Атаки инсайдеров: угроза внутри периметра
Эксперты «Инфосистемы Джет» подготовили аналитический отчет, посвященный анализу инсайдерских угроз — использованию персоналом легитимного доступа с целью нанесения вреда компании, ее системам, оборудованию, информации или репутации. Согласно исследованию, количество инсайдерских атак в 2023 году увеличилось в 1,5 раза. В отчете «Атаки инсайдеров: угроза внутри периметра» аналитики собрали данные о рисках инсайдерских атак, а также рассмотрели особенности каждого этапа «инсайдерской цепочки».
VMware раскрыла критическую неисправленную ошибку обхода аутентификации
Специалисты Ideal Integrations сообщили о неисправленной уязвимости обхода аутентификации в последнем обновлении VMware Cloud Director 10.5. Злоумышленник, имеющий сетевой доступ к 22 (SSH) или 5480 (консоль управлению устройством) портам, может обойти ограничения входа в систему при аутентификации. Уязвимость получила идентификатор CVE-2023-34060 с оценкой CVSS 9.8. VMware не выпустила ее исправления, но подготовила временное обходное решение. Применение временной заплатки не требует перезагрузки и не влияет на работоспособность.
Исследователи безопасности Converge раскрыли уязвимость нулевого дня в CrushFTP
Аналитики Converege выпустили отчет об эксплуатации уязвимости нулевого дня в CrushFTP. Эксплуатация уязвимости CVE-2023-43177 связана с алгоритмом анализа заголовков AS2. Используя его логику, злоумышленник получает частичный контроль над свойствами пользовательской информации Java, что позволяет хакеру получить полный доступ к системе. Для доставки полезной нагрузки через веб-заголовки в службу веб-интерфейса должен присутствовать заголовок «AS2-to». В случае фиксирования активности AS2 на серверах, на которых AS2 не настроен, стоит рассматривать активность как индикатор атаки. Для защиты от эксплуатации уязвимости рекомендуется установить вышедшие обновления.
Программа-вымогатель Cerber использует уязвимость Atlassian Confluence
Cerber, один из крупных игроков на рынке программ-вымогателей, вернулся после периода бездействия и использует недавнюю уязвимость Atlassian Confluence CVE-2023-22518 с оценкой в 9.8 балла. Эксплуатируя данную уязвимость, программа-вымогатель выполняет закодированную в Base64 PowerShell команду для подключения к удаленному серверу С2С и загрузке вредоносного текстового файла. После загрузки сценарий PowerShell выполнит декодированную полезную нагрузку, которая шифрует файлы в системе и добавляет расширение «.L0CK3D». Рекомендуется обновиться на стабильную версию или применить временные исправления, устраняющие данную уязвимость.
Исследователи Cado Security Labs недавно обнаружили новую кампанию, нацеленную на общедоступные экземпляры API Docker Engine
Исследователи Cado Security Labs недавно обнаружили новую кампанию, нацеленную на общедоступные экземпляры API Docker Engine. Атака начинается с POST-запросов к «/images/create», что запускает команду для получения образа из DockerHub, затем отправляется команда для создания контейнера из полученного образа. После этого выполняются команды для получения вредоносной полезной нагрузки, являющейся ботнетом. После заражения бот подключается к С2-серверу, предоставляет ему информацию о своей среде и начинает ожидать команды для выполнения. При мониторинге активности ботнета специалисты Cado Security заметили, что он использовался для DDoS-атак на различные цели, при этом оператор предпочитал использовать флуд UDP. Пользователям DockerHub рекомендуется периодически проверять образы, которые они извлекают из реестра, чтобы убедиться, что они не заражены вредоносным кодом.