0-day уязвимость затрагивает все версии phpMyAdmin, патча пока нет

0-day уязвимость затрагивает все версии phpMyAdmin, патча пока нет

0-day уязвимость затрагивает все версии phpMyAdmin, патча пока нет

Исследователь в области безопасности опубликовал технические детали и proof-of-concept непропатченной 0-day уязвимости в phpMyAdmin. Самая опасная особенность этой бреши — она затрагивает все версии приложения для управления базами данных.

phpMyAdmin — бесплатный инструмент с открытым исходным кодом. Его используют многие сайты для управления базами данных MySQL и MariaDB.

Мануэль Гарсия Карденас, эксперт в области кибербезопасности, обнаружил уязвимость вида CSRF (cross-site request forgery, также ее называют XSRF). Обычно атакующий может использовать такие бреши, чтобы заставить аутентифицированных пользователей выполнить вредоносное действие.

Проблема безопасности получила идентификатор CVE-2019-12922. Ей присвоили средний уровень опасности, так как деструктивные действия бреши довольно ограничены.

Для эксплуатации уязвимости злоумышленник должен отправить специально созданную ссылку атакуемому веб-администратору. Последний при этом должен быть аутентифицирован в панели phpMyAdmin в том же браузере.

«Атакующий легко может создать поддельную гиперссылку, содержащую запрос, который выполнится от лица пользователя. В этом случае открывается возможность для атаки вида CSRF из-за неправильного использования HTTP-метода», — объясняет Карденас.

Эксперт обнаружил уязвимость в июне, после чего передал информацию о ней разработчикам. Поскольку они не уложились в 90-дневный срок, Карденас решил опубликовать технические детали проблемы. Патча в настоящее время не существует.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Кребс заподозрил Kaspersky в связи с провайдерами bulletproof-хостинга

С конца прошлого года трафик российского провайдера Prospero идет транзитом через AS-сеть «Лаборатории Касперского». Поскольку IP-адреса Prospero засветились в спам- и фишинг-кампаниях, подобная ассоциация у многих вызвала недоумение.

Как выяснил блогер и исследователь Брайан Кребс, во французской ИБ-компании Intrinsec с большой долей уверенности полагают, что Prospero (AS200593) вовлечена в схемы предоставления услуг bulletproof-хостинга, известные как Securehost и BEARHOST.

Проведенное специалистами исследование выявило многочисленные злоупотребления: IP-адреса российского AS-провайдера неоднократно использовались для размещения фишинговых страниц, скриптов FakeUpdates, они же SocGholish, а также для управления троянами SpyNote, Octo и GootLoader.

А команда аналитиков Interisle Consulting Group, составляя список хостеров с наибольшей концентрацией спам-ботов по итогам 2024 года, вывела AS200593 на первое место.

Факт подключения Prospero к интернету через сети Kaspersky (AS209030) на днях подтвердила НКО Spamhaus, которая неоднократно пыталась внести BEARHOST в черные списки, которыми пользуются многие интернет-провайдеры.

 

В ответ на запрос KrebsOnSecurity о комментарии в Kaspersky опровергли предположение, будто они предоставляют услуги провайдеру bulletproof-хостинга.

«Эти утверждения неверны, Kaspersky не работает и никогда не работала с этим сервис-провайдером, — сказано в ответном письме. — Маршрутизация через сети, находящиеся в ведении Kaspersky, отнюдь не означает предоставление услуг: AS-система Kaspersky могла объявиться как технический префикс в сети телеком-провайдеров, с которыми сотрудничает данная компания».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru