Разработчики Apache Software Foundation устранили уязвимость в Apache OFBiz, которая могла позволить неаутентифицированному злоумышленнику удаленно захватить контроль над уязвимой ERP-системой.

https://xakep.ru/2021/03/22/apache-ofbiz-bug/

Ранее в этом месяце F5 Networks выпустила патчи для исправления четырех критических багов в составе BIG-IP и BIG-IQ. Теперь эксперты предупреждают, что эти уязвимости уже находятся под атаками.

https://xakep.ru/2021/03/22/cve-2021-22986/

Тайваньская компания Acer пострадала от атаки шифровальщика REvil. Злоумышленники требуют у производителя крупнейший в истории выкуп в размере 50 000 000 долларов США.

https://xakep.ru/2021/03/22/acer-revil/

Аналитики Qrator Labs представили отчет о состоянии сетевой безопасности в 2020 году. Основными трендами 2020 года стали короткие, но интенсивные DDoS-атаки и резкое увеличение числа атак в сфере электронной коммерции, образования, игровых сервисов и букмекерских контор.

https://xakep.ru/2021/03/22/ddos-2020/

Для подписчиков
В этой статье на примере «безумной» по уровню сложности машины CrossFit с площадки Hack The Box я покажу, как искать XSS на недоступных страницах сайта, сканировать домены через XSS, проводить разведку на машине с Linux, удаленно исполнять код, используя FTP, и эксплуатировать инъекцию команд в пользовательском приложении. А под конец немного пореверсим, чтобы найти финальную уязвимость.

https://xakep.ru/2021/03/22/htb-crossfit-xss/

В августе прошлого года в США был арестован Егор Игоревич Крючков, которого обвинили в попытке подкупа сотрудника Tesla. Тогда Крючков предлагал 1 000 000 долларов за установку малвари в сеть компании. Как стало известно теперь, Крючков признал свою вину, и вынесение приговора назначено на май 2021 года.

https://xakep.ru/2021/03/19/kriuchkov-pleads-guilty/

Министерство юстиции США предъявило обвинения гражданину Швейцарии, который якобы причастен к взлому более чем 100 компаний и утечкам конфиденциальных данных.

https://xakep.ru/2021/03/19/tillie-kottmann/

Независимые ИБ-исследователи выявили критические уязвимости в коде форумного движка MyBB (MyBulletinBoard). Объединение этих проблем могло привести к удаленному исполнению произвольного кода.

https://xakep.ru/2021/03/19/mybb-rce/

Специалисты компании Google рассказали о неизвестной хакерской группе, которая в 2020 году использовала как минимум 11 уязвимостей нулевого дня, нацеленных на пользователей Android, iOS и Windows.

https://xakep.ru/2021/03/19/11-0days/

Исследователи из компании SentinelOne обнаружили Mac-малварь XcodeSpy, которая распространяется через троянизированные проекты Xcode и предназначена для атак на iOS-разработчиков.

https://xakep.ru/2021/03/19/xcodespy/

Для подписчиков
Цифровая подпись должна гарантировать подлинность и целостность содержимого документа. Ею снабжаются справки на сайте Госуслуг и в личном кабинете налогоплательщика, контракты и счета-фактуры. Если документ изменят, пользователь должен увидеть соответствующее предупреждение. Однако это можно обойти с помощью нескольких хитрых трюков.

https://xakep.ru/2021/03/19/pdf-cryptopro-hack/

Исследователи Avast Threat Labs представители отчет о крипторе OnionCrypter, который с 2016 года широко используется многими семействами малвари, включая Ursnif, Lokibot, Zeus, AgentTesla. Он помогает скрывать вредоносные части кода с помощью шифрования, чтобы затруднить его обнаружение и анализ.

https://xakep.ru/2021/03/18/onioncrypter/

Исследователь Дэвид Бьюкенен продемонстрировал, что в Twitter можно загрузить изображения, модифицированные при помощи стеганографии. То есть внутри картинок можно разместить до 3 Мб данных, что эксперт продемонстрировал на примере файлов ZIP и MP3.

https://xakep.ru/2021/03/18/twitter-steganography/

Федеральное бюро расследований опубликовало ежегодный отчет о преступлениях в интернете. По данным правительства США, 2020 год стал рекордным по количеству киберпреступлений.

https://xakep.ru/2021/03/18/fbi-ic3-report/

В коде шифровальщика LockBit обнаружили баг, благодаря которому стало можно расшифровать данные без выплаты выкупа. К сожалению, хакеры, вероятно, исправят ошибку в ближайшие несколько дней.

https://xakep.ru/2021/03/18/lockbit-bug/

Как ты наверняка знаешь, часто объектом взлома становятся сайты и веб-приложения под управлением WordPress. Этот движок не просто самый популярный в интернете, он, как известно, имеет открытый исходный код. К тому же в новых версиях CMS и плагинов постоянно появляются новые уязвимости. Пора этим воспользоваться!

https://xakep.ru/2021/03/18/ataki-na-veb-i-wordpress/

Специалисты компании Netscout рассказали о новом векторе амплификации DDoS-атак: с использованием протокола Datagram Transport Layer Security (DTLS). По данным экспертов, в сети можно найти более 4300 серверов, уязвимых перед этой проблемой.

https://xakep.ru/2021/03/18/dtls-ddos/

Для подписчиков
Вроде бы SSH — хорошо известная вещь, с которой ты наверняка сталкиваешься ежедневно. При этом мало кто знает о возможностях SSH больше, чем нужно, чтобы подключиться к удаленному серверу. А ведь в этот инструмент входят функции, которые могут очень пригодиться в связи с коронавирусом и удаленкой.

https://xakep.ru/2021/03/18/ssh-principals/

Торговавший утечками сайт WeLeakInfo был закрыт правоохранительными органами в начале 2020 года. Как теперь пишут СМИ, на хакерском форуме были опубликованы данные клиентов WeLeakInfo, полученные благодаря компрометации Stripe-аккаунта сервиса.

https://xakep.ru/2021/03/17/weleakinfo-leak/

Испанская полиция арестовала серверы Android-приложения Mobdro, предназначенного для стриминга пиратского видео. Также операторы приложения тайно продавали личные данные своих пользователей, а их смартфоны становились участниками прокси- и DDoS-ботнетов.

https://xakep.ru/2021/03/17/mobdro/