Розділи сайту Всі
#безопасность
Проблема получила оценку в 9,8 балла по шкале CVSS и затрагивает версии PAN-OS от 8.1. до 8.1.17.

В межсетевых экранах Palo Alto Networks, использующих GlobalProtect VPN, была обнаружена уязвимость, которая может быть проэксплуатирована неавторизованным злоумышленником для выполнения произвольного кода на уязвимых устройствах с привилегиями суперпользователя.

Проблема (CVE-2021-3064) получила оценку в 9,8 балла по шкале CVSS и затрагивает версии PAN-OS от 8.1. до 8.1.17.

«Цепочка уязвимостей состоит из метода обхода проверок, сделанных внешним web-сервером, и переполнения буфера на основе стека. Использование цепочки уязвимостей было доказано и позволяет удаленно выполнять код как на физических, так и на виртуальных межсетевых экранах», — пояснили эксперты из ИБ-фирмы Randori, обнаружившие уязвимость.
Состоялся релиз сетевого анализатора sniffglue 0.14.0 , выполняющий анализ трафика в пассивном режиме и использующий многопоточность для распределения работы по разбору пакетов по всем ядрам процессора. Проект нацелен на безопасную и надёжную работу при перехвате пакетов в сетях не заслуживающих доверия, а также на вывод наиболее полезной информации в конфигурации по умолчанию. Код продукта написан на языке программирования Rust и распространяется под лицензией GPLv3+. Поддерживается работа на системах Linux и macOS.
 
Самая опасная проблема позволяет удаленному неавторизованному злоумышленнику читать или записывать произвольные файлы.

Компания Cisco Systems исправила ряд критических и опасных уязвимостей сетевом оборудовании Cisco Nexus 9000 Series. Самая опасная проблема ( CVE-2021-1577 ) получила оценку в 9,1 балла из максимальных 10 по шкале CVSS. Ее эксплуатация может позволить удаленному неавторизованному злоумышленнику читать или записывать произвольные файлы в интерфейс протокола приложения, используемом в коммутаторах серии Cisco 9000 для управления программно-определяемыми сетевыми данными.

Критическая уязвимость затрагивает контроллеры Cisco Application Policy Infrastructure Controller (APIC) и Cisco Cloud Application Policy Infrastructure Controller (Cloud APIC). APIC — основной архитектурный компонент инфраструктуры Cisco, ориентированной на приложения, которые работает на узле Cisco Nexus 9000 Series.

«Уязвимость связана с некорректным контролем доступа. Злоумышленник может воспользоваться этой уязвимостью, используя определенную оконечную точку API для загрузки файла на уязвимое устройство», — сообщили эксперты.
Уязвимости могут затрагивать устройства AsusTEK, Belkin, D-Link, Edimax, Hama, Logitech и Netgear.

Тайваньский производитель чипов Realtek сообщил о четырех уязвимостях в трех SDK своих сопутствующих модулей Wi-Fi, использующихся почти в 200 продуктах от более полусотни поставщиков.

Уязвимости позволяют удаленному неавторизованному атакующему вызывать отказ в обслуживании, выводить из строя устройства и внедрять произвольные команды.

CVE-2021-35392 – переполнение буфера в стеке через UPnP в Wi-Fi Simple Config;

CVE-2021-35393 – переполнения кучи через SSDP в Wi-Fi Simple Config;

CVE-2021-35394 – внедрение команд в инструменте для диагностирования MP Daemon;

CVE-2021-35395 – множественные уязвимости в web-интерфейсе управления.
В сети зафиксирована массовая атака на домашние маршрутизаторы, в прошивках которых используется реализация http-сервера от компании Arcadyan. Для получения управления над устройствами применяется сочетание двух уязвимостей, позволяющих удалённо выполнить произвольный код с правами root. Проблема затрагивает достаточно большой спектр ADSL-маршрутизаторов от компаний Arcadyan, ASUS и Buffalo, а также устройств, поставляемых под брендами Билайн (проблема подтверждена в Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone и других операторов связи. Отмечается, что проблема присутствует в прошивках Arcadyan уже более 10 лет и за это время успела перекочевать как минимум в 20 моделей устройств от 17 различных производителей.

