Preloader
Производитель
Решение
новости
Дистрибуция решений по кибер-безопасности, развитию и оптимизации ИТ-технологий для организаций любого масштаба
Oberig IT держит руку на пульсе ИТ-мира и предлагает самые актуальные новости по кибер-безопасности
22 ноября, 2024

Symantec Threat Landscape Bulletin: Актуальные новости из мира кибербезопаности 15, 18-21 ноября 2024

Подробности

Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 15, 18 — 21 ноября 2024.

Уязвимость в Fortinet VPN позволяет злоумышленникам с низкими привилегиями выполнять код с повышенными привилегиями

Серьезная уязвимость в приложении FortiClient VPN компании Fortinet может позволить пользователю с низкими привилегиями или вредоносному ПО на уязвимой системе Windows получить более высокие привилегии и выполнить произвольный код.
Уязвимость (CVE-2024-47574 – CVSS: 7.8) затрагивает FortiClientWindows версий 7.4.0, 7.2.4 – 7.2.0, 7.0.12 – 7.0.0 и 6.4.10 – 6.4.0.
Нир Чако из Pentera Labs обнаружил уязвимость и сообщил о ней в Fortinet, которая во вторник (12 ноября) выпустила патч для исправления.
По словам Чако, эксплуатация уязвимости включает в себя использование именованных каналов Windows с программным обеспечением FortiClient для установки скрипта, чтобы при следующем использовании VPN пользователем с более высокими привилегиями этот скрипт был запущен с его привилегиями. Это также может позволить злоумышленнику удалить файлы журналов или заставить пользователя подключиться к контролируемому злоумышленником серверу.

Обнаружена серьезная уязвимость в PostgreSQL PL/Perl

Исследователи обнаружили уязвимость в языковом расширении Postgres PL/Perl, которая может позволить пользователю установить произвольные переменные окружения в процессах сеанса PostgreSQL.
Уязвимость (CVE-2024-10979), получившая рейтинг опасности CVSS 8.8, позволяет злоумышленнику модифицировать уязвимое окружение, что в конечном итоге дает возможность выполнить произвольный код без доступа к пользователю операционной системы. Кроме того, злоумышленник может запустить дополнительные запросы для сбора информации о машине и ее содержимом.
Уязвимость затрагивает PostgreSQL версий до 17.1, 16.5, 15.9, 14.14, 13.17 и 12.21. По словам исследователей, пользователи могут снизить риск эксплуатации, обновив PostgreSQL «как минимум до последней минорной версии», а также ограничив разрешенные расширения.

Критическая уязвимость в плагине WordPress подвергла риску захвата 4 миллиона сайтов

Критическая уязвимость в плагине WordPress Really Simple Security (ранее известный как Really Simple SSL) подвергла риску захвата 4 миллиона сайтов, как сообщают исследователи из Wordfence.

Really Simple Security — это плагин безопасности, который предлагает такие функции, как конфигурация SSL, защита при входе в систему, двухфакторная аутентификация и обнаружение уязвимостей в реальном времени.

Критическая уязвимость обхода аутентификации (CVE-2024-10924), которая затрагивает как бесплатную, так и Pro-версию плагина, позволяет удаленным злоумышленникам получить полный административный доступ к используемым сайтам. Уязвимость может быть использована в широких масштабах с помощью автоматизированных скриптов и описывается компанией Wordfence как одна из самых серьезных уязвимостей за всю ее 12-летнюю историю.

Уязвимость вызвана некорректной обработкой аутентификации пользователей в двухфакторных действиях REST API плагина, что позволяет получить несанкционированный доступ к любой учетной записи пользователя, включая администраторов.

Уязвимость затрагивает версии плагина от 9.0.0 и до 9.1.1.1 для бесплатного, Pro и Pro Multisite релизов. Исправления были внесены в версию 9.1.2 плагина, выпущенную 12 ноября для Pro-версии и 14 ноября для бесплатной.

Исследователь нашел способ заставить ChatGPT раскрывать о себе больше, чем ожидалось

Исследователь нашел способ заставить ChatGPT раскрывать больше информации о себе и своей операционной среде, чем ожидалось, что вызывает опасения по поводу безопасности базовых больших языковых моделей (LLM), на которых основаны эти системы.

Изначально попросив ChatGPT выполнить рефакторинг кода, Марко Фигероа обнаружил, что ChatGPT выполняет неожиданные действия и ответы на определенные запросы. Это заставило его заинтересоваться и посмотреть, что еще он сможет найти. Он начал обращать внимание на проявления неожиданного поведения, которые могли бы позволить ему запрашивать у ChatGPT информацию о его операционной среде (контейнерная ОС Linux) и выполнять системные команды. Используя функциональность, доступную любому пользователю, он загрузил файлы Python и заставил ChatGPT выполнять их и перемещать файлы по контейнерной ОС.

С помощью специально разработанных подсказок он также может заставить ChatGPT раскрыть данные и инструкции, используемые в его собственных LLM, что может раскрыть проприетарные материалы или информацию, используемую компаниями для создания собственных специализированных реализаций. Хотя исследователь надеялся получить вознаграждение за баги, его находки были исключены из выплат, поскольку они были классифицированы как «предполагаемые функции», поскольку потенциальный злоумышленник может действовать только в контейнерной среде ИИ, ограничивая тем самым потенциальный ущерб. Исследователь приходит к выводу, что стимулы системы вознаграждения за ошибки OpenAI направлены на обнаружение сценариев взлома контейнеров, и именно здесь «кроется настоящая проблема».

Пользователи Facebook предупреждены о поддельной рекламе Bitwarden, продвигающей вредоносное расширение Chrome

Пользователям Facebook рекомендуется опасаться поддельной рекламы Bitwarden, популярного инструмента управления паролями с возможностью бесплатного использования.

Интересно, что поддельная реклама, похоже, предназначена для тех, кто уже использует Bitwarden, поскольку она предупреждает пользователей о том, что их версия Bitwarden устарела и нуждается в обновлении для «безопасного просмотра». Если пользователь нажимает на рекламу, он попадает на поддельную страницу на домене chromewebstoredownload[.]com.

Страница маскируется под страницу Интернет-магазина Chrome, предлагая установить Bitwarden Password Manager в качестве расширения для браузера Chrome.

Пожалуй, самым верным признаком подделки является подробная инструкция о том, как вручную скачать и извлечь расширение из ZIP-файла, а затем установить его с включенным режимом разработчика. Настоящие одобренные расширения Chrome из Интернет-магазина Chrome, естественно, не требуют выполнения всех этих сложных шагов для установки, но это может привлечь внимание неопытных пользователей.

Если пользователь выполнит все шаги, то на его пути окажется вредоносное веб-расширение, которое может отслеживать активность в браузере, похищать данные, включая куки, а также манипулировать содержимым, отображаемым в браузере.

Apple выпускает срочные обновления для исправления двух уязвимостей нулевого дня, используемых в атаках

Компания Apple выпустила обновления для iOS, iPadOS, macOS, visionOS и веб-браузера Safari для исправления двух активно эксплуатируемых уязвимостей нулевого дня.

Уязвимости включают:

  • CVE-2024-44308 – ошибка в JavaScriptCore, которая может привести к выполнению произвольного кода при обработке вредоносного веб-контента.
  • CVE-2024-44309 – ошибка управления файлами cookie в WebKit, которая может привести к атаке межсайтового скриптинга (XSS) при обработке вредоносного веб-контента.

Apple заявила, что исправила CVE-2024-44308 и CVE-2024-44309 с помощью улучшенных проверок и улучшенного управления состоянием, соответственно.

Хотя Apple признала, что уязвимости «могли активно эксплуатироваться в системах Mac на базе Intel», производитель iDevice не раскрыл никаких дополнительных подробностей.

Пользователям рекомендуется обновить следующие операционные системы, чтобы снизить риск эксплуатации:

  • iOS 18.1.1 и iPadOS 18.1.1
  • iOS 17.7.2 и iPadOS 17.7.2
  • macOS Sequoia 15.1.1
  • visionOS 2.1.1
  • Safari 18.1.1

Oracle предупреждает об активной эксплуатации ошибки раскрытия файлов в Agile PLM

Компания Oracle предупреждает о том, что уязвимость высокой степени серьезности в Agile Product Lifecycle Management (PLM) Framework активно эксплуатируется в атаках.

Уязвимость (CVE-2024-21287 – CVSS: 7.5) может быть удаленно использована без аутентификации и может привести к раскрытию конфиденциальной информации.

«В случае успешной эксплуатации неавторизованный злоумышленник может загрузить с целевой системы файлы, доступные под привилегиями, используемыми PLM-приложением», – заявил Эрик Морис, вице-президент Oracle по обеспечению безопасности.   

В настоящее время нет информации о том, кто использует уязвимость и насколько широко распространены атаки.

Oracle призвала клиентов Agile PLM установить последнюю версию для устранения уязвимости.

