͏Мы хотели было написать очередной новостной пост по следам последнего отчета Security Joes в отношении наблюдения в дикой природе атак на объектное хранилище MinIO, однако подумали - какого черта?!

Две критичные уязвимости были выявлены и закрыты еще в марте этого года, а в апреле в паблике появился их эксплойт. Между тем, как утверждают Security Joes, в сети доступны более 52 тысяч экземпляров MinIO, из которых только 38% обновлены до неуязвимой версии. В России, кстати, всего наружу торчит около 1800 MinIO, а значит примерно 1100 установок дырявые.

Если админ за полгода (!) не обновил один из ключевых объектов своей инфраструктуры, то нам его совершенно не жаль - он просто мудак. И его начальник, который его держит на должности - мудак. И директор HR, который нанял таких специалистов - мудак. И генеральный директор компании вместе с учредителями, допустившие такую кадровую политику в ущерб информационной безопасности своих данных, - мудаки. Нам их всех ничуть не жаль, они должны страдать.

Пора вводить новый вид атак - атака на цепочку мудаков. Она куда более распространена, чем атаки на цепочку поставок или цепочку зависимостей.

awesome-linux-rootkits: https://github.com/milabs/awesome-linux-rootkits

#linux #rootkits

В Kubernetes были обнаружены три критических недостатка, которые могут быть использованы для RCE с повышенными привилегиями на оконечных устройствах Windows в рамках одного кластера.

Все уязвимости взаимосвязаны и отслеживаются как CVE-2023-3676, CVE-2023-3893 и CVE-2023-3955 с оценкой CVSS 8.8.

Баги влияют на все среды Kubernetes с хостами Windows, а для эксплуатации злоумышленнику нужно применить вредоносный файл YAML в кластере.

CVE-2023-3676 позволяет злоумышленнику с привилегиями 'apply' взаимодействовать с API Kubernetes и внедрять произвольный код, который будет выполнен на удаленных машинах Windows с привилегиями SYSTEM.

Уязвимость, так же, как и CVE-2023-3955, возникает из-за недостаточной очистки входных данных, что позволяет специально созданной строке пути быть проанализированной в качестве параметра команды PowerShell, что в конечном итоге приводит к выполнению команды.

С другой стороны, CVE-2023-3893, связана со случаем эскалации привилегий в прокси-сервере Container Storage Interface (CSI), что позволяет злоумышленнику получить административный доступ к узлу.

Баги раскрыты 13 июля 2023 года исследователями Akamai, а 23 августа были выпущены соответствующие исправления.

В Amazon Web Services, Google Cloud и Microsoft Azure выпустили советы по устранению этих ошибок, которые влияют на следующие версии Kubelet: < v1.28.1, v1.27.5, v1.26.8, v1.25.13 и v1.24.17.

Исследователи Dr.Web сообщают об обнаружении новых версий троянца Android.Spy.Lydia, который реализует различные шпионские действия на зараженных устройствах и обеспечивает удаленное управление для кражи личной информации или денежных средств.

Более того, вредоносная ПО имеет защитный механизм, проверяющий, запускаются ли они в эмуляторе или на тестовом устройстве.

Трояны распространяются через вредоносные сайты, выдающие себя за финансовые организации, например онлайн-биржи, основной аудиторией которых, по мнению мошенников, являются жители Ирана.

После регистрации на сайте для доступа к торговой сессии пользователю предлагается скачать и установить специальное программное обеспечение, а реальности Android.Spy.Lydia.

При запуске троян запрашивает ссылку на фишинговую страницу с hxxp[:]//teuoi[.]com , которая затем отображается на экране через WebView без открытия браузера. Изученный образец вредоносной ПО открывал следующий URL: hxxps[:]//my-edalatsaham[.]sbs/fa/app.php.

На этой странице якобы находится форма для ввода идентификационного номера, на который в дальнейшем будет произведена «выплата дивидендов».

На самом деле на этом этапе троян отправляет своему командному серверу свой уникальный идентификатор и информацию об успешном заражении устройства.

После заражения устройства троян подключается к удаленному хосту по адресу ws[:]//httpiamaloneqs[.]xyz:80 через WebSocket и ожидает отправки команд зараженным устройствам.

Функционал трояна реализует следующий спектр действий: сбор информации о приложениях, перехват sms, управлением звуком и телефонной книгой и др., позволяющих совершать мошеннические действия для кражи денег как с банковских учреждений, так и у частных лиц, действуя от имени жертвы.