Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — критическая уязвимость в межсетевых экранах Palo Alto Networks, исправление критической уязвимости Cisco IMC, масштабные брутфорс-атаки на VPN и SSH, фишинговая кампания на пользователей LastPass и ликвидация поставщика фишинговых услуг LabHost. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Евгений Тюрин.

Критическая уязвимость в межсетевых экранах Palo Alto Networks

Специалисты компании Palo Alto Networks обнаружили критическую уязвимость в PAN-OS, которая получила идентификатор CVE-2024-3400 (CVSS: 9.8). Проблема имеет высокий уровень опасности и связана с возможностью удаленного выполнения произвольного кода с привилегиями root на зараженной системе. Атакующий может использовать эту уязвимость для получения полного контроля над устройством и проведения различных вредоносных действий. Специалисты уведомили о растущем количестве атак с применением данного RCE. Рекомендуется немедленно установить нужные версии PAN-OS для применения необходимых исправлений.

Исправление критической уязвимости Cisco IMC

Компания Cisco опубликовала информацию о критической уязвимости в управлении интегрированным модулем CIMC (Cisco Integrated Management Controller). Уязвимость получила идентификатор CVE-2023-4411 (CVSS: 9.8) и связана с возможностью выполнения произвольных команд на устройстве через некорректную обработку входных данных. Ее эксплуатация может позволить злоумышленнику произвести атаки путем внедрения команд в ОС и повысить привилегии до уровня root. Проблема обусловлена недостаточной проверкой вводимых пользователем данных, из-за чего уязвимость можно использовать с помощью специально созданных команд для атак. Специалисты компании Cisco рекомендуют обновить ПО до последней версии для устранения выявленной уязвимости.

Масштабные брутфорс-атаки, которые нацелены на сервисы VPN и SSH

Исследователи из Cisco Talos сообщили о масштабных брутфорс-атаках, которые нацелены на VPN- и SSH-сервисы. По заявлению экспертов, кампания носит беспорядочный характер и не связана с каким-то конкретным регионом или отраслью. Для получения доступа злоумышленники могут использовать различные IP-адреса анонимайзеров. Атакам были подвержены следующие сервисы: Cisco Secure Firewall VPN, CheckPoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek, Ubiquiti. Компания Cisco Talos опубликовала список рекомендаций и предоставила индикаторы компрометации.

Фишинговая кампания, которая направлена на пользователей менеджера паролей LastPass

Компания LastPass сообщила о недавней фишинговой кампании, которая затронула ее клиентов. Для проведения атак злоумышленники использовали специальный комплект для фишинга CryptoChameleon, который специализируется на криптовалютных аккаунтах. Пользователь получал звонок с сообщением о доступе к аккаунту с нового устройства. Далее клиенту предлагался выбор: разрешить или заблокировать доступ. В случае выбора блокировки через некоторое время происходил второй звонок с поддельного номера от злоумышленника, который представлялся сотрудником поддержки. После этого пользователь получал фишинговое письмо с поддельным URL, при переходе по которому требовалось ввести мастер-пароль. Злоумышленник получал контроль над учетной записью LastPass и менял настройки для блокировки доступа к ней. Компания рекомендует всегда взаимодействовать со службой поддержки через официальные контакты, а также напоминает, что никогда нельзя сообщать кому-либо свой мастер-пароль.

Ликвидация поставщика фишинговых услуг LabHost

Полиция Великобритании сообщила о ликвидации поставщика фишинговых услуг LabHost. Пользователи данной платформы могли выбрать один из существующих сайтов или запросить создание индивидуальных страниц, которые повторяли сайты известных компаний, включая банки, учреждения здравоохранения и почтовые службы. Поставщик LabHost выполнял задачу разработки и размещения фишинговых страниц, предоставлял методы извлечения украденных данных, что существенно облегчало действия злоумышленников. По заявлению экспертов, с помощью платформы было создано более 40 000 мошеннических сайтов, причем ежедневно для ее клиентской базы добавлялось множество новых фишинговых URL-адресов.

Источник: habr.com

0 0 голоса
Рейтинг новости
0
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии