Старые версии macOS и iOS содержат баг, позволяющий подделать домены

Старые версии macOS и iOS содержат баг, позволяющий подделать домены

Исследователь из Tencent Security Xuanwu Lab описал интересный баг, который встречается в прошлых версиях операционных систем от Apple. Этот недочет позволяет злоумышленнику замаскировать вредоносный сайт под ресурс, в доменном имени которого присутствует латинская буква «d».

Уязвимость получила идентификатор CVE-2018-4277, она завязана на схожести латинской буквы dum (U+A771) с маленькой буквой D (U+0064). Согласно стандарту Unicode у (U+A771) должен быть небольшой апостроф после d, но в продуктах Apple он просто игнорируется.

Чтобы доказать наличие вектора атаки, эксперт зарегистрировал доменное имя icloud.com (последняя буква d на самом деле являлась U+A771). После этого специалист зарегистрировал SSL-сертификат, так его метод станет еще более правдоподобен.

«На данном этапе мы видим, что весь процесс спуфинга вполне реален. Следовательно, атакующий может подделать все домены, содержащие букву ‘d’», — пишет исследователь.

Эксперт приводит список популярных ресурсов, содержащих в доменном имени эту букву:

  • linkedin.com
  • baidu.com
  • jd.com
  • adobe.com
  • wordpress.com
  • dropbox.com
  • godaddy.com
  • reddit.com

Уязвимы следующие продукты компании Apple:

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Webmin более года содержал скрытый бэкдор

Webmin, комплекс для администрирования операционных систем Linux и UNIX через веб-интерфейс, на протяжении целого года содержал уязвимость, позволяющую выполнить код удалённо. Эксперты предполагают, что это был намеренно внедрённый бэкдор.

Уязвимость получила идентификатор CVE-2019-15107, эксперты раскрыли информацию о ее существовании на конференции для хакеров DEFCON. При этом исследователи сознательно не стали уведомлять разработчиков Webmin до публичного раскрытия проблемы безопасности.

Брешь находится в функции, разработанной для смены устаревших паролей. Используя эту лазейку, неаутентифицированный атакующий может выполнить произвольные команды с правами root.

Уязвимы версии Webmin с 1.882 по 1.921, но есть один положительный нюанс — в конфигурации большинства версий по умолчанию проблемная функция отключена. Только в версии 1.890 уязвимость присутствует «из коробки».

С выходом Webmin 1.930 разработчики устранили эту проблему безопасности.

Создатели Webmin считают, что найденная брешь является намеренно помещённым в код бэкдором. Есть версия, что киберпреступники скомпрометировали инфраструктуру и внедрили вредоносный код.

Версии с уязвимостью в коде можно было скачать из официальных источников и репозитория SourceForge. А вот код на GitHub оказался на удивление чист.

Поисковик Shodan показал более 215 000 установок Webmin, однако из них лишь 1400 имеют версию 1.890, которая уязвима по умолчанию.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru