Подкатил сентябрьский PatchTuesday от Microsoft с исправлениями для 79 уязвимостей, включая четыре активно эксплуатируемых и одну публично раскрытую 0-day.

В целом устранено семь критических уязвимостей, связанных с RCE и EoP. Общее распределение: 30 - EoP, 4 - обход функций безопасности, 23 - RCE, 11 - раскрытие информации, 8 - DoS и 3 - спуфинг.

Среди четыре активно эксплуатируемых нулей:

- CVE-2024-38014: уязвимость в установщике Windows, которая позволяет получать привилегии SYSTEM в системах Windows.

Ошибка была обнаружена Майклом Бэром из SEC Consult Vulnerability Lab. Подробности эксплуатации не разглашаются.

- CVE-2024-38217: уязвимость обхода функции безопасности Windows Mark of the Web, раскрытая в прошлом месяце Джо Десимоном из Elastic Security и активно эксплуатировалась с 2018 года.

Реализует метод LNK-stomping, позволяющий специально созданным LNK-файлам с нестандартными целевыми путями или внутренними структурами вызывать открытие файла, обходя предупреждения безопасности Smart App Control и Mark of the Web.

- CVE-2024-38226: уязвимость обхода функции безопасности Microsoft Publisher, которая позволяет обходить средства защиты от встроенных макросов в Office. Microsoft не раскрыла, кто именно раскрыл уязвимость и как она была использована.

- CVE-2024-43491: RCE-уязвимость в Центре обновления Microsoft Windows. Ошибка Servicing Stack привела к отмене исправлений некоторых уязвимостей, влияющих на дополнительные компоненты в Windows 10 версии 1507.

Злоумышленник может воспользоваться ранее устраненными уязвимостями в системах Windows 10 версии 1507, на которых установлено мартовское обновление KB5035858 или другие, выпущенные до августа 2024 года. Все более поздние не уязвимы.

Уязвимость стека обслуживания устраняется путем установки сентябрьских обновлений стека обслуживания (SSU KB5043936) и безопасности Windows (KB5043083), именно в таком порядке.

Она затрагивает Windows 10 версии 1507 (поддержка завершилась в 2017 году) а также редакции Windows 10 Enterprise 2015 LTSB и Windows 10 IoT Enterprise 2015 LTSB (которые все еще находятся на стадии поддержки).

Проблема интересна тем, что она приводит к откату дополнительных компонентов, таких как Active Directory Lightweight Directory Services, XPS Viewer, Internet Explorer 11, LPD Print Service, IIS и Windows Media Player, к их исходным версиям RTM.

Это приводит к повторному внедрению в программу всех предыдущих CVE, которые затем могут быть использованы злоумышленниками.

Более подробная информация об уязвимостях и полный список затронутых компонентов - здесь.

Исследователи из Лаборатории Касперского продолжают кучно бомбить все новыми исследованиями, сообщая об обнаружении ранее неизвестного бэкдора Loki, который использовался в серии целевых атак в июле.

Проанализировав вредоносный файл, исследователи смогли определить, что Loki - это, по всей видимости, модифицированная версия агента Mythic Agent, фреймворка Red Team с открытым исходным кодом.

Обнаруженный ЛК агент Loki - это совместимая с Mythic версия агента для другого фреймворка, Havoc.

Модификация Loki унаследовала различные методы от Havoc для усложнения анализа агента, такие как шифрование его образа памяти, косвенный вызов функций API системы, поиск функций API по хэшам и многое другое.

Однако, в отличие от агента для Havoc, Loki был разделен на загрузчик и DLL, где реализована основная функциональность вредоносного ПО.

Обе версии агента используют алгоритм хеширования djb2 для сокрытия функций и команд API с небольшими различиями.

После выполнения загрузчик Loki формирует пакет с информацией о зараженной системе (версия ОС, внутренний IP, имя пользователя, архитектура процессора, путь к текущему процессу и его идентификатор) и отправляет его в зашифрованном виде на С2 https://y[.]nsitelecom[.]ru/certcenter.

В ответ сервер отправляет DLL, которую загрузчик помещает в память зараженного устройства - обработка команд и дальнейшее общение с сервером С2 происходит внутри этой библиотеки.

Замеченные версии используют одинаковые алгоритмы шифрования данных: сначала собранная информация шифруется алгоритмом AES, затем кодируется с помощью base64.

Каждый экземпляр вредоносного ПО имеет уникальный UUID.

В результате первого запроса к C2 возвращается полезная нагрузка в виде DLL с двумя экспортированными функциями: стандартной точкой входа DllMain и функцией Start, которую загрузчик вызывает для передачи дальнейшего управления библиотеке.

Проведя детальный анализ, исследователям удалось обнаружить около 15 версий загрузчика и два активных C2, и в конечном итоге получить образец основного модуля из майской версии.

Основной модуль, как и загрузчик, основан на версии агента Havoc, но список поддерживаемых команд частично заимствован из других агентов Mythic.

Он не хранится в виде простого текста в DLL, вместо этого в коде библиотеки указывается ряд хэшей. Когда с сервера поступает команда, ее имя хэшируется и сравнивается с хэшем, хранящимся в DLL.

Сам агент не поддерживает туннелирование трафика, поэтому для доступа к частным сегментам сети злоумышленники используют сторонние общедоступные утилиты: ngrok и gTunnel.

Как отмечают в ЛК, с этой угрозой уже столкнулись более десятка российских компаний из разных отраслей, включая машиностроение и здравоохранение, однако число потенциальных жертв может быть больше.

В виду недостаточности данных отнести Loki к какой-либо группе не удалось, индикаторы компрометации - в отчете.

Исследователи Sophos отследили три связанных с КНР кластера угроз, нацеленных на правительственные организации в Юго-Восточной Азии в рамках операции кибершпионажа под названием Crimson Palace.

Наблюдаемое исследователями кибернаступление включает следующие security threat activity cluster (STAC): Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) и Cluster Charlie (STAC1305).

Как отмечают в Sophos, злоумышленники постоянно использовали другие взломанные корпоративные и государственные сети в регионе в качестве ретрансляционной точки C2 для доставки вредоносного ПО и инструментов.

Crimson Palace была впервые задокументирована в начале июня 2024 года, а атаки происходили в период с марта 2023 года по апрель 2024 года.

Первоначальная активность, связанная с Bravo, который пересекается с группой угроз Unfading Sea Haze, была ограничена мартом 2023 года. Однако в период с января по июнь 2024 года была зафиксирована новая волна атак, нацеленная на 11 других организаций и агентств в том же регионе.

В период с сентября 2023 года по июнь 2024 года был также выявлен ряд атак, организованных кластером Cluster Charlie (или Earth Longzhi).

Некоторые из них также включали развертывание различных фреймворков C2, таких как Cobalt Strike, Havoc и XieBroC2, для реализации последующей эксплуатации и доставки дополнительных полезных нагрузок, в том числе SharpHound.

Основная цель осталась прежней - кибершпионаж. Однако большая часть усилий, по-видимому, была сосредоточена на расширении присутствия в целевой сети путем обхода EDR и быстрого восстановления доступа, когда их импланты C2 блокировались.

Другим важным аспектом является задействование Cluster Charlie метода перехвата DLL для выполнения вредоносного ПО, который ранее применялся злоумышленниками, стоящими за Cluster Alpha, что указывает на перекрестные TTPs.

Среди других задействуемых злоумышленниками ПО с открытым исходным кодом - RealBlindingEDR и Alcatraz, которые позволяют деактивировать антивирусные процессы и скрывать переносимые исполняемые файлы (exe, dll и sys).

Завершает арсенал вредоносного ПО кластера ранее неизвестный кейлоггер под названием TattleTale, который был первоначально обнаружен в августе 2023 года и способен собирать данные браузеров Google Chrome и Microsoft Edge.

