Уязвимости

  • Топ 15 на най-експлоатираните уязвимости за 2023. Те се използват и през 2024

    Органите за киберсигурност от групата „Пет очи“ – САЩ, Австралия, Нова Зеландия, Канада и Великобритания – публикуваха списък с 15-те най-често експлоатирани уязвимости през миналата година. По-голямата част от тях са използвани за първи път при Zero-day атаки.

    „Защитниците трябва да обърнат специално внимание на тенденциите и да предприемат незабавни действия, за да гарантират, че тези уязвимости не присъстват в техните системи. Експлоатацията им вероятно е продължила през 2024 и ще продължи през 2025“, предупреждават в съвместно изявление от агенциите.

    Съветваме ви незабавно да извършите проверка на вашата инфраструктура и да се уверите, че нито една от тези уязвимости не присъства в нея. Внедряването на системи за управление на пачовете също ще повиши нивото на киберсигурност на вашата организация.

    Ето и пълния списък на 15-те най-използвани уязвимости през 2023:

    CVE Vendor Product Type
    CVE-2023-3519 Citrix NetScaler ADC/Gateway Code Injection
    CVE-2023-4966 Citrix NetScaler ADC/Gateway Buffer Overflow
    CVE-2023-20198 Cisco IOS XE Web UI Privilege Escalation
    CVE-2023-20273 Cisco IOS XE Web UI Command Injection
    CVE-2023-27997 Fortinet FortiOS/FortiProxy SSL-VPN Heap-Based Buffer Overflow
    CVE-2023-34362 Progress MOVEit Transfer SQL Injection
    CVE-2023-22515 Atlassian Confluence Data Center/Server Broken Access Control
    CVE-2021- 44228 (Log4Shell) Apache Log4j2 Remote Code Execution
    CVE-2023-2868 Barracuda Networks ESG Appliance Improper Input Validation
    CVE-2022-47966 Zoho ManageEngine Multiple Products Remote Code Execution
    CVE-2023-27350 PaperCut MF/NG Improper Access Control
    CVE-2020-1472 Microsoft Netlogon Privilege Escalation
    CVE-2023-42793 JetBrains TeamCity Authentication Bypass
    CVE-2023-23397 Microsoft Office Outlook Privilege Escalation
    CVE-2023-49103 ownCloud graphapi Information Disclosure

     

     

  • Най-често срещаните проблеми с API и как да ги избегнете

    Уязвимостите в сигурността на API, които захранват съвременните цифрови услуги и приложения, се превърнаха в сериозна заплаха за системите и данните на бизнеса. 

    Доклад на Wallarm показва 21% увеличение на свързаните с API пропуски в сигурността между Q2 и края на Q3 на 2024 г. Почти 1/3 от тях (32%) са свързани с облачна инфраструктура и нейтив приложения и услуги в облака. Не е за подценяване и факта, че голяма част от тях са с оценки за сериозност от 7,5 или повече. Това показва нарастващ риск за организациите при използването на API. 

    Ето и четирите основни фактора, допринасящи за рисковете за сигурността на API, и какво трябва да правят организациите, за да ги ограничат. 

    Неправилно конфигурирани API 

    Много проблеми със сигурността на API през последните години произтичат от сравнително лесни за поправка неправилни конфигурации. Част от тях са неадекватната автентикация и оторизация, липсата на валидиране на входните данни, липсата на мониторинг и разкриването на чувствителни данни чрез съобщения за грешки. Те могат да имат тежки последици. 

    Организациите трябва да смекчат тези проблеми, като прилагат най-добрите практики за сигурност. Такива са строги проверки за оторизация, контрол на достъпа въз основа на роли, многофакторна автентикация. Филтрирането на входящите данни от страна на сървъра и преглед на отговорите на API също са в списъка с добри практики. 

    Лошо проектирани API 

    Лошо проектираните API са друг основен фактор за инциденти със сигурността. Това са API, които правят всичко както трябва, но по начин, улесняващ потенциалните нападатели. Пример за това са тези, които връщат повече информация, отколкото е необходима на приложението. 

    Други примери включват API, които използват невалидирани SQL входове, твърде сложни и раздути са или имат непоследователна структура. 

    Недобре проектираният API понякога може да игнорира и несъответствията в бизнес логиката. А според доклада на Imperva State of API Security 2024  злоупотребата с бизнес логика е най-значимата атака срещу API през миналата година.  

    Тези проблеми могат да бъдат преодолени чрез  специализирана защита срещу поведенчески заплахи. Тя може не само да дешифрира необичайна употреба, но и да разпознае злонамерено намерение на потребител на API. 

    Липса на видимост 

    API се очертаха като водещ вектор за атака заради почти повсеместното си използване. Проучване на Imperva показва, че организациите имат средно 613 API крайни точки на акаунт. Доставчикът на сигурност установява, че API трафикът през 2023 г. представлява 71% от целия уеб трафик. Въпреки всичко това обаче много организации нямат достатъчно видимост за тях. 

    Първата стъпка за всяка компания в това отношение е спешно да открие и инвентаризира всички тези публични API. След това, разбира се, да предприеме незабавни мерки за тяхното подсигуряване. 

    Неадекватно тестване за сигурност 

    Много организации не успяват да приоритизират адекватно сигурността на API и често подценяват уникалните рискове, които те представляват. Според 2024 State of the API Report на Postman едва 37% от бизнесите извършват автоматизирано сканиране и редовни penetration тестове за откриване на уязвимостите по-рано в жизнения цикъл на разработка.  

    Сравнително малко имат интегрирани тестове за сигурност и проверки в своя процес на разработка на API или централизирани възможности за наблюдение. 

    А логиката е, че ако строите къща, първо трябва да сте сигурни в конструкцията ѝ и чак тогава да пуснете хора да живеят в нея. 

  • qBittorrent е уязвим за man in the middle атаки! Инсталирайте последната версия незабавно

    qBittorrent отстрани уязвимост, позволяваща изпълнението на отдалечен код, 14 години след нейното откриване. Тя е причинена от неуспешното валидиране на SSL/TLS сертификати в DownloadManager. Този компонент управлява изтеглянията в приложението. 

    От 2010 г. насам известният софтуер за изтегляне на торенти е позволявал на хакерите да променят мрежовия трафик чрез атаки от типа man in the middle. Той е приемал всякакви SSL сертификати, включително фалшиви 

    Този тип сертификати помагат да се гарантира, че потребителите се свързват сигурно с легитимни сървъри. Когато тази проверка е пропусната, всеки сървър, представящ се за легитимен, може да прихваща, променя или вмъква данни в потока на qBittorrent. 

    Възможните последствия от уязвимостта са:

    • прихващане на комуникацията между потребителя и сървъра; 
    • подмяна на легитимни файлове със зловреден софтуер;
    • отдалечено изпълнение на код (RCE) чрез модифициране на системни компоненти.

    Критичните точки на уязвимост идват:

    • при автоматичното изтегляне на Python инсталатора (за Windows системи);
    • по време на проверката за обновления на софтуера;
    • при работа с RSS канали;
    • при изтегляне на GeoIP базата данни.

    Недостатъкът, открит на 6 април 2010 г., в крайна сметка e отстранен в последната версия 5.0.1, на 28 октомври 2024 г. За да се защитите:

    • обновете незабавно qBittorrent до версия 5.0.1;
    • проверете системите си за евентуално компрометиране;
    • избягвайте използването на по-стари версии на софтуера. 

     

  • Не съхранявайте критични данни в Chrome! Дори най-новите му защити могат да бъдат пробити

    Нов инструмент демонстрира как хакерите могат да заобиколят защитата срещу кражба на бисквитки на Chrome App-Bound и да извлекат запаметените данни. 

    Chrome-App-Bound-Encryption-Decryption е разработен от изследователя на киберсигурността Александър Хагена. 

    През юли Google представи технологията App-Bound в Chrome 127 като нов механизъм за защита. Тя криптира бисквитките, използвайки услуга на Windows, която работи с привилегиите на ниво операционна система. Целта ѝ е да се защити чувствителната информация от зловреден софтуер, който използва правата на регистрирания потребител. Тя прави невъзможно декриптирането на откраднатите бисквитки, без да се вдигне тревога от софтуера за сигурност. 

    Инструментът на Хагена обаче декриптира криптираните App-Bound ключове, съхранявани във файла Local State на Chrome. За целта той използва вътрешната COM-базирана услуга IElevator на Chrome. 

    За да се използва той, трябва да се копира изпълнимият файл в директорията на Google Chrome. Тя обикновено се намира в C:\Program Files\Google\Chrome\Application. Тази папка е защитена, така че първо трябва да бъдат получени администраторски права. Но това е лесно постижимо, тъй като много потребители на Windows използват акаунти, които имат такива. 

    Подобни методи вече се използват от хакерските групи. Затова избягвайте да съхранявате чувствителни данни в своите браузъри, независимо от уверенията за сигурност на техните производители.  

  • Новооткрита уязвимост в ChatGPT разкрива пропуските в защитата на AI системите

    Новооткрита уязвимост позволява заобикаляне на защитните механизми на ChatGPT с помощта на шестнайсетично кодирани инструкции. Откритието, направено чрез bug bounty програмата за откриване на грешки в сигурността 0Din, повдига сериозни въпроси относно сигурността на AI системите. 

    Новата jailbreaking тактика позволява на потребителите да заобиколят вградените ограничения на ChatGPT чрез кодиране на злонамерени инструкции. В демонстрация на Марко Фигероа, мениджър по сигурността на AI в Mozilla, ChatGPT е накаран да генерира експлойт код на Python за известна уязвимост. Това обикновено е забранено от системата. 

    Изследователят разкрива и втора техника, използваща емоджита за заобикаляне на защитите. Чрез специално форматирана заявка системата е подведена да създаде инструмент за SQL инжекция. 

    „Този пробив демонстрира нуждата от по-усъвършенствани мерки за сигурност в AI моделите, особено по отношение на кодирането“, коментира Фигероа пред CybersecurityNews.

    OpenAI, компанията зад ChatGPT, е реагирала бързо и въпросните уязвимостите вече са отстранени. Този случай обаче подчертава нуждата от усъвършенствани функции за защита на AI платформите, включително подобрена контекстуална осведоменост и по-стабилни механизми за филтриране.  

    Организациите, от своя страна, трябва да останат бдителни и да следят най-новите разработки в областта на атаките, базирани на AI, за да се предпазят от тези нови заплахи. 

     

  • Уязвимости в софтуерa за vGPU на NVIDIA позволяват подправяне и разкриване на критични данни

    Две уязвимости в софтуерa за vGPU на NVIDIA могат да доведат до сериозни пробиви в сигурността. Те засягат всички поддържани хипервайзори и системите с Windows и Linux. 

    Първата уязвимост е свързана с драйвера на графичното ядро на vGPU Manager. Тя позволява на атакуващия да се възползва от неправилно валидиране на входните данни. Това потенциално може да доведе до отдалечено изпълнение на код, увеличаване на привилегиите, подправяне на данни, отказ на услуга и разкриване на критична информация.  

    Втората уязвимост е открита във Virtual GPU Manager. Тя дава възможност на потенциалния нападател да получи достъп до глобални ресурси, което крие риск от разкриване на информация и увеличаване на привилегиите.  

    NVIDIA пусна актуализации, които отстраняват въпросните уязвимости. Съветваме ви възможно най-бързо да изтеглите и инсталирате тези пачове. 

     

  • Искате 1 млн. USD? Пробийте защитите на AI сървърите на Apple

    Apple предлага до 1 млн. USD възнаграждение на всеки, който успее да пробие защитата на нейната система Private Cloud Compute (PCC). Тя захранва най-взискателните от изчислителна гледна точка задачи на AI платформата на компанията – Apple Intelligence. 

    За целта гигантът от Купертино за първи път създава Виртуална изследователска среда (Virtual Research Environment) и предоставя изходния код на няколко „ключови компонента“ на системата. Този набор от инструменти позволява извършването на оценки на сигурността на PCC директно от Mac. 

    Максималната награда е за идентифициране на уязвимости, които биха могли да застрашат основните защити и механизмите за поверителност на платформата.  

    За да подпомогне усилията на изследователите по сигурността, Apple публикува Ръководство за сигурност на Private Cloud Compute. То описва подробно как различните компоненти на PCC работят заедно, за да осигурят високи нива на поверителност за обработката на изкуствен интелект в облака.  

     

  • Lazarus превзема компютри през нова уязвимост в Chrome и платформи за DeFi игри

    Кампания на известната хакерска група Lazarus Group разкри нова уязвимост в Google Chrome. Хакерите са използвали zero-day експлойт и инструмента Manuscrypt, за да поемат пълен контрол над заразените системи. 

    Тази кампания се отличава от досегашните атаки на групата срещу правителства, финансови институции, платформи за криптовалути и др., тъй като е насочена директно към физически лица. 

    От компанията за сигурност Kaspersky са проследили кампанията до фалшив уебсайт – detankzone.com – който се представя за легитимна DeFi гейминг платформа. Играта, рекламирана като NFT мултиплейърна онлайн арена за битки, се оказва фасада за зловреден код. Посетителите задействат експлойта просто като достъпват сайта през Chrome.  

    Той е насочен към нововъведена функция във V8 JavaScript енджина на Chrome. Уязвимостта позволява на нападателите да заобиколят механизмите за сигурност на браузъра и да получат дистанционен контрол над засегнатите устройства.  

    Хакерски групи като Lazarus продължават да усъвършенства атаките си, използвайки социално инженерство, zero-day eксплойти и легитимно изглеждащи платформи. Затова потребителите трябва да са много внимателни в какви сайтове влизат. Както се вижда от този случай, понякога е достатъчно само да посетите определена страница, за да станете жертва.  

    Последиците могат да бъдат изключително сериозни. Само си помислете какво може да означава за вас някой да поеме пълен контрол над компютъра ви. 

  • Фирмите масово неглижират киберсигурността при интеграцията на AI

    Все повече организации обмислят пълномащабната интеграция на системи с изкуствен интелект (AI). В малко от тях обаче в този процес са въвлечени екипите за киберсигурност.

    45% от респондентите в ново проучване на ISACA посочват, че не участват в разработването, внедряването или прилагането на решения за AI. В същото време едва 35% от 1800 специалисти казват, че участват в разработването на подобни решения и политики.

    AI се използва от различни звена в една организация, а хакерите вече разработват набори от инструменти за използването му като входна точка за кибератаки. Така че тази тенденция крие много рискове, между които:

    • отравяне на данни, което компрометира процеса на обучение на AI;
    • вграждане на „задни вратички“ в моделите, които позволяват неоторизиран достъп впоследствие;
    • атаки към компонентите, участващи в разработването и внедряването на AI модели;
    • кражба на модели, при която нападателите използват слабостите на системата, за да деактивират защитните ѝ механизми.

    Затова е задължително киберсигурността винаги да бъде основна част от процеса на имплементация на подобни системи.

     

     

  • Уязвимост в macOS позволява кражба на критични данни през Safari

    Уязвимост в macOS позволява на нападателите да заобиколят технологията Transparency, Consent, and Control (TCC) на операционната система. По този начин те могат да получат неоторизиран достъп до защитени потребителски данни. 

    Ролята на TCC е да не позволява на приложенията да получават достъп до лична информация – местоположение, камера, микрофон и изтегляния – без изричното одобрение на потребителя. Уязвимостта, наречена HM Surf, деактивира именно тази защита за директорията на браузъра Safari. 

    След като от Microsoft Threat Intelligence откриват тази уязвимост, съобщават на Apple и тя е затворена в актуализациите за сигурност за macOS Sequoia от 16 септември. 

    Широко разпространения зловреден софтуер за macOS Adload вече се е насочил към нея, така че инсталирайте актуализациите незабавно. 

Back to top button