Сегодня в подборке новостей Jet CSIRT – ошибки безопасности в BusyBox, атаки на некорректно настроенные серверы Docker и компрометация NPM-пакетов. Новости собирала Мария Волгина, младший аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
Подробнее читайте под катом.
Группировка TeamTNT устанавливает криптомайнеры на серверах Docker
Согласно отчету исследователей TrendMicro, злоумышленники преследуют три разные цели: установка майнеров криптовалюты Monero, сканирование сети для поиска других уязвимых экземпляров Docker и переход от контейнера к хосту для доступа к основной сети. Атака начинается с создания контейнера на уязвимом хосте с использованием открытого Docker REST API. Для размещения вредоносных образов и развертывания их на целевых хостах группировка использует скомпрометированные или контролируемые учетные записи Docker Hub. Различные инструменты постэксплуатации и перемещения по сети, включая скрипты экранирования контейнера, средства для кражи учетных данных и майнеры криптовалюты, извлекаются через cronjobs.
Ошибки безопасности в BusyBox угрожают Linux-устройствам
Исследователи обнаружили 14 критических уязвимостей в популярном наборе UNIX-утилит командной строки, используемом во встроенных приложениях Linux. В список уязвимых утилит попали man, lzma/unlzma, ash, hush, awk. Обнаруженные бреши не имеют высокой критичности, но в результате успешной эксплуатации позволяют атакующим вызвать отказ в обслуживании, а в некоторых случаях приводят к утечке информации и удалённому выполнению кода. Поскольку затронутые апплеты не являются демонами, уязвимости могут быть проэксплуатированы только в том случае, когда уязвимый апплет получает ненадежные данные через аргумент командной строки.
В популярные NPM-пакеты внедрено вредоносное ПО
Два распространенных NPM-пакета были скомпрометированы с помощью вредоносного кода, внедренного в результате получения несанкционированного доступа к учетным записям разработчиков. Пакеты, о которых идет речь — синтаксический анализатор аргументов командной строки «coa» и загрузчик конфигурации «rc». Дополнительный анализ показал, что образцы обнаруженного вредоносного ПО являются разновидностью банковского трояна, крадущего учетные данные и пароли в Windows. Скомпрометированные версии пакетов уже удалены из репозитория NPM.