ТОП-5 ИБ-событий недели по версии Jet CSIRT
Сегодня в ТОП-5 — уязвимости в утилите needrestart для Ubuntu, новый скрытый загрузчик BabbleLoader, атака на брандмауэров Palo Alto Networks, вредоносное ПО Infostealer в пакетах PyPI и 0-day уязвимости в VINTEO, найденные Positive Technologies.
Обнаружены уязвимости в утилите needrestart для Ubuntu Server
Специалисты Qualys Threat Research Unit (TRU) выявили пять уязвимостей в утилите needrestart. Утилита установлена по умолчанию в Ubuntu Server в версиях, начиная с 21.04, и помогает определять необходимость перезапуска системы после обновлений. Обнаруженные уязвимости получили идентификаторы CVE-2024–48990 (CVSS: 7.8), CVE-2024–48991 (CVSS: 7.8), CVE-2024–48992 (CVSS: 7.8), CVE-2024–10224 (CVSS: 5.3) и CVE-2024–11003 (CVSS: 7.8). Уязвимости связаны с небезопасной обработкой переменных среды и позволяют повышать локальные привилегии (LPE) в версиях needrestart до 3.7. Это позволяет злоумышленнику выполнять произвольные команды от имени пользователя root. Рекомендуется обновить needrestart до версии 3.8 или временно отключить функцию сканирования интерпретатора в конфигурации.
Обнаружен новый скрытый загрузчик BabbleLoader
Исследователи в области кибербезопасности из Intezer выявили новый скрытый загрузчик BabbleLoader, который активно распространяет программы-шпионы WhiteSnake и Meduza. BabbleLoader использует продвинутые методы обхода антивирусных программ, включая метод, когда код имитирует работу легитимного ПО, что делает его трудным для обнаружения. Он нацелен на пользователей, которые ищут взломанное ПО, и на специалистов в финансовой сфере, выдавая себя за бухгалтерское программное обеспечение. Каждая сборка загрузчика уникальна, что позволяет обходить как традиционные системы обнаружения, так и системы на основе ИИ. BabbleLoader загружает шелл-код, подготавливающий путь для загрузчика Donut, который распаковывает и запускает вредоносное ПО. Рекомендуется обратить внимание на индикаторы компрометации, связанные с этой угрозой.
Злоумышленники взломали тысячи брандмауэров Palo Alto Networks
Эксперты из Palo Alto Networks предупреждают о массовых взломах брандмауэров Palo Alto Networks, использующих две недавно исправленные уязвимости нулевого дня. Уязвимость обхода аутентификации CVE-2024–0012 (CVSS: 9.3) позволяет злоумышленникам получать права администратора, а уязвимость повышения привилегий CVE-2024–9474 (CVSS: 6.9) дает возможность выполнять команды с правами root. Palo Alto Networks уже зафиксировала развертывание вредоносного ПО на взломанных устройствах и рекомендует клиентам ограничить доступ к интерфейсам управления. Специалисты Shadowserver обнаружили более 2700 уязвимых устройств, из которых около 2000 уже скомпрометированы. Рекомендуется ознакомиться с индикаторами компрометации и обновить PAN-OS до версий 10.2.12-h2, 11.0.6-h1, 11.1.5-h1, 11.2.4-h.
В PyPI были обнаружены пакеты, содержащие вредоносное ПО Infostealer
Эксперты из Global Research and Analysis Team (GReAT) обнаружили в репозитории Python Package Index (PyPI) два вредоносных пакета, содержащих вредоносное ПО JarkaStealer. Эти пакеты, названные «gptplus» и «claudeai-eng», имитировали работу с GPT-4 Turbo и Claude AI, но на самом деле загружали вредоносное ПО через файл JavaUpdater.jar. Вредоносное ПО JarkaStealer крадет конфиденциальные данные, включая пароли и токены сеансов из браузеров и приложений, таких как Telegram и Discord. Вредоносные пакеты были доступны более года, и за это время их скачали более 1700 раз. Администраторы PyPI уже удалили эти пакеты. Пользователям, которые их скачали, рекомендуется немедленно удалить их и изменить свои пароли.
Positive Technologies нашла 0-day уязвимости в VINTEO
Специалисты из Positive Technologies выявили кибератаку на российскую компанию VINTEO с помощью системы PT Network Attack Discovery. Анализ трафика показал использование двух опасных уязвимостей в системе видеоконференцсвязи VINTEO. Уязвимость внедрения SQL-кода (BDU:2024–08421, CVSS: 9.8) и уязвимость выполнения произвольного кода (BDU:2024–08422, CVSS: 8.1). Комбинация этих уязвимостей позволяла злоумышленникам исполнять вредоносный код без авторизации. В течение 10 часов эксперты Positive Technologies подтвердили инцидент и начали расследование. Специалисты VINTEO оперативно устранили уязвимости, предотвратив заражение других компаний. Для защиты рекомендуется установить VINTEO версии 29.3.6 и выше или закрыть доступ к системе ВКС из глобальной сети с помощью межсетевого экрана.
