При разборе вымогательской атаки на инжиниринговую компанию эксперты Huntress обнаружили, что точкой входа в сеть послужила критическая уязвимость в веб-приложении BillQuick. Проблема позволяет без аутентификации получить закрытые данные сотрудников, использующих биллинговую систему, и выполнить любую команду на бэкенд-сервере базы данных.
Уязвимости сайтов
Новости
Эксперты обнаружили в Сети десятки тысяч незащищённых установок Prometheus, решения для мониторинга с открытым исходным кодом. Некорректная конфигурация таких инсталляций может привести к раскрытию конфиденциальных данных.
19.10.2021
В ходе аудита популярного плагина WP Fastest Cache команда Jetpack из компании Automattic обнаружила две уязвимости — возможность SQL-инъекции и хранимую XSS в комбинации с CSRF. Патчи уже доступны в составе обновления 0.9.5.
18.10.2021
По данным «Тинькофф», проблемам кибербезопасности подвержены почти половина (46%) онлайн-ресурсов малого и среднего бизнеса в России. Самая критичная из наиболее распространенных ошибок — слабая защита облачных хранилищ, грозящая утечкой данных (выявлено более чем у четверти организаций).
11.10.2021
За последний год киберпреступники взломали более 120 рекламных серверов и, по оценкам экспертов, успели показать вредоносные объявления десяткам (если не сотням) миллионов посетителей веб-сайтов. За этой кампанией стоит одна группа киберпреступников.
11.10.2021