Уязвимости Опции

[hook]

Уязвимость в Instagram позволяла взломать любой аккаунт за 10 минут



Эксплуатация уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней. Исследователь в области безопасности Лаксман Мутия (Laxman Muthiyah) сообщил об опасной уязвимости в мобильном приложении Instagram. Эксплуатация уязвимости позволяла сбросить пароль для любой учетной записи Instagram и получить полный контроль над ней. «Сброс пароля» или «восстановление пароля» — функция, позволяющая пользователям восстановить доступ к своей учетной записи на web-сайте, если они забыли свой пароль. В Instagram пользователи должны подтвердить секретный шестизначный код (срок действия которого истекает через 10 минут), отправленный на соответствующий номер мобильного телефона или адрес электронной почты, чтобы подтвердить свою личность. С помощью атаки методом перебора можно разблокировать любую учетную запись в Instagram, использовав одну из миллиона возможных комбинаций, но в Instagram включено ограничение скорости для предотвращения таких атак. Мутия нашел способ обойти ограничение путем отправки брутфорс запросов с разных IP-адресов и, используя состояние гонки, отправить последующие запросы для обработки многочисленных попыток входа. В реальной ситуации злоумышленнику требуется 5000 IP-адресов для взлома учетной записи. На первый взгляд это сложная задача, но легко выполнимая, если использовать облачные сервисы, такие как Amazon или Google. Вся атака обойдется примерно в $150, пояснил эксперт. Мутия опубликовал демонстрационный эксплоит для данной уязвимости. За информацию о ней компания выплатила исследователю сумму в размере $30 000 в рамках программы вознаграждения за найденные уязвимости.

securitylab.ru

[hook]

Уязвимость в Twitter позволяет отображать ложные ссылки



Злоумышленники могут использовать уязвимость не только для распространения дезинформации, но и для вредоносной деятельности. Уязвимость в Twitter позволяет злоумышленникам создавать твиты с контентом известных сайтов, но на самом деле ведущие на иные ресурсы, в том числе фишинговые или вредоносные. Проблему обнаружил исследователь Теренс Иден (Terence Eden), обратив внимание на рекламный твит малоизвестного аккаунта. Твит содержал статью известного СМИ, но, при переходе по указанной ссылке, перенаправлял на совсем другой web-сайт. При публикации ссылки социальная сеть проверяет наличие специальных метатегов в HTML-коде указанной web-страницы. При наличии данных тегов Twitter на основе этой информации создает мультимедийный блок Twitter Cards, содержащий текст, изображения или видео. Злоумышленники могут манипулировать этим механизмом для создания Twitter Cards на основе метаданных другого сайта. По словам Идена, проблема возникает, когда страница, указанная в твите, ищет user agent Twitterbot. При обнаружении user agent, бот перенаправялется на другую страницу, в противном случае будет отображаться нормальный контент. При перенаправлении для создания Twitter Card, инструмент Twitter Card Generator будет использовать метаданные той страницы, на которую он был переадресован. Злоумышленники могут использовать данную уязвимость не только для распространения дезинформации, но и для более опасной деятельности, например, фишинга и вредоносных кампаний. Обнаружить подделанные Twitter Card сложно, поскольку твиты не отображают ссылки, а при наведении указателя мыши на URL-адрес в браузере отображается только его сокращенная версия ссылки. В настоящее время уязвимость все еще остается неисправленной.

securitylab.ru

[hook]

В Drupal исправлена критическая уязвимость, позволяющая перехватить управление сайтами



Проблема затрагивает только версию Drupal 8.7.4. Разработчики системы управления контентом Drupal выпустили обновление, устраняющее уязвимость в ключевом компоненте CMS, с помощью которой злоумышленники могли бы перехватить управление web-сайтами. Проблема затрагивает только версию Drupal 8.7.4. Выпуски Drupal 8.7.3 и младше, Drupal 8.6.x и более ранние, а также Drupal 7.x уязвимости не подвержены. Как пояснили разработчики, при активации экспериментального модуля в Drupal 8.7.4 возникает возможность обойти настройки доступа. Проблема, получившая идентификатор CVE-2019-6342, исправлена в выпуске Drupal 8.7.5. Как отмечается, исправление совместимо только с сайтами, где работает update.php (необходимая мера при обновлении до Drupal 8.7.5.). Администраторам, которые не могут немедленно обновиться до версии 8.7.5, рекомендуется деактивировать модуль Workspaces. Согласно статистике Drupal, в настоящее время 8.x используют примерно 300 тыс. web-сайтов. На сегодняшний день Drupal является одной из наиболее популярных систем управления контентом. На ее базе работают 1,8% всех использующих CMS сайтов в интернете. Лидируют в списке Wordpress (34,2%) и Joomla! (2,8%).

securitylab.ru

[hook]

Уязвимость в Chrome позволяет удаленное выполнения кода независимо от прав доступа



Уязвимость затрагивает любые дополнения для Chrome. Разработчик блокировщика рекламы µBlock для Firefox программист Реймонд Хилл (Raymond Hill) в своем аккаунте в Twitter описал метод, позволяющий удаленное выполнение кода в любом дополнении для Chrome. Выполнение удаленного JavaScript-кода возможно даже без предоставления дополнению расширенных прав. Уязвимость позволяет выполнить код не только входящий в локальную поставку, но и обойти настройку ограничения unsafe-eval и выполнить в контексте дополнения любой JavaScript-код, загруженный с внешнего сайта, пишет OpenNET. Компания Google закрыла публичный доступ к отчету о возникнувшей проблеме. Сохранившийся пример кода можно посмотреть в архиве . Напомним , корпорация Google объявила о троекратном увеличении размера максимальных сумм, выплачиваемых в рамках программы вознаграждения за найденные уязвимости в браузере Chrome и его компонентах. В частности, «максимальная базовая сумма вознаграждения» за уязвимость в Chrome увеличена с $5 тыс. до $15 тыс., максимально возможная сумма награды - $30 тыс.

securitylab.ru

[hook]

В VLC Media Player обнаружена опасная уязвимость



Эксплуатация уязвимости позволяет раскрыть пользовательские данные.

Специалисты команды из CERT-Bund обнаружили уязвимость в свободном кроссплатформенном медиапроигрывателе VLC Media Player. Уязвимость позволяет удаленное выполнение кода. Проблема была обнаружена в VLC Media Player 3.0.7.1, которая является последней стабильной версией приложения. Обнаруженная проблема представляет собой уязвимость переполнения буфера (CVE-2019-13615), позволяющую получить доступ к информации, изменить файлы и нарушить работу сервиса. Уязвимость затрагивает функцию mkv::demux_sys_t::FreeUnused() modules/demux/mkv/demux.cpp и проявляется при вызове mkv::Open в modules/demux/mkv/mkv.cpp. Согласно исследователям, уязвимости подвержены некоторые версии VLC Media Player для настольных компьютеров на базе Windows, Linux и UNIX. Разработчик VLC Media Player компания VideoLAN начала работу над исправлением уязвимости примерно четыре недели назад. Патч уже завершен на 60%. Пока нет никакой информации об использовании уязвимости злоумышленниками.

securitylab.ru

[hook]

