Дайджест Jet CSIRT [03.02.2021]

03.02.2021

Раскрыта информация ещё о трёх уязвимостях в SolarWinds Orion и SolarWinds Serv-U

Исследователь Trustwave, Мартин Рахманов раскрыл информацию ещё о трёх новых уязвимостях (CVE-2021-25275, CVE-2021-25274, CVE-2021-25276) в SolarWinds Orion и SolarWinds Serv-U. Уязвимость CVE-2021-25275 позволяет непривилегированному пользователю локально или через RDP получить полный доступ к базе данных SOLARWINDS_ORION, тем самым позволяя злоумышленнику украсть информацию или добавить нового пользователя уровня администратора SolarWinds Orion. Вторая уязвимость CVE-2021-25274 позволяет удаленному неаутентифицированному пользователю выполнить код (RCE) и взять под контроль операционную систему. Последняя уязвимость, CVE-2021-25276, затрагивает FTP-сервер Serv-U, и позволяет любому аутентифицированному пользователю повысить локальные привилегии вплоть до администратора системы.


Недавняя уязвимость в Sudo Baron Samedit затрагивает и macOS

Ряд независимых исследователей в области информационной безопасности отмечают, что уязвимость sudo CVE-2021-3156 (Baron Samedit) также влияет на последнюю версию Apple macOS, Big Sur 11.2. Несмотря на то, что уязвимость была исправлена в ряде дистрибутивов Linux, включая Ubuntu, Debian и Fedora, согласно сообщениям специалистов Qualys Research Team, исправление для macOS пока недоступно. Для подтверждения влияния уязвимости на устройства под управлением macOS, исследователем Мэтью Хики был создан и выложен в открытый доступ упрощённый PoC-эксплойт. По словам специалиста, вся имеющаяся у него информация по уязвимости передана в Apple.


Выявлен веб-скиммер крадущий данные у конкурирующего скиммера

Эксперты Malwarebytes опубликовали расследование осенних атак на портал Costway, в которых использовалась уязвимость в платформе Magento. В рамках расследования экспертам удалось выделить код двух конкурирующих между собой веб-скиммеров. В ходе работы один из скиммеров отображал посетителям фальшивую форму оплаты, в то время как второй, опережая конкурента, воровал вводимые в форму данные. При этом, первый веб-скиммер устанавливался непосредственно через эксплойт, а код второго подгружался с внешнего источника.