Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — вредоносный код для ОС Linux, ошибка кеша LiteSpeed, критическая уязвимость в Kanister, срочный патч для критической уязвимости брандмауэра (CVE-2024-40766), уязвимость в GitHub Enterprise Server, позволяющая злоумышленникам обходить аутентификацию.

Скрытый вредоносный код sedexp избегал обнаружения в течение двух лет

Специалистами Stroz Friedberg было обнаружено вредоносное ПО для ОС Linux — sedexp. Вредоносная программа запускает процесс kdevtmpfs, что имитирует легитимный системный процесс, еще больше сливаясь с обычной деятельностью и затрудняя его обнаружение с помощью обычных методов. Обнаруженное ВПО использует правило udev, гарантирующее его запуск каждый раз, когда загружается /dev/random. Sedexp также использует методы манипуляции памятью, чтобы скрыть любой файл, содержащий строку sedexp, от стандартных команд, таких как ls или find, скрывая его присутствие в системе. Рекомендуем использовать средство АВПО с актуальным состоянием баз, а также настроить блокировку на соответствующие индикаторы компрометации, приведенные в статье.

Ошибка кеша LiteSpeed делает WordPress уязвимым для атак

Критическая уязвимость безопасности в широко используемом плагине LiteSpeed Cache для WordPress подверглась активной эксплуатации. Уязвимость отслеживается как CVE-2024-28000 (CVSS: 9.8). Она возникает из-за недостатка в функции имитации пользователя плагина, которая использует слабый хеш безопасности для проверки личности пользователя. Злоумышленникам это позволяет подделывать свой идентификатор пользователя и регистрироваться в качестве администратора, что приводит к захвату сайта. Уязвимость особенно опасна из-за простоты эксплуатации. Проблема затрагивает все версии плагина LiteSpeed Cache до 6.3.0.1