Сегодня в ТОП-5 — экстренное обновление безопасности GitLab, вредоносные копии популярного видеоредактора CapCut, анализ вредоносного драйвера WinTapix, более 40 тысяч сайтов с уязвимым плагином, уязвимость в модуле сканирования вложений электронной почты. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Константин Маслов.
Экстренное обновление безопасности GitLab
Уязвимость, рассмотренная в последнем обновлении, была обнаружена исследователем с ником «pwnie», который сообщил о проблеме в программе HackOne Bug Bounty. Она позволяет непрошедшему проверку подлинности пользователю получить содержимое любого файла на сервере, насколько позволяют права доступа процесса, обрабатывающего запросы. Уязвимости присвоен наивысший уровень опасности (оценка CVSS — 10). Эксплуатация CVE-2023-2825 может привести к раскрытию конфиденциальных данных, включая код проприетарного программного обеспечения, учетные данные пользователя, токены, файлы и другую личную информацию в репозиториях.
Вредоносные копии популярного видеоредактора CapCut
Исследователи Cyble Research and Intelligence Labs (CRIL) недавно обнаружили серию фишинговых веб-сайтов, выдающих себя за популярный видеоредактор CapCut. Он принадлежит компании ByteDance — владельцу TikTok. Из-за запрета, наложенного на CapCut Тайванем, Индией и рядом других стран, пользователи могут активно использовать альтернативные способы загрузки приложения, неосознанно подвергая себя риску столкнуться с вредоносными веб-сайтами. После скачивания на устройствах запускаются вредоносные программы: стилеры, RAT и т. д. В статье представлены базовые методы защиты и индикаторы компрометации.
Анализ вредоносного драйвера WinTapix
Специалисты Fortinet Fortiguard Labs исследуют активность неизвестного злоумышленника, использующего вредоносный драйвер ядра Windows в своих атаках с 2020 года. Идея использования вредоносного драйвера режима ядра состоит в том, чтобы подорвать или отключить механизмы безопасности и получить стабильный доступ к целевому хосту. Такие
драйверы работают в памяти ядра и поэтому могут выполнять любые операции,
включая изменение критических механизмов безопасности и запуск произвольного
кода с повышенными привилегиями. Вредоносное ПО нацелено только на серверы IIS.
На машинах без установленного IIS оно не запустится. Благодаря такой избирательности злоумышленник оставался незамеченным несколько лет. Джери Ревей и Хоссейн Джази подготовили подробный технический анализ обнаруженного образца и провели ретроспективный разбор активности злоумышленника за последние годы.
Более 40 тысяч сайтов с уязвимым плагином
В XXS-атаках злоумышленники внедряют вредоносные сценарии JavaScript на уязвимые веб-сайты, которые будут выполняться в веб-браузерах посетителей. Воздействие может включать несанкционированный доступ к конфиденциальной информации, перехват сеанса, заражение вредоносным ПО через перенаправление на вредоносные веб-сайты или полную компрометацию системы цели. Администраторам и владельцам веб-сайтов, использующим плагин Beautiful Cookie Consent Banner, рекомендуется обновить его до последней версии, потому что даже неудачная атака может повредить конфигурацию плагина, хранящуюся в параметре nsc_bar_bannersettings_json.
0-day в модуле сканирования вложений электронной почты Barracuda
Поставщик услуг защиты электронной почты и сетевой безопасности Barracuda предупреждает пользователей об уязвимости, которая была использована для взлома устройств Email Security Gateway (ESG). Угроза отслеживается по идентификатору CVE-2023-2868 и была описана как уязвимость удаленного внедрения кода, затрагивающая версии с 5.1.3.001 по 9.2.0.006. В результате проведенного расследования компания выявила доказательства ее активного использования и потенциального несанкционированного доступа к конфиденциальной переписке множества клиентов. Личность злоумышленников в настоящее время неизвестна. Компания выпустила исправление уязвимости и оповестила затронутых атакой клиентов.
