Lillin scanner, основанный на BotenaGo, активно заражает DVR-девайсы
Не прошло и пол года (на самом деле прошло), как другие злоумышленники начали адаптировать слитые ранее исходники ботнета BotenaGo под свои цели. Данный, так сказать, форк обнаружен исследователями из Nozomi Networks Labs и нацелен на заражение исключительно DVR (digital video recorder, те самые коробки, которые пишут видеофиды с камер видеонаблюдения) производства Lilin (отсюда и название, «Lillin scanner»). Для проникновения на девайсы используется эксплойт для RCE почти двухлетней давности: как оказалось, уязвимых DVR все еще достаточно много, что может частично объяснить столь узкую специализацию. Также на момент публикации доклада ни один из антивирусов на VirusTotal не детектил вредонос. По словам исследователей, это может быть вызвано тем, что бинарник, мягко говоря, в меру упитанный (2.8Мб), и непосредственно вредоносного кода в нем не так уж и много.
Помимо сильно урезанного набора эксплойтов Lillin отличается от BotenaGo еще и использованием сторонней тулзы для составления списков IP-адресов потенциально уязвимых устройств. Затем наш сканер, вооружившись RCE и дюжиной дефолтных креденшлов, аки свидетель Иеговы стучится ко всем, кому не повезло туда попасть, и предлагает поговорить о Mirai. При чем тут Mirai? Дело в том, что пейлоды, запускаемые Lillin после эксплуатации RCE, содержат именно его. Mirai в свою очередь таргетит куда больше устройств, так что эксплойт Lilin DVR явно является начальной стадией для более масштабной волны заражений.
Впрочем, по словам исследователей, даже с учетом более широких возможностей Mirai на текущий момент кампания не особо опасна: Lillin не умеет распространяться сам по себе, т.к. сканирование и заражение выполняются вручную.
@NeKaspersky
Не прошло и пол года (на самом деле прошло), как другие злоумышленники начали адаптировать слитые ранее исходники ботнета BotenaGo под свои цели. Данный, так сказать, форк обнаружен исследователями из Nozomi Networks Labs и нацелен на заражение исключительно DVR (digital video recorder, те самые коробки, которые пишут видеофиды с камер видеонаблюдения) производства Lilin (отсюда и название, «Lillin scanner»). Для проникновения на девайсы используется эксплойт для RCE почти двухлетней давности: как оказалось, уязвимых DVR все еще достаточно много, что может частично объяснить столь узкую специализацию. Также на момент публикации доклада ни один из антивирусов на VirusTotal не детектил вредонос. По словам исследователей, это может быть вызвано тем, что бинарник, мягко говоря, в меру упитанный (2.8Мб), и непосредственно вредоносного кода в нем не так уж и много.
Помимо сильно урезанного набора эксплойтов Lillin отличается от BotenaGo еще и использованием сторонней тулзы для составления списков IP-адресов потенциально уязвимых устройств. Затем наш сканер, вооружившись RCE и дюжиной дефолтных креденшлов, аки свидетель Иеговы стучится ко всем, кому не повезло туда попасть, и предлагает поговорить о Mirai. При чем тут Mirai? Дело в том, что пейлоды, запускаемые Lillin после эксплуатации RCE, содержат именно его. Mirai в свою очередь таргетит куда больше устройств, так что эксплойт Lilin DVR явно является начальной стадией для более масштабной волны заражений.
Впрочем, по словам исследователей, даже с учетом более широких возможностей Mirai на текущий момент кампания не особо опасна: Lillin не умеет распространяться сам по себе, т.к. сканирование и заражение выполняются вручную.
@NeKaspersky
👍2😱1
Уязвимость в UEFI-фирмвари Lenovo угрожает ноутам более 100 различных моделей
Обсуждаемые баги обнаружены исследователями ESET в октябре прошлого года, тогда же о них сообщили Lenovo. Под угрозой оказались весьма популярные у массового потребителя ноуты, вроде IdeaPad 3, Legion 5 Pro-16ACH6 H и Yoga Slim 9-14ITL05, что потенциально влечет за собой появление миллионов уязвимых девайсов. К счастью, владельцам нормальной техники (т.е. Thinkpad-ов), боятся нечего, а остальные могут проверить свой девайс на уязвимость тут.
Всего обнаружили три уязвимости, две из которых (CVE-2021-3971 и CVE-2021-3972) позволяли отключить защиту SPI-флешки с прошивкой UEFI и механизм Secure Boot, что определенно оценят злоумышленники, решившие подселить малварь непосредственно в UEFI. Третий (CVE-2021-3970) позволяет выполнять произвольный код с повышенными привилегиями.
Что интересно, 3971 и 3972 обнаружены в драйверах с говорящими названиями SecureBackDoor и SecureBackDoorPeim, которые, естественно, попали в прошивку по досадному недоразумению, а так нужны только в процессе производства (и вообще все это было давно и неправда).
Естественно, если вдруг ваш девайс числится в списке уязвимых, фирмварь стоит немдленно обновить, поскольку засевший там вредонос весьма проблематично обнаружить, а его возможности практически безграничны.
@NeKaspersky
Обсуждаемые баги обнаружены исследователями ESET в октябре прошлого года, тогда же о них сообщили Lenovo. Под угрозой оказались весьма популярные у массового потребителя ноуты, вроде IdeaPad 3, Legion 5 Pro-16ACH6 H и Yoga Slim 9-14ITL05, что потенциально влечет за собой появление миллионов уязвимых девайсов. К счастью, владельцам нормальной техники (т.е. Thinkpad-ов), боятся нечего, а остальные могут проверить свой девайс на уязвимость тут.
Всего обнаружили три уязвимости, две из которых (CVE-2021-3971 и CVE-2021-3972) позволяли отключить защиту SPI-флешки с прошивкой UEFI и механизм Secure Boot, что определенно оценят злоумышленники, решившие подселить малварь непосредственно в UEFI. Третий (CVE-2021-3970) позволяет выполнять произвольный код с повышенными привилегиями.
Что интересно, 3971 и 3972 обнаружены в драйверах с говорящими названиями SecureBackDoor и SecureBackDoorPeim, которые, естественно, попали в прошивку по досадному недоразумению, а так нужны только в процессе производства (и вообще все это было давно и неправда).
Естественно, если вдруг ваш девайс числится в списке уязвимых, фирмварь стоит немдленно обновить, поскольку засевший там вредонос весьма проблематично обнаружить, а его возможности практически безграничны.
@NeKaspersky
BleepingComputer
Lenovo UEFI firmware driver bugs affect over 100 laptop models
Lenovo has published a security advisory on vulnerabilities that impact its Unified Extensible Firmware Interface (UEFI) loaded on at least 100 of its laptop models.
👍3💩1
Хотфикс амазона для log4shell позволял осуществить побег из контейнеров
Не хочется триггерить ПТСР читателей, но log4shell снова напомнил о себе, причем не в самом очевидном ключе. На этот раз патчить патчи пришлось облачному провайдеру амазона (AWS). 14 декабря AWS выпустили набор фиксов, исправляющих log4shell в уязвимых контейнерах и серверах «на лету», однако всего через неделю исследователи из Unit42 обнаружили неприятную побочку, позволяющую малвари сбежать из контейнеров или повысить привилегии до рута. Обнаруженные баги теперь отслеживаются как CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 и CVE-2022-0071, а исправленные версии фиксов вышли буквально вчера.
Однако, вернемся к хотпатчам. Во время упомянутого безумия AWS опенсорснули несколько решений, исправляющих уязвимость в другом софте: hot patch service, упакованный в rpm- или deb-пакеты, hot patch Daemonset для Kubernetes, который ставит hot patch service на все кубоноды, и Hotdog — сет OCI-хуков, предназначенный в первую очередь для работы с амазоновским hardened дистром для контейнеров «Bottlerocket».
Упомянутый сервис ищет среди запущенных процессов бинарники с именем
Представим, что пользователь запускает контейнер, в котором есть бинарник, который выглядит как java, но плавает и крякает совсем не как java, а как полноценная малварь, при этом бинарник запущен от рута, а в контейнере ограничен доступ только к пространству пользователя, но отключен стафф, отвечающий за изоляцию. В этом случае после «исправления» фейковая джава получит буст в привилегиях и сможет захватить контроль над хостом. По похожей логике может произойти повышение привилегий для приложений, запущенных непосредственно на хосте: любой файл с названием
Для исправления уязвимостей пользователям hot patch service и любителям хотдогов следует обновить (удалить) соответствующие пакеты, а вот с кубом все чуть сложнее: нужно руками запустить апдейт сервиса на каждой ноде (при этом удаление Daemonset-а на хосте не будет автоматически сносить инсталляции сервиса).
P.S. PoC-видео для интересующихся.
@NeKaspersky
Не хочется триггерить ПТСР читателей, но log4shell снова напомнил о себе, причем не в самом очевидном ключе. На этот раз патчить патчи пришлось облачному провайдеру амазона (AWS). 14 декабря AWS выпустили набор фиксов, исправляющих log4shell в уязвимых контейнерах и серверах «на лету», однако всего через неделю исследователи из Unit42 обнаружили неприятную побочку, позволяющую малвари сбежать из контейнеров или повысить привилегии до рута. Обнаруженные баги теперь отслеживаются как CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 и CVE-2022-0071, а исправленные версии фиксов вышли буквально вчера.
Однако, вернемся к хотпатчам. Во время упомянутого безумия AWS опенсорснули несколько решений, исправляющих уязвимость в другом софте: hot patch service, упакованный в rpm- или deb-пакеты, hot patch Daemonset для Kubernetes, который ставит hot patch service на все кубоноды, и Hotdog — сет OCI-хуков, предназначенный в первую очередь для работы с амазоновским hardened дистром для контейнеров «Bottlerocket».
Упомянутый сервис ищет среди запущенных процессов бинарники с именем
java и пытается их пропатчить вне зависимости от того, запущены ли они в контейнере. В процессе исправления бинарники запускаются по два раза, в первый — чтобы определить версию джавы, во второй — уже с инжектнутым патчем. Проблема, однако, заключалась в том, что запуск бинарников происходил без нормальной их контейниризации.Представим, что пользователь запускает контейнер, в котором есть бинарник, который выглядит как java, но плавает и крякает совсем не как java, а как полноценная малварь, при этом бинарник запущен от рута, а в контейнере ограничен доступ только к пространству пользователя, но отключен стафф, отвечающий за изоляцию. В этом случае после «исправления» фейковая джава получит буст в привилегиях и сможет захватить контроль над хостом. По похожей логике может произойти повышение привилегий для приложений, запущенных непосредственно на хосте: любой файл с названием
java после применения патча будет запущен с теми же правами, что и настоящая джава.Для исправления уязвимостей пользователям hot patch service и любителям хотдогов следует обновить (удалить) соответствующие пакеты, а вот с кубом все чуть сложнее: нужно руками запустить апдейт сервиса на каждой ноде (при этом удаление Daemonset-а на хосте не будет автоматически сносить инсталляции сервиса).
P.S. PoC-видео для интересующихся.
@NeKaspersky
👍2
Разведывательная сеть "Пять глаз" ( США, Великобритания, Канада, Австралия и Новая Зеландия) сообщила, что Россия готовит мощную кибератаку против тех стран, которые поддерживают Украину.
👍14🔥7👎4😁1
Binance решили окончательно добить многострадальный российский народ и запретили участвовать россиянам в торгах и пополнять счета. Совпадение или нет, но вчера в день рождения Гитлера, биржа выпустила новые эмодзи, которые напоминают свастику. Вот кому надо устроить денацификацию. Настоящие нацисты в Binance.
😁17👍3🤮1
This media is not supported in your browser
VIEW IN TELEGRAM
Русские хакеры взломали украинский канал 1+1 и опубликовали на бегущей строке слоган Мариупольских ополченцев
😁23🤮11🔥3👍2
Hive нацелились на серверы Microsoft Exchange
По сообщениям исследователей из Varonis, для получения начального доступа рансомварщики используют ProxyShell — достаточно старый набор из трех багов (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31297), дающий RCE без необходимости аутентификации.
В исследуемом кейсе следующим шагом стало развертывание четырех опенсорсных веб-шеллов и выполнение .ps-скрипта для загрузки Cobalt Strike. Запустив Mimikatz от имени забекдоренной таким образом учетки, им удалось добыть креденшлы администратора домена и выполнить боковое перемещение. Для этого, что занятно, решили воспользоваться легитимной тулзой «SoftPerfect Network Scanner»: с его помощью искали живые хосты в сети, на которые в последствии распространяли свою малварь.
Затем на скомпрометированных машинах искали важные данные, чтобы пригрозить компании их публикацией, тем самым увеличив вероятность получения выкупа. Когда с этим было покончено, рансомварщики (естественно, после удаления бэкапов, отключения Защитника Windows и заметания следов) свалили в закат, оставив после себя лишь шифровальщик, бинарник которого назвали
@NeKaspersky
По сообщениям исследователей из Varonis, для получения начального доступа рансомварщики используют ProxyShell — достаточно старый набор из трех багов (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31297), дающий RCE без необходимости аутентификации.
