Trend Micro устранила серьёзные уязвимости в веб-шлюзе IWSVA

Trend Micro устранила серьёзные уязвимости в веб-шлюзе IWSVA

Trend Micro устранила серьёзные уязвимости в веб-шлюзе IWSVA

Компания Trend Micro на этой неделе разослала клиентам обновление InterScan Web Security Virtual Appliance (IWSVA), которое патчит несколько серьёзных уязвимостей. Потенциальный злоумышленник может использовать часть этих уязвимостей, чтобы удалённо получить контроль над атакуемым устройством.

Проблемы безопасности выявил Вольфганг Эттлингер, австрийский эксперт в области кибербезопасности из компании SEC Consult. Примечательно, что Эттлингер сообщил об уязвимостях Trend Micro ещё летом 2019 года.

Лишь в конце ноября 2020 года разработчики смогли устранить описанные исследователем бреши — с релизом версии IWSVA 6.5 SP2 CP b1919. Несмотря на затянувшийся процесс патчинга, Эттлингер отметил, что Trend Micro подошла к решению проблемы достаточно профессионально.

«В сравнении с другим крупными компаниями, с которыми нам приходилось иметь дело ранее, Trend Micro решила вопрос грамотно», — объяснил специалист.

Напомним, что Trend Micro IWSVA представляет собой веб-шлюз, помогающий организациям защищать системы от современных киберугроз. Одновременно IWSVA может контролировать использование интернета сотрудниками в режиме реального времени.

В общей сложности Эттлингер обнаружил шесть уязвимостей IWSVA, среди которых нашлись: возможность обхода защиты от CSRF, XSS, обход аутентификации и авторизации, возможность внедрить и выполнить команды. Большинство брешей получили высокую степень опасности.

Исследователь также определил три сценария атаки, которые предусматривают эксплуатацию этих дыр. В одном из таких сценариев атакующий сможет удалённо получить root-доступ к атакуемому устройству.

Компания SEC Consult посвятила этим проблемам безопасности отдельный пост, в котором также можно найти технические детали выявленных уязвимостей. Публиковать код эксплойта SEC Consult при этом отказалась.

Тем не менее мы можем ознакомиться с видеороликом, в котором демонстрируется эксплуатация уязвимостей и соответствующая атака:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru