Дайджест Jet CSIRT [29.10.2020]

29.10.2020

Более 100 тыс. серверов до сих пор уязвимы к SMBGhost (CVE-2020-0796)

Сотрудник SANS Internet Storm Center Ян Коприва (Jan Kopriva) провёл исследование, в ходе которого удалось установить, что около 103 000 систем, опубликованных в Интернет, уязвимы к SMBGhost CVE-2020-0796. Как сообщил исследователь, большинство уязвимых систем (22%) находится в Тайване, а также в Японии (20%), при этом 11% уязвимых узлов расположено в России.


Уязвимость в консольном компоненте WebLogic Server (CVE-2020-14882) активно используется в атаках

Технологический институт SANS предоставил информацию о попытках эксплуатации уязвимости CVE-2020-14882, собранную с сети ханипотов, развёрнутых институтом. По словам специалистов, большинство зафиксированных атак представляли собой попытки обнаружить уязвимые сервера, однако было выявлено несколько подключений, которые пытались активно проэксплуатировать уязвимость, выполнив ряд команд. Кроме того, специалисты отметили, что на текущий момент сканирование, направленное на выявление опубликованных уязвимых серверов постепенно замедляется, что говорит о том, что все IPv4 адреса уже были просканированы на наличие уязвимости. В связи с этим, в случае выявления опубликованного уязвимого сервера в своей инфраструктуре, специалисты рекомендуют считать его скомпрометированным.


APT Turla обновила используемые инструменты

Исследователи из консалтинговой компании Accenture обнаружили, что российская киберпреступная группировка Turla (она же Ouroboros, Snake, Venomous Bear or Waterbug), известная атаками на правительственные и военные организации, оснастила новым функционалом свои бэкдоры, обеспечивающие закрепление злоумышленников в системе. Обновление затронуло бэкдор на основе удаленного вызова процедур (RPC) HyperStack и два трояна для удаленного доступа Kazuar и Carbon.