Обзор инцидентов безопасности за период с 30 апреля по 6 мая 2018 года

[душман]

Одним из самых обсуждаемых событий минувшей недели стало известие об очередных уязвимостях в процессорах Intel. Восемь проблем, получивших общее название Spectre Next Generation (Spectre-NG), связаны с одной и той же ошибкой в архитектуре. Intel характеризует четыре из восьми уязвимостей Spectre-NG как «высокой опасности», а оставшиеся четыре – как «средней опасности».Как отмечается, одна из уязвимостей упрощает атаки внутри системы, поэтому Spectre-NG представляет даже большую угрозу, чем Spectre. В настоящее время Intel работает над обновлениями, а также помогает разработчикам операционных систем подготовить свои патчи. Предположительно, Intel планирует две ветки обновлений. Первые будут выпущены в мае, а вторые – в августе.

На прошедшей неделе сразу два сервиса – Twitter и GitHub – предупредили своих пользователей о необходимости смены пароля из-за внутренней ошибки. Что интересно, порталы столкнулись с практически одинаковой проблемой, в результате которой сотрудники сервисов могли видеть пароли в незашифрованном виде.

Разработчики менеджера пакетов Node Package Manager (npm) пресекли распространение бэкдора, хитроумно спрятанного в популярном пакете (библиотеке) для JavaScript. Изначально бэкдор был обнаружен в «getcookies» - сравнительно новом пакете npm для работы с файлами cookie в браузере. Получив жалобы от сообщества npm, разработчики изучили пакет и обнаружили в нем сложный механизм получения команд от удаленного злоумышленника, способного атаковать любое приложение, где используется «getcookies». Бэкдор позволял атакующему внедрять и выполнять произвольный код на запущенном сервере.

Как стало известно, хакеры активно сканируют Сеть на предмет уязвимых серверов Oracle WebLogic. Первые попытки сканирования были зафиксированы в середине апреля после того, как пользователь GitHub под псевдонимом Brianwrf опубликовал PoC-эксплоит для уязвимости CVE-2018-2628 в ключевом компоненте WebLogic – WLS, позволяющей неавторизованному злоумышленнику выполнить код на удаленном сервере WebLogic.

В среду, 2 мая, неизвестные совершили кибератаку на сервер Агентства гражданской авиации Министерства экономики и устойчивого развития Грузии (GCAA), в результате которой оказались повреждены программы и заблокирована защищенная база данных. По мнению замглавы агентства Левана Каранадзе, хакеры могли преследовать финансовые цели, намереваясь потребовать выкуп за разблокировку базы данных.