Skocz do treści

Kategoria: Podatności

Wykryte podatności, 0day, odkrycia bug bounty.

Ataki na Cisco RV320/RV325

25 stycznia pojawił się w sieci eksploit na podatności routerów Cisco RV320 i RV325: CVE-2019-1652 oraz CVE-2019-1653. Wykorzystanie eksploita pozwala wykonać zdalnie dowolne polecenie na urządzeniu oraz pobrać konfigurację urządzeń z danymi uwierzytelniającymi (hash MD5). Praktycznie natychmiast pułapki (honeypots) utrzymywane przez zespół Bad Packets zaczęły wykrywać skanowanie w poszukiwaniu podatnych urządzeń. Szacuje się, ze jest ich ponad dziewięć tysięcy z czego 233 w Polsce (stan na 26 stycznia). Przejęcie kontroli na routerem umożliwia jego wykorzystanie w botnecie – zdalnie zarządzanej sieci urządzeń wykorzystywanych do ataków, w tym DDoS. Należy jak najszybciej zastosować aktualizacje opublikowane przez Cisco: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-inject https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-info

Podsłuchiwanie przez FaceTime

Apple ma problem z aplikacją do rozmów wideo i głosowych – FaceTime. Aplikacja na iOS inicjowała jednostronną transmisję dźwięku w rozmowie grupowej bez akceptacji połączenia przez ofiarę. Aby wykorzystać błąd należało zainicjować połączenie i zanim ofiara odbierze dodać do rozmowy samego siebie – tworzyła się rozmowa grupowa, przy czym aplikacja na telefonie ofiary rozpoczynała transmisję dźwięku. Dziś od około 4:00 (CET) rano usługa rozmów grupowych FaceTime jest nieaktywna (stan na 23:18 CET). Jak zauważa Graham Cluley błąd był zgłaszany wieloma możliwymi drogami już 20 stycznia 2019, jednak Apple zareagował dopiero po dziewięciu dniach, gdy sprawą zainteresowały się media.

pear.php.net zhakowany

PEAR – repozytorium rozszerzeń i bibliotek PHP ( PHP Extension and Application Repository ) zostało zhakowane. Ktoś podmienił manager pakietów go-pear.php na zawierający złośliwy kod. Nie wykryto jeszcze sposobu, w jaki haker podmienił kod, jednak w oświadczeniu możemy przeczytać, że podmieniony plik mógł znajdywać się w repozytorium nawet pół roku. Każdy, kto w tym czasie pobierał plik z repozytorium może porównać jego kod oraz sumy kontrolne z opublikowanymi oryginalnymi na GitHubie. Niezgodność oznacza plik z złośliwym kodem (tylną furtką). Repozytorium jest niedostępne do czasu odbudowania kodu, którego bezpieczeństwo jest pewne.