Первая уязвимость CVE-2021-20090 даёт возможность обратиться к любому скрипту web-интерфейса без прохождения аутентификации. Суть уязвимость в том, что в web-интерфейсе некоторые каталоги, через которые отдаются картинки, CSS-файлы и сценарии JavaScript, доступны без аутентификации. При этом проверка каталогов, для которых разрешён доступ без аутентификации выполняется по начальной маске. Указание в путях символов "../" для перехода в родительский каталог блокируется прошивкой, но использование комбинации "..%2f" пропускается. Таким образом, имеется возможность открытия защищённых страниц при отправке запросов, подобных "http://192.168.1.1/images/..%2findex.htm".
Проблемы позволяют злоумышленнику взломать сервер web-почты организации и получить доступ ко всем сообщениям электронной почты сотрудников.

Уязвимости в корпоративном почтовом клиенте Zimbra могут позволить злоумышленнику получить неограниченный доступ к отправленным и полученным сообщениям электронной почты организации. По словам специалистов из компании SonarSource, эксплуатация проблем позволяет неавторизованному злоумышленнику взломать почтовый сервер организации и получить доступ ко всем сообщениям электронной почты сотрудников.
Специалисты компании Qualys сообщили о новой уязвимости в ОС Linux, которая позволяет получить права суперпользователя на большинстве дистрибутивов, в частности, Ubuntu, Debian и Fedora.

Проблема (CVE-2021-33909), получившая название Sequoia, содержится в файловой системе Linux и представляет собой уязвимость чтения за пределами буфера (out-of-bounds read). По словам экспертов, проблема связана с некорректной обработкой длины имени файла. С ее помощью непривилегированный локальный пользователь может запустить код с правами суперпользователя.

Экспертам удалось успешно проэксплуатировать проблему на системах с установленными дистрибутивами Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 и Fedora 34 Workstation. Отмечается, что и Linux другие дистрибутивы Linux, скорее всего, подвержены данной уязвимости.
Опытным путём в коммутаторе D-Link DGS-3000-10TC (Hardware Version: A2) обнаружена критическая ошибка, позволяющая инициировать отказ в обслуживании через отправку специально оформленного сетевого пакета. После обработки подобных пакетов коммутатор впадает в состояние со 100% нагрузкой на CPU, устранить которое может только перезагрузка.

На сообщение о проблеме служба поддержки D-Link ответила "Добрый день, после очередной проверки разработчики считают, что в DGS-3000-10TC нет проблемы. Проблема была из-за поломанного пакета, который отправлял DGS-3000-20L и после фикса с новой прошивкой проблем не наблюдается." Иными словами подтверждено, что коммутатор DGS-3000-20L (и другие из этой серии) ломает пакет от клиента PPP-over-Ethernet Discovery (pppoed), и данная проблема устранена в прошивке.
Эксплуатация уязвимостей позволяет злоумышленнику взломать IT-сети без вмешательства оператора.

Исследователи кибербезопасности из компании Skylight Cyber опубликовали подробности о 13 уязвимостях в программном обеспечении с открытым исходным кодом Nagios для мониторинга IT-сетей и компьютерных систем. Эксплуатация уязвимостей позволяет злоумышленнику взломать IT-сети без вмешательства оператора.

Самая опасная проблема (CVE-2020-28648) получила оценку в 8,8 балла по шкале CVSS и связана с некорректной проверкой вводимых данных в компоненте Auto-Discovery Nagios XI, который исследователи использовали в качестве отправной точки для запуска цепочки эксплоитов из пяти уязвимостей.
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.31 и 9.16.15, а также находящейся в разработке экспериментальной ветки 9.17.12. В новых выпусках устранены три уязвимости, одна из которых (CVE-2021-25216) приводит к переполнению буфера. На 32-разрядных системах уязвимость может быть эксплуатирована для удалённого выполнения кода злоумышленника через отправку специально оформленного запроса GSS-TSIG. На 64-системах проблема ограничивается крахом процесса named.

Проблема проявляется только при включении механизма GSS-TSIG, активируемого при помощи настроек tkey-gssapi-keytab и tkey-gssapi-credential. GSS-TSIG отключён в конфигурации по умолчанию и обычно применяется в смешанных окружениях, в которых BIND сочетается с контроллерами домена Active Directory, или при интеграции с Samba.

