В WP-плагине для защиты от брутфорса выявлены две уязвимости 0-day

В WP-плагине для защиты от брутфорса выявлены две уязвимости 0-day

В WP-плагине для защиты от брутфорса выявлены две уязвимости 0-day

Итальянские исследователи опубликовали информацию о двух уязвимостях нулевого дня, которые они обнаружили в WordPress-плагине Limit Login Attempts Reloaded. Одна из них позволяет обойти защиту доступа к сайту, другая — провести XSS-атаку. Обе проблемы были устранены в прошлом году.

Согласно описанию на сайте разработчика, расширение Limit Login Attempts Reloaded предназначено для защиты от брутфорс-атак. Механизм, реализуемый плагином, позволяет ограничить число попыток авторизации на сайте с одного и того же IP-адреса.

В настоящее время на счету Limit Login Attempts Reloaded числится более 1 млн активных установок. Его текущая версия — 2.19.2.

Уязвимости, о которых идет речь, классифицируются следующим образом:

  • CVE-2020-35590 — неадекватное ограничение множественных попыток авторизации; проявляется при кастомных настройках, грозит обходом такой защиты; 9,8 балла по шкале CVSS;
  • CVE-2020-35589 — неадекватная нейтрализация входных данных при генерации веб-страниц; эксплойт не требует аутентификации и открывает возможность для межсайтового скриптинга; 5,4 балла по CVSS.

Обе бреши обнаружили специалисты крупнейшей телекоммуникационной компании Италии — TIM (ранее Telecom Italia). В целях повышения безопасности своей инфраструктуры провайдер создал небольшое исследовательское подразделение, которое занялось поиском недокументированных уязвимостей. Эта команда публикует свои находки каждые десять дней и уже успела выявить 37 уязвимостей в продуктах Oracle, Nokia, Siemens, Schneider Electric, QNAP, Selesta, WOWZA, MultiUX и WordPress.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Приобретенная хакерами EDR выдала все секреты их кухни

Роковая ошибка злоумышленников позволила вендору защитных решений получить представление об их ежедневных операциях — о поиске мишеней, подготовке фишинговых рассылок, использовании инструментов атаки.

Заглянуть за кулисы хакерской жизни Huntress удалось благодаря алертам ее EDR о подозрительной активности на одном из подопечных хостов. Как оказалось, уникальное имя компьютера уже засветилось в связи с несколькими киберинцидентами.

В ходе анализа данных телеметрии, проведенного командой SOC, выяснилось, что их EDR-агент злоумышленники установили в ходе поиска в Google подходящего СЗИ от Bitdefender: они попросту перешли по ссылке в рекламе аналога, предложенного для пробы.

Найденные артефакты также показали, что на машине запущен еще один защитный продукт — от Malwarebytes. Его могли использовать по прямому назначению либо с целью тестирования вредоносного кода.

Изучение истории браузера окончательно подтвердило, что хост является частью инфраструктуры, созданной для проведения атак. За неполных три месяца наблюдений его владельцы заходили на сайты различных компаний и выявляли их партнерские связи через веб-сервисы ReadyContacts, InfoClutch и BuiltWith.

Кроме того, они проводили через Censys поиск активных экземпляров Evilginx (инструмент с открытым кодом, зачастую используемый для проведения AitM-атак) и пытались получить доступ к таким серверам.

В рамках разведки в целевых сетях применялись инструменты сбора и анализа данных — Bloodhound, GraphSpy, TeamFiltration. Походящие цели злоумышленники выискивали в Telegram, используя его боты; персонализированные письма им сочиняли ИИ-ассистенты, а перевод текстов осуществлялся с помощью Google Translate.

Чтобы скрыть вредоносную активность, оформлялись подписки на частные прокси (зафиксированы заходы на страницы расценок LunaProxy и Nstbrowser). Вредоносные коды и ссылки тестились на VirusTotal и urlscan.

 

Судя по IP-адресу и часовому поясу в настройках, хакерский хост находится на западном побережье США. География интересов его владельцев при этом зачастую выходит за пределы страны, а мишенями в основном служат банки, криптобиржи, госструктуры, риелторские и ИТ-компании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru