Для уязвимости в libssh выпущены сканеры и эксплойты

Олег Иванов 23 Октября 2018 - 12:02

Домашние пользователи

...

Обнаруженная на прошлой неделе уязвимость в libssh, позволяющая пройти аутентификацию без учетных данных, похоже, пользуется популярностью. С момента обнаружения уже было выпущено множество инструментов и скриптов, которые помогают атакующим удаленно использовать эту брешь.

Проблема безопасности получила идентификатор CVE-2018-10933, и ее крайне просто использовать — нужно всего лишь послать SSH2_MSG_USERAUTH_SUCCESS, когда libssh ожидает SSH2_MSG_USERAUTH_REQUEST. Таким образом, библиотека будет думать, что атакующий прошел процесс аутентификации.

Несмотря на то, что баг был устранен в версиях libssh 0.7.6 и 0.8.4, исследователи выпустили сканеры и скрипты, которые значительно упрощают процесс эксплуатации этого недостатка. Используя эти инструменты, злоумышленники могут удаленно выполнить команды на уязвимых версиях.

Эксперты также опубликовали ряд советов, как снизить риск использования этой бреши. Вот некоторые из них.

Arch Linux

В Arch Linux предлагают обновить версию libssh. Для этого можно воспользоваться командой:

pacman -Syu "libssh>=0.8.4-1"

Cisco

Cisco опубликовала официальное сообщение, в котором утверждается, что команда поверяет, какие устройства могут быть затронуты этой проблемой.

Debian

Для Debian были выпущены пропатченные пакеты, в которых устраняется уязвимость.

Dell

Пользователям Dell повезло больше — продукты компании используют libssh2, которая не подвержена влиянию CVE-2018-10933.

F5 Networks

К сожалению, продукты BIG-IP (AFM) уязвимы, а патча на данный момент нет.

Red Hat

В Red Hat заявили, что проблема затрагивает только поставляемую с Red Hat Enterprise Linux 7 Extras версию libssh. Другие пакеты никак не затронуты.

SUSE

Уязвимы версии: SUSE Linux Enterprise Desktop 12 SP3, SUSE Linux Enterprise Module for Basesystem 15, SUSE Linux Enterprise Software Development Kit 12 SP3, SUSE Linux Enterprise Workstation Extension 12 SP3, openSUSE Leap 15.0 и openSUSE Leap 42.3. Команда опубликовала список доступных патчей.

Ubuntu

Затронуты версии: Ubuntu 18.04 LTS, Ubuntu 16.04 LTS и Ubuntu 14.04 LTS. Разработчики также опубликовали список доступных патчей.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 21 Ноября 2025 - 10:45

Android Трояны Мошенничество Онлайн-мошенничество Домашние пользователи F6

Вон из Telegram: мошенники создали Android-приложение для онлайн-знакомств

Специалисты компании F6 выявили новую схему мошенничества, в которой злоумышленники маскируют вредоносное Android-приложение под бренд известного сервиса знакомств. Жертвам предлагают установить программу и «оформить подписку за 1 рубль», вводя данные банковской карты. После этого мошенники получают доступ к счёту.

За первый месяц такой схемы пострадали более 120 человек, общий ущерб превысил 1,1 млн рублей.

Исследователи уточняют, что настоящий сервис знакомств, именем которого прикрываются мошенники, не имеет собственного приложения и работает через телеграм-бота и социальные сети. Этим злоумышленники и пользуются, создавая поддельное Android-приложение, способное перехватывать входящие СМС.

Поиск жертв идёт двумя путями:

через того самого телеграм-бота, чьё имя используют мошенники;
через сторонние сайты, чаты знакомств и похожие боты.

На первом этапе злоумышленник общается с жертвой от лица «привлекательной девушки». В какой-то момент он «невзначай» упоминает приложение: якобы через Telegram неудобно общаться или в приложении проще найти собеседника. После этого жертве присылают ссылку на загрузку.

Приложение имитирует создание анкеты: спрашивает пол, цель знакомств, предпочтения. Затем просит ввести имя и «пригласительный код». Последний нужен не жертве, а мошеннику — чтобы пометить конкретного пользователя и получить свою долю, если операция окажется успешной.

Финальный шаг — оформление «подписки». Приложение показывает два варианта:

«бесплатный» доступ за 1 рубль;
«премиум» за 100 рублей.

В обоих случаях необходимо ввести данные банковской карты. После ввода информация уходит мошенникам, которые пытаются списать деньги со счёта.

Пользователи Android особенно уязвимы: вредонос способен перехватывать входящие СМС, поэтому человек может не заметить коды подтверждения при списаниях.

Для владельцев iPhone мошенники используют отдельный фейковый сайт с предложением «подписки за 1 рубль». Но там подтверждение операций всё равно требует ввода кода, поэтому обман сложнее скрыть.

Кибергруппа работает только по пользователям из России. С 10 октября от её действий пострадали более 120 человек, средний ущерб составил около 8,6 тыс. рублей.

По словам аналитиков, мошенники копируют бренды сервисов знакомств — особенно тех, у кого нет мобильного приложения. Это позволяет выдавать подделку за «официальный продукт» и снижает подозрения у пользователей.

Для уязвимости в libssh выпущены сканеры и эксплойты

Читайте также