VMware предупреждает о необходимости удаления уязвимого плагина
VMware выпустила подробную инструкцию по удалению устаревшего плагина, подверженного двум критическим уязвимостям: CVE-2024-22245(CVSS: 9,6) и CVE-2024-22250(CVSSS: 7,8). Эксплуатируя эти баги, злоумышленник может ретранслировать билеты службы Kerberos и захватить привилегированные сеансы EAP (Enhanced Authentication Plug-in). VMware утверждает, что хотя в настоящее время нет доказательств использования данных уязвимостей, важно как можно быстрее удалить уязвимый плагин. Для исправления необходимо удалить плагин/клиент VMware Enhanced Authentication Plug-in 6.7.0 и Windows-сервис VMware Plug-in Service.
Выпущен дешифратор для шифровальщика LockBit
В глобальной операции Cronos NCA (Национальное агентство по борьбе с преступностью) захватило серверы и арестовало членов группировки, ответственных за распространение RaaS (Ransomware as a Service) LockBit. Эта группировка была замечена в атаках на многие известные организации по всему миру. В рамках операции было получено более тысячи ключей дешифрования, с помощью которых был создан инструмент расшифровки, доступный на портале No More Ransom.
Найденные уязвимости на Joomla грозят миллионам веб-сайтам
В бесплатной системе управления контентом с открытым исходным кодом Joomla версий 5.0.2/4.4.2 и ниже выявлены уязвимости, связанные с функциями управления многофакторной аутентификацией, неправильным анализом URL-адресов и ошибками в работе функции mbstring PHP. Одна из уязвимостей (CVE-2024-21726), связанная с неадекватной фильтрацией контента в коде фильтра, по мнению исследователей, может быть использована для удаленного выполнения кода, однако для эксплуатации этой проблемы злоумышленник должен заставить пользователя с правами администратора щелкнуть на вредоносную ссылку. Разработчики уже выпустили обновления, и версии 5.0.3/4.4.3 устраняют выявленные проблемы.
Специалисты Trend Micro выпустили анализ вредоносного ПО DOPLUGS
Группа исследователей Trend Micro представила технический анализ ВПО DOPLUGS. Вредоносное ПО доставляется посредством фишинговых писем, и после открытия замаскированных под документы ярлыков на устройство жертвы загружается MSI-файл с дальнейшей установкой зараженных исполняемых файлов и DLL-библиотек, с помощью которых злоумышленники получают доступ до целевого узла. При этом в одном из образцов ПО Trend Micro обнаружила интегрированный модуль KillSomeOne, который отвечает за распространение вредоносного ПО, сбор данных и кражу документов через USB-накопители. Различные версии ПО и другие доработки свидетельствуют, что Earth Preta активно дорабатывает свой инструментарий. Trend Micro предоставила список индикаторов компрометации и рекомендует ознакомиться с тем, как работает Earth Preta в связи с возросшей активностью группировки.
ASEC выпустила анализ Nood RAT, используемого в атаках на Linux
Nood RAT — это версия вредоносного ПО Gh0st RAT для Linux, которая является бэкдором и может получать команды от C2-сервера для загрузки файлов и кражи данных. Nood RAT изменяет свое имя для маскировки под легитимную программу и при первом запуске производит расшифровку строки с именем процесса, которую необходимо изменить. После изменения имени процесса ВПО копирует и вставляет себя в путь /tmp/CCCCCCCC, запускает и удаляет скопированный файл /tmp/CCCCCCCC, в результате чего программа отображается как легитимный процесс. Центр безопасности ASEC предоставил индикаторы компрометации за последние несколько лет и рекомендует регулярно проверять конфигурации и производить обновления систем.