Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 14 марта 2025.
GitLab выпускает исправления для критических ошибок обхода аутентификации
Компания GitLab выпустила обновления для версий Community Edition (CE) и Enterprise Edition (EE), устраняющие девять уязвимостей, включая две критические ошибки обхода аутентификации в библиотеке ruby-saml.
Две критические уязвимости в библиотеке ruby-saml с открытым исходным кодом (CVE-2025-25291, CVE-2025-25292) получили оценку серьезности CVSS 8.8. Эксплуатация этих уязвимостей позволяет злоумышленникам обойти защиту аутентификации Security Assertion Markup Language (SAML). Уязвимости связаны с тем, что REXML и Nokogiri по-разному анализируют XML, в результате чего оба парсера генерируют совершенно разные структуры документов из одного и того же входного XML. Это позволяет злоумышленнику выполнить атаку Signature Wrapping, что приводит к обходу аутентификации. Уязвимости были устранены в ruby-saml версий 1.12.4 и 1.18.0.
Еще одна уязвимость, недавно исправленная GitLab, – проблема удаленного выполнения кода, отслеживаемая как CVE-2025-27407 (CVSS score: 9.0). Проблема может позволить злоумышленнику, контролируемому аутентифицированным пользователем, использовать функцию Direct Transfer, которая по умолчанию отключена, для удаленного выполнения кода.
Остальные уязвимости относятся к уязвимостям низкой и средней степени тяжести, связанным с отказом в обслуживании (DoS), раскрытием учетных данных и внедрением кода оболочки; все они могут быть использованы с повышенными привилегиями.
Все уязвимости были устранены в версиях GitLab CE/EE 17.7.7, 17.8.5 и 17.9.2, в то время как все версии, предшествующие этим, уязвимы.
Фишинговая кампания выдает себя за Booking.com для доставки похитителей информации и RAT
Продолжающаяся фишинговая кампания, выдающая себя за Booking.com, использует атаки социальной инженерии ClickFix для заражения работников гостиничного бизнеса инфостиллерами и троянами удаленного доступа (RAT).
Начиная с декабря 2024 года, кампания нацелена на компании, использующие Booking.com для бронирования. Цель кампании – взломать учетные записи сотрудников на платформе Booking.com, похитить платежные реквизиты и личную информацию клиентов, а затем использовать ее для дальнейших атак на гостей.
Согласно отчету Microsoft, злоумышленники используют технику под названием ClickFix, в которой хакеры пытаются «воспользоваться склонностью человека к решению проблем, отображая поддельные сообщения об ошибках или подсказки, которые инструктируют целевых пользователей исправить проблемы путем копирования, вставки и запуска команд, что в конечном итоге приводит к загрузке вредоносного ПО».
Злоумышленники рассылают письма, выдавая себя за гостей, желающих оставить негативный отзыв о Booking.com, или за потенциальных клиентов с запросами о жилье и т. д.
Письма содержат либо PDF-вложение со ссылкой, либо встроенную кнопку, обе из которых ведут жертву на фальшивую страницу CAPTCHA. При решении вредоносной CAPTCHA в буфер обмена Windows копируется скрытая команда mshta.exe. Цели предлагается выполнить эту проверку, открыв команду Windows Run, вставив содержимое буфера обмена в поле Run и выполнив ее.
При выполнении команды загружается и устанавливается широкий спектр RAT и вредоносных программ, похищающих информацию, включая XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot и NetSupport RAT.
Защита
Последние обновления защиты можно найти в бюллетене Symantec Protection Bulletin.
Новая программа-вымогатель SuperBlack, вероятно, является производной от LockBit
Новая программа-вымогатель под названием SuperBlack была замечена в январе 2025 года. По слухам, она используется группой под названием Mora_001 в атаках, первоначальный доступ к которым был отслежен до уязвимых устройств Fortinet. Утверждается, что эти устройства были взломаны злоумышленниками, использующими уязвимости CVE-2024-55591 (CVSS score: 9.8) и CVE-2025-24472 (CVSS score: 8.1) для получения доступа к устройству и создания новых учетных записей администратора с одним из следующих имен: forticloud-tech, fortigate-firewall и adnimistrator.
Получив доступ, злоумышленники начинают проводить разведку взломанной сети, определяя способы перемещения внутри организации. Для кражи информации они используют специальную вредоносную программу, а для заметания следов – программу-чистильщик под названием WipeBlack (ранее использовавшуюся в других программах-вымогателях, связанных с LockBit).
Для выполнения элемента шифрования в атаке используется шифровальщик SuperBlack ransomware. Этот шифровальщик, как утверждается, основан на ранее слитом билдере LockBit 3.0, что приводит к созданию похожих двоичных файлов. Среди других схожих характеристик – использование похожей записки с выкупом и идентификатором чата TOX, который был связан с прошлой деятельностью LockBit. Кроме того, многие IP-адреса, используемые в атаках SuperBlack, в прошлом также использовались для атак LockBit. Все указывает на то, что это еще один злоумышленник-подражатель, что является неприятным побочным эффектом утечки информации о LockBit, облегчающей группам участие в распространении вымогательского ПО.
По данным исследователей, тысячи межсетевых экранов FortiGate выходят в Интернет, причем наибольшее их количество находится в США, Индии и Бразилии. Администраторам лучше всего позаботиться об исправлении этих систем и принять меры по снижению риска, чтобы избежать взлома.
Защита
Последние обновления защиты можно найти в бюллетене Symantec Protection Bulletin.
Cisco исправляет 10 уязвимостей в IOS XR
В среду (12 марта) компания Cisco выпустила обновления безопасности для устранения 10 уязвимостей в своей операционной системе IOS XR, в том числе пяти, которые могут быть использованы для создания условий отказа в обслуживании (DoS).
Наиболее заметными DoS-уязвимостями являются CVE-2025-20142 (CVSS score: 8.6) и CVE-2025-20146 (CVSS score: 8.6), которые представляют собой проблемы высокой степени серьезности, влияющие на функцию списка контроля доступа (ACL) IPv4, политику качества обслуживания (QoS) и функцию многоадресной рассылки на уровне 3 маршрутизаторов ASR серии 9000, ASR 9902 и ASR 9903.
Некорректная обработка деформированных пакетов IPv4 на устройствах с примененными политиками ACL или QoS может позволить злоумышленникам отправлять специально созданные пакеты IPv4 и вызывать ошибки сетевого процессора, исключения или перезагрузки линейных плат, что приводит к DoS.
Остальные DoS-уязвимости включают ошибки высокой степени серьезности в функции Internet Key Exchange version 2 (IKEv2) (CVE-2025-20209) и в обработке определенных пакетов (CVE-2025-20141) в IOS XR, а также проблему средней степени серьезности в реализации конфедерации для BGP в IOS XR, которую можно эксплуатировать удаленно, без аутентификации.
Cisco также устранила серьезную уязвимость в CLI IOS XR (CVE-2025-20138), которая может позволить злоумышленнику выполнять произвольные команды от имени root, и две серьезные уязвимости в IOS XR, которые могут позволить злоумышленнику с привилегиями root-системы обойти функцию Secure Boot (CVE-2025-20143) или проверку подписи образа (CVE-2025-20177) и загрузить непроверенное ПО.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
