Дайджест Jet CSIRT [15.04.2022]

15.04.2022

Уязвимость в AWS VPN Client позволяет повысить привилегии до уровня системы

Приложение AWS VPN Client, построенное на базе OpenVPN-клиента, работает как Windows-служба уровня SYSTEM. Уязвимость с идентификатором CVE-2022-25166 заключается в том, что, злоумышленник с минимальными правами может успеть изменить конфигурацию OpenVPN, добавив вредоносную директиву, после проверки AWS VPN, но до запуска OpenVPN. Это позволит ему записать необходимую информацию в нужный файл. Исследователи из Rhino Security labs написали Powershell-скрипт, который мониторит доступ к конфигу и после успешной проверки дописывает вредоносную директиву. Уязвимость исправлена в версии 3.0.0.


Обнаружено новое вредоносное ПО для кражи информации под названием ZingoStealer

Новый инфостилер ZingoStealer кроме кражи информации может загружать шифровальщик или майнить Monero. Данное ВПО было разработано русскими хакерами и продавалось на форумах за 300 рублей. Инфостиллер встречается в различных программах на торрент трекерах, а также в игровых читах. Тот факт, что любой желающий может получить его фактически бесплатно и использовать без ограничений, делает его кандидатом в список самых популярных инфостилеров.


Ботнет EnemyBot активно заражает маршрутизаторы и IoT-девайсы

По словам исследователей Fortinet, Enemybot построен на базе Mirai и распространяется за счет эксплуатации уязвимостей в роутерах и устройствах Интернета Вещей. Эксперты отмечают, что ботнет нацелен на эксплуатацию следующих уязвимостей: CVE-2020-17456 (RCE в маршрутизаторах Seowon Intech SLC-130 и SLR-120S), CVE-2018-10823 (RCE в D-Link DWR), CVE-2022-27226 (инъекция произвольной cronjob в маршрутизаторах iRZ ). Сразу после заражения очередного устройства вредонос устанавливает соединение с командным центром в сети Tor и ожидает поступления команд. Отмечается, что злоумышленники используют зараженные устройства в крипто-майнинге и DDoS-атаках.