Сегодня в ТОП-5 — атака DNSBomb, отчет про актуальный ландшафт киберугроз, критическая уязвимость в GitHub Enterprise Server, новая уязвимость в Veeam, которая позволяет войти в любой аккаунт, а также устранение RCE-уязвимости в Confluence Data Center. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Кирьяков Даниил.
Новый метод позволяет усилить DDoS-атаки в 20 000 раз
DNSBomb — это новая атака, которая использует уязвимости в DNS-системах, чтобы увеличить и направить огромный объем трафика на целевые системы. Концепция атаки основана на ранее раскрытых уязвимостях, но адаптирована для использования современного DNS-программного обеспечения и инфраструктуры. Атака начинается с медленного потока измененных DNS-запросов, которые обрабатываются DNS-серверами. Запросы обрабатываются таким образом, что размер сетевых пакетов значительно увеличивается. Увеличенные сетевые пакеты удерживаются и затем выплескиваются на целевую систему в виде мощного импульса DNS-трафика. Исследователи смогли запустить атаку со скоростью до 8,7 Гбит/с, при этом трафик увеличился до 20 000 раз от первоначального размера. Таким образом, любая система или механизм, такие как DNS или CDN, могут быть использованы для построения DoS-трафика.
Отчет «Лаборатории Касперского» — «Ландшафт киберугроз»
«Лаборатория Касперского» выпустила отчет с анализом актуального ландшафта угроз для России и стран СНГ за 2023 год и первый квартал 2024 года. Отчет состоит из пяти основных разделов и описывает перечень атакованных стран и отраслей, популярные тактики, техники и процедуры, а также перечень потенциальных угроз в России и СНГ. В основной ландшафт угроз вошли атаки шифровальщиков, утечки пользовательских данных, социальная инженерия, сетевые уязвимости и уязвимости конечных устройств. Основные тренды в развитии ландшафта угроз: рост хактивизма, сохранение угроз APT и шифровальщиков, основные атаки приходятся на защищенные организации. На основе отчета специалисты «Лаборатории Касперского» составили ряд важных митигаций рисков. Например, использование технологии Sandbox, проведение экспертных тренингов по ИБ для персонала и регулярных тренингов среди пользователей, систематическая оценка зрелости подразделений ИБ, отключение скриптовой среды и макросов и др.
Критическая уязвимость в GitHub Enterprise Server, которая позволяет обойти аутентификацию
В GitHub Enterprise Server была обнаружена критическая уязвимость с идентификатором CVE-2024-4985 (CVSS: 10.0), которая позволяет получить неограниченный доступ к GitHub Enterprise Server (GHES). На серверах, где используется аутентификация SAML с опционально включенной функцией зашифрованных утверждений, неавторизованный злоумышленник может подделать ответ SAML (Security Assertion Markup Language) для получения доступа к учетной записи с привилегиями администратора, тем самым обойдя любые требования аутентификации. Данная угроза затрагивает все версии GitHub Enterprise Server до 3.13.0 и была исправлена в версиях 3.9.15, 3.10.12, 3.11.10 и 3.12.4. Если обновить ПО в настоящее время до исправленных версий невозможно, рекомендуется временно отключить единый вход SAML.
Уязвимость в Veeam позволяет войти в любую учетную запись
Компания Veeam предупредила о необходимости устранения критической уязвимости, которая получила идентификатор CVE-2024-29849 (CVSS: 9.8). Уязвимость позволяет злоумышленникам обойти аутентификацию и войти в любую учетную запись с помощью Veeam Backup Enterprise Manager (VBEM). VBEM — это веб-платформа, которая позволяет администраторам управлять установками Veeam Backup & Replication с помощью единой веб-консоли. Она помогает управлять заданиями резервного копирования и выполнять операции восстановления в инфраструктуре резервного копирования организации и крупномасштабных развертываниях. Важно отметить, что VBEM не включен по умолчанию, и не все компании, которые используют VBEM, уязвимы. Рекомендуется перейти на версию 12.1.2.172. В случае, если это сделать не получается, рекомендуется отключить сервисы VeeamEnterpriseManagerSvc и VeeamRESTSvc.
RCE-уязвимость в Confluence Data Center
Представители Atlassian заявили, что они устранили уязвимость, которая связана с удаленным выполнением кода (RCE), в своих продуктах Confluence Data Center и Server. Эта уязвимость получила идентификатор CVE-2024-21683 (CVSS: 8.3), и ее можно эксплуатировать без какого-либо взаимодействия с пользователем. Она связана с ошибками при обработке входных данных, поступающих на веб-сервер. Успешная эксплуатация позволяет злоумышленникам выполнять произвольный код с высокими привилегиями. Технические подробности компания не раскрывает, однако представила список уязвимых версий. Пользователям рекомендуется установить обновления безопасности Confluence.
