CISA: Через уязвимость Log4Shell в 2021 году взламывали чаще всего

CISA: Через уязвимость Log4Shell в 2021 году взламывали чаще всего

CISA: Через уязвимость Log4Shell в 2021 году взламывали чаще всего

Уязвимость нулевого дня Log4Shell возглавила список брешей, которые использовали для кибератак в прошлом году. Такие данные опубликовало сегодня Агентство по кибербезопасности и инфраструктуре США (CISA). В Топ-15 опасностей также вошли ProxyShell, ProxyLogon и ZeroLogon.

CVE

Vulnerability Name

Vendor and Product

Type

CVE-2021-44228

Log4Shell

Apache Log4j

Remote code execution (RCE)

CVE-2021-40539

 

Zoho ManageEngine AD SelfService Plus

RCE

CVE-2021-34523

ProxyShell

Microsoft Exchange Server

Elevation of privilege

CVE-2021-34473

ProxyShell

Microsoft Exchange Server

RCE

CVE-2021-31207

ProxyShell

Microsoft Exchange Server

Security feature bypass

CVE-2021-27065

ProxyLogon

Microsoft Exchange Server

RCE

CVE-2021-26858

ProxyLogon

Microsoft Exchange Server

RCE

CVE-2021-26857

ProxyLogon

Microsoft Exchange Server

RCE

CVE-2021-26855

ProxyLogon

Microsoft Exchange Server

RCE

CVE-2021-26084

 

 

Atlassian Confluence Server and Data Center

Arbitrary code execution

CVE-2021-21972

 

VMware vSphere Client

RCE

CVE-2020-1472

ZeroLogon

Microsoft Netlogon Remote Protocol (MS-NRPC)

Elevation of privilege

CVE-2020-0688

 

Microsoft Exchange Server

RCE

CVE-2019-11510

 

Pulse Secure Pulse Connect Secure

Arbitrary file reading

CVE-2018-13379

 

Fortinet FortiOS and FortiProxy

Path traversal

Другие популярные «дыры»: возможность удаленного выполнения кода в Microsoft Exchange Server (CVE-2020-0688), чтение произвольного файла в Pulse Secure Pulse Connect Secure (CVE-2019-11510), обход пути в Fortinet FortiOS и FortiProxy (CVE-2018-13379).

«Хакеры во всем мире всё активнее нападают на системы с выходом в интернет, – говорится в докладе, – Чаще атакам стали подвергаться email- и VPN-сервисы».

В среднем на разработку обновлений безопасности уходит две недели, это время играет на руку взломщикам.

Уязвимость Log4Shell была обнаружена в декабре 2021 в популярной библиотеке Log4j, входящей в состав Apache Logging Project. Впервые её зафиксировали при отлове багов на серверах Minecraft, но проблема глобальнее. Библиотека Log4j присутствует практически в любых корпоративных приложениях и Java-серверах и грозит атаками на таких гигантов, как Apple, Amazon, Twitter, Cloudflare и тысячам других.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Pixnapping: скрытая атака на Android, которая читает пиксели экрана

Учёные придумали новый трюк под названием Pixnapping, который позволяет злонамеренному приложению на Android фактически «снять» то, что показывают другие приложения, — 2FA-коды, сообщения, таймлайны местоположений и всё прочее, что видно на экране.

Главное — жертве нужно только установить вредоносное приложение; для успешной атаки такому софту не требуются системные разрешения.

Как это работает: сначала программа вызывает целевое приложение так, чтобы то отрендерило на экране нужную информацию (например окно с кодом).

Потом вредонос буквально «рисует» поверх и меряет маленькие различия во времени рендера отдельных пикселей — по этим таймингам он понимает, белый пиксель был или нет, и восстанавливает изображение по пикселю.

В итоге можно собрать, скажем, шестизначный 2FA-код или часть переписки — не мгновенно, но достаточно быстро, чтобы это представляло реальную угрозу в ряде случаев.

Исследователи показали вектор атаки на нескольких моделях смартфонов. В ряде случаев метод оказался достаточно быстрым, чтобы за 20–25 секунд восстановить код; на других — были помехи и скорость падала.

Разработчики платформ и производители смартфонов уже выпустили обновления, которые частично снижают риск, но учёные предупреждают, что атака может эволюционировать и обойти начальные фиксы.

Стоит заметить, что в реальной жизни реализовать Pixnapping не так просто: нужны тонкая настройка, подходящая модель устройства и время. Это не массовая эпидемия типа «вирусной» СМС-рассылки, но уязвимость серьёзная, потому что ломает базовое предположение — «одно приложение не должно читать то, что видно в другом».

Что делать обычному пользователю:

  • Обновите Android и приложения до последних версий — производители уже начали выпускать патчи.
  • Ставьте приложения только из проверенных источников и внимательно читайте отзывы.
  • Удаляйте или блокируйте подозрительные программы.
  • По возможности используйте более защищённые способы входа (аппаратный ключ безопасности вместо СМС- и 2FA-кодов там, где это поддерживается).

В общем, Pixnapping — интересный и тревожный пример того, как можно обойти привычные границы между приложениями, играя на особенностях рендеринга и времени. Паниковать не стоит, но обновлять версию ОС смартфона и быть внимательнее с незнакомыми apk — обязательно.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru