FIDO-ключи можно обойти через перевод на слабую аутентификацию

FIDO-ключи можно обойти через перевод на слабую аутентификацию

FIDO-ключи можно обойти через перевод на слабую аутентификацию

Новые исследования Proofpoint показывают: даже «устойчивые к фишингу» FIDO-ключи не всегда неприступны. Эксперты описали сценарий так называемой даунгрейд-атаки, при которой защиту можно обойти, заставив пользователя перейти на более слабый способ аутентификации.

FIDO-ключи по-прежнему считаются одним из лучших способов защиты от кражи учётных данных и захвата аккаунтов.

Но уязвимость появляется, если злоумышленник использует модифицированный фишлет — конфигурацию для продвинутых фишинговых наборов вроде Evilginx.

Вместо того чтобы выдавать ошибку при попытке атаковать FIDO-аккаунт, такой скрипт имитирует вход с «несовместимого» браузера и вынуждает жертву выбрать другой метод входа — например, через Microsoft Authenticator или СМС-код.

 

Дальше схема стандартная для атак «человек посередине»:

  • жертве присылают фишинговую ссылку или запрос на доступ,
  • сайт показывает сообщение об ошибке и предлагает альтернативный способ входа,
  • злоумышленники перехватывают введённые данные и сессионный cookie,
  • cookie импортируется в браузер атакующего — и доступ к аккаунту получен без повторной аутентификации.

Proofpoint отмечает, что пока нет данных о массовом использовании таких атак. Вероятно, большинство преступников предпочитает более простые методы, нацеленные на аккаунты с устаревшей или вовсе без MFA-защиты. Но в перспективе, предупреждают эксперты, технически подкованные группы или APT могут взять этот приём на вооружение.

По мере развития фишинговых наборов и сервисов Phishing-as-a-Service (PhaaS) возможность автоматического «понижения» защиты FIDO вполне может появиться в будущих версиях таких инструментов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

0-day в Cisco IOS SNMP: под угрозой тысячи устройств в рунете

Исследователи из CyberOK обнаружили в рунете более 30 тыс. устройств, отвечающих по SNMP v1/v2c. Около 1,7 тыс. из них, судя по всему, содержат CVE-2025-20352 — уязвимость нулевого дня, недавно пропатченную в Cisco IOS/IOS XE.

В помощь владельцам сетевых устройств вендора российские эксперты опубликовали признаки попыток эксплойта, скрипт для быстрой проверки на уязвимость, а также рекомендации по защите.

Проблема CVE-2025-20352 в ОС Cisco (7,7 балла CVSS) возникла из-за возможности переполнения стека в подсистеме SNMP. Эксплойт требует аутентификации и осуществляется через подачу специально сформированного SNMP-пакета.

В случае успеха атакующий сможет спровоцировать отказ в обслуживании (DoS, при скромном объеме прав доступа) либо удаленно выполнить произвольный код (на IOS XE с высокими привилегиями).

Злоумышленники нашли и начали использовать новую лазейку в атаках еще до выхода патча. Пользователям настоятельно рекомендуется обновить IOS/IOS XE до исправленных сборок.

Полезные советы от CyberOK:

  1. Ограничить SNMP по ACL/CoPP (только менеджмент-хосты).
  2. По возможности отключить v1/v2c, перейти на SNMPv3 (в бюллетене Cisco сказано, что уязвимы все версии SNMP).
  3. Мониторить sysDescr/sysUpTime и аномалии по UDP/161.

Поиск по Shodan выявил в глобальном интернете более 2 млн потенциально уязвимых устройств.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru