Обзор уязвимостей за неделю: 22 мая 2020 года

Были обнаружены уязвимости в Google Chrome, Apache Camel и Apache Tomcat, решении Cisco Unified CCX и пр.

За последнюю неделю был обнаружен ряд уязвимостей в Google Chrome, Apache Camel и Apache Tomcat, решении Cisco Unified CCX, решении Schneider Electric EcoStruxure Operator Terminal Expert, плагине WordPress Infinite Scroll - Ajax Load More и пр.

В интегрированной среде с открытым исходным кодом Apache Camel были устранены множественные уязвимости, две из которых были критические ( CVE-2020-11973 и CVE-2020-11972 ). Обе проблемы могут быть использованы для выполнения удаленного кода.

Apache Software Foundation сообщил об опасной уязвимости ( CVE-2020-9484 ) в контейнере сервлетов Java с открытым исходным кодом Apache Tomcat, эксплуатация которой позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Проблема связана с некорректной проверкой десериализованных данных. Проблема затрагивает версии Apache Tomcat с 10.0.0-M1 по 10.0.0-M4, Apache Tomcat с 9.0.0.M1 по 9.0.34, Apache Tomcat с 8.5.0 по 8.5.54, Apache Tomcat с 7.0.0 по 7.0.103

Компания Google исправила в своем браузере Chrome более 30 уязвимостей , в том числе несколько опасных: использование после освобождения в режиме чтения (CVE-2020-6465), использование после освобождения в медиа (CVE-2020-6466), использование после освобождения в WebRTC (CVE-2020-6467), несоответствие используемых типов данных в движке V8 (CVE-2020-6468) и некорректное применение политик в инструментах разработчика (CVE-2020-6469).

Cisco исправила критическую уязвимость ( CVE-2020-3280 ) в решении Cisco Unified Contact Center Express. Уязвимость содержится в интерфейсе удаленного управления Java решения UCCX и связана с небезопасной десериализацией предоставленного пользователем содержимого уязвимым программным обеспечением. Злоумышленник может воспользоваться данной уязвимостью путем отправки вредоносного сериализованного Java-объекта уязвимой системе. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код с правами суперпользователя на уязвимом устройстве.

В решении Schneider Electric EcoStruxure Operator Terminal Expert обнаружено множество уязвимостей, наиболее опасная из которых ( CVE-2020-7493 ) могла позволить удаленным злоумышленникам выполнить произвольный код.

В бесплатном клиенте протокола удаленного рабочего стола FreeRDP содержатся более десятка уязвимостей , шесть из которых являются критическими и могут быть использованы для удаленного выполнения кода или осуществления DoS-атак.

В плагине WordPress Infinite Scroll – Ajax Load More обнаружена уязвимость SQL-инъекций, эксплуатация которой позволяет удаленному злоумышленнику выполнять произвольные SQL-запросы в базе данных и читать, удалять и изменять информацию в базе данных.

Компания Adobe выпустила внеплановое исправление для критической уязвимости ( CVE-2020-9586 ) в приложении для создания живых анимационных видеороликов с захватом движения Adobe Character Animator. Эксплуатация уязвимости позволяет злоумышленнику удаленно выполнить код на уязвимой системе. Проблема переполнения буфера в стеке затрагивает версии Adobe Character Animator 3.2 и старше и связана с синтаксическим анализом элемента BoundingBox в PostScript.

Компания также выпустила исправления для Adobe Premiere Pro и Adobe Premiere Rush , устраняющие две проблемы, которые могут быть использованы злоумышленниками для получения доступа к конфиденциальной информации.

Источник: https://www.securitylab.ru/news/508586.php

Злоумышленники взломали 3 хакерских форума

Злоумышленники взломали форумы и опубликовали их базы данных в Сети.

Три хакерских форума Nulled.ch, Sinfulsite.com и suxx.to были взломаны неизвестными злоумышленниками, а их базы данных оказались в Сети в открытом доступе. Утечку данных обнаружили специалисты из компании Cyble.

Подпольные форумы используются хакерами и киберпреступниками для участия в общих дискуссиях и обмена соответствующими ресурсами. Участники форумов делятся и продают похищенные данные, вредоносные инструменты, вредоносное программное обеспечение, руководства и пр. Предположительно, базы данных утекли в Сеть в мае 2020 года.

В базах данных содержалась подробная информация о пользователях форумов SUXX.TO и Nulled, а также личные сообщения пользователей сайта Sinful.

Эксперты из Cyble сообщили, что все обнаруженные базы данных были проиндексированы в сервисе поиска утечек данных AmIBreache

Источник: https://www.securitylab.ru/news/508628.php

Госдума приняла закон о блокировке приложений с пиратским контентом

Мобильные приложения, нарушающие авторские и смежные права, будут блокироваться с 1 октября.

Депутаты Государственной Думы приняли во втором и третьем чтениях поправки в Федеральный закон «Об информации, информационных технологиях и о защите информации» о блокировке мобильных приложений с пиратским контентом. Мобильные приложения, нарушающие авторские и смежные права, будут блокироваться с 1 октября.

В апреле нынешнего года депутаты вернулись к замороженному в 2018 году законопроекту о блокировке пиратского контента в мобильных приложениях. Роскомнадзор получит возможность требовать блокировки нелегального контента не только от разработчиков приложений, но и от магазинов, таких как App Store и Google Play Store. Если разработчик не удовлетворит данные требования, Роскомнадзор будет обязан заблокировать приложение.

В мае представители Российской ассоциации электронных коммуникаций (РАЭК), Ассоциации торговых компаний и товаропроизводителей электробытовой и компьютерной техники (РАТЭК) и Американской торговой палаты в России предложили смягчить данный законопроект, однако члены комитета Госдумы по информполитике с Минкомсвязью и Государственно-правовым управлением президента не поддержали предложения, поскольку законопроект направлен на блокировку только контента, нарушающего авторские права, а не приложений в целом.

Источник: https://www.securitylab.ru/news/508703.php

Обзор уязвимостей за неделю: 29 мая 2020 года

Были обнаружены уязвимости в macOS Catalina, OpenSSH, FreeRDP, Apache Kylin и пр.

Компания Apple выпустила обновления безопасности, устраняющие множественные уязвимости в macOS Catalina 10.15.5. Проблемы затрагивают различные компоненты, включая Accounts, AirDrop, Audio, Bluetooth, Calendar, ImageIO, Kernel, ksh, PackageKit, Sandbox, SQLite, USB Audio, Wi-Fi и zsh. Эксплуатация уязвимостей позволяет вызвать отказ в обслуживании системы, обойти ограничения песочницы, вызвать утечку персональной информации, выполнить произвольный код, удалить пользовательские данные или повысить привилегии.

Набор программ для создания защищенных соединений OpenSSH содержит уязвимость , позволяющую удаленному злоумышленнику записывать произвольные файлы на системе жертвы. Проблема затрагивает версии OpenSSH 5.0p1, 5.1p1, 5.2p1, 5.3p1, 5.4p1, 5.5p1, 5.6p1, 5.7p1, 5.8p1, 5.8p2, 5.9p1, 6.0p1, 6.1p1, 6.2p1, 6.2p2, 6.3p1, 6.4p1, 6.5p1, 6.6p1, 6.6p1, 6.7p1, 6.8p1, 6.9p1, 7.0p1, 7.1p1, 7.1p2, 7.2p1, 7.2p1, 7.2p2, 7.3p1, 7.4p1, 7.5p1 , 7.6p1, 7.7p1, 7.8p1, 7.9p1, 8.0p1, 8.1p1 и 8.2p1.

В виртуальном устройстве Trend Micro InterScan Web Security Virtual Appliance было обнаружено несколько уязвимостей , одна из которых является опасной (CVE-2020-8606). Эксплуатация данной проблемы позволяет удаленному злоумышленнику обойти процесс аутентификации. Другие уязвимости могут быть использованы для выполнения произвольных команд на системе, выполнения атак через каталог или проведения межсайтового скриптинга.

