ФСТЭК предупреждает о критической уязвимости безопасности в веб-сервере Apache

ФСТЭК России опубликовала в начале сентября предупреждение о серьезной уязвимости сервера Apache, которая позволяет удаленному нарушителю выполнить произвольный код. Проблема отслеживается как CVE-2024-38474 (BDU:2024-06593) и получила оценку CVSS 9.8,

Проблема присутствует в версиях 2.4.60 и 2.4.61, но была исправлена проектом Apache еще 17 июля в версии 2.4.62.

«Уязвимость функции mod_rewrite веб-сервера Apache HTTP Server связана с недостатком механизма кодирования или экранирования выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код», - объясняет регулятор.

Недостаток затрагивает только Apache HTTP Server под Windows. Ошибка позволяет злоумышленнику организовать утечку NTLM-хэшей на контролируемый им сервер с помощью подделки запросов со стороны сервера. Таким образом, уязвимость дает возможность потенциальным злоумышленникам захватить контроль над сервером.

В России используется 66499 серверов на Apache, пишет Tadviser со ссылкой на данные Shodan. Впрочем, доступного эксплойта CVE-2024-38474 нет, что дает пользователем время для обновления на безопасную версию. К тому же изо всех российских пользователей большая часть работает под управлением Linux, и для них уязвимость не актуальна.

«Основными продуктами здесь являются Nginx, IIS и, собственно, Apache, – сообщил TAdviser Антон Квардаков, заместитель начальника отдела технической защиты конфиденциальной информации Cloud Networks. – Так как IIS - продукт Microsoft, то от него сейчас тоже отказываются на российском рынке, заменяя его на лидирующий Nginx и Apache. С учётом этого все больше систем будет подвержено данной уязвимости».

ФСТЭК рекомендует устанавливать обновления только из доверенных источников. В качестве компенсирующих мер регулятор рекомендует использовать межсетевые экраны уровня веб-приложений для ограничения возможности удаленного доступа, а также виртуальные частные сети для организации удаленного доступа.

Источник:
https://httpd.apache.org/security/vulnerabilities_24.html

#уязвимость

Telegram

БДУ ФСТЭК России

Уязвимость функции mod\_rewrite веб-сервера Apache HTTP Server связана с недостатком механизма кодирования или экранирования выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код BDU:2024-06593…

Виталик Бутерин нашел способ сделать EVM эффективнее за счет архитектуры Glue and Coprocessor

Основатель проекта Ethereum Виталик Бутерин в своем блоге рассуждает об эволюции архитектур Glue and Coprocessor, подчеркивая их значение в современных вычислениях, Ethereum, ИИ и криптографии. По словам Бутерина, важной тенденцией в вычислительной эффективности является разделение задач на высокоуровневую бизнес-логику и интенсивные структурированные операции, каждая из которых оптимизирована по-своему.

Бутерин объясняет, что вычислительные задачи часто разделяются на две отдельные части: бизнес-логика, которая сложна, но не требует больших вычислительных затрат, и дорогостоящая работа, которая является высокоструктурированной и требует больших вычислительных затрат. Такое разделение допускает различные подходы к оптимизации: первый требует обобщения, а второй — высокой эффективности.

Одним из ярких примеров является виртуальная машина Ethereum (EVM). Анализируя недавнюю транзакцию Ethereum, Бутерин отмечает, что значительная часть потребления газа (gas, единица исчисления в Ethereum для совершения транзакций в блокчейне) приходится на структурированные операции, такие как чтение и запись хранилища, журналы и криптографические функции. Бизнес-логика, часто написанная на языках более высокого уровня, таких как Solidity, запускает эти операции, но составляет незначительную часть общей вычислительной стоимости.

Аналогично, в приложениях ИИ, использующих фреймворки, такие как PyTorch, бизнес-логика написана на Python, гибком, но медленном языке. Интенсивные операции, такие как умножение матриц, обрабатываются оптимизированным кодом, работающим на графических процессорах или даже ASIC. Эта закономерность очевидна в различных областях, включая программируемую криптографию, где тяжелые вычисления оптимизируются отдельно от общей бизнес-логики.

Такую архитектуру Бутерин описывает как модель Glue and Coprocessor, где центральный компонент с высокой общностью и низкой эффективностью координирует данные между специализированными сопроцессорами с высокой эффективностью, но низкой общностью. Эта модель становится все более распространенной в различных вычислительных областях, включая Ethereum, ИИ, веб-приложения и программируемую криптографию.