Уязвимость вызвана ошибкой в реализации механизма SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), применяемого в GSSAPI для согласования используемых клиентом и сервером методов защиты. GSSAPI используется в качестве высокоуровневого протокола для защищённого обмена ключами при помощи расширения GSS-TSIG, применяемого в процессе проверки подлинности динамических обновлений DNS-зон.
Програма-вимагач, яку використовують для кібератак, задіює архіватор 7-Zip для «шифрування» файлів. Надалі за відновлення доступу зловмисники вимагають гроші.

Потрапляючи в систему, шкідливе програмне забезпечення створює захищені паролем архіви 7-Zip розміром – 20МБ, у які «запаковує» файли, що містяться на пристрої.  Потерпілі при відкритті текстового файлу, створеного криптолокером «Qlocker», виявляють посилання на ресурс, розміщений у мережі TOR. Далі пропонується ввести персональний ID, який присвоюється пристрою вірусом-вимагачем, та у подальшому отримати електронний гаманець у криптовалюті.

Для дешифрування жертві потрібно ввести пароль, що відомий лише оператору «Qlocker». За відновлення доступу зловмисники вимагають у постраждалих гроші.

Кіберзлочинці використовують критичні вразливості в операційних системах QNAP, а саме  CVE-2020-2509 (вразливість дозволяє зловмисникам виконувати довільні команди в компрометованому додатку), CVE-2020-36195 (SQL-ін’єкція в QNAP Multimedia Console and Media Streaming Add-On).
В подсистеме eBPF, позволяющей запускать обработчики для трассировки, анализа работы подсистем и управления трафиком, выполняемые внутри ядра Linux в специальной виртуальной машине с JIT, выявлена уязвимость (CVE-2021-29154), позволяющая локальному пользователю добиться выполнения своего кода на уровне ядра. Проблема проявляется вплоть до выпуска 5.11.12 (включительно) и ещё не исправлена в дистрибутивах (Debian, Ubuntu, RHEL, Fedora, SUSE, Arch). Исправление доступно в виде патча.
Злоумышленники предположительно получили доступ администратора с правами суперпользователя ко всем учетным записям Ubiquiti AWS.

Крупный поставщик облачных IoT-устройств Ubiquiti в январе 2021 года сообщил о взломе стороннего поставщика облачных услуг, в результате которого были похищены учетные данные клиентов. Однако источник ресурса KrebsOnSecurity утверждает, что Ubiquiti сильно преуменьшила значение «катастрофического» инцидента с целью минимизировать удар по цене своих акций, а заявление стороннего поставщика облачных услуг было сфабриковано.

«Это было намного хуже, чем сообщалось, и об этом умолчали. Взлом был серьезным, данные клиентов оказались под угрозой, доступ к устройствам клиентов, развернутым в корпорациях и домах по всему миру, был под угрозой», — сообщил ИБ-специалист, который помогал Ubiquiti отреагировать на инцидент.
Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1k , в котором устранены две уязвимости, которым присвоен высокий уровень опасности:
  • CVE-2021-3450 - возможность обхода проверки сертификата удостоверяющего центра при включении флага X509_V_FLAG_X509_STRICT, который отключён по умолчанию и применяется для дополнительной проверки наличия сертификатов в цепочке. Проблема внесена в появившейся в OpenSSL 1.1.1h реализации новой проверки, запрещающей использование сертификатов в цепочке, в которых явно закодированы параметры эллиптической кривой.
    Из-за ошибки в коде новая проверка переопределяла результат выполненной до этого проверки корректности сертификата удостоверяющего центра. В итоге сертификаты заверенные самоподписанным сертификатом, который не связан цепочкой доверия с удостоверяющим центром, обрабатывались как полностью заслуживающие доверия. Уязвимость не проявляется в случае установки параметра "purpose", который по умолчанию выставляется в процедурах проверки клиентских и серверных сертификатов в libssl (применяется для TLS).
  • CVE-2021-3449 - возможность вызова краха сервера TLS через отправку клиентом специально оформленного сообщения ClientHello. Проблема связана с разыменованием указателя NULL в реализации расширения signature_algorithms. Проблема проявляется только на серверах с поддержкой TLSv1.2 и разрешением повторного согласования соединения (включено по умолчанию).