Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — критичный патч от GitLab, бюллетень с исправлениями от Qualcomm, активно эксплуатируемые уязвимости в Palo Alto, новые атаки APT-группы Awaken Likho, октябрьское обновление безопасности Microsoft.

GitLab выпустила критичное обновление безопасности

GitLab выпустила патч, устраняющий восемь уязвимостей для Community Edition (CE) и Enterprise Edition (EE). В том числе критичную уязвимость с идентификатором CVE-2024-9164 (CVSS: 9.6), в ходе эксплуатации которой злоумышленники могут запускать CI/CD-пайплайны на любых ветках репозиториев без авторизации. Кроме того, устранены уязвимости с идентификаторами CVE-2024-8977 (CVSS 8.2) и CVE-2024-8970 (CVSS 8.2). Первая уязвимость позволяет злоумышленникам отправлять запросы от имени системы на внутренние ресурсы, а вторая дает возможность запускать конвейеры от имени другого пользователя. Разработчики рекомендуют всем пользователям CE и EE обновить системы до самой последней версии, чтобы защититься от возможной эксплуатации.

Бюллетень с исправлениями от Qualcomm

Специалисты Qualcomm выпустили бюллетень с рекомендациями в отношении 20 обнаруженных и исправленных уязвимостей, среди которых есть уязвимость 0-day с идентификатором CVE-2024-43047 (CVSS 7.8), в ходе которого злоумышленники могут повредить память в драйвере FastRPC для DSP-чипов и выполнить код на уровне системного сервиса. Уязвимость была выявлена исследователями из Google Project Zero и Amnesty International и может быть использована для атак на пользователей устройств Android. Она затрагивает различные флагманские и бюджетные чипы и модемы компании, которые можно найти в устройствах Samsung, Motorola, OnePlus и многих других, а также в предыдущих поколениях iPhone. Qualcomm уже разработала и передала производителям устройств (OEM) патч для устранения уязвимости. Пользователям рекомендуется оперативно установить обновления при их появлении для предотвращения возможных последствий.

Активно эксплуатируемые уязвимости в Palo Alto

Специалисты Palo Alto Networks обнаружили и устранили критические уязвимости в инструменте Expedition, которые могли привести к утечке конфиденциальной информации, такой как пароли, имена пользователей и ключи API, используемые для настройки межсетевых экранов PAN-OS. Уязвимость CVE-2024-9463 (CVSS: 9.9) позволяет злоумышленникам выполнять произвольные команды с привилегиями root, пример эксплуатации продемонстрирован на github. Также были устранены недостатки, связанные с SQL-инъекциями и XSS, которые могли использоваться для кражи сессий пользователей. Проблемы затрагивали версии Expedition до 1.2.96. Palo Alto Networks рекомендует обновить систему до версии 1.2.96 и выше, изменить все пароли и ключи API, а также ограничить доступ к Expedition только для авторизованных пользователей. Рекомендуется также отключить ПО, если оно не используется. Для проверки возможной компрометации системы используйте команду, приведенную в уведомлении от Palo Alto.

Awaken Likho: новые подходы и тактики APT-группы

Исследователи «Лаборатории Касперского» обнаружили активность APT-группы Awaken Likho, которая развернула новую кампанию с использованием RAT-трояна. С помощью AutoIt-скриптов и платформы MeshCentral злоумышленники нацеливаются на российские организации, получая возможность удаленного управления скомпрометированными системами. В ходе атаки происходит распаковка архивов с вредоносным ПО, после чего активируется полезная нагрузка. Злоумышленники используют различные методы для маскировки своей деятельности. Главными целями атаки стали государственные учреждения в России, их подрядчики и промышленные предприятия. Специалистам рекомендуется провести проверку по предоставленным индикаторам компрометации (IoC) и проактивную блокировку периметральными средствами защиты информации.

Октябрьское обновление безопасности Microsoft

В октябрьском обновлении Microsoft исправила 117 уязвимостей, включая пять 0-day, активно эксплуатируемых злоумышленниками. Обновление устраняет риски, связанные с удаленным выполнением кода и повышением привилегий. Например, CVE-2024-43572 (7.8 CVSS) позволяла злоумышленникам использовать Microsoft Management Console для выполнения произвольных команд на уязвимых системах, что делает патч критически важным для защиты корпоративных сетей. Злоумышленники могут использовать уязвимость CVE-2024-43573 (CVSS 6.5) для выполнения XSS-атак через MSHTML — компонент, обрабатывающий веб-контент. Хотя Internet Explorer и Legacy Edge официально устарели, их ключевые элементы остаются частью Windows, что увеличивает вероятность эксплуатации уязвимостей. Также устранены проблемы с удаленным выполнением кода в Microsoft Office, Visual Studio и Windows Hyper-V. Пользователям рекомендуется установить обновления, чтобы минимизировать возможные риски.

Источник: habr.com

0 0 голоса
Рейтинг новости
5673
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии