კვირის სიახლეები (20.08-26.08)

Apache Sturts-ის კრიტიკული RCE სისუსტე ვებ სერვერის გატეხვის საშუალებას იძლევა
————————————————
უსაფრთხოების მკვლევარმა Man Yue Mo-მ Apache Struts ფრეიმვერქში არსებული კრიტიკული RCE სისუსტის შესახებ ინფორმაცია გაასაჯაროვა.

აღნიშნული სისუსტის გამოყენებით შემტევს შეუძლია მსხვერპლის ვებ სერვერს მთლიანად დაეუფლოს. რაც ყველაზე ცუდია, სისუსტის ექსპლოიტირება შესაძლებელია ლინკზე დაკლილებით და ამასთან მუშა ექსპლოიტი უკვე არსებობს. ამიტომ ვინც ამ ფრეიმვერქს იყენებს ვურჩევთ სასწრაფოდ განაახლოს ის.

სისუსტე ეხება Apache Struts-ის 2.3-დან 2.3.34 ვერსიამდე და 2.5-დან 2.5.16 ვერსიამდე ვებ სერვერებს. შესაბამისად, სისუსტე გამოსწორებულია 2.3.35 და 2.5.17 ვერსიებში.

ცნობისთვის, მსგავსი სისუსტის ექსპლოიტის გამოქვეყნების შემდეგ, ბაგის დროულად ვერ გასწორების მიზეზით კომპანია Equifax-მა $600 მილიონი დოლარის ზარალი განიცადა.

 

აპლიკაციების მწარმოებელი კომპანია GOMO და 50 მილიონი მომხმარებლის მონაცემი საჯაროდ
——————————————–
ცნობილი ჩინური კომპანია GOMO (შემქმნელი აპლიკაციებისა GOMO Reading, GO Launcher, GO SMS, GO Keyboard Pro, Z Camera, S Photo Editor, GO Music, GO Speed, Brightest Flashlight და Z Launcher) დაახლოებით ერთი წლის წინ მომხმარებლების მიმართ ჯაშუშობაში ამხილეს – GO keyboard აპლიკაცია მომხმარებლის ნაწერს ინახავდა. ამჯერად კი თავად გახდა მსხვერპლი – სავარაუდოდ, 50 მილიონი მომხმარებლის მონაცემები გაიჟონა.

უცნობი მკვლევარის მიერ DataBreaches.net-სთვის მიცემული ინფორმაციიდან ირკვევა, რომ GOMO-მ ქლაუდ სერვისზე (AWS) გადასვლის დროს მნიშვნელოვანი შეცდომა დაუშვა როდესაც 80 პორტი გახსნა და ბექაფზე პირდაპირი წვდომა დაუშვა ყოველგვარი პაროლის გარეშე. ამ ბექაფში 70მდე ბაზა იყო.

ამის გარდა, ქლაუდზე გადასვლის შემდეგ, პორტის დახურვა დაავიწყდათ და გაურკვეველი დროის განმავლობაში სრულიად ღია იყო ეს backup ნებისმიერი მსურველისთვის.

აღსანიშნავია, რომ მომხმარებელთა ინფორმაციის გარდა ბაზებიდან გაიჟონა აპლიკაციების, პროექტებისა და სისტემების შესახებ დაცული სენსიტიური ინფორმაცია.

 

ახალი ფიშინგ შეტევა Office 365-ის დაცვას გვერდს უვლის
————————————————
ახალი ფიშინგ შეტევა Office 365-ის მომხმარებლებს მეილის საშუალებით უტევს. შემტევი მომხმარებელს Onedrive for Business-ზე მოწვევის სრულიად იდენტიკურ იმეილს უგზავნის. აქ ვერ შეხვდებით ფიშინგ მეილის ამომცნობ სიტყვებს როგორიცაა urgent, action required და ასე შემდეგ.

მიღებული მეილი შეიცავს Sharepoint დოკუმენტის ლინკს და მასზე დაჭერის შემდეგ იხსნება ჩვეულებრივი Sharepoint დოკუმენტი. ამ დოკუმენტში კი Onedrive-ის ფაილზე სტანდარტული წვდომის მოთხოვნაა Access Document ღილაკით.

განსხვავება ისაა, რომ Access Document-ზე დაჭერის შემდეგ მსხვერპლი მისამართდება ჰაკერების მიერ შექმნილ Office 365-ის დალოგინების იდენტიკურ გვერდზე, სადაც მომხმარებლის მიერ შეყვანილ ID-სა და პაროლს ჰაკერები იპარავენ.

ასეთი გართულებული სქემის ამოცნობა Office 365-ის დაცვას არ შეუძლია და შედეგად მომხმარებელი მხოლოდ მისი ცოდნის ამარად რჩება.

ამიტომ, მომხმარებელი მუდმივად ყურადღებით უნდა იყოს ლინკზე დაკლიკების დროს, რაც არ უნდა ლეგიტიმური ჩანდეს ის. ლინკზე გადასვლის შემდეგ კი აუცილებელია მისამართის ველის (address bar) შემოწმება და დარწმუნება რომ რეალურ საიტზე იმყოფებით.

 

ახალ ანდროიდ მოწყობილობებს საფრთხის შემცველი მრავალი სისუსტე მოყვება
———————————————
თუ თქვენ ახალი სმარტფონი იყიდეთ და ფიქრობთ რომ ჰაკერებისგან დაცული ხართ სანამ რამე “ცუდ” აპლიკაციას არ გადმოწერთ, ძალიან ცდებით.

DEF CON უსაფრთხოების კონფერენციაზე კომპანია Kryptowire-ის წარმომადგენელმა წინასწარ ჩაწერილ აპლიკაციებში არსებული უსაფრთხოების სისუსტეების დემონსტრირება მოახდინა 25 სხვადასხვა სმარტფონზე. ეს აპლიკაციები როგორც წესი მწარმოებლის ან გამავრცელებლის მიერაა ჩაწერილი და ხშირ შემთხვევაში არ იშლება – მათ ჩვენ bloatware-ს სახელით ვიცნობთ.

სმარტფონების მწარმოებლებს შორის ნაკლებად ცნობილ კომპანიებთან ერთად ისეთი ცნობილი კომპანიებიც გვხვდება როგორებიცაა Asus, ZTE, LG, Sony, Nokia… ხოლო გამავრცელებლებს შორის Verizon და AT&T.

აღნიშნული სისუსტეები ფაქტიურად ტელეფონზე სრული კონტროლის მოპოვების საშუალებას იძლება.

ასე მაგალითად, Asus ZenFone V Live-ზე არსებული პროგრამების სისუსტეების გამოყენებით შემტევს ე.წ. სქრინშოთების გადაღება, ზარების გაშვება, მესიჯების გაშვება და წაკითხვა და ბევრი სხვა მოქმედების შესრულება შეუძლია.

დატოვეთ კომენტარი