31.05.2024

Попередження про помилку конфігурації VPN Check Point
Станом на 24 травня 2024 року аналітики Check Point виявили аномальну кількість спроб входу за допомогою старих локальних облікових записів на шлюзах Check Point, модуль VPN, із використанням нерекомендованого методу автентифікації - лише за паролем. Автентифікація лише за паролем вважається ненадійним методом для забезпечення достатнього рівня безпеки в сучасному ІТ середовищі.

Помилка стосується механізму автентифікації VPN, що дозволяє зловмисникам обійти захист і отримати доступ до внутрішньої мережі організації. Перш за все, звернути увагу на цю проблему повинні компанії, які використовують VPN рішення Check Point з локальними користувачами без MFA.

Рекомендації:● негайно ознайомтеся з деталями помилки за посиланням: https://support.checkpoint.com/results/sk/sk182336● перевірте налаштування безпеки вашої мережі та впровадьте додаткові заходи захисту, якщо це необхідно.

Знайдено новий метод здійснення пульсивних DoS-атак
Дослідники з Університету Цінхуа в Пекіні (Китай) виявили новий метод запуску масштабних DDoS-атак з використанням DNS-трафіку.

Новий вектор DoS-атаки, який отримав назву DNSBomb, здатний зловживати кількома широко розгорнутими механізмами для підвищення надійності та доступності системи доменних імен (DNS), щоб накопичувати DNS-запити, надіслані з низькою швидкістю, і зосереджувати їх у коротких, високоінтенсивних пакетах об’ємного трафіку.

Це перевантажує та порушує потоки трафіку TCP у цільових системах і службах. Команда дослідників стверджує, що протестувала свою техніку на 10 основних програмах DNS і 46 загальнодоступних службах DNS і змогла запустити DNSBomb зі швидкістю до 8,7 Гбіт/с, при цьому DNS-трафік був збільшений до 20 000 від початкового розміру, що є значним коефіцієнтом підсилення.

Джерело: https://www.radware.com/security/threat-advisories-and-attack-reports/dnsbomb-pulsing-dos-attack/ 

Вразливість у мові програмуванні R
Дослідники HiddenLayer виявили вразливість CVE-2024-27322 (CVSS: 8.8) в мові програмування R, яка дозволяє довільне виконання коду шляхом десеріалізації ненадійних даних. Ця вразливість може бути використана через завантаження файлів RDS (R Data Serialization) або пакетів R, які часто використовуються розробниками та дослідниками даних.

Зловмисник може скористатися цим, створивши файл у форматі RDS, який містить інструкцію, що встановлює значення в unbound_value, та вираз, що містить довільний код. Через ліниве обчислення вираз буде обчислено і виконано лише тоді, коли буде отримано доступ до символу, пов'язаного з RDS-файлом. Якщо користувач присвоює символ (змінну) до RDS-файлу для роботи з ним, довільний код буде виконано, коли користувач звернеться до цього символу. Якщо об'єкт скомпільовано у пакеті R, цей пакет можна додати до репозиторію R і довільний код буде виконано, коли користувач завантажить цей пакет.

Проєкт R випустив оновлення, яке усуває дану вразливість.

Джерело: https://hiddenlayer.com/research/r-bitrary-code-execution/

Виявлено вразливість у вебзастосунку Telegram
Нещодавнє відкриття дослідника безпеки Педро Батісти виявило серйозну Cross-Site Scripting (XSS) вразливість у вебзастосунку Telegram, яка потенційно дозволяє зловмисникам перехоплювати сеанси користувачів одним кліком.

Вразливість, виявлена у версіях Telegram WebK 2.0.0 (486) і нижче, була оперативно усунена командою Telegram за допомогою патчу, випущеного 11 березня 2024 року.

Вразливість використовувала подію web_app_open_link в мінізастосунках Telegram, які широко використовуються для криптовалютних платежів на блокчейні TON. Створивши шкідливий мінізастосунок, зловмисник міг запустити несанкціоноване виконання коду в контексті батьківського вікна, скомпрометувавши дані користувача.

Джерело: https://seclists.org/oss-sec/2024/q2/183

Вразливість у Foxit PDF Reader використовується для поширення шкідливого програмного забезпечення
Численні кіберзлочинці використовують уразливість у Foxit PDF Reader для поширення різноманітних шкідливих програм, включаючи такі як Agent Tesla, AsyncRAT, DCRat, і інші. За даними технічного звіту від Check Point, цей експлойт може запускати попередження безпеки, що змушують нічого не підозрюючих користувачів виконувати шкідливі команди.

За допомогою цієї вразливості, кіберзлочинці використовують PDF-файли для впровадження різних видів шкідливого програмного забезпечення, включаючи Remcos RAT.

Foxit обіцяє виправити цю вразливість у версії 2024.3.

Джерело: https://thehackernews.com/2024/05/foxit-pdf-reader-flaw-exploited-by.html?m=1