Троянжуулсан WordPress итгэмжлэл шалгагч нь 390,000 итгэмжлэлийг хулгайлсан, Microsoft Azure MFA-д ноцтой эмзэг байдал илэрсэн: Таны кибер аюулгүй байдлын тойм
Троянжуулсан WordPress итгэмжлэл шалгагч MUT-390,000 кампанит ажилд 1244 итгэмжлэл хулгайлсан байна.
MUT-1244 гэгддэг сүрдүүлгийн чадварлаг жүжигчин өнгөрсөн жилийн хугацаанд томоохон хэмжээний кампанит ажил явуулж, 390,000 гаруй WordPress итгэмжлэлийг амжилттай хулгайлсан. Бусад аюул заналхийлэгчид, түүнчлэн аюулгүй байдлын судлаачид, улаан багийнхан, нэвтрэлт шалгагчдад чиглэсэн энэхүү ажиллагаа нь троянжуулсан WordPress итгэмжлэл шалгагч болон хорлонтой GitHub репозиторууд дээр тулгуурлан хохирогчдод халдсан.
Халдагчид WordPress-ийн итгэмжлэл шалгагч гэж сурталчилсан "yawpp" хэмээх хортой хэрэгслийг ашигласан. Хохирогчдын ихэнх нь, тэр дундаа заналхийлэгчид хулгайлагдсан итгэмжлэлийг баталгаажуулахын тулд уг хэрэгслийг ашиглаж, өөрсдийн систем, өгөгдлийг санамсаргүйгээр ил болгосон. Үүний зэрэгцээ MUT-1244 нь мэдэгдэж байгаа арын хаалгатай концепцын баталгааг агуулсан олон GitHub репозиторуудыг суулгасан. эмзэг байдал. Эдгээр агуулахууд нь хууль ёсны мэт харагдахаар бүтээгдсэн бөгөөд ихэвчлэн Feedly, Vulnmon зэрэг аюул заналхийллийн тагнуулын мэдээллийн хэрэгсэлд байдаг. Энэхүү жинхэнэ бодит байдал нь мэргэжлийн хүмүүс болон хортой жүжигчдийг хууран мэхэлсэн бөгөөд энэ нь арын хаалгатай тохиргооны файлууд, Python дусаагуурууд, хортой npm багцууд, хуурамч PDF баримтууд гэх мэт янз бүрийн аргаар дамжуулагдсан хортой програмыг ажиллуулахад хүргэсэн.
Энэхүү аянд мөн А фишинг элемент. Хохирогчид CPU-ийн микрокодын шинэчлэлт гэж үзсэн боловч үнэндээ хортой програм гэж үзсэн зүйлээ суулгахын тулд тушаалуудыг ажиллуулдаг байсан. Суулгасны дараа уг хортой програм нь криптовалют олборлогч болон арын хаалганы аль алиныг нь суулгаж, халдагчдад SSH хувийн түлхүүр, AWS хандалтын түлхүүр, орчны хувьсагч зэрэг эмзэг мэдээллийг хулгайлах боломжийг олгосон. Хулгайлагдсан мэдээлэл Дараа нь Dropbox болон file.io зэрэг платформууд руу хортой програмд суулгасан хатуу кодлогдсон итгэмжлэлүүдийг ашиглан шүүгдсэн.
Gophish-г байрлуул
Судлаачид Microsoft Azure MFA дахь чухал эмзэг байдлыг илрүүлж, дансыг нь авахыг зөвшөөрөв
Oasis Security-ийн аюулгүй байдлын судлаачид Microsoft Azure-ийн олон хүчин зүйлийн нэвтрэлт танилт (MFA) системийн чухал эмзэг байдлыг илрүүлсэн бөгөөд энэ нь тэдэнд MFA хамгаалалтыг давж, нэг цагийн дотор хэрэглэгчийн бүртгэлд зөвшөөрөлгүй нэвтрэх боломжийг олгосон. ГХЯ-ны амжилтгүй оролдлогын тарифын хязгаарлалт байхгүйгээс үүссэн алдаа нь 400 сая гаруй Microsoft 365 бүртгэлийг эрсдэлд оруулж, Outlook имэйл, OneDrive файлууд, багийн чатууд, Azure Cloud үйлчилгээ зэрэг нууц мэдээллийг задруулсан байна.
"AuthQuake" гэж нэрлэсэн эмзэг байдлыг ашигласнаар халдагчид 1 сая боломжит хослол бүхий зургаан оронтой MFA кодыг таах оролдлогыг нэгэн зэрэг шуурхай хийж чадна. Амжилтгүй нэвтрэх оролдлогын үед хэрэглэгчийн анхааруулга байхгүй байсан нь халдлагыг нууцалж, илрүүлэхэд хэцүү болгосон. Нэмж дурдахад, Microsoft-ын систем нь ГХЯ-ны кодыг RFC-2.5-аас санал болгосон 30 секундын хугацаанаас 6238 минутаар урт буюу XNUMX минут орчим хугацаанд хүчинтэй байлгах боломжийг олгосон нь амжилттай таамаглах магадлалыг мэдэгдэхүйц нэмэгдүүлж байгааг судлаачид тогтоожээ.
Туршилтын явцад судлаачид 24 сесс (ойролцоогоор 70 минут) дотор халдагчид зөв кодыг 50 гаруй хувиар таах боломжтой болохыг харуулсан.
ОХУ үндэсний хууль тогтоомжийг зөрчсөн гэх үндэслэлээр Viber-ийг хаалаа
ОХУ-ын харилцаа холбооны зохицуулагч Роскомнадзор үндэсний хууль тогтоомжийг зөрчсөн гэх үндэслэлээр шифрлэгдсэн мессежийн Viber програмыг хаажээ. Дэлхий даяар өргөн хэрэглэгддэг уг аппликейшн нь терроризм, хэт даврагч үзэл, хар тамхины наймаа, хууль бус мэдээлэл түгээх зэрэг үйл ажиллагаанд буруугаар ашиглахаас урьдчилан сэргийлэхэд чиглэсэн шаардлагыг хангаагүй гэж буруутгаж байсан. Роскомнадзор эдгээр эрсдлийг бууруулах, Оросын хууль тогтоомжийг дагаж мөрдөхийн тулд хязгаарлалтыг шаардлагатай гэж үзжээ.
Ширээний болон гар утасны платформ дээр ашиглах боломжтой Viber нь Google Play Store дээр 1 тэрбум гаруй татан авалт, iOS үйлдлийн систем дээр ихээхэн хэмжээний хэрэглэгчийн оролцоотойгоор асар их алдартай. Гэсэн хэдий ч энэ алхам нь Оросын эрх баригчдын гадаад харилцааны платформд чиглэсэн хэд хэдэн үйлдлийн дараа болсон юм. 2023 оны зургадугаар сард Москвагийн шүүх ОХУ-ын Украинд үргэлжилж буй мөргөлдөөнтэй холбоотой материалыг багтаасан хууль бус гэж тэмдэглэсэн контентыг устгаагүй Viber компанийг нэг сая рублийн торгууль ногдуулсан. Viber-ийн эсрэг тэмцэл нь ОХУ-аас мессежийн үйлчилгээнд тавьсан өргөн хүрээний хязгаарлалттай нийцэж байна.
