аутентификации. Чтобы получить доступ на уровне администратора, злоумышленник должен использовать ID администратора, но во многих инсталляциях он просто равен «1».
Получив доступ на уровне администратора, злоумышленник может выполнять действия, как будто он является законным администратором сайта, включая установку других плагинов, выполнение кода, добавление, изменение или удаление страниц и так далее.
К счастью, пользователи Windows вздохнут с облегчением, так как эта уязвимость, похоже, не работает на системах, работающих на Windows. Пользователи WordPress, использующие LiteSpeed Cache (а их более 5 миллионов), должны обновить свои системы, чтобы избежать атак.
Критическая уязвимость в Copilot Studio, связанная с утечкой данных, была устранена компанией Microsoft
Microsoft устранила критическую уязвимость раскрытия информации в своем продукте Copilot Studio, отслеживаемую как CVE-2024-38206 (CVSS 8.5). Уязвимость может быть использована злоумышленником для получения доступа к потенциально конфиденциальной информации. Ошибка была обнаружена исследователями, которые выбрали в качестве цели доступ к службе метаданных экземпляра (IMDS) с помощью HttpRequestAction, используя специально созданные HTTP-запросы. Эти запросы позволяли злоумышленникам обойти защиту от серверной подделки запросов (SSRF) и получить доступ к другим ресурсам, к которым обычно доступ был бы запрещен.
Использование IMDS в качестве цели позволило исследователям получить доступ к такой информации, как метаданные из сообщений чата Copilot. Более того, исследователи также получили доступ к некоторым токенам доступа через этот маршрут. Эти токены впоследствии можно использовать для доступа к другим ресурсам Azure, включая Cosmos DB. Хотя исследователи заявили, что проводили свое исследование с использованием нескольких тенантов, они не обнаружили никаких очевидных путей для перекрестного влияния на них, но предположили, что в средах с общей инфраструктурой, где могут быть скомпрометированы внутренние службы, существует высокий риск потенциального воздействия на нескольких пользователей.
Пользователям Copilot Studio не нужно предпринимать никаких действий, поскольку проблема уже решена Microsoft.
Google исправляет еще одну активно эксплуатируемую уязвимость нулевого дня в Chrome
В среду (21 августа) компания Google выпустила экстренное обновление безопасности Chrome, устраняющее активно эксплуатируемую уязвимость нулевого дня в популярном веб-браузере.
Высокопасная уязвимость (CVE-2024-7971) связана с ошибкой в JavaScript-движке V8 браузера Chrome.
«Google известно, что в реальной среде существует эксплойт для CVE-2024-7971», – говорится в сообщении компании. Однако, как обычно, Google не сообщил никаких подробностей об использовании уязвимости в атаках. «Доступ к информации об ошибке и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправление», – говорится в сообщении Google.
Последняя уязвимость стала девятой активно эксплуатируемой ошибкой «нулевого дня» в Chrome, исправленной Google в 2024 году.
SolarWinds исправляет ошибку жесткого ввода учетных данных в Web Help Desk
Компания SolarWinds выпустила исправление для критической уязвимости в своем программном обеспечении Web Help Desk (WHD), которая может позволить удаленному злоумышленнику, не прошедшему аутентификацию, получить доступ к уязвимым инстансам.
Уязвимость (CVE-2024-28987), получившая оценку CVSS 9.1, связана с жестко закодированными учетными данными в WHD. По словам SolarWinds, ошибка может позволить злоумышленникам «получить доступ к внутренним функциям и модифицировать данные».
Пользователям рекомендуется обновить WHD до версии 12.8.3 Hotfix 2; однако для применения исправления требуется WHD 12.8.3.1813 или 12.8.3 HF1.
Обновление вышло всего через несколько дней после того, как SolarWinds устранила другую критическую уязвимость WHD, которая могла быть использована для выполнения произвольного кода (CVE-2024-28986). Эта ошибка была впоследствии использована в атаках.
Злоумышленники охотятся за данными платежных карт NFC с помощью новой техники Android NFC
Злоумышленники в Европе используют новую схему для кражи данных с устройств ближней связи (NFC), таких как платежные карты, которые они затем используют для кражи средств у жертв. Они используют исследовательский инструмент под названием NFCGate в сложной атаке, которая начинается с рассылки жертвам SMS-сообщений. В SMS содержится ссылка, ведущая на прогрессивное веб-приложение, которое обманом заставляет жертву ввести свои банковские данные, которые затем попадают к злоумышленникам.