Вредоносная ПО может фиксировать данные взломанной системы и проверять наличие подключенных физических и сетевых дисков, выдавая себя за вошедшего в систему пользователя.

TattleTale также осуществляет сбор сведений в отношении контроллера домена и крадет LSA, которая, как известно, содержит конфиденциальную информацию, связанную с политиками паролей и настройками безопасности.

Таким образом, установлено, что все три кластера работают сообща, одновременно сосредотачиваясь на конкретных задачах в цепочке атак: проникновение в целевые среды и проведение разведки (Alpha), глубокое проникновение в сети с использованием различных механизмов C2 (Bravo) и извлечение ценных данных (Charlie).

Sekoia представила отчет в отношении ботнета Quad7, который активно эволюционирует, атакуя с помощью нового вредоносного ПО для VPN-устройств Zyxel, беспроводных маршрутизаторов Ruckus и медиасерверов Axentra.

Замеченные новшества в работе Quad7 показывает, что его разработчики учли имевшиеся ошибки, выявленные исседователями, и теперь реализуют переход в сторону более скрытных технологий.

Основная цель Quad7 остается до сих загадкой, есть лишь предположения о возможности его задействования в бруте паролей на VPN, Telnet, SSH и учетных записей Microsoft 365.

Ботнет Quad7 состоит из нескольких подкластеров, идентифицированных как варианты *login, каждый из которых нацелен на определенные устройства и отображает свой приветственный баннер при подключении к порту Telnet.

Полный список вредоносных кластеров состоит из:
- xlogin – Telnet, привязанный к TCP-порту 7777 на маршрутизаторах TP-Link
- alogin – Telnet привязан к TCP-порту 63256 на маршрутизаторах ASUS
- rlogin – Telnet, привязанный к TCP-порту 63210 на беспроводных устройствах Ruckus
- axlogin – баннер Telnet на устройствах Axentra NAS
- zylogin – Telnet, привязанный к TCP-порту 3256 на устройствах Zyxel VPN.

Некоторые из кластеров, такие как xlogin и alogin затрагивают до нескольких тысяч устройств. Другие, недавно появившиеся, такие как rlogin и zylogin, насчитывают значительно меньше - 298 и 2 заражения соответственно, а axlogin - вовсе по нулям.

Тем не менее, эти новые подкластеры в самое ближайшее время могут выйти из экспериментальной фазы или переключиться на новые уязвимости, нацеленные на более распространенные модели.

Последние результаты исследования Sekoia показывают, что ботнет Quad7 значительно усовершенствовал свои методы и тактику коммуникации, сосредоточившись на уклонении от обнаружения и повышении эффективности работы.

Во-первых, постепенно прекращается использование открытых прокси-серверов SOCKS, в которых ботнет активно использовал предыдущие версии для ретрансляции вредоносного трафика.

Вместо этого операторы Quad7 теперь используют протокол связи KCP для ретрансляции атак с помощью инструмента FsyNet, который осуществляет связь по протоколу UDP, что значительно затрудняет отслеживание.

Кроме того, злоумышленники теперь используют новый бэкдор под названием UPDTAE, который устанавливает обратные HTTP-оболочки для удаленного управления зараженными устройствами, позволяя операторам управлять устройствами, не раскрывая интерфейсы входа в систему и не оставляя открытыми порты.

Также разработчиками ведутся эксперименты с новым двоичным файлом netd, который использует протокол CJD route2, так что, скорее всего, на подходе еще более скрытый механизм связи.

Будем посмотреть.

Однажды Генри Форд раскрыл свой секрет успеха, отметив, что он заключается в умении понять точку зрения другого человека и смотреть на вещи и с его, и со своей точек зрения.

По все видимости, в Ford решили буквально проследовать совету своего основателя и намерены запатентовать рекламно-ориентированную систему, которая будет прослушивать все разговоры в автомобиле для последующей выдачи персонализированной рекламы.

Так что можно смело констатировать, что ситуация с прослушиванием, похоже, выходит на новый уровень после недавней публикации патента Ford Global Technologies, в котором описаны системы и методы, помогающие показывать более целевую рекламу.

В документе также четко раскрывается, что для достижения этой цели новая технология будет прослушивать разговоры водителя и пассажиров в транспортном средстве.

Также будут анализироваться такие данные, как местонахождение транспортного средства, его скорость, по какой дороге оно движется и находится ли автомобиль в пробке.

Система будет использовать информацию о пункте назначения и истории передвижения авто, чтобы более эффективно определять, какие рекламные объявления и какой продолжительности отображать для водителя.

Прослушивание разговоров пассажиров также поможет компании узнать, как они реагируют на рекламу, и в какое время лучше всего показывать ее через мультимедиа и системы HMI, установленные в автомобиле.

Например, система сможет сокращать количество рекламных объявлений, когда люди в машине разговаривают, или показывать их, когда в салоне автомобиля тихо.

При этом в патенте не указано, каким образом собранные данные будут защищены. Пока еще рано говорить о том, будет ли вообще такая система реализована в будущем, на данном этапе речь идет лишь про патент.

Но будем, конечно, посмотреть.

Подкатили обновления ведущих поставщиков промышленных систем управления (ICS).

Siemens опубликовала 17 новых рекомендаций, некоторые из которых теперь включают оценки CVSS 4.0.

Наиболее серьезной из уязвимостей с оценкой 10 из 10 является критическая проблема обхода аутентификации в продукте Industrial Edge Management (все версии < V1.9.5).

Эта уязвимость может позволить неаутентифицированному удаленному злоумышленнику выдавать себя за другие устройства, подключенные к системе.

В список критических уязвимостей также вошли уязвимости неаутентифицированного удаленного выполнения кода в продуктах Simatic и уязвимость внедрения кода в продуктах Scalance W.

Другие потенциально серьезные недостатки с рейтингом критическим и высоким уровнем серьезности включают ошибки DoS в Automation License Manager и Sicam, проблему EoP в Sinumerik, проблему RCE в Sinema Remote Connect Client, а также RCE и DoS - в Tecnomatix Plant Simulation.

В различных продуктах Simatic были обнаружены DoS-ошибки высокой степени серьезности. Проблемы средней степени серьезности были устранены в продуктах Sinumerik, Sinema и Mendix.

Компания Siemens еще не выпустила исправления для некоторых из этих уязвимостей, но доступны способы их устранения и обходные пути.

Schneider Electric выпустила два новых бюллетеня для двух уязвимостей, одна из которых — это EoP высокой степени серьезности в Vijeo Designer.

Вторая уязвимость - это ошибка XSS средней степени серьезности, которую может использовать аутентифицированный злоумышленник.

Компания ABB представила один информационный бюллетень, информирующий о двух проблемах DoS средней степени серьезности в защитных реле Relion.

Кроме того, следует обратить внимание на три критические и высокосерьёзные уязвимости в Viessmann Climate Solutions SE.

Уязвимости связаны с жёстко закодированными учётными данными, принудительным просмотром и внедрением команд, а PoC находится в открытом доступе.

И, наконец, еще три: серьезная уязвимость загрузки файлов в веб-сервере SpiderControl SCADA, серьезная ошибка DoS в Rockwell Automation SequenceManager и проблема раскрытия информации средней степени серьезности в приложениях BPL Medical Technologies для Android.

Продолжаем отслеживать наиболее серьезные уязвимости:

1. CVE-2024-43102 с CVSS Sore 10: уязвимость Use-After-Free в FreeBSD во всех поддерживаемых версиях может привести к полной компрометации системы.

Параллельное удаление определенных анонимных сопоставлений разделяемой памяти с помощью подзапроса UMTX_SHM_DESTRUCTION UMTX_OP_SHM приводит к слишком частому уменьшению количества ссылок объекта, представляющего сопоставление, что приведет к его слишком раннему освобождению.

Вредоносный код, выполняющий подзапрос UMTX_SHM_DESTRUCTION параллельно, может вызвать панику в ядре или разрешить дальнейшие атаки Use-After-Free, потенциально включая выполнение кода или выход из песочницы Capsicum.

Обходного пути не существует, следует обновить уязвимую систему до поддерживаемой стабильной версии FreeBSD.

2. Adobe Patch Tuesday устраняет многочисленные уязвимости в продуктах компании, включая критические недостатки, которые могут позволить злоумышленникам выполнить произвольный код в системах Windows и macOS.

Наиболее серьезными являются две критические ошибки повреждения памяти в Acrobat и PDF Reader: нуль CVE-2024-41869 (CVSS 7,8) и CVE-2024-45112 (CVSS 8,6).

CVE-2024-41869 - это проблема Use After Free, а недостаток CVE-2024-45112 - ошибка Type Confusion.

Злоумышленник может использовать эти уязвимости для выполнения произвольного кода. В последних версиях ПО эти недостатки уже исправлены.

0-day в Acrobat Reader была обнаружена в июне с помощью платформы EXPMON исследователем Хайфэем Ли.

Как удалось выяснить исследователю, PoC-эксплойт для нее в наличии, но находится в стадии разработки.

Ли намерен опубликовать подробности обнаружения ошибки в блоге EXPMON, а также дополнительную техническую информацию в предстоящем отчете Check Point Research.

3. Ivanti исправила уязвимость максимальной степени серьезности в своем ПО для управления конечными точками EPM, которая позволяет неавторизованным злоумышленникам удаленно выполнять код на основном сервере.

Уязвимость (CVE-2024-29847) вызвана проблемой десериализации ненадежных данных в портале агента, которая была устранена в исправлениях Ivanti EPM 2024 и обновлении службы Ivanti EPM 2022 6 (SU6).

На данный момент Ivanti не известно о каких-либо случаях эксплуатации уязвимостей, но учитывая репутацию вендора по этой части - не следует этого исключать.

Исследователи Unit 42 Palo Alto Networks сообщают о крупномасштабных кампаниях, в которых фишинговые страницы доставлялись через заголовок ответа HTTP Refresh.

С мая по июль ежедневно фиксировалось более 2000 вредоносных URL-адресов, которые были связаны с кампаниями этого типа.

Пик пришелся на 10 мая 2024 года и продолжался около месяца.

В целом, наблюдаемая кампания охватила более 3000 жертв в более чем 500 организациях.

При этом более 34% атак были направлены на представителей сферы финансов и экономики, и почти 30% - на правительственный и образовательный сектор.

В отличие от других видов фишинга через HTML-контент, в наблюдаемых атаках злоумышленники доставляли вредоносные ссылки через URL-адреса обновления заголовков, содержащие адреса электронной почты целевых получателей.

В соответствии с доменом получателя электронной почты, конечная страница автоматически загружалась с вредоносным содержимым ссылки, когда жертва нажимала на ссылку в теле письма.

При этом вредоносные ссылки заставляли браузер автоматически обновлять или перезагружать веб-страницу немедленно, не требуя взаимодействия с пользователем.

При попадании на фишинговую веб-страницу жертвам предоставлялась страница входа, запрашивающая их учетные данные.

Оригинальные и целевые URL-адреса часто находились под легитимными или скомпрометированными доменами и хостами, эффективно скрывая вредоносные строки URL.

Кроме того, злоумышленники умело использовали персонализированный подход, увеличивая вероятность обмана жертвы.

Исследователи перечислили несколько примеров поведения фишинговых веб-страниц с помощью HTML-контента, в частности, путем внедрения вредоносного URL-адреса в метаполе HTML-файла.

Однако на текущий момент ни в одном источнике не рассматривались атаки с использованием записи обновления в заголовке ответа, отправленном сервером, которая происходит до того, как сервер обработает HTML-контент тела ответа.

CSV-файл с 58 примерами цепочек URL-адресов с 1 мая по 2 июля 2024 года доступен в этом репозитории на GitHub.

Исследователи из Dr.Web расчехлили гигантскую ботсеть, включающую более 1,3 миллиона телевизионных приставок Android TV в более чем 200 странах.

Наибольшее число зараженных устройств было обнаружено в России, Бразилии, Марокко, Пакистане, Саудовской Аравии, Аргентине, Эквадоре, Тунисе, Малайзии, Алжире и Индонезии.

Причем на Бразилию приходится треть всех текущих заражений.

Устройства были заражены новым бэкдором под названием Vo1d, нацеленным на Android Open Source Project (AOSP), обеспечив таинственному злоумышленнику полный контроль над устройствами.

Исследователям Dr.Web пока не удалось определить, каким образом произошли заражения заражены, но было установлено несколько случаев, когда взломанные приставки сообщали неверные версии ОС Android.

По всей видимости, производители бюджетных устройств нередко используют старые версии ОС, выдавая их за более современные, чтобы сделать продукцию более привлекательной среди потребителей.

Теоретически это могло бы объяснить, как именно были заражены устройства: операторы Vo1d могли задействовать устаревшие уязвимости Android, поскольку на приставках в реальности не были установлены соответствующие исправления.

В зависимости от версии вредоносного ПО Vo1d изменяет install-recovery.sh, daemonsu или заменяет debuggerdфайлы операционной системы, которых представляют собой скрипты запуска в Android.

Вредоносная ПО использует эти скрипты для сохранения и запуска Vo1d при загрузке.

Сама вредоносная ПО при этом размещается в файлах wdи vo1d, в честь которых она и названа.

Основная функциональность Vo1d скрыта в его компонентах vo1d (Android.Vo1d.1) и wd (Android.Vo1d.3), которые работают в тандеме.

Модуль Android.Vo1d.1 отвечает за запуск Android.Vo1d.3 и контролирует активность, перезапуская его процесс при необходимости.

Кроме того, он может загружать и запускать исполняемые файлы по команде С2.

В свою очередь, Android.Vo1d.3 устанавливает и запускает демон Android.Vo1d.5, который зашифрован и хранится в его теле.

Этот модуль также может загружать и запускать исполняемые файлы. Более того, он отслеживает указанные каталоги и устанавливает файлы APK, которые он в них находит.

Тактические цели боднет пока неясны, вероятно, это может быть DDoS или мошенничество с рекламными кликами.

Или же Vo1d все еще находится в стадии разработки, и дополнительный функционал будет добавлен позже.

Список IOC для вредоносной кампании Vo1d можно найти на странице Dr. Web на GitHub.

Исследователи сингапурской Group-IB сообщают об обнаружении новой вредоносной ПО для Android по названием Ajina.Banker, которая способна осуществлять кражу финансовых данных, обходя при этом 2FA через Telegram.

Group-IB идентифицировала угрозу в мае 2024 года, отследив каналы распространения в Telegram под видом легитимных приложений для банков, платежных систем, госуслуг или коммунальных услуг.

Пострадала преимущественно клиентура банковского сектора в регионе Центральной Азии, по крайней мере начиная с ноября 2023 года.

Вообще же текущая кампания нацелена на такие страны, как Армения, Азербайджан, Исландия, Казахстан, Кыргызстан, Пакистан, Россия, Таджикистан, Украина и Узбекистан.

Злоумышленник действует через сеть операторов, преследующих цель извлечения финансовой выгоды, которые реализуют распространение вредоносного ПО для Android-банкинга, нацеленное на обычных пользователей.

При этом, как полагают исследователи, некоторые элементы процесса распространения вредоносного ПО в Telegram могли быть автоматизированы для повышения его эффективности.

Задействовались многочисленные аккаунты Telegram для доставки сообщений с ссылками либо на другие каналы Telegram, либо на внешние источники и APK-файлы через массовые рассылки.

Помимо злоупотребления доверием пользователей к легитимным сервисам с целью максимизации уровня заражения, в ходе кампании также использовались чаты Telegram, где вредоносные файлы выдавались как раздачи и рекламные акции с призами и эксклюзивным доступом к сервисам.

Использование тематических сообщений и локализованных стратегий продвижения оказалось особенно эффективным каналом заражения в региональных чатах посредством адаптации к интересам и потребностям местного населения.

Вредоносная программа сама по себе довольно проста, после загрузки устанавливает связь с С2 и запрашивает у жертвы разрешение на доступ к SMS, API телефонных соединений и текущей информации по сотовой сети, и др.

Ajina.Banker способен собирать информацию о SIM-карте, установленных финансовых приложениях и SMS, которые затем передаются на сервер.

Новые версии вредоносного ПО также разработаны с учетом поддержки фишинговых страниц для сбора банковской информации.

Кроме того, реализована возможность доступа к журналам вызовов и контактам, а также злоупотреблению API служб доступности Android, чтобы предотвратить удаление и реализовать дополнительные разрешения.

В свою очередь, Google сообщила, что не нашла никаких доказательств распространения вредоносного ПО через Google Play Store, а защита от угрозы обеспечнна с помощью Google Play Protect.

По мнению Group-IB, Ajina.Banker находится в процессе активной разработки и имеет существенную поддержку от сети аффилированных лиц.

GitLab выпустила экстренные обновления для устранения множества уязвимостей, самая серьезная из которых (CVE-2024-6678) позволяет злоумышленнику запускать конвейеры от имени произвольных пользователей при определенных условиях.

Выпуск предназначен для версий 17.3.2, 17.2.5 и 17.1.7 как для GitLab Community Edition (CE), так и для Enterprise Edition (EE), исправляя 18 проблем безопасности.

CVE-2024-6678 с критическим уровнем серьезности 9,9 позволяет злоумышленнику выполнять действия по остановке среды в качестве владельца задания.

Серьезность уязвимости обусловлена возможностью ее удаленной эксплуатации, отсутствием взаимодействия с пользователем и низким уровнем привилегий, необходимых для ее эксплуатации.

GitLab предупреждает, что проблема затрагивает CE/EE от 8.14 до 17.1.7, версии от 17.2 до 17.2.5 и версии от 17.3 до 17.3.2.

В бюллетене также перечислены четыре проблемы высокой степени серьезности с оценками от 6,7 до 8,5, которые потенциально могут позволить злоумышленникам нарушить работу служб, выполнить несанкционированные команды или поставить под угрозу конфиденциальные ресурсы.

Среди них следующие:

- CVE-2024-8640: обусловлена неправильной фильтрации входных данных. Злоумышленники могут внедрять команды в подключенный сервер Cube через конфигурацию YAML, что может поставить под угрозу целостность данных. Влияет на GitLab EE, начиная с версии 16.11.

- CVE-2024-8635: злоумышленники могут использовать SSRF-уязвимость, создав собственный URL-адрес Maven Dependency Proxy для выполнения запросов к внутренним ресурсам, что ставит под угрозу внутреннюю инфраструктуру. Влияет на GitLab EE, начиная с версии 16.8.

- CVE-2024-8124: злоумышленники могут инициировать DoS-атаку, отправив большой параметр 'glm_source', перегружая систему и делая ее недоступной. Влияет на GitLab CE/EE, начиная с 16.4.

- CVE-2024-8641: злоумышленники могут использовать CI_JOB_TOKEN для получения доступа к токену сеанса GitLab жертвы, что позволит им перехватить сеанс. Влияет на GitLab CE/EE, начиная с версии 13.7.

Инструкций по обновлению, исходный код и пакеты - на официальном портале загрузок GitLab, а последние пакеты GitLab Runner - здесь.

Если одни вендоры стабильно работают над ошибками и даже выпускают внеочередные патчи, то некоторые откровенно кладут известный предмет на своих клиентов.

Пару дней назад исследователи Orange Cyberdefense опубликовали техническое описание для CVE-2023-27532, которая может использоваться для RCE-атак на решения Veeam для резервного копирования.

Причем отчет был написан еще полтора года назад, а его публикация в блоге была отложена по просьбе Veeam. Однако после выхода аналогичного материала у Watchtowr, где подробно описывается почти точная уязвимость, моратории был снят.

Первоначальное заявление Veeam относительно этой уязвимости указывает на то, что она позволяет злоумышленнику получить доступ к зашифрованным учетным данным с сервера, по позже исследователи показали, что и к незашифрованным тоже.

Тогда Veeam оперативно выпустила патч, но исследователи смогли его обойти с помощью гаджета ObjRef, запросив новое обновление.

Поставщик отметил о необходимости существенного изменения кода и ушел думать, так и не выпустив патч до настоящего времени, несмотря на многочисленные запросы со стороны исследователей.

Другой пример - это приложение для знакомств Feeld (аналог Tinder и Bumble, но «на стероидах»), в котором Fortbridge обнаружила восемь уязвимостей, которые позволяют злоумышленникам получить доступ и выполнять различные конфиденциальные операции.

Среди них - чтение личных чатов других пользователей, просмотр приватных фотографий, принудительное обновление профилей или доступ к истории их встреч.

При этом Fortbridge своевременно уведомила разработчиков Feeld, но ни одна из проблем не была исправлена за последние полгода.

Так что пользователей ждут новые знакомства, но на этот раз уже с киберподпольем, а поговорить определенно будет о чем.

Тот самый случай, когда информационная безопасность накрылась пиз…й

Как сообщает Boston.com, гинекологическая клиника из Этлборо, штат Массачусетс, подала в суд на соседний акушерский центр, обвиняя во взломе портала онлайн-бронирования.

Four Women Health Services утверждает, что сотрудники Центра женского здоровья Этлборо связывались с ее пациентками каждый раз, когда они обращались через их виджет онлайн-контактов.

Правда, Four Women заявляет, что пока точно не знает, как конкурентам удалось взломать ее инфраструктуру, но все же намерена добиться судебного запрета на доступ Центра женского здоровья Этлборо к своим системам и пациентам.

В долгоиграющем деле с NSO Group новый поворот: Apple дала заднюю и теперь пытается отклонить собственный же иск.

В четверг юристы Apple выкатили ходатайство об отклонении иска против NSO Group, заявив, что дальнейшее рассмотрение дела приведет к раскрытию критически важной информации о безопасности.

Apple отметила, что ее усилия и без того существенно ослабили позиции NSO Group, к тому же появились новые поставщики шпионского ПО, а это значит, что судебное преследование не окажет значимого влияния на отрасль в целом.

При этом мощная шпионская ПО Pegasus от NSO Group, действующая Zero Click, продолжает оставаться одним из самых передовых и распространенных в мире коммерческих инструментов для слежки.

Несмотря на доверие к суду, Apple все же оказалась не готовой поделиться своими секретами, ссылаясь на аналогичный процесс WhatsApp против NSO Group, в который вмешались израильские власти.

По данным Apple со ссылкой на сообщения СМИ, NSO предположительно смогла получить строго контролируемые материалы, взломав Министерства юстиции Израиля, в связи с чем разработчик из Купертино свои секреты предпочел оставить при себе.

Трехгодичная сага в борьбе за конфиденциальность и безопасность пользователей Apple закончилась фактически ничем, а вся суета, вероятно, была частью более серьезной закулисной игры, где интересы владельцев яблок - на заднем плане.

Собственно, об этом мы говорили с самого начала - передел рынка spyware - в самом разгаре.