SonicWall призывает клиентов срочно установить патчи для трёх 0-day

SonicWall призывает клиентов срочно установить патчи для трёх 0-day

SonicWall призывает всех пользователей в срочном порядке установить патчи, устраняющие три уязвимости нулевого дня (0-day) в продуктах компании (как on-premise, так и для защиты электронной почты). Есть информация о возможной эксплуатации со стороны киберпреступников.

«Нам известен как минимум один случай эксплуатации этих уязвимостей в реальных кибератаках», — пишет SonicWall, настоятельно убеждая клиентов обновиться.

Бреши в продуктах SonicWall выявили специалисты компании Mandiant Джош Флейшер и Крис Дигиамо. В настоящее время уязвимости отслеживаются под следующими идентификаторами:

  • CVE-2021-20021 — позволяет атакующему создать аккаунт с правами администратора. Для эксплуатации требуется специально созданный HTTP-запрос;
  • CVE-2021-20022 — позволяет злоумышленнику загрузить произвольный файл на удалённый хост;
  • CVE-2021-20023 — позволяет киберпреступнику прочитать файл, расположенный на удалённом хосте.

«Злоумышленники могут использовать эти уязвимости для установки бэкдора и дальнейшей компрометации электронных писем и файлов. По сути, бреши позволяют атакующему перемещаться по сети жертвы "горизонтально"», — пишут исследователи из FireEye.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хорошо подготовленная кибергруппа атаковала российские органы госвласти 

Специалисты «Ростелеком-Солар» вместе с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) сообщили о целевых атаках на российские органы государственной власти. За серией таргетированных нападений, по словам экспертов, стоит группа профессиональных киберпреступников.

Организовавшие вредоносную кампанию злоумышленники пытались полностью скомпрометировать ИТ-инфраструктуру, а также похитить конфиденциальные данные и электронные переписки сотрудников госучреждений.

Замдиректора НКЦКИ Николай Мурашов считает, что нападающая на российские органы власти кибергруппировка располагает «ресурсами уровня иностранной спецслужбы». К такому выводу Мурашов пришёл, проанализировав используемые средства и методы, скорость работы и уровень подготовки преступников.

Векторы, используемые для проникновения в инфраструктуру, можно назвать классическими: фишинговые рассылки с вредоносами во вложении, эксплуатация уязвимостей и взлом подрядчиков. При этом специалисты отметили отлично подготовленные фишинговые письма, которые учитывали специфику деятельности конкретного органа власти и его актуальные задачи.

Оказавшись внутри инфраструктуры, киберпреступники начинали собирать информацию о сети и задействованных сервисах. Мишенью хакеров были ИТ-администраторы, у которых по понятным причинам есть высокие права доступа.

Легитимные инструменты, а также неизвестные ранее вредоносы обеспечивали злоумышленникам высокий уровень скрытности. Более того, атакующие прекрасно ориентировались в принципах работы средств защиты информации.

Примечательно, что фигурирующие в кампании вредоносные программы использовали облачные хранилища российских компаний Yandex и Mail.ru Group. Эксперты отметили, что ранее они не встречали таких зловредов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru