Сегодня в ТОП-5 — анализ спама и фишинга в 2023 году, исправление уязвимости высокой критичности в Kubernetes, патчи для критических RCE-уязвимостей от Fortinet, расследование атаки на российское предприятие машиностроительного сектора, новая атака GhostRace. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Артур Сафаров.
Опубликован отчет по анализу спама и фишинга за 2023 год
Исследователи «Лаборатории Касперского» опубликовали анализ спама и фишинга за 2023 год. Согласно статистике, 45,60% глобальных и 46,59% рунетовских писем являются спамом, а 31,45% всех спамерских писем отправляются из России. Киберпреступники чаще всего устраивают фишинговые атаки на геймеров, выдавая их за выгодные предложения, приглашения протестировать новые версии игр или поучаствовать во внутриигровых сделках. В 2023 году мошенники заманивали жертв не только деньгами. Например, была придумана хитрая схема, чтобы заманить пользователей принять участие в лотерее и выиграть визу для переезда в другую страну на работу или учебу. За 2023 год большая доля фишинговых атак пришлась на социальные сети и мессенджеры. В русскоязычных странах популярной темой стало голосование за участников онлайн-конкурсов, что позволило злоумышленникам получить доступ к аккаунтам жертв в WhatsApp. Для распространения вредоносных файлов мошенники в 2023 году продолжили маскировать свои рассылки под письма от государственных органов.
Исправлена уязвимость высокой критичности в Kubernetes
Исследователи Akamai предупреждают о новой уязвимости, которая позволяет удаленно выполнять код с системными привилегиями на конечных точках Windows в кластере, для которого доступен PoC. Проблема отслеживается как CVE-2023-5528 (CVSS: 7.2) и влияет на установки Kubernetes по умолчанию. Уязвимость возникает при создании модуля, содержащего локальный том, который может монтировать раздел диска. Одна из функций, выполняемых службой kubelet при создании такого модуля, формирует символическую ссылку между расположением тома на узле и расположением в модуле. Поскольку функция содержит вызов cmd, командная строка Windows поддерживает объединение команд. Злоумышленник может контролировать один параметр при выполнении cmd и вводить произвольные команды, которые будут выполняться с привилегиями kubelet. Чтобы решить эту проблему, Kubernetes удалила вызов cmd и заменила его встроенной функцией Go, которая выполняет только операции с символическими ссылками. Все развертывания Kubernetes до версии 1.28.3 с узлами Windows в кластере уязвимы к CVE-2023-5528, исправленная версия — 1.28.4. При этом рекомендуется исправлять кластер, даже если в нем нет узлов Windows.
Fortinet выпустила патчи для критических RCE-уязвимостей
Команда безопасности Fortinet обнаружила уязвимости в FortiOS, FortiProxy и FortiClientEMS. Критическая уязвимость CVE-2023-42789 (CVSS: 9.3) может позволить злоумышленникам выполнять код или команды с помощью созданных HTTP-запросов. Другая уязвимость, CVE-2023-42790 (CVSS: 8.1), была связана с переполнением буфера на основе стека, которая также приводит к RCE. Обе проблемы были устранены с выпуском FortiOS 7.4.2, 7.2.6, 7.0.13, 6.4.15 и 6.2.16, а также FortiProxy 7.4.1, 7.2.7, 7.0.13 и 2.0.14. Еще одна уязвимость критической степени тяжести — CVE-2023-48788 (CVSS: 9.8) — затрагивает проблему SQL-инъекции в FortiClientEMS, которая позволяет злоумышленникам выполнять код или команды через созданные запросы без прохождения аутентификации. Проблема решена в патче FortiClientEMS 7.2.3 и 7.0.11.
Специалисты «Доктор Веб» изучили целевую атаку на предприятие машиностроительного сектора
В октябре 2023 года компания «Доктор Веб» расследовала атаку на российское предприятие машиностроительного сектора. Выяснилось, что целью атаки был сбор чувствительной информации о сотрудниках, получение данных об инфраструктуре компании и ее внутренней сети, также был обнаружен факт выгрузки данных с зараженного компьютера. Для этого злоумышленники с помощью фишинговых писем отправляли на электронные адреса компаний-жертв многочисленные сообщения с темой «Расследование» по конкретному уголовному делу, связанному с уклонением от уплаты налогов. Письма были отправлены якобы от имени следователей Следственного комитета Российской Федерации и содержали два вложения. Одно из них представляло собой защищенный паролем zip-архив, содержащий вредоносное ПО, которое при запуске заражало систему. Второе представляло собой обычный pdf-документ, содержащий всю информацию об «уголовном деле» в архиве, с фишинговым текстом, побуждающим пользователя открыть вредоносную программу. В обоих случаях вредоносным приложением, распространяемым злоумышленниками, был WhiteSnake Stealer. Отдельно подчеркивается, что проведенный анализ не показал однозначную причастность к данной атаке какой-либо из ранее известных APT-группировок.
Новый тип атаки затрагивает всех основных производителей процессоров
Исследователи из IBM и Амстердамского университета VU Amsterdam сообщают подробности нового типа атаки, которая затрагивает всех основных производителей процессоров, включая Intel, AMD, Arm и IBM, а также ряда широко используемого ПО. Новая атака, получившая название GhostRace, может позволить злоумышленникам получить потенциально конфиденциальную информацию из памяти, в том числе пароли и ключи шифрования. Уязвимость CVE-2024-2193 (CVSS: 5.5) охватывает широкий круг устройств, поскольку касается всех основных производителей процессоров (Intel, AMD, ARM, IBM) и операционных систем, использующих стандартные механизмы синхронизации. AMD представила по этому поводу рекомендацию, информируя, что предыдущее руководство по атакам Spectre должно также предотвратить атаки GhostRace. Разработчики гипервизора Xen тоже выпустили рекомендации, отметив отсутствие в проекте уязвимых для GhostRace устройств.