Microsoft сообщает о критической RCE-уязвимости в Perforce Helix Core Server, платформе управления исходным кодом, широко используемой в игровом, государственном, военном и технологическом секторах.

Всего же было выявлено четыре уязвимости, где три другие связаны с проблемами отказа в обслуживании. Чтобы снизить риск Microsoft рекомендует пользователям продукта обновиться до версии 2023.1/2513900, выпущенной 7 ноября 2023 года.

Самый опасный недостаток имеет идентификатор CVE-2023-45849 и оценку 10!!! по CVSS, который позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный удаленный код от имени LocalSystem, получать доступ к локальным ресурсам и системным файлам, а также изменять настройки реестра и т.д.

В целях дополнительных мер защиты Microsoft рекомендует ограничить доступ с помощью VPN или белого списка IP-адресов, использовать прокси-сертификаты TLS для аутентификации пользователей, а также вести журнал всех доступов к Perforce Serve и использовать сегментацию сети для локализации возможных нарушений.

После попадания в рейтинги самых длинных сериалов в мире по версии канала SecAtor, наряду с Санта-Барбарой, Симпсонами и Путеводным светом, новый сезон в Списке критических 0-day в решениях Ivanti обещает быть не менее занятным и авантюрным.

После череды последних инцидентов теперь даже принято не спрашивать у клиентов Ivanti с какой новости начать, а разработчики решений не то чтобы бледный, а вообще не имеют вида.

И если быть суеверным, то последняя новость в конец развеет любые чаяния, ведь число вновь обнаруженных критических RCE-недостатков составило ровно чертову дюжину и в этом есть некая зловещая ирония.

Исправленные Ivanti проблемы затрагивают решение Avalanche для управления мобильными устройствами (MDM).

Как объясняют в Ivanti, обнаруженные исследователями Tenable в рамках Zero Day Initiative недостатки безопасности связаны со стеком WLAvalancheService и переполнением буфера на основе кучи.

Они затрагивают все поддерживаемые версии продуктов – Avalanche версии 6.3.1 и выше.

Злоумышленники, не прошедшие проверку подлинности, могут использовать их в атаках низкой сложности, не требующих взаимодействия с пользователем для удаленного выполнения кода или вызова состояния DoS в непропатченных системах.

Разработки также исправил восемь ошибок средней и высокой степени серьезности, которые злоумышленники могли использовать для DoS, удаленного выполнения кода и подделки запросов на стороне сервера (SSRF).

Все обнаруженные уязвимости безопасности были устранены в Avalanche v6.4.2.313.

Клиентам настоятельно рекомендуется загрузить установщик Avalanche и обновить его до последней версии.

Впрочем, при таком количестве проблем существует высокий риск того, что наиболее продвинутые злоумышленники уже успели проделать все необходимые манипуляции и новый «норвежский» кейс может маячить где-то на горизонте.

Но будем посмотреть.

Оборонный сектор Индии под ударом новой кампании, получившей название RusticWeb.

Первый детект был зафиксирован в октябре 2023 года, когда злоумышленники использовали ранее не документированный вредоносный софт написанный на Rust, а также зашифрованные команды PowerShell для извлечения конфиденциальных документов.

Специалисты отмечают, что операция RusticWeb может быть связана с проправительственной APT из Пакистана, поскольку имеются сходства с другими субъектами угрозы этой страны, такими как Transparent Tribe и SideCopy.

Атака начинается по классике с фишингового письма, где посредством СИ жертву убеждают открыть PDF-файлик, который в последствии запускает малварь и в фоновом режиме сканируется файловая система, пока жертва увлеченно просматривает поддельный файл.

Вредоносная программа собирает информацию о системе и передает ее на C2.

Во второй цепочке заражений, обнаруженной специалистами, применялся аналогичный многоступенчатый процесс атаки, но вместо вредоносной программы на Rust использовался скрипт PowerShell.

Помимо оборонки Индии мишенями злоумышленников были также различные государственные структуры.

Пакистанские хакеры поднашумели, и теперь совместно c SEQRITE следствие ведут такие колобки, как ThreatMon и Cyble.