40% клиентов Ethereum остаются уязвимыми, хотя патчи уже доступны

40% клиентов Ethereum остаются уязвимыми, хотя патчи уже доступны

Экосистема Ethereum ничем не отличается от Windows или IoT в том смысле, что проблемы безопасности могут оставаться непропатченными на протяжении долгого времени. О халатном отношении к уязвимостям рассказали эксперты SRLabs.

В SRLabs отметили, что плачевной ситуация выглядит даже несмотря на то, что публичные патчи общедоступны. Исследователи утверждают, что добрая часть софта Ethereum, запущенного на нодах, до сих пор не получила обновление, устраняющее критическую уязвимость.

Саму брешь компания обнаружила в начале этого года.

«Согласно собранным нами данным, лишь две трети нод были пропатчены. Такой расклад мы имеем на сегодняшний день», — заявил Карстен Ноль, один из исследователей.

SRLabs ссылается на уязвимость типа «отказ в обслуживании» (DoS), которая присутствует в клиенте Parity, используемом для запуска нод Ethereum. Брешь позволяет атакующим удаленно вывести из строя уязвимые ноды, посылая вредоносные пакеты.

В клиенте Parity проблема была устранена с выходом версии v2.2.10, релиз которой состоялся в середине февраля этого года. Разработчикам понадобилось всего несколько дней, чтобы исправить брешь.

Стоит отметить, что DoS-атаки представляют серьезную угрозу в мире цифровой валюты. Все привыкли, что для большинства продуктов это угрозы «низкого ранга», но в случае с криптовалютой это не так.

DoS-бреши позволяют злоумышленникам выводить из строя легитимные ноды. Обычно преступники используют такие атаки против блокчейнов, чтобы обеспечить доминирование вредоносных нод над легитимными.

Если атакующий сможет вывести из строя достаточное количество «хороших» нод, то ему открывается возможность для известной атаки 51%.

Исследователи SRLabs просканировали часть блокчейна Ethereum, чтобы проверить — сколько Parity-нод было обновлено. Оказалось, что около 40% просканированных нод не получили важные патчи.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

VMware устранила критическую RCE-уязвимость в vCenter Server

Компания VMware выпустила обновления для платформы vCenter Server, устранив две уязвимости. Одна из них признана критической, поскольку позволяет удаленно и без аутентификации выполнить произвольный код.

Решение vCenter Server предоставляет ИТ-админу интерфейс для централизованного управления серверами и виртуальными машинами, с возможностью расширения локальной среды до публичных облаков на базе VMware vSphere. Наличие RCE-уязвимости в такой платформе грозит захватом контроля над системой и несанкционированным доступом к информации о виртуальной инфраструктуре предприятия.

Брешь, зарегистрированную под идентификатором CVE-2021-21972, обнаружил эксперт Positive Technologies Михаил Ключников. Согласно описанию VMware, эксплуатация этой уязвимости возможна при наличии сетевого доступа к порту 443. В случае успеха автор атаки сможет выполнить любую команду в системе с неограниченными привилегиями.

Виновником появления критической дыры является клиентский плагин к движку vROps (vRealize Operations, решение для автоматизации операций), который по умолчанию установлен на всех серверах vCenter. Ввиду большой площади атаки, простоты эксплойта и серьезности последствий степень опасности проблемы была оценена в 9,8 балла по шкале CVSS.

«По нашему мнению, RCE-уязвимость в vCenter Server составляет не меньшую угрозу, чем печально известная CVE-2019-19781 в Citrix», — заявил Ключников, комментируя свою находку для The Hacker News.

Патчи выпущены для vCenter Server веток 7.0, 6.7 и 6.5. Пользователям рекомендуется незамедлительно установить сборку 7.0 U1c, 6.7 U3l или 6.5 U3n соответственно. При отсутствии такой возможности можно ограничить возможность эксплойта, следуя инструкциям, приведенным в KB82374.

Вторая уязвимость, закрытая в vCenter Server (CVE-2021-21973), не столь опасна. Это возможность подмены запросов на стороне сервера (SSRF), которая возникла из-за некорректной реализации проверки URL в клиентском плагине платформы.

Разработчики также исправили опасную ошибку переполнения буфера в гипервизоре VMware ESXi (CVE-2021-21974; 8,8 балла), грозящую выполнением вредоносного кода. Эксплойт в данном случае осуществляется подачей по сети особого запроса по протоколу SLP.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru