Сегодня в ТОП-5 — критическая уязвимость в F5 BIG-IP, анализ уязвимостей в Citrix NetScaler ADC и NetScaler Gateway, новые образцы ВПО, использование XSS-уязвимости для атак на Roundcube Webmail и технический анализ многофункционального ВПО StripedFly. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Максим Захаров.
Обнаружена критическая уязвимость в F5 BIG-IP
Представители компании F5 предупредили клиентов о проблеме безопасности в продукте BIG-IP. RCE-уязвимость, получившая идентификатор CVE-2023-46747 (CVSS 9,8), связана с утилитой для конфигурирования (BIG-IP Configuration utility). Данная уязвимость может позволить потенциальному злоумышленнику, имеющему сетевой доступ к системе BIG-IP через порт управления или собственные IP-адреса, выполнить произвольные системные команды. В качестве мер по устранению угрозы F5 советует временно блокировать доступ к утилите для настройки, использовать специальный скрипт, закрывающий уязвимость для версий BIG-IP 14.1.0 и обновить версию ПО на более новую.
Анализ уязвимостей в Citrix NetScaler ADC и NetScaler Gateway
Специалисты из Assetnote опубликовали эксплойт (PoC) для уязвимости Citrix Bleed, отслеживаемой как CVE-2023-4966 (CVSS 9,4). PoC основывается на реализации внутренних функций для OpenID-протокола, в которых существовала ошибка, связанная с переполнением буфера. Недостаток Citrix Bleed позволяет злоумышленникам получать файлы cookie сеанса аутентификации с уязвимых устройств и потенциально может использоваться для первоначального доступа к сети. Отмечается, что в последнее время фиксируется рост числа попыток эксплуатации данной уязвимости. Для защиты Citrix рекомендует установить соответствующие обновления безопасности, связанные с NetScaler ADC и NetScaler Gateway.
Новые образцы ВПО: стилеры GoPIX, Lumar и шифровальщик Rhysida
Специалисты «Лаборатории Касперского» рассказали о новых образцах ВПО, замеченных в недавней активности. Lumar — стилер информации, среди основных возможностей которого есть сбор данных об устройстве, раскладке клавиатуры, файлах cookie, кэше паролей, а также поиск информации, связанной с криптокошельками. Все полученные после сбора данные архивируются и отправляются на командный сервер злоумышленников. GoPIX — еще один стилер, который распространяется через поддельные страницы загрузки WhatsApp. Данное ВПО нацелено на кражу данных транзакций криптовалюты PIX, также оно может подменять адреса Bitcoin и Ethereum кошельков. Rhysida — шифровальщик, который распространяется по модели RaaS («шифровальщик как услуга»), запускает скрытый сервис TOR и использует библиотеку LibTomCryp для шифрования. Отмечается, что Rhysida до сих пор поддерживает старые версии Windows, что увеличивает список потенциальных жертв. Также особенность компиляции шифровальщика позволяет ему работать без загрузки дополнительных компонентов в целевой системе. В качестве мер по предотвращению атаки рекомендуется применить защиту от фишинга и использовать актуальные средства АВПО.
Использование XSS-уязвимости для атак на Roundcube Webmail
Исследователи ESET обнаружили, что группа Winter Vivern использовала XSS-уязвимость в Roundcube Webmail. XSS, получившая идентификатор CVE-2023-5631, затрагивает версии Roundcube 1.6.x до 1.6.4, 1.5.x — до 1.5.5 и 1.4.x — до 1.4.15. Эксплуатация CVE-2023-5631 происходит посредством специально подготовленного почтового сообщения, содержащего нагрузку в кодировке Base64. Дальнейшая эксплуатация позволяет выполнить произвольный JavaScript-код в контексте окна браузера пользователя Roundcube. После успешной атаки злоумышленник может получить информацию из писем в результате пересылки сообщений электронной почты на C&C-сервер. В качестве защиты рекомендуется установить последнюю версию Roundcube — 1.6.4.
Технический анализ многофункционального ВПО StripedFly
Эксперты «Лаборатории Касперского» провели анализ ВПО, получившего название StripedFly, от действий которого с 2017 года пострадало более миллиона пользователей по всему миру. Данное ВПО, первоначально являющееся майнером криптовалюты, при проведении анализа оказалось многомодульной вредоносной средой со множеством плагинов. В функционал StripedFly входит сбор учетных данных, а также личной информации, такой как имя, адрес, номер телефона, компания и должность. Кроме того, вредоносное ПО может незаметно делать снимки экрана на устройстве жертвы, получать значительный контроль над машиной и даже записывать данные микрофона. Для защиты от подобного класса ВПО рекомендуется использовать продвинутые средства АВПО, а также EDR-решения для возможности проведения своевременного анализа.
