На этой неделе в разделе безопасность: Фиктивный выкуп, плагины WordPress и KASLR
На этой неделе произошла еще одна история с программами-вымогателями, но эта история имеет особый поворот. Если вы давно следите за этой статьей, то знаете, что программы-вымогатели вышли за рамки простого шифрования файлов. Возможно, мы должны выразить небольшую благодарность банде программ-вымогателей за то, что они убедили всех в важности резервного копирования. Недостатком того, что компании приводят в порядок свои резервные копии, является то, что эти преступники обращаются к другим способам вымогательства платежей у жертв. А именно, к удалению файлов и их обнародованию, если жертва не платит. И это та ситуация, в которой злоумышленники Akira утверждают, что у них есть проект OpenOffice от Apache.
Есть только одна загвоздка. Akira угрожает обнародовать 23 ГБ украденных документов, которые включают информацию о сотрудниках, а Apache Software Foundation заявляет, что этих документов не существует. OpenOffice не получил запрос и не может найти никаких доказательств взлома. Представляется вероятным, что Akira нанесла удар по какой-либо компании, но не по Apache Software Foundation. Возможно, кто-то, кто активно использует OpenOffice или даже обеспечивает некоторый уровень поддержки этого приложения. Здесь есть еще одна проблема.
Поскольку Apache OpenOffice является проектом с открытым исходным кодом, ни один из наших участников не является оплачиваемым сотрудником проекта или фонда …
Во-первых, существует множество проектов с открытым исходным кодом, в которых участвуют сотрудники, и это’ довольно странно предполагать обратное. Но, во-вторых, для такой важной вещи, как офисный пакет, это довольно неожиданное заявление: над базой кода OpenOffice не работают оплачиваемые сотрудники.
Усовершенствование NPM Typosquat
Существует еще одна кампания NPM по борьбе с типосквоттингом, которая на данный момент это едва ли новость. Этот случай заслуживает освещения в печати, поскольку эти вредоносные пакеты используют несколько уровней обфускации и просуществовали в NPM более четырех месяцев. При установке пакета они используют хитроумный прием социальной инженерии в виде поддельного запроса на ввод капчи. Идея заключается в том, что это делает пользователя менее подозрительным к пакету, а также дает законную причину для доступа к сети. Но на самом деле необходимость взаимодействия с пользователем сводит на нет любые усилия по автоматизированному анализу.
Первый уровень обфускации состоит из вызова eval() с набором функций декодирования и некорректно закодированной строкой. Результатом этого набора функций является URL-адрес в кодировке и требуемое декодирование, за которым следует XOR со значением ключа. И, наконец, появляющаяся в итоге исполняемая функция использует операторы switch/case и трудночитаемые значения. Это просто веб-интерфейс для работы.
По сравнению с этим, работа с полезной нагрузкой выглядит скучновато: поиск любых учетных данных в системе и загрузка их на удаленный сервер. Программа также проверяет наличие интересных файлов cookie браузера и паролей в менеджере паролей, а также любые токены аутентификации, которые она может найти.
Проблемы с плагинами WordPress
[Иштван Мартон] из Wordfence опубликовал статью о паре плагинов WordPress с серьезными уязвимостями, которые в совокупности затронули целых 500 000 сайтов. На первом месте — AI Engine со 100 000 установок. Этот плагин имеет конечную точку URL, не прошедшую проверку подлинности, которая может предоставлять токен-носитель, который затем позволяет получить доступ к конечной точке MCP и произвольно управлять пользователями. Хорошей новостью здесь является то, что плагин по умолчанию не уязвим и требует настройки «No-Auth URL» для настройки уязвимости.
Другой плагин — Post SMTP, с 400 000 установками. Он заменяет обработку электронной почты на PHP в WordPress, и одной из его функций является возможность просматривать эти электронные письма из журналов. Проблема заключалась в том, что до версии 3. 6. 1 для просмотра журналов электронной почты не требовалось никаких разрешений. На первый взгляд это может показаться проблемой средней степени тяжести, но WordPress часто настраивается таким образом, чтобы разрешить сброс пароля по ссылкам, отправляемым по электронной почте, что означает мгновенный захват учетной записи. Обе проблемы были устранены, и доступны новые версии.
React Native CLI и Metro
Сочетание пакета React Native CLI и сервера разработки Metro подвергло разработчиков React Native неприятному удаленному выполнению кода CVSS версии 9. 8 (RCE) CVE. Первым элементом этой уязвимости является тот факт, что когда Metro открывает порты для разработки хостинга, он не привязывается к localhost, но по умолчанию прослушивает все интерфейсы.
Когда новый реактивный нативный проект создается без использования фреймворка, в рамках инициализации выполняется некоторый стандартный код. Конечным результатом является то, что в проект добавляется обработчик /open-url, и этот обработчик вызывает open() с внешней строкой из URL. Нетрудно представить, как этим можно злоупотреблять для внедрения произвольного кода.
KASLR
Давайте поговорим о рандомизации адресов. В частности, о рандомизации расположения адресного пространства ядра (KASLR). Это одна из защит от превращения произвольной записи в память в рабочий эксплойт. Если злоумышленник не может предсказать, где в памяти будут находиться объекты ядра, то перестановка битов, скорее всего, приведет к сбою системы, чем к выполнению кода. Теоретически это здорово. Проблема в том, что это не обязательно существует в реальности. Это история [Сета Дженкинса] из Google Project Zero, который искал способы взлома телефонов Pixel. Оказывается, что Linux на Android поддерживает функцию «горячего подключения» памяти, и для этого потенциального «горячего подключения» памяти требуется много места на линейной карте памяти. Так много места, что нецелесообразно также рандомизировать это расположение. Таким образом, хотя технически KASLR по-прежнему защищает ядро от атак, есть действительно важный нюанс в виде линейной карты памяти.
Биты и байты
Если вы хотите по-настоящему глубоко разобраться в том, как работает BLE, и как исследовать существующую связь BLE с SDR, [Клемент Баллабрига] из Lexfo рассказал о том, как это сделать. Это значительно сложнее, чем вы могли бы ожидать, особенно с учетом того, что BLE использует скачкообразную перестройку частоты и достаточно широкий диапазон частот, чтобы ваш SDR почти наверняка не смог захватить их все сразу. Это означает, что необходимо взломать небольшую часть защиты сигнала, чтобы точно предсказать скачки частоты.
В Cisco Unified Contact Center Express (UCCX) есть несколько уязвимостей, которые позволяют злоумышленнику запускать код от имени пользователя root. Одна из уязвимостей заключается в обработке произвольных загрузок файлов системой удаленного вызова методов Java. Другая — это обход аутентификации, который может быть использован для принуждения целевой системы использовать вредоносный удаленный сервер в рамках процесса аутентификации. Исправления доступны, и пока не похоже, что эти недостатки использовались в полной мере. И, наконец, опубликован ноябрьский бюллетень по безопасности Android, в котором исправлена CVE-2025-48593, логическая ошибка в обновлениях безопасности в apexd. cpp это может привести к повышению привилегий.
Я обнаружил, что этот недостаток связан с CVE-2025-38593, уязвимостью Bluetooth, недавно исправленной в ядре Linux. Это состояние гонки в ядре средней степени тяжести, которое может привести к двойному отказу и сбою системы. Похоже, нет способа превратить это в RCE, что отражено в его CVSS версии 4. 7.
Другие статьи: