31.01.2025
Масштабні хакерські атаки, нові схеми кібер-шахрайства та усунення критичних помилок — розповідаємо, чим запам’ятався січень 2025 року для кіберспільноти у нашому щомісячному дайджесті новин:
Нова вразливість DoubleClickjacking: Як зловмисники обходять захист вебсайтів:
Дослідники виявили нову вразливість під назвою Double Clickjacking, яка використовує послідовність подвійного кліку для обходу існуючих захистів від клікджекінгу на багатьох популярних вебсайтах.
На відміну від традиційного клікджекінгу, що базується на одному кліку, DoubleClickjacking експлуатує часовий проміжок між першим і другим кліком. Зловмисники створюють шкідливий сайт, який відкриває нове вікно, що імітує, наприклад, CAPTCHA. Під час подвійного кліку користувача основний сайт непомітно перенаправляє на шкідливу сторінку, що може призвести до несанкціонованого доступу до облікових записів.
Цей метод обходить стандартні засоби захисту, такі як заголовки X-Frame-Options та атрибути SameSite для cookies. Для протидії DoubleClickjacking рекомендується впроваджувати клієнтські рішення, що блокують критичні кнопки за замовчуванням, доки не буде виявлено жест миші або натискання клавіші. Деякі сервіси, як-от Dropbox, вже використовують такі заходи. Також пропонується розробити нові стандарти безпеки на рівні браузерів для захисту від подібних атак.
Детальніше про цю вразливість можна дізнатися за посиланням
Фальшиві ігрові сайти призводять до викрадення інформації:
Нова зловмисна кампанія активно поширюється в Інтернеті, і вона починається дуже просто: жертви отримують пряме повідомлення (DM) на сервері Discord із запитом про їхній інтерес до бета-тестування нової відеогри (жертви також можуть отримати текстове повідомлення або електронний лист).
Зазвичай повідомлення надходить від самого “розробника”, оскільки запит на тестування гри, яку він нібито особисто створив, є популярним методом заманювання жертв.
Що жертва насправді завантажить і встановить, так це Trojan, що викрадає інформацію.
Існують кілька варіантів цього шкідливого ПЗ. Деякі використовують інсталятори NSIS, але ми також бачили інсталятори MSI. Через ці канали поширюються різні викрадачі інформації, такі як Nova Stealer, Ageo Stealer або Hexon Stealer.
Більше на цю тему читайте за посиланням
Масштабний витік даних власників електромобілів VW Group:
Конфіденційна інформація про 800 000 власників електромобілів Volkswagen, Audi, Seat і Skoda опинилася у відкритому доступі через незахищене хмарне сховище. Дані включали GPS-координати, рівень заряду батареї та статус авто. Постраждали власники в Європі та інших країнах.
Проблема виникла через помилку в програмному забезпеченні компанії Cariad, що розробляє софт для VW Group. Інформатор виявив витік і передав дані хакерській групі CCC, яка допомогла усунути проблему. Проте точність даних дозволяла скласти профілі щоденних маршрутів власників, що викликало занепокоєння.
VW заявила, що паролі та платіжні дані не постраждали, проте інцидент підняв питання кібербезпеки у сучасних авто. Це вже не перший подібний випадок у галузі — минулого року Toyota зіткнулася з витоком інформації про 2,15 млн клієнтів. Автовиробники мають терміново переглянути захист даних, щоб уникнути подібних ситуацій у майбутньому.
Більше інформації про подію за посиланням
CERT-UA попереджає про кібер-шахрайства з використанням підроблених запитів AnyDesk для шахрайських перевірок:
Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) попереджає про спроби невідомих хакерів видавати себе за агенцію яка надсилає запити на підключення AnyDesk для нібито оцінки рівня безпеки.
CERT-UA зазначає, що реальні перевірки здійснюються лише за попередньої згоди через офіційні канали. Для успішної атаки зловмисникам необхідно, щоб на комп'ютері жертви був встановлений AnyDesk, і вони мали ідентифікатор жертви.
Державна служба спеціального зв'язку та захисту інформації України (Держспецзв'язок) повідомила про виявлення понад 1042 інцидентів у 2024 році, з яких понад 75% складали зловмисний код та спроби вторгнення.
Найактивнішими загрозами були класти UAC-0010, UAC-0050 та UAC-0006, які спеціалізуються на кібер-шпигунстві, фінансових крадіжках та інформаційно-психологічних операціях. У ході аналізу виявлено 24 нових домени .shop, ймовірно пов'язаних з групою GhostWriter. Також зафіксовано атаки на Росію з метою крадіжки чутливих даних та порушення бізнес-операцій за допомогою програм-вимагачів.
Компанія F.A.C.C.T. приписує групі Sticky Werewolf фішингову кампанію проти російських підприємств, однак успішність цих атак залишається невідомою.
Детальніше про можливу небезпеку у джерелах:https://thehackernews.com/2025/01/cert-ua-warns-of-cyber-scams-using-fake.html та https://cert.gov.ua/article/6282069
На агрохолдинг МХП сьогодні вночі хакери здійснили атаку. Які наслідки:
Сьогодні вночі міжнародна компанія МХП, яка працює в галузі харчових та агротехнологій, стала жертвою масштабної хакерської атаки. Через це частина ІТ-інфраструктури компанії тимчасово не працює, а процес відвантаження продукції здійснюється в обмеженому режимі.
Попри складнощі, компанія продовжує працювати над тим, щоб її продукція залишалася доступною для споживачів. Мережі магазинів «М‘ясомаркет» та «Їжа Свіжа», а також заклади «Doner Маркет» продовжують обслуговувати клієнтів, забезпечуючи їх необхідними товарами.
Команда МХП активно працює над відновленням ІТ-систем і впевнена, що впорається з цим викликом, адже роль компанії в забезпеченні харчової безпеки країни є надзвичайно важливою.
МХП обіцяє робити все можливе для якнайшвидшого відновлення роботи та забезпечення нормальної діяльності.
Детальніше про подію повідомляє джерело
Cisco виправляє критичну помилку підвищення привілеїв у управлінні зустрічами (CVSS 9.9):
Cisco випустила оновлення для усунення критичної уразливості (CVE-2025-20156) у своєму продукті Cisco Meeting Management. Ця вразливість дозволяє зловмисникам з низькими привілеями отримати права адміністратора на вразливих пристроях.
Проблема виникає через відсутність належної авторизації для користувачів REST API, що дозволяє зловмисникам здійснити підвищення привілеїв, надсилаючи спеціально сформовані API-запити на певний кінцевий пункт.
У разі успішної експлуатації вразливості зловмисник може отримати адміністративний доступ до вузлів, що керуються Cisco Meeting Management.
Вразливість була виявлена у версіях Cisco Meeting Management 3.9 та раніших, при цьому версія 3.10 не піддається загрозі.
Виправлення вже надано у вигляді оновлень для версії 3.9.1. Компанія Cisco закликає користувачів швидко встановити патчі для запобігання можливим атакам.
Також Cisco випустила оновлення для інших вразливостей, зокрема, для проблеми відмови в обслуговуванні (DoS) у BroadWorks (CVE-2025-20165) та іншої уразливості у ClamAV (CVE-2025-20128).
Більше інформації на цю тему за посиланням
Apple випустила патчі для активно експлуатованої уразливості нульового дня, яка впливає на iPhone, Mac та інші:
Apple випустила оновлення програмного забезпечення для усунення кількох вразливостей у своїх пристроях, серед яких була виявлена активно експлуатована вразливість нульового дня, позначена як CVE-2025-24085. Це вразливість типу use-after-free в компоненті Core Media, яка могла дозволити зловмисному додатку, вже встановленому на пристрої, підвищити привілеї.
Apple підтвердила, що ця уразливість могла бути використана для атак на версії iOS до 17.2. Оновлення включають покращене керування пам'яттю для таких пристроїв: iPhone XS і новіші, iPad Pro 13 дюймів і новіші, macOS Sequoia 15.3, Apple TV HD та Apple TV 4K, Apple Vision Pro, а також Apple Watch Series 6 і новіші. Крім того, оновлення виправляє п'ять вразливостей в AirPlay, а також три уразливості в компоненті CoreAudio, що можуть призвести до неочікуваного завершення роботи додатків або виконання довільного коду.
Користувачам пристроїв Apple рекомендовано терміново встановити ці патчі для захисту від потенційних атак. Більше про те, як захистити свої пристрої, читайте за посиланням
Критична вразливість CVE-2025-21298 у Microsoft Outlook:
Фахівці з кібербезпеки попереджають про критичну уразливість CVE-2025-21298 у Microsoft Outlook. Вона дозволяє зловмисникам виконувати віддалений код через експлуатацію функції OLE (вбудовування й зв’язування об'єктів). Проблема полягає у неправильній обробці пам’яті, коли вказівник використовується після його звільнення (use-after-free).
Вектор атаки:
1. Зловмисник створює спеціальний RTF-документ зі шкідливими OLE-об’єктами.2. Шкідливий документ надсилається у вигляді електронного листа.3. Під час відкриття або попереднього перегляду листа уразливість активується, а зловмисник отримує змогу виконувати код на пристрої жертви.4. Код виконується з правами додатка Outlook, що може призвести до компрометації системи. Як захиститися:
1. Оновіть систему: • Встановіть останні оновлення безпеки від Microsoft, які усувають цю уразливість. • Увімкніть автоматичне оновлення для своєчасного отримання патчів.
2. Налаштуйте Outlook: • Увімкніть перегляд електронних листів у текстовому форматі (Файл > Параметри > Центр безпеки > Параметри Центру безпеки > Безпека електронної пошти > Читати всі стандартні листи в текстовому форматі).
3. Дотримуйтесь політики безпечної роботи з електронною поштою: • Не відкривайте вкладення від невідомих або підозрілих відправників, особливо у форматі RTF. • Уникайте взаємодії з файлами та посиланнями, що надходять несподівано, навіть якщо відправник здається знайомим. Дії негайно:
Користувачі та організації повинні терміново вжити заходів, щоб уникнути можливих атак. Зволікання з оновленнями та захисними заходами може призвести до серйозних наслідків.
Детальніше про цю вразливість можна дізнатися за посиланням
Уразливість GitHub Desktop створює ризик витоку облікових даних через шкідливі віддалені URL-адреси
Розробники GitHub випустили оновлення, яке усуває вразливості безпеки в GitHub Desktop та інших проектах, пов’язаних з Git. Вони можуть призвести до витоку облікових даних користувачів через маніпуляції з віддаленими URL-адресами.
Вони рекомендують користувачам оновити програми до останньої версії. Ці вразливості, об'єднані під назвою Clone2Leak:
CVE-2025-23040 (оцінка CVSS: 6,6) - Зловмисно створені віддалені URL-адреси можуть призвести до витоку облікових даних у GitHub Desktop;CVE-2024-50338 (оцінка CVSS: 7,4) – символ carriage return (\r) у віддаленій URL-адресі дозволяє зловмисному сховищу скомпрометувати облікові дані в Git Credential Manager;CVE-2024-53263 (оцінка CVSS: 8,5) — Git LFS дозволяє отримувати облікові дані через створені URL-адреси HTTP;CVE-2024-53858 (оцінка CVSS: 6,5) – рекурсивне клонування сховища в GitHub CLI може призвести до витоку маркерів автентифікації на хости субмодулів, відмінних від GitHub.
У новій версії Git v2.48.1 було усунуто одну з вразливостей (CVE-2024-52006), пов’язану з некоректним трактуванням символів повернення каретки, що могло призводити до витоку облікових даних через деякі версії Git Credential Helper.
Джерело
VMware попереджає про вразливість Blind SQL Injection з високим ризиком у балансувальнику навантаження Avi
VMware опублікував термінове попередження про вразливість Blind SQL Injection у своєму Avi Load Balancer, попередивши, що зловмисники можуть скористатися цією проблемою, щоб отримати ширший доступ до бази даних.
Уразливість, яка відстежується як CVE-2025-22217, має оцінку серйозності CVSS 8,6/10. Компанія закликала адміністраторів підприємства терміново застосувати доступні виправлення, оскільки немає обхідних шляхів до виправлення.
У повідомлені від VMware попереджено, що «зловмисний користувач із доступом до мережі може використовувати спеціально створені SQL-запити для отримання доступу до бази даних». VMware радить клієнтам, які використовують Avi Load Balancer версій 30.1.1, 30.1.2, 30.2.1 і 30.2.2, швидко розгортати доступні виправлення. Адміністраторам рекомендується оновити принаймні до версії 30.1.2 або пізнішої перед застосуванням виправлення у випадках, коли наявні старіші випуски. Наразі немає відомих обхідних шляхів, що робить патчі єдиним ефективним засобом. Про вразливість було надіслано приватне повідомлення VMware.
VMware Avi Load широко застосовується, щоб допомогти організаціям розподіляти та керувати вхідним трафіком між декількома серверами, забезпечуючи надійну роботу хмарних і локальних програм.
Окрім балансування навантаження, він забезпечує безпеку веб-додатків і доступ до контейнерів для хмарних додатків і додатків центру обробки даних. Продукт розроблений для роботи з традиційними додатками на основі віртуальних машин і контейнерними мікросервісами.
Дізнайтеся більше за посиланням
Виправлена вразливість, зв'язана з введенням команд у Kubernetes
В Kubernetes виявлено та виправлено командну ін'єкційну вразливість, яку зловмисник може віддалено експлуатувати для виконання коду з привілеями SYSTEM на всіх Windows вузлах у кластері, що дозволяє повністю їх захопити.
Цю вразливість, відому як CVE-2024-9042, виявив дослідник Akamai Томер Пелед під час дослідження іншого пов'язаного з Kubernetes недоліку. Вразливість отримала середній рейтинг небезпеки 5.9 з 10 і впливає на версії Kubernetes до 1.32.1 з увімкненими бета-функціями.
Для експлуатації CVE-2024-9042 Kubernetes кластер має працювати на Windows вузлах і бути налаштованим для запуску Log Query, нової бета-функції для перевірки стану системи. Атакуючий може через запит впровадити команди з високими привілеями через параметр pattern.
Akamai рекомендує якнайшвидше встановити патч для виправлення цієї вразливості, навіть якщо у вашому кластері немає Windows вузлів, оскільки загроза залишається через наявність у вихідному коді.
Джерело
Не виправлена уразливість нульового дня на пристроях Zixel
У пристроях Zyxel CPE Series виявлена уразливість командного типу CVE-2024-40891, яку активно використовують зловмисники.
Вразливість була виявлена компанією VulnCheck ще в липні 2024 року, але Zyxel досі не виправила її. Компанія не оприлюднила інформацію про проблему.
Якщо уразливість буде успішно використано, зловмисники зможуть виконувати довільні команди на заражених пристроях, що може призвести до компрометації систем, проникнення в мережу і витоку даних.
Дослідники з GreyNoise повідомили про численні атаки на ці пристрої та оприлюднили інформацію про вразливість цього тижня. Вони також зазначили, що ця уразливість схожа на іншу CVE-2024-40890, але одна використовує Telnet, а інша — HTTP. Обидві дозволяють проводити атаки без аутентифікації через облікові записи "supervisor" або "zyuser". Без виправлення проблема стає серйозною: понад 1,500 вразливих пристроїв доступні в Інтернеті, і деякі ботнети, зокрема варіанти Mirai, вже використовують цю уразливість.
GreyNoise рекомендує користувачам обмежити та фільтрувати трафік на незвичайні запити до інтерфейсів керування Zyxel CPE, стежити за оновленнями від Zyxel та вимикати непотрібні функції віддаленого управління.
Більше інформації про подію