Баг в Jira раскрывает секретные ключи серверов многих крупных компаний

Баг в Jira раскрывает секретные ключи серверов многих крупных компаний

Ошибка, найденная в продуктах Jira и Confluence от Atlassian, позволяет любому желающему легко получить приватные ключи доступа к Amazon Web Services (AWS), на котором размещено уязвимое программное обеспечение. Поскольку этими решениями для разработки пользуются многие техногиганты и крупные компании, они подвергают себя риску, так как злоумышленник может проникнуть в их корпоративные сети.

Проблема связана с тем, что программное обеспечение содержит уязвимый прокси, который можно использовать для межсайтового скриптинга (XSS) и Server Side Request Forgery (SSRF — атака позволяющая злоумышленнику совершать запросы с уязвимого сервера во внутреннюю сеть).

Таким образом, атакующий может получить конфиденциальные данные из внутренней сети. SSRF-атака позволит отфильтровать метаданные AWS, среди которых есть и секретные ключи.

Уязвимость получила идентификатор CVE-2017-9506 и 6.1 баллов из 10 по шкале опасности, Atlassian сообщает о том, что устранила эту проблему.

Специалисты сообщают, что многие компании (более десятка крупных корпораций) все еще используют проблемные версии данных продуктов, и рекомендуют им как можно скорее обновить их.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Спрятанные в пиратских видеоиграх вредоносы атаковали почти 1 млн юзеров

Эксперты антивирусной компании «Лаборатория Касперского» собрали статистику за 12 месяцев, согласно которой пользователи 930 тыс. раз пытались скачать вредоносные программы под видом популярных нелицензионных игр.

Согласно отчету (PDF), самой привлекательной игрой для скачивания оказалась Minecraft — фейковую копию этой игры пытались скачать более 310 тысяч пользователей.

За Minecraft шли вредоносные программы, маскирующиеся под GTA 5 и Sims 4, — 112 тысяч и почти 105 тысяч соответственно.

Помимо этого, отлично работала схема распространения еще не вышедших новинок игровой индустрии, которые все ждут. Как минимум десятью ожидаемыми релизами прикрывались киберпреступники.

80% вредоносных программ пряталось под масками фейковых FIFA 20, Elder Scrolls 6 и Borderlands 3.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru