Баг Gmail позволяет полностью скрыть адрес отправителя

Баг Gmail позволяет полностью скрыть адрес отправителя

Баг Gmail позволяет полностью скрыть адрес отправителя

В Gmail был обнаружен новый баг, который позволял скрыть адрес отправителя электронного письма. Само собой, такую особенность могли потенциально использовать киберпреступники в своих целях.

Суть эксплуатации этого недочета крылась в заполнении поля «From:» тегами вроде object, script или img. Это приводило к тому, что интерфейс отображал вместо адреса отправителя пустое поле.

Баг обнаружил исследователь Тим Коттен. По его словам, когда Gmail имеет дело со специфически заполненным полем «From:», система просто не может отобразить информацию об отправителе. Пример:

Не поможет и открытие такого письма — адрес отправителя также будет невидимым:

Можно еще попробовать ответить на это письмо. Но и это не выход.

«Здесь Gmail полностью теряется по части того, что же ему делать дальше», — пишет Коттен в своем блоге.

Изучив проблему, эксперт пришел к выводу, что она кроется не в заголовке, а в пользовательском интерфейсе. Если посмотреть источник, можно заметить, что адрес отправителя все же присутствует, только в конце тега img.

Однако маловероятно, что обычные пользователи будут изучать исходный код, чтобы определить адрес отправителя.

Исследователь утверждает, что отправил Google всю необходимую информацию. Однако на данном этапе добиться ответа от корпорации не удалось.

Атакующие взломали популярный сканер Trivy через GitHub-теги

Одна из самых неприятных историй последних дней развернулась вокруг Trivy — популярного сканера уязвимостей от Aqua Security, который используют разработчики и DevOps-команды по всему миру. Атакующие смогли скомпрометировать почти все версии инструмента в рамках атаки на цепочку поставок, и последствия здесь могут быть действительно серьёзными.

О проблеме публично сообщил мейнтейнер Trivy Итай Шакури. По его словам, если есть хоть малейшее подозрение, что в пайплайне запускалась скомпрометированная версия, все секреты нужно считать утёкшими и срочно ротировать.

Исследователи из Socket и Wiz выяснили, что внедрённый зловред не просто подменял работу Trivy, а параллельно запускал настоящий сканер и свою вредоносную нагрузку. То есть внешне всё могло выглядеть вполне штатно, пока внутри шёл сбор конфиденциальных данных.

По данным исследователей, зловред прочёсывал CI/CD-пайплайны, машины разработчиков и окружение в поисках GitHub-токенов, облачных учётных данных, SSH-ключей, Kubernetes-токенов и других секретов. Всё найденное он архивировал, шифровал и отправлял на сервер, контролируемый атакующими.

Особенно неприятно то, как именно была проведена атака. Вместо привычного сценария с добавлением нового коммита или релиза злоумышленники использовали украденные учётные данные, чтобы привязать уже существующие теги к вредоносным коммитам.

Под удар попали 75 тегов в trivy-action и ещё семь тегов setup-trivy. Среди затронутых версий оказались и очень распространённые варианты вроде @0.34.2, @0.33 и @0.18.0. По имеющейся информации, незатронутой осталась только версия @0.35.0.

Именно это делает инцидент особенно опасным. Если воркфлоу в GitHub Actions ссылался на один из таких тегов, при запуске Trivy он автоматически подтягивал уже не легитимный код, а вредоносную подмену. Компрометация могла произойти просто в момент очередного штатного сканирования.

По данным Wiz, у атакующих был и запасной канал вывода данных. Сначала зловред пытался отправить собранную информацию на домен scan.aquasecurtiy[.]org. Если это не удавалось, он пробовал использовать украденный GITHUB_TOKEN, чтобы создать репозиторий tpcp-docs и выгрузить данные туда.

Если же зловред понимал, что работает не в пайплайне, а на машине разработчика, он дополнительно записывал кодированный base64 дроппер на Python для закрепления.

Отдельно настораживает и предыстория атаки. Массовая компрометация началась в четверг, но, как пояснил Итай Шакури, её корни уходят в более ранний инцидент — взлом расширения VS Code Aqua Trivy, произошедший ещё в прошлом месяце. Тогда атакующие получили учётные данные с правами записи в GitHub-аккаунт Trivy.

После того случая мейнтейнеры ротировали токены и другие секреты, но процесс, как выяснилось, не устранил все остаточные артефакты доступа. Именно это, по версии исследователей, и позволило атакующим продолжить аутентифицированные операции без необходимости взламывать сам GitHub.

При этом интересно, что атакующие аккуратно подменяли ссылки тегов на новые коммиты, копируя метаданные старых коммитов: автора, почту, дату и даже текст сообщения. За счёт этого компрометация выглядела максимально правдоподобно.

RSS: Новости на портале Anti-Malware.ru