Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — новый метод повышения привилегий в Active Directory через группу администраторов DHCP, подробности новой циклической DoS-атаки, исправления уязвимостей в Bamboo, Bitbucket, Confluence и Jira, новое ВПО AcidPour и подробности вредоносной кампании Sign1. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Валерия Шотт.

Новый метод повышения привилегий в Active Directory через группу администраторов DHCP

Компания Akamai обнаружила, что группу администраторов DHCP в средах Active Directory можно использовать для повышения привилегий, если установлена ​​роль DHCP-сервера. Атака заключается в злоупотреблении легитимной функции. Злоумышленник изменяет параметры DHCP и входит в систему как администратор DHCP, после чего он может заставить DHCP-сервер аутентифицироваться на своем компьютере и провести атаку ретрансляции Kerberos. В случае, если DHCP-сервер установлен на контроллере домена, это позволит скомпрометировать весь домен. В качестве защитных мер рекомендуется: выявление небезопасных конфигураций DHCP, соблюдение гигиены группы администраторов DHCP, смягчение ретрансляционных атак, сегментация сети и мониторинг аномалий DNS.

Исследователи CISPA раскрыли подробности новой циклической DoS-атаки

Исследователи CISPA выявили новый вид атаки типа «отказ в обслуживании» Loop DoS, вызывающий бесконечные циклы и огромные объемы трафика в сетевых сервисах. Уязвимость, отслеживаемая как CVE-2024-2169, заключается в том, что протокол UDP не проверяет исходные IP-адреса, позволяя подменять их на адреса жертвы. Уязвимости подвержены около 300 000 хостов по всему миру. Для защиты от Loop DoS эксперты рекомендуют устанавливать последние патчи, отключать неиспользуемые UDP-сервисы, использовать антиспуфинговые решения и ограничивать сетевой трафик.

Atlassian исправляет уязвимости в Bamboo, Bitbucket, Confluence и Jira

Компания Atlassian анонсировала исправления для двух десятков уязвимостей в своих продуктах, включая критическую проблему в Bamboo Data Center и Server. Эта уязвимость отслеживается как CVE-2024-1597 (CVSS: 10.0) и затрагивает проблему внедрения SQL, что влияет на стороннюю зависимость org.postgresql:postgresql для Bamboo Data Center и Server. Это может позволить злоумышленнику, не прошедшему аутентификацию, раскрыть активы в среде, которые могут быть использованы для дальнейшей эксплуатации. Уязвимость затрагивает версии 8.2.1, 9.0.0, 9.1.0, 9.2.1, 9.3.0, 9.4.0 и 9.5.0 и была устранена с выпуском версий 9.6.0 (LTS), 9.5.2, 9.4.4 и 9.2.12 (LTS), в которых также устранена серьезная ошибка, приводящая к отказу в обслуживании (DoS).

Новое ВПО AcidPour, уничтожающее данные, нацелено на устройства Linux x86

Исследователи SentinelLabs обнаружили новый вариант ВПО AcidRain, который был специально разработан для атак на устройства Linux x86. Бинарный файл ELF, скомпилированный для архитектур MIPS, способен стирать файловую систему и различные файлы известных устройств хранения путем рекурсивного обхода общих каталогов для большинства дистрибутивов Linux. AcidPour удаляет содержимое из RAID-массивов и файловых систем UBI с помощью добавления таких путей к файлам, как /dev/dm-XX и /dev/ubiXX соответственно. В настоящее время масштабы атак и предполагаемые жертвы неизвестны. Лучшая защита от вайперов — это наличие резервных копий и сегментация сети для ограничения распространения.

Вредоносная кампания Sign1 скомпрометировала более 39 000 сайтов WordPress

Массовая кампания ВПО Sign1 за последние шесть месяцев скомпрометировала более 39 000 сайтов WordPress, используя вредоносные инъекции JavaScript для перенаправления пользователей на мошеннические сайты. ВПО использует рандомизацию для создания динамических URL-адресов, которые меняются каждые 10 минут, чтобы избежать блокировки. Домены регистрируются незадолго до того, как их используют в атаках, поэтому их нет ни в каких черных списках. Злоумышленники внедряют Sign1 в пользовательские HTML-виджеты и законные плагины на сайтах WordPress. При этом методе вредоносный код не помещается в файлы сервера, что позволяет злоумышленникам оставаться незамеченными в течение длительного времени. Чтобы защитить сайты WP, рекомендуется использовать надежный пароль администратора и обновить плагины до последней версии.

Источник: habr.com

0 0 голоса
Рейтинг новости
0
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии