ТОП-5 ИБ-событий недели по версии Jet CSIRT

Новый Linux-руткит угрожает серверам через Netfilter

Специалисты FortiGuard выявили руткит, которым злоумышленники атаковали серверы CentOS Linux. Угроза распространяется через различные уязвимости и предоставляет атакующим полный контроль над целевой системой. ВПО представляет собой загружаемый модуль ядра sysinitd.ko и двоичный файл sysinitd. Кроме того, с целью закрепления в целевой системе руткит добавляется в автозагрузку посредством файлов /etc/rc.local и /etc/rc.d/rc.local. В результате анализа выяснилось, что ВПО использует Netfilter с целью перехвата входящего сетевого трафика. После перехвата соединения формируется специальный пакет attack-init, который инициирует процесс взаимодействия с целевой системой, то есть удаленное исполнение произвольного кода с правами суперпользователя. Специалисты FortiGuard предоставили индикаторы компрометации вредоносных файлов и загрузчика.

Уязвимость pam-u2f позволяет обойти аутентификацию без токена

Разработчики openSUSE обнаружили уязвимость CVE-2025-23013 (CVSS: 7.3) в PAM-модуле для двухфакторной аутентификации pam-u2f. Проблема касается аутентификации через FIDO-устройства, поддерживающие протокол Universal 2nd Factor. Уязвимость дает возможность пользователю с непривилегированным локальным доступом к системе в некоторых конфигурациях PAM пройти аутентификацию без необходимости использования аппаратного токена. На практике модуль pam-u2f обычно используется для двухфакторной или беспарольной аутентификации с применением токенов (например, для подтверждения прав на выполнение команд через утилиты su и sudo). Проблема была устранена в версии pam-u2f 1.3.1.

UEFI Secure Boot не защищает от буткитов

Специалисты ESET выявили угрозу, которая позволяет злоумышленникам устанавливать буткиты даже при включенной защите UEFI Secure Boot. Модификация бинарных данных файла cloak.dat может быть использована злоумышленниками, чтобы подменить загрузчик ОС Windows и внедрить вредоносный файл в EFI-разделе. Проблема касается ряда инструментов для восстановления системы, включая Howyar SysReturn, Greenware GreenGuard, Radix SmartRecovery и другие. В начале 2025 года компания Microsoft отозвала сертификаты уязвимых приложений, что блокирует их выполнение. Специалисты призывают как можно скорее обновить операционную систему, а также указанные приложения до новейших версий.

Обновление безопасности для Rsync устраняет шесть уязвимостей

В популярном инструменте синхронизации файлов Rsync было обнаружено шесть уязвимостей. Некоторые из них позволяют злоумышленникам выполнять произвольный код на целевой системе. Для проведения атаки достаточно анонимного доступа к серверу с правами на чтение. Например, атака может быть направлена на зеркала различных дистрибутивов и проектов, которые предлагают загрузку сборок через Rsync. Список обнаруженных уязвимостей включает:

· CVE-2024-12084 (CVSS: 9.8) — запись за пределы выделенного буфера;

· CVE-2024-12085 (CVSS: 7.5) — утечка данных через неинициализированное содержимое стека;

· CVE-2024-12086 (CVSS: 6.1) — утечка произвольных файлов клиента сервером Rsync;

· CVE-2024-12087 (CVSS: 6.5) — уязвимость обхода пути;

· CVE-2024-12088 (CVSS: 6.5) — обход опции safe-links, ведущий к атаке обхода пути;

· CVE-2024-12747 (CVSS: 5.6) — состояние гонки при работе с символическими ссылками.

Рекомендуется обновить Rsync до версии 3.4.0, в которой исправлены все шесть уязвимостей.

Обновление безопасности GIT устраняет две уязвимости

Для системы управления исходным кодом GIT версий 2.41.3, 2.42.4, 2.43.6, 2.44.3, 2.45.3, 2.46.3, v2.47.2 и 2.48.1 опубликованы выпуски, в которых устранены две уязвимости. Уязвимость CVE-2024-50349 (CVSS: 2.1) позволяет подменять информацию в интерактивном запросе пароля к репозиторию. Таким образом, злоумышленник может использовать URL Encoding и добавлять escape-последовательность в имя целевого хоста. В результате таких действий у пользователя будет складываться ощущение обращения к другому репозиторию. Вторая уязвимость, CVE-2024-52006 (CVSS: 2.1), позволяет подставить в данные символ возврата каретки. Поскольку протокол работает с построчными данными, добавление возврата каретки может быть использовано для разделения блоков данных и передачи пароля не на тот сервер. Специалисты рекомендуют обновить GIT до актуальных версий.