5 марта компания VMware (ныне входящая в корпорацию Broadcom) сообщила об обнаружении ряда серьезных уязвимостей в продуктах VMware ESXi, Fusion, Cloud Foundation, Workstation Pro и Workstation Player. Всего было закрыто четыре уязвимости, а наиболее серьезная получила идентификатор CVE-2024-22252. Она относится к ошибке use-after-free в коде для работы с устройствами USB 3.0 (XHCI USB) в виртуальном окружении. Уязвимость получила близкий к максимальному рейтинг 9,3 балла по шкале CVSS, так как при некоторых условиях позволяет реализовать наиболее опасный в виртуальном окружении сценарий побега из «песочницы».
Вот как это происходит. При наличии прав администратора в виртуальной ОС атакующий может воспользоваться уязвимостью для выполнения произвольного кода. Потенциальные последствия такой атаки отличаются в зависимости от продукта. Для VMware ESXi код будет выполнен в пределах «песочницы», в то время как на VMware Workstation или Fusion существует вероятность выполнения кода непосредственно на хосте.
Очень похожая уязвимость с идентификатором CVE-2024-22253 присутствует также в коде контроллера UHCI USB, она имеет такую же оценку опасности по шкале CVSS и также может приводить к выполнению произвольного кода на хосте. Чуть менее опасная уязвимость CVE-2024-22255, также обнаруженная в контроллере UHCI USB, оценена в 7,1 балла и может приводить к утечке данных. Отдельный патч получила уязвимость CVE-2024-22254 в решении VMware ESXi, также позволяющая совершать побег из виртуального окружения.
Патчи получили VMware Workstation 17.x, Fusion 13.x, решения ESXi версий 7.0 и 8.0. Уязвимости также присутствуют в VMware ESXi версий 6.7 и 6.5, но патчи для них доступны только клиентам с подпиской на расширенную поддержку этих устаревших релизов. Между тем команда Shadowserver провела сканирование сети на доступность серверов VMware ESXi с непропатченной уязвимостью CVE-2024-22252 и по состоянию на 11 марта обнаружила 16,5 тысяч уязвимых инсталляций.
Эксперты «Лаборатории Касперского» опубликовали отчет об эволюции спама и фишинговых атак в 2023 году. Другая публикация специалистов «Лаборатории Касперского» разбирает нестандартный случай, когда в ходе кибератаки для подключения к командному серверу использовался эмулятор QEMU. Эмулятор запускался без подключенного виртуального жесткого диска или LiveCD, но была задействована встроенная фича, позволяющая поднять сетевое соединение между двумя виртуальными машинами.
Три серьезных уязвимости закрыты в сетевых файловых хранилищах QNAP. Из них наиболее опасна уязвимость CVE-2024-21899, позволяющая обойти систему авторизации удаленно.
5 марта компания Apple выпустила обновления iOS/iPadOS до версии 17.4. В этом патче закрыты две активно эксплуатируемые уязвимости в ядре и компоненте RTKit, позволяющие выполнить код с максимальными привилегиями. Патчи также выпущены для iOS 16.
На прошлой неделе широко обсуждалась новая фича в соцсети X/Twitter. В приложении X теперь можно осуществлять аудио- и видеозвонки, причем подключение между двумя абонентами выполняется напрямую. В результате появляется возможность позвонить произвольному пользователю и таким образом раскрыть его IP-адрес. Отдельно доступна опция Enhanced Call Privacy, при которой связь осуществляется через серверы X, и таким образом IP-адрес абонента не раскрывается. Для исключения неприятных сюрпризов во множестве публикаций в сети функцию звонков рекомендуют отключить.
Интересная статья (и ее перевод на Хабре) рассказывает об опыте разработки сервиса для сокращения ссылок, точнее о том, как им сразу же попытались воспользоваться злоумышленники для повышения эффективности фишинговых атак. В итоге изначально бесплатный сервис решено было сделать платным, что отсекло подавляющее большинство кибермошенников. Отчасти похожий сценарий описан и в этой новости: киберпреступники использовали облачное решение для хранения заметок, сохраняя и распространяя через него вредоносный код.
Вот как это происходит. При наличии прав администратора в виртуальной ОС атакующий может воспользоваться уязвимостью для выполнения произвольного кода. Потенциальные последствия такой атаки отличаются в зависимости от продукта. Для VMware ESXi код будет выполнен в пределах «песочницы», в то время как на VMware Workstation или Fusion существует вероятность выполнения кода непосредственно на хосте.
Очень похожая уязвимость с идентификатором CVE-2024-22253 присутствует также в коде контроллера UHCI USB, она имеет такую же оценку опасности по шкале CVSS и также может приводить к выполнению произвольного кода на хосте. Чуть менее опасная уязвимость CVE-2024-22255, также обнаруженная в контроллере UHCI USB, оценена в 7,1 балла и может приводить к утечке данных. Отдельный патч получила уязвимость CVE-2024-22254 в решении VMware ESXi, также позволяющая совершать побег из виртуального окружения.
Патчи получили VMware Workstation 17.x, Fusion 13.x, решения ESXi версий 7.0 и 8.0. Уязвимости также присутствуют в VMware ESXi версий 6.7 и 6.5, но патчи для них доступны только клиентам с подпиской на расширенную поддержку этих устаревших релизов. Между тем команда Shadowserver провела сканирование сети на доступность серверов VMware ESXi с непропатченной уязвимостью CVE-2024-22252 и по состоянию на 11 марта обнаружила 16,5 тысяч уязвимых инсталляций.
Что еще произошло
Эксперты «Лаборатории Касперского» опубликовали отчет об эволюции спама и фишинговых атак в 2023 году. Другая публикация специалистов «Лаборатории Касперского» разбирает нестандартный случай, когда в ходе кибератаки для подключения к командному серверу использовался эмулятор QEMU. Эмулятор запускался без подключенного виртуального жесткого диска или LiveCD, но была задействована встроенная фича, позволяющая поднять сетевое соединение между двумя виртуальными машинами.
Три серьезных уязвимости закрыты в сетевых файловых хранилищах QNAP. Из них наиболее опасна уязвимость CVE-2024-21899, позволяющая обойти систему авторизации удаленно.
5 марта компания Apple выпустила обновления iOS/iPadOS до версии 17.4. В этом патче закрыты две активно эксплуатируемые уязвимости в ядре и компоненте RTKit, позволяющие выполнить код с максимальными привилегиями. Патчи также выпущены для iOS 16.
На прошлой неделе широко обсуждалась новая фича в соцсети X/Twitter. В приложении X теперь можно осуществлять аудио- и видеозвонки, причем подключение между двумя абонентами выполняется напрямую. В результате появляется возможность позвонить произвольному пользователю и таким образом раскрыть его IP-адрес. Отдельно доступна опция Enhanced Call Privacy, при которой связь осуществляется через серверы X, и таким образом IP-адрес абонента не раскрывается. Для исключения неприятных сюрпризов во множестве публикаций в сети функцию звонков рекомендуют отключить.
Интересная статья (и ее перевод на Хабре) рассказывает об опыте разработки сервиса для сокращения ссылок, точнее о том, как им сразу же попытались воспользоваться злоумышленники для повышения эффективности фишинговых атак. В итоге изначально бесплатный сервис решено было сделать платным, что отсекло подавляющее большинство кибермошенников. Отчасти похожий сценарий описан и в этой новости: киберпреступники использовали облачное решение для хранения заметок, сохраняя и распространяя через него вредоносный код.