Сегодня в ТОП-5 — отчет о киберугрозах по итогам 2023 года, критическая RCE-уязвимость в продуктах Cisco, исправление уязвимости в ПО Jenkins, технический анализ ВПО CherryLoader и уязвимость обхода аутентификации в ПО в GoAnywhere MFT. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Максим Захаров.
Опубликован отчет о киберугрозах по итогам 2023 года
Эксперты центра информационной безопасности компании «Инфосистемы Джет» подготовили аналитический отчет, посвященный анализу киберугроз, зафиксированных в течение 2023 года. Согласно проведенному исследованию, отмечается общее увеличение числа кибератак на 11% по сравнению с предыдущим годом. Значительная часть инцидентов связана с фишинговыми атаками и веб-сайтами с вредоносным контентом. Согласно отчету, у 72% компаний были найдены критические уязвимости на периметре, что может послужить точкой входа злоумышленника в инфраструктуру компании. Кроме того, по данным экспертов, причиной каждого пятого значимого инцидента, по которому проводилось расследование, стал взлом ИТ-подрядчика.
Критическая RCE-уязвимость в продуктах Cisco
Компания Cisco опубликовала бюллетень по безопасности, в котором предупредила о критической уязвимости CVE-2024-20253 (CVSS: 9.9). Данная уязвимость позволяет неаутентифицированному злоумышленнику выполнить произвольный код на уязвимом устройстве. Затронутым оказался ряд продуктов компании, связанных с решениями для коммуникаций и контакт-центров. Для исправления уязвимости Cisco выпустила обновления программного обеспечения, а также рекомендации по настройкам списков контроля доступа (ACL) в качестве временного решения.
Исправлена уязвимость в ПО Jenkins
Специалисты по разработке ПО Jenkins сообщили об исправлении ошибки, связанной с особенностью библиотеки args4j, которая используется для обработки команд. Проблема, получившая идентификатор CVE-2024-23897, была описана как уязвимость чтения произвольного файла через встроенный интерфейс командной строки (CLI). Разработчики отметили, что использование уязвимости позволяет читать в том числе и двоичные файлы, содержащие криптографические ключи, используемые для различных функций Jenkins. Впоследствии полученные ключи могут использоваться злоумышленниками для проведения RCE-атак. В качестве временного решения рекомендуется отключить доступ к CLI до установки последних обновлений.
Технический анализ ВПО CherryLoader
Аналитики из Arctic Wolf обнаружили новый вредоносный загрузчик, получивший название CherryLoader. ВПО содержит модульные функции, которые позволяют злоумышленнику использовать различные эксплойты без перекомпиляции исходного кода. Цепочка атаки включает распаковку ВПО из архива с последующим повышением привилегий и закреплением в системе. Отмечается, что CherryLoader, помимо прочего, способен отключать функции Microsoft Defender и включать службу удаленного рабочего стола. Для защиты от подобных угроз рекомендуется устанавливать сторонние средства антивирусной защиты и отслеживать нелегитимные запуски служб.
Уязвимость обхода аутентификации в ПО в GoAnywhere MFT
Исследователи из Rapid7 рассказали об уязвимости CVE-2024-0204 (CVSS: 9.8) в ПО для передачи файлов GoAnywhere MFT. Проблема связана с обходом аутентификации и позволяет злоумышленнику создать нового пользователя с правами администратора. Это позволит злоумышленнику получить доступ к конфиденциальным данным, внедрить вредоносное ПО и проводить дальнейшие атаки внутри сети. В качестве исправления рекомендуется обновиться до версии 7.4.1 или выше. Устранить проблему можно и вручную — для этого необходимо удалить файл InitialAccountSetup.xhtml в каталоге установки либо заменить этот файл на пустой с последующим перезапуском служб.
Источник: habr.com