Сегодня в ТОП-5 — критическая уязвимость в плагине WP‑Automatic, распространение ВПО через CDN GitHub и GitLab, уязвимости в устройствах Xiaomi, вредоносная кампания по распространению ВПО-майнера GuptiMiner и использование злоумышленниками Microsoft Graph API для установки связи с С2. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Роман Драньков.

Критическая уязвимость в плагине WP‑Automatic
Специалисты компании WPScan сообщили о критической уязвимости, которая получила идентификатор CVE-2024-27956 (CVSS: 9.8). Уязвимость выявлена в плагине для WordPress WP‑Automatic и связана с возможностью выполнения SQL-инъекции. Недостаток заключается в обработке плагином WP‑Automatic механизма аутентификации пользователей, который злоумышленники могут обойти для выполнения вредоносных SQL-запросов. С марта 2024 года зафиксировано более 5 млн попыток эксплуатации уязвимости. Для исправления рекомендуется обновить плагин до последней версии и регулярно проверять учетные записи пользователей WordPress.

Распространение ВПО через CDN GitHub и GitLab
По данным Bleeping Computers, злоумышленники используют комментарии для распространения вредоносного ПО в GitHub и GitLab. При выполнении commit или pull request запроса пользователь может оставить комментарий под проектом и прикрепить файл, который будет загружен в CDN GitHub. GitHub автоматически генерирует ссылку для скачивания после добавления файла к комментарию. Даже если не публиковать комментарий, прикрепленный файл будет храниться в CDN GitHub, а ссылка на него будет продолжать работать. Таким образом злоумышленники размещают вредоносные программы в открытых репозиториях. Аналогичный механизм, с отличием в части указания пути к файлу, актуален и для GitLab. Загруженные таким образом файлы будут также храниться в GitLab CDN. Рекомендуется не доверять файлам, размещенным через комментарии или issue до официального ответа представителей GitHub и GitLub.

В устройствах Xiaomi обнаружены серьезные уязвимости

Специалисты компании Oversecured сообщили об обнаружении 20 уязвимостей, которые связаны с несанкционированным доступом к системным данным, кражей файлов и утечкой информации о телефоне и аккаунтах. Уязвимости затронули такие приложения, как «Настройки», Mi Video, ShareMe, GetApps, MIUI Bluetooth и др. Часть уязвимостей возникла при добавлении Xiaomi собственного кода в AOSP (Android Open Source Project). Представители компании Xiaomi заявили об устранении всех уязвимостей и рекомендуют установить последние обновления ПО.

Вредоносная кампания по распространению ВПО-майнера GuptiMiner
Сотрудники компании Avast обнаружили кампанию по распространению ВПО GuptiMiner. Злоумышленники использовали AitM (Adversary-in-the-Middle) атаку для перехвата обновлений антивирусного ПО eScan и добавления в него вредоносного файла. После установки пакета в целевой системе закрепляется ВПО-майнер GuptiMiner и два типа бэкдоров. Первый бэкдор использует SMB-сканирование сети для поиска уязвимых Windows 7 и Windows Server 2008 систем. Второй бэкдор является многомодульным и направлен на кражу криптокошельков и закрытых ключей, а также принимает команды в фоновом режиме для установки большего количества модулей. На текущий момент разработчики eScan улучшили безопасность механизма обновлений, однако проблема остается актуальной для устаревших версий клиентов eScan.

Злоумышленники используют Microsoft Graph API для установки связи с С2

В недавнем отчете Symantec специалисты рассказали о последнем случае использования Graph Api для связи с аккаунтом OneDrive, действовавшим как С2-сервер. Graph — это API Microsoft, позволяющий разработчикам получать доступ к ресурсам в облачных службах. Использование этого инструмента набирает популярность в связи с тем, что сетевой трафик к известным сервисам вызывает меньше подозрений. Также сообщается о наличии возможности злоупотребления командами облачных сервисов для выполнения произвольных действий в виртуальных машинах. В отчете представлен список известных индикаторов компрометации.