Специалисты CyberArk Labs обнаружили брешь в плагине Kibana

Специалисты CyberArk Labs обнаружили брешь в плагине Kibana

Специалисты CyberArk Labs обнаружили брешь в плагине Kibana

Специалистам CyberArk Labs удалось обнаружить уязвимость класса Local File Inclusion (LFI) в плагине Kibana для Elasticsearch. Бреши LFI позволяют атакующим получить данные из локального файла или выполнить его, это довольно распространенный способ взлома веб-приложений.

Обычно такого рода уязвимости используются для раскрытия конфиденциальной информации. Однако в некоторых случаях — например, в этом — этот вектор позволяет злоумышленникам выполнить код на сервере.

Обнаруженная CyberArk Labs уязвимость получила идентификатор CVE-2018-17246. В процессе ее поиска команда экспертов использовала инструмент Burp Suite от PortSwigger для прощупывания потенциальной поверхности атаки.

Среди горы информации эксперты обнаружили один HTTP-запрос, который привлек их внимание:

Запрос этот был интересен тем, что в нем содержалась отсылка к API консоли сервера. Исследователи поняли, что некоторыми функциями API можно манипулировать, или даже создать собственные функции.

Также специалистов заинтересовал кусок «es_6_0» — что это? Возможно, версия какого-либо программного обеспечения, которую можно пробить эксплойтом. Чтобы узнать это, эксперты начали слать множество запросов и смотреть, что они получают в ответ.

И тут один из запросов насторожил CyberArk Labs:

Так специалисты пришли к выводу, что они могут использовать атаку вида path traversal, чтобы получить доступ к некоторым локальным файлам системы.

CyberArk Labs передала разработчикам сведения об этой уязвимости, что позволило им быстро принять меры и выпустить патч.

С полным разбором этого бага можно ознакомиться в отчете CyberArk Labs по этой ссылке.

Психологический тест с сюрпризом: хакеры атакуют госсектор через BusySnake

Психологический тест в письме может оказаться не заботой о ментальном здоровье, а входным билетом для стилера. Эксперты «Лаборатории Касперского» обнаружили активную вредоносную кампанию, нацеленную на государственный и электроэнергетический секторы России, Казахстана и Бразилии.

По данным исследователей, за атаками может стоять ранее не упоминавшаяся группировка Armored Likho.

Злоумышленники используют новый стилер BusySnake, который крадет данные с зараженных Windows-устройств, делает скриншоты, вытаскивает пароли из браузеров и отправляет конфиденциальные файлы на командный сервер.

Основной способ заражения — фишинговые письма с архивами. Легенды меняются: где-то жертве предлагают пройти психологический тест, где-то — оформить заявку на гуманитарную помощь. Названия архивов подгоняются под тему письма, чтобы всё выглядело убедительнее.

 

После запуска содержимого на экране может открыться приложение-приманка с опросом или документ, соответствующий легенде. Пока пользователь смотрит на психологию или помощь, в фоне запускается многоэтапная цепочка загрузки, которая приводит к установке BusySnake.

Сам стилер написан на Python и уже существует в нескольких версиях. Он умеет красть данные из буфера обмена, перехватывать пароли из Firefox и Chromium-браузеров, похищать cookie через отдельный модуль и собирать файлы с устройства. В коде также предусмотрены механизмы, которые мешают обнаружению и усложняют анализ.

Любопытная деталь: загрузчики, через которые BusySnake попадает на устройство, судя по анализу кода, могли быть сгенерированы с помощью ИИ. Исследователи отмечают характерные избыточные комментарии и блоки кода.

В «Лаборатории Касперского» считают, что Armored Likho совмещает кибершпионаж против организаций с финансово мотивированными атаками на частных пользователей. Группировка развивает инструменты и встраивает в них функции, которые раньше использовала отдельно.

RSS: Новости на портале Anti-Malware.ru