AntiBotNet


ЗАСТАНИ | РАЗМИСЛИ | ПОВРЗИ СЕ

Безбедносно предупредување од страна на WordPress: Нов злонамерен софтвер на Linux искористува над дваесетина недостатоци на CMS

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Веб-страниците на WordPress се цел на претходно непознат вид на малициозен софтвер на Linux што ги искористува недостатоците во над дваесетина плагини и теми за да ги зарази ранливите системи.

„Ако страниците користат застарени верзии на такви додатоци, на кои им недостасуваат клучни поправки, целните веб-страници се заразуваат со малициозни JavaScripts кодови“, изјави Doctor Web во извештајот објавен минатата недела.
„Како резултат на тоа, кога корисниците ќе кликнат на заразената страница, тие се пренасочуваат на други страници.

Нападите вклучуваат заразување на список со познати безбедносни пропусти во 19 различни плагини и теми кои најверојатно се инсталирани на WordPress веб-страница, користејќи ги за распоредување имплант што може да таргетира одредена веб-страница за дополнително да ја прошири мрежата.

Исто така, може да вметне JavaScript код преземен од оддалечен сервер со цел да ги пренасочи посетителите на страницата на произволна веб-страница по избор на напаѓачот.

Doctor Web соопшти дека идентификувал втора верзија на backdoor, која користи нов домен за команда и контрола (C2), како и ажурирана листа на недостатоци што опфаќа 11 дополнителни плагини, со што вкупниот број достигна 30.

Двете варијанти вклучуваат не имплементиран метод за brute forcing на администраторските сметки на WordPress, иако не е јасно дали тоа е остаток од претходната верзија или функционалност што допрва треба да се открие.

„Доколку таква опција се имплементира во поновите верзии на backdoor, сајбер – криминалците ќе можат успешно да нападнат некои од оние веб-страници кои користат тековни верзии на плагини со закрпени пропусти“, велат од компанијата.

На корисниците на WordPress им се препорачува да ги ажурираат сите компоненти на платформата, вклучувајќи додатоци и теми од трети страни. Исто така, се препорачува да се користат силни и уникатни најавувања и лозинки за да се заштитат нивните сметки.

Обелоденувањето доаѓа неколку недели откако Fortinet FortiGuard Labs детално анализираше друг ботнет наречен GoTrim кој е дизајниран да ги присилува веб-страниците сами да се хостираат со користење на WordPress content management system (CMS) за преземање контрола врз целните системи.

Пред два месеци, Sucuri забележа дека повеќе од 15.000 WordPress страници биле пробиени како дел од малициозна кампања за пренасочување на посетителите на лажни портали за прашања и одговори. Бројот на активни инфекции во моментов изнесува 9. 314.

Компанијата за безбедност на веб-страници во сопственост на GoDaddy, во јуни 2022 година, исто така сподели информации за traffic direction system (TDS) познат како Parrot кој е забележан како цели на веб-страниците на WordPress со лажен JavaScript код што додава дополнителен малициозен софтвер на хакирани системи.

Извор: The Hacker News

Над 60.000 Exchange сервери ранливи на ProxyNotShell напади

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Повеќе од 60.000 сервери на Microsoft Exchange допрва треба да се закрпат поради ранливоста на CVE-2022-41082 remote code execution (RCE), еден од двата безбедносни недостатоци таргетирани од експлоатите на ProxyNotShell.

Според неодамнешниот твит од безбедносните истражувачи на Shadowserver Foundation, непрофитна организација посветена на подобрување на безбедноста на интернет, речиси 70.000 сервери на Microsoft Exchange се ранливи на ProxyNotShell напади според информациите за верзијата (заглавие x_owa_version на серверите).

Сепак, новите податоци објавени во понеделник покажуваат дека бројот на ранливите сервери на Exchange е намален од 83.946 во средината на декември на 60.865 откриени на 2-ри јануари.

Овие две безбедносни грешки, CVE-2022-41082 и CVE-2022-41040 и колективно познати како ProxyNotShell, влијаат на Exchange Server 2013, 2016 и 2019.

Доколку успешно се експлоатираат, напаѓачите можат да ги ескалираат привилегиите и извршат произволно или remote code execution на компромитирани сервери.

Мајкрософт објави безбедносни надградби за да ги реши недостатоците за време на закрпата во ноември 2022 година, иако ProxyNotShell нападите беа откриени во септември 2022 година.

Threat intelligence компанијата GreyNoise ја следи тековната експлоатација на ProxyNotShell од 30 септември и обезбедува информации за активноста на скенирање на ProxyNotShell и листа на IP адреси поврзани со нападите.

За да ги заштитите вашите сервери на Exchange од напади, треба да ги примените  ProxyNotShell закрпите објавени од страна на Microsoft во ноември.

Иако компанијата обезбеди и мерки за ублажување, тие можат да бидат избегнати од  страна на напаѓачите, што значи дека само целосно закрпените сервери се безбедни од компромис.

Како што објави BleepingComputer минатиот месец, ransomware напаѓачите на Play сега користат нов синџир на експлоатација за да ги избегнат ублажувањата за препишување на URL-то на ProxyNotShell и извршат remote code execution на ранливите сервери преку Outlook Web Access (OWA).

За нештата да бидат уште полоши, пребарувањето на Shodan открива значителен број на Exchange сервери изложени на интернет, со илјадници оставени незакрпени поради пропустите на ProxyShell и ProxyLogon што го ставија во топ најексплоатирани пропусти во 2021 година.

Серверите за размена се вредни цели, како што покажа финансиски мотивираната група за сајбер криминал FIN7 која има развиено прилагодена платформа за автоматски напади позната како Checkmarks и дизајнирана да ги нарушува Exchange серверите.

Според threat intelligence компанијата Prodaft, која ја откри платформата, таа скенира и искористува различни пропусти за remote code execution на Microsoft Exchange и зголемување на привилегиите, како што се CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207.

Новата платформа на FIN7 веќе е искористена за инфилтрирање во 8.147 компании, првенствено лоцирани во Соединетите држави (16,7%), по скенирање над 1,8 милиони цели.

Извор: BleepingComputer

NIS2 Директива – објавена во Службениот весник на Европската Унија

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Oбјавена NIS 2 Директивата кoja претставува договор кои осигурува модернизиран и подобрен заеднички Европски Сајбер Простор.

Советот и Европскиот парламент се согласија за мерки за високо заедничко ниво на сајбер-безбедност низ Унијата, за понатамошно подобрување на отпорноста и капацитетите за одговор на инциденти и на јавниот и на приватниот сектор и на ЕУ како целина.

NIS2 ќе ја постави основната линија за мерките за управување со ризик од сајбер безбедноста и обврските за известување во сите сектори кои се опфатени со директивата, како што се енергијата, транспортот, здравството и дигиталната инфраструктура.

Директивата NIS 2 ја заменува и укинува Директивата NIS (Директива 2016/1148/ЕЗ).

Линк до NIS 2: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2022:333:FULL&from=FR

Добредојдовте на веб-страницата на Националниот центар за одговор на компјутерски инциденти на Република Македонија.

Со член 26-а од Законот за електронските комуникации во состав на Агенцијата за електронски комуникации се формира посебна организациона единица – Национален центар за одговор на компјутерски инциденти (MKD-CIRT), која ќе претставува официјална национална точка за контакт и координација во справувањето со безбедносните инциденти кај мрежите и информациските системи и кој ќе идентификува и ќе обезбедува одговор на безбедносни инциденти и ризици.

Јавниот клуч и неговите потписи може да се најдат на големите меѓународни јавни сервери за клучеви.

  • Key ID: 0x333C00DB
  • Key Type: RSA 4096
  • Key Fingerprint: 0FB9 3DA3 E008 FA8B FC6A 9C71 0741 17A1 333C 00DB