Исправляйте до релиза: Path Traversal – главный враг разработчиков

CISA и ФБР призвали разработчиков ПО призывом активнее выявлять и устранять уязвимости обхода пути (path traversal) до выпуска продуктов на рынок. Такие недостатки позволяют злоумышленнику создавать или перезаписывать критически важные файлы, что нарушает механизмы аутентификации и приводит к удаленному выполнению кода. Ведомства подчеркивают, что подобные действия становятся возможными из-за недостаточной защиты со стороны производителей технологий, которые не рассматривают данные, предоставляемые пользователями, как потенциально вредоносные. Указанные уязвимости могут дать хакерам доступ к конфиденциальной информации, в том числе к учетным данным, что впоследствии используется для брутфорс-атак. Проблема усугубляется тем, что такие уязвимости уже много лет известны как «непростительные», но несмотря на это, они все еще широко распространены, что подтверждается исследованиями классов уязвимостей CWE-22 и CWE-23.
ФБР и CISA рекомендовали разработчикам принять проверенные меры предосторожности, включая:
генерацию случайного идентификатора для каждого файла с хранением связанных метаданных отдельно от имени файла;
ограничение типов символов, которые могут быть использованы в именах файлов;
обеспечение того, чтобы загружаемые файлы не имели прав на выполнение.
Поводом для данного предупреждения стали недавние атаки на критически важную инфраструктуру, в том числе в секторах здравоохранения и общественного здоровья, где злоумышленники использовали уязвимости перехода по каталогам для реализации своих кампаний. Например, в атаках с использованием уязвимости ScreenConnect CVE-2024-1708. Уязвимости перехода по каталогам заняли 8 место в рейтинге 25 наиболее опасных программных уязвимостей по версии MITRE, уступая таким угрозам, как выход за пределы массива (out-of-bounds), межсайтовый скриптинг (cross-site scripting, XSS) и SQL-инъекции.

Источник: https://www.securitylab.ru/news/547960.php

Открыты для хакеров: SilkSecured бросает вызов суверенитету Китая

Группа китайских исследователей проанализировала конфигурации почти 14 000 государственных сайтов Китая и обнаружила недостатки безопасности, которые могут привести к кибератакам.
В ходе работы под названием SilkSecured специалисты рассмотрели:
разрешение доменных имен;
использование сторонних библиотек;
службы удостоверяющих центров (Certificate Authority, CA);
сервисы доставки контента (Content Delivery Network, CDN);
интернет-провайдеров (Internet Service Providers, ISP);
внедрение HTTPS;
интеграцию IPv6;
реализацию DNSSEC (Domain Name System Security Extensions);
производительность сайтов.
В ходе анализа было обнаружено множество проблем:
более 25% доменов государственных сайтов не имели записей name server (NS), что может свидетельствовать о неэффективной конфигурации DNS и возможной ненадежности или недоступности.
выявлена «заметная зависимость» от пяти провайдеров DNS-услуг – нехватка разнообразия, которая может открыть сетевую инфраструктуру для единых точек отказа.
в 4 250 системах использовались версии библиотеки JavaScript jQuery, подверженные XSS-уязвимости CVE-2020-23064 (CVSS: 6.1), то есть сайты могли стать мишенью удаленной атаки, известной уже около 4 лет.
выявлены проблемы с подписями DNSSEC – обнаружено 101 несогласованность между записями поддоменов и записями подписи ресурсов.
широкий спектр уязвимостей, включая проблемы с заголовками, отсутствие защиты от CSRF-атак, отсутствие политик безопасности контента и утечку информации о внутренних IP-адресах.
Несмотря на умеренно распределенную географию интернет-провайдеров, используемых государственными сайтами, исследователи посчитали избыточность серверов недостаточной для оптимальной безопасности и надежности.
Исследователи пришли к выводу, что выявленные проблемы могут не иметь быстрого решения. Уязвимость систем к кибератакам подчеркивает «острую необходимость постоянного мониторинга и обнаружения вредоносной активности». Также отмечена потребность в «жестком отборе и регулярном обновлении» сторонних библиотек. Авторы призывают к «диверсифицированному распределению сетевых узлов» для повышения устойчивости и производительности систем. Результаты исследования вряд ли будут благосклонно восприняты в Пекине, учитывая призывы правительства КНР к улучшению цифровых госуслуг и часто выпускаемые указания об улучшении кибербезопасности.

Источник: https://www.securitylab.ru/news/547944.php

Месть уволенного: как IT-компания стала жертвой своего сотрудника

Бывший консультант по кибербезопасности арестован за попытку вымогательства у известной IT-компании $1,5 млн. в обмен на неразглашение конфиденциальной информации. 57-летний Винсент Каннади, через кадровое агентство был привлечён для оценки и устранения уязвимостей в международной IT-компании с офисом в Нью-Йорке. 23 июня 2023 года Каннади уволили по причине низкой производительности, из-за чего Каннади использовал служебный ноутбук для скачивания в личное облачное хранилище проприетарной информации компании, включая информацию об архитектуре сети, коммерческие тайны и списки потенциальных уязвимостей. Каннади угрожал раскрыть украденную информацию, если компания не выплатит ему $1,5 млн. как компенсацию за «дискриминацию на рабочем месте». После начала расследования обстоятельств кражи данных, Каннади усилил свои требования, заблокировал доступ кадровой компании к ноутбуку и начал длительный процесс вымогательства, включая угрозы юридической ответственности по поводу эмоционального вреда и других претензий. Обвиняемый также пытался привлечь внимание СМИ, намекая на публичное разглашение украденной информации или её раскрытие через судебные иски и жалобы в регулирующие органы, что могло бы нанести ущерб репутации компании и уверенности инвесторов. Каннади требовал от компании урегулировать претензии о дискриминации и эмоциональном вреде, а также требовал внесения пунктов в договор, запрещающих компании преследовать его в рамках уголовной статьи. Он указал, что «сразу опубликует все документы, как только дело будет возбуждено». В случае признания Каннади виновным, ему грозит до 20 лет тюремного заключения. Судебное решение примет Федеральный окружной суд Южного округа Нью-Йорка.

Источник: https://www.securitylab.ru/news/547961.php

Битва против цифрового рабства: разработчик судится с Facebook за свободу слова

Профессор Этан Зукерман из Университета Массачусетса в Амхерст подал иск с требованием подтвердить законность его браузерного расширения Unfollow Everything 2.0. Расширение, разрабатываемое для облегчения процесса отписки от друзей, групп и страниц на Facebook*, должно помочь пользователям освободиться от психологического давления соцсети, заставляющего их постоянно листать новостную ленту. Зукерман заявил, что его цель — сделать Facebook лучше, утверждая, что крупные социальные сети слишком много контролируют то, какой контент видят пользователи. Профессор стремится дать людям больше контроля над процессом использования соцсетей и расширить знания о том, как платформы формируют общественное мнение. Иск содержит требование к суду подтвердить, что расширение Зукермана не нарушает Условия обслуживания Meta* и законодательство США. В иске утверждается, что, законодатели США, принимая раздел 230 Закона о порядочности в сфере коммуникаций, стремились способствовать разработке инструментов фильтрации контента для пользователей. В иске также подчеркивается, что раздел 230 не только защищает социальные платформы от юридической ответственности за контент пользователей, но и поддерживает право разработчиков на создание инструментов для курирования контента. Адвокаты Зукермана отмечают, что пользователи имеют право не принимать соцсети такими, какие они есть, и могут самостоятельно решать, что видеть в своих лентах. Как поясняется в иске, общественность обеспокоена тем, что бизнес-модель социальных сетей, направленная на вовлечение людей в рекламу, является манипулятивной и вредит общественно-политическому дискурсу. Однако профессор выражает опасения по поводу возможных юридических последствий. В 2021 году разработчик из Великобритании Луи Барклай, создавший аналогичный инструмент Unfollow Everything, был забанен в Facebook на всю жизнь после угрозы судебного иска от Meta. Некоторые специалисты выражают сомнения в перспективах дела, подчеркивая, что суд может отклонить иск из-за отсутствия оснований для рассмотрения. С другой стороны – у Зукермана есть все основания для подачи иска, поскольку угрозы от Meta уже были реализованы в отношении других разработчиков. Исход дела может существенно повлиять на будущее разработки ПО для фильтрации контента, в том числе приложений для блокировки контента. Однако даже в случае успеха Зукермана, Meta может применить технические контрмеры для обхода действия расширения, как это уже делают другие компании в сфере социальных медиа и рекламы.

Источник: https://www.securitylab.ru/news/547942.php

Бывшие сотрудники Outabox похитили биометрию австралийских тусовщиков

Правоохранительные органы и федеральные агентства расследуют масштабную утечку персональных данных, связанную с системой распознавания лиц в барах и клубах по всей Австралии. Инцидент высвечивает растущие опасения общества по поводу конфиденциальности, поскольку подобные технологии все шире применяются в учебных заведениях, торговых центрах, на спортивных мероприятиях и в других общественных местах. Пострадавшей стороной оказалась компания Outabox. Ее головной офис находится в Австралии, но есть также представительства в США и на Филиппинах. Во время пандемии COVID-19 Outabox разработала умную систему распознавания лиц, которая сканировала посетителей и измеряла их температуру тела на входе. Технология также распознавала участников специальной программы самоисключения для людей, страдающих игровой зависимостью. В сети недавно появился веб-сайт «Have I Been Outaboxed», якобы созданный бывшими сотрудниками компании из Филиппин. На главной странице пользователям предлагают ввести свое имя, чтобы проверить, не была ли их личная информация включена в базу данных Outabox. По заявлению создателей сайта, в корпоративном архиве имелись серьезные недостатки внутреннего контроля безопасности, и данные хранились в незащищенном виде — в обычной таблице. Утверждается, что в распоряжении злоумышленников оказалось свыше 1 миллиона записей. «Это пример последствий, к которым может привести использование систем распознавания лиц, посягающих на частную жизнь», — заявила Саманта Флореани из некоммерческой организации Digital Rights Watch, занимающейся вопросами безопасности данных. «Защитники конфиденциальности давно предупреждали о рисках, связанных с системами слежки, и утечка личных данных — один из них». Согласно сайту Have I Been Outaboxed, в результате утечки оказались скомпрометированы биометрические записи, сканы водительских удостоверений, личные подписи, сведения о членстве в клубах, адреса, дни рождения, номера телефонов и журналы посещений разных заведений. Утверждается также, что Outabox экспортировала данные компании IGT — поставщика игровых автоматов. Владельцы сайта опубликовали фото, подпись и отредактированное водительское удостоверение одного из основателей Outabox. Также они выложили отредактированный снимок экрана, который, судя по всему, демонстрирует внутреннюю базу данных компании. Полиция Нового Южного Уэльса отказалась делиться подробностями расследования. Однако правоохранители заявили , что совместно с федеральными и региональными ведомствами арестовали 46-летнего мужчину в пригороде Сиднея. Ожидается, что ему будет предъявлено обвинение в вымогательстве, но о его личности и причастности к делу ничего неизвестно. Ресурс Have I Been Outaboxed, который на момент написания этого материала продолжает работать, утверждает, что Outabox прекратила выплачивать зарплаты своим разработчикам на Филиппинах. Как известно, многие компании в сфере ИИ нередко привлекают недорогую рабочую силу из других стран, в том числе с Филиппин, для обслуживания своих систем. Владельцы сайта призывают любого, чьи данные фигурируют в утечке, обращаться в соответствующие заведения с требованием удалить системы Outabox. На сайте перечислены 19 заведений-клиентов организации.

Источник: https://www.securitylab.ru/news/547973.php