Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Исследователи проанализировали уязвимость CVE-2024-0204 в программном обеспечении для управляемой передачи файлов Fortra GoAnywhere MFT и опубликовали код эксплойта, который позволяет ею воспользоваться. Рассказываем, в чем опасность и что по этому поводу следует предпринять организациям, использующим это ПО.

В чем суть уязвимости CVE-2024-0204 в GoAnywhere MFT

Для начала вкратце опишем историю приключений вокруг данной уязвимости в GoAnywhere. На самом деле компания Fortra, которая разрабатывает это решение, закрыла эту дыру еще в начале декабря 2023 года, выпустив версию GoAnywhere MFT 7.4.1. Однако тогда в компании решили не публиковать информацию об уязвимости, ограничившись рассылкой рекомендаций клиентам.

Суть уязвимости состоит вот в чем. После того как клиент заканчивает первичную настройку GoAnywhere, внутренняя логика продукта исключает доступ к странице первоначальной настройки аккаунта. При попытке доступа к этой странице происходит перенаправление либо на панель администрирования (если пользователь аутентифицирован как администратор), либо на страницу аутентификации.

Однако, как установили исследователи, можно использовать альтернативный путь к файлу InitialAccountSetup.xhtml, который не учитывается логикой переадресации. В этом случае GoAnywhere MFT позволяет получить доступ к этой странице и создать нового пользователя с правами администратора.

В качестве доказательства осуществимости атаки исследователи написали и опубликовали короткий скрипт, который позволяет создавать admin-аккаунты в уязвимых версиях GoAnywhere MFT. Все, что для этого нужно, это задать имя нового аккаунта, пароль (единственное ограничение — не менее 8 символов, что само по себе интересно) и путь:

Часть кода эксплойта для уязвимости CVE-2024-0204 в Fortra GoAnywhere MFT

Часть кода эксплойта для уязвимости CVE-2024-0204. Красным выделен альтернативный путь к странице первоначальной настройки, позволяющей создавать пользователей с правами администратора

 

Посмотреть статью полностью

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Двухфакторная аутентификация с помощью одноразовых кодов (OTP — one-time password) сегодня воспринимается многими как «лекарство от всех болезней» — и от фишинга спасет, и от методов социальной инженерии защитит, и все аккаунты в безопасности сохранит. Одноразовый код запрашивается сервисом в момент логина пользователя как дополнительный метод проверки, что в учетную запись входит действительно ее владелец. Он может генерироваться в специальном приложении непосредственно на устройстве пользователя, но увы — немногие заморачиваются установкой и настройкой приложений-аутентификаторов. Поэтому чаще всего сервисы отправляют проверочный код в виде SMS, письма на электропочту, пуш-уведомления, сообщения в мессенджере или даже голосового звонка.
      Этот код действует ограниченное время, и его использование значительно повышает уровень защиты, но… На OTP надейся, а сам не плошай: даже при наличии второго фактора аутентификации личные аккаунты остаются потенциально уязвимыми для OTP-ботов — автоматизированного ПО, способного выманивать у пользователей одноразовые пароли методом социальной инженерии.
      Какую роль эти боты играют в фишинге и как они работают — в этом материале.
      Как работают OTP-боты
      Эти боты управляются либо через контрольную панель в веб-браузере, либо через Telegram и выманивают у жертвы одноразовый пароль, имитируя, например, звонок из банка с запросом присланного кода. Работает схема следующим образом.
      Завладев учетными данными жертвы, мошенник заходит в ее аккаунт и получает запрос на ввод OTP-кода. Жертве на телефон приходит сообщение с одноразовым паролем. OTP-бот звонит жертве и с помощью заранее заготовленного скрипта требует от нее ввести полученный код. Жертва набирает код на клавиатуре телефона прямо во время звонка. Код поступает в Telegram-бот злоумышленника. Злоумышленник получает доступ к аккаунту жертвы. Ключевая функция OTP-бота — звонок жертве, и от убедительности бота зависит успех мошенников: время действия одноразовых кодов сильно ограничено, и шанс получить действующий код во время телефонного разговора гораздо выше. Поэтому OTP-боты предлагают множество функций, позволяющих тонко настраивать параметры звонка.
       
      Посмотреть статью полностью
    • KL FC Bot
      Автор KL FC Bot
      Плохие новости для компаний, использующих сайты на базе WordPress с механизмом двухфакторной аутентификации, реализованным через плагин Really Simple Security. Недавно обнаруженная в этом плагине уязвимость CVE-2024-10924 позволяет постороннему человеку аутентифицироваться на сайте под видом легитимного пользователя. Поэтому плагин рекомендуется обновить как можно быстрее.
      Чем опасна уязвимость CVE-2024-10924
      Как бы иронично это ни звучало, но уязвимость CVE-2024-10924 в плагине с названием Really Simple Security имеет CVSS-рейтинг 9.8 и классифицируется как критическая. По сути это ошибка в механизме аутентификации, из-за которой атакующий может залогиниться на сайте как любой из зарегистрированных на нем пользователей, с полными его правами (даже админскими). В результате это может привести к перехвату контроля над сайтом.
      На GitHub уже появились доказательства возможности эксплуатации этой уязвимости. Более того, судя по всему, ее применение можно автоматизировать. Исследователи из Wordfence, обнаружившие CVE-2024-10924, назвали ее самой опасной уязвимостью, обнаруженной ими за 12 лет работы в сфере безопасности WordPress.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Мы уже писали о том, что делать, когда вам неожиданно приходит сообщение с одноразовым кодом для входа в принадлежащий вам аккаунт, который вы не запрашивали (спойлер: скорее всего, это попытка взлома, и пора задуматься о надежной защите всех своих устройств).
      Но иногда бывает и иначе: вам приходит сообщение с кодом двухфакторной аутентификации от некоего сервиса… вот только аккаунта в этом сервисе у вас нет и никогда не было. В этом посте поговорим о том, из-за чего так может получиться, а также о том, как на подобные сообщения следует реагировать.
      Откуда берутся SMS с кодами для входа в сервисы, в которых вы не регистрировались
      Есть два базовых объяснения того факта, что вам приходят одноразовые коды для входа в аккаунт, который вам совершенно точно не принадлежит.
      Первое, оно же наиболее вероятное объяснение: до того, как вы приобрели данный номер телефона, он уже кому-то принадлежал, но был отключен после прекращения контракта телеком-оператора с данным абонентом. Это называется «переиспользование телефонных номеров» — совершенно нормальная практика у поставщиков сотовой связи.
      Соответственно, предыдущий владелец номера когда-то действительно зарегистрировал на него аккаунт. И теперь либо он сам пытается в него войти, либо какой-то злоумышленник пытается этот аккаунт взломать. Попытки входа приводят к тому, что на номер телефона, который теперь уже принадлежит вам, приходят SMS с одноразовыми кодами.
      Второе объяснение: кто-то непреднамеренно пытается зарегистрировать учетную запись на ваш номер телефона. Возможно, этот кто-то «ошибся номером», то есть вводил другие цифры, но опечатался. А может быть, этот кто-то ввел случайный набор цифр, который, так уж вышло, оказался вашим номером телефона.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Массовые утечки паролей, забывчивость пользователей и другие сложности современной ИБ приводят к росту популярности альтернативных способов входа в систему и корпоративное ПО. Кроме уже привычных приложений-аутентификаторов и различных бесконтактных карточек и USB-токенов, часто выбирают вариант биометрической аутентификации при помощи отпечатка пальца, благо сканеры часто встраивают прямо в клавиатуру ноутбуков.
      Этот способ выглядит достаточно надежным, а также устойчивым к недостаткам пользователя, который то и дело теряет токены и забывает пароли. Впрочем, тезис о надежности не столь однозначен, особенно с учетом недавнего исследования компании Blackwing intelligence. Его авторы смогли взломать систему биометрической проверки и войти в Windows через Windows hello на ноутбуках Dell Inspiron 15, Lenovo ThinkPad T14, а также используя подключаемую клавиатуру Microsoft Surface Pro Type Cover with Fingerprint ID для планшетных компьютеров Surface Pro 8 и Surface Pro X. Как учесть их находки в своей стратегии защиты?
      Суть взлома
      Сразу скажем, что взлом был аппаратным. Исследователям пришлось частично разобрать все три устройства, отключить сенсор от внутренней шины USB и подключить к внешнему USB-порту через «прокладку», а именно компьютер Raspberry PI 4, который осуществлял атаку «человек посередине». Атака основана на том, что все чипы, удовлетворяющие требованиям сертификации Windows Hello, должны хранить базу отпечатков самостоятельно, во встроенной памяти микросхемы. На компьютер никогда не передаются отпечатки, а только криптографически подписанные вердикты вида «пользователь Х успешно прошел проверку». При этом протокол и сами чипы поддерживают хранение многих отпечатков для разных пользователей.
      Исследователям успешно удалось совершить подмену, хотя для разных моделей потребовались вариации атаки. Они записали на чип дополнительные отпечатки якобы для нового пользователя, но смогли модифицировать обмен данными с компьютером таким образом, чтобы информация об успешной проверке нового пользователя уходила с идентификатором старого.
      Главная причина того, что подмена стала возможна — все проверенные устройства в той или иной мере отступают от протокола Secure Device Connection Protocol (SDCP), разработанного Microsoft как раз для предотвращения подобных атак. Протокол учитывает многие распространенные сценарии атак — от подмены данных до воспроизведения обмена информацией между ОС и чипом в момент, когда пользователя нет за компьютером (replay attack). Взломать реализацию на Dell (сканер отпечатков Goodix) удалось благодаря тому, что Linux-драйвер не поддерживает SDCP, на чипе хранятся две отдельные базы для Windows и Linux, а информация о выборе нужной базы передается без шифрования. В Lenovo (чип Synaptics) вместо SDCP используется собственное шифрование, и авторам удалось разобраться с генерацией ключа и расшифровать протокол обмена. Внезапно и удивительно, но в клавиатуре Microsoft (чип ELAN) SDCP вообще не используется и шифрования по стандарту Microsoft просто нет.
       
      Посмотреть статью полностью
    • KL FC Bot
      Автор KL FC Bot
      В последние полгода особую популярность в России получили драйверы Windows Packet Divert для перехвата и модификации сетевого трафика в Windows-системах. С августа по январь 2024 года частота их обнаружения выросла практически вдвое. Основная причина — задействование этих драйверов в инструментах для обхода блокировок известных зарубежных ресурсов.
      Такой рост популярности не остался незамеченным злоумышленниками. Они активно распространяют вредоносное ПО под видом программ для обхода блокировок и делают это, шантажируя блогеров. Поэтому каждый раз, смотря видео с названием «Как обойти блокировку…», будьте особенно внимательны — даже самый проверенный и честный контент-мейкер может, сам того не зная, распространять стилеры, майнеры и прочие гадости.
      Как злоумышленники зарабатывают на блокировках и при чем тут блогеры — читайте в этом материале.
      Хакеры мимикрируют под честных разработчиков
      Программных способов обхода ограничений зарубежных ресурсов довольно много, но все их объединяет одно — они созданы малоизвестными авторами. Распространяются такие программы органически: энтузиаст написал код, показал его своим друзьям, опубликовал видео на эту тему — и вуаля! Еще вчера никому неизвестный программист стал «народным спасителем», его репозиторий на GitHub сохранили более десяти тысяч раз, люди благодарят за возможность пользоваться привычными ресурсами. Как раз о такой истории, когда злоумышленники раскручивают репозиторий с вредоносным ПО, мы недавно писали в блоге Kaspersky Daily.
      Таких энтузиастов могут быть даже десятки и сотни — но кто они такие и можно ли им доверять? Это, пожалуй, главные вопросы, которые должны волновать как активных, так и потенциальных пользователей таких программ. Особенно насторожить должны сопутствующие рекомендации подобных авторов по отключению антивируса. Отключить защиту, чтобы добровольно дать потенциальному хакеру доступ к своему устройству? Рискованная затея.
      Отключать антивирус на время установки программы советуют из-за якобы «ложных» срабатываний
      Конечно же, под личиной народного спасителя может оказаться хакер, которому на руку подобные советы. Беззащитное устройство уязвимо перед семействами NJRat, XWorm, Phemedrone, DCRat, которые наиболее активно распространялись вместе с подобным ПО.
       
      View the full article
×
×
  • Создать...