Google пересмотрела рейтинг уязвимости в libwebp. Проблема получила 10 баллов из 10 возможных

Компания Google, не делая никаких анонсов, пересмотрела рейтинг уязвимости CVE-2023-4863, связанной с опенсорсной библиотекой libwebp. Теперь, как и предупреждали ИБ-эксперты, эта проблема, затрагивающая тысячи приложений, оценивается как критическая (10 баллов из 10 возможных по шкале CVSS) и имеет собственный идентификатор CVE — CVE-2023-5129.

https://xakep.ru/2023/09/27/libwebp-cve-2023-5129/

Группа ShadowSyndicate связана с семью семействами вымогателей

Специалисты компаний Group-IB и Bridewell представили совместный отчет о преступной группе ShadowSyndicate (ранее Infra Storm), которая связана с атаками семи различных семейств программ-вымогателей за последний год.

https://xakep.ru/2023/09/27/shadowsyndicate/

Критический баг в JetBrains TeamCity можно использовать для удаленного выполнения кода

Критическая уязвимость в ПО непрерывной интеграции JetBrains TeamCity может использоваться неаутентифицированными злоумышленниками для удаленного выполнения кода и захвата уязвимых серверов.

https://xakep.ru/2023/09/27/jetbrains-teamcity-rce/

Группа Dark River атакует предприятия российского оборонного комплекса

Positive Technologies сообщает о новой хакерской группировке Dark River, которая целенаправленно атакует предприятия российского оборонного комплекса, инвестируя серьезные финансовые и интеллектуальные ресурсы в развитие своего инструментария.

https://xakep.ru/2023/09/28/dark-river/

Google исправляет пятую 0-day уязвимость в Chrome в этом году

Компания Google выпустила экстренные патчи, устраняющие уязвимость нулевого дня в браузере Chrome. Проблема уже находилась под атаками, и всем пользователям рекомендуется установить обновления как можно скорее.

https://xakep.ru/2023/09/28/fifth-chrome-0day-2023/

Китайские хакеры внедряют бэкдоры в маршрутизаторы Cisco

Правоохранительные органы США и Японии предупредили, что китайская APT-группировка BlackTech взламывает периферийные устройства и внедряет в их прошивки кастомные бэкдоры для доступа к корпоративным сетям американских и японских международных компаний.

https://xakep.ru/2023/09/28/blacktech-backdoors/

Все современные видеокарты уязвимы перед side-channel атакой и сливают данные через браузер

Исследователи из четырех американских университетов разработали новую side-channel атаку на современные видеокарты, которая использует сжатие данных для «слива» конфиденциальной визуальной информации при посещении веб-страниц.

https://xakep.ru/2023/09/28/gpu-zip/

ZenRAT крадет пароли, маскируясь под менеджер паролей Bitwarden

Аналитики Proofpoint обнаружили новую Windows-малварь ZenRAT, которая распространяется, маскируясь под установочные пакеты опенсорсного менеджера паролей Bitwarden.

https://xakep.ru/2023/09/28/zenrat/

Представлена Raspberry Pi 5, в которой улучшили почти все

Разработчики Raspberry Pi Foundation представили Raspberry Pi 5, спустя долгих четыре года после выхода Raspberry Pi 4. Пятое поколение одноплатных компьютеров получило множество улучшений, а его цена стартует от 60 долларов США за версию с 4 ГБ ОЗУ.

https://xakep.ru/2023/09/29/raspberry-pi-5/

Фишеры угоняют Telegram-аккаунты блогеров

Исследователи из «Лаборатории Касперского» заметили, что злоумышленники атакуют русскоязычных блогеров, маскируясь под рекламодателей и стремясь выманить у них учетные данные от Telegram-аккаунтов.

https://xakep.ru/2023/09/29/tg-bloggers/

MEGANews. Самые важные события в мире инфосека за сентябрь

В этом месяце: Free Download Manager для Linux содержал бэкдор, Китай обвинил США во взломе Huawei, Google критикуют из‑за уязвимости в библиотеке libwebp, сотрудник Microsoft случайно слил в сеть 38 Тбайт данных, историю Chrome будут использовать в рекламных целях, разработчики Genshin Impact пригрозили багоюзерам судом и другие интересные события сентября.

