15-летний баг в PEAR открывал вектор атаки на цепочки поставок

15-летний баг в PEAR открывал вектор атаки на цепочки поставок

15-летний баг в PEAR открывал вектор атаки на цепочки поставок

В PHP-репозитории PEAR на протяжении 15 лет существовала уязвимость, которая могла позволить злоумышленникам провести атаку на цепочку поставок, получить возможность публиковать вредоносные пакеты и выполнять произвольный код.

О проблеме в безопасности рассказал Томас Шаушфайн, специалист компании SonarSource, который описывает брешь так:

«Условный атакующий с помощью эксплуатации выявленной уязвимости может захватить аккаунт разработчика и публиковать от его имени вредоносные релизы. Есть и второй баг, позволяющий злоумышленникам получить доступ к центральному серверу PEAR».

Интересна, что эта проблема освещалась аж в 2007 году, когда эксперты указывали на небезопасную PHP-функцию mt_rand(), используемую для сброса паролей. Тогда, по словам специалистов, киберпреступникам понадобилось бы менее 50 попыток для подбора токена.

Само собой, такая брешь открывала вектор атак на цепочку поставок с помощью специальных версий пакетов, в которые было бы добавлена функциональность трояна.

 

Вторая уязвимость, о которой упомянул Шаушфайн, работает в связке с основной и позволяет получить несанкционированный доступ на начальном этапе атаки. Проблема в этом случае кроется в использовании старой версии Archive_Tar, которую затрагивает дыра под идентификатором CVE-2020-36193 (7,5 балла по шкале CVSS).

Шаушфайн поразился тому, что уязвимости были актуальны более десяти лет, хотя их достаточно легко обнаружить и использовать в атаке. Такая ситуация, по мнению эксперта, заставляет сомневаться в состоятельности практик компании.

Поддельные прокси для Telegram на GitHub заражают компьютеры стилерами

Злоумышленники быстро освоили новый спрос: пользователи ищут способы обойти ограничения Telegram, а получают вредоносные программы под видом прокси-сервисов. Эксперты Solar 4RAYS обнаружили в верхних строчках поисковой выдачи фальшивые копии популярных инструментов.

Их размещают как на GitHub, так и на сторонних зеркалах платформы.

Схема работает просто. Ссылки на настоящие репозитории могут исчезать из выдачи российских поисковиков, а освободившееся место тут же занимают свежие страницы с поддельным софтом.

Пользователь видит знакомое название, аккуратное описание и жмет «скачать», не подозревая, что вместо прокси получает троян.

Подделки делают на совесть: мошенники копируют README, вёрстку и даже реквизиты для пожертвований настоящему разработчику. На вид все почти идеально. Внутри — Salat Stealer, Santa Stealer или другая зараза.

Такие программы способны вытаскивать сессии браузеров, пароли и файлы нужных форматов. В итоге попытка вернуть доступ к мессенджеру может закончиться кражей аккаунтов и персональных данных.

Особенно хорошо ловушка работает за счет доверия к GitHub. Но сама платформа лишь предоставляет хостинг и не всегда успевает проверять поток новых файлов. Этим и пользуются злоумышленники.

Эксперты советуют не скачивать утилиты на автомате. Повод насторожиться — свежий аккаунт автора, отсутствие звёзд, форков, истории багов и изменений. Ну а просьба отключить антивирус перед установкой — это уже не намек, а красная сирена.

RSS: Новости на портале Anti-Malware.ru