Топ-5 ИБ-событий недели по версии Jet CSIRT

от автора

Сегодня в ТОП-5 — исправление 0-day уязвимости в Synology NAS, обнаружение в госсистемах России вредоносного ПО GoblinRAT, устранение критической уязвимости в Cisco URWB, фиксация мультитула SteelFox для майнинга криптовалюты и кражи данных, устранение критических уязвимостей в Aruba Networking Access Points.

Исправление 0-day уязвимости в Synology NAS

Компания Synology сообщает об исправлении критической уязвимости нулевого дня, которая была найдена исследователем из Midnight Blue во время соревнования Pwn2Own Ireland 2024. Уязвимость получила идентификатор CVE-2024-10443 (CVSS: 9.8) и позволяет злоумышленникам без аутентификации выполнять код с root-привилегиями на сетевых устройствах хранения данных (NAS) DiskStation и BeeStation. В настоящее время затронуты и потенциально подвержены атакам от одного до двух миллионов устройств.

Затронутые версии:

·       BeePhotos для BeeStation OS 1.0 (обновление до v1.0.2-10026 и выше),

·       BeePhotos для BeeStation OS 1.1 (обновление до v1.1.0-10053 и выше),

·       Synology Photos 1.6 для DSM 7.2 (обновление до v1.6.2-0720 и выше),

·       Synology Photos 1.7 для DSM 7.2 (обновление до v1.7.0-0795 и выше).

Пользователям Synology NAS настоятельно рекомендуется установить обновления для предотвращения эксплуатации уязвимости.

GoblinRAT три года скрывался в госсистемах России

Эксперты Solar 4RAYS обнаружили GoblinRAT — вредоносное ПО, которое использовалось для атак на российский госсектор с 2020 года. В результате атак злоумышленники получали полный контроль над инфраструктурой на период от шести месяцев до трех лет. GoblinRAT тщательно маскируется, имитируя легитимные процессы, и не имеет функций автоматического закрепления. Большая часть функциональности ВПО направлена на сокрытие присутствия в системе. Злоумышленники каждый раз адаптировали RAT под инфраструктуру цели, что указывает на таргетированный характер атак. В качестве управляющих серверов (C2) злоумышленники использовали легитимные взломанные сайты, что позволяло им маскировать вредоносный трафик. Артефакты GoblinRAT не идентифицированы среди известных группировок и экспертами было присвоено наименование NGC2140. Компаниям рекомендуется ознакомиться с IOCs и Yara, размещенными в отчете.

Критическая уязвимость в Cisco URWB

Специалисты Cisco устранили критическую уязвимость CVE-2024-20418 (CVSS: 10.0), которая позволяла злоумышленникам выполнять команды с привилегиями root на точках доступа Ultra-Reliable Wireless Backhaul (URWB), применяемых в промышленных системах беспроводной автоматизации. Проблема была связана с недостаточной валидацией входных данных в веб-интерфейсе управления ПО Cisco Unified Industrial Wireless. Для эксплуатации уязвимости достаточно отправить специально сформированные HTTP-запросы, что не требует аутентификации или взаимодействия с пользователем. Уязвимость затрагивает точки доступа Catalyst IW9165D, IW9165E и IW9167E, если на них установлено уязвимое программное обеспечение и включен режим работы URWB. Администраторы точек доступа могут проверить наличие режима через CLI-команду «show mpls-config». Для устранения уязвимости рекомендуется выполнить обновление Cisco Unified Industrial Wireless Software до версии 17.5.1.

Мультитул SteelFox нацелен на кражу конфиденциальных данных и криптовалюты

Эксперты «Лаборатории Касперского» зафиксировали новое вредоносное ПО SteelFox, которое распространяется под видом активаторов для популярных программ, таких как AutoCAD и Foxit PDF Editor, и используется для майнинга криптовалюты и кражи данных. С августа по октябрь 2024 года зарегистрировано более 11 тыс. заражений, основными регионами поражения стали Бразилия, Китай и Россия. SteelFox эксплуатирует старые уязвимости CVE-2020-14979 (CVSS: 7.8) и CVE-2021-41285 (CVSS: 7.8) через тактику BYOVD (использование уязвимых драйверов), применяя WinRing0.sys для повышения привилегий. Для связи с управляющим сервером используется SSL pinning, TLS 1.3 и динамические IP-адреса через Boost.Asio. Вредоносное ПО включает в себя модифицированную версию майнера XMRig для добычи Monero, а также стилер, похищающий данные из браузеров, пароли Wi-Fi, системную информацию и сведения о ПО. Собранные данные могут быть проданы в даркнете.

HPE устранила критические уязвимости в Aruba Networking Access Points

Специалисты Hewlett Packard Enterprise выпустили обновления для ПО Instant AOS-8 и AOS-10, устранив две критические уязвимости в точках доступа Aruba Networking. Уязвимости с идентификаторами CVE-2024-42509 (CVSS: 9.8) и CVE-2024-47460 (CVSS: 9.0) позволяют удаленному злоумышленнику выполнить внедрение неаутентифицированных команд, отправляя специально созданные сетевые пакеты в протокол управления точками доступа Aruba (PAPI) через UDP-порт 8211. Обновление также устраняет четыре дополнительные уязвимости. Уязвимость CVE-2024-47461 (CVSS: 7.2) позволяет аутентифицированному удаленному пользователю выполнять произвольные команды в операционной системе. CVE-2024-47462 (CVSS: 7.2) и CVE-2024-47463 (CVSS: 7.2) дают возможность злоумышленнику создавать произвольные файлы, что может привести к RCE. CVE-2024-47464 (CVSS 6.8) позволяет получить доступ к ограниченным файлам или каталогам. Все шесть уязвимостей затрагивают версии AOS-10.4.x.x до 10.4.1.4, Instant AOS-8.12.x.x до 8.12.0.2 и Instant AOS-8.10.x.x до 8.10.0.13. Рекомендуется как можно скорее установить обновления и ознакомиться с бюллетенем безопасности.

 


ссылка на оригинал статьи https://habr.com/ru/articles/857658/