Массовые атаки на российские веб-сайты, использующие CMS Bitrix

С начала июня 2023 года мы зафиксировали большое количество кибератак на российские веб-сайты, использующие CMS Bitrix. Атакующие загружают на сайт вредоносное программное обеспечение и достигают разных целей: выгрузка данных с атакованного ресурса, дефейс сайта, повреждение данных и прочее. По результатам расследований, проведенных специалистами Jet CSIRT, злоумышленники получали доступ к уязвимым системам за 3–6 месяцев до факта публикации полученных данных. Причина подобных атак — длительное игнорирование обновлений компонентов сайта. Производитель платформы «1C Битрикс» призывает своих клиентов внимательно относиться к безопасности сайтов и своевременно обновлять программное обеспечение.

Технические детали угроз, а также рекомендации по устранению можно получить в бюллетене безопасности.

Новая группировка Cyclops атакует ранее неизвестным шифровальщиком

Специалисты компании Uptics выявили новую хакерскую группировку Cyclops, атакующую компании из России, стран Европейского Союза и США. Злоумышленники рассылают жертвам комбинированный вариант вируса-шифровальщика и программы для кражи паролей. После кражи чувствительной информации с компьютера жертвы все файлы в системе шифруются с расширением .cyclops. Шифровальщик Cyclops нацелен на разные платформы: Windows (64-бит), macOS, Linux. Вредонос умеет принудительно завершать процессы, мешающие его работе, и применяет сложную схему шифрования, которая использует симметричные и асимметричные шифры. По завершении шифрования в системе создается записка с требованием выкупа и ссылкой на onion-сайт для восстановления данных. Инфостилер собирает информацию о зараженном устройстве (данные ОС, имя компьютера, число процессов, контроллер домена, через который осуществляется вход). Поиск файлов, представляющих интерес, осуществляется по имени и расширению. После этого информация выгружается на удаленный сервер. В качестве рекомендаций предлагается своевременно создавать резервную копию данных на отчуждаемых носителях, а также обновлять базы вирусных сигнатур до актуальных версий.

Компания Fortinet устранила критическую уязвимость в межсетевых экранах Fortigate

Компания Fortinet устранила критическую уязвимость CVE-2023-27997 (9,8 по шкале CVSS). Уязвимость заключается в переполнении буфера на основе кучи [CWE-122] в операционной системе FortiOS версии 7.2.4 и ниже, FortiProxy версии 7.2.3 и ниже, а также всех версий SSL-VPN, и может позволить удаленному злоумышленнику выполнять произвольный код или команды с помощью специально созданных запросов. Для устранения уязвимости необходимо обновить версию FortiOS и FortiProxy до версии 7.2.4 или выше.

В KeePass закрыли возможность получения мастер-пароля из памяти

Уязвимость CVE-2023-3278 позволяет злоумышленникам восстановить мастер-пароль, используемый для шифрования базы данных менеджера паролей KeePass из текстовых строк, которые остаются в памяти процесса. Эта возможность возникает, когда пользователь вводит ключ в специальную форму, при этом при копировании текстовых полей из буфера обмена утечки данных не происходит. Разработчики KeePass уже выпустили специальный патч, устраняющий данную угрозу.

Выявлены факты распространения злоумышленниками ВПО через KSC Лаборатории Касперского

Специалисты НКЦКИ зафиксировали ряд компьютерных инцидентов, где злоумышленники применяли штатные механизмы легитимных инструментов для распространения ВПО внутри атакованных инфраструктур.
Одним из таких инструментов является механизм доставки обновлений, реализованный в Kaspersky Security Center. Для минимизации рисков уже выпущены рекомендации, разработанные компанией АО «Лаборатория Касперского». В частности, рекомендуется разворачивать сервер администрирования в сегменте демилитаризованной зоны (DMZ), не рекомендуется устанавливать сервер администрирования на контроллер домена, терминальный сервер или пользовательское устройство, рекомендуется запустить установку сервера администрирования под учетной записью локального администратора, чтобы избежать использования учетных записей домена для доступа к базе данных сервера администрирования.

Специалисты Cisco исправили ошибку AnyConnect, предоставляющую привилегии Windows уровня SYSTEM

Уязвимость в функции обновления клиентского программного обеспечения может позволить злоумышленнику с низким уровнем привилегий повысить привилегии до уровня SYSTEM в ОС Windows. Эта уязвимость существует потому, что временному каталогу, созданному в процессе обновления, назначаются неправильные разрешения. Злоумышленник может воспользоваться этой уязвимостью, злоупотребив определенной функцией процесса установки Windows. Успешный эксплойт может позволить злоумышленнику выполнить код с системными привилегиями. Уязвимости подвержены продукты Cisco AnyConnect Secure Mobility Client Software for Windows версии 4.10 и ниже, Cisco Secure Client Software for Windows версии 5.0 и ниже. Компания Cisco рекомендует обновить уязвимые версии продуктов Cisco AnyConnect Secure Mobility Client — до актуальной версии 4.10MR7 (4.10.07061), и Cisco Secure Client — до версии 5.0MR2 (5.0.02075).