Обновление безопасности GitLab

Специалисты из GitLab анонсировали обновления безопасности 15.3.2, 15.2.4, 15.1.6 для GitLab Community Edition (CE) и Enterprise Edition (EE). В обновлении были исправлены 15 уязвимостей, 1 из которых является критической XSS (CVE-2022-286). Данная уязвимость затрагивает все версии до 15.1.6, версии 15.2 - 15.2.3, версии 15.3 - 15.3.1 GitLab CE/EE. Злоумышленник может воспользоваться уязвимостью функции по настройке цвета меток, которая может привести к хранимому XSS, что может позволить выполнять произвольные действия от имени жертвы на стороне клиента.


Разработан инструмент для анализа кода на основе графов

Исследователи из Университета Джона Хопкинса разработали инструмент (ODGen) для анализа кода на основе графов, который может обнаружить широкий спектр уязвимостей в программах на JavaScript. ODGen был представлен на симпозиуме Usenix Security Symposium и позволяет решать некоторые проблемы, которые ограничивали использование подобных инструментов при анализе программ. Сканеры на основе графов анализируют файлы исходного кода для построения структуры графа, представляющей различные свойства и ветви выполнения приложения. Затем этот граф можно использовать для моделирования и поиска уязвимостей в исходном коде. Исследователи протестировали данный сканер, применив его к тысячам библиотек Node.js, где было обнаружено 180 уязвимостей нулевого дня и 70 CVE.


Обнаружена крупная фишинговая кампания

Исследователи из Proofpoint и PwC Threat Intelligence опубликовали отчёт о недавней крупной кампании кибершпионажа, нацеленной на организации по всему миру. В ходе кампании система эксплуатации ScanBox доставлялась целевым пользователям, посещающим вредоносный домен, выдающий себя за австралийский новостной веб-сайт. В фишинговую кампанию входили URL-адреса, доставленные в фишинговых электронных письмах, которые перенаправляли жертв на вредоносные веб-сайты. Целевая страница веб-сайта доставляла полезную нагрузку вредоносного ПО выбранным целям. В некоторых случаях ScanBox был доставлен с веб-сайтов, которые стали жертвой стратегических атак веб-компрометации (SWC). ScanBox может доставлять вредоносный код в одном блоке или в виде модульной архитектуры на основе плагинов. Несмотря на то, что одновременная доставка всего кода позволила бы использовать все функциональные возможности системы-жертвы, злоумышленниками была выбрана выборочная загрузка плагинов для предотвращения сбоев или ошибок, которые могли бы предупредить владельцев скомпрометированных веб-сайтов.