Новая брешь обнаружена в софте, написанном на языке программирования R, которая позволяет выполнить произвольный код при десериализации специально созданных файлов RDS и RDX.
R — это язык программирования с открытым исходным кодом, который особенно популярен среди статистиков и специалистов по сбору данных, также использующийся в областях машинного обучения и искусственного интеллекта.
Специалисты из HiddenLayer обнаружили в программах на R уязвимость CVE-2024-27322, которая оценивается в 8,8 балла по метрике CVSS. Данная брешь позволяет злоумышленникам выполнять произвольный код на целевых машинах, когда жертва открывает RDS или RDX-файлы.
Уязвимость использует способ, которым R обрабатывает сериализацию и десериализацию, в частности с помощью «объектов обещаний» и «ленивой оценки».
Хакеры внедряют объект обещаний с произвольным кодом в RDS-файл, который будет выполнен при условии загрузки заражённого объекта.
Сложность атаки заключается в том, что злоумышленники должны убедить жертву скачать данный файл себе на устройство. Некоторые хакеры выбирают пассивный вариант, распространяя зараженные пакеты в широко используемых репозиториях.
Язык программирования R все чаще используется в критически важных отраслях, поэтому данная проблема вызывает опасения. Уязвимость может привести к полной компрометации системы, в которой запущена программа.
Просматривая репозитории, исследователи из HiddenLayer обнаружили, что readRDS, один из многих способов эксплуатации этой уязвимости, упоминается более чем в 135 000 исходных файлов R. Среди исходных файлов, содержащих потенциально уязвимый код, были проекты от R Studio, Facebook, Google, Microsoft, AWS и других крупных производителей программного обеспечения.
Эксперты CERT/CC предупредили организации, использующие R и функцию readRDS в непроверенных пакетах, о необходимости обновления до R Core версии 4.4.0, в которой была устранена уязвимость.
Для пользователей, не имеющих возможности перехода на новую версию, рекомендовано внедрить дополнительные уровни безопасности, например, запускать файлы RDS/RDX в изолированных средах, таких как песочницы и контейнеры, чтобы предотвратить выполнение кода в базовой системе.
Россиян предупреждают о появлении нового мошеннического бота в мессенджере Telegram. Прикрываясь именем Соцфонда РФ, неизвестные злоумышленники пытаются получить доступ к личным кабинетам граждан на Госуслугах.
Фальшивка выглядит убедительно: использует логотип ведомства, формулировки в описании безупречны. Одно «но»: СФР не предоставляет услуги через мессенджеры и соцсети.
При попытке входа в поддельный сервис пользователя просят сообщить номер телефона. Остальные искомые данные, а также высланный Госуслугами СМС-код, мошеннический бот, видимо, будет выспрашивать сам.
Потенциальным жертвам следует помнить: сотрудники госструктур никогда не просят предоставить персональную информацию через боты, чаты либо по телефону. Официальные каналы взаимодействия с СФР:
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