Опасная уязвимость ( CVE-2020-13398 ) была обнаружена в версиях FreeRDP 2.1.1 и старше. Уязвимость записи за пределами поля содержится в функции crypto_rsa_common в libfreerdp/crypto/crypto.c. Удаленный злоумышленник может отправить специально сформированные данные в приложение, проэксплуатировать уязвимость и выполнить произвольный код на целевой системе.

В платформе распределенной аналитики с открытым исходным кодом Apache Kylin содержится уязвимость ( CVE-2020-1956 ), позволяющая удаленному злоумышленнику выполнять произвольные shell-команды и ставить под угрозу целевую систему. Уязвимость связана с некорректной проверки ввода в RESTFull API и может быть использована путем отправки специально сформированных данных в приложение.

В приложении Cybozu Desktop для Windows содержится уязвимость ( CVE-2020-5537 ), позволяющая злоумышленнику выполнить MitM-атаку или осуществить перехват поддомена и выполнить произвольный код на системе.

В web-приложении для управления базами данных MSSQL MyLittleAdmin была обнаружена опасная проблема ( CVE-2020-13166 ). Уязвимость заключается в наличии встроенного параметра «machineKey» в web.config., который может быть использован для полной компрометации целевой системы.

Источник: https://www.securitylab.ru/news/508737.php

Обзор инцидентов безопасности за период с 25 по 31 мая 2020 года

Прошедшая неделя ознаменовалась большим количеством сообщений о взломах и утечках.

На прошлой неделе появилось много сообщений об утечках данных и взломах, в том числе осуществленных APT-группами. Об этих и других инцидентах безопасности, имевших место с 25 по 31 мая 2020 года, читайте в нашем обзоре.

Как стало известно в начале недели, персональные данные более 200 тыс. пользователей криптовалютных бирж, платформ и финансовых приложений были выставлены на продажу в Сети. Базы данных содержали имена, физические и электронные адреса, а также номера телефонов владельцев криптовалютных кошельков Ledger и Trezor, пользователей аппаратного кошелька KeepKey, платформ BnktotheFuture, LoanBase и других криптовалютных площадок (включая Korbit, Augur и Coinigy).

На продажу в Сети также было выставлено более трех десятков баз данных SQL, похищенных у online-магазинов в разных странах. В общей сложности продавец предлагает более 1,5 млн записей, но количество похищенных данных может быть намного больше. Злоумышленник взламывает незащищенные серверы, копирует базы данных и оставляет сообщение с требованием выкупа за похищенную информацию. У жертв есть 10 дней для уплаты выкупа, иначе преступник грозит опубликовать БД или использовать по своему усмотрению.

Операторы вымогательского ПО Maze опубликовали данные кредитных карт, похищенные у государственного банка Коста-Рики (Banco de Costa Rica, BCR). 30 апреля операторы вымогателя Maze сообщили о похищении данных кредитных карт более 11 млн клиентов BCR, 140 тыс. из которых принадлежали гражданам США. Тем не менее, финорганизация отрицала факт компрометации своих систем. В качестве доказательства взлома операторы Maze выложили похищенную информацию в открытый доступ.

Неизвестные взломали хакерские форумы Nulled.ch, Sinfulsite.com и suxx.to и опубликовали их базы данных в открытом доступе. В БД содержалась подробная информация пользователей SUXX.TO и Nulled, а также личные сообщения пользователей сайта Sinful.

В четверг, 28 мая, японская телекоммуникационная компания NTT Communications сообщила об утечке данных в результате несанкционированного доступа к ее сети, затрагивающей 621 компанию. Похищенные документы могут содержать сведения о коммуникационном оборудовании, расположении военно-морских сил в порте Йокосука, а также о линиях связи в десяти локациях Сил самообороны Японии.

Неизвестные злоумышленники взломали ряд серверов компании Cisco Systems, использующих платформу Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE). Преступники проэксплуатировали критические уязвимости во фреймворке с открытым исходным кодом SaltStack Salt. Благодаря этому им удалось скомпрометировать шесть серверов серверной инфраструктуры: us-1.virl.info, us-2.virl.info, us-3.virl.info, us-4.virl.info, vsm. -us-1.virl.info и vsm-us-2.virl.info.

Команда безопасности GitHub предупредила о новом вредоносном ПО под названием Octopus Scanner, которое распространяется по сайту через вредоносные Java-проекты.

Вредонос был обнаружен в проектах, управляемых с помощью инструмента Apache NetBeans IDE, предназначенного для написания и компиляции Java-приложений.

На прошлой неделе о себе снова дали знать финансируемые государствами APT-группы. В частности, группировка Sandworm проводит вредоносную кампанию против почтовых серверов, на которых установлен агент пересылки сообщений Exim. Киберпреступники эксплуатируют известную уязвимость CVE-2019-10149 , позволяющую удаленно выполнять код.

Правительство Германии в очередной раз предупредило операторов критической инфраструктуры о киберпреступной группировке Berserk Bear. С помощью как общедоступного, так и специально написанного вредоносного ПО злоумышленники укрепляются в сетях предприятий электро- и водоснабжения с целью похищения информации или доступа к производственным системам.

ИБ-специалисты также обнаружили новую, более совершенную версию ComRAT – одного из самых старых бэкдоров в арсенале APT-группы Turla. Зафиксировано как минимум три жертвы бэкдора – два министерства иностранных дел в Восточной Европе и парламент одной из стран Кавказского региона.

Источник: https://www.securitylab.ru/news/508770.php

Только треть пользователей меняет свои пароли после взлома

Большая часть вины лежит на взломанных сервисах, которые редко уведомляют пользователей о компрометации.

Только треть пользователей меняет свои пароли после уведомления о взломе. Результаты исследования ученых из лаборатории CyLab университета Карнеги Мелон были представлены в мае на семинаре IEEE 2020 по технологиям и защите потребителей и основывались не на опросах пользователей, а на фактическом трафике браузера.

Специалисты проанализировали web-трафик, собранный с помощью университетского проекта Security Behavior Observatory (SBO), где пользователи регистрируются и делятся своей полной историей браузера с целью помочь академическим исследованиям.

Набор данных исследовательской группы включал информацию, собранную с домашних компьютеров 249 участников в период с января 2017 года по декабрь 2018 года. По результатам анализа, из 249 пользователей только 63 имели учетные записи на взломанных доменах, которые уведомили о взломе. Из 63 пользователей только 21 (33%) посетил взломанные сайты с целью изменить свои пароли, а из этих 21 только 15 пользователей сменили пароли в течение трех месяцев после уведомления о компрометации.

В общей сложности было изменено 23 пароля. Два участника исследования сменили свои пароли дважды — один раз после каждого сообщения о взломе. Два участника сменили свой пароль на взломанном домене в течение одного месяца после объявления о нарушении, пять — в течение двух месяцев, и восемь — в течение трех месяцев.

Поскольку данные SBO также включали информацию о паролях, команда CyLab также смогла проанализировать сложность новых паролей пользователей. По словам экспертов, среди пользователей, изменивших пароли (21), только треть (9) сменила их на более надежные. Другие участники создавали пароли более слабые или аналогичные по силе путем повторного использования последовательностей символов из их предыдущих паролей или с использованием похожих паролей от других учетных записей.

Источник: https://www.securitylab.ru/news/508777.php

Произошел сбой в работе Telegram по всему миру

Большинство испытывают проблемы со входом, остальные отмечают невозможность отправить сообщение.

В работе Telegram вечером 6 июня произошел массовый сбой. Об этом свидетельствуют данные сервиса DownDetector 6 июня. Судя по ним, сбой случился около 11 часов вечера по Москве. Большинство испытывают проблемы со входом, остальные отмечают невозможность отправить сообщение.

На момент написания новости о проблемах в работе жаловались более 11 тыс. пользователей мессенджера. Подавляющее большинство из них — 93% — сообщают о невозможности подключения. У остальных не отправляются сообщения.

