Дайджест Jet CSIRT [10.02.2021]

11.02.2021

Исследователь взломал более 35 технологических компаний в ходе атаки на цепочку зависимостей

 

Исследователь обратил внимание, что в размещаемом на GitHub коде компании не удаляют из manifest-файлов упоминание дополнительных зависимостей, используемых во внутренних проектах. Для атаки достаточно определить имена пакетов с внутренними зависимостями и создать собственные пакеты с такими же именами в публичных репозиториях NPM, PyPI и RubyGems. Проблема заключается в том, что пакетные менеджеры такие как npm, pip и gem пытаются загрузить внутренние зависимости в том числе из публичных репозиториев. Исследователь установил, что атаке подвержены такие крупные компании как Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla и Uber. Microsoft уже выпустила рекомендации по снижению риска от атак, связанных с данной техникой.


Microsoft выпустило февральское обновление безопасности

 

Компания Microsoft устранила более полусотни уязвимостей, 11 из которых обозначены как критические, две – как средней опасности и 43 – как важные. Среди исправленных уязвимостей имеется уязвимость нулевого дня (CVE-2021-1732), которая позволяет злоумышленникам или вредоносной программе повышать привилегии до уровня администратора. Уязвимость обнаружила китайская компания DBAPPSecurity в декабре 2020 года. По информации исследователей уязвимость активно использовала APT Bitter при проведении целевых атаках.


В macOS исправлена уязвимость в sudo

 

Компания Apple опубликовала обновление для операционных систем macOS Big Sur, Catalina и Mojave, которое закрывает уязвимость CVE-2021-3156. Уязвимость позволяла непривилегированному пользователю получить доступ с правами root в обход проверки необходимых полномочий и без прохождения аутентификации.