Сегодня в ТОП-5 — угроза для брандмауэров FortiGate, уязвимость в коммутаторах Cisco, атаки на уязвимость в Ultimate Member, новая стратегия вымогательства, объединившая мощности программ Crysis и Venus и уязвимость конфигураций Nginx. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Артур Сафаров.

Более 300 тысяч брандмауэров FortiGate остаются под угрозой

Специалисты ИБ-компании Bishop Fox сообщают, что более 300 000 брандмауэров FortiGate подвержены критической уязвимости CVE-2023-27997 (CVSS: 9.8). Fortinet месяц назад выпустила обновление, устраняющее этот недостаток. CVE-2023-27997 позволяет злоумышленнику, не прошедшему проверку подлинности, удаленно выполнять код на уязвимых устройствах с интерфейсом SSL VPN, открытым в Интернете. Fortinet устранила уязвимость 11 июня, выпустив версии прошивки FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 и 7.2.5. По данным Bishop Fox, несмотря на призывы к исправлению, более 300 000 межсетевых экранов FortiGate по-прежнему уязвимы для атак и доступны через Интернет.

Уязвимость в коммутаторах Cisco позволяет вмешиваться в зашифрованный трафик

Инженеры Cisco предупредили клиентов о серьезной уязвимости, затрагивающей некоторые модели коммутаторов для центров обработки данных. Уязвимость получила идентификатор CVE-2023-20185 и позволяет злоумышленникам вмешиваться в зашифрованный трафик. Злоумышленник может воспользоваться этой уязвимостью, перехватив зашифрованный трафик, что может позволить прочитать или изменить трафик, передаваемый между сайтами. Эта уязвимость затрагивает коммутаторы Cisco Nexus серии 9000 в режиме ACI, работающие под управлением версий 14.0 и более поздних, если они являются частью многосайтовой топологии и имеют включенную функцию шифрования CloudSec. Разработчики Cisco пока не выпустили патчи для исправления CVE-2023-20185, поэтому клиентам, использующим уязвимые устройства, рекомендуется временно отключить проблемную функцию и обратиться в службу поддержки для поиска альтернативных вариантов.

0-day уязвимость в WordPress-плагине Ultimate Member

Атаки на уязвимость в Ultimate Member были обнаружены специалистами Wordfence. Злоумышленники используют баг в регистрационной форме плагина для установки произвольных метазначений для своих учетных записей. Хакеры устанавливают метазначение wp_capabilities, чтобы присвоить себе роль администратора. Сайты, взломанные с использованием CVE-2023-3460, будут иметь следующие индикаторы компрометации:

  • появление новых учетных записей администраторов на сайте;

  • использование имен пользователей wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal;

  • логи, показывающие, что вредоносные IP-адреса обращались к странице регистрации Ultimate Member;

  • логи, зафиксировавшие доступ с 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 и 172.70.147.176;

  • появление учетной записи с адресом электронной почты, связанным с exelica.com;

  • установка новых плагинов и тем на сайт.

Пока критическая уязвимость остается неисправленной, и ее крайне легко использовать, Wordfence рекомендует всем администраторам немедленно удалить плагин Ultimate Member.

Злоумышленники используют новую стратегию вымогательства, объединив мощности программ Crysis и Venus

Исследователи из ASEC (AhnLab Security Emergency Response Center) обнаружили, что операторы программы-вымогателя Crysis активно используют программу-вымогатель Venus в своих кампаниях. Crysis и Venus известны тем, что нацелены на службы удаленных рабочих столов (RDP), доступные в Интернете. Злоумышленники используют RDP в качестве вектора атаки и ищут активные и доступные извне системы. Затем хакеры проводят брутфорс-атаку на слабые учетные данные, что позволяет злоумышленникам получить доступ к учетным записям в системе. В зараженной системе злоумышленники разворачивают различные сканеры и инструменты для кражи учетных данных, в том числе Port Scanner и Mimikatz. Затем хакеры сканируют сеть, чтобы проверить, принадлежит ли зараженная система к определенной сети. Если система выбрана верно, программа-вымогатель проводит внутреннюю разведку, собирает учетные данные и шифрует другие системы в сети. Пользователям рекомендуется деактивировать RDP, если он не используется. Если RDP используется, рекомендуется использовать сложный пароль учетной записи и периодически менять его, чтобы предотвратить атаки грубой силы и перебор по словарю.

Уязвимость конфигураций Nginx с некорректными настройками блока alias

Некоторые серверы с конфигурацией Nginx остаются уязвимы для техники Nginx Alias Traversal. Данный метод позволяет получить доступ к файлам и каталогам за пределами корневого каталога, заданного в директиве alias. Проблема проявляется только в конфигурациях с директивой alias, размещенной внутри блока location, параметр которой не завершается на символ "/", в то время как alias завершается на "/". Анализ репозиториев на GitHub показал, что подобные ошибки в настройке Nginx до сих пор встречаются в реальных проектах. Степень последствий в первую очередь определяется тем, содержит ли открытый каталог конфиденциальные данные, которые могут способствовать дополнительным атакам или привести к компрометации конфиденциальной информации.