ТОП-5 ИБ-событий по версии Jet CSIRT
Сегодня в ТОП-5 — апрельское обновление безопасности от Microsoft, технический разбор новой программы-вымогателя Cylance, исправление уязвимости в ядре Linux, утечка 1,5 Тб данных MSI, обновление безопасности Mozilla Firefox. Новости собрал аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Константин Маслов.
Апрельское обновление безопасности Microsoft
11 апреля Microsoft выпустила обновление безопасности с исправлением 97 уязвимостей. Семь из них оцениваются как критичные. Специалисты из «Лаборатории Касперского» подтвердили использование уязвимости драйвера Windows Common Log File System (CLFS) в реальных атаках злоумышленников. Следы эксплуатации были замечены в хакерской кампании Nokoyawa. Эксперты Check Point также оперативно поделились бюллетенем по другой критичной ошибке. Эксперты рекомендуют устанавливать обновления только после
оценки сопутствующих рисков.
Технический разбор новой программы-вымогателя Cylance
Специалисты Cyble Research and Intelligence Labs (CRIL) исследовали вредоносное ПО, получившее название Cylance. Эксперты отметили растущую тенденцию разработки программ-вымогателей, нацеленных как на операционные системы Linux, так и на Windows. Записка о выкупе сообщает жертвам, что все их файлы зашифрованы и в настоящее время непригодны для использования. Специалисты CRIL не рекомендуют сотрудничать со злоумышленниками и предоставили базовые рекомендации по защите, а также индикаторы компрометации для выявления шифровальщика на ранних этапах.
Исправлена критичная уязвимость Linux в службе QoS
В ядре Linux выявлены две уязвимости CVE-2023–1821 и CVE-2023–1829. Ошибка обнаружена в коде классификатора трафика tcindex, входящего в состав QoS. Эта служба позволяет приоритизировать трафик при ограниченной пропускной способности и свести к минимуму задержки по сети. Для обеих уязвимостей критичность оценена в 7,8 балла CVSS. Соответствующие обновления уже доступны для пользователей. Уязвимости также можно смягчить, установив для параметра kernel.unprivileged_userns_clone sysctl значение 0 (например, $ sudo sysctl kernel.unprivileged_userns_clone=0), если пространства имен непривилегированных пользователей не требуются.
MSI подтвердила взлом, подробности и возможные последствия пока не раскрываются
На прошлой неделе были опубликованы новости об утечке данных MSI. Киберпреступники утверждают, что суммарно похитили около 1,5 Тб данных. Требуемый выкуп составляет 4 миллиона долларов США. Если тайваньская компания откажется платить, все файлы будут опубликованы хакерами в открытый доступ. MSI утверждает, что при обнаружении сетевых аномалий незамедлительно инициировала меры по реагированию на инцидент и своевременно уведомила о нём правоохранительные органы. Подробности пока не разглашаются, но в своем заявлении компания призывает пользователей скачивать обновления прошивки BIOS только с официального веб-сайта и воздерживаться от загрузки из других источников.
Обновление безопасности Mozilla Firefox
В браузерах для разных платформ устранено в общей сложности 23 уязвимости, 10 из которых — с высоким уровнем критичности. Они позволяют потенциальному злоумышленнику повредить память, заставить службу Mozilla Maintenance Service запустить обновление из недоверенного источника и выполнить произвольный код. Mozilla и CISA советуют пользователям и администраторам ознакомиться с рекомендациями и установить необходимые обновления.
