Как оптимисты мы всегда надеемся на лучшее, но как реалисты не перестаем следить за новостями из области безопасности. Октябрь принес новые вызовы и, надо сказать, что они вызывают интерес не только со стороны «как защититься», но и со стороны — «это и, правда, интересно». Об использовании закрытых уязвимостей, усилении трафика при DDoS-атаках и причинах запрета популярного сервиса — обо всем этом в нашем новом выпуске.
Вирус Perfctl эксплуатирует закрытые уязвимости и заражает тысячи Linux-серверов
Вирус Perfctl начал скрытно майнить криптовалюту в 2021 году. Он заразил уже тысячи Linux- серверов, используя более 20 тысяч ошибок конфигурации. Опасность заключается в сложно обнаруживаемых механизмах его работы и большом наборе действий, который он может выполнять. Так, например, он может эксплуатировать закрытую уязвимость Apache RocketMQ (CVE-2023-33246) с уровнем угрозы 10 из 10. Безопасники считают, что потенциально вирус может негативно повлиять на миллионы устройств.
Perfctl маскируется, работает в фоновом режиме и делает многое другое, чтобы избежать обнаружения пользователем. Он контролирует зараженные машины, изменяя имена файлов и используя уязвимость Gpac мультимедийного фреймворка. Для передачи информации на сервер атакующей стороны, Perfctl шифрует и удаляет все двоичные файлы. Он также создает сокет Unix и сохраняет каталоги с данными о процессах, журналах и местоположении копий. Признаки заражения включают всплески загрузки процессора и замедление работы системы. Чтобы предотвратить заражение, необходимо исправить уязвимость CVE-2023-33246 и проверить конфигурации на ошибки.
Уязвимость в pam_oath, дающая возможность получить права root в системе
В PAM-модуле pam_oath, который входит в состав пакета oath-toolkit, была обнаружена уязвимость (CVE-2024-47191), позволяющая обычным пользователям получить права root. Этот модуль функционирует с правами root и использует файл /etc/users.oath для хранения OATH-ключей, доступных исключительно для пользователя root. С версии 2.6.7 была добавлена возможность размещать файлы с ключами в домашних каталогах пользователей.
Проблема заключается в том, что pam_oath не сбрасывает привилегии при работе с файлами в пользовательских каталогах. После успешной аутентификации модуль создает lock-файл и новый файл с расширением ".new", но не проверяет существование уже имеющегося файла. Это создает возможность для злоумышленников создать символическую ссылку на важный системный файл, такой как /etc/shadow. В результате успешной аутентификации pam_oath может перезаписать этот файл новыми данными и изменить его владельца на пользователя, который создал ссылку.
Уязвимость была исправлена в версии 2.6.12 и затрагивает лишь конфигурации, где файлы размещены в домашних каталогах. Недавно также была обнаружена другая уязвимость (CVE-2024-9313) в PAM-модуле Authd, которая позволяет пользователям подменять свою идентичность, и она была устранена в версии Authd 0.3.5.
Уязвимость в CUPS может быть использована для усиления трафика при DDoS-атаках
Специалисты Akamai обнаружили уязвимость в компоненте cups-browsed. Она позволяет злоумышленникам усиливать трафик во время DDoS-атак. При отправке запросов на открытый порт 631 злоумышленники способны увеличить объем трафика до 600 раз. В интернете зафиксировано более 198 тысяч уязвимых устройств.
В отличие от остальных подходов, в данном случае не требуется подделка адресов. Процесс cups-browsed загружает PPD-файлы с внешних серверов по неавторизованным запросам, что дает возможность добавлять данные и увеличивать IPP URI до 989 байт.
На 62% из исследованных систем cups-browsed отправлял минимум 10 запросов на целевую систему в ответ на один UDP-запрос, что в среднем приводит к увеличению трафика в 600 раз. Также была зафиксирована рекордная DDoS-атака, достигшая 3.8 терабит в секунду, организованная с использованием скомпрометированных маршрутизаторов и других устройств.
Критическая уязвимость в WordPress-плагине Jetpack угрожает 27 млн сайтов
Разработчики плагина Jetpack выпустили патч для критической уязвимости, позволяющей вошедшим пользователям получать доступ к формам, отправленным другими посетителями. Уязвимость затрагивает все версии Jetpack начиная с 3.9.9, выпущенной в 2016 году.
Automattic подготовила исправления для множества версий Jetpack, включая 13.9.1 и более ранние. Рекомендуется проверить и обновить плагины на сайтах.
Разработчики утверждают, что нет доказательств использования уязвимости, но советуют установить исправления как можно скорее. Технические детали не раскрываются, чтобы пользователи успели обновиться.
Международная академия связи предлагает запретить SpeedTest в РФ
Международная академия связи выдвинула инициативу о запрете использования сервиса SpeedTest от компании Ookla операторами в России. Причиной этого являются опасения по поводу возможной передачи данных в иностранные спецслужбы и увеличения вероятности кибератак. Госдума и ФСБ поддержали эту инициативу. Если данный софт будет удален из сетевых инфраструктур, конечные пользователи лишатся возможности точно измерять скорость интернет-доступа. На его место можно рассмотреть использование как отечественных, так и зарубежных альтернативных сервисов.
Возможно, вам будет интересно
