Пробив в сигурността

През 2024 Infostealer софтуерите са се превърнали в един от „най-значимите първоначални вектори за атака“. Според израелската компания за киберсигурност Kela те са свързани с компрометирането на най-малко 330 милиона креденшъли.

За да се случи това, нападателите са пробили защитата на поне 4,3 милиона машини. И двете цифри представляват леко увеличение спрямо 2023 г., но посоката на движение е постоянно възходяща.

Компрометираните креденшъли осигуряват достъп до редица чувствителни корпоративни услуги – облачни решения, CMS, електронна поща и т.н. Трите водещи щама на infostealer – Lumma, StealC и RedLine – са отговорни за над 75% от заразените машини.

За да не станете част от тази статистика:

• инсталирайте антивирусен софтуер и редовно го актуализирайте;
• активирайте MFA;
• бъдете внимателни с фишинг имейли – не отваряйте прикачени файлове или линкове от непознати източници и проверявайте внимателно адреса на подателя;
• актуализирайте редовно софтуерите и OS на вашите устройства, за да намалите риска от уязвимости;
• използвайте firewall и инструменти за мониторинг на трафика, за да можете да засечете подозрителна активност.

Критична уязвимост в плъгина за WordPress Jupiter X Core позволява на нападатели с права на contributor или по-високи да качват злонамерени SVG файлове и да изпълняват отдалечено код. Той е използван в над 90 000 уебсайта и има CVSS оценка 8.8 от 10.

От Wordfence обясняват, че уязвимостта произтича от неправилно обработване на качените SVG файлове. Тя позволява на атакуващите да качват специално създадени такива, съдържащи PHP код. По този начин те могат да заобиколят контрола за сигурност.

Потребителите на Jupiter X Core трябва:

• незабавно да актуализират до версия 4.8.8;
• да активират автоматичните актуализации за плъгини и теми, когато е възможно, за да се предотврати използването на уязвимостта;
• редовно да одитират инсталираните плъгини и да премахват неизползваните или остарелите такива.

Двама хакери публично злепоставиха Министерството на правителствената ефективност (DOGE) на Илон Мъск. Те успяха да получат достъп до уебсайта му и оставиха след себе си няколко подигравателни съобщения.

Нападателите разкриват, че използването на уязвимостите на сайта е било проста задача. Според тях всеки с основни умения за кодиране може да направи същото. Те произтичат от използването на база данни, известна като Cloudflare Pages – незащитена платформа, която всеки с достъп може да редактира. Този пропуск е позволил на хакерите да напишат каквото си искат в сайта.

Пробивът идва след амбициозното обещание на Мъск да внесе прозрачност в работата на правителството, като създаде DOGE. Оказва се обаче, че уебсайтът е бил разработен набързо, което в крайна сметка е довело до очевидния провал в сигурността.

Много анализатори акцентират върху по-широките последици от хакерската атака. Според тях тя хвърля сянка върху способността на правителството да управлява своята цифрова инфраструктура.

Само няколко дни преди пробива в DOGE новостартиралият правителствен сайт waste.gov също се сблъска с криза в сигурността. Тя наложи спешно блокиране на достъпа до него, след като беше установено, че е използван незавършен шаблон на WordPress.

Китайските хакери от групата Salt Typhoon продължават да атакуват телекомите по целия свят. Те са успели да проникнат в още американски доставчици на телекомуникационни услуги през уязвимости в мрежови устройства Cisco IOS XE.

Според Insikt Group те са две и позволяват повишаване на привилегиите и инжектиране на команди в уеб потребителския интерфейс.

Сред новите жертви са американски и италиански доставчици на интернет услуги, базирани в САЩ филиали на телекоми от Обединеното кралство и Южна Африка и др.  В периода декември 2024 – януари 2025 г. Salt Typhoon е атакувала над 1000 мрежови устройства на Cisco в различни региони.

Ако използвате Cisco IOS XE:

• приложете наличните пачове за сигурност възможно най-бързо;
• избягвайте свързването на административни интерфейси или несъществени услуги директно към интернет.

Новооткрита уязвимост позволява заобикаляне на механизма за удостоверяване в определени версии на приложението SonicOS SSLVPN. Тя засяга firewall-a на операционната система. През нея отдалечен нападател може да отвлече активни SSL VPN сесии и да получи неоторизиран достъп до мрежата на жертвата.

Доставчикът предупреди, че уязвимостта може да се използва активно от киберпрестъпници. Администраторите трябва да надградят фърмуера на защитните си стени на SonicOS, за да се справят с проблема.

Той засяга SonicOS версии 7.1.x (до 7.1.1-7058), 7.1.2-7019 и 8.0.0-8035, работещи в множество модели защитни стени от Gen 6 и Gen 7, както и устройства от серия SOHO.

Пачовете са публикувани в SonicOS версии 8.0.0-8037 и по-нови, 7.0.1-5165 и по-нови, 7.1.3-7015 и по-нови, и 6.5.5.1-6n и по-нови.

 

Инсталационен проблем блокира актуализациите за сигурност при някои компютри с Windows 11, версия 24H2. Грешката се появява при инсталации от компактдискове и USB, които съдържат и кумулативните ъпдейти за октомври или ноември 2024.

От Microsoft предупреждават, че при използване на подбни носители устройството може да спре да приема по-нататъшни актуализации на сигурността.

Тези проблеми с внедряването не засягат ъпдейтите, доставени чрез Windows Update и Microsoft Update Catalog. Инсталациите, снабдени с актуализации за сигурност от декември 2024 г. или по-късно, също са защитени.

Ако сте инсталирали някоя от засегнатите версии, възможно най-бързо надградете. Актуализациите за сигурност са от изключителна важност за предпазването на вашите компютри и бизнеси.

 

Неправилните конфигурации остават „ахилесова пета“ за киберсигурността на организациите – и рутерите са водещи в това отношение.

Според данни от скорошно проучване на Broadband Genie 86% от анкетираните никога не са променяли администраторската парола на рутера си. 52% никога не са променяли фабричните настройки.

Това поставя нападателите в перфектна позиция за компрометиране на корпоративните мрежи. Те няма смисъл да създават сложни фишинг кампании, след като ужким защитените устройства могат да бъдат достъпни с идентификационни данни „admin“ и „password“.

Нарастващи рискове, свързани с рутерите

Рутерите позволяват на множество устройства да използват една и съща интернет връзка. Те постигат тази цел, като насочват трафика – навън и навътре. Ако нападателите успеят да ги компрометират, те могат да контролират както това, което излиза, така и това, което влиза в мрежата ви.

Това води до дълъг списък с рискове:

• пренасочване на потребителите към злонамерени уебстраници;
• провеждане на Man-in-the-middle атаки за кражба на данни;
• провеждане на DDoS атаки като част от по-голяма ботнет мрежа;
• наблюдение на поведението на потребителите с помощта на IoT устройства.

Естеството на рутерните атаки ги прави трудни за откриване. При тях хакерите не се налага да заобиколят инструментите за сигурност. Те се възползват от пренебрегнати слаби места, за да получат директен достъп до тях, без да предизвикват реакция от системата.

Въпреки това сигурността на рутерите се влошава, вместо да се подобрява. Според изследване, цитирано от Security Inteligence, през 2022 48% от анкетираните са заявили, че не са коригирали настройките на рутера си, а 16 % никога не са променяли администраторската си парола. През 2024 над 50% от рутерите все още работят с фабрични настройки, а само 14% са сменили паролата си.

Ограничаване на риска

Изводът е, че много бизнеси инвестират в инструменти за сигурност, но не променят конфигурациите по подразбиране и не актуализират фърмуера на рутерите си. А това е все едно да заключите с пет ключалки вратите си, но да оставите прозорците широко отворени.

За да ограничите риска от кибератака през този вектор, редовно сменяйте паролите, актуализирайте фърмуера и се уверете, че рутерите ви не са оставени на фабрични настройки. Освен това:

• Създайте редовен график за актуализация. На всеки четири до шест месеца насрочвайте преглед на рутерите си. Включете този график в споделен календар и се уверете, че всички служители по сигурността знаят за него. Когато определеният ден настъпи, актуализирайте фърмуера, където е възможно, и променете данните за вход и парола.
• Заложете седмичен график за преглед на трафика на рутерите. Търсете странно поведение или неочаквани заявки за вход.
• Създайте план за реакция при инциденти. Нарастващият брой крайни точки означава, че е само въпрос на време нападателите да успеят да намерят незащитени рутери или да заобиколят съществуващите защити.

Kитайският AI стартъп DeepSeek, който нашумя с модела си R1, е оставил публично достъпни две бази данни с чувствителна потребителска и оперативна информация. В тях има над 1 млн. записа, съдържащи история на чата на потребителите в обикновен текст, API ключове, данни за бекенда и оперативни метаданни.

Откритието е направено от Wiz Research по време на оценка на сигурността на външната инфраструктура на DeepSeek. Изследователите са категорични, че това представлява критичен риск за платформата.

Потенциален атакуващ може да изтегли не само чувствителни логове и реални чат съобщения в обикновен текст, но и пароли за DeepSeek R1.

Компанията не е установила стабилни правила по отношение на сигурността. Затова и само седмица след официалното пускане на R1 Италия забрани модела.

Свободният достъп до промптовете на потребителите е нарушение на неприкосновеността на личния живот. Организациите трябва добре да обмислят за какво използват платформата и да не допускат участието ѝ в чувствителни бизнес операции. Излагането на данни за бекенда и API ключове може да даде на нападателите път към вътрешните мрежи на DeepSeek. Това би позволило нерегламентирано увеличаване на привилегиите и потенциално мащабни пробиви.

Cryptojacking не е заплаха, около която се вдига толкова шум, колкото около ransomwarе например. Тя обаче може незабелязано да източва ресурсите и да увеличи разходите ви. Вместо да блокират системите ви, този тип атаки тихомълком превземат изчислителната ви мощ за добив на криптовалута. Те засягат CPU, GPU или облачната ви инфраструктура.

Това струва на компаниите повече, отколкото те осъзнават. Според SonicWall през 2023 г. Cryptojacking атаките са се увеличили с 659%. А за всяка добита криптовалута на стойност 1 USD компаниите са плащали по около 53 USD разходи за облачни услуги. И тъй като не нарушават незабавно работата на системите, тe често остават незабелязани.

Нападателите са разработили няколко метода за вкарване на код за Cryptojacking във вашите системи:

• Drive-by Downloads: Когато потребителите посещават компрометирани уебсайтове, злонамерените Cryptominer могат да се изпълняват автоматично във фонов режим:
• Фишинг имейли: При кликане върху зловредна връзка или изтегляне на файл жертвата несъзнателно изтегля зловреден софтуер;
• Непоправени уязвимости: Инструментите за Cryptojacking често използват уязвимости в сървъри, за да разпространяват зловреден софтуер в мрежите;
• Контейнеризирани среди: Тъй като все повече компании използват контейнери, нападателите вграждат зловредни скриптове за таен добив на криптовалути в такива, съхранявани в публични хранилища.

Защо трябва да ви е грижа

Въпреки че Cryptojacking може да изглежда като незначително неудобство в сравнение с кражбата на данни, въздействието може да бъде сериозно.

Различните сценарии включват:

• Удар по производителността: Cryptojacking източва ресурсите на CPU и GPU, което забавя работата на системите ви. Освен това прекомерната консумация на енергия увеличава сметките ви, натоварва хардуера и може да доведе до прегряване;
• Увеличаване на разходите в облака: Доставчиците на облачни услуги начисляват такси въз основа на използването на ресурсите. Компрометираните виртуални машини или контейнери консумират огромни количества CPU, GPU и памет, което води до неочаквани и често огромни сметки;
• Загуба на производителност: Претоварените системи могат да се сринат или забавят до степен, в която операциите спират;
• Уязвимост на сигурността: Cryptojacking инструментите често се възползват от същите уязвимости, които могат да доведат до по-големи и по-вредни атаки. След като вече има опора в компрометирания ресурс, нападателят може да се възползва от това по всяко време.

Защита срещу Cryptojacking

Cryptojacking атаките могат да бъдат насочени срещу всяка организация, независимо от нейната големина, индустрия или регион.

За да защитите вашия бизнес се нуждаете от проактивна, многопластова защита. Това включва:

• Защита на крайни точки: Съвременните инструменти за защита на крайни точки често включват функционалности за откриване на Cryptojacking. Те следят скоковете в потреблението на ресурси и сигнализират за необичайна активност;
• Мониторинг на мрежата: Софтуерите за Cryptojacking често оставят следи в мрежовия трафик. Инструменти, които анализират моделите на потребление за необичайни връзки, могат да помогнат за ранното откриване и предотвратяване на заплахата;
• Мониторинг на облака: Платформи като AWS CloudWatch и Azure Monitor могат да помогнат за проследяване на скоковете в потреблението на CPU или GPU. Подобни събития са основен признак за Cryptojacking.

Но не е достатъчно просто да внедрите тези инструменти. Те трябва да бъдат правилно конфигурирани и непрекъснато актуализирани, за да се гарантира, че са ефективни срещу най-новите заплахи от този тип.

Cisco предупреди за нова уязвимост в своя инструмент Meeting Management. Тя позволява на отдалечен нападател да получи администраторски достъп.

Уязвимостта има оценка за сериозност (CVSS) 9,9 от 10 и е свързана с комбинация от неправилни разрешения по подразбиране и грешки при обработка на привилегии. Атакуващият може да се възползва от тази уязвимост, като изпрати API заявки към определена крайна точка.

Уязвимостта засяга всички инстанции на Cisco Meeting Management до версия 3.9. По-новите версии (напр. версия 3.10) не са уязвими. За по-старите компанията пусна поправена версия на софтуера – 3.9.1.

Инсталирайте я незабавно!