Больше всего сообщений о сбоях пришло из европейской части России — Москвы и Санкт-Петербурга, а также Белоруссии, Украины, Германии, Италии, Эстонии, Латвии, Франции и Испании.

Источник: https://www.securitylab.ru/news/508951.php

Июньский «вторник исправлений» стал крупнейшим за всю историю Microsoft

В нынешнем месяце Microsoft исправила за один раз рекордное количество уязвимостей.

Во вторник, 9 июня, компания Microsoft выпустила плановые ежемесячные обновления безопасности. Патчи исправляют 129 уязвимостей – максимальное количество проблем с безопасностью, когда-либо закрытых Microsoft в рамках одного «вторника исправлений». Однако, несмотря на количество уязвимостей, ни одна из них не является уязвимостью нулевого дня.

Ниже представлены самые опасные проблемы с безопасностью, исправленные Microsoft 9 июня:

CVE-2020-1181 – удаленное выполнение кода в Microsoft SharePoint;

CVE-2020-1225, CVE-2020-1226 – удаленное выполнение кода в Microsoft Excel;

CVE-2020-1223 – удаленное выполнение кода в Word для Android;

CVE-2020-1248 – удаленное выполнение кода в Windows Graphics Device Interface (GDI);

CVE-2020-1281 – удаленное выполнение кода в Windows OLE;

CVE-2020-1299 – удаленное выполнение кода в процессе обработки файлов .LNK;

CVE-2020-1300 – удаленное выполнение кода в компоненте диспетчера очереди печати;

CVE-2020-1301 – удаленное выполнение кода в протоколе Windows SMB (Server Message Block);

CVE-2020-1213, CVE-2020-1214, CVE-2020-1215, CVE-2020-1216, CVE-2020-1230, CVE-2020-1260 – удаленное выполнение кода в скриптинговом движке Windows VBScript.

Системным администраторам, управляющим большим количеством компьютеров на предприятиях, настоятельно рекомендуется протестировать обновления на наличие багов и установить их как можно скорее. В последнее время разработчики вредоносного ПО внимательно следят за выпускаемыми Microsoft ежемесячными обновлениями. Они выбирают самые полезные уязвимости, с помощью утилиты diff находят, что именно было исправлено, и создают эксплоиты для дальнейших атак.

Источник: https://www.securitylab.ru/news/509104.php

Новый метод атак позволяет воспроизвести разговор с помощью лампочки

С помощью световых изменений в лампочке ученые восстановили звуковые волны на расстоянии 25 метров.

Специалисты из Университета имени Бен-Гуриона и Института Вейцмана подробно описали новый метод восстановления разговоров и аудиозаписей путем анализа вибраций в лампочке. Метод, который они назвали Lamphone, основан на принципе вибрации объектов, когда звуковая волна ударяет их поверхность.

По словам ученых, вибрации в лампочке создают небольшие вспышки в излучении света. Используя мощные датчики, можно регистрировать изменения освещенности и реконструировать звуковые волны, падающие на поверхность лампочки.

Для осуществления атаки злоумышленнику нужна прямая видимость лампочки в ​​комнате или общественном месте. Лампы с декоративными плафонами или другими конструкциями защищены от подобной атаки, как и разговоры, которые происходят в помещениях без окон.

Как только лампочка оказывается в зоне видимости, злоумышленник может использовать такие инструменты, как телескоп и электрооптический датчик для фиксирования изменений освещенности в лампочке с больших расстояний. В ходе эксперимента ученым удалось успешно восстановить как человеческую речь, так и музыку в комнате на расстоянии 25 метров. Как отметили эксперты, этот диапазон можно усилить с помощью соответствующего оборудования (телескопа большего размера, 24/32-битного аналого-цифрового преобразователя и пр).

Одним из недостатков метода является то, что разговоры должны быть достаточно громкими, чтобы генерировать вибрации, или динамики должны находиться достаточно близко к лампочке. Также атака может быть осуществлена лишь против некоторых типов лампочек, и результаты могут отличаться в зависимости от производителя, модели и технических характеристик устройства.

Источник: https://www.securitylab.ru/news/509206.php