Российские преступные группировки нанимают пен-тестеров

Российские преступные группировки разработчиков вымогательского ПО размещают объявления о поиске тестировщиков на проникновение для участия в их партнерских программах с вымогательством и проведении вредоносных операций.

По данным исследователей из Cato Networks, в последнее время на русскоязычных форумах появилось множество объявлений о вакансиях, в которых подробно описываются требования к специалистам по безопасности, например, пен-тестерам. Это последний пример профессионализации российских киберпреступных групп.

Наблюдая за дискуссиями на RAMP (Russian Anonymous Marketplace), исследователи Cato Networks заметили, что злоумышленники ищут тестеров для участия в различных партнерских программах по борьбе с вымогательством, включая Apos, Lynx и Rabbit Hole.

«Ransomware – одна из самых распространенных угроз в сфере кибербезопасности. Она затрагивает всех – и бизнесменов, и потребителей, – и злоумышленники постоянно пытаются найти новые способы сделать свои вымогательские атаки более эффективными», – говорит Этай Маор, главный стратег по безопасности Cato Networks. «В отчете об угрозах Cato CTRL SASE за 3 квартал 2024 года мы отмечаем тенденцию, когда банды, занимающиеся вымогательством, нанимают пен-тестеров. Мы считаем, что это делается для того, чтобы проверить, работает ли их программа-вымогатель для будущих атак».

В пакете needrestart в Ubuntu обнаружены уязвимости десятилетней давности

В пакете «needrestart», установленном по умолчанию в Ubuntu Server (начиная с версии 21.04), обнаружены пять уязвимостей десятилетней давности, которые могут позволить злоумышленникам с локальным доступом получить привилегии root без участия пользователя.

Пакет needrestart широко используется в Linux, в том числе в Ubuntu Server, для определения служб, требующих перезапуска после обновления пакетов.

Краткое описание пяти уязвимостей, связанных с локальным повышением привилегий (LPE), приведено ниже:

  • CVE-2024-48990: Needrestart запускает интерпретатор Python с помощью переменной окружения PYTHONPATH, извлекаемой из запущенных процессов. Если локальный злоумышленник контролирует эту переменную, он может выполнить произвольный код от имени root во время инициализации Python, подложив вредоносную библиотеку общего доступа.
  • CVE-2024-48992: Интерпретатор Ruby, используемый в needrestart, уязвим при обработке переменной окружения RUBYLIB, контролируемой злоумышленником. Это позволяет локальным злоумышленникам выполнить произвольный код Ruby от имени root, внедрив в процесс вредоносные библиотеки.
  • CVE-2024-48991: уязвимость «состояния гонки» в needrestart позволяет локальному злоумышленнику заменить проверяемый двоичный файл интерпретатора Python на вредоносный исполняемый файл. Тщательно рассчитав время замены, злоумышленники могут обманом заставить needrestart запустить их код от имени root.
  • CVE-2024-10224: Модуль Perl ScanDeps, используемый в needrestart, некорректно обрабатывает имена файлов, предоставленные злоумышленником. Злоумышленник может создать имена файлов, напоминающие команды оболочки (например, command|), чтобы выполнить произвольные команды от имени root при открытии файла.
  • CVE-2024-11003: Использование Needrestart модуля ScanDeps на Perl подвергает его уязвимости в самом ScanDeps, где небезопасное использование функций eval() может привести к выполнению произвольного кода при обработке управляемого злоумышленником ввода.

Уязвимости были обнаружены в версии needrestart 0.8, выпущенной в апреле 2014 года, и устранены 19 ноября с выходом версии 3.8.

Группировка BianLian, предположительно базирующаяся в России, изменила свою тактику, сместив акцент с атак с использованием вымогательского ПО на шантаж и вымогательство

По данным Федерального бюро расследований (ФБР) и Австралийского центра кибербезопасности (ACSC), группировка разработчиков вымогательского ПО BianLian, скорее всего, базируется в России и имеет множество филиалов в этой стране.

В среду (20 ноября) ФБР и ACSC опубликовали обновленную информацию о BianLian, предупредив, что группа также сменила тактику и вместо полного шифрования систем перешла к вымогательству у компаний путем кражи данных.

Агентства отмечают, что, как и многие другие группы вымогателей, BianLian использовала свое наименование, «чтобы исказить местоположение и национальность, выбирая имена на иностранных языках, почти наверняка для того, чтобы усложнить попытки атрибуции».

Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.

Свяжитесь с нами
Обратная связь со спикером