После сбора первичной информации о жертве злоумышленники совершают голосовой звонок, представляясь сотрудником банка, и просят жертву выполнить действия по смене PIN-кода и верификации платежной карты с помощью приложения, которое они просят загрузить жертву.
Это приложение — вредоносная программа, содержащая NFCGate, которая требует от жертвы предоставить дополнительную личную информацию, а также PIN-код и банковский идентификатор. Затем оно просит жертву включить NFC и приложить свою NFC-платежную карту к задней части устройства, чтобы карта могла быть считана. После этого собранные данные отправляются злоумышленнику, у которого теперь есть вся необходимая информация для выполнения снятия средств или платежей с использованием NFC данных, украденных у жертвы.
На данный момент полиция Чехии арестовала одного человека, замеченного при снятии крупных сумм в банкомате в Праге. На допросе после ареста полиция выяснила, что подозреваемый совершал мошенничество в отношении нескольких жертв, используя этот новый метод.
Пользователям Android следует остерегаться установки приложений из неофициальных источников и с подозрением относиться к нежелательным контактам с просьбой предоставить личную информацию и запросам на действия с картами NFC.
Защита
Последние обновления системы защиты можно найти в бюллетене Symantec Protection Bulletin.
Вымогательское ПО Qilin теперь может похищать учетные данные браузера Chrome
Группа разработчиков вымогательского ПО Qilin начала использовать новую технику в своих атаках, которая включает компрометацию контроллера домена организации. Злоумышленники используют объекты групповой политики (GPO), чтобы на каждом компьютере, входящем в сеть, запускался вредоносный пакетный файл (logon.bat), который в свою очередь запускает PowerShell-скрипт под названием IPScanner.ps1. Этот скрипт предназначен для кражи учетных данных, сохраненных в браузере Chrome. Украденные данные временно хранятся в общей папке SYSVOL домена в файле базы данных SQLite под названием LD и текстовом файле temp.log. После эксфильтрации данных на удаленный сервер эти файлы, а также журналы, удаляются.
После сбора данных злоумышленники переходят к фазе шифрования для вымогательства. В каждую директорию, где находятся зашифрованные файлы, помещаются записки с требованием выкупа. Для того чтобы вредоносное ПО сохранялось в системе, создается отдельный GPO, который запускает пакетный файл (run.bat), периодически загружающий программу-вымогатель.
Организации могут снизить риски от данной угрозы, предотвратив сохранение учетных данных в браузерах и используя многофакторную аутентификацию (MFA), добавляя дополнительную линию защиты, вместо того чтобы полагаться исключительно на пароли, которые часто компрометируются.
Хакеры, связанные с Китаем, использовали уязвимость нулевого дня для развертывания вредоносного ПО на коммутаторах Cisco Nexus
Китайская группа продвинутых злоумышленников, известная как Velvet Ant, использовала недавно устраненную уязвимость в коммутаторах Cisco уязвимость нулевого дня, чтобы захватить контроль над устройствами и избежать обнаружения.
Компания Sygnia, специализирующаяся на кибербезопасности, заметила эту активность в начале года, когда злоумышленники использовали уязвимость (CVE-2024-20399) для доставки вредоносного ПО и получения контроля над взломанной системой, что способствовало как утечке данных, так и постоянному доступу.
«Эксплойт нулевого дня позволяет атакующему, обладающему действительными учетными данными администратора для консоли управления коммутатором, выйти из интерфейса командной строки NX-OS и выполнять произвольные команды на базовой операционной системе Linux», — объяснили исследователи.
Цепочка атаки включала компрометацию коммутаторов Cisco с использованием уязвимости CVE-2024-20399, проведение разведки, переход к другим сетевым устройствам и запуск бэкдора, названного VELVETSHELL. Это вредоносное ПО представляет собой комбинацию двух инструментов с открытым исходным кодом: UNIX-бэкдора под названием Tiny SHell и прокси-утилиты под названием 3proxy. VELVETSHELL имеет возможность выполнять произвольные команды, загружать/выгружать файлы и создавать туннели для проксирования сетевого трафика.
