ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — инструкция по удалению устаревшего плагина от VMware, дешифратор для шифровальщика LockBit, уязвимости на Joomla, анализ вредоносного ПО DOPLUGS и анализ Nood RAT, используемого в атаках на Linux. Новости подготовил аналитик центра информационной безопасности «Инфосистемы Джет» Роман Драньков.

VMware предупреждает о необходимости удаления уязвимого плагина

VMware выпустила подробную инструкцию по удалению устаревшего плагина, подверженного двум критическим уязвимостям: CVE-2024-22245(CVSS: 9,6) и CVE-2024-22250(CVSSS: 7,8). Эксплуатируя эти баги, злоумышленник может ретранслировать билеты службы Kerberos и захватить привилегированные сеансы EAP (Enhanced Authentication Plug-in). VMware утверждает, что хотя в настоящее время нет доказательств использования данных уязвимостей, важно как можно быстрее удалить уязвимый плагин. Для исправления необходимо удалить плагин/клиент VMware Enhanced Authentication Plug-in 6.7.0 и Windows-сервис VMware Plug-in Service.

Выпущен дешифратор для шифровальщика LockBit

В глобальной операции Cronos NCA (Национальное агентство по борьбе с преступностью) захватило серверы и арестовало членов группировки, ответственных за распространение RaaS (Ransomware as a Service) LockBit. Эта группировка была замечена в атаках на многие известные организации по всему миру. В рамках операции было получено более тысячи ключей дешифрования, с помощью которых был создан инструмент расшифровки, доступный на портале No More Ransom.

Найденные уязвимости на Joomla грозят миллионам веб-сайтам

В бесплатной системе управления контентом с открытым исходным кодом Joomla версий 5.0.2/4.4.2 и ниже выявлены уязвимости, связанные с функциями управления многофакторной аутентификацией, неправильным