WordPress pod dalším útokem skrz zranitelný plugin
Útočníci aktivně zneužívají zranitelnost v LiteSpeed Cache pluginu ve WordPressu. Zranitelnost – stored XSS, je využívána k vytvoření admin účtů wpsupp‑user a wp‑configuser. Ačkoliv byla zranitelnost opravena již v říjnu 2023 verzí 5.7.0.1, z 5 milionů aktivních instalací jich dosud 16,8 procent využívá starší verze.
Zdroj: https://thehackernews.com/2024/05/hackers-exploiting-litespeed-cache-bug.html
TunnelVision – staronový únos provozu pomocí DHCP
Na blogu Leviathan Security Group vyšel článek o „odklánění“ síťové komunikace počítače. Útočník se tím může dostat k provozu, který by jinak šel přes VPN (tj. mimo jeho dosah). Zneužívá se k tomu DHCP, konkrétně Classless Static Route Option (121). Útočit se tím pádem musí tam, kde lze podvrhovat/falšovat DHCP zprávy od serveru, typicky ve stejné podsíti s obětí. Pokud takovou upravenou zprávu přijme zranitelný klient, aktualizuje si podle ní svou směrovací tabulku. Jakmile je přijatá cesta více specifická než ta, která směruje provoz do VPN, bude mít přednost a dojde k „odklonu“.
Zdroj: https://www.leviathansecurity.com/blog/tunnelvision
Firefox má vážnou zranitelnost v PDF.js, která umožňuje spustit cizí kód
Společnost Codean Labs objevila vážnou zranitelnost v prohlížečce PDF integrované ve Firefoxu. Chyba umožňuje útočníkovi spustit libovolný kód v jazyce JavaScript, jakmile je otevřen škodlivý soubor PDF. Chyba se vyskytuje v PDF.js, kterou používá Firefox, ale také dalších nástrojů, které tuto knihovnu volají třeba kvůli náhledům.
Zdroj: https://codeanlabs.com/blog/research/cve-2024-4367-arbitrary-js-execution-in-pdf-js/
Ivanti vydává varování a záplaty svých klíčových produktů
Společnost Ivanti, která se zabývá vývojem a výrobou korporátních produktů určených k zabezpečení a správě firemního prostředí, vydala souhrnný balík oprav pro měsíc květen spojený s varováním před nově zjištěnou sadou zranitelností, která těmto opravám předcházela.
Tento balík řeší chyby v produktech řady Avalanche, Neuronsfor ITSM, ConnectSecure, Secure Access a Endpoint Manager. A právě Ivanti Endpoint Manager (EPM) je aktuálně zatížen nejvyšším rizikem, co se počtu i závažnosti chyb týká.
Zdroj: https://forums.ivanti.com/s/article/Security-Advisory-May-2024?language=en_US
Google opravuje další zranitelnosti v prohlížeči Chrome
Google nedávno vydal aktualizaci Chrome 125, která opravuje šest zranitelností, z nichž čtyři mají vysokou závažnost. První z těchto závažných zranitelností je „use-after-free“ chyba ve „Scheduling“ komponentě.
Další zranitelností je „type confusion“ v javascriptovém enginu V8. Zranitelnost typu „type confusion“ nastává, když program považuje určitá data za jiný typ, než jaký skutečně mají. Aktualizace také řeší dvě zranitelnosti „heap overflow“ v grafických subsystémech ANGLE a Dawn.
Zdroj: https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_21.html
Příklady hrozeb, které zachytil ThreatGuard
GitHub umožňuje získať oprávneniami správcu
Na serveroch GitHub Enterprise Server (GHES) sa vyskytuje zraniteľnosť umožňujúca obídenie overovania pri využívaní overovania SAML single sign-on s voliteľnou encrypted assertions funkciou. Táto zraniteľnosť umožňuje útočníkovi sfalšovať odpoveď SAML na poskytnutie a/alebo získanie prístupu k používateľovi s oprávneniami správcu stránky. Zneužitie tejto zraniteľnosti umožňuje neoprávnený prístup k inštancii bez toho, aby bola potrebná predchádzajúca autentizácia. Táto zraniteľnosť sa týka všetkých verzií servera GitHub Enterprise Server pred verziou 3.13.0. Encrypted assertions nie sú defaultne povolené a chyba nemá vplyv na inštancie, ktoré nevyužívajú SAML single sign-on (SSO) alebo na tie, ktoré používajú SAML SSO autentizáciu bez encrypted assertions.
Návrh řešení týmu viz ThreatGuard-ID: 3214
Získání citlivých informací v produktech Check Point VPN Gateway
Uvedená zranitelnost je považována za kritickou, protože umožňuje neoprávněným uživatelům extrahovat informace z bran připojených k internetu. Tato zranitelnost umožňuje útočníkovi vyjmenovat a extrahovat hashe hesel pro všechny místní účty, včetně účtu používaného k připojení do Active Directory. Je však známo, že hashe hesel starších místních uživatelů s autentizací pouze heslem lze extrahovat, včetně servisních účtů používaných pro připojení k Active Directory. Slabá hesla mohou být kompromitována, což vede k dalšímu zneužití a potenciálnímu laterálnímu pohybu v rámci sítě.
Návrh řešení týmu viz ThreatGuard-ID: 3231
Windows Bluetooth Driver umožňuje vzdialené spustenie kódu
Na zneužitie tejto zraniteľnosti sa obeť musí spárovať so zariadením Bluetooth útočníka. Útočník, ktorý úspešne zneužije túto zraniteľnosť, môže získať oprávnenia SYSTÉMU. Zneužitie tejto zraniteľnosti vyžaduje, aby sa útočník nachádzal v blízkosti cieľového systému, aby mohol odosielať a prijímať rádiové prenosy. Autorizovaný útočník by mohol zneužiť zraniteľnosť ovládača Bluetooth systému Windows programovým spustením určitých funkcií, ktoré by mohli viesť k zvýšeniu oprávnení v komponente Bluetooth.
Návrh řešení týmu viz ThreatGuard-ID: 3192
Přejete si znát návrh řešení nebo být okamžitě informováni o všech kritických hrozbách ihned po jejich identifikaci?
Vyzkoušejte www.ThreatGuard.cz ZDARMA na 14 dní nebo napište na sales@comguard.cz o cenovou nabídku