Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — обновление для библиотеки Libnv, предупреждение агентства CISA о критических уязвимостях, фишинговая кампания Narketing163, уязвимость в Microsoft Office, атака Linux-серверов.

Исправление уязвимости в библиотеке libnv

В начале сентября было выпущено обновление для библиотеки Libnv, в котором была обнаружена логическая ошибка. Библиотека Libnv основана на алгоритме nvlist, который применяется в проекте OpenZFS, но во FreeBSD реализована своя версия, поэтому проблема не затрагивает OpenZFS. Уязвимость не была устранена должным образом, оставляя систему подверженной атакам. Причиной уязвимости стало целочисленное переполнение, что приводит к выделению буфера меньшего размера, чем блок данных, записываемый в него. Эта ошибка может быть использована злоумышленниками для повышения своих привилегий путем перезаписи памяти в ядре и системных процессах. Корректное решение проблемы было предложено в обновлениях 14.1-RELEASE-p5, 14.0-RELEASE-p11, 13.4-RELEASE-p1 и 13.3-RELEASE-p7, а также доступно в виде патча.

CISA предупреждает о четырех критических уязвимостях

Агентство CISA выпустило предупреждение о четырех критических уязвимостях, которые активно эксплуатируются злоумышленниками.

Уязвимость CVE-2023-25280 (CVSS: 9.8) в роутере D-Link DIR-820 позволяет злоумышленникам удаленно и без аутентификации получить права root через параметр ping_addr в компоненте ping.ccp.

Уязвимость CVE-2020-15415 (CVSS: 9.8) в роутерах DrayTek (модели Vigor3900, Vigor2960 и Vigor300B) позволяет злоумышленникам выполнять произвольный код через компонент cgi-bin/mainfunction.cgi/cvmcfgupload.

Уязвимость CVE-2021-4043 (CVSS: 5.5) в программном обеспечении GPAC от компании Motion Spell позволяет локальным злоумышленникам осуществить отказ в обслуживании (DoS). В настоящее время не выявлено подтвержденных случаев эксплуатации.

Последняя уязвимость CVE-2019-0344 (CVSS: 9.8) в SAP Commerce Cloud вызвана десериализацией недоверенных данных в расширениях mediaconversion и virtualjdbc. Злоумышленник имеет возможность отправить специально сгенерированные данные, которые могут привести к удаленному внедрению произвольного кода.

Пользователям рекомендуется применить обновления безопасности для указанных продуктов.

Фишинговая кампания Narketing163

Специалисты компании F.A.C.C.T. выявили и исследовали фишинговую кампанию хакерской группировки Narketing163. Согласно информации от экспертов Threat Intelligence, злоумышленники нацеливаются на пользователей из различных стран, в том числе из России. Отмечается, что на сентябрь 2024 года было зафиксировано более 500 вредоносных писем, направленных в российские компании. Фишинговые рассылки Narketing163 нацелены на организации из различных сфер деятельности: e-commerce, ретейл, страхование, строительство, медицина, химическая и пищевая промышленность. Эксперты рекомендуют использовать решения для защиты электронной почты, регулярно обновлять установленное ПО, а также проводить обучение персонала противодействию фишинговым атакам. Также были представлены индикаторы компрометации для проактивной блокировки IP-адресов и доменов периметральными средствами защиты информации.

Уязвимость в MS Office позволяет раскрыть аутентификационные данные

Уязвимость CVE-2024-38200 (CVSS: 9.1), которая затрагивает Microsoft Office, позволяет злоумышленникам перехватывать хэши NTLMv2. Проблема связана со специальными ссылками, которые позволяют открывать документ напрямую из офисных приложений.

Эффективность кибератаки во многом определяется конфигурациями безопасности (GPO) на компьютере цели. Например, если активирована автоматическая аутентификация в локальных сетях или доверенных сайтах, приложение Office может автоматически войти в систему при открытии соответствующей ссылки, отправляя NTLMv2-хэш на сервер атакующего. Это означает, что даже обычный пользователь домена может непреднамеренно раскрыть свои учетные данные.

Особенно уязвимы версии Microsoft 365 Office и Office 2019, которые позволяют загрузить удаленный файл без предупреждения. Для защиты от данной атаки рекомендуется обновить Microsoft Office до актуальной версии, а также отключить автоматическую аутентификацию офисных приложений.

Вредонос Perfctl нацелен на сервера Linux

Специалисты Aqua Security выявили кампанию по атаке Linux-серверов с использованием скрытого ВПО под названием Perfctl. Основная цель данного вредоносного ПО — использование вычислительных мощностей сервера для майнинга криптовалюты и взлома прокси-серверов. Исследователи отмечают, что при входе пользователя на сервер майнер прекращает свои действия и переходит в режим ожидания для уменьшения риска обнаружения. Особенность Perfctl заключается в использовании уязвимости в Polkit (PwnKit) для повышения прав доступа до уровня root. Исследователи подчеркивают, что наличие майнера можно выявить по неожиданным всплескам использования CPU или замедлению работы системы. Пользователям рекомендуется своевременно обновлять системы и программное обеспечение до актуальных версий, а также отключать неиспользуемые сервисы.

Источник: habr.com

0 0 голоса
Рейтинг новости
6861
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии