📌Новая версия вредоноса Mirai атакует устройства Zyxel
Эксперты Palo Alto Networks обнаружили новую версию вредоноса Mirai, получившую название Mukashi. Данная разновидность использует брутфорс и различные комбинации учетных данных по умолчанию, а также проникает в устройства компании Zyxel, чтобы получить контроль над ними, а затем использовать для DDoS-атак.
Корень данной проблемы заключается в файле weblogin.cgi, баг возникает из-за некорректной очистки параметра имени пользователя. То есть если username включает в себя определенные символы, проявляется уязвимость и ее можно использовать для инъекций команд с привилегиями веб-сервера. После этого злоумышленник может использовать утилиту setuid для запуска произвольных команд с root-привилегиями.
xakep
Эксперты Palo Alto Networks обнаружили новую версию вредоноса Mirai, получившую название Mukashi. Данная разновидность использует брутфорс и различные комбинации учетных данных по умолчанию, а также проникает в устройства компании Zyxel, чтобы получить контроль над ними, а затем использовать для DDoS-атак.
Корень данной проблемы заключается в файле weblogin.cgi, баг возникает из-за некорректной очистки параметра имени пользователя. То есть если username включает в себя определенные символы, проявляется уязвимость и ее можно использовать для инъекций команд с привилегиями веб-сервера. После этого злоумышленник может использовать утилиту setuid для запуска произвольных команд с root-привилегиями.
xakep
📌Microsoft временно отложила выпуск новых версий Edge из-за COVID-19
Сисадмины заняты обеспечением безопасной работы сотрудников на дому, и Microsoft решила не нагружать их дополнительными задачами.
Компания последовала примеру Google, за несколько дней до нее приостановившей выпуск новых версий Chrome и Chrome OS. Как и в случае с Chrome, Edge продолжит получать обновления безопасности, однако стабильная версия Edge 81 со всеми нововведениями и существенными изменениями выйдет тогда, когда ситуация с COVID-19 нормализуется.
Другие производители также вынуждены были предпринять некоторые меры из-за ситуации с пандемией. К примеру, Mozilla на время снова включила в Firefox протоколы TLS 1.0 и TLS 1.1. Новая версия Firefox 74 вышла ранее в этом месяце, и в ней были отключены признанные небезопасными протоколы TLS 1.0 и TLS 1.1. Однако теперь Mozilla снова включила их, чтобы обеспечить пользователям доступ к критически важным правительственным сайтам, до сих пор использующим данные версии протокола.
Сисадмины заняты обеспечением безопасной работы сотрудников на дому, и Microsoft решила не нагружать их дополнительными задачами.
Компания последовала примеру Google, за несколько дней до нее приостановившей выпуск новых версий Chrome и Chrome OS. Как и в случае с Chrome, Edge продолжит получать обновления безопасности, однако стабильная версия Edge 81 со всеми нововведениями и существенными изменениями выйдет тогда, когда ситуация с COVID-19 нормализуется.
Другие производители также вынуждены были предпринять некоторые меры из-за ситуации с пандемией. К примеру, Mozilla на время снова включила в Firefox протоколы TLS 1.0 и TLS 1.1. Новая версия Firefox 74 вышла ранее в этом месяце, и в ней были отключены признанные небезопасными протоколы TLS 1.0 и TLS 1.1. Однако теперь Mozilla снова включила их, чтобы обеспечить пользователям доступ к критически важным правительственным сайтам, до сих пор использующим данные версии протокола.
📌Mozilla отключит поддержку FTP-протокола в Firefox 77
Разработчики Firefox представили план полного прекращения поддержки протокола FTP, что коснётся как возможности загрузки файлов по FTP, так и просмотра содержимого каталогов на FTP-серверах. В выпуске Firefox 77, намеченном на 2 июня, поддержка FTP будет по умолчанию отключена, но в about:config будет добавлена настройка "network.ftp.enabled", позволяющая вернуть FTP. В ESR-сборках Firefox 78 поддержка FTP по умолчанию останется включённой. В 2021 году планируется полностью удалить связанный с FTP код.
В качестве причины прекращения поддержки FTP называется незащищённость данного протокола от модификации и перехвата транзитного трафика при совершении MITM-атак. По мнению разработчиков Firefox, в современных условиях нет причин в использовании FTP вместо HTTPS для загрузки ресурсов. Кроме того, код поддержки FTP в Firefox очень старый, создаёт проблемы при сопровождении и имеет историю выявления большого числа уязвимостей в прошлом. Для тех кому необходима поддержка FTP предлагается использовать внешние приложения, прикрепляемые в качестве обработчиков для URL ftp://, по аналогии с тем как используются обработчики irc:// или tg://.
Когда они отключали gopher:// - я молчал, потому что не был пользователем gopher
Когда они пришли за ftp:// - я молчал, потому что использовал ssh
Когда они пришли за http:// - я молчал, потому что использовал let's encrypt
Когда они отняли у нас свой собственный интернет и заставили держать сайты исключено на своих серверах - заступиться было уже некому за меня
Разработчики Firefox представили план полного прекращения поддержки протокола FTP, что коснётся как возможности загрузки файлов по FTP, так и просмотра содержимого каталогов на FTP-серверах. В выпуске Firefox 77, намеченном на 2 июня, поддержка FTP будет по умолчанию отключена, но в about:config будет добавлена настройка "network.ftp.enabled", позволяющая вернуть FTP. В ESR-сборках Firefox 78 поддержка FTP по умолчанию останется включённой. В 2021 году планируется полностью удалить связанный с FTP код.
В качестве причины прекращения поддержки FTP называется незащищённость данного протокола от модификации и перехвата транзитного трафика при совершении MITM-атак. По мнению разработчиков Firefox, в современных условиях нет причин в использовании FTP вместо HTTPS для загрузки ресурсов. Кроме того, код поддержки FTP в Firefox очень старый, создаёт проблемы при сопровождении и имеет историю выявления большого числа уязвимостей в прошлом. Для тех кому необходима поддержка FTP предлагается использовать внешние приложения, прикрепляемые в качестве обработчиков для URL ftp://, по аналогии с тем как используются обработчики irc:// или tg://.
Когда они отключали gopher:// - я молчал, потому что не был пользователем gopher
Когда они пришли за ftp:// - я молчал, потому что использовал ssh
Когда они пришли за http:// - я молчал, потому что использовал let's encrypt
Когда они отняли у нас свой собственный интернет и заставили держать сайты исключено на своих серверах - заступиться было уже некому за меня
Налаживаем удаленную работу сотрудников средствами Zyxel VPN
Технический вебинар
Мы поговорим о:
• Возможности и настройка L2TP over IPSec VPN на шлюзе
• Настройка L2TP over IPSec на компьютере
• Возможности и настройка SSL VPN на шлюзе
• Настройка и запуск SSL VPN на компьютере
Дата: 25 марта 2020 года
Время: 15:00 - 16:30, MSK
Регистрация
Технический вебинар
Мы поговорим о:
• Возможности и настройка L2TP over IPSec VPN на шлюзе
• Настройка L2TP over IPSec на компьютере
• Возможности и настройка SSL VPN на шлюзе
• Настройка и запуск SSL VPN на компьютере
Дата: 25 марта 2020 года
Время: 15:00 - 16:30, MSK
Регистрация