MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Cisco објави закрпи за да се справи со безбедносниот пропуст со висока сериозност што влијае на неговиот софтвер Secure Client, кој може да биде искористен од страна на актер за закана за да се отвори VPN сесија со онаа на насочен корисник.

Компанијата за мрежна опрема ја опиша ранливоста, следена како CVE-2024-20337 (оценка CVSS: 8,2), како што му дозволува на неавтентициран, далечински напаѓач да изврши напад со вбризгување на линијата за враќање на превозот ( CRLF ) против корисник.

Како резултат на недоволна валидација на влезот обезбеден од корисникот, актерот за закана може да го искористи пропустот за да го измами корисникот да кликне на специјално направена врска додека воспоставува сесија VPN.

„Успешна експлоатација може да му овозможи на напаѓачот да изврши произволен скриптен код во прелистувачот или да пристапи до чувствителни информации засновани на прелистувач, вклучително и валиден SAML токен“, се said во советот од компанијата.

„Напаѓачот потоа може да го користи токенот за да воспостави VPN сесија за далечински пристап со привилегиите на засегнатиот корисник. Поединечните хостови и услуги зад главниот дел на VPN сè уште ќе имаат потреба од дополнителни ингеренции за успешен пристап“.

Ранливоста влијае на Secure Client за Windows, Linux и macOS и е опфатена во следните верзии –

• Порано од 4.10.04065 (не е ранлив)
• 10.04065 и подоцна (поправено во 4.10.08025)
• 0 (мигрирање на фиксно издание)
• 1 (фиксна во 5.1.2.42)

Безбедносниот истражувач на Амазон, Paulos Yibelo Mesfin  , е заслужен за откривање и известување за пропустот, за The Hacker News дека недостатокот им овозможува на напаѓачите пристап до локалните внатрешни мрежи кога целта ќе посети веб-локација под нивна контрола.

Cisco, исто така, објави поправки за CVE-2024-20338 (оценка CVSS: 7.3), уште една голема грешка во Secure Client за Linux што може да дозволи автентицираниот, локален напаѓач да ги подигне привилегиите на погодениот уред. Решен е во верзијата 5.1.2.42.

Напаѓачот може да ја искористи оваа ранливост со копирање на злонамерна библиотечна датотека во одреден директориум во датотечниот систем и убедување на администраторот да рестартира одреден процес“, се said . „Успешна експлоатација може да му овозможи на напаѓачот да изврши произволен код на засегнатиот уред со права на root“.

Извор: (thehackernews.com)

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

YouTube веќе не ги прикажува препорачаните видеа на корисниците што се одјавени од сметката на Google или користат инкогнито режим, со што луѓето се загрижени дека се малтретирани дека секогаш се најавени на услугата.

Оваа промена, која сега се појавува, прикажува едноставна почетна страница на YouTube без никакви видеа или совети за тоа што да гледате.

Претходно, дури и во режим на инкогнито или кога не сте најавени, Google сепак ќе ви прикажува предлози за видео.

YouTube recommendations blank in incognito
Source: BleepingComputer

Сега, корисниците гледаат порака која вели „Започнете“ и „Почнете да гледате видеа за да ни помогнете да создадеме довод на видеа што ќе ви се допаднат“ кога ќе го отворат YouTube во инкогнито режим, а видеата веќе не се препорачуваат.

Во повеќе тестови спроведени од BleepingComputer на различни компјутери, забележавме дека дури и кога бараме нешто на YouTube, тоа не покажува никакви предлози и постојано ја гледаме пораката за да гледаме повеќе видеа.

Како што noted   некои на X, корисниците кои ја исчистиле историјата на пребарување и гледање или ги исклучиле поставките за историја, исто така, не гледаат предлози кога се најавени.

Некои луѓе мислат дека YouTube е напорен во врска со ова, обидувајќи се да ги натера корисниците да ги вклучат поставките за нивната историја.

BleepingComputer контактираше со Google за да дознае повеќе за ажурирањето на YouTube, но одговорот не беше веднаш достапен.

Извор: bleepingcomputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Пораките на Facebook се користат од страна на актери за закана за крадец на информации базиран на Python, наречен Snake, кој е дизајниран да фати акредитиви и други чувствителни податоци.

„Акредитациите собрани од доверливи корисници се пренесуваат на различни платформи како што се Discord, GitHub и Telegram“, said  истражувачот на Cybereason Kotaro Ogino во техничкиот извештај.

Деталите за кампањата first emerged на платформата за социјалните медиуми X во август 2023 година. Нападите подразбираат испраќање на потенцијалните корисници навидум безопасни RAR или ZIP архивски датотеки кои, по отворањето, ја активираат секвенцата на инфекција.

Средните фази вклучуваат два преземачи – серија скрипта и скрипта cmd – со вториот одговорен за преземање и извршување на крадецот на информации од складиштето на GitLab контролирано од актерот.

Cybereason рече дека открил три различни варијанти на крадецот, а третата е извршна датотека составена од PyInstaller. Злонамерниот софтвер, од своја страна, е дизајниран да собира податоци од различни веб-прелистувачи, вклучувајќи го и Cốc Cốc, што укажува на виетнамски фокус.

Собраните информации, кои се состојат од акредитиви и колачиња, потоа се ексфилтрирани во форма на ZIP архива преку Telegram Bot API. Крадецот исто така е дизајниран да фрла информации за колачиња специфични за Facebook, што е индикација дека актерот за закана веројатно сака да ги киднапира сметките за свои цели.

Виетнамската врска е дополнително зајакната со конвенцијата за именување на складиштата GitHub и GitLab и фактот дека изворниот код содржи референци на виетнамскиот јазик.

„Сите варијанти го поддржуваат прелистувачот Cốc Cốc, кој е добро познат виетнамски прелистувач што широко се користи од виетнамската заедница“, рече Огино.

Во текот на изминатата година, во дивината се појавија повеќе крадци на информации насочени кон колачињата на Facebook, вклучувајќи ги S1deload Stealer , MrTonyScam , NodeStealer и VietCredCare .

Развојот доаѓа откако Мета се најде под criticism in the U.S. за неуспехот да им помогне на жртвите чии сметки биле хакирани, повикувајќи ја компанијата да преземе итна акција за да се справи со „драматичниот и постојан скок“ во инцидентите со преземање сметка.

Тоа, исто така, следи по откритието дека актерите за закана „користат веб-локација за измама со клонирани игри, труење со SEO и грешка во GitHub за да ги измамат потенцијалните хакери за играње да работат на малициозен софтвер Lua“, според OALABS Research.

Поточно, операторите на малициозен софтвер користат ранливост на GitHub што овозможува поставената датотека поврзана со проблем во складиштето да опстојува дури и во сценарија каде што проблемот никогаш не е зачуван.

„Ова значи дека секој може да постави датотека во кое било складиште за git на GitHub и да не остави никаква трага дека датотеката постои освен директната врска“,  said  истражувачите , додавајќи дека малициозниот софтвер е опремен со можности за команда и контрола ( В2) комуникации.

Извор: thehackernews