Websense предупредила о массовой атаке против веб-сайтов
Главная » Новости

Websense предупредила о массовой атаке против веб-сайтов

Николай Головко 30 Марта 2011 - 09:39
...

Исследовательская лаборатория компании зафиксировала масштабное нападение на сетевые ресурсы, результатом которой стало поражение нескольких десятков тысяч легитимных адресов. Обнаружить новую акцию злоумышленников позволила специализированная аналитическая система Websense Threatseeker Network.


Все пострадавшие сайты подверглись атаке посредством SQL-инъекций, в результате чего в код их страниц оказалась вставлена вредоносная строка, указывающая на загрузку постороннего скрипта. Упомянутая строка во всех случаях выглядела совершенно одинаково; нежелательное содержимое поступало из домена lizamoon.com. В случае успешного запуска сценария пользователь перенаправлялся на ресурс defender-uqko.in, где ему предлагали воспользоваться "услугами" лжеантивирусного программного обеспечения.

Аналитики Websense сообщают, что в общей сложности скрытая ссылка на lizamoon.com была вставлена в более чем 28 тыс. страниц. На данный момент она не работает, но сам сервер, с которого загружался скрипт, по-прежнему активен и подключен к сети - а, следовательно, стоящие за атакой злоумышленники могут преподнести пользователям новые "сюрпризы". Сайт, куда перенаправляли потенциальных жертв, в настоящее время также недоступен. Что касается данных о домене lizamoon.com, то он был зарегистрирован три дня назад; сведения о его владельце и администраторе состоят преимущественно из случайных букв и цифр (что, в общем-то, не вызывает удивления).

Необходимо заметить, что специалисты обнаружили фрагменты вредоносного кода даже в некоторых страницах сайта iTunes. В Websense полагают, что ссылки попали туда в процессе синхронизации RSS-каналов, которые используются для оперативной доставки нового содержимого от поставщиков мультимедиа. Тем не менее, аналитики подчеркивают, что клиентам Apple не стоит беспокоиться - тэги загрузки сценариев в данном случае неработоспособны.

V3.co.uk

Письмо автору

Следующая главная новость »
AM LiveПодписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Критическая уязвимость в TLP позволяет обойти защиту Linux
Екатерина Быстрова 08 Января 2026 - 18:51
Linux Уязвимости программ Домашние пользователиКорпорации
Критическая уязвимость в TLP позволяет обойти защиту Linux

В популярной утилите TLP, которую многие владельцы ноутбуков на Linux используют для управления энергопотреблением, обнаружили критическую уязвимость. Причём проблема нашлась во время обычной проверки пакета командой SUSE Security Team и располагается во вполне штатном коде.

Брешь получила идентификатор CVE-2025-67859 и затрагивает версию TLP 1.9.0, где появился новый profiles daemon.

Этот демон работает с root-правами и управляет профилями питания через D-Bus. Задумка хорошая, но реализация подвела: в механизме аутентификации Polkit нашлась логическая ошибка, которая фактически позволяет обойти проверку прав.

Как объясняют исследователи, демон должен был строго проверять, кто именно отправляет команды. Но из-за ошибки любой локальный пользователь мог взаимодействовать с ним без должной аутентификации — а значит, менять системные настройки питания от имени root.

На этом сюрпризы не закончились. В ходе анализа специалисты SUSE нашли ещё несколько проблем, уже связанных с исчерпанием ресурсов. В частности, механизм profile hold, который позволяет временно «зафиксировать» профиль питания, оказался совершенно без валидации. Локальный пользователь мог создавать неограниченное количество таких блокировок, причём без прав администратора.

В итоге это открывает прямую дорогу к DoS-атаке: демон начинает захлёбываться от бесконечных записей в структуре данных, куда попадают числа, строки с причиной и идентификаторы приложений — всё это полностью контролируется клиентом.

Любопытно, что SUSE вспомнила похожую историю с демоном управления питанием в GNOME: аналогичную проблему находили ещё несколько лет назад. Отдельно исследователи отметили вопросы к механизму «куки», которыми отслеживаются profile hold. Формально речь шла о предсказуемости значений, но в сочетании с отсутствием лимитов это лишь расширяло поверхность атаки.

К счастью, реакция была быстрой. SUSE сообщила об уязвимостях разработчикам ещё в декабре, и в версии TLP 1.9.1 проблема уже закрыта. В частности, число одновременных profile hold теперь жёстко ограничено числом 16, что убирает риск истощения ресурсов.

AM LiveПодписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »
Мошенники крадут паспортные данные через фальшивые промокоды на косметику
Новость
Мошенники крадут паспортные данные через фальшивые промокоды...
Ещё семь семей обвинили ChatGPT в доведении юзеров до самоубийства
Новость
Ещё семь семей обвинили ChatGPT в доведении юзеров до самоуб...
Яндекс Маркет внедрил ИИ для ускоренного выявления контрафакта
Новость
Яндекс Маркет внедрил ИИ для ускоренного выявления контрафак...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.