Как стать автором
Обновить
81.34

Самые громкие события инфобеза за октябрь 2023 года

Время на прочтение6 мин
Количество просмотров3.2K

Всем привет! Как обычно, подводим итоги ушедшего месяца дайджестом самых примечательных ИБ-новостей. В октябре почти все популярные дистрибутивы под Линукс оказались под угрозой двух критических уязвимостей, а десятки тысяч роутеров и свитчей на IOS XE от Cisco были взломаны. Рансомварь-группировка Ragnar Locker лишилась инфраструктуры, и был арестован её ключевой разработчик, а Hive в свою очередь, судя по всему, взялась за старое. Также мы застали несколько оригинальных ИБ-инициатив от ФСБ и Минцифры, ну а украинцы-антисемиты привели к отзыву свежего релиза Ubuntu и небольшой драме с уклоном в модный в англосфере «hate speech». Обо всём этом и других громких событиях октября читайте под катом!

Линукс под угрозой свихнувшихся переменных

В октябре в Линуксе обнаружили уязвимость «Looney Tunables» на получение рут-прав через эксплойт переполнения буфера. Почему «в Линуксе»? Уязвимость в базовой библиотеке glibc. Которая, собственно, присутствует в большинстве дистрибутивов. Fedora, Ubuntu, Debian и далее по списку – сколько систем оказались под угрозой, можете представить сами.

Уязвимость появилась в библиотеке апреле 2021-го года с выходом версии glibc 2.34. Она скрывается в динамическом загрузчике ld[.]so, который обрабатывает переменную среды GLIBC_TUNABLES. Соответственно, вредоносные переменные позволят злоумышленнику выполнить произвольный код. Атака простенькая и особых прав не требует, как и участия юзера. Вздохнуть спокойно могли разве что юзеры дистрибутива Alpine, которых уязвимость обошла стороной, и нескольких других менее известных, в которых библиотека не используется. Ну а всем прочим нужно было срочно озаботиться накатыванием патчей. Подробнее о CVE-2023-4911 читайте в блоге.

Считанные дни спустя в сети появилась проверка концепции с эксплойтом «Looney Tunables». Так как уязвимость элементарная эксплойт оказался ей под стать – справится даже малолетний скрипт-кидди. Работоспособность опубликованной PoC исследователями была подтверждена, параллельно с ней шла разработка и публикация других эксплойтов под уязвимость. Так что вопрос накатывания патчей встал ещё более остро.

Не каждый линуксоид ещё пропатчил Looney Tunables, а на очереди оказалась ещё одна серьёзная уязвимость в массе дистрибутивов. CVE-2023-43641 на повреждение памяти в библиотеке libcue, превращающая её в RCE в один клик. Уязвимы системы, использующие рабочее окружение GNOME. А это Debian, Ubuntu, Fedora и далее по списку.

Исследователи продемонстрировали проверку концепции, но публиковать её не спешили во избежание. Что это, собственно, за библиотека? Libcue используется для анализа CUE-файлов и интегрирована в индексатор Tracker Miners в GNOME. И хотя для эксплойта понадобится юзер, скачавший и запустивший вредоносную куешку, не спешите списывать уязвимость со счётов. Патчи лучше всё же накатить, даже если последний раз неизвестный файл пускали в начале нулевых за семью песочницами. Подробнее об уязвимости в блоге на Гитхабе.

Уязвимость на десяточку в Cisco в IOS XE и десятки тысяч взломанных устройств

В ушедшем месяце у Cisco в IOS XE была обнаружена уязвимость, получившая десяточку по CVSS и всё ещё ждущая патча. Нулевой день CVE-2023-20198 в веб-интерфейсе позволяет неавторизированным злоумышленникам создать аккаунт и получить полные админские права на роутерах и свитчах.

При этом уязвимость активно эксплойтили: с 18 сентября неизвестный злоумышленник создаёт аккаунты и ставит импланты для команд на уровне ОС. Что занятно, после получения доступа атакующий также использует уже два года как исправленную CVE-2021-1435. Каким образом имплант попадает в пропатченные системы, Cisco пока не разобралась.

С учётом лёгкости эксплойта и выбитой десяточки уязвимость не следовало оставлять без внимания. Пока компания готовит патч, в качестве костыля предложили отключить HTTP-сервера, чтобы избежать незваных гостей на своих устройствах.

Вскоре подоспели первые результаты по следам уязвимости. И они оказались удручающие: на 18 октября больше 40 тысяч устройств были скомпрометированы в результате атак. При этом через Shodan разными методами насчитали всего около 145 тысяч доступных в сети уязвимых роутеров и свитчей.

Операторы связи, медцентры, университеты, банки, больницы и госучреждения – спектр организаций с уязвимыми устройствами довольно широк. При этом во многих из них, скорее всего, и не подозревают о безопасниках и злоумышленниках, с попкорном изучающих результаты из Shodan’a. Подробностями атак Cisco пока не делится и обещает опубликовать их после выпуска патча и завершения расследования. Ну а пока можно делать ставки, сколько ещё их устройств успеют взломать.

И вопрос совсем не праздный, так как аккурат под конец октября был опубликован эксплойт под уязвимость.

Шпионский фреймворк, остававшийся незамеченным 5 лет

К интересным новинкам от мира малвари. В октябре в Лаборатории Касперского обнаружили прежде неизвестный кроссплатформенный вредоносный фреймворк. StripedFly, ранее обозначенный как простой криптомайнер под Monero, оказался малварью гораздо серьёзнее. И за пять лет тайком заразил более миллиона устройств под Линукс и Винду.

При этом фреймворку есть чем похвастаться. Сложная система скрытия трафика через Tor, автообновления с доверенных платформ, механизм распространения, как у червей, и кастомный эксплойт EternalBlue, написанный ещё до утечки данных о нём. Помимо криптомайнера в малвари ещё десяток модулей со всевозможным функционалом под шпионаж, а сам майнер, судя по всему, был встроен исключительно для отвлечения внимания. Причём вполне успешного.

В общем, судя по функционалу, перед нами серьёзный инструмент госхакерской группировки. Подробнее о любопытной находке в отчёте.

Конец Ragnar Locker и возвращение Hive

В прошлом месяце подошла к концу история рансомварь-группировки с броским названием Ragnar Locker: Европол перехватил их сервера и арестовал нескольких членов. С 16 по 20 октября в Чехии, Испании и Латвии прошли обыски и аресты. Ключевой разработчик был арестован во Франции и предстал перед судом в Париже.

Группировка была активна с декабря 2019-го и, согласно Европолу, провела атаки по 168 международным компаниям в Европе и Штатах. Двое участников уже были арестованы в Украине в 2021-м, в этот раз ещё один попался в Киеве. С арестом главного разработчика и уничтожением инфраструктуры группировка в нынешнем виде, очевидно, прекратит своё существование. С чем её можно и поздравить. И делать ставки, увидим ли мы ещё оставшихся злоумышленников из Ragnar Locker под новым брендом. Как, например, произошло с другой известной группировкой, о чём ниже.

Кроме того, в октябре в сетевых дебрях всплыла информация о новой рансомварь-группировке Hunters International. И не простой, а с кодом от Hive. А это наводит на предположения, что либо сами члены группировки вернулись в дело, либо как минимум продали свой код. Именно это утверждает сама Hunters: «Мы не из Hive, с ними никак не связаны, никого ещё толком не обидели, пожалуйста, не отжимайте и нашу инфраструктуру». Звучит, впрочем, не очень правдоподобно.

Hive, напомню, лишилась серверов в январе этого года после их перехвата ФБР. В новом-старом энкрипторе на основе Hive ver.6 нашли больше 60% совпадений с его кодом. На сайте же новоявленной группировки пока указана одна жертва, школа в Великобритании. На фоне Хайва с его 1,300 взломанными за 1,5 года компаниями результаты, мягко говоря, скромные. Пока можно делать предположения, чего ждать от международных охотников. И когда за ними придёт Интерпол, так сказать, за незаконное использование своего товарного знака.

Больше новых ИБ-инициатив в России, оригинальных и разных

В начале октября ФСБ выступила с очередной занятной инициативой: на этот раз предлагают обязать сервисы хранить данные о геолокации пользователей и средствах платежа. Такой проект постановления появился на сайте правительства.

В ведомстве отмечают, что сейчас эти сведения в правила напрямую не внесены, но по сути в них упоминаются и обрабатываются. Что, в свою очередь, «формирует неоднозначную правоприменительную практику». А в порядочном ведомстве, как водится, всё должно быть однозначно.

Крупные агрегаторы и прочие обитатели реестра распространения информации, вроде VK и Яндекса, комментарии пока давать не спешат и ждут окончательных формулировок. Ну а неискушённые и просто неоднозначные юзеры по следам новости уже спешат брать пример с наученных жизнью ИБ-параноиков и ставят Fake GPS, чтобы почувствовать себя романтическими героями инфобез-подполья.

Минцифры также продолжает фонтанировать оригинальными идеями: теперь на очереди повышение градуса цифрового суверенитета. Так, с 1 декабря планируют ввести новые требования к хостерам. Держать оборудование исключительно в России, использовать только DNS-серверы национальной системы и подключиться к госсистеме обнаружения компьютерных атак.

Хостинг-провайдеры пока в глубокой задумчивости над трудностями бытия – по предварительным оценкам установка оборудования под запросы обойдётся в десятки миллионов рублей разово и по несколько миллионов ежемесячно. А часть требований проекта, как водится, едва ли выполнима. Так что в случае его реализации небольшие хостеры с нами попрощаются, а отъевшие их долю крупные игроки, естественно, переложат новые расходы на клиентов. Вот тогда заживём. Или нет.

Украинцы-антисемиты и отзыв свежего релиза Ubuntu

И напоследок, немного неловкая ИБ-история. В октябре Canonical отозвала образы Ubuntu 23.10 через несколько часов после релиза. Причина оказалась не в критических уязвимостях, а во вредоносных… переводах. А точнее, разжигающих ненависть, как это сейчас модно на Западе называть. Hate speech, в общем.

Компания нарочито обтекаемо описывала произошедшее, ссылаясь на злоумышленника и стороннее приложение, но если кто помнит недавний скандал с переводом Cyberpunk 2077, можно догадаться, откуда ветер дует. Собственно, из Украины.

Дальнейшее изучение вопроса проливает свет на проблему: какой-то юморист отправил им шуточный перевод на украинском. И помимо просто откровенной вульгарщины, этот мегамозг напихал в перевод антисемитских шуточек. Что в англосфере в наши дни является частым поводом для громких скандалов и всевозможных драм. В общем, украинцы-антисемиты привели к отзыву свежего релиза Ubuntu. Казалось бы, заголовок для Панорамы. Но нет. Такой вот инфобез, который мы заслужили.

Теги:
Хабы:
Всего голосов 4: ↑2 и ↓20
Комментарии2

Публикации

Информация

Сайт
tomhunter.ru
Дата регистрации
Численность
51–100 человек
Местоположение
Россия
Представитель
Том Хантер

Истории