В подсистеме eBPF, позволяющей запускать обработчики для трассировки, анализа работы подсистем и управления трафиком, выполняемые внутри ядра Linux в специальной виртуальной машине с JIT, выявлена уязвимость (CVE-2021-29154), позволяющая локальному пользователю добиться выполнения своего кода на уровне ядра. Проблема проявляется вплоть до выпуска 5.11.12 (включительно) и ещё не исправлена в дистрибутивах (Debian, Ubuntu, RHEL, Fedora, SUSE, Arch). Исправление доступно в виде патча.

Злоумышленники предположительно получили доступ администратора с правами суперпользователя ко всем учетным записям Ubiquiti AWS.

Крупный поставщик облачных IoT-устройств Ubiquiti в январе 2021 года сообщил о взломе стороннего поставщика облачных услуг, в результате которого были похищены учетные данные клиентов. Однако источник ресурса KrebsOnSecurity утверждает, что Ubiquiti сильно преуменьшила значение «катастрофического» инцидента с целью минимизировать удар по цене своих акций, а заявление стороннего поставщика облачных услуг было сфабриковано.

«Это было намного хуже, чем сообщалось, и об этом умолчали. Взлом был серьезным, данные клиентов оказались под угрозой, доступ к устройствам клиентов, развернутым в корпорациях и домах по всему миру, был под угрозой», — сообщил ИБ-специалист, который помогал Ubiquiti отреагировать на инцидент.

Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1k , в котором устранены две уязвимости, которым присвоен высокий уровень опасности:

• CVE-2021-3450 - возможность обхода проверки сертификата удостоверяющего центра при включении флага X509_V_FLAG_X509_STRICT, который отключён по умолчанию и применяется для дополнительной проверки наличия сертификатов в цепочке. Проблема внесена в появившейся в OpenSSL 1.1.1h реализации новой проверки, запрещающей использование сертификатов в цепочке, в которых явно закодированы параметры эллиптической кривой.
  Из-за ошибки в коде новая проверка переопределяла результат выполненной до этого проверки корректности сертификата удостоверяющего центра. В итоге сертификаты заверенные самоподписанным сертификатом, который не связан цепочкой доверия с удостоверяющим центром, обрабатывались как полностью заслуживающие доверия. Уязвимость не проявляется в случае установки параметра "purpose", который по умолчанию выставляется в процедурах проверки клиентских и серверных сертификатов в libssl (применяется для TLS).
• CVE-2021-3449 - возможность вызова краха сервера TLS через отправку клиентом специально оформленного сообщения ClientHello. Проблема связана с разыменованием указателя NULL в реализации расширения signature_algorithms. Проблема проявляется только на серверах с поддержкой TLSv1.2 и разрешением повторного согласования соединения (включено по умолчанию).

Опасная ситуация с VMware vCenter Server (управление виртуальной инфраструктурой). Только вышло оповещение, что надо обновиться, т.к. есть брешь, как сразу же был выпущен эксплоит. Большинство не успело обновиться и идут сообщения с массовым сканированием на незакрытую дыру.
 

Исследователи безопасности из компании Qualys выявили критическую уязвимость (CVE-2021-3156) в утилите sudo, предназначенной для организации выполнения команд от имени других пользователей. Уязвимость позволяет получить доступ с правами root без прохождения аутентификации и без наличия необходимых полномочий. Проблема может быть эксплуатирована любым пользователем, независимо от присутствия в системных группах и наличия записи в файле /etc/sudoers. Для атаки не требуется ввод пароля пользователя, т.е. уязвимость может применяться посторонним для повышения привилегий в системе после компрометации уязвимости в непривилегированном процессе (в том числе запускаемом под пользователем "nobody").

Исследователи продемонстрировали рабочие эксплоиты для получения полных привилегий root в Ubuntu 20.04, Debian 10 и Fedora 33. Не исключается возможность эксплуатации уязвимости и в других операционных системах и дистрибутивах, но проверка исследователями ограничилась Ubuntu, Debian и Fedora. Проблеме подвержены все версии sudo с 1.8.2 по 1.8.31p2 и с 1.9.0 по 1.9.5p1 в конфигурации по умолчанию. Исправление предложено в выпуске sudo 1.9.5p2.

В пакете Dnsmasq, объединяющем кэширующий DNS-резолвер и сервер DHCP, выявлено 7 уязвимостей, которым присвоено кодовое имя DNSpooq. Проблемы позволяют осуществить атаки по подстановке фиктивных данных в кэш DNS или вызвать переполнение буфера, потенциально способное привести к удалённому выполнению кода атакующего. Уязвимости устранены в сегодняшнем обновлении Dnsmasq 2.83. В качестве обходных путей защиты рекомендуется отключить DNSSEC и кэширование запросов при помощи опций командной строки "--dnssec" и "--cache-size=0" или настроек "dnssec" (нужно закомментировать) и "cache-size=0" в файле конфигурации dnsmasq.conf.

В маршрутизаторах FiberHome, применяемых провайдерами для подключения абонентов к оптическим линиям связи GPON, выявлено 17 проблем с безопасностью, среди которых наличие бэкдоров с предопределёнными учётными данными, позволяющими удалённо управлять оборудованием. Проблемы дают возможность удалённому атакующему получить root-доступ к устройству без прохождения аутентификации. Наличие уязвимостей подтверждено в устройствах FiberHome HG6245D и RP2602, а также частично в устройствах AN5506-04-*, но не исключено, что проблемы затрагивают и другие модели маршрутизаторов данной компании, которые не проверялись.

В оборудовании Zyxel выявлено наличие бэкдора (CVE-2020-29583), позволяющего удалённо получить доступ к устройству с правами администратора. Проблема вызвана наличием встроенной учётной записи "zyfwp", дающей возможность подключиться к системе с предопределённым паролем "PrOw!aN_fXp" по протоколу SSH или через web-интерфейс.

Состоялся релиз новой стабильной ветки сетевого анализатора Wireshark 3.4. Напомним, что изначально проект развивался под именем Ethereal, но в 2006 году из-за конфликта с владельцем торговой марки Ethereal, разработчики были вынуждены переименовать проект в Wireshark.

Спустя больше года с момента прошлого выпуска представлен релиз сканера сетевой безопасности Nmap 7.90, предназначенного для проведения аудита сети и выявления активных сетевых сервисов. В состав включено 3 новых NSE-скрипта для обеспечения автоматизации различных действий с Nmap. Добавлено более 1200 новых сигнатур для определения сетевых приложений и операционных систем.

После года разработки организация OISF (Open Information Security Foundation) опубликовала релиз системы обнаружения и предотвращения сетевых вторжений Suricata 6.0, которая предоставляет средства инспектирования различных видов трафика. В конфигурациях Suricata допустимо задействование базы сигнатур, развиваемой проектом Snort, а также наборов правил Emerging Threats и Emerging Threats Pro. Исходные тексты проекта распространяются под лицензией GPLv2.

Компания Cisco Systems устранила две активно эксплуатируемые DoS-уязвимости исчерпания памяти, которые были обнаружены в программном обеспечении IOS XR на нескольких маршрутизаторах операторского уровня.

Сетевая ОС Cisco IOS XR развернута на нескольких моделях маршрутизаторов, включая серии NCS 540 и 560, NCS 5500, 8000 и ASR 9000.

Доступны обновления авторитетного (authoritative) DNS-сервера PowerDNS Authoritative Server 4.3.1, 4.2.3 и 4.1.14, в которых устранены четыре уязвимости, две из которых потенциально могут привести к удалённому выполнению кода атакующего.

Компания Eclypsium, которая специализируется на корпоративных решениях безопасности, обнаружила новую уязвимость, которая позволяет злоумышленникам получить почти полный контроль над системами, работающими под управлением Windows и Linux. Компания утверждает, что уязвимы «миллиарды устройств», включая ноутбуки, настольные ПК, серверы и рабочие станции, а также специализированные компьютеры, используемые в промышленности, здравоохранении, финансовой и других отраслях.

Заступник Секретаря Ради національної безпеки і оборони України Сергій Демедюк повідомив, що працівники Національного координаційного центру кібербезпеки при Раді національної безпеки і оборони України зафіксували перші спроби нового типу DDOS-атак на найбільш ранньому їх етапі.
 
«Вже тоді ми зрозуміли серйозність загрози — всього за кілька днів хакери успішно атакували десятки провайдерів по всьому світу, включно з Україною. Аналіз зібраних нами даних показав, що більшість інцидентів на перших етапах були лише підготовкою до великої скоординованої атаки, направленої на блокування доступу до сегментів інтернету на глобальному рівні. Тому ми одразу попередили українських провайдерів, відповідних суб’єктів кібербезпеки та зарубіжних партнерів про загрозу та надали рекомендації щодо реагування на подібні атаки», - зазначив С. Демедюк.