На GitHub выложили код эксплойта для критических дыр в софте SAP

На GitHub выложили код эксплойта для критических дыр в софте SAP

Спустя буквально пару дней после выпуска патча для критической уязвимости в NetWeaver Application Server (AS) от SAP в Сети появился код эксплойта. Конечно, это спровоцировало число сканирований с целью взлома уязвимых устройств.

Как мы писали во вторник, проблема безопасности получила имя RECON, по шкале CVSS ей присвоили максимальные 10 баллов — критическая брешь.

Удалённый атакующий, не прошедший аутентификацию, с помощью RECON может получить полный контроль над уязвимыми системами. После успешной эксплуатации у злоумышленника открывается возможность для дальнейшей атаки на корпоративную сеть.

PoC-код (proof-of-concept) для уязвимости опубликовали на площадке GitHub, поэтому эксперты настоятельно рекомендуют пользователям SAP NetWeaver как можно скорее установить все вышедшие патчи.

Помимо RECON, код эксплойта также учитывает и другую брешь класса «Path Traversal» — CVE-2020-6286. Специалисты компании Bad Packets считают, что совсем скоро ATP-группы, правительственные хакеры и операторы программ-шифровальщиков будут использовать эти уязвимости в атаках.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

YouTube завинчивает гайки в борьбе с фейковыми аккаунтами и коммент-спамом

С 29 июля владельцы YouTube-каналов не смогут больше утаивать число подписчиков — эту опцию, популярную у создателей поддельных аккаунтов, отключат. На платформе также вводятся новые лимиты на использование специальных знаков в названиях каналов, а модераторы получат новый инструмент, позволяющий ужесточить фильтрацию спама.

В этом году на YouTube наблюдается рост количества мусорных комментариев, продвигающих БАДы, фальшивые лотереи и сомнительные услуги. Подобная активность вызывает раздражение у создателей видеороликов, в особенности когда спамеры выдают себя за уважаемых участников сообщества, создавая аккаунты с похожими именами.

В ответ на жалобы пользователей операторы видеохостинга приняли ряд мер по ограничению спама и фейков. В частности, было решено заблокировать возможность скрывать количество подписчиков. Эта опция, включаемая через настройки «Творческой студии» в учетной записи Google (Канал > Расширенные настройки), затрудняла выявление мошеннических аккаунтов, цель создания которых могла выдать скромность аудитории.

В рамках борьбы с фальшивками также вводятся новые ограничения на использование специальных символов в именах аккаунтов — по типам и частоте. Аферисты, маскирующиеся под известный источник, обычно слегка искажают его имя, подменяя одну-две буквы похожим знаком — например, ¥ouⓉube.

Еще одно нововведение: опция Increase strictness («Повысить строгость») стала доступной всем пользователям инструмента модерации YouTube Spammer Purge (вызывается из вкладки Hold For Review — «Отложить для проверки»). Эту экспериментальную функцию начали тестировать в декабре прошлого года, а теперь она вышла в люди и поможет владельцам YouTube-каналов бороться с засильем спама в комментариях.

На днях мы писали о вредоносе YTStealer, который нацелен исключительно на владельцев YouTube-каналов. Задача этого зловреда — украсть аутентификационные cookies и получить доступ к аккаунтам.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru