Вредоносные файлы архивов могут быть использованы злоумышленником для эксплуатации уязвимости, которая позволяет перезаписывать документы и данные, находящиеся в файловой системе компьютера. Эта же брешь может также привести к удаленному выполнению кода.
Проблема получила название «Zip Slip», ее обнаружили эксперты из Snyk, она затрагивает следующие форматы файлов: zip, .tar, .war, .cpio и .7z.
Баги были найдены в коде библиотек, написанных разработчиками Apache, Oracle и другими, что ставит под угрозу тысячи приложений. В настоящее время выпущены патчи библиотек, это значит, что разработчики продуктов, использующих небезопасный код, должны обновить свои программы.
В случае открытия пользователем вредоносного архива, который эксплуатирует данную брешь, атакующий может выполнить набор команд и перезаписать данные, фактически это позволит установить вредоносные программы в систему.
По словам исследователей из Snyk, ошибки присутствуют в коде, который распаковывает сжатые архивы. Если программа неверно обрабатывает имена файлов в архиве, киберпреступник могут установить свой путь для распаковки. При извлечении такого файла он перезапишет данные в том месте, куда его извлекут.
В случае атаки это поможет злоумышленнику скопировать файл в системный каталог или другое место, к которому у него нет обычного доступа. Таким образом, атакующий может заменять системные файлы, либо помещать файлы вредоносных сценариев в системные папки.
Эксперты опубликовали видео, доказывающее концепцию этой уязвимости:
Также специалисты опубликовали код Java, использующий уязвимую библиотеку:
1: Enumeration<ZipEntry>entries = zip.getEntries(); 2: while(entries.hasMoreElements()){ 3: ZipEntry e = entries.nextElement(); 4: File f = new File(dir, e.getName()); 5: InputStream input = zip.getInputStream(e); 6: IOUtils.copy(input, write(f)); 7: }
Среди продуктов, использующих уязвимые библиотеки, есть такие, как платформа Google Cloud, набор программного обеспечения Oracle, Amazon CodePipeline, IBM DataPower, Alibaba JStorm и Twitter Heron.
Очередная утечка, и на этот раз в общий доступ попали данных граждан, бронировавших отели через туристический веб-ресурс azur[.]ru. Информация достаточно свежая — датируется текущим месяцем.
О новом киберинциденте пишет телеграм-канал «Утечки информации». Как объясняют исследователи, в дампе БД можно найти следующие сведения:
Имена и фамилии;
Адреса электронной почты (428 тыс. уникальных);
Телефонные номера (248 тыс. уникальных);
Города проживания;
Данные о бронировании: дата заезда и выезда, число забронировавших человек, тип номера, стоимость;
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
