Самые громкие события инфобеза за октябрь 2023 года

a99e50c532367fdcdbb8d64420ace995.png

Всем привет! Как обычно, подводим итоги ушедшего месяца дайджестом самых примечательных ИБ-новостей. В октябре почти все популярные дистрибутивы под Линукс оказались под угрозой двух критических уязвимостей, а десятки тысяч роутеров и свитчей на IOS XE от Cisco были взломаны. Рансомварь-группировка Ragnar Locker лишилась инфраструктуры, и был арестован её ключевой разработчик, а Hive в свою очередь, судя по всему, взялась за старое. Также мы застали несколько оригинальных ИБ-инициатив от ФСБ и Минцифры, ну, а украинцы-антисемиты привели к отзыву свежего релиза Ubuntu и небольшой драме с уклоном в модный в англосфере «hate speech». Обо всём этом и других громких событиях октября читайте под катом!

Линукс под угрозой свихнувшихся переменных

64579b5f6c583e054569ad6ccf5afd1e.jpeg

В октябре в Линуксе обнаружили уязвимость «Looney Tunables» на получение рут-прав через эксплойт переполнения буфера. Почему «в Линуксе»? Уязвимость в базовой библиотеке glibc. Которая, собственно, присутствует в большинстве дистрибутивов. Fedora, Ubuntu, Debian и далее по списку — сколько систем оказались под угрозой, можете представить сами.

Уязвимость появилась в библиотеке апреле 2021-го года с выходом версии glibc 2.34. Она скрывается в динамическом загрузчике ld[.]so, который обрабатывает переменную среды GLIBC_TUNABLES. Соответственно, вредоносные переменные позволят злоумышленнику выполнить произвольный код. Атака простенькая и особых прав не требует, как и участия юзера. Вздохнуть спокойно могли разве что юзеры дистрибутива Alpine, которых уязвимость обошла стороной, и нескольких других менее известных, в которых библиотека не используется. Ну, а всем прочим нужно было срочно озаботиться накатыванием патчей. Подробнее о CVE-2023–4911 читайте в блоге.

Считанные дни спустя в сети появилась проверка концепции с эксплойтом «Looney Tunables». Так как уязвимость элементарная эксплойт оказался ей под стать — справится даже малолетний скрипт-кидди. Работоспособность опубликованной PoC исследователями была подтверждена, параллельно с ней шла разработка и публикация других эксплойтов под уязвимость. Так что вопрос накатывания патчей встал ещё более остро.

22bd0659878ead6667eff459a3a81455.jpeg

Не каждый линуксоид ещё пропатчил Looney Tunables, а на очереди оказалась ещё одна серьёзная уязвимость в массе дистрибутивов. CVE-2023–43641 на повреждение памяти в библиотеке libcue, превращающая её в RCE в один клик. Уязвимы системы, использующие рабочее окружение GNOME. А это Debian, Ubuntu, Fedora и далее по списку.

Исследователи продемонстрировали проверку концепции, но публиковать её не спешили во избежание. Что это, собственно, за библиотека? Libcue используется для анализа CUE-файлов и интегрирована в индексатор Tracker Miners в GNOME. И хотя для эксплойта понадобится юзер, скачавший и запустивший вредоносную куешку, не спешите списывать уязвимость со счётов. Патчи лучше всё же накатить, даже если последний раз неизвестный файл пускали в начале нулевых за семью песочницами. Подробнее об уязвимости в блоге на Гитхабе.

Уязвимость на десяточку в Cisco в IOS XE и десятки тысяч взломанных устройств

0c85eeba088f6c059efe582dce75832b.jpeg

В ушедшем месяце у Cisco в IOS XE была обнаружена уязвимость, получившая десяточку по CVSS и всё ещё ждущая патча. Нулевой день CVE-2023–20198 в веб-интерфейсе позволяет неавторизированным злоумышленникам создать аккаунт и получить полные админские права на роутерах и свитчах.

При этом уязвимость активно эксплойтили: с 18 сентября неизвестный злоумышленник создаёт аккаунты и ставит импланты для команд на уровне ОС. Что занятно, после получения доступа атакующий также использует уже два года как исправленную CVE-2021–1435. Каким образом имплант попадает в пропатченные системы, Cisco пока не разобралась.

С учётом лёгкости эксплойта и выбитой десяточки уязвимость не следовало оставлять без внимания. Пока компания готовит патч, в качестве костыля предложили отключить HTTP-сервера, чтобы избежать незваных гостей на своих устройствах.

241a0007cde5ce4aceda62e554e1bcd6.jpeg

Вскоре подоспели первые результаты по следам уязвимости. И они оказались удручающие: на 18 октября больше 40 тысяч устройств были скомпрометированы в результате атак. При этом через Shodan разными методами насчитали всего около 145 тысяч доступных в сети уязвимых роутеров и свитчей.

Операторы связи, медцентры, университеты, банки, больницы и госучреждения — спектр организаций с уязвимыми устройствами довольно широк. При этом во многих из них, скорее всего, и не подозревают о безопасниках и злоумышленниках, с попкорном изучающих результаты из Shodan«a. Подробностями атак Cisco пока не делится и обещает опубликовать их после выпуска патча и завершения расследования. Ну, а пока можно делать ставки, сколько ещё их устройств успеют взломать.

И вопрос совсем не праздный, так как аккурат под конец октября был опубликован эксплойт под уязвимость.

Шпионский фреймворк, остававшийся незамеченным 5 лет

b38e636883efa7fcfef61ac8b3e6218f.jpeg

К интересным новинкам от мира малвари. В октябре в Лаборатории Касперского обнаружили прежде неизвестный кроссплатформенный вредоносный фреймворк. StripedFly, ранее обозначенный как простой криптомайнер под Monero, оказался малварью гораздо серьёзнее. И за пять лет тайком заразил более миллиона устройств под Линукс и Винду.

При этом фреймворку есть чем похвастаться. Сложная система скрытия трафика через Tor, автообновления с доверенных платформ, механизм распространения, как у червей, и кастомный эксплойт EternalBlue, написанный ещё до утечки данных о нём. Помимо криптомайнера в малвари ещё десяток модулей со всевозможным функционалом под шпионаж, а сам майнер, судя по всему, был встроен исключительно для отвлечения внимания. Причём вполне успешного.

В общем, судя по функционалу, перед нами серьёзный инструмент госхакерской группировки. Подробнее о любопытной находке в отчёте.

Конец Ragnar Locker и возвращение Hive

5b498bbcbfbae6b80c24011a27b446c7.jpeg

В прошлом месяце подошла к концу история рансомварь-группировки с броским названием Ragnar Locker: Европол перехватил их сервера и арестовал нескольких членов. С 16 по 20 октября в Чехии, Испании и Латвии прошли обыски и аресты. Ключевой разработчик был арестован во Франции и предстал перед судом в Париже.

Группировка была активна с декабря 2019-го и, согласно Европолу, провела атаки по 168 международным компаниям в Европе и Штатах. Двое участников уже были арестованы в Украине в 2021-м, в этот раз ещё один попался в Киеве. С арестом главного разработчика и уничтожением инфраструктуры группировка в нынешнем виде, очевидно, прекратит своё существование. С чем её можно и поздравить. И делать ставки, увидим ли мы ещё оставшихся злоумышленников из Ragnar Locker под новым брендом. Как, например, произошло с другой известной группировкой, о чём ниже.

87dd0d9e049ece974756f07a178fb29e.jpeg

Кроме того, в октябре в сетевых дебрях всплыла информация о новой рансомварь-группировке Hunters International. И не простой, а с кодом от Hive. А это наводит на предположения, что либо сами члены группировки вернулись в дело, либо как минимум продали свой код. Именно это утверждает сама Hunters: «Мы не из Hive, с ними никак не связаны, никого ещё толком не обидели, пожалуйста, не отжимайте и нашу инфраструктуру». Звучит, впрочем, не очень правдоподобно.

Hive, напомню, лишилась серверов в январе этого года после их перехвата ФБР. В новом-старом энкрипторе на основе Hive ver.6 нашли больше 60% совпадений с его кодом. На сайте же новоявленной группировки пока указана одна жертва, школа в Великобритании. На фоне Хайва с его 1,300 взломанными за 1,5 года компаниями результаты, мягко говоря, скромные. Пока можно делать предположения, чего ждать от международных охотников. И когда за ними придёт Интерпол, так сказать, за незаконное использование своего товарного знака.

Больше новых ИБ-инициатив в России, оригинальных и разных

547f62b1d700b1bf991e50e185ee75c0.jpeg

В начале октября ФСБ выступила с очередной занятной инициативой: на этот раз предлагают обязать сервисы хранить данные о геолокации пользователей и средствах платежа. Такой проект постановления появился на сайте правительства.

В ведомстве отмечают, что сейчас эти сведения в правила напрямую не внесены, но по сути в них упоминаются и обрабатываются. Что, в свою очередь, «формирует неоднозначную правоприменительную практику». А в порядочном ведомстве, как водится, всё должно быть однозначно.

Крупные агрегаторы и прочие обитатели реестра распространения информации, вроде VK и Яндекса, комментарии пока давать не спешат и ждут окончательных формулировок. Ну, а неискушённые и просто неоднозначные юзеры по следам новости уже спешат брать пример с наученных жизнью ИБ-параноиков и ставят Fake GPS, чтобы почувствовать себя романтическими героями инфобез-подполья.

1644ac81491c4d198d61ad63c1310231.jpeg

Минцифры также продолжает фонтанировать оригинальными идеями: теперь на очереди повышение градуса цифрового суверенитета. Так, с 1 декабря планируют ввести новые требования к хостерам. Держать оборудование исключительно в России, использовать только DNS-серверы национальной системы и подключиться к госсистеме обнаружения компьютерных атак.

Хостинг-провайдеры пока в глубокой задумчивости над трудностями бытия — по предварительным оценкам установка оборудования под запросы обойдётся в десятки миллионов рублей разово и по несколько миллионов ежемесячно. А часть требований проекта, как водится, едва ли выполнима. Так что в случае его реализации небольшие хостеры с нами попрощаются, а отъевшие их долю крупные игроки, естественно, переложат новые расходы на клиентов. Вот тогда заживём. Или нет.

Украинцы-антисемиты и отзыв свежего релиза Ubuntu

ae48141b4a622608c5585ea66bf0b68d.jpeg

И напоследок, немного неловкая ИБ-история. В октябре Canonical отозвала образы Ubuntu 23.10 через несколько часов после релиза. Причина оказалась не в критических уязвимостях, а во вредоносных… переводах. А точнее, разжигающих ненависть, как это сейчас модно на Западе называть. Hate speech, в общем.

Компания нарочито обтекаемо описывала произошедшее, ссылаясь на злоумышленника и стороннее приложение, но если кто помнит недавний скандал с переводом Cyberpunk 2077, можно догадаться, откуда ветер дует. Собственно, из Украины.

Дальнейшее изучение вопроса проливает свет на проблему: какой-то юморист отправил им шуточный перевод на украинском. И помимо просто откровенной вульгарщины, этот мегамозг напихал в перевод антисемитских шуточек. Что в англосфере в наши дни является частым поводом для громких скандалов и всевозможных драм. В общем, украинцы-антисемиты привели к отзыву свежего релиза Ubuntu. Казалось бы, заголовок для Панорамы. Но нет. Такой вот инфобез, который мы заслужили.

© Habrahabr.ru