Уязвимости

Apple пусна актуализации за сигурност за iOS, iPadOS, macOS, visionOS и уеб браузъра си Safari. Те отстраняват две zero-day уязвимости, които се експлоатират активно от хакерите. 

Първата засяга JavaScriptCore и позволява отдалечено изпълнение код. Втората е свързана с управлението на „бисквитките“ в WebKit и прави системите уязвими за cross-site scripting атаки (XSS). 

Актуализациите са налични за iOS 18.1.1 и iPadOS 18.1.1.  

Препоръчваме на потребителите да актуализират устройствата си до най-новата версия възможно най-скоро, за да се предпазят от потенциални заплахи. 

 

Уязвимост в плъгина за WordPress Really Simple Security позволява на потенциални нападатели пълното превземане на страници. Той е инсталиран на повече от 4 милиона уебсайта. 

Уязвимостта дава възможност на атакуващия да получи отдалечен достъп до всеки акаунт, включително администраторския, когато е активирана 2FA. Компанията за киберсигурност Wordfence я определя като „една от най-сериозните“, които са идентифицирани някога.  

Оценена с критична CVSS оценка от 9,8, тя засяга плъгините Really Simple Security Pro и Pro Multisite, версии от 9.0.0 до 9.1.1.1. 

На 12 ноември е пусната актуализирана версия 9.1.2. Два дни по-късно тя е въведена автоматично за всички сайтове, използващи плъгина. 

Все пак препоръчваме всеки администратор на WordPress сайт, който използва Really Simple Security, да се увери лично. Страниците без валиден лиценз може да нямат функциониращи автоматични актуализации. 

 

Две нови уязвимости в софтуера Palo Alto Networks Expedition са активно експлоатирани от хакерите, предупреди CISA. Инструментът улеснява миграцията на конфигурации от други доставчици към инфраструктурата на компанията. 

И двете уязвимости са с оценка за критичност над 9. Те позволяват изпълнението на произволни отдалечени команди в Expedition и разкриване на съдържанието на неговата база данни. Това дава неоторизиран достъп до потребителски имена, пароли, конфигурации на устройства и API ключове на защитни стени PAN-OS. 

 Тази новина идва седмица след като CISA откри друга критична уязвимост, засягаща Expedition.  

 Palo Alto Networks се подготвя да пусне пачове за затваряне на тези уязвимости „възможно най-скоро“. Ако използвате софтуера Expedition, следете за пускането им и ги инсталирайте възможно най-бързо. 

Органите за киберсигурност от групата „Пет очи“ – САЩ, Австралия, Нова Зеландия, Канада и Великобритания – публикуваха списък с 15-те най-често експлоатирани уязвимости през миналата година. По-голямата част от тях са използвани за първи път при Zero-day атаки.

„Защитниците трябва да обърнат специално внимание на тенденциите и да предприемат незабавни действия, за да гарантират, че тези уязвимости не присъстват в техните системи. Експлоатацията им вероятно е продължила през 2024 и ще продължи през 2025“, предупреждават в съвместно изявление от агенциите.

Съветваме ви незабавно да извършите проверка на вашата инфраструктура и да се уверите, че нито една от тези уязвимости не присъства в нея. Внедряването на системи за управление на пачовете също ще повиши нивото на киберсигурност на вашата организация.

Ето и пълния списък на 15-те най-използвани уязвимости през 2023:

CVE	Vendor	Product	Type
CVE-2023-3519	Citrix	NetScaler ADC/Gateway	Code Injection
CVE-2023-4966	Citrix	NetScaler ADC/Gateway	Buffer Overflow
CVE-2023-20198	Cisco	IOS XE Web UI	Privilege Escalation
CVE-2023-20273	Cisco	IOS XE	Web UI Command Injection
CVE-2023-27997	Fortinet	FortiOS/FortiProxy SSL-VPN	Heap-Based Buffer Overflow
CVE-2023-34362	Progress	MOVEit Transfer	SQL Injection
CVE-2023-22515	Atlassian	Confluence Data Center/Server	Broken Access Control
CVE-2021- 44228 (Log4Shell)	Apache	Log4j2	Remote Code Execution
CVE-2023-2868	Barracuda Networks	ESG Appliance	Improper Input Validation
CVE-2022-47966	Zoho	ManageEngine Multiple Products	Remote Code Execution
CVE-2023-27350	PaperCut	MF/NG	Improper Access Control
CVE-2020-1472	Microsoft	Netlogon	Privilege Escalation
CVE-2023-42793	JetBrains	TeamCity	Authentication Bypass
CVE-2023-23397	Microsoft	Office Outlook	Privilege Escalation
CVE-2023-49103	ownCloud	graphapi	Information Disclosure

 

 

Уязвимостите в сигурността на API, които захранват съвременните цифрови услуги и приложения, се превърнаха в сериозна заплаха за системите и данните на бизнеса. 

Доклад на Wallarm показва 21% увеличение на свързаните с API пропуски в сигурността между Q2 и края на Q3 на 2024 г. Почти 1/3 от тях (32%) са свързани с облачна инфраструктура и нейтив приложения и услуги в облака. Не е за подценяване и факта, че голяма част от тях са с оценки за сериозност от 7,5 или повече. Това показва нарастващ риск за организациите при използването на API. 

Ето и четирите основни фактора, допринасящи за рисковете за сигурността на API, и какво трябва да правят организациите, за да ги ограничат. 

Неправилно конфигурирани API 

Много проблеми със сигурността на API през последните години произтичат от сравнително лесни за поправка неправилни конфигурации. Част от тях са неадекватната автентикация и оторизация, липсата на валидиране на входните данни, липсата на мониторинг и разкриването на чувствителни данни чрез съобщения за грешки. Те могат да имат тежки последици. 

Организациите трябва да смекчат тези проблеми, като прилагат най-добрите практики за сигурност. Такива са строги проверки за оторизация, контрол на достъпа въз основа на роли, многофакторна автентикация. Филтрирането на входящите данни от страна на сървъра и преглед на отговорите на API също са в списъка с добри практики. 

Лошо проектирани API 

Лошо проектираните API са друг основен фактор за инциденти със сигурността. Това са API, които правят всичко както трябва, но по начин, улесняващ потенциалните нападатели. Пример за това са тези, които връщат повече информация, отколкото е необходима на приложението. 

Други примери включват API, които използват невалидирани SQL входове, твърде сложни и раздути са или имат непоследователна структура. 

Недобре проектираният API понякога може да игнорира и несъответствията в бизнес логиката. А според доклада на Imperva State of API Security 2024  злоупотребата с бизнес логика е най-значимата атака срещу API през миналата година.  

Тези проблеми могат да бъдат преодолени чрез  специализирана защита срещу поведенчески заплахи. Тя може не само да дешифрира необичайна употреба, но и да разпознае злонамерено намерение на потребител на API. 

Липса на видимост 

API се очертаха като водещ вектор за атака заради почти повсеместното си използване. Проучване на Imperva показва, че организациите имат средно 613 API крайни точки на акаунт. Доставчикът на сигурност установява, че API трафикът през 2023 г. представлява 71% от целия уеб трафик. Въпреки всичко това обаче много организации нямат достатъчно видимост за тях. 

Първата стъпка за всяка компания в това отношение е спешно да открие и инвентаризира всички тези публични API. След това, разбира се, да предприеме незабавни мерки за тяхното подсигуряване. 

Неадекватно тестване за сигурност 

Много организации не успяват да приоритизират адекватно сигурността на API и често подценяват уникалните рискове, които те представляват. Според 2024 State of the API Report на Postman едва 37% от бизнесите извършват автоматизирано сканиране и редовни penetration тестове за откриване на уязвимостите по-рано в жизнения цикъл на разработка.  

Сравнително малко имат интегрирани тестове за сигурност и проверки в своя процес на разработка на API или централизирани възможности за наблюдение. 

А логиката е, че ако строите къща, първо трябва да сте сигурни в конструкцията ѝ и чак тогава да пуснете хора да живеят в нея. 

qBittorrent отстрани уязвимост, позволяваща изпълнението на отдалечен код, 14 години след нейното откриване. Тя е причинена от неуспешното валидиране на SSL/TLS сертификати в DownloadManager. Този компонент управлява изтеглянията в приложението. 

От 2010 г. насам известният софтуер за изтегляне на торенти е позволявал на хакерите да променят мрежовия трафик чрез атаки от типа man in the middle. Той е приемал всякакви SSL сертификати, включително фалшиви.  

Този тип сертификати помагат да се гарантира, че потребителите се свързват сигурно с легитимни сървъри. Когато тази проверка е пропусната, всеки сървър, представящ се за легитимен, може да прихваща, променя или вмъква данни в потока на qBittorrent. 

Възможните последствия от уязвимостта са:

• прихващане на комуникацията между потребителя и сървъра; 
• подмяна на легитимни файлове със зловреден софтуер;
• отдалечено изпълнение на код (RCE) чрез модифициране на системни компоненти.

Критичните точки на уязвимост идват:

• при автоматичното изтегляне на Python инсталатора (за Windows системи);
• по време на проверката за обновления на софтуера;
• при работа с RSS канали;
• при изтегляне на GeoIP базата данни.

Недостатъкът, открит на 6 април 2010 г., в крайна сметка e отстранен в последната версия – 5.0.1, на 28 октомври 2024 г. За да се защитите:

• обновете незабавно qBittorrent до версия 5.0.1;
• проверете системите си за евентуално компрометиране;
• избягвайте използването на по-стари версии на софтуера. 

 

Нов инструмент демонстрира как хакерите могат да заобиколят защитата срещу кражба на бисквитки на Chrome – App-Bound – и да извлекат запаметените данни. 

Chrome-App-Bound-Encryption-Decryption е разработен от изследователя на киберсигурността Александър Хагена. 

През юли Google представи технологията App-Bound в Chrome 127 като нов механизъм за защита. Тя криптира бисквитките, използвайки услуга на Windows, която работи с привилегиите на ниво операционна система. Целта ѝ е да се защити чувствителната информация от зловреден софтуер, който използва правата на регистрирания потребител. Тя прави невъзможно декриптирането на откраднатите бисквитки, без да се вдигне тревога от софтуера за сигурност. 

Инструментът на Хагена обаче декриптира криптираните App-Bound ключове, съхранявани във файла Local State на Chrome. За целта той използва вътрешната COM-базирана услуга IElevator на Chrome. 

За да се използва той, трябва да се копира изпълнимият файл в директорията на Google Chrome. Тя обикновено се намира в C:\Program Files\Google\Chrome\Application. Тази папка е защитена, така че първо трябва да бъдат получени администраторски права. Но това е лесно постижимо, тъй като много потребители на Windows използват акаунти, които имат такива. 

Подобни методи вече се използват от хакерските групи. Затова избягвайте да съхранявате чувствителни данни в своите браузъри, независимо от уверенията за сигурност на техните производители.  

Новооткрита уязвимост позволява заобикаляне на защитните механизми на ChatGPT с помощта на шестнайсетично кодирани инструкции. Откритието, направено чрез bug bounty програмата за откриване на грешки в сигурността 0Din, повдига сериозни въпроси относно сигурността на AI системите. 

Новата jailbreaking тактика позволява на потребителите да заобиколят вградените ограничения на ChatGPT чрез кодиране на злонамерени инструкции. В демонстрация на Марко Фигероа, мениджър по сигурността на AI в Mozilla, ChatGPT е накаран да генерира експлойт код на Python за известна уязвимост. Това обикновено е забранено от системата. 

Изследователят разкрива и втора техника, използваща емоджита за заобикаляне на защитите. Чрез специално форматирана заявка системата е подведена да създаде инструмент за SQL инжекция. 

„Този пробив демонстрира нуждата от по-усъвършенствани мерки за сигурност в AI моделите, особено по отношение на кодирането“, коментира Фигероа пред CybersecurityNews.

OpenAI, компанията зад ChatGPT, е реагирала бързо и въпросните уязвимостите вече са отстранени. Този случай обаче подчертава нуждата от усъвършенствани функции за защита на AI платформите, включително подобрена контекстуална осведоменост и по-стабилни механизми за филтриране.  

Организациите, от своя страна, трябва да останат бдителни и да следят най-новите разработки в областта на атаките, базирани на AI, за да се предпазят от тези нови заплахи. 

 

Две уязвимости в софтуерa за vGPU на NVIDIA могат да доведат до сериозни пробиви в сигурността. Те засягат всички поддържани хипервайзори и системите с Windows и Linux. 

Първата уязвимост е свързана с драйвера на графичното ядро на vGPU Manager. Тя позволява на атакуващия да се възползва от неправилно валидиране на входните данни. Това потенциално може да доведе до отдалечено изпълнение на код, увеличаване на привилегиите, подправяне на данни, отказ на услуга и разкриване на критична информация.  

Втората уязвимост е открита във Virtual GPU Manager. Тя дава възможност на потенциалния нападател да получи достъп до глобални ресурси, което крие риск от разкриване на информация и увеличаване на привилегиите.  

NVIDIA пусна актуализации, които отстраняват въпросните уязвимости. Съветваме ви възможно най-бързо да изтеглите и инсталирате тези пачове. 

 

Apple предлага до 1 млн. USD възнаграждение на всеки, който успее да пробие защитата на нейната система Private Cloud Compute (PCC). Тя захранва най-взискателните от изчислителна гледна точка задачи на AI платформата на компанията – Apple Intelligence. 

За целта гигантът от Купертино за първи път създава Виртуална изследователска среда (Virtual Research Environment) и предоставя изходния код на няколко „ключови компонента“ на системата. Този набор от инструменти позволява извършването на оценки на сигурността на PCC директно от Mac. 

Максималната награда е за идентифициране на уязвимости, които биха могли да застрашат основните защити и механизмите за поверителност на платформата.  

За да подпомогне усилията на изследователите по сигурността, Apple публикува „Ръководство за сигурност на Private Cloud Compute“. То описва подробно как различните компоненти на PCC работят заедно, за да осигурят високи нива на поверителност за обработката на изкуствен интелект в облака.