Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — новое вредоносное ПО для АСУ ТП FrostyGoop, исправление уязвимости в плагине AuthZ в Docker, вредоносная кампания на GitHub, PKfail позволяет обойти Secure Boot и получение доступа к удаленным данным на GitHub

В своем отчете специалисты Dragons проанализировали работу ВПО FrostyGoop в кампании, направленной на систему отопления крупного города. Кибератака оставила более 600 многоквартирных домов без горячей воды на протяжении 48 часов. ВПО направлено на ICS-системы, используемые для управления и мониторинга оборудованием в промышленности, позволяя контролировать процессы на предприятиях. FrostyGoop разработан специально для АСУ ТП и может напрямую взаимодействовать с промышленными системами управления. В исследуемом инциденте использовался протокол Modbus для атаки на контроллеры ENCO с открытым портом TCP 502. Злоумышленникам удалось отправить команды на котроллеры оборудования, что позволило изменить показатели температуры и привело к подаче холодной воды вместо горячей. FrostyGoop не является единственным примером подобного ВПО, что лишний раз подчеркивает необходимость создания и постоянной актуализации комплексной системы защиты критической инфраструктуры на предприятиях.

Специалисты Docker опубликовали бюллетень поуязвимости CVE-2024-41110 (CVSS 10), ей подвержен Docker Engine версий до 19.03.15, 20.10.27, 23.0.14, 24.0.9, 25.0.5, 26.0.2, 26.1.4, 27.0.3 и 27.1.0 и пользователи, применяющие плагины авторизации для контроля доступа. Злоумышленнику достаточно отправить API запрос с Content-Length равным 0. В результате, если не установлено запрещающее правило, запрос будет одобрен, и злоумышленник получит несанкционированный доступ с возможностью повышения привилегий. Как выяснилось, об этой уязвимости