Уязвимости

Кампания на известната хакерска група Lazarus Group разкри нова уязвимост в Google Chrome. Хакерите са използвали zero-day експлойт и инструмента Manuscrypt, за да поемат пълен контрол над заразените системи. 

Тази кампания се отличава от досегашните атаки на групата срещу правителства, финансови институции, платформи за криптовалути и др., тъй като е насочена директно към физически лица. 

От компанията за сигурност Kaspersky са проследили кампанията до фалшив уебсайт – detankzone.com – който се представя за легитимна DeFi гейминг платформа. Играта, рекламирана като NFT мултиплейърна онлайн арена за битки, се оказва фасада за зловреден код. Посетителите задействат експлойта просто като достъпват сайта през Chrome.  

Той е насочен към нововъведена функция във V8 JavaScript енджина на Chrome. Уязвимостта позволява на нападателите да заобиколят механизмите за сигурност на браузъра и да получат дистанционен контрол над засегнатите устройства.  

Хакерски групи като Lazarus продължават да усъвършенства атаките си, използвайки социално инженерство, zero-day eксплойти и легитимно изглеждащи платформи. Затова потребителите трябва да са много внимателни в какви сайтове влизат. Както се вижда от този случай, понякога е достатъчно само да посетите определена страница, за да станете жертва.  

Последиците могат да бъдат изключително сериозни. Само си помислете какво може да означава за вас някой да поеме пълен контрол над компютъра ви. 

Все повече организации обмислят пълномащабната интеграция на системи с изкуствен интелект (AI). В малко от тях обаче в този процес са въвлечени екипите за киберсигурност.

45% от респондентите в ново проучване на ISACA посочват, че не участват в разработването, внедряването или прилагането на решения за AI. В същото време едва 35% от 1800 специалисти казват, че участват в разработването на подобни решения и политики.

AI се използва от различни звена в една организация, а хакерите вече разработват набори от инструменти за използването му като входна точка за кибератаки. Така че тази тенденция крие много рискове, между които:

• отравяне на данни, което компрометира процеса на обучение на AI;
• вграждане на „задни вратички“ в моделите, които позволяват неоторизиран достъп впоследствие;
• атаки към компонентите, участващи в разработването и внедряването на AI модели;
• кражба на модели, при която нападателите използват слабостите на системата, за да деактивират защитните ѝ механизми.

Затова е задължително киберсигурността винаги да бъде основна част от процеса на имплементация на подобни системи.

 

 

Уязвимост в macOS позволява на нападателите да заобиколят технологията Transparency, Consent, and Control (TCC) на операционната система. По този начин те могат да получат неоторизиран достъп до защитени потребителски данни. 

Ролята на TCC е да не позволява на приложенията да получават достъп до лична информация – местоположение, камера, микрофон и изтегляния – без изричното одобрение на потребителя. Уязвимостта, наречена HM Surf, деактивира именно тази защита за директорията на браузъра Safari. 

След като от Microsoft Threat Intelligence откриват тази уязвимост, съобщават на Apple и тя е затворена в актуализациите за сигурност за macOS Sequoia от 16 септември. 

Широко разпространения зловреден софтуер за macOS Adload вече се е насочил към нея, така че инсталирайте актуализациите незабавно. 

Критична уязвимост в F5 BIG-IP позволява заобикаляне на контрола на достъпа и компрометиране на системите. Тя засяга версии 17.1.1, 16.1.4 и 15.1.10. на популярното решение за управление на мрежовия трафик и сигурността. 

За да се експлоатира, атакуващият трябва да има ниво на достъп поне Manager. При този сценарий той може да повиши правата си и да промени конфигурацията на системата, дори при въведени настройки за блокиране на портовете. 

F5 вече е пуснала пачове за тази уязвимост във версиите на BIG-IP 17.1.1.4, 16.1.5 и 15.1.10.5. Съветваме ви да актуализирате възможно най-бързо. 

До прилагането на актуализациите можете да предприемете временни смекчаващи мерки. Такива са например блокирането на достъпа до помощната програма Configuration и SSH чрез собствени IP адреси или интерфейса за управление. 

Google пусна Chrome 130, в който са отстранени 17 уязвимости в сигурността нa браузърa.

Най-критичната от тях е свързана с AI компонента на Chrome.

Освен това актуализацията отстранява множество уязвимости със средна степен на сериозност – проблеми в Web Authentication, UI, PictureInPicture, DevTools, Dawn и Parcel Tracking.

Препоръчваме ви да актуализирате браузърите си възможно най-бързо. Отидете в настройките, изберете секцията About Chrome и задайте команда на браузъра да провери и инсталира всички налични актуализации.

 

 

Критична уязвимост в сигурността, засягаща над 87 000 FortiOS устройства, ги прави изложени на потенциални атаки с отдалечено изпълнение на код (RCE). Тя засяга множество версии на продуктите FortiOS, FortiProxy, FortiPAM и FortiWeb и е оценена с 9,8 от 10.

Fortinet е пуснала пачове за засегнатите продукти и настоятелно препоръчва на потребителите да надградят до най-новите сигурни версии: 

• FortiOS 7.4: 7.4.0 до 7.4.2 – надградете до 7.4.3 или по-нова версия; 
• FortiOS 7.2: 7.2.0 до 7.2.6 – надградете до 7.2.7 или по-нова версия; 
• FortiOS 7.0: 7.0.0 до 7.0.13 – надградете до 7.0.14 или по-нова версия; 
• FortiPAM 1.2: Всички версии – мигриране към версия, в която е запушена уязвимостта; 
• FortiPAM 1.1: Всички версии – мигриране към версия, в която е запушена уязвимостта; 
• FortiPAM 1.0: Всички версии – мигриране към версия, в която е запушена уязвимостта; 
• FortiProxy 7.4: от 7.4.0 до 7.4.2 – надграждане до 7.4.3 или по-нова версия; 
• FortiProxy 7.2: 7.2.0 до 7.2.8 – надграждане до 7.2.9 или по-нова версия; 
• FortiProxy 7.0: 7.0.0 до 7.0.15 – надграждане до 7.0.16 или по-нова версия; 
• FortiWeb 7.4: 7.4.0 до 7.4.2 – надграждане до 7.4.3 или по-нова версия. 

Тъй като хакерите продължават да се насочват към известни уязвимости, бързите действия са от решаващо значение за защита на критичната инфраструктура и чувствителните данни. 

 

Mozilla съобщи за критична уязвимост в сигурността на своя уеб браузър Firefox, която се използва активно от злонамерени групи.

Тя позволява отдалечено изпълнение на код при посещение на компрометирана уеб страница и е с рейтинг на опасност 9,8 от 10.

Уязвимостта, открита от изследователя от компанията за киберсигурност ESET Деймиън Шефер, засяга Firefox 131.0.2, Firefox ESR 128.3.1 и Firefox ESR 115.16.1. От Mozila вече са пуснали пач, така че задължително ъпгрейднете своя браузър до версия 131.0.2 за Firefox и 115.16.1 или 128.3.1 за Firefox ESR.

Актуализация на известния малуер White Snake се възползва от нова функция в Google Chrome, за да краде критични данни за банкови карти. 

Версия 129 на браузъра, пусната на 17 септември 2024 г., въведе няколко нови функционалности за подобряване на потребителското изживяване, в това число и възможността за съхраняване на CVC (Card Verification Code) на кредитни и дебитни карти. Именно тя е привлякла вниманието на киберпрестъпниците. 

Разработчиците на зловредния софтуер са актуализирали възможностите за извличане на тези CVC кодове от браузърите на жертвите, което ги улеснява при извършването на измами и кражби. 

Очаква се Google да отстрани тази уязвимост, но дотогава потребителите трябва да предприемат активни мерки за защита на финансовата си информация: 

• използвайте двуфакторна автентикация за всички финансови акаунти; 
• обмислете използването на виртуални кредитни карти за онлайн транзакции; 
• редовно проверявайте банковите си извлечения за подозрителна активност; 
• инсталирайте надежден антивирусен софтуер с възможности за засичане на финансови заплахи.  

  

Новооткрит зловреден софтуер се възползва от уязвимости в GLPI, система за управление на ИТ активи, и уебсайтове на WordPress, за да събира чувствителна информация от заразените устройства. 

Според компанията за киберсигурност QiAnXin DarkCracks е изключително усъвършенстван и може да остане скрит дори от най-напредналите инструменти за киберсигурност изключително дълго време. Освен че заразява устройствата, той ги използва като стартова площадка за разполагане на допълнителни зловредни компоненти и разпространение към други жертви.  

DarkCracks е проектиран за дългосрочна експлоатация и се адаптира към промените, оставайки оперативен, когато части от него са открити и премахнати. Зловредният софтуер може да функционира, дори ако основните му сървъри бъдат изведени от строя. 

За да се защитите от тази напреднала заплаха: 

• Актуализирайте редовно целия си софтуерен стак и системи, за да сте сигурни, че известните уязвимости са отстранени;  
• наблюдавайте мрежовия трафик за необичайна активност, включително неочаквани връзки към външни сървъри; 
• използвайте усъвършенстваните инструменти за откриване, способни да разпознават многопластовите техники за замаскиране на DarkCracks. 

Новооткрит критичен недостатък в сигурността на плъгина за WordPress LiteSpeed Cache позволява на неупълномощени потребители да поемат контрол над произволни акаунти. 

Уязвимостта, заведена от Patchstack като CVE-2024-44000 (CVSS оценка: 7,5), засяга версия 6.4.1. и предходни версии, но е отстранена във 6.5.0.1. Тя позволява на неоторизирани потребители достъп до системата, като в най-лошия случай те могат да получат дори администраторски права и да инсталират злонамерени плъгини. 

CVE-2024-44000 е свързана с това, че Debug Log File с име „/wp-content/debug.log“ е публично  достъпен, което дава възможност на нападателите да преглеждат потенциално чувствителна информация, съдържаща се във файла. 

LiteSpeed Cache е популярен плъгин за кеширане за екосистемата на WordPress с над 5 милиона активни инсталации. Така че, ако го използвате в някоя от засегнатите версии на платформата: 

• проверете инсталациите си за наличието на „/wp-content/debug.log“ и вземете мерки за изчистването им, ако функцията е (или е била) активирана; 
• задайте правило .htaccess, за да се забрани директният достъп до log файла.