ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — исправление уязвимостей безопасности от VMware, экстренные zero-day патчи от Apple, вредоносный ИИ-червь Morris II, исправленная версия TeamCity, обзор атак группировки Shadow. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Даниил Кирьяков.

Опубликованы исправления безопасности для уязвимостей в ESXi, Workstation, Fusion

Компания VMware выпустила исправления для устранения четырех уязвимостей безопасности, влияющих на ESXi, Workstation и Fusion, включая две критические уязвимости, которые могут привести к RCE. Уязвимости CVE-2024-22252 (CVSS: 9.3) и CVE-2024-22253 (CVSS: 9.3) связаны с использованием указателей после освобождения памяти в USB-контроллере XHCI. CVE-2024-22254 (CVSS: 7.9) — уязвимость записи за пределами буфера памяти в ESXi, которую злоумышленник с привилегиями в процессе VMX может использовать для побега из песочницы. CVE-2024-22255 (CVSS: 7.1) связана с раскрытием информации в USB-контроллере UHCI, которую злоумышленник с административным доступом к виртуальной машине может использовать для утечки памяти из процесса VMX.

Организациям рекомендуется установить последние патчи для следующих версий:

ESXi 6.5 — 6.5U3v ESXi 6.7 — 6.7U3u ESXi 7.0 — ESXi70U3p-23307199ESXi 8.0 — ESXi80U2sb-23305545 и ESXi80U1d-23299997 VMware Cloud Foundation (VCF) 3.x — ESXi670-202403001 Workstation 17.x — необходимо перейти на версию 17.5.1 Fusion 13.x (macOS) — необходимо перейти на версию 13.5.1

Экстренные Zero-day патчи от компании Apple

Компания Apple выпустила экстренные патчи для двух уязвимостей нулевого дня в iOS, которые уже используются злоумышленниками в атаках. Первая уязвимость, CVE-2024-23225 (CVSS: 7.8), была обнаружена в ядре iOS, другая уязвимость, CVE-2024-23296 (CVSS: 7.8), — в RTKit. Недостатки связаны с искажением памяти в ядре и дают злоумышленнику права чтения и записи в ядре, что может использоваться для обхода защиты памяти ядра.

Владельцам устройств Apple рекомендуется как можно скорее установить обновления безопасности.

ИИ-червь Morris II как новый вид кибератак

Группа ученых из Cornell Tech представила первый в своем роде вредоносный ИИ-червь, способный автоматически распространяться между генеративными ИИ-агентами. Это открывает пути для потенциальной кражи данных и рассылки спама в связанных экосистемах искусственного интеллекта. Исследователи разработали червя под названием Morris II, который может атаковать почтовые помощники на базе ИИ, нарушая безопасность систем ChatGPT и Gemini. Основное внимание уделено враждебным самовоспроизводящимся запросам, напоминающим традиционные атаки типа SQL Injection и Buffer Overflow. Исследователи сообщили о своих находках в Google и OpenAI. Представитель компании OpenAI отметил работу над усилением устойчивости своих систем к подобным атакам, в то время как компания Google отказалась комментировать исследование. Выпущен патч на критичные уязвимости JetBrains

Компания JetBrains выпустила исправленную версию TeamCity. В феврале 2024 года команда исследователей уязвимостей Rapid7 выявила две новые уязвимости — CVE-2024-27198 (CVSS: 9.8) и CVE-2024-27199 (CVSS: 7.3), — влияющие на CI/CD-сервер JetBrains TeamCity.

Наиболее серьезная уязвимость, CVE-2024-27198 (CVSS: 9.8), позволяет полностью скомпрометировать уязвимый сервер TeamCity удаленным неаутентифицированным злоумышленником. Компрометация сервера TeamCity позволяет атакующему получить полный контроль над всеми проектами, сборками, агентами и артефактами TeamCity. Вторая уязвимость, CVE-2024-27199 (CVSS: 7.3), позволяет получить доступ к ограниченному объему информации и модифицировать систему, в том числе заменять неаутентифицированным злоумышленником HTTPS-сертификат на уязвимом сервере TeamCity на сертификат по выбору атакующего.

В связи с активной эксплуатацией данных уязвимостей злоумышленниками пользователям, использующим локальные версии программного обеспечения, рекомендуется как можно скорее перейти на новую версию для устранения потенциальных угроз.

Группировка Shadow за год атаковала более 100 российских компаний

Специалисты F.A.C.C.T. провели анализ содержимого сервера, замеченного в атаках на территории России, и установили, что группировка Shadow начала активную деятельность уже в сентябре 2022 года, а не весной 2023-го, как предполагалось ранее. За это время Shadow атаковала более 100 российских компаний разных отраслей, причем в 10 случаях атаки оказались успешными. Сервер с открытой директорией, содержащей логи и конфигурационные файлы ряда инструментов для пентеста, таких как SQLMap, Metasploit, ProxyShell‑Scanner, DockerRegistryGrabber, Cobalt Strike, Mythic Athena, Sliver, был обнаружен в начале сентября прошлого года. На сервере были найдены публичный ключ SSH, выпущенный 25 декабря 2020 года, и SSL‑сертификат OpenVPN от 25 января 2021 года. Однако атаки с использованием этого сервера начались гораздо позже. Дальнейшее исследование выявило связь кибергруппы Shadow с Comet и DARKSTAR. Все жертвы компрометации уже оповещены о ситуации.

Источник: habr.com

0 0 голоса
Рейтинг новости
0
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии