29 августа компания VMware закрыла критическую уязвимость в сервисе VMware Aria Operations for Networks. Этот сервис обеспечивает мониторинг облачной инфраструктуры предприятия и по своей природе должен обладать доступом к этой самой инфраструктуре. Тем опаснее проблема для организаций, использующих данный инструмент. Уязвимость с идентификатором CVE-2023-34039 получила близкий к максимальному рейтинг опасности 9,8 балла по шкале CVSS v3.
Проблема подробно рассмотрена в отчете команды Summoning Team. В официальном описании уязвимости сказано, что она позволяет обойти систему авторизации. Но независимый отчет наглядно показывает, что произошла достаточно распространенная ошибка: в сервисе версий 6.0–6.10 были намертво вшиты ключи авторизации по протоколу SSH.
В публикации Summoning Team приводится один из скриптов в патче. Он удаляет и заново генерирует ряд ключей, используемых сервисом в виртуальной инсталляции ОС Ubuntu Linux. Данный дистрибутив поставляется клиентам, и из-за тривиального недосмотра ключи доступа к нему (а соответственно, и ко всей системе мониторинга) в подверженных версиях не менялись. Организовать эксплуатацию данной проблемы не составило труда: достаточно было найти старые непропатченные версии сервиса и извлечь из них ключи шифрования. В демонстрационном видео авторы отчета показали, как просто и успешно получить права суперпользователя в системе.
О необходимости регулярно обновлять подобные системы мониторинга свидетельствует более ранняя уязвимость в системе VMware Aria Operations for Logs, закрытая в апреле этого года. В этом специализированном обработчике логов была ошибка десериализации входящих данных. Используя ее, атакующий мог «засветиться» в логах сетевой инфраструктуры организации с определенной последовательностью символов, что в итоге приводило к получению root-доступа в сервисе.
Что еще произошло:
«Лаборатория Касперского» выпустила очередной отчет об эволюции киберугроз за второй квартал 2023 года. Вот здесь можно почитать обзорную статью, здесь приведена статистика угроз по мобильным устройствам, а тут — по угрозам для ПК.
В ближайших релизах ОС Windows будут по умолчанию отключены устаревшие системы шифрования TLS 1.0 и 1.1. План по отказу от этих небезопасных протоколов анонсировали еще в 2018 году. У организаций, использующих старое ПО и сервисы, для которых давно не выходят обновления, могут возникнуть проблемы с совместимостью.
Компания ESET сообщает об обнаружении поддельных клиентов Signal и Telegram с инструментами для шпионажа. Эти клиенты (достаточно хорошо «оформленные» — с собственными сайтами и т. д.) были направлены на кражу данных из учетных записей пользователей в «реальных» мессенджерах. К сожалению, оба клиента какое-то время были доступны в официальном магазине приложений Google.
Новое исследование показывает, как вредоносные расширения для браузера Google Chrome могут перехватывать пароли, вводимые на веб-сайтах. Более того, исследователи нашли 190 аддонов, которые автоматически сохраняют пароли, вводимые в соответствующих формах. Здесь можно говорить об уязвимости в модели безопасности браузера, точнее, о недостаточной изоляции расширений. Но также можно поднять вопрос о том, зачем популярные веб-сайты (например, Facebook, Cloudflare или Gmail) сохраняют пароли в исходном коде сайта в незашифрованном виде.
Проблема подробно рассмотрена в отчете команды Summoning Team. В официальном описании уязвимости сказано, что она позволяет обойти систему авторизации. Но независимый отчет наглядно показывает, что произошла достаточно распространенная ошибка: в сервисе версий 6.0–6.10 были намертво вшиты ключи авторизации по протоколу SSH.
В публикации Summoning Team приводится один из скриптов в патче. Он удаляет и заново генерирует ряд ключей, используемых сервисом в виртуальной инсталляции ОС Ubuntu Linux. Данный дистрибутив поставляется клиентам, и из-за тривиального недосмотра ключи доступа к нему (а соответственно, и ко всей системе мониторинга) в подверженных версиях не менялись. Организовать эксплуатацию данной проблемы не составило труда: достаточно было найти старые непропатченные версии сервиса и извлечь из них ключи шифрования. В демонстрационном видео авторы отчета показали, как просто и успешно получить права суперпользователя в системе.
О необходимости регулярно обновлять подобные системы мониторинга свидетельствует более ранняя уязвимость в системе VMware Aria Operations for Logs, закрытая в апреле этого года. В этом специализированном обработчике логов была ошибка десериализации входящих данных. Используя ее, атакующий мог «засветиться» в логах сетевой инфраструктуры организации с определенной последовательностью символов, что в итоге приводило к получению root-доступа в сервисе.
Что еще произошло:
«Лаборатория Касперского» выпустила очередной отчет об эволюции киберугроз за второй квартал 2023 года. Вот здесь можно почитать обзорную статью, здесь приведена статистика угроз по мобильным устройствам, а тут — по угрозам для ПК.
В ближайших релизах ОС Windows будут по умолчанию отключены устаревшие системы шифрования TLS 1.0 и 1.1. План по отказу от этих небезопасных протоколов анонсировали еще в 2018 году. У организаций, использующих старое ПО и сервисы, для которых давно не выходят обновления, могут возникнуть проблемы с совместимостью.
Компания ESET сообщает об обнаружении поддельных клиентов Signal и Telegram с инструментами для шпионажа. Эти клиенты (достаточно хорошо «оформленные» — с собственными сайтами и т. д.) были направлены на кражу данных из учетных записей пользователей в «реальных» мессенджерах. К сожалению, оба клиента какое-то время были доступны в официальном магазине приложений Google.
Новое исследование показывает, как вредоносные расширения для браузера Google Chrome могут перехватывать пароли, вводимые на веб-сайтах. Более того, исследователи нашли 190 аддонов, которые автоматически сохраняют пароли, вводимые в соответствующих формах. Здесь можно говорить об уязвимости в модели безопасности браузера, точнее, о недостаточной изоляции расширений. Но также можно поднять вопрос о том, зачем популярные веб-сайты (например, Facebook, Cloudflare или Gmail) сохраняют пароли в исходном коде сайта в незашифрованном виде.