Неделя Безопасности 49: Критическая Уязвимость В Zoho Manageengine

3 декабря Zoho, разработчик программного обеспечения и сервисов для совместной работы, раскрытый информация о критической уязвимости в программе Zoho ManageEngine Desktop Central. Это приложение для централизованного управления парком устройств в организации.

Уязвимость CVE-2021-44515 позволяет обойти систему авторизации и выполнить произвольный код на сервере.

Уязвимость классифицируется как нулевой день: на момент обнаружения она уже была использована злоумышленниками.

Это не первая успешная попытка атаковать корпоративные решения Zoho. Уже в начале ноября сообщения пришли о случаях взлома «соседнего» программного модуля, известного как ManageEngine ADSelfService Plus. Это решение реализует систему единого входа и предоставляет сотрудникам интерфейс для смены пароля.

Атаки на ADSelfService регистрируются с середины сентября.

Затем доступные извне установки Zoho были подвергнуты массовому сканированию, а позже эксплойт к багу был использован против уязвимых систем.

CVE-2021-40539 .

Уязвимость позволяла обойти систему авторизации на сервере, выполнить произвольный код и таким образом получить доступ к локальной сети предприятия.

Пострадали как минимум девять организаций в США.

Взломанные системы были установлены с помощью бэкдора NGLite и инструмента кражи учетных данных KdcSponge. В начале ноября был отмеченный еще одна атака с использованием уязвимости CVE-2021-44077 в компоненте Zoho ManageEngine ServiceDesk Plus. Атаки на Zoho совпали с попытками взлома другого популярного корпоративного инструмента — Atlassian Confluence. Правда, эксплуатация уязвимости в Jira началась через неделю после выхода патча.

Что еще произошло:

ПипКомпьютер написал о фишинговой атаке на «верифицированных» пользователей Twitter. Произошло в Канаде ряд угон дорогих автомобилей с использованием Apple AirTags. Как минимум в пяти случаях преступники приклеили метку к машине на общественной парковке.

Это позволило отслеживать его перемещения.

Взлом автомобиля обычно происходил недалеко от дома владельца.

В статье упоминается интересная рекомендация канадской полиции: «маячок» можно обнаружить, если у вас есть iPhone — он сообщит о чужой метке поблизости.

Если ваш смартфон не от Apple, у вас нет возможности обнаружить слежку.

В США судят бывший сотрудник Ubiquiti. Ранее он скопировал конфиденциальные данные из корпоративного аккаунта на GitHub и сервера AWS, после чего попытался получить выкуп в два миллиона долларов.

Переговоры с работодателем злоумышленник вел со своего домашнего компьютера через VPN-сервис, однако в какой-то момент удалось установить его настоящий IP. Судя по судебным документам, вымогателя подвел внезапный сбой VPN-соединения.

Тэвис Орманди из Google Project Zero опубликовано технический обзор уязвимости Служба сетевой безопасности — криптографическая библиотека, которую Mozilla разрабатывает для браузера Firefox и других решений.

Уязвимость приводит к повреждению памяти, если в NSS передается подготовленный сертификат с подписью слишком большого размера.

В статье есть два интересных вывода.

Во-первых: ошибки случаются даже в критически важном программном обеспечении, которое регулярно проверяется.

Второй вывод: уязвимость была обнаружена вследствие снятия ограничений на размер данных, генерируемых фаззером.

Типичное ограничение размера полезной нагрузки в 10 килобайт не выявило такой проблемы.

Издание Vice сказал об использовании «виртуальных телефонных номеров» для обхода системы авторизации через СМС.

Защитники конфиденциальности часто рекомендуют сервисы, предоставляющие виртуальный номер для приема SMS, чтобы избежать привязки к постоянному номеру телефона.

Но в этом случае злоумышленники используют их для создания множества фейковых аккаунтов, например на игровых серверах.

В ComputerWeekly вышел Интересный обзор последствий реальной атаки группы кибервымогателей на французскую компанию.

Из рекомендаций по результатам этого опыта: выходить на связь с преступниками имеет смысл как можно позже, это дает время оценить масштаб взлома.

Теги: #информационная безопасность #zoho

• Контрольный Список Внедрения Microsoft Great Plains Dynamics Gp

  19 Oct, 24

• Juniper Srx И Cisco Asa: Еще Одна Серия

  19 Oct, 24

• Microsoft Исправила Серьезную Уязвимость В Windows

  19 Oct, 24

• Установка Ssd На Apple Imac 27`` (Середина 2011 Г.)

  19 Oct, 24

• Google Tasks Вырос И Теперь Доступен Каждому

  19 Oct, 24

• Что Спрятано Внутри Платформы Автомобильного Аукциона

  19 Oct, 24

• Список Разделов В Android

  19 Oct, 24

• Стоит Ли Тратить Время На Чтение Информации, Которую Вы Получаете Из Блогов?

  19 Oct, 24

• На Платежном Шлюзе Ржд Скомпрометированы Данные Около 70 Тысяч Карт

  19 Oct, 24

• Что Такое Многоклеточный Процессор?

  19 Oct, 24