Apache исправляет критическую уязвимость RCE в Struts 2
Компания Apache Software Foundation выпустила критические обновления безопасности для фреймворка Struts 2, устраняя уязвимость загрузки файлов CVE-2023-50164 (CVSS 9,8), которая может привести к удаленному выполнению кода. Недостаток заключается в манипуляции параметрами загрузки файлов для активации обхода путей, что потенциально может привести к загрузке вредоносного файла. Затронуты версии Struts с 2.0.0 по 2.3.37, с 2.5.0 по 2.5.32 и с 6.0.0 по 6.3.0. Уязвимость устранена в версиях Struts 2.5.33 и 6.3.0.2. Apache рекомендует всем пользователям Struts 2 обновиться до исправленной версии, чтобы предотвратить возможные атаки.
Уязвимость «aspnet_compiler.exe» позволяет незаметно загружать вредоносный код
Исследователи Trend Micro обнаружили злоупотребление процессом «aspnet_compiler.exe» для инъекции вредоносного кода за счет использования инструмента удаленного доступа AsyncRAT. Злоумышленники также используют динамический DNS для сокрытия своего местоположения. Анализ компонентов AsyncRAT показывает создание запланированных задач и использование разнообразных скриптов. Кроме того, выявлена способность данной утилиты изменять серверные адреса, усложняя выявление и блокирование соединения. Это исследование подчеркивает необходимость постоянного мониторинга для раннего обнаружения угроз, включая Ransomware.
RCE-уязвимость в плагине резервного копирования WordPress
Обнаружена критическая уязвимость в популярном плагине WordPress Backup Migration CVE-2023-6553 (CVSS 9,8), позволяющая удаленно выполнять код и получать полный контроль над веб-сайтами. Уязвимость была выявлена исследователями Nex Team и передана в Wordfence через программу Bug Bounty. Проблема затрагивает версии плагина до 1.3.6 включительно и может быть использована в атаках с низкой сложностью. CVE-2023-6553 (CVSS 9,8) предоставляет возможность выполнения кода через инъекцию PHP-кода в файл /includes/backup-heart.php. Wordfence предостерегла об угрозе и внесла правило брандмауэра, защищающее клиентов, но множество веб-сайтов всё еще используют уязвимую версию. Разработчики Backup Migration оперативно выпустили исправление (1.3.8) и призывают пользователей обновить плагин.
Опубликован отчет с разбором хакерских атак FakeSG, Akira и AMOS
В мире киберпреступности широко используется разнообразное вредоносное программное обеспечение, так называемое crimeware. Преступники применяют разные виды вредоносных программ для атак на различные платформы. Например, кампания FakeSG распространяет NetSupport RAT через легитимные сайты, маскируясь под уведомления об обновлении браузера. Еще одним примером является шифровальщик Akira, который, несмотря на свое недавнее появление, активно заражает организации по всему миру, нацеливаясь на крупные компании разных отраслей. Akira схож с Conti в использовании обфускации строк и списков исключаемых папок. Третий пример — стилер AMOS, обнаруженный в апреле 2023 года, который представляет собой новую версию, написанную на языке C. Он использует вредоносную рекламу, копируя популярные сайты, чтобы привлечь пользователей к загрузке вредоносного DMG-файла. AMOS способен собирать различные данные, упаковывать их и отправлять на командный сервер.
Уязвимости в продуктах Dell PowerProtect, связанные с межсайтовым скриптингом
Были обнаружены восемь уязвимостей в Dell PowerProtect, представляющих потенциальные риски для безопасности систем. Наиболее критичные среди них: OS Command Injection (CVE-2023-48668, CVSS 8.2; CVE-2023-44277, CVSS 7.7) — уязвимости, позволяющие выполнять команды в операционной системе и предоставляющие злоумышленникам возможность контроля над системой, а также Cross-Site Scripting (XSS) (CVE-2023-44286, CVSS 8.8) — уязвимость, открывающая возможность внедрения вредоносного кода на стороне клиента, что может привести к краже сеансов, и другие. Рекомендуется немедленно обновить системы Dell PowerProtect до последних версий, в которых устранены эти уязвимости, для обеспечения безопасности и стабильности функционирования системы.