Apple устранила баг AWDL, позволяющий украсть данные из изолированных сетей

Екатерина Быстрова 09 Августа 2021 - 16:17

Уязвимость нулевого дня

Патчи

...

Apple устранила баг AWDL, позволяющий украсть данные из изолированных сетей

Apple устранила очередную опасную уязвимость в протоколе Apple Wireless Direct Link (AWDL), которую в теории могли использовать киберпреступники, желающие похитить данные из физически изолированных сетей.

Оказалось, что разработчики особо не распространялись о выпущенном патче, но он вышел с релизом версий операционных систем iOS 14.5, iPadOS 14.5, watchOS 7.4 и Big Sur 11.3. Впервые об уязвимости стало известно на прошлой неделе, когда в блоге финского специалиста Микко Кентеле появился соответствующий пост.

Кентеле, основатель и генеральный директор SensorFu, обнаружил проблему в протоколе AWDL, который Apple представила в далёком 2014 году. Именно этот протокол помогает устройствам «яблочной» корпорации взаимодействовать друг с другом по Bluetooth или Wi-Fi.

AWDL является основой для известных методов передачи данных — AirPlay и AirDrop, хотя многие пользователи могут и не знать, что протокол вообще существует. На то есть своя причина: Apple долго скрывала технические подробности реализации AWDL.

Изучая протокол, Кентеле нашёл способ использовать пакеты ICMPv6 и IPv6 для сбора данных из инфицированных систем, задействовать AWDL-совместимые устройства Apple в качестве промежуточного звена и с их помощью отправить похищенную информацию другому устройству с IPv6-адресом.

Также специалист отметил, что конкретно этот баг может создать проблемы операторам физически изолированных сетей. Напомним, что так называемый «воздушный зазор» является одной из мер защиты данных, при которой сеть физически изолируется от потенциально опасных сетей.

Как правило, такой подход используется властями, военными и крупными корпорациями для хранения важных данных. Выявленная Кентеле уязвимость позволяла выкрасть информацию в том случае, если сотрудник с iPhone (или другим устройством Apple) находился поблизости от защищённой сети.

Эксперт опубликовал видеоролик на YouTube, в котором демонстрируется обнаруженный способ кражи важных данных:

Напомним, что в апреле стало известно о багах AirDrop, которые позволяли извлечь телефонные номера пользователей iPhone.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Татьяна Никитина 11 Февраля 2026 - 16:12

Linux Ботнет Атаки на сайты DDoS-атаки Домашние пользователи Малый и средний бизнес

Linux-ботнет SSHStalker старомоден: C2-коммуникации только по IRC

Специалисты по киберразведке из Flare обнаружили Linux-ботнет, операторы которого отдали предпочтение надежности, а не скрытности. Для наращивания потенциала SSHStalker использует шумные SSH-сканы и 15-летние уязвимости, для C2-связи — IRC.

Новобранец пока просто растет, либо проходит обкатку: боты подключаются к командному серверу и переходят в состояние простоя. Из возможностей монетизации выявлены сбор ключей AWS, сканирование сайтов, криптомайнинг и генерация DDoS-потока.

Первичный доступ к Linux-системам ботоводам обеспечивают автоматизированные SSH-сканы и брутфорс. С этой целью на хосты с открытым портом 22 устанавливается написанный на Go сканер, замаскированный под опенсорсную утилиту Nmap.

В ходе заражения также загружаются GCC для компиляции полезной нагрузки, IRC-боты с вшитыми адресами C2 и два архивных файла, GS и bootbou. Первый обеспечивает оркестрацию, второй — персистентность и непрерывность исполнения (создает cron-задачу на ежеминутный запуск основного процесса бота и перезапускает его в случае завершения).

Чтобы повысить привилегии на скомпрометированном хосте, используются эксплойты ядра, суммарно нацеленные на 16 уязвимостей времен Linux 2.6.x (2009-2010 годы).

Владельцы SSHStalker — предположительно выходцы из Румынии, на это указывает ряд найденных артефактов.

Исследователи также обнаружили файл со свежими результатами SSH-сканов (около 7 тыс. прогонов, все за прошлый месяц). Большинство из них ассоциируются с ресурсами Oracle Cloud в США, Евросоюзе и странах Азиатско-Тихоокеанского региона.