Apple заплатила белым хакерам $50 000 за взлом своих хостов

Apple заплатила белым хакерам $50 000 за взлом своих хостов

Apple заплатила белым хакерам $50 000 за взлом своих хостов

Индийские этичные хакеры Харш Джаисваль и Рахул Маини обнаружили множество уязвимостей, позволяющих получить доступ к серверам Apple. По словам исследователей, корпорация из Купертино выплатила им $50 000 за найденные бреши.

Судя по всему, Джаисваль и Маини вдохновились «подвигом» другого эксперта в области кибербезопасности — Сэма Карри, который в октябре рассказал о проблеме корпоративной сети Apple.

Напомним, что Карри выявил критические дыры, с помощью которых злоумышленники могли выкрасть конфиденциальные данные миллионов клиентов или выполнить вредоносный код на смартфонах и компьютерах пользователей. Apple тогда выплатила специалисту $280 000.

Теперь индийские белые хакеры, решившие пойти по стопам Карри, провели собственное исследование, в ходе которого выяснилось, что хосты Apple используют CMS на Lucee — скриптовом языке, предназначенном для быстрой разработки веб-приложений. Вот эти три хоста:

 

Проблема заключалась в открытой панели администратора Lucee и использовании устаревшей версии CMS. Тем не менее, как отметили специалисты, Apple использовала файрвол уровня веб-приложений (Web Application Firewall, WAF) для отражения кибератак.

Также этичные хакеры выявили некорректную конфигурацию Lucee, из-за которой можно было получить доступ к файлам, не проходя при этом аутентификацию. Другими словами, злоумышленники могли создать веб-шелл на серверах Apple и выполнить произвольный код.

Джаисваль и Маини опубликовали технические подробности уязвимостей и объяснили, как им удалось обойти WAF и установить шелл на два хоста. Apple выплатила исследователям $50 000 за найденные бреши, а разработчики Lucee пропатчили баг.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники проводят фишинг через iCloud Calendar и серверы Apple

Злоумышленники нашли новый способ обойти фильтры спама и атаковать пользователей через почтовые серверы Apple. Мошенники начали использовать приглашения из iCloud Календаря для рассылки фишинговых писем, замаскированных под уведомления о покупках.

Как выяснило издание BleepingComputer, схема выглядит так: жертва получает письмо якобы от Apple с адреса noreply@email.apple.com, которое успешно проходит все проверки SPF, DKIM и DMARC.

В письме говорится, что с аккаунта PayPal списано $599, а для уточнения деталей или отмены операции нужно позвонить по указанному номеру.

На деле это типичный callback-фишинг. Позвонив «поддержке», человек попадает на мошенников, которые пытаются убедить его в необходимости установить ПО для удалённого доступа. Итог предсказуем: вместо «возврата денег» жертва рискует потерять доступ к банковскому счёту или своим данным.

 

Главная хитрость в том, что текст с «квитанцией» и номером телефона мошенники размещают в поле Notes календарного приглашения. Когда такое событие создаётся и на него приглашают внешние адреса, iCloud автоматически рассылает приглашения от имени Apple.

В одном из зафиксированных случаев письмо пришло на корпоративный Microsoft 365-адрес, который перенаправлял его сразу множеству участников.

За счёт того, что письмо отправлено напрямую с серверов Apple, оно выглядит легитимно и имеет больше шансов пройти антиспам-фильтры. Именно это и делает новую схему особенно опасной.

Эксперты советуют: если вы получаете странное приглашение в календарь с подозрительным текстом, особенно связанным с платежами, игнорируйте его и ни в коем случае не звоните по указанным номерам.

Сегодня мы также писали о проблемах Apple с правообладателями: на корпорацию подали коллективный иск два американских писателя — Грэйди Хендрикс и Дженнифер Роберсон.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru