Сегодня в ТОП-5 — вредоносный код в новых версиях библиотеки XZ, легитимная утилита wall, уязвимость nf_tables в Linux, новая программа-вымогатель Agenda и заражение инфостиллером более 170 тысяч пользователей Python. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Александр Перевалов.
Обнаружен вредоносный код в новых версиях библиотеки XZ
В библиотеке для сжатия XZ был обнаружен бэкдор с идентификатором CVE-2024-3094 (CVSS: 10.0), позволяющий злоумышленникам получить несанкционированный доступ к службам SSH. Уязвимость обнаружена в версиях 5.6.0 и 5.6.1, которые попали в сборки Debian, Fedora, Kali Linux и других операционных систем. Рекомендуется проверить свои дистрибутивы на наличие вредоносных библиотек XZ 5.6.0-5.6.1 и откатиться до любой из версий 5.4.х, а также сменить пароли учетных записей на потенциально скомпрометированных хостах.
Легитимная утилита wall позволяет осуществить атаку на чужие терминалы
В операционных системах Linux 11 лет существовала уязвимость WallEscape CVE-2024-28085 (CVSS: 8.4), которая позволяла изменять буфер обмена жертв, а также красть их пароли. Проблема заключается в том, что утилита wall блокирует использование escape-последовательностей во входном потоке, но не применяет это ограничение к аргументам в командной строке. Это позволяет хакеру выполнять escape-последовательности во всех активных терминалах компьютера. Тем не менее, для эксплуатации требуется соблюсти ряд условий: злоумышленнику необходим доступ к узлу, на котором через терминал работает один или несколько других пользователей. Администраторам систем рекомендуется обновить linux-utils до версии 2.40. В случае невозможности обновления рекомендуется отключить функцию рассылки сообщений через команду mesg.
Уязвимость nf_tables позволяет повысить привилегии в Linux
Уязвимость CVE-2024-1086 (CVSS: 7.8) затрагивает версии ядра Linux от 5.14.21 до 6.6.14 и позволяет пользователю повысить привилегии до уровня суперпользователя (root). Новая техника Dirty Pagedirectory дает возможность связать любой физический адрес с адресами виртуальной памяти, что приводит к сбою очистки ввода вердиктов netfilter. В открытый доступ был опубликован эксплойт для данной уязвимости, а вероятность успешного повышения прав доступа оценивается не менее чем на 93%, что позволяет с легкостью определить наличие проблемы за 1-2 запуска. Всем пользователям рекомендуется обновить операционные системы до версии ядра Linux 6.7.1.
Программа-вымогатель Agenda распространяется на vCenter и ESXi
Специалисты компании Trend Micro выявили рост числа атак группировки Agenda. Согласно отчету, за последние месяцы хакеры наиболее активно используют технику BYOWD (Bring Your Own Vulnerable Driver) для обхода средств защиты. Кроме того, среди вредоносной активности был замечен PowerShell-скрипт, позволяющий распространяться на серверы ESXi и атаковать виртуальную инфраструктуру компаний. Среди новых функций Agenda появилась возможность печати требования о выкупе на сетевых принтерах. Вредоносный код копирует текст в специальный файл во временной папке пользователя и затем запускает команды для отправки этого файла на указанный принтер. Наиболее желанными целями для группировки признаны ИТ-компании и юридические фирмы. Администраторам систем виртуализации рекомендуется ограничивать административные права, а также регулярно создавать резервные копии.
Более 170 тысяч пользователей Python заразили свои устройства инфостиллером
Исследовательская группа Checkmarx обнаружила кампанию атак, нацеленную на цепочку поставок программного обеспечения. Среди жертв оказалась организация Top.gg (сообщество, насчитывающее более 170 тысяч пользователей) и несколько отдельных разработчиков. В PyPI было загружено несколько зараженных пакетов, в том числе популярная библиотека Colorama, которая насчитывает более 150 миллионов загрузок в месяц. Наиболее вероятным сценарием является кража файлов cookie аккаунта editor-syntax и дальнейшее внесение вредоносных коммитов в репозиторий top-gg/python-sdk. Python-разработчикам рекомендуется переустановить все утилиты из репозитория top-gg при их наличии в системе.
Источник: habr.com