Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — новый мобильный шпион LianSpy, четыре уязвимости в OpenVPN, уязвимость нулевого дня в Apache OFBiz, обнаруженная уязвимость в Jenkins, эксплойт для критической RCE-уязвимости на Windows Server.

Новый мобильный шпион LianSpy

Компания Kaspersky обнаружила новую мобильную шпионскую программу LianSpy, нацеленную на пользователей из России. LianSpy перехватывает данные журнала звонков, список установленных приложений и записывает экран при использовании мессенджеров. После успешного заражения вирус маскируется под системные и финансовые сервисы ВПО и запрашивает права на чтение контактов, журналов вызовов, работу с оверлеем и получает root-права на устройстве, что позволяет ему скрыть использование камеры, микрофона и отключить иконку в статус-баре, которая свидетельствует о записи экрана. Эксперты Kaspersky советуют быть бдительными при установке приложений из неизвестных источников. Используйте надежный антивирус и отключите установку из неизвестных источников.

Microsoft раскрыли четыре уязвимости OpenVPN

Специалисты компании Microsoft сообщили о четырех уязвимостях в проекте с открытым исходным кодом OpenVPN в версиях до 2.5.10 и 2.6.10, использование комбинаций которых может привести к удаленному выполнению кода, повышению привилегий и отказу в обслуживании. Три уязвимости связаны с компонентом openvpnserv.exe, недостатки которого предоставляют злоумышленнику удаленный доступ к именованному каналу службы, позволяют загружать плагины с разных путей на конечном устройстве и приводит к переполнению стека. Последняя уязвимость связана с дайвером Windows TAP, эксплуатация которой приводит к переполнению памяти. Все эти уязвимости могут быть использованы, только если злоумышленник имеет доступ к учетным данным пользователя. Microsoft рекомендует установить и регулярно проверять обновления безопасности и ограничить доступ к клиентам OpenVPN только авторизированным пользователям.

Обнаружена уязвимость нулевого дня в Apache OFBiz

Исследователи SonicWall Capture Labs обнаружили критическую уязвимость в популярной системе планирования ресурсов предприятия Apache OFBiz, которая может быть использована для удаленного выполнения кода. Недостаток в механизме аутентификации, а именно в переопределении представителя, открывает доступ к важным конечным точкам и позволяет не аутентифицированным злоумышленникам удаленно выполнять код с помощью специально составленных запросов. По данным исследователей, выявленный недостаток является обходом к исправлению уязвимости CVE-2024-36104, выпущенному в начале июля. Специалисты рекомендуют немедленно установить обновление до версии 18.12.15 или более поздней. Также важно проверить свои системы на присутствие вредоносных программ и изменить пароли для всех пользователей Apache OFBiz.

Исправлена уязвимость произвольного чтения файлов в Jenkins

Обнаружена критическая уязвимость в популярной системе обеспечения непрерывной интеграции ПО Jenkins, которая может позволить злоумышленникам получить доступ к конфиденциальным файлам. Уязвимость CVE-2024-43044 (CVSS: 9.0) затрагивает версии Jenkins до 2.471, LTS 2.452.4 и LTS 22.462.1.2 и связана с библиотекой Remoting, которая используется для обмена данными между сервером Jenkins и его агентами с помощью API. Злоумышленники могут использовать эту уязвимость для кражи интеллектуальной собственности, вывода сервера Jenkins из строя или для запуска вредоносного кода. Специалисты рекомендуют немедленно установить обновление до последней версии Jenkins. Также важно проверить свои системы на присутствие вредоносных программ и изменить пароли для всех пользователей Jenkins.

Выпущен эксплойт для критической RCE-уязвимости на Windows Server

Для уязвимости в службе лицензирования удаленных рабочих столов Windows, обозначенной как CVE-2024-38077 (CVSS: 9.8), выпущен PoC (Proof of concept) эксплойт. Уязвимость связана с некорректной работой функции CDataCoding::DecodeData с помощью которой злоумышленники могут вызвать переполнение буфера в версиях Windows Server Windows Server 2008, 2012, 2016, 2019 и 2022. PoC-эксплойт демонстрирует возможность использования уязвимости для обхода мер безопасности. Эксплойт манипулирует службой лицензирования для загрузки DLL, что позволяет злоумышленникам выполнить произвольный shell-код в процессе службы. Хотя в настоящее время нет известных эксплойтов для данной уязвимости, рекомендуется установить выпущенное от Microsoft исправление для снижения потенциальных рисков.

Источник: habr.com

0 0 голоса
Рейтинг новости
12599
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии