28 октября 2015 г.

Страшно!

Хеллоуин на пороге, и специалистам ИТ-безопасности нужно быть начеку — иначе они рискуют испытать нешуточный испуг из-за хакеров. Прошлый месяц уже принес больше напастей, чем сластей*. Были сообщения о пугающих уязвимостях, связанных с Android, iOS, Windows, популярными приложениями, маршрутизаторами сетей и др. Профессионалам ИБ, суеверны они или нет, вряд ли захочется выглядеть так, будто им явилось привидение в этот Хеллоуин. Поэтому спешим напомнить главные страхи, которые могут-таки маячить где-то рядом.

Android в сетях LTE

Уязвимость в операционной системе Android в сетях LTE, используемых Verizon и AT&T, может позволить некорректный биллинг сотовой связи (в большую или меньшую сторону), спуфинг телефонных номеров, возможность напрямую извлекать данные с других телефонов, совершать звонки без ведома владельца, а также открыть дверь для DoS-атак на сеть оператора. Об этой уязвимости было сообщено в рекомендации, опубликованной 16 октября в общедоступной базе данных уязвимостей (CERT) Университета Карнеги-Меллона. Уязвимость вызвана отсутствием надлежащих разрешений в ОС Android для метода пакетной коммутации, используемого в сетях LTE. Похоже, она не затрагивает iOS-устройства в той же сети, говорится в сообщении. Для устранения этой уязвимости рекомендуется, чтобы каждый провайдер обновил свою сеть.

Adobe Flash — опасен!

В октябре Adobe выпустила экстренное обновление для устранения уязвимости в своем Flash Player. Это было сделано вне регулярного цикла ежемесячных обновлений, последнее из которых рассылалось лишь за несколько дней до этого. Экстренный патч устранял уязвимость, обнаруженную компанией Trend Micro и касавшуюся версий Adobe Flash для Windows, Macintosh и Linux. Уязвимость заключалась в особенностях плагинов этой программы: если программа «падала», это могло дать возможность атакующему захватить контроль над системой. Патч был выпущен после того, как было обнаружено, что эту уязвимость использовали атаки фишинга, в частности, проведенные группой под названием «Pawn Storm» против государственных структур. Вскоре после объявления об уязвимости Apple решила блокировать использование некоторых устаревших версий Flash на своих компьютерах.

Осторожно! Маршрутизаторы Netgear

Уязвимость в некоторых роутерах Netgear для SOHO, обнаруженная этим летом, была широко использована хакерами в конце сентября. Дефект ПО, выявленный специалистами из Shell Shock Labs и Compass Security, потенциально позволял хакерам перенаправить трафик на свои серверы, получив доступ к веб-интерфейсу управления по внутренней сети. По оценке исследователей, лишь одним хакером были взломаны более 10 тыс. роутеров. Netgear выпустила заплату для этой уязвимости.

Жесткие диски с недошифрованием

Если вы думаете, что лучше защищены, используя внешний жесткий диск с самошифрованием, то должны вас разочаровать. Научная статья, авторами которой указаны Gunner Alendal, Christian Kison и modg, опубликованная в конце сентября, сообщает: в ходе исследования были проанализированы шесть накопителей компании Western Digital, выпущенные в период с 2007 по 2013 г. В них были выявлены несколько уязвимостей, в том числе совершенно открытые лазейки и несколько путей утечки шифровальных ключей.

SYNful Knock бьет по Cisco

В конце сентября исследователи обнаружили, что почти 200 IP-адресов маршрутизаторов Cisco в более чем 30 странах были атакованы вредоносным встроенным ПО, известным под названием «SYNful Knock». Незадолго до этого фирма FireEye опубликовала отчет, что обнаружила 14 инфицированных роутеров. Физически внедрив это ПО в ПЗУ, атакующие получали лазейку, которая могла сохраняться даже после перезагрузок, сообщил тогда представитель Cisco на запрос CRN. Эта проблема затрагивала три давние модели маршрутизаторов: 1841, 2811 и 3825. VAR’ы ответили тогда, что не ожидают снижения продаж продукции Cisco.

Stagefright 2.0

Весьма подходящее название к празднику (букв. «пугало сцены»). Эта уязвимость вновь напомнила о себе в октябре, уже «в новой версии» Stagefright 2.0, которая затрагивает порядка 1 миллиарда Android-смартфонов. Сообщение о «первой» Stagefright поступило от фирмы Zimperium в июле. Stagefright 2.0 привязана к специально «подправленным» mp3- и mp4-файлам, позволяющим хакерам использовать их для исполнения вредоносного кода. Эта уязвимость затрагивает устройства, использующие Android версии 5.0 и старше, но есть и другая уязвимость, затрагивающая более ранние версии. Google уже выпустила патч для этой проблемы.

Fitbit Flex: опасный браслет?

Совершая пробежку после поедания всех сладостей в Хеллоуин, можно нарваться на неприятность. На конференции Hack.Lu в октябре исследователь Axelle Apvrille из фирмы Fortinet сообщил об уязвимости в популярных фитнес-браслетах Fitbit Flex. Она позволяет проникнуть в фитнес-трекер по каналу Bluetooth, после чего послать вредоносный код или ПО на компьютер. Фирма Fitbit ответила тогда, что не верит в такую уязвимость, однако приветствовала заботу исследователей.

Небезопасный WinRAR

Популярная программа упаковки файлов WinRAR имеет очень существенную уязвимость, объявили исследователи из Vulnerability Lab в октябре. Эта уязвимость, которая затрагивает версию 5.21, может позволить хакерам создать свои собственные сжатые архивы с вредоносным кодом и в конечном счете взломать компьютер. Уязвимость вызвана исполнимыми файлами пакета WinRAR, которые не позволяют проверить файл до того, как он открыт.

Проникновение в iOS 9

Android — не единственная мобильная операционная система с уязвимостью. Новейшая iOS 9 также имеет уязвимость, обнаруженную в октябре, о которой сообщил Хосе Родригес (Jose Rodriguez) на YouTube. Он показал, как можно обойти экран блокировки, получив полный доступ к фотографиям и списку контактов на смартфоне. Можно самому ликвидировать эту уязвимость на iPhone, отключив Siri, когда смартфон блокирован, или создав код доступа, включающий цифры и буквы.

Опять Windows!

В рамках своего традиционного «вторника» Microsoft выпустила, помимо прочих, критичный патч для уязвимости, которая затрагивала все версии Windows. Дефект был обнаружен в браузере Internet Explorer (новый Edge им не затронут); потенциально он позволял хакеру получить доступ к компьютеру через подставной вебсайт и использовать ошибку в том, как браузер обрабатывает объекты в памяти. Уязвимость устраняется патчем MS15-106.

___

* Обыгрывается «trick or treat» — традиционное выпрашивание сладостей в Хеллоуин. (Прим. перев.)


© 2015. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.

Источник: Сара Куранда, CRN/США