Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 25, 29 — 31 октября 2024.
Cisco устраняет уязвимость ASA и FTD, находящуюся под активной атакой
Cisco выпустила патч для устранения уязвимости типа brute-force отказа в обслуживании (DoS) в своем программном обеспечении Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD), которая активно эксплуатируется в реальных условиях.
Уязвимость (CVE-2024-20481) затрагивает все версии ASA и FTD вплоть до последних версий ПО. «Уязвимость в службе удаленного доступа VPN (RAVPN) программного обеспечения Cisco Adaptive Security Appliance (ASA) и программного обеспечения Cisco Firepower Threat Defense (FTD) может позволить неаутентифицированному удаленному злоумышленнику вызвать отказ в обслуживании (DoS) службы RAVPN», Cisco объяснила в своем консультативном заключении.
Злоумышленник может воспользоваться уязвимостью, отправив большое количество запросов на аутентификацию VPN на уязвимое устройство. «Успешный эксплойт может позволить злоумышленнику исчерпать ресурсы, что приведет к отказу в обслуживании (DoS) службы RAVPN на затронутом устройстве», — добавили в Cisco. Технический гигант также предупредил, что после атаки может потребоваться перезагрузка устройства для восстановления службы RAVPN.
Cisco отметила, что наблюдаемые атаки связаны с крупномасштабной brute-force кампанией, нацеленной на несколько служб VPN и SSH, о которой компания сообщала в апреле 2024 года.
Уязвимость AWS Cloud Development Kit flaw может привести к перехвату учетной записи
Уязвимость Amazon Web Services Cloud Development Kit (CDK) могли позволить злоумышленнику захватить и взять под контроль целевой аккаунт AWS.
Когда приложения развертываются с помощью CDK, он автоматически создает промежуточные контейнеры для помощи в процессе развертывания приложений. К сожалению, по умолчанию он использует предсказуемые имена контейнеров, которые следуют соглашению «cdk-{Qualifier}-{Description}-{Account-ID}-{Region}» с квалификатором по умолчанию «hnb659fds».
Злоумышленник, знающий Account-ID, может заранее создать бакеты с именами, которые, вероятно, будут использоваться в будущем. Это может привести к отказу в обслуживании, когда CDK не сможет создать бакет, необходимый для развертывания, и вызовет ошибку.
В случаях, когда целевой пользователь CDK ранее запустил процесс начальной загрузки, который создает все необходимые ресурсы, требуемые для развертывания приложения, а затем удалил контейнер S3, чтобы освободить ресурсы, злоумышленник может нацелиться на эту ситуацию, воссоздав удаленный контейнер и затем добавив в него свой вредоносный код. Если в какой-то момент в будущем пользователь попытается снова развернуть приложение, будет использован контролируемый злоумышленником контейнер и любой вредоносный код в нем будет развернут и выполнен с доступом на уровне администратора.
Считается, что около 1% пользователей AWS CDK могут быть затронуты этой уязвимостью, о которой Amazon сообщил в конце июня 2024 года и которая была исправлена в середине июля 2024 года с выпуском CDK v2.149.0. Пользователям AWS CDK рекомендуется обновиться до новой версии и повторно запустить команду начальной загрузки или применить политику IAM для FilePublishingRole.
Группа злоумышленников Fritillary нацелена на организации с использованием вложений RDP (удалённого рабочего стола)
Российская кибершпионская группа Fritillary (также известная как Cozy Bear, APT29, Midnight Blizzard) недавно потерпела небольшую неудачу после чего домены, используемые группировкой для проведения атак, стали объектом операции по удалению, проводимой Amazon и украинским CERT-UA.
В атаках использовалось большое количество доменов, и некоторые из них были названы таким образом, чтобы имитировать домены служб AWS или правительственных сайтов, чтобы они выглядели легитимными. В этих атаках пользователям отправлялись электронные письма с файлом конфигурации RDP (протокол удаленного рабочего стола) (.rdp) в качестве вложения. Если пользователь открывает вложение, то устанавливается RDP-подключение к удаленному сайту, контролируемому злоумышленником, что позволяет ему получить удаленный доступ к компьютеру.
Несмотря на неудачу, Fritillary вряд ли остановится и, скорее всего, скоро восстановится. В то же время, организации предупреждены о необходимости принятия мер предосторожности в отношении RDP. К ним относятся блокировка файлов .rdp с помощью шлюза электронной почты, политики для блокировки выполнения файлов RDP и брандмауэры для ограничения подключений RDP.
Росcия атакует украинских рекрутов вредоносным ПО
Подозреваемая российская шпионская кампания нацелена на потенциальных новобранцев украинской армии с помощью вредоносного ПО через Telegram-аккаунт Civil Defense.
Согласно новому исследованию группы анализа угроз Google и принадлежащей Google компании Mandiant, группа, которую Google отслеживает как UNC5812, управляет каналом Telegram под названием civildefense_com_ua, который был создан 10 сентября 2024 года. Злоумышленники также поддерживают веб-сайт civildefense.com[.]ua, который был зарегистрирован 24 апреля 2024 года.
«Civil Defense» утверждает, что является поставщиком бесплатного программного обеспечения, разработанного для того, чтобы потенциальные призывники могли просматривать и делиться краудсорсинговыми местоположениями украинских военных вербовщиков», — говорится в отчете Google. Если программы установлены, они запускают вредоносное ПО, специфичное для операционной системы, вместе с приложением-приманкой для навигации, получившим название SUNSPINNER.
Пользователи Windows подвергаются атаке с помощью недавно обнаруженного вредоносного загрузчика на основе PHP под названием Pronsis, который используется для распространения SUNSPINNER, и готового вредоносного ПО для кражи, известного как PureStealer. Тем временем пользователи Android получают вредоносный файл APK (com.http.masters), который встраивает троян удаленного доступа под названием CraxsRAT.
По словам исследователей, канал и веб-сайт «Civil Defense» в Telegram продвигались другими легитимными украиноязычными каналами в Telegram.
Новая техника атаки возвращает исправленные системы Windows в уязвимое состояние
Новая техника атаки может обойти механизм проверки подписи драйверов (Driver Signature Enforcement, DSE) от Microsoft на полностью обновленных системах Windows, что позволяет осуществлять атаки, направленные на понижение версии операционной системы (OS downgrade).
Атака включает в себя технику понижения версии ОС Windows, которую исследователь безопасности SafeBreach Алон Левиев продемонстрировал на Black Hat USA 2024 в августе, и для которой он разработал эксплойт-инструмент под названием Windows Downdate. Левиев показал, как злоумышленник с доступом на уровне администратора может вмешаться в процесс обновления Windows и откатить полностью обновлённые компоненты операционной системы.
Эта технология позволяет злоумышленнику устанавливать специальные руткиты, которые могут нейтрализовать средства управления безопасностью, скрывать вредоносные процессы и сетевую активность, сохранять устойчивость и скрытность и многое другое.
После демонстрации Левиева Microsoft исправила две уязвимости (CVE-2024-21302 и CVE-2024-38202), которую исследователь использовал как часть цепочки атак. Однако Microsoft пока не рассмотрела возможность злоумышленника с правами администратора злоупотреблять самим процессом обновления Windows. Представитель Microsoft заявил, что компания «активно разрабатывает меры для защиты от этих рисков».
Злоумышленники, использующие программы-вымогатели, атакуют уязвимые установки CyberPanel
Атакующие, распространяющие программу-вымогатель PSAUX, нацеливаются на веб-серверы, на которых установлены уязвимые версии популярного программного обеспечения для управления сайтами CyberPanel.
Во время исследования CyberPanel исследователь обнаружил несколько уязвимостей, которые вместе можно легко использовать для захвата системы и выполнения произвольного кода на уязвимой системе. Исследователь отметил несколько конкретных уязвимостей в CyberPanel версии 2.3.6:
Уязвимости в процессе аутентификации позволяют неавторизованным пользователям получить доступ к определённым путям или страницам.
Недостаточная очистка пользовательского ввода на незащищённых страницах, что может позволить злоумышленнику внедрять системные команды.
Недостаточные фильтры безопасности, которые легко обойти с помощью альтернативных HTTP-методов, таких как команды OPTIONS или PUT, для доступа к серверу.
Эти критические проблемы отслеживаются как CVE-2024-51567 и CVE-2024-51568 (оба имеют рейтинг CVSS 10,0) создают ситуацию, когда система становится крайне уязвимой для атак удаленного злоумышленника, позволяющих выполнить код.
Подробности проблем были предоставлены разработчикам CyberPanel 23 октября вместе с кодом для исправления в Github, официальный релиз для исправления уязвимостей еще не выпущен. Несколько дней спустя исследователь опубликовал полную информацию о проблемах в блоге. Однако читатели в целом критически отнеслись к тому, как исследователь справился с ситуацией, которая поставила под угрозу тысячи пользователей CyberPanel.
Согласно отчетам, почти 22 000 серверов, на которых работает CyberPanel, были затронуты злоумышленниками, использующими эти уязвимости для установки вымогателя PSAUX. Большинство затронутых серверов, как сообщается, теперь отключены из-за атаки вымогателя.
Гражданин России обвинен в разработке вредоносного ПО Redline, предназначенного для кражи информации
США предъявили обвинение гражданину России за его предполагаемую роль в разработке вредоносного ПО Redline, крадущего информацию.
Согласно рассекреченному обвинительному заключению, Максим Рудометов из Западного округа Техаса является одним из разработчиков и администраторов Redline, распространенного инфостилера, используемого киберпреступниками. Рудометов регулярно получал доступ к Redline и управлял им, а также был связан с различными криптовалютными счетами, используемыми для получения и отмывания платежей за вредоносное ПО. Рудометов обвиняется в мошенничестве с устройствами доступа, сговоре с целью совершения компьютерного взлома и отмывании денег.
Раскрытые обвинения и дополнительное задержание двух неназванных лиц полицией Нидерландов являются последними результатами операции Magnus — международной правоохранительной операции, направленной на подавление деятельности вредоносных программ Redline и Meta, предназначенных для кражи информации.
Google Chrome исправляет две критические ошибки
Google выпустила обновление для веб-браузера Chrome, чтобы устранить две критические уязвимости.
Обновление переводит стабильный канал на версию 130.0.6723.91/.92 для Windows и Mac и 130.0.6723.91 для Linux.
Одна из уязвимостей (CVE-2024-10487) может быть использована через метод drive-by загрузки, при котором устройство жертвы может быть скомпрометировано просто при посещении вредоносного сайта или рекламы. Уязвимость обнаружена в Dawn, кроссплатформенной реализации стандарта WebGPU с открытым исходным кодом, и позволяет злоумышленникам записывать данные за пределами выделенной памяти, что потенциально может привести к выполнению кода или сбоям системы.
Вторая уязвимость (CVE-2024-10488) cвязана с компонентом WebRTC (Web Real-Time Communication) Chrome и также может привести к выполнению произвольного кода или сбою системы.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
