Сегодня в ТОП-5 — компрометация виртуальных сред VMWare ESXi, критическая уязвимость в плагине WordPress, новая уязвимость в системе аутентификации Cisco Smart Software Manager On-Prem, патчи для 386 уязвимостей от Oracle, мошенническая схема Konfety.
Шифровальщик Play нацелился на VMWare ESXi
Команда по поиску угроз компании Trend Micro обнаружила вариант программы-вымогателя Play для Linux, который шифрует файлы только при запуске в среде VMWare ESXi. Компрометация виртуальных сред VMWare ESXi может значительно нарушить бизнес-процессы. ВПО Play удается избегать обнаружения различными средствами защиты. Программа-вымогатель, направленная на программный продукт для виртуализации VMWare ESXi, начинает с разведки среды, определяя ее характеристики, затем осуществляется сканирование и выключение всех обнаруженных виртуальных машин с использованием команд управления. После этого шифруются файлы, связанные с виртуальными машинами, включая их диски и конфигурационные файлы, добавляя к ним расширение .PLAY. Организациям рекомендуется ознакомиться с IOCs и обширными рекомендациями для харденинга ESXi из отчета.
Критическая уязвимость в плагине WordPress
Исследователи из WPScan выявили критическую уязвимость CVE-2024-6695 (CVSS: 9.1) в плагине для WordPress Profile Builder. Уязвимость позволяет выполнить повышение привилегий без аутентификации и получить административный доступ без какой-либо учетной записи на целевом сайте. При стандартной регистрации пользователь автоматически входит в систему с ролью «подписчика». Плагин проверяет адреса электронной почты и убеждается, что пользователь еще не зарегистрирован. После регистрации генерируется одноразовый идентификатор безопасности для пользователя. Затем этот идентификатор используется для автоматического входа в систему с соответствующими привилегиями. Однако из-за непоследовательности в обработке информации об электронной почте пользователей на разных этапах дает возможность злоумышленнику использовать ID пользователя и одноразовый ID безопасности для доступа к сайту. Уязвимость уже устранена в версии 3.11.9, рекомендуется выполнить обновление плагина до версии 3.11.9.
Уязвимость локального изменения пароля в Cisco Smart Software Manager
Представители Cisco сообщили о новой уязвимости в системе аутентификации Cisco Smart Software Manager On-Prem (SSM On-Prem). Она получила идентификатор CVE-2024-20419 (CVSS: 10) и может позволить удаленному злоумышленнику, не прошедшему аутентификацию, изменить пароль любого пользователя, включая административные учетные записи. Эта уязвимость связана с некорректной реализацией процесса смены пароля. Атакующий может проэксплуатировать эту уязвимость, отправляя поддельные HTTP-запросы на уязвимое устройство. Успешная эксплуатация позволяет получить доступ к веб-интерфейсу или API с привилегиями скомпрометированного пользователя. Уязвимость была устранена в версии 8-202212, рекомендуется выполнить обновление Cisco SSM On-Prem до версии 8-202212 или версии 9.
Oracle выпустила исправления для 386 уязвимостей
Компания Oracle выпустила третье ежеквартальное издание Critical Patch Update, содержащее патчи для 386 уязвимостей, из которых 319 относятся к CVE сторонних производителей. Наибольшее количество исправлений получила Oracle Communications — 95 патчей, за ней следуют Oracle Financial Services Applications и Oracle Fusion Middleware с 60 и 41 патчем соответственно. Пакет исправлений включает 15 обновлений для продуктов Oracle Database, охватывающих такие продукты, как Oracle Database Server, Oracle Application Express, Oracle Essbase и другие. Среди критических уязвимостей с оценкой CVSS: 9.8 выделяются уязвимости в продуктах Oracle Communications, Oracle Financial Services Applications и Oracle Fusion Middleware. Рекомендуется ознакомиться с бюллетенем безопасности и выполнить рекомендации по устранению уязвимостей.
Свыше 250 приложений-приманок распространяют вредоносы через CaramelAds
Команда Satori Threat Intelligence компании Human пресекла крупную кампанию по мошенничеству с мобильной рекламой под названием Konfety. В мошеннической схеме использовалось свыше 250 приложений-приманок, которые распространялись через Google Play Store. Эти простые приложения использовали в своем коде набор инструментов для разработки программного обеспечения (SDK) CaramelAds. Вредоносная кампания строилась по методу «злого двойника», который распространяется с помощью вредоносной рекламы и предназначается для мониторинга поисковых запросов пользователя, установки браузерных расширений и загрузки APK-файлов на устройства пользователей. Уникальность кампании заключается в том, что «злой двойник» маскируется под безобидное приложение-приманку, подменяя ID приложения и ID издателей для показа рекламных объявлений, из-за этого трафик выглядит как легитимный, исходящий от чистой версии приложения. Оба набора приложений работают на одной и той же инфраструктуре, что позволяет злоумышленникам легко масштабировать свои вредоносные кампании.
Источник: habr.com