Критическая уязвимость на сервере OpenSSH
Специалисты компании Qualys обнаружили уязвимость в сервере OpenSSH (sshd) на системах Linux с базой glibc. Уязвимость с идентификатором CVE-2024-6387 (CVSS: 8.1) позволяет осуществлять удаленное выполнение кода с правами root без прохождения аутентификации (RCE). Это может привести к установке вредоносного ПО, созданию бэкдоров и утечке чувствительных данных. Данная уязвимость связана с запуском обработчика сигналов на сервере OpenSSH (sshd). Аналитики Qualys сообщили, что более 14 млн серверов OpenSSH, подключенных к интернету, могут быть уязвимыми. Почти 700 тыс. из них представляют собой внешние интернет-серверы. Уязвимостью затронуты все версии OpenSSH, за исключением 8.5p1 и 9.8p1. Системы BSD не затронуты, и пока неизвестно, насколько это может повлиять на операционные системы macOS или Windows. Рекомендуем выполнить обновление до указанных версий.
Атаки на файловые серверы HTTP File Server
Команда AhnLab обнаружила новую уязвимость HSF сервера Rejetto, которая получила идентификатор CVE-2024-23692 (CVSS: 9.8) и позволяет злоумышленникам выполнять удаленное выполнение кода без аутентификации. HFS — это решение для обмена файлами, которое дает возможность создать веб-сервис с помощью исполняемого файла, без необходимости устанавливать отдельный веб-сервер. Поскольку HFS является общедоступным ресурсом, он может стать объектом внешних атак. Злоумышленник может отправлять пакеты с командами для получения доступа на HFS и заставлять сервер исполнять вредоносные действия, например распространение ВПО. Уязвимость затрагивает версию HFS 2.3m, которую используют многие пользователи. Рекомендуем выполнить обновление уязвимых версий и принять меры по защите, включая блокировку входа по RDP извне, а также заблокировать указанные в статье URL и IP-адреса.
Найден способ обойти современную технологию аутентификации Passkey
Passkey — это современная технология аутентификации, которая использует криптографические ключи и обеспечивает высокую защиту аккаунтов. Однако исследователи из eSentire обнаружили уязвимость, которая делает Passkey уязвимым для атак типа Adversary in the Middle Attack (AitM). При попытке восстановления ключа трафик пользователя перенаправляется злоумышленником на подконтрольные ему сервисы, которые предлагают резервные методы восстановления аккаунта в случае утери ключа или устройства. Таким образом злоумышленники могут подделывать страницы входа в систему и скрывать опцию аутентификации через Passkey, вынуждая пользователя вводить свои конфиденциальные данные. Для повышения безопасности рекомендуется использовать Magic Link для восстановления доступа, а также внедрить аппаратные ключи, разработать строгие политики доступа и использовать сложные пароли для резервных методов аутентификации.
Атака на Polyfill.io поразила более 380 тыс. хостов
Исследователи Censys обнаружили, что более 380 тыс. хостов, доступных в интернете, по-прежнему ссылаются на вредоносный домен Polyfill.io. Домен Polyfill.io был заблокирован в конце июня после многочисленных сообщений о вредоносной активности. Polyfill.io предоставлял скрипты JavaScript, которые позволяли старым браузерам использовать современные веб-функции. Однако злоумышленники использовали этот сервис для перенаправления пользователей на вредоносные сайты. Эксперты обратили внимание на значительное количество веб-хостов, использующих CDN Polyfill.io. Большинство из них находятся в сети Hetzner (AS24940). Среди этих хостов есть также веб-сайты крупных платформ. Рекомендуем всем владельцам сайтов удалить любые ссылки на Polyfill.io и связанные с ним домены из своей кодовой базы, чтобы предотвратить дальнейшее заражение.
Компрометация цепочки поставок привела к появлению троянских инсталляторов
Компания Rapid7 обнаружила вредоносное ПО в установщиках популярных программ Notezilla, RecentX и Copywhiz, доступных для скачивания на сайте Conceptworld.com. Установочные пакеты, доступные для загрузки на сайте, оказались заражены вредоносным ПО, которое было добавлено к обычным установщикам. Вредоносные пакеты не были подписаны и имели отличающийся размер от указанного на странице загрузки. Найденное вредоносное ПО содержит функционал для кражи данных браузера и информации о криптовалютных кошельках, сбора данных о системе, а также встроенный KeyLogger для отслеживания и записи нажатых клавиш клавиатуры и буфера обмена. Результаты исследования от компании Rapid7 показали, что вредоносные копии инсталляторов были на сайте с начала июня 2024 года, но само вредоносное ПО, направляемое через троянские установщики, начало распространяться с января 2024 года. Это вредоносное программное обеспечение было названо семейством dllFake. Рекомендуем заблокировать указанные в статье URL и IP-адреса, а также использовать новейшие версии антивирусного ПО, также рекомендуем провести полное сканирование хостов с установленным ПО средствами АВЗ.