Например, в Ethereum EVM обрабатывает высокоуровневую логику, в то время как выделенные коды операций и предварительные компиляции оптимизируют определенные операции. В ИИ код Python структурирует операции, в то время как графические процессоры выполняют интенсивные задачи. Эта тенденция обусловлена несколькими факторами, включая ограничения тактовой частоты ЦП, незначительную вычислительную стоимость бизнес-логики и более четкое определение важных дорогостоящих операций.

Модель Glue and Coprocessor подразумевает, что виртуальные машины блокчейна, такие как EVM, должны фокусироваться на привычности, а не на эффективности. Улучшение EVM может включать добавление лучших предварительных компиляций или специализированных кодов операций и оптимизацию схем хранения. В безопасных вычислениях и открытом оборудовании эта архитектура может позволить использовать более медленные, но более безопасные чипы с открытым исходным кодом, дополненные фирменными модулями ASIC для интенсивных вычислений.

Эта тенденция, по мнению Бутериина, полезна для криптографии, где структурированные вычисления, такие как SNARK и MPC, могут быть высоко оптимизированы.

Подход может быть особенно актуален для процессоров с открытой архитектурой RISC-V, на которую делают ставки многие страны, включая Россию, где уже есть консорциум разработчиков ядра RISC-V.

«Что, если мы примем, что открытые и защищенные чипы будут медленнее, чем проприетарные чипы, при необходимости даже отказавшись от общих оптимизаций, таких как спекулятивное выполнение и предсказание ветвлений, но попытаемся компенсировать это, добавив (при необходимости фирменные) модули ASIC для определенных типов вычислений, которые являются наиболее интенсивными?» - рассуждает Бутерин.

Источник: https://vitalik.eth.limo/general/2024/09/02/gluecp.html

Очередной специализированный вебинар из серии подготовки к ССК. Презентации и запись: https://pruffme.com/landing/u4187864/tmp1724950905

Многое ли изменилось в бэкдорах OpenSSH за 22 года?

Исследователь безопасности Бен Хоукс провел интересный анализ бэкдоров, которые пытались внедрить злоумышленники в OpenSSH в 2002 и 2024 годах.

Речь о недавней атаке на репозиторий liblzma/xz-utils, конечной целью которой было внедрение бэкдора OpenSSH, а также о первом подобном случае, который произошел 22 года назад.

Атака 2002 года была довольно простой, пишет Хоукс. Исходный код OpenSSH был размещен на ftp.openbsd.org, и каким-то образом он был заменен версией с бэкдором. К счастью, бэкдор просуществовал недолго, потому что разработчик заметил неожиданную разницу в контрольных суммах. Бэкдор был простейшим. Первым шагом он подключал систему сборки так, чтобы контролируемый злоумышленником исходный файл компилировался и выполнялся, когда жертва запускала команду «configure». Вторым шагом заставить полезную нагрузку подключиться обратно к жестко закодированному IP-адресу в Австралии и ждать выполнения команд на скомпрометированной машине.

Этот исторический пример имеет явные сходства с современной попыткой взлома OpenSSH xz-utils:

- Оба события нацелены на OpenSSH, и это неслучайно: удаленный эксплойт предварительной аутентификации, работающий для OpenSSH, - это «скелетный ключ для всего интернета». Вставка эксплуатируемой ошибки («bugdoor») могла бы быть более незаметной, однако эксплойты на стороне сервера сложны, и бэкдор здесь оказывается более надежным вариантом.

- Оба бэкдора были нацелены на систему сборки, которая представляет собой «сложную мешанину директив, правил, переменных и вызовов команд». Хоукс полагает, что, пока они работают правильно, что очень немногие люди уделяют пристальное внимание содержимому своих скриптов сборки, включая самих разработчиков. Значит это идеальное место для сокрытия бэкдора.

- Обе атаки были довольно быстро обнаружены, поскольку сообщество OpenSSH весьма обширно, и кто-то всегда заметит что-то подозрительное.

- Обе атаки были совершены неизвестными злоумышленниками. Причина, по мнению Хоукса, в том, что размер выборки крошечный, нацеливание злоумышленника непрозрачно, поэтому отследить кого-то конкретного сложно.

Впрочем, исследователь отмечает и различия между бэкдорами:

- Свежий бэкдор xz-utils оказался намного ближе к цели чем бэкдор 2002 года. Общее мнение таково, что злоумышленники в 2002 году были мотивированы развлечением и созданием хаоса, и их не сильно беспокоило, если атака не удавалась. Напротив, хакеры в 2024 году, похоже, получили очень конкретную задачу на разработку средства разведки.

- Одним из ключевых технических отличий является то, что бэкдор xz-utils был нацелен на артефакт сборки, а не на систему сборки. Самым страшным последствием атаки 2002 года была компрометация любой системы, которая компилировала OpenSSH. Однако если атака с бэкдором xz была бы успешной, то в каждая машина, работающая под управлением OpenSSH в дистрибутиве Linux на основе systemd, могла быть скомпрометирована в любое время и в любом месте по выбору злоумышленника. Кроме того, бэкдор xz нацелен не на сам OpenSSH, а на зависимость liblzma в OpenSSH. Хакеры не стали влезать в зрелый и хорошо финансируемый проект, поддерживаемый всемирно известными экспертами по безопасности, а выбрали вместо этого недостаточно финансируемую и недоукомплектованную библиотеку утилит.

- Современные злоумышленники хотят остаться незамеченными. Вместо того, чтобы вставлять запутанные скрипты оболочки, прятаться в файле C (как это было в атаке 2002 года) или извлекать полезную нагрузку по сети, полезная нагрузка бэкдора xz была предварительно подготовлена в тестовом файле, содержащем только двоичные данные.

- В атаке 2002 года злоумышленники сразу направились к инфраструктуре, на которой размещался OpenSSH. Напротив, бэкдор xz стал кульминацией расширенной кампании социальной инженерии, которая привела к тому, что злоумышленник стал доверенной частью основной команды разработчиков.

Источник: https://blog.isosceles.com/openssh-backdoors/

Isosceles Blog

OpenSSH Backdoors

Imagine this: an OpenSSH backdoor is discovered, maintainers rush to push out a fixed release package, security researchers trade technical details on mailing lists to analyze the backdoor code. Speculation abounds on the attribution and motives of the attacker…

Злоумышленники используют дипфейки с изображением директоров компаний

В России злоумышленники прибегают к новому способу мошенничества – звонят директорам организаций по видеосвязи, записывают разговор, а затем фрагмент видеозаписи используют в переписке с другими сотрудниками компании. Таким способом киберпреступники надеются завоевать доверие жертв, так как текстовые сообщения, видимо, уже недостаточно эффективны. Убедительности добавляет и тот факт, что демонстрируемое видео записано в реальном кабинете руководителя, поэтому сотрудники могут распознать интерьер и с большей долей вероятности поверить мошенникам.

После видеозаписи, как правило, злоумышленники переходят к уже знакомым сценариям, сообщая собеседнику ложную информацию и побуждая к действиям.

Например, в одном случае мошенник от имени директора сообщил жертве, что ему поступило предложение предоставить конфиденциальные сведения о другой организации, причем за это некие лица предлагают 900 000 рублей. Далее злоумышленник под видом директора предлагает обсудить это в чате, требуя сохранить беседу в тайне.

Если жертва оказывается подозрительной или несговорчивой, злоумышленники быстро теряют терпение и начинают грубить.

Защититься от подобного рода фейков можно заклеив камеру и микрофон ноутбука на время, когда они не используются. Роскачество рекомендовало сделать это еще в 2019 году. Ведомство тогда подчеркнуло, что это не паранойя, а простая предосторожность, как закрытие входной двери на несколько оборотов. Одним из первых, кто публично продемонстрировал такие меры безопасности стал глава Meta (организация признана экстремистской и запрещена в РФ) Марк Цукерберг.

#мошенничество #фейки

Вебинар: оригинальный взгляд на технологии мониторинга и управления информационной безопасностью!

Приглашаем 27 августа в 11:00 на вебинар о базовых преимуществах и лучших практиках применения SIEM-систем!

https://my.mts-link.ru/j/48564139/1996719370/session/779731494?utm_content=start&utm_term=b-reg&utm_campaign=staffcop_webinar-invite_22.05.2024

#SIEM #Staffcop #мониторинг

В России сегодня наблюдался массовый сбой в работе интернет-сервисов

21 августа в работе мессенджеров и различных интернет-сервисов в России начались массовые сбои. Первые жалобы поступили на Downradar после 14 часов дня. Пользователи указывали на не работающие WhatsApp, Telegram, Skype, Github, Discord, VK, Госуслуги и ряд других. Даже сервис для отслеживания сбоев сбой[.]рф также выдавал ошибку 503. Согласно Downdetector, жалобы поступали из многочисленных городов – Москвы, Санкт-Петербурга, Перми, Краснодара.

Как сообщил Роскомнадзор газете «РБК», неполадки были вызваны DDoS-атакой на российских операторов связи. «Сбой связан с DDoS-атакой на российских операторов связи. По состоянию на 15.00 мск атака отражена, сервисы работают в обычном режиме», - сказали в ведомстве.

Как отмечает РБК, этот сбой стал уже вторым за неделю — предыдущий произошел 19 августа.

Telegram-канал «ЗаТелеком» отмечает, что масштабный сбой затронул также Wikipedia, Anydesk, Stackoverflow, Steam, Cloudflare и Yandex Cloud и что службы поддержки всех операторов связи испытывают «большие проблемы».

Кроме того, «ЗаТелеком» сомневается, что DDoS-атака могла быть организованна одновременно на всех операторов в РФ. Такого же мнения придерживаются собеседники Forbes, предполагая, что причина сбоя — тестирование блокировки Telegram в России. На это может указывать тот факт, что проблемы с доступом не фиксируют за рубежом.

Источник: https://www.rbc.ru/technology_and_media/21/08/2024/66c5d94c9a7947d6468182f4

#сбой #DDoS

Lazarus эксплуатирует уязвимость нулевого дня в Windows для установки усовершенствованного руткита

Недавно исправленная Microsoft уязвимость нулевого дня в Windows эксплуатировалась хакерами из группы Lazarus, связанной с правительством Северной Кореи. Недостаток CVE-2024-38193 (оценка CVSS: 7,8) позволял устанавливать особо скрытное вредоносное ПО на компьютеры жертв.

CVE-2024-38193 – одна из уязвимостей нулевого дня, исправленных в ежемесячном выпуске обновлений Microsoft в прошлый вторник. Она описана как ошибка повышения привилегий в драйвере вспомогательных функций Windows (AFD.sys) для WinSock.

«Злоумышленник, успешно эксплуатирующий эту уязвимость, может получить привилегии SYSTEM», — говорится в бюллетене безопасности Microsoft.

Недостаток обнаружили исследователи Gen Digital – компании, владеющей рядом брендов программного обеспечения безопасности и утилит, таких как Norton, Avast, Avira, AVG, ReputationDefender и CCleaner.

«Эта уязвимость позволила им получить несанкционированный доступ к чувствительным областям системы, — сообщила компания на прошлой неделе, добавив, что обнаружила эксплуатацию в начале июня 2024 года. – Уязвимость позволяла злоумышленникам обходить обычные ограничения безопасности и получать доступ к чувствительным областям системы, к которым большинство пользователей и администраторов не могут получить доступ».

Исследователи также отметили, что атаки характеризовались использованием руткита под названием FudModule в попытке избежать обнаружения.

Атака примечательна тем, что выходит за рамки традиционной атаки Bring Your Own Vulnerable Driver (BYOVD) и использует уязвимость в драйвере, который уже установлен на хосте Windows. Руткит доставляется с помощью трояна удаленного доступа, известного как Kaolin RAT. При этом, отмечают исследователи, «FudModule лишь слабо интегрирован в остальную часть вредоносной экосистемы Lazarus». Вероятно, это связан с тем, что Lazarus развертывает руткит только при определенных обстоятельствах.

Источник: https://www.gendigital.com/blog/news/innovation/protecting-windows-users

#Lazarus #вредоносноеПО

В России голоса умерших хотят использовать в «общественных интересах»

Совет Федерации предложил использовать записи голосов граждан после их смерти в общественных интересах и без согласия родственников, пишут «Ведомости». Соответствующая норма внесена в законопроект «Об охране голоса», разработанный Альянсом в сфере ИИ и Национальной федерацией музыкальной индустрии (НФМИ).

Член комитета Совета Федерации по конституционному законодательству и госстроительству Артем Шейкин поделился подробностями законотворческой инициативы. Так, по его словам, сейчас готовится итоговая версия законопроекта, затем на него планируется получить отзыв правительства и внести на рассмотрение в Госдуму.

Согласно документу, обнародование и дальнейшее использование голосов граждан допускается лишь с их согласия. А вот после смерти записи голосов могут использоваться только с разрешения детей или супругов, а при их отсутствии — родителей. Однако согласие близких не потребуется для использования записей голоса в государственных или общественных интересах, если они совершались за плату или в публичных местах.

Ранее сообщалось, что в России создадут голосовую модель советского диктора Юрия Левитана. Проектом занимается компания «Наносемантика» по предложению правнука известного диктора. Модель представят уже в этом году, к 110-летию со дня рождения народного артиста СССР.

Источник: https://www.vedomosti.ru/technology/articles/2024/05/31/1040650-gosudarstvo-smozhet-ispolzovat-golosa-umershih-lyudei

#ИИ