Страшно!
Хеллоуин на пороге, и специалистам ИТ-безопасности нужно быть начеку - иначе они рискуют испытать нешуточный испуг из-за хакеров. Прошлый месяц уже принес больше напастей, чем сластей*. Были сообщения о пугающих уязвимостях, связанных с Android, iOS, Windows, популярными приложениями, маршрутизаторами сетей и др. Профессионалам ИБ, суеверны они или нет, вряд ли захочется выглядеть так, будто им явилось привидение в этот Хеллоуин. Поэтому спешим напомнить главные страхи, которые могут-таки маячить где-то рядом.
Android в сетях LTE
Уязвимость в операционной системе Android в сетях LTE, используемых Verizon и AT&T, может позволить некорректный биллинг сотовой связи (в большую или меньшую сторону), спуфинг телефонных номеров, возможность напрямую извлекать данные с других телефонов, совершать звонки без ведома владельца, а также открыть дверь для DoS-атак на сеть оператора. Об этой уязвимости было сообщено в рекомендации, опубликованной 16 октября в общедоступной базе данных уязвимостей (CERT) Университета Карнеги-Меллона. Уязвимость вызвана отсутствием надлежащих разрешений в ОС Android для метода пакетной коммутации, используемого в сетях LTE. Похоже, она не затрагивает iOS-устройства в той же сети, говорится в сообщении. Для устранения этой уязвимости рекомендуется, чтобы каждый провайдер обновил свою сеть.
Adobe Flash - опасен!
В октябре Adobe выпустила экстренное обновление для устранения уязвимости в своем Flash Player. Это было сделано вне регулярного цикла ежемесячных обновлений, последнее из которых рассылалось лишь за несколько дней до этого. Экстренный патч устранял уязвимость, обнаруженную компанией Trend Micro и касавшуюся версий Adobe Flash для Windows, Macintosh и Linux. Уязвимость заключалась в особенностях плагинов этой программы: если программа "падала", это могло дать возможность атакующему захватить контроль над системой. Патч был выпущен после того, как было обнаружено, что эту уязвимость использовали атаки фишинга, в частности, проведенные группой под названием "Pawn Storm" против государственных структур. Вскоре после объявления об уязвимости Apple решила блокировать использование некоторых устаревших версий Flash на своих компьютерах.
Осторожно! Маршрутизаторы Netgear
Уязвимость в некоторых роутерах Netgear для SOHO, обнаруженная этим летом, была широко использована хакерами в конце сентября. Дефект ПО, выявленный специалистами из Shell Shock Labs и Compass Security, потенциально позволял хакерам перенаправить трафик на свои серверы, получив доступ к веб-интерфейсу управления по внутренней сети. По оценке исследователей, лишь одним хакером были взломаны более 10 тыс. роутеров. Netgear выпустила заплату для этой уязвимости.
Жесткие диски с недошифрованием
Если вы думаете, что лучше защищены, используя внешний жесткий диск с самошифрованием, то должны вас разочаровать. Научная статья, авторами которой указаны Gunner Alendal, Christian Kison и modg, опубликованная в конце сентября, сообщает: в ходе исследования были проанализированы шесть накопителей компании Western Digital, выпущенные в период с 2007 по 2013 г. В них были выявлены несколько уязвимостей, в том числе совершенно открытые лазейки и несколько путей утечки шифровальных ключей.
SYNful Knock бьет по Cisco
В конце сентября исследователи обнаружили, что почти 200 IP-адресов маршрутизаторов Cisco в более чем 30 странах были атакованы вредоносным встроенным ПО, известным под названием "SYNful Knock". Незадолго до этого фирма FireEye опубликовала отчет, что обнаружила 14 инфицированных роутеров. Физически внедрив это ПО в ПЗУ, атакующие получали лазейку, которая могла сохраняться даже после перезагрузок, сообщил тогда представитель Cisco на запрос CRN. Эта проблема затрагивала три давние модели маршрутизаторов: 1841, 2811 и 3825. VAR"ы ответили тогда, что не ожидают снижения продаж продукции Cisco.
Stagefright 2.0
Весьма подходящее название к празднику (букв. "пугало сцены"). Эта уязвимость вновь напомнила о себе в октябре, уже "в новой версии" Stagefright 2.0, которая затрагивает порядка 1 миллиарда Android-смартфонов. Сообщение о "первой" Stagefright поступило от фирмы Zimperium в июле. Stagefright 2.0 привязана к специально "подправленным" mp3- и mp4-файлам, позволяющим хакерам использовать их для исполнения вредоносного кода. Эта уязвимость затрагивает устройства, использующие Android версии 5.0 и старше, но есть и другая уязвимость, затрагивающая более ранние версии. Google уже выпустила патч для этой проблемы.
Fitbit Flex: опасный браслет?
Совершая пробежку после поедания всех сладостей в Хеллоуин, можно нарваться на неприятность. На конференции Hack.Lu в октябре исследователь Axelle Apvrille из фирмы Fortinet сообщил об уязвимости в популярных фитнес-браслетах Fitbit Flex. Она позволяет проникнуть в фитнес-трекер по каналу Bluetooth, после чего послать вредоносный код или ПО на компьютер. Фирма Fitbit ответила тогда, что не верит в такую уязвимость, однако приветствовала заботу исследователей.
Небезопасный WinRAR
Популярная программа упаковки файлов WinRAR имеет очень существенную уязвимость, объявили исследователи из Vulnerability Lab в октябре. Эта уязвимость, которая затрагивает версию 5.21, может позволить хакерам создать свои собственные сжатые архивы с вредоносным кодом и в конечном счете взломать компьютер. Уязвимость вызвана исполнимыми файлами пакета WinRAR, которые не позволяют проверить файл до того, как он открыт.
Проникновение в iOS 9
Android - не единственная мобильная операционная система с уязвимостью. Новейшая iOS 9 также имеет уязвимость, обнаруженную в октябре, о которой сообщил Хосе Родригес (Jose Rodriguez) на YouTube. Он показал, как можно обойти экран блокировки, получив полный доступ к фотографиям и списку контактов на смартфоне. Можно самому ликвидировать эту уязвимость на iPhone, отключив Siri, когда смартфон блокирован, или создав код доступа, включающий цифры и буквы.
Опять Windows!
В рамках своего традиционного "вторника" Microsoft выпустила, помимо прочих, критичный патч для уязвимости, которая затрагивала все версии Windows. Дефект был обнаружен в браузере Internet Explorer (новый Edge им не затронут); потенциально он позволял хакеру получить доступ к компьютеру через подставной вебсайт и использовать ошибку в том, как браузер обрабатывает объекты в памяти. Уязвимость устраняется патчем MS15-106.
___
* Обыгрывается "trick or treat" - традиционное выпрашивание сладостей в Хеллоуин. (Прим. перев.)