Сегодня новостями об атаках и уязвимостях мало кого удивишь. Обыденное дело. Но держать руку на пульсе приходится — так быстро всё меняется. Не так давно мы уже писали о бэкдоре в пакете xz Utils, который затронул многие системы Linux, а сегодня собрали для вас топ новостей из мира безопасности, о которых лучше быть в курсе.
Выявлен неавторизованный доступ к 174 записям пользователей сервиса PyPI
Некоторое время назад администраторы PyPI выявили факт несанкционированной активности в учётных записях своих пользователей. Всего были подвергнуты атаке 174 учетные записи.
Как предположили в PyPI, доступ к учётным данным был получен из ранее скомпрометированных источников, а сама атака стала возможна из-за повторного использования паролей на других ресурсах и отсутствия 2FA у некоторых пользователей.
Следов подделки пакетов или другой вредоносной активности выявлено не было — атакующие, получив доступ, внесли изменения в учётки и на этом успокоились. Учётные записи пострадавших были временно заблокированы для дальнейшего расследования.
Атака Continuation flood приводит к проблемам на серверах, использующих HTTP/2.0
Атака Continuation flood представляет серьёзную угрозу для серверов, использующих протокол HTTP/2.0, так как может привести к исчерпанию ресурсов памяти или заметному росту нагрузки на процессор сервера. Уязвимость обусловлена особенностями обработки кадров HEADERS и CONTINUATION в HTTP/2, когда злоумышленник отправляет поток кадров CONTINUATION без установки флага END_HEADERS, что приводит к перегрузке сервера и замедлению его работы.
Особенно опасно то, что атака может быть осуществлена с одного компьютера или одного TCP-соединения — это делает её более эффективной в сравнении с крупной прошлогодней атакой Rapid Reset. Вредоносный трафик при этом не вызывает подозрений и не выделяется в логах сервера среди обычных запросов пользователей.
Атака Continuation flood затрагивает различные реализации протокола HTTP/2, включая Apache httpd, Apache Traffic Server, Node.js, oghttp, Go net/http2, Envoy, oghttp и nghttp2. Многие из этих реализаций не обладают достаточными механизмами защиты от подобных видов атак. Особенно уязвимыми оказываются пользователи Node.js. Сейчас уязвимость устранена в Node.js 18.20.1, 21.7.2 и 20.12.1, а также в свежих выпусках библиотек llhttp и undici.
Новый метод атаки Native BHI позволяет обойти защиту в ядре Linux
Исследователи из университета в Амстердаме описывают новый метод атаки "Native BHI", который представляет серьезную угрозу для безопасности систем с процессорами Intel на базе ядра Linux. Метод помогает обойти защитные механизмы ядра и получить доступ к содержимому памяти даже из пространства пользователя, в том числе к конфиденциальным данным. Он использует гаджеты в коде ядра для спекулятивного выполнения инструкций, позволяя злоумышленникам извлекать данные из памяти ядра со скоростью около 3.5 Кб в секунду.
Реакция на обнаруженную уязвимость: в ядро Linux было внесено изменение, добавляющее режим защиты с применением аппаратных средств Intel или программных механизмов защиты для гипервизора KVM. Это исправление уже включено в последние версии ядра: 6.8.5, 6.6.26, 6.1.85 и 5.15.154. Также был выпущен патч от разработчиков гипервизора Xen, который включает защиту от атаки Native BHI. Исправление вошло в состав выпусков Xen 4.15.6, 4.16.6, 4.17.4 и 4.18.2. Новые методы защиты доступны для новых процессоров Intel начиная с Alder Lake.
Уязвимость в PuTTY, позволяющая восстановить закрытый ключ пользователя
Уязвимость в PuTTY, которая позволяет восстановить закрытый ключ пользователя, была обнаружена в популярном клиенте SSH для Windows. Опасность заключается в возможности атаки на закрытые ключи, сгенерированные с использованием алгоритма ECDSA на кривой NIST P-521. Для успешной атаки необходимо проанализировать около 60 цифровых подписей, созданных с помощью PuTTY. Причиной уязвимости стала ошибка в генерации вектора инициализации, что делает возможным восстановление ключа пользователя злоумышленниками.
Уязвимость затрагивает несколько популярных программ, таких как FileZilla, WinSCP, TortoiseGit и TortoiseSVN. Проблема устранена в обновлениях PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 и TortoiseGit 2.15.0.1. Для защиты ключей рекомендуется перегенерировать и удалить старые.