Ошибка в Facebook Messenger Kids позволила детям общаться с незнакомцами



Компанию обвинили в нарушении Закона о защите конфиденциальности детей в Интернете. Главным правилом приложения Facebook Messenger Kids является то, что дети младше 13 лет не должны разговаривать с пользователями, которые не были одобрены их родителями. Ошибка в дизайне приложения позволила пользователям обойти защиту через систему группового чата, предоставляя детям возможность общаться с незнакомцами, не одобренными родителями, сообщает The Verge. Ошибка связана с реализацией уникальных разрешений в групповых чатах. В стандартном чате один на один дети могут начинать беседы только с теми пользователями, которые были одобрены их родителями. В групповых чатах следовать главному правилу приложения сложнее. Кто бы ни создал группу, он может пригласить любого пользователя, которому было разрешено с ним общаться, даже если этот пользователь не получил разрешение на общение от родителей других детей в чате. В результате тысячи детей оказались в групповых чатах с неавторизованными пользователями, что является нарушением основного принципа Messenger Kids Разработчики Facebook закрыли групповые чаты и оповестили родителей о проблеме, не делая громких публичных заявлений. В настоящее время неясно, как долго ошибка присутствовала в приложении, учитывая, что функция групповых чатов появилась еще в декабре 2017 года. Messenger Kids подпадает под действие Закона о защите конфиденциальности детей в Интернете (Children’s Online Privacy Protection Act), в связи с этим некоторые правозащитники уже обвинили Facebook в нарушении закона и сборе персональных данных через Messenger Kids.

securitylab.ru

[hook]

Уязвимость в ProFTPD ставит под угрозу кибератак более миллиона серверов



Уязвимость позволяет удаленно выполнить произвольный код. В программном обеспечении ProFTPD для Linux и UNIX-подобных операционных систем была обнаружена критическая уязвимость, позволяющая удаленно выполнить произвольный код и раскрыть информацию. ProFTPd — кроссплатформенный FTP-сервер с открытым исходным кодом, поддерживающий большинство UNIX-подобных систем и Windows. Уязвимость затрагивает все версии ProFTPd вплоть до 1.3.5b включительно. Уязвимость (CVE-2019-12815) была обнаружена в модуле mod_copy, поставляющемся в дефолтной сборке ProFTPd и включенном по умолчанию в большинстве дистрибутивов (например, Debian). Передача команд CPFR, CPTO на сервер ProFTPd позволяет пользователям без права на запись копировать любые файлы на FTP-сервер. Баг связан с уязвимостью 2015 года (CVE-2015-3306), которая позволяла злоумышленникам удаленно читать и записывать произвольные файлы, используя команды SITE CPFR и SITE CPTO. Разработчики выпустили исправленную версию ProFTPd 1.3.6 17 июля нынешнего года. В случае невозможности установить обновленную версию ПО пользователям рекомендуется отключить модуль mod_copy в настройках сервера. Согласно результатам поиска Shodan, на данный момент в сети насчитывается более 1 млн уязвимых серверов ProFTPd, и только четыре уже были обновлены с момента выпуска исправленной версии ProFTPd 1.3.6.

securitylab.ru

[hook]

В почтовом клиенте Exim устранена критическая уязвимость



Уязвимость позволяла удаленно выполнить код с правами суперпользователя при наличии в конфигурации определенных настроек. Для почтового клиента Exim выпущено обновление 4.92.1, исправляющее критическую уязвимость ( CVE-2019-13917 ), позволявшую злоумышленникам удаленно выполнить код с правами суперпользователя при наличии нестандартных конфигураций. Уязвимость присутствует, начиная с версии Exim 4.85, и проявляется при использовании в настройках оператора "${sort }", если только "sort" элементы могут быть переданы атакующим (например, через переменные $local_part и $domain). По умолчанию данный оператор не применяется в конфигурации, предлагаемой в базовой поставке Exim и в пакете для Debian и Ubuntu (вероятно и в других дистрибутивах). Проверить наличие уязвимости на системе пользователь может выполнив команду "exim -bP config | grep sort". Обновление, устраняющее уязвимость, уже выпущено для Debian и Ubuntu , и только подготавливается для SUSE, Fedora, FreeBSD и Arch Linux. Проблема не затрагивает RHEL (Red Hat Enterprise Linux) и CentOS, поскольку Exim не входит в их штатный репозиторий пакетов (при необходимости ставится из репозитория epel). Все версии Exim ниже 4.92.1 объявлены устаревшими и не рекомендуются к использованию. Ранее злоумышленники использовали другую уязвимость в Exim (CVE-2019-10149), позволяющую выполнять команды с правами суперпользователя, для распространения Linux-трояна Watchbog

securitylab.ru

[hook]

В криптомайнере Watchbog обнаружен сканер BlueKeep



Новая версия вредоносного ПО Watchbog способна искать уязвимые к BlueKeep системы Windows. Новая версия вредоносного ПО Watchbog способна искать уязвимые к BlueKeep системы Windows, говорится в отчете Intezer Labs. Раньше вредонос использовался для заражения серверов на базе Linux с помощью эксплоитов для уязвимостей в Jira, Exim, Nexus Repository Manager 3, ThinkPHP и Solr Linux. BlueKeep затрагивает службы удаленного рабочего стола (Remote Desktop Services), ранее известные как службы терминалов (Terminal Services). Данная уязвимость не требует авторизации или какого-либо взаимодействия с пользователем. Другими словами, она «червеподобна», то есть позволяет вредоносному ПО распространяться от компьютера к компьютеру подобно тому, как вредоносная программа WannaCry распространилась по всему миру в 2017 году. Включенный в WatchBog сканер BlueKeep представляет собой написанную на Python модифицированную версию сканера, разработанного для поиска уязвимости удаленного выполнения кода (CVE-2019-0708) в RDP. После запуска на зараженном устройстве сканер начинает проверку всех IP-адресов из списка, полученного с C&C-сервера. По завершении сканирования Watchbog отправляет список уязвимых хостов на C&C-сервер. Как полагают исследователи, злоумышленники собирают информацию об уязвимых системах для использования в дальнейших атаках или продажи сторонним лицам. Помимо эксплоитов для уязвимостей в Jira, Exim, Nexus Repository Manager 3, Solr Linux и Jenkins, специалисты обнаружили два модуля для брутфорса установок CouchDB и Redis и удаленного выполнения кода. Ранее на GitHub был опубликован подробный технический анализ BlueKeep, а также незавершенный PoC-код для атак на системы под управлением Windows XP.

securitylab.ru

[hook]

Уязвимость в Android позволяет получить доступ к устройству с помощью видео



Уязвимость позволяет удаленно выполнить код без дополнительных прав. В ОС Android обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к устройствам пользователей. Уязвимость (CVE-2019-2107) затрагивает версии Android от 7.0 до 9.0 (Nougat, Oreo и Pie) и позволяет удаленно выполнить код без дополнительных прав. Эксплоит для уязвимости был опубликован на GitHub исследователем Марцином Козловски (Marcin Kozlowski). Как пояснил Козловски, злоумышленник может скомпрометировать устройство с помощью вредоносного видеофайла, отправив его, например, по электронной почте (приложение Gmail способно загружать видео с помощью стандартного видеопроигрывателя Android). В случае открытия файла пользователем, злоумышленник может получить доступ к устройству жертвы. Успешная эксплуатация уязвимости возможна при одном условии – пользователь должен будет загрузить вредоносное видео только в неизменном виде. Атака, предположительно, также не будет эффективной при отправке вредоносного файла через сервисы, которые перекодируют видео, например, YouTube, WhatsApp и пр. В настоящее время неизвестно, сколько именно устройств подвержено риску. По данным Google, в мае 2019 года насчитывалось более 2,5 млрд активных телефонов на базе Android. Из них почти 58% (около 1,5 млрд) работают под управлением уязвимых версий ОС. Компания Google уже выпустила обновление, исправляющее уязвимость.Напомним , в начале июля 2019 года стало известно о том, что преступники могут манипулировать медиафайлами, передаваемыми пользователями через мессенджеры WhatsApp и Telegram. Проблема связана с тем, что мобильная операционная система Android разрешает приложениям получать доступ к файлам во внешнем хранилище.

securitylab.ru