ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 —  кража учетных данных через KeePass, патч GitLab, майнер Dero, предупреждение Cisco о критической уязвимости в сервисе аутентификации и зловредные Chrome-расширения с двойным функционалом.

Кража учетных данных через менеджера паролей KeePass

Исследователи WithSecure в своем отчете описали новую кампанию APT-группировки UNC4696, нацеленную на пользователей популярного менеджера паролей. Злоумышленники более восьми месяцев распространяли модифицированную версию KeePass через рекламу в Bing, которая вела на поддельные сайты вроде keeppaswrd[.]com. Вредоносная сборка, KeeLoader, сохраняла функционал KeePass, но скрытно передавала базы паролей злоумышленникам и развертывала программы-вымогатели с помощью инструмента Cobalt Strike. Рекомендуется скачивать парольные менеджеры только с официальных сайтов и остерегаться рекламных ссылок.

GitLab выпустил патч, который исправляет 10 уязвимостей

Специалисты компании GitLab представили экстренный патч 18.0.1, закрывающий серьезную уязвимость в системе. Обнаруженная брешь могла позволить злоумышленникам получать доступ к защищенной информации без необходимости входа в систему. Уязвимость признана критической из-за простоты ее эксплуатации и потенциального масштаба последствий.

Список основных закрытых уязвимостей:

·       CVE-2025-0993 (CVSS: 7.5) — незащищенная конечная точка GitLab позволяет выполнение Denial-of-service-атаки;

·       CVE-2024-12093 (CVSS: 6.8) — неправильная проверка xPath позволяет модифицировать ответ SAML для обхода двухфакторной аутентификации;

·       CVE-2024-7803 (CVSS 6.5) — интеграция webhook Discord может вызвать Denial-of-service-атаку;

·       CVE-2025-3111 (CVSS: 6.5) — позволяет создать неограниченное количество токенов кластеров