В исследуемом кейсе следующим шагом стало развертывание четырех опенсорсных веб-шеллов и выполнение .ps-скрипта для загрузки Cobalt Strike. Запустив Mimikatz от имени забекдоренной таким образом учетки, им удалось добыть креденшлы администратора домена и выполнить боковое перемещение. Для этого, что занятно, решили воспользоваться легитимной тулзой «SoftPerfect Network Scanner»: с его помощью искали живые хосты в сети, на которые в последствии распространяли свою малварь.
Затем на скомпрометированных машинах искали важные данные, чтобы пригрозить компании их публикацией, тем самым увеличив вероятность получения выкупа. Когда с этим было покончено, рансомварщики (естественно, после удаления бэкапов, отключения Защитника Windows и заметания следов) свалили в закат, оставив после себя лишь шифровальщик, бинарник которого назвали
Windows.exe.@NeKaspersky
Пока вы работали, Мосгорсуд тоже не сидел без дела и оценил слитые в сеть данные сотен тысяч клиентов Яндекс.Еды в 60 тысяч рублей, что втрое меньше месячной зарплаты хорошего ИБ-специалиста.
Яндекс, очевидно, выбрал путь не платить хорошую зп ИБ-шникам, а раз в полгода допускать утечку данных пользователей, которая выходит компании гораздо дешевле.
Яндекс, очевидно, выбрал путь не платить хорошую зп ИБ-шникам, а раз в полгода допускать утечку данных пользователей, которая выходит компании гораздо дешевле.
💩23👍12
REvil живее всех живых
Группировка, стоявшая за атакой на Kaseya и рядом ransomware-атак подала признаки жизни.
Сайт группировки появился в сети TOR. Создатели зарегистрировали новое onion-имя и продвигают его на русскоязычном хакерском форуме RuTOR. На площадку можно попасть через редирект с старого сайта утечек. На страницах сайта есть длинный список жертв прошлых атак и две свежие записи.
В январе ФСБ совместно с ФБР задержали 14 предполагаемых хакеров, а первые аресты в Западной Европе были произведены в октябре и ноябре 2021, но, вероятно, после небольшой паузы оставшиеся на свободе участники хакерской группировки возобновили деятельность.
@NeKaspersky
Группировка, стоявшая за атакой на Kaseya и рядом ransomware-атак подала признаки жизни.
Сайт группировки появился в сети TOR. Создатели зарегистрировали новое onion-имя и продвигают его на русскоязычном хакерском форуме RuTOR. На площадку можно попасть через редирект с старого сайта утечек. На страницах сайта есть длинный список жертв прошлых атак и две свежие записи.
В январе ФСБ совместно с ФБР задержали 14 предполагаемых хакеров, а первые аресты в Западной Европе были произведены в октябре и ноябре 2021, но, вероятно, после небольшой паузы оставшиеся на свободе участники хакерской группировки возобновили деятельность.
@NeKaspersky
👍7🔥4
В целых 10 раз выросло количество спам-писем, нацеленных на разные организации
Обнаружен резкий рост спам атак, нацеленных на организации разных стран. Данные спам-письма в основном содержат в себе два банковских трояна, таких как Qbot и Emotet, которые функционируют как часть сетей ботнетов.
За какой-то месяц (с февраля 2022 по март того же года) количество спам-писем с вредоносным содержимым выросло с 3000 писем, до 30000 т.е. в 10 раз. Столь резкий рост довольно сильно удивляет. Вероятно, он связан с растущей активностью Emotet botnet. Вредоносные электронные письма были обнаружены на английском, французском, венгерском, итальянском, норвежском, польском, русском, словенском и испанском языках.
Распространяемые банковские трояны Qbot и Emotet довольно известны. QakBot, также известный как QBot, QuackBot и Pinkslipbot, является банковским трояном, который существует уже более десяти лет. В последние годы стал одним из ведущих банковских троянов по всему миру. Его основная цель – украсть банковские учетные данные (например, логины, пароли и т. д.). Хотя он также приобрел функциональность, позволяющую ему шпионить за финансовыми операциями, распространять себя и устанавливать вымогателей, чтобы максимизировать доход от скомпрометированных организаций. Emotet, в свою очередь, получил известность в 2014 году. Тогда его основной функцией была кража учетных данных пользовательского банкинга. С тех пор вредонос пережил многочисленные преобразования, начал поставлять другие вредоносные программы и, наконец, стал мощным ботнетом. Т.е и QakBot, и Emotet могут украсть данные пользователей, включая данные корпоративной сети, установить трояны на других устройствах. Одной из функций Qbot также является кража доступа к электронной почте.
Кампания по распространению вредоносных программ структурирована следующим образом: киберпреступники перехватывают уже существующую корреспонденцию и отправляют получателям электронное письмо. Цель электронного письма – убедить пользователей либо перейти по ссылке, загрузить архивный документ и открыть его (иногда с помощью пароля, указанного в электронном письме, либо просто открыть вложение электронной почты). Чтобы убедить пользователей открыть или загрузить файл, злоумышленники обычно заявляют, что он содержит некоторую важную информацию, такую как коммерческое предложение.
Будьте бдительны при просмотре писем, приходящих к вам на почту, пользуйтесь антивирусным ПО и старайтесь не переходить по подозрительным ссылкам.
@NeKaspersky
Обнаружен резкий рост спам атак, нацеленных на организации разных стран. Данные спам-письма в основном содержат в себе два банковских трояна, таких как Qbot и Emotet, которые функционируют как часть сетей ботнетов.
За какой-то месяц (с февраля 2022 по март того же года) количество спам-писем с вредоносным содержимым выросло с 3000 писем, до 30000 т.е. в 10 раз. Столь резкий рост довольно сильно удивляет. Вероятно, он связан с растущей активностью Emotet botnet. Вредоносные электронные письма были обнаружены на английском, французском, венгерском, итальянском, норвежском, польском, русском, словенском и испанском языках.
Распространяемые банковские трояны Qbot и Emotet довольно известны. QakBot, также известный как QBot, QuackBot и Pinkslipbot, является банковским трояном, который существует уже более десяти лет. В последние годы стал одним из ведущих банковских троянов по всему миру. Его основная цель – украсть банковские учетные данные (например, логины, пароли и т. д.). Хотя он также приобрел функциональность, позволяющую ему шпионить за финансовыми операциями, распространять себя и устанавливать вымогателей, чтобы максимизировать доход от скомпрометированных организаций. Emotet, в свою очередь, получил известность в 2014 году. Тогда его основной функцией была кража учетных данных пользовательского банкинга. С тех пор вредонос пережил многочисленные преобразования, начал поставлять другие вредоносные программы и, наконец, стал мощным ботнетом. Т.е и QakBot, и Emotet могут украсть данные пользователей, включая данные корпоративной сети, установить трояны на других устройствах. Одной из функций Qbot также является кража доступа к электронной почте.
Кампания по распространению вредоносных программ структурирована следующим образом: киберпреступники перехватывают уже существующую корреспонденцию и отправляют получателям электронное письмо. Цель электронного письма – убедить пользователей либо перейти по ссылке, загрузить архивный документ и открыть его (иногда с помощью пароля, указанного в электронном письме, либо просто открыть вложение электронной почты). Чтобы убедить пользователей открыть или загрузить файл, злоумышленники обычно заявляют, что он содержит некоторую важную информацию, такую как коммерческое предложение.
Будьте бдительны при просмотре писем, приходящих к вам на почту, пользуйтесь антивирусным ПО и старайтесь не переходить по подозрительным ссылкам.
@NeKaspersky
👍6
В Jira исправили уязвимость, позволявшую обойти аутентификацию
О фиксе рассказали Atlassian, разработчики багтрекера, по словам которых ошибка пряталась в Seraph, фреймворке безопасности, используемом в Jira и Confluence для обработки запросов на вход в и выход из учетки.
Уязвимость получила идентификатор CVE-2022-0540 и некислые 9,9 по CVSS. Затронуты следующие продукты:
Jira Core Server, Software Server и Software Data Center версий < 8.13.18, 8.14 — 8.20.6 и 8.21;
Jira Service Management Server и Management Data Center < 4.13.18, 4.14 — 4.20.6, 4.21.
При этом в опасности только инстансы, сконфигурированные особым образом, а облачные версии вообще не пострадали.
Последствия эксплуатации также могут отличаться в зависимости от используемых приложений: например, некоторые из них делают дополнительные проверки разрешений пользователя, всецело не полагаясь на Seraph. Если в Jira вообще не используются приложения полагающиеся на уязвимый вариант конфигурации, степень опасности снижается до средней.
Наиболее простым способом обезопасить себя, как обычно, являются обновление затронутых продуктов. Если такой возможности нет, Atlassian рекомендует хотя бы обновить уязвимые приложения, если их авторы выпустили фикс, или отказаться от их использования, пока такая возможность не появится.
@NeKaspersky
О фиксе рассказали Atlassian, разработчики багтрекера, по словам которых ошибка пряталась в Seraph, фреймворке безопасности, используемом в Jira и Confluence для обработки запросов на вход в и выход из учетки.
Уязвимость получила идентификатор CVE-2022-0540 и некислые 9,9 по CVSS. Затронуты следующие продукты:
Jira Core Server, Software Server и Software Data Center версий < 8.13.18, 8.14 — 8.20.6 и 8.21;
Jira Service Management Server и Management Data Center < 4.13.18, 4.14 — 4.20.6, 4.21.
При этом в опасности только инстансы, сконфигурированные особым образом, а облачные версии вообще не пострадали.
Последствия эксплуатации также могут отличаться в зависимости от используемых приложений: например, некоторые из них делают дополнительные проверки разрешений пользователя, всецело не полагаясь на Seraph. Если в Jira вообще не используются приложения полагающиеся на уязвимый вариант конфигурации, степень опасности снижается до средней.
Наиболее простым способом обезопасить себя, как обычно, являются обновление затронутых продуктов. Если такой возможности нет, Atlassian рекомендует хотя бы обновить уязвимые приложения, если их авторы выпустили фикс, или отказаться от их использования, пока такая возможность не появится.
@NeKaspersky
👍3
Drupal сообщили о выпуске обновлений безопасности для устранения пары уязвимостей, которые могут привести к обходу проверки прав доступа и перезаписи данных
Первый баг мог вылиться в ситуацию, когда пользователь, имеющий доступ к ревизиям — местной системе, позволяющей отслеживать изменение контента нод — в целом, но не определенных типов контента в частности, обойти упомянутые ограничения. Проблема вызвана неполной интеграцией Entity API с существующей системой прав доступа, присутствует только в Drupal 9.3 и релевантна исключительно для сайтов, использующих ревизии.
Второй обнаружился в core form API и заключается в косячной валидации пользовательского ввода, в результате чего формы, сгенерированные кастомными модулями (в дефолтных такой возможности найдено не было), можно заставить переписать данные сайта путем ввода в норме запрещенных символов. Затронуты все версии до данного апдейта.
Оба бага оценили как «умеренно критические», а пользователям порекомендовали обновиться до последних версий: с 9.3.x до 9.3.12, с 9.2.x до 9.2.18. Версии старше 9.2 мертвы и не получают обновлений.
@NeKaspersky
Первый баг мог вылиться в ситуацию, когда пользователь, имеющий доступ к ревизиям — местной системе, позволяющей отслеживать изменение контента нод — в целом, но не определенных типов контента в частности, обойти упомянутые ограничения. Проблема вызвана неполной интеграцией Entity API с существующей системой прав доступа, присутствует только в Drupal 9.3 и релевантна исключительно для сайтов, использующих ревизии.
Второй обнаружился в core form API и заключается в косячной валидации пользовательского ввода, в результате чего формы, сгенерированные кастомными модулями (в дефолтных такой возможности найдено не было), можно заставить переписать данные сайта путем ввода в норме запрещенных символов. Затронуты все версии до данного апдейта.
Оба бага оценили как «умеренно критические», а пользователям порекомендовали обновиться до последних версий: с 9.3.x до 9.3.12, с 9.2.x до 9.2.18. Версии старше 9.2 мертвы и не получают обновлений.
@NeKaspersky
Drupal.org
Drupal core - Moderately critical - Access bypass - SA-CORE-2022-009
Drupal 9.3 implemented a generic entity access API for entity revisions. However, this API was not completely integrated with existing permissions, resulting in some possible access bypass for users who have access to use revisions of content generally, but…
👍2
This media is not supported in your browser
VIEW IN TELEGRAM
Российские хакеры снова взломали украинское телевидение и написали в бегущей строке «Ваш президент убит, сложите оружие, Киев окружён, слава России»
😁25👎12👍4❤1🤡1
А вот и фото с киберучений Locked Shields, где Кока-кола, судя по всему, является спонсором
Топ 3 неочевидных тендера в сфере ИБ:
Облачная платформа ростовской области, криптографическая защита чувашских судов и Следком
Облачная платформа ростовской области, криптографическая защита чувашских судов и Следком
👍5