Сегодня в ТОП-5 — 0-day уязвимость в Chrome, уязвимость в плагине WP-Members, рост активности новой версии вредоносного ПО JsOutProx, HTTP/2 как инструмент для DoS-атак и активизация модифицированной версии ВПО IcedID. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Павел Давыдов.
Google устраняет 0-day уязвимость в Chrome
Компания Google успешно устранила критическую уязвимость в браузере Chrome с идентификатором CVE-2024-3159 (CVSS: 8.8), которая была обнаружена на соревновании Pwn2Own 2024. Исследователи из Palo Alto Networks продемонстрировали, что данная уязвимость связана с ошибкой чтения памяти за пределами границ в движке JavaScript V8 и могла привести к несанкционированному доступу к данным или сбоям браузера. Специалисты Google оперативно выпустили обновление для Chrome. Пользователям рекомендуется обновить свой браузер до последней версии, чтобы устранить уязвимость и защитить свои данные от потенциальных атак.
Плагин WP-Members позволяет внедрить вредоносный скрипт
Специалисты Wordfence обнаружили в плагине WP-Members Membership уязвимость с идентификатором CVE-2024-1852 (CVSS: 7.2), которая позволяет злоумышленникам внедрять вредоносные скрипты через поле заголовка HTTP «IP-адрес». Это открывает возможность перехвата запросов на регистрацию через прокси-сервер. Специалисты Wordfence указывают на некорректную обработку входящих данных и недостаточное экранирование выходящих данных, что является основной причиной уязвимости. Разработчики плагина подготовили патч (версия 3.4.9.3) для устранения уязвимости межсайтового скриптинга (XSS). Пользователям рекомендуется обновить плагин до последней версии для защиты от атак. Обновление до версии 3.4.9.3 WP-Members Membership является обязательным шагом для минимизации рисков и обеспечения безопасности сайтов, использующих данный плагин.
Рост активности новой версии вредоносного ПО JsOutProx
Компания Resecurity обнаружила новую версию вредоносного программного обеспечения JSOutProx, нацеленную на финансовые организации. Злоумышленники используют JavaScript и .NET для выполнения вредоносных действий. Фреймворк, изначально замеченный в фишинговых кампаниях SOLAR SPIDER в 2019 году, теперь использует GitHub и GitLab для хостинга вредоносных нагрузок, что улучшает способность ВПО к защите от обнаружения. JavaScript-бэкдор позволяет выполнять удаленные команды, загружать дополнительные данные, запускать исполнительные файлы и делать снимки экрана. Обнаруженный впервые в 2019 году JSOutProx остается значительной и развивающейся угрозой, особенно для клиентов финансовых учреждений. Для защиты рекомендуется регулярно обновлять политики безопасности и поддерживать актуальность версий ПО, которое используется в организации.
HTTP/2 как инструмент для DoS-атак
Исследователь кибербезопасности Бартек Новотарски сообщил о новой уязвимости в протоколе HTTP/2 — HTTP/2 CONTINUATION Flood 2014, — способной вызвать атаку типа «отказ в обслуживании» (DoS). Уязвимость заключается в некорректной обработке фреймов CONTINUATION, что может привести к переполнению памяти сервера и аварийному завершению его работы. Эта атака считается серьезной и более опасной, чем Rapid Reset. Уязвимость затрагивает множество проектов, включая Apache HTTP Server (CVE-2024-27316, CVSS: 7.5 и CVE-2024-31309, CVSS: 7.5), Node.js (CVE-2024-27983, CVSS: 7.5), Golang (CVE-2023-45288, CVSS: 7.5) и другие. Разработчики уже выпустили обновления для устранения ошибки, однако рекомендуется временно отключить поддержку HTTP/2 на сервере до установки патча для предотвращения потенциальных атак и обеспечения стабильности работы серверов.
Активизация модифицированной версии ВПО IcedID
Специалисты Proofpoint и Team Cymru обнаружили новый вирус Latrodectus, который является эволюцией загрузчика IcedID, активно используемого в фишинговых рассылках с ноября 2023 года. IcedID изначально был модульным банковским трояном, а позднее стал загрузчиком для различных видов вредоносного ПО. Исследования показали сходство между IcedID и Latrodectus, что свидетельствует об их связи. Latrodectus выступает в роли загрузчика, который получает вредоносные полезные нагрузки с C2-сервера и обладает различными функциями, включая проверки факта обнаружения и команды для выполнения различных действий на зараженной системе. Атака с использованием Latrodectus начинается с заполнения формы обратной связи злоумышленником с оповещением целевой организации о нарушении авторских прав. В сообщении злоумышленник оставляет ссылку, которая ведет жертву на страницу Google Firebase, откуда загружается вредоносный JavaScript-файл. Важно обеспечить безопасность веб-сервисов, регулярно обновлять механизмы обнаружения угроз и систематически проводить обучения сотрудников для повышения их осведомленности в вопросах информационной безопасности.
Источник: habr.com