https://xakep.ru/2023/09/29/meganews-294/

У вымогателей появилась новая тактика: теперь они атакуют парами

ФБР предупреждает о новой тактике, которую с июля 2023 года используют вымогательские группировки. Теперь в сети жертв внедряют сразу два по шифровальщика, с разницей между атаками менее двух суток. Было замечено, что такую тактику используют вредоносы AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum и Royal.

https://xakep.ru/2023/09/29/dual-ransomware-attacks/

Ответы ИИ чат-бота Bing Chat содержат вредоносную рекламу

Еще весной текущего года компания Microsoft начала добавлять рекламу в разговоры с ИИ чат-ботом Bing Chat, чтобы монетизировать новую платформу. Как теперь обнаружили исследователи, в ответы чат-бота внедряется вредоносная реклама, предлагающая пользователям загрузить малаварь под видом утилиты Advanced IP Scanner.

https://xakep.ru/2023/09/29/bing-chat-malvertising/

Fuck the Logic. Три исследования логических багов, получившие Pentest Award #статьи #подписчикам

Сегодня мы публикуем три работы, получившие Pentest Award в номинации Fuck the Logic. В первой речь пойдет о баге, позволявшем бесконечно выводить деньги с криптобиржи, во второй — о захвате чужих аккаунтов в некой соцсети, в третьей — о ловком реверсе токенов приложения.

https://xakep.ru/2023/09/29/fuck-the-logic/

Ворованные учетные данные от GitHub используются для создания фейковых коммитов Dependabot

Аналитики компании Checkmarx обнаружили новую вредоносную кампанию на GitHub. Злоумышленники получают доступ к чужим аккаунтам и распространяют вредоносные коммиты, замаскированные под активность Dependabot (автоматической системы, предназначенной для проверки зависимостей проекта на актуальность).

https://xakep.ru/2023/09/29/fake-dependabot/

Сотням тысяч серверов Exim угрожает критический баг

Специалисты Trend Micro Zero Day Initiative предупредили сразу о нескольких уязвимостях агенте пересылки сообщений Exim. Самая серьезная из этих проблем затрагивает все версии Exim и позволяет добиться удаленного выполнения кода без аутентификации.

https://xakep.ru/2023/10/02/exim-rce-problems/

HTB Format. Проксируем запросы в Redis через мисконфиг Nginx #статьи #подписчикам

В этом райтапе я покажу, как производить запись данных в Redis благодаря ошибке в настройках Nginx. Также мы проанализируем исходники веб‑приложений, чтобы найти ряд векторов для атаки: LFI, повышение роли пользователя и RCE. Для повышения привилегий будем эксплуатировать уязвимость f-строки в Python и получим скрытые данные приложения.

https://xakep.ru/2023/10/02/htb-format/

DDoS-защиту Cloudflare можно обойти с помощью самой Cloudflare

Исследователи из компании Certitude обнаружили, что брандмауэр Cloudflare, а также защиту от DDoS-атак можно обойти, атаковав других пользователей изнутри самой платформы. Проблема возникает из-за общей инфраструктуры, к которой имеют доступ все арендаторы (tenant), что позволяет злоумышленникам атаковать клиентов Cloudflare через Cloudflare.

https://xakep.ru/2023/10/02/cloudflare-bugs/

Cisco предупредила о 0-day уязвимости в IOS и IOS XE

На прошлой неделе компания Cisco предупредила клиентов об уязвимости нулевого дня в IOS и IOS XE, которую уже пытаются эксплуатировать злоумышленники.

https://xakep.ru/2023/10/02/ios-iosx-0day/

Китайские хакеры похитили 60 000 писем у Госдепартамента США

Стало известно, что в мае текущего года китайская группировка Storm-0558 похитила по меньшей мере 60 000 писем из учетных записей Outlook, принадлежащих чиновникам Госдепартамента США, находящимся в Восточной Азии, Тихоокеанском регионе и странах Европы. Напомним, что эта атака стала возможной из-за компрометации учетной записи инженера Microsoft.

https://xakep.ru/2023/10/02/us-state-dept-leak/

Microsoft запретит активировать новые установки Windows старыми ключами

СМИ обнаружили, что компания Microsoft прикрыла одну из излюбленных «лазеек» пользователей и запретила активировать Windows 10 или Windows 11 старыми ключами от Windows 7 и Windows 8.

https://xakep.ru/2023/10/02/old-windows-keys/