Злоумышленники смогли выполнить код с правами обработчика GitHub Actions в репозитории Python-библиотеки Ultralytics, применяемой для решения задач компьютерного зрения, таких как определение объектов на изображениях и сегментирование изображений. После получения доступа к репозиторию атакующие опубликовали в каталоге PyPI несколько новых релизов Ultralytics, включающих вредоносные изменения для майнинга криптовалют. За последний месяц библиотека Ultralytics была загружена из каталога PyPI более 6.4 млн раз.

( читать дальше... )

>>> https://opennet.ru/62365-hack

В qBittorrent была закрыта 14-летняя уязвимость, связанная с некорректной проверкой SSL/TLS-сертификатов. Обновление до версии 5.0.1 устранило эту уязвтмость, которая существовала с 2010 года.

В течение этого времени программа принимала любые сертификаты, включая поддельные, что делало её уязвимой к атаке типа «человек посередине» (MitM). Это позволяло злоумышленникам незаметно изменять сетевой трафик, потенциально подвергая пользователей риску скачивания и выполнения вредоносного кода при обновлении продукта по ссылке из уведомления о выходе новой версии, а так же при загрузке бинарников Python на Windows. Уязвимость была не только теоретической, но и реализуемой на практике.

Так же отсутствие валидации сертификатов позволяло MitM подменять содержимое RSS и базы данных MaxMind Geo IP.

>>> Подробности

Исследователи из Gen Threat Labs выявили новый сложный руткит Snapekit, который нацелен на систему Arch Linux версии 6.10.2-arch1-1 на архитектуре x86_64. Snapekit позволяет злоумышленникам получать несанкционированный доступ к системе и управлять ею, при этом оставаясь незамеченными.

( читать дальше... )

Подробности (cybersecuritynews, англ.)

>>> Подробности (securitylab, рус.)

В сентябре 2024 года была выявлена критическая уязвимость CVE-2024-8767 (оценка 9.9 по CVSS), затрагивающая плагины Acronis Backup на платформах cPanel, WHM, Plesk и DirectAdmin, работающих на Linux. Проблема заключается в избыточных привилегиях, что позволяет злоумышленникам удалённо раскрывать и изменять конфиденциальные данные, а также выполнять несанкционированные операции. Уязвимость поражает сборки плагинов до 619 (cPanel), 555 (Plesk) и 147 (DirectAdmin). Важность обновления нельзя недооценивать: пользователи, не установившие патчи, рискуют полной компрометацией системы.

Эксперты по безопасности настоятельно рекомендуют обновить системы как можно скорее, особенно если плагины Acronis Backup используются для защиты критически важных данных.

>>> Подробности

Вышла новая версия свободного антивируса ClamAV 1.4.0, разрабатываемого Cisco Talos. Официальные сборки доступны для Linux, macOS и Windows. Также ClamAV неофициально собирается под AIX, BSD, HP-UX, OpenVMS, OSF (Tru64), Solaris и Haiku.

Начиная с этой версии официальная сборка для 32-битных дистрибутивов Linux больше не предоставляется, но пользователи таких дистрибутивов могут собрать ClamAV из исходников.

( читать дальше... )

ClamAV 1.4.0 представляет собой значительное обновление с множеством новых функций и улучшений, направленных на повышение безопасности и удобства использования. Пользователям рекомендуется обновиться до последней версии для получения всех преимуществ.

>>> Подробности

Выпущена новая версия NethSecurity, открытого межсетевого экрана на базе Linux. В ней улучшена стабильность, обновлён интерфейс управления администраторами, добавлено отслеживание соединений.

( читать дальше... )

>>> Подробности

Исследователи из Cybernews обнаружили на одном из популярных хакерских форумов крупнейшую на сегодняшний день базу утекших данных. Файл «rockyou2024.txt» содержит 9 948 575 739 уникальных паролей, включая как старые, так и новые. Ответственность за утечку взял на себя хакер под ником ObamaCare, ранее публиковавший данные сотрудников юридической фирмы Simmons & Simmons, онлайн-казино AskGamblers и студентов колледжа Роуэн.

( читать дальше... )

>>> Подробности (audit-it.ru)

В OpenSSH нашли дыру, позволяющую удалённо выполнить код с правами root без аутентификации. Уязвимости подвержены только сервера на Linux с библиотекой glibc, использующие OpenSSH от версии 8.5p1 до 9.7p1 включительно. Проблема заключается в состоянии гонки в обработчиках сигналов.

Атака продемонстрирована пока что только в лабораторных условиях на 32-битных системах и занимает порядка 6-8 часов. 64-битные системы в теории тоже уязвимы, но из-за гораздо большего пространства адресов, используемого для ASLR, эксплуатация пока что не была возможной.

Системы с другими реализациями libc также могут быть подвержены уязвимости. OpenBSD же всё ещё остаётся оплотом безопасности.

>>> Подробный разбор уязвимого кода

>>> Подробности

Агентство по кибербезопасности и защите инфраструктуры (U.S. Cybersecurity and Infrastructure Security Agency (CISA)) добавило в свой каталог активно используемых уязвимостей недавно найденную проблему в ядре Linux: CVE-2024-1086 Linux Kernel Use-After-Free Vulnerability.

Речь идёт о компоненте nf_tables, внутри встроенного в ядро фаервола netfilter, которая может быть эксплуатирована для эскалации локальных привилегий. Ошибка связана с неправильным взаимодействием функций nft_verdict_init() и nf_hook_slow(), которое приводит к двойному освобождению памяти.

Рекомендовано срочно обновиться или откатить ядро до версии перед коммитом f342de4e2f33e0e39165d8639387aa6c19dff660

>>> Подробности

Разработчик Debian и исследователь в сфере информационной безопасности Andres Freund сообщает об обнаружении вероятного бэкдора в исходном коде xz версий 5.6.0 и 5.6.1.

Бэкдор представляет собой строчку в одном из m4-скриптов, которая дописывает обфусцированный код в конец скрипта configure. Этот код затем модифицирует один из сгенерированных Makefile проекта, что в конечном итоге приводит к попаданию вредоносной нагрузки (замаскированной под тестовый архив bad-3-corrupt_lzma2.xz) непосредственно в исполняемый файл библиотеки liblzma.

Особенность инцидента состоит в том, что вредоносные скрипты сборки, служащие «триггером» для бэкдора, содержатся только в распространяемых tar-архивах с исходным кодом и не присутствуют в git-репозитории проекта.

Сообщается, что человек, от чьего имени вредоносный код был добавлен в репозиторий проекта, либо непосредственно причастен к произошедшему, либо стал жертвой серьёзной компрометации его личных учётных записей (но исследователь склоняется к первому варианту, т. к. этот человек лично участвовал в нескольких обсуждениях, связанных с вредоносными изменениями).

По ссылке исследователь отмечает, что в конечном итоге целью бэкдора, по-видимому, является инъекция кода в процесс sshd и подмена кода проверки RSA-ключей, и приводит несколько способов косвенно проверить, исполняется ли вредоносный код на вашей системе в данный момент.

Рекомендации по безопасности были выпущены проектами Arch Linux, Debian, Red Hat и openSUSE.

Разработчики Arch Linux отдельно отмечают, что хотя заражённые версии xz и попали в репозитории дистрибутива, дистрибутив остаётся в относительной «безопасности», т. к. sshd в Arch не линкуется с liblzma.

Проект openSUSE отмечает, что ввиду запутанности кода бэкдора и предполагаемого механизма его эксплуатации сложно установить «сработал» ли он хотя бы раз на данной машине, и рекомендует полную переустановку ОС с ротацией всех релевантных ключей на всех машинах, на которых хотя бы раз оказывались заражённые версии xz.

>>> Подробности

В своём бюллетене от 28 февраля NVIDIA раскрыла новые проблемы безопасности драйверов.

Уязвимости, затрагивающие в том числе и Linux-версию драйвера:

• CVE‑2024‑0074, серьёзность — высокая. Уязвимость, благодаря которой злоумышленник может получить доступ к ячейке памяти после окончания буфера. Эксплуатация уязвимости может привести к отказу в обслуживании или подмене данных.
• CVE‑2024‑0078, серьёзность — средняя. Уязвимость, благодаря которой пользователь гостевой среды может вызвать разыменование NULL-указателя в хосте и добиться отказа в обслуживании.
• CVE‑2024‑0075, серьёзность — средняя. Уязвимость, благодаря которой пользователь может вызвать разыменование NULL-указателя и получить доступ к переданным параметрам, валидность которых не была проверена. Успешная эксплуатация этой уязвимости может привести к отказу в обслуживании и ограниченному раскрытию информации.
• CVE‑2022‑42265, серьёзность — средняя. Уязвимость, благодаря которой непривилегированный пользователь может вызвать целочисленное переполнение и добиться к отказа в обслуживании, раскрытии информации и подмены данных.

Рекомендуется обновиться до версии драйвера, в которой эти уязвимости исправлены: 550.54.14 от 23 февраля, 535.161.07 от 22 февраля или 470.239.06 от 22 февраля, либо до более новой версии в соответствующей ветке. Все более ранние версии подвержены этим уязвимостям.

>>> Весь бюллетень

Orange España, второй по величине мобильный оператор Испании, столкнулся с серьезным сбоем в среду после того, как неизвестная сторона получила доступ к учетной записи для управления глобальной таблицей маршрутизации с помощью «смехотворно слабого» пароля. Начиная с 9:28 UTC, лицо под ником Snow вошло в учетную запись Orange в RIPE NCC, используя пароль ripeadmin. RIPE NCC отвечает за управление и распределение IP-адресов и обслуживает 75 стран Европы, Ближнего Востока и Центральной Азии.

( читать дальше... )

>>> Подробности

Toxic — это клиентское приложение для безопасного протокола обмена сообщениями Tox.

Toxic предоставляет текстовый интерфейс, текстовый чат, аудио- и видеозвонки, передачу и приём файлов, несколько простых игр.

( читать дальше... )

>>> Подробности

Обнаружена уязвимость в подсистеме Netfilter (CVE-2023-6817), которая, в теории, может быть использована локальным пользователем для повышения своих привилегий в системе. Корень проблемы кроется в использовании освобожденной памяти (use-after-free) в модуле nf_tables, ответственном за функциональность пакетного фильтра nftables.

( читать дальше... )

>>> Подробности