ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — новый Linux-руткит, угрожающий серверам через Netfilter, уязвимость pam-u2f, позволяющая обойти аутентификацию без токена, обнаружение неэффективности UEFI Secure Boot против буткитов, а также обновления безопасности для Rsync и GIT.

Новый Linux-руткит угрожает серверам через Netfilter

Специалисты FortiGuard выявили руткит, которым злоумышленники атаковали серверы CentOS Linux. Угроза распространяется через различные уязвимости и предоставляет атакующим полный контроль над целевой системой. ВПО представляет собой загружаемый модуль ядра sysinitd.ko и двоичный файл sysinitd. Кроме того, с целью закрепления в целевой системе руткит добавляется в автозагрузку посредством файлов /etc/rc.local и /etc/rc.d/rc.local. В результате анализа выяснилось, что ВПО использует Netfilter с целью перехвата входящего сетевого трафика. После перехвата соединения формируется специальный пакет attack-init, который инициирует процесс взаимодействия с целевой системой, то есть удаленное исполнение произвольного кода с правами суперпользователя. Специалисты FortiGuard предоставили индикаторы компрометации вредоносных файлов и загрузчика.

Уязвимость pam-u2f позволяет обойти аутентификацию без токена

Разработчики openSUSE обнаружили уязвимость CVE-2025-23013 (CVSS: 7.3) в PAM-модуле для двухфакторной аутентификации pam-u2f. Проблема касается аутентификации через FIDO-устройства, поддерживающие протокол Universal 2nd Factor. Уязвимость дает возможность пользователю с непривилегированным локальным доступом к системе в некоторых конфигурациях PAM пройти аутентификацию без необходимости использования аппаратного токена. На практике модуль pam-u2f обычно используется для двухфакторной или беспарольной аутентификации с применением