Самые громкие события инфобеза за октябрь 2023 года
Всем привет! Как обычно, подводим итоги ушедшего месяца дайджестом самых примечательных ИБ-новостей. В октябре почти все популярные дистрибутивы под Линукс оказались под угрозой двух критических уязвимостей, а десятки тысяч роутеров и свитчей на IOS XE от Cisco были взломаны. Рансомварь-группировка Ragnar Locker лишилась инфраструктуры, и был арестован её ключевой разработчик, а Hive в свою очередь, судя по всему, взялась за старое. Также мы застали несколько оригинальных ИБ-инициатив от ФСБ и Минцифры, ну, а украинцы-антисемиты привели к отзыву свежего релиза Ubuntu и небольшой драме с уклоном в модный в англосфере «hate speech». Обо всём этом и других громких событиях октября читайте под катом!
Линукс под угрозой свихнувшихся переменных
В октябре в Линуксе обнаружили уязвимость «Looney Tunables» на получение рут-прав через эксплойт переполнения буфера. Почему «в Линуксе»? Уязвимость в базовой библиотеке glibc. Которая, собственно, присутствует в большинстве дистрибутивов. Fedora, Ubuntu, Debian и далее по списку — сколько систем оказались под угрозой, можете представить сами.
Уязвимость появилась в библиотеке апреле 2021-го года с выходом версии glibc 2.34. Она скрывается в динамическом загрузчике ld[.]so, который обрабатывает переменную среды GLIBC_TUNABLES. Соответственно, вредоносные переменные позволят злоумышленнику выполнить произвольный код. Атака простенькая и особых прав не требует, как и участия юзера. Вздохнуть спокойно могли разве что юзеры дистрибутива Alpine, которых уязвимость обошла стороной, и нескольких других менее известных, в которых библиотека не используется. Ну, а всем прочим нужно было срочно озаботиться накатыванием патчей. Подробнее о CVE-2023–4911 читайте в блоге.
Считанные дни спустя в сети появилась проверка концепции с эксплойтом «Looney Tunables». Так как уязвимость элементарная эксплойт оказался ей под стать — справится даже малолетний скрипт-кидди. Работоспособность опубликованной PoC исследователями была подтверждена, параллельно с ней шла разработка и публикация других эксплойтов под уязвимость. Так что вопрос накатывания патчей встал ещё более остро.
Не каждый линуксоид ещё пропатчил Looney Tunables, а на очереди оказалась ещё одна серьёзная уязвимость в массе дистрибутивов. CVE-2023–43641 на повреждение памяти в библиотеке libcue, превращающая её в RCE в один клик. Уязвимы системы, использующие рабочее окружение GNOME. А это Debian, Ubuntu, Fedora и далее по списку.
Исследователи продемонстрировали проверку концепции, но публиковать её не спешили во избежание. Что это, собственно, за библиотека? Libcue используется для анализа CUE-файлов и интегрирована в индексатор Tracker Miners в GNOME. И хотя для эксплойта понадобится юзер, скачавший и запустивший вредоносную куешку, не спешите списывать уязвимость со счётов. Патчи лучше всё же накатить, даже если последний раз неизвестный файл пускали в начале нулевых за семью песочницами. Подробнее об уязвимости в блоге на Гитхабе.
Уязвимость на десяточку в Cisco в IOS XE и десятки тысяч взломанных устройств
В ушедшем месяце у Cisco в IOS XE была обнаружена уязвимость, получившая десяточку по CVSS и всё ещё ждущая патча. Нулевой день CVE-2023–20198 в веб-интерфейсе позволяет неавторизированным злоумышленникам создать аккаунт и получить полные админские права на роутерах и свитчах.
При этом уязвимость активно эксплойтили: с 18 сентября неизвестный злоумышленник создаёт аккаунты и ставит импланты для команд на уровне ОС. Что занятно, после получения доступа атакующий также использует уже два года как исправленную CVE-2021–1435. Каким образом имплант попадает в пропатченные системы, Cisco пока не разобралась.
С учётом лёгкости эксплойта и выбитой десяточки уязвимость не следовало оставлять без внимания. Пока компания готовит патч, в качестве костыля предложили отключить HTTP-сервера, чтобы избежать незваных гостей на своих устройствах.
Вскоре подоспели первые результаты по следам уязвимости. И они оказались удручающие: на 18 октября больше 40 тысяч устройств были скомпрометированы в результате атак. При этом через Shodan разными методами насчитали всего около 145 тысяч доступных в сети уязвимых роутеров и свитчей.
Операторы связи, медцентры, университеты, банки, больницы и госучреждения — спектр организаций с уязвимыми устройствами довольно широк. При этом во многих из них, скорее всего, и не подозревают о безопасниках и злоумышленниках, с попкорном изучающих результаты из Shodan«a. Подробностями атак Cisco пока не делится и обещает опубликовать их после выпуска патча и завершения расследования. Ну, а пока можно делать ставки, сколько ещё их устройств успеют взломать.
И вопрос совсем не праздный, так как аккурат под конец октября был опубликован эксплойт под уязвимость.
Шпионский фреймворк, остававшийся незамеченным 5 лет
К интересным новинкам от мира малвари. В октябре в Лаборатории Касперского обнаружили прежде неизвестный кроссплатформенный вредоносный фреймворк. StripedFly, ранее обозначенный как простой криптомайнер под Monero, оказался малварью гораздо серьёзнее. И за пять лет тайком заразил более миллиона устройств под Линукс и Винду.
При этом фреймворку есть чем похвастаться. Сложная система скрытия трафика через Tor, автообновления с доверенных платформ, механизм распространения, как у червей, и кастомный эксплойт EternalBlue, написанный ещё до утечки данных о нём. Помимо криптомайнера в малвари ещё десяток модулей со всевозможным функционалом под шпионаж, а сам майнер, судя по всему, был встроен исключительно для отвлечения внимания. Причём вполне успешного.
В общем, судя по функционалу, перед нами серьёзный инструмент госхакерской группировки. Подробнее о любопытной находке в отчёте.
Конец Ragnar Locker и возвращение Hive
В прошлом месяце подошла к концу история рансомварь-группировки с броским названием Ragnar Locker: Европол перехватил их сервера и арестовал нескольких членов. С 16 по 20 октября в Чехии, Испании и Латвии прошли обыски и аресты. Ключевой разработчик был арестован во Франции и предстал перед судом в Париже.
Группировка была активна с декабря 2019-го и, согласно Европолу, провела атаки по 168 международным компаниям в Европе и Штатах. Двое участников уже были арестованы в Украине в 2021-м, в этот раз ещё один попался в Киеве. С арестом главного разработчика и уничтожением инфраструктуры группировка в нынешнем виде, очевидно, прекратит своё существование. С чем её можно и поздравить. И делать ставки, увидим ли мы ещё оставшихся злоумышленников из Ragnar Locker под новым брендом. Как, например, произошло с другой известной группировкой, о чём ниже.
Кроме того, в октябре в сетевых дебрях всплыла информация о новой рансомварь-группировке Hunters International. И не простой, а с кодом от Hive. А это наводит на предположения, что либо сами члены группировки вернулись в дело, либо как минимум продали свой код. Именно это утверждает сама Hunters: «Мы не из Hive, с ними никак не связаны, никого ещё толком не обидели, пожалуйста, не отжимайте и нашу инфраструктуру». Звучит, впрочем, не очень правдоподобно.
Hive, напомню, лишилась серверов в январе этого года после их перехвата ФБР. В новом-старом энкрипторе на основе Hive ver.6 нашли больше 60% совпадений с его кодом. На сайте же новоявленной группировки пока указана одна жертва, школа в Великобритании. На фоне Хайва с его 1,300 взломанными за 1,5 года компаниями результаты, мягко говоря, скромные. Пока можно делать предположения, чего ждать от международных охотников. И когда за ними придёт Интерпол, так сказать, за незаконное использование своего товарного знака.
Больше новых ИБ-инициатив в России, оригинальных и разных
В начале октября ФСБ выступила с очередной занятной инициативой: на этот раз предлагают обязать сервисы хранить данные о геолокации пользователей и средствах платежа. Такой проект постановления появился на сайте правительства.
В ведомстве отмечают, что сейчас эти сведения в правила напрямую не внесены, но по сути в них упоминаются и обрабатываются. Что, в свою очередь, «формирует неоднозначную правоприменительную практику». А в порядочном ведомстве, как водится, всё должно быть однозначно.
Крупные агрегаторы и прочие обитатели реестра распространения информации, вроде VK и Яндекса, комментарии пока давать не спешат и ждут окончательных формулировок. Ну, а неискушённые и просто неоднозначные юзеры по следам новости уже спешат брать пример с наученных жизнью ИБ-параноиков и ставят Fake GPS, чтобы почувствовать себя романтическими героями инфобез-подполья.
Минцифры также продолжает фонтанировать оригинальными идеями: теперь на очереди повышение градуса цифрового суверенитета. Так, с 1 декабря планируют ввести новые требования к хостерам. Держать оборудование исключительно в России, использовать только DNS-серверы национальной системы и подключиться к госсистеме обнаружения компьютерных атак.
Хостинг-провайдеры пока в глубокой задумчивости над трудностями бытия — по предварительным оценкам установка оборудования под запросы обойдётся в десятки миллионов рублей разово и по несколько миллионов ежемесячно. А часть требований проекта, как водится, едва ли выполнима. Так что в случае его реализации небольшие хостеры с нами попрощаются, а отъевшие их долю крупные игроки, естественно, переложат новые расходы на клиентов. Вот тогда заживём. Или нет.
Украинцы-антисемиты и отзыв свежего релиза Ubuntu
И напоследок, немного неловкая ИБ-история. В октябре Canonical отозвала образы Ubuntu 23.10 через несколько часов после релиза. Причина оказалась не в критических уязвимостях, а во вредоносных… переводах. А точнее, разжигающих ненависть, как это сейчас модно на Западе называть. Hate speech, в общем.
Компания нарочито обтекаемо описывала произошедшее, ссылаясь на злоумышленника и стороннее приложение, но если кто помнит недавний скандал с переводом Cyberpunk 2077, можно догадаться, откуда ветер дует. Собственно, из Украины.
Дальнейшее изучение вопроса проливает свет на проблему: какой-то юморист отправил им шуточный перевод на украинском. И помимо просто откровенной вульгарщины, этот мегамозг напихал в перевод антисемитских шуточек. Что в англосфере в наши дни является частым поводом для громких скандалов и всевозможных драм. В общем, украинцы-антисемиты привели к отзыву свежего релиза Ubuntu. Казалось бы, заголовок для Панорамы. Но нет. Такой вот инфобез, который мы заслужили.