Сегодня в ТОП-5 — свежая уязвимость в Apache ActiveMQ, новая атака BLUFF, исправление уязвимости нулевого дня от Google, устранение уязвимостей в продуктах Zyxel NAS и новые инструменты злоумышленников. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Валерия Шотт.
Ботнет GoTitan эксплуатирует свежую уязвимость в Apache ActiveMQ
Недавно обнаруженная критическая уязвимость в Apache ActiveMQ активно используется злоумышленниками для распространения нового ботнета GoTitan. Ботнет собирает информацию о скомпрометированной системе, передает ее на C2-сервер и ожидает дальнейших инструкций. GoTitan поддерживает десять различных методов запуска DDoS-атак. Специалисты Fortinet заявили, что также наблюдали случаи, когда уязвимые серверы Apache ActiveMQ использовались для развертывания других ВПО: DDoS-ботнета Ddostf, вредоноса Kinsing, pentest-инструмента Sliver, трояна удаленного доступа PrCtrl Rat. В отчете Fortinet представлена техническая информация по каждому ВПО.
Новая атака BLUFFS позволяет перехватывать Bluetooth-соединения
BLUFFS — это серия эксплойтов, которая позволяет нарушить конфиденциальность сеансов Bluetooth. BLUFFS использует два ранее неизвестных недостатка в стандарте Bluetooth, связанных с получением сеансовых ключей для расшифровки данных при обмене. Уязвимость отслеживается под идентификатором CVE-2023-24023 (CVSS: 6.8) и затрагивает спецификации Bluetooth с 4.2 по 5.4. Выполнение атаки предполагает, что злоумышленник находится в радиусе действия Bluetooth двух целей, которые обмениваются данными, и выдает себя за одну сторону для согласования слабого сеансового ключа с другой.
Google Chrome экстренно исправляет уязвимость нулевого дня
Google выпустила обновление безопасности, в котором исправляется активно эксплуатируемая уязвимость нулевого дня CVE-2023-6345 (CVSS: 9.6). Уязвимость описана как ошибка целочисленного переполнения в Skia, библиотеке 2D-графики с открытым исходным кодом, что создает риски, начиная от сбоев и заканчивая выполнением произвольного кода. CVE-2023-6345, предположительно, является обходным патчем для уже исправленной CVE-2023-2136 (CVSS: 9.6), которая позволяла удаленному злоумышленнику, скомпрометировавшему процесс рендеринга, потенциально выполнить выход из песочницы через созданную HTML-страницу. Пользователям рекомендуется обновить Chrome до версии 119.0.6045.199/.200 для Windows и 119.0.6045.199 для macOS и Linux.
Устранены уязвимости внедрения команд в продуктах Zyxel NAS
Zyxel сообщает об исправлении множества уязвимостей, в том числе трех критических, которые позволяют злоумышленнику без аутентификации выполнять команды ОС на сетевых устройствах NAS326 версий 5.21(AAZF.14)C0 и ранее, NAS542 версий 5.21(ABAG.11)C0 и ранее. Исправленные уязвимости: CVE-2023-4473 (ошибка внедрения команд на веб-сервере), CVSS: 9.8; CVE-2023-4474 (уязвимость в сервере WSGI), CVSS: 9.8; CVE-2023-35137 (уязвимость неправильной аутентификации в модуле аутентификации), CVSS: 7.5; CVE-2023-35138 (ошибка внедрения команд в функции show_zysync_server_contents), CVSS: 9.8; CVE-2023-37927 (уязвимость в программе CGI), CVSS: 8.8; CVE-2023-37928 (внедрение команд после аутентификации на WSGI-сервер), CVSS: 8.8. Пользователям Zyxel NAS настоятельно рекомендуется установить обновления для устранения вышеуказанных проблем.
Новые инструменты злоумышленников: Agent Racoon, Ntospy, Mimilite
Исследователи Unit 42 в ходе расследования серии атак выявили новые инструменты. Бэкдор Agent Racoon использует протокол DNS для создания скрытого канала. ВПО Ntospy представляет собой модуль DLL сетевого провайдера, предназначенный для кражи учетных данных пользователей. Mimilite — это модифицированная версия известного инструмента Mimikatz. В отчете описаны принципы действия каждого инструмента и индикаторы для их выявления.
