В Jira устранили критический баг обхода аутентификации (CVSS — 9,9)

В Jira устранили критический баг обхода аутентификации (CVSS — 9,9)

В Jira устранили критический баг обхода аутентификации (CVSS — 9,9)

Atlassian пропатчила критическую уязвимость в системе отслеживания ошибок Jira. Успешная эксплуатация этой бреши, получившей 9,9 балла по шкале CVSS, могла позволить злоумышленникам обойти аутентификацию.

Чтобы использовать баг в атаке, киберпреступник должен отправить уязвимому софту специально созданный HTTP-запрос. Проблема затрагивает Jira Server и Data Center версий до 8.13.18, а также релизы с 8.14.0 (до 8.20.6) и 8.21.0 (до 8.22.0). Помимо этого, дыра актуальна для Jira Service Management Server и Data Center версий до 4.13.18, с 4.14.0 до 4.20.6 и с 4.21.0 до 4.22.0.

Компания Atlassian опубликовала уведомление, в котором специалисты предупреждают о возможности обхода аутентификации во фреймворке аутентификации Jira Seraph.

«Несмотря на то что уязвимость присутствует в ядре Jira, она затрагивает и сторонние приложения. Удалённый злоумышленник, не прошедший аутентификацию, может отправить специально созданный HTTP-запрос и обойти процесс проверки личности».

Для тех, кто по каким-то причинам не может установить обновления и при этом использует уязвимые приложения, Atlassian опубликовала альтернативный способ защиты от эксплуатации бага. Потребуется обновить эти приложения до безопасных версий.

Если же и софт нельзя пропатчить, тогда стоит отключить приложение, чтобы не стать жертвой киберпреступников. На проблему в безопасности указал исследователь из компании Viettel Cyber Security.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мещанский суд Москвы арестовал руководство Аеза Групп

Мещанский суд Москвы по ходатайству следствия арестовал соучредителя и генерального директора компании «Аеза Групп» Юрия Бозояна, а также его заместителей Орела и Зубова.

Их обвиняют в осуществлении незаконной банковской деятельности и создании организованного преступного сообщества. Кроме того, фигурантов связывают с кампанией Doppelgänger.

Задержание подозреваемых произошло 1 апреля после обыска в офисе «Аеза Групп», расположенном на Зольной улице в Санкт-Петербурге, в здании, где ранее находился «ЧВК Вагнер-центр».

Как сообщает «Фонтанка», обыск проводили сотрудники ОБЭП УМВД по Санкт-Петербургу и Ленинградской области. По данным издания, фигурантам вменяется участие в преступном сообществе и незаконная банковская деятельность (часть 2 статьи 172 и часть 1 статьи 210 УК РФ). В числе прочего, они, предположительно, занимались обналичиванием денежных средств и криптовалютными операциями.

Официально «Аеза Групп» заявляла о деятельности в сфере хостинга и аренды серверов. Согласно информации РБК, компания существует с 2021 года. Помимо Бозояна, в числе её соучредителей числятся Арсений Пензев и Игорь Князев.

По данным зарубежных СМИ, «Аеза Групп» играла ключевую роль в информационной кампании Doppelgänger («Двойник»), в рамках которой создавались сайты-имитаторы с фейковыми новостями. Ранее «Фонтанка» также писала о публикациях в европейских СМИ, в которых «Аезу Групп» связывали с деятельностью в даркнете и операциями с криптовалютой, однако ссылки на первоисточники приведены не были.

Ранее российские власти уже предприняли ряд шагов против известных фигур, вызывавших недовольство у США. Среди них — арест хакера Михаила Матвеева (известного как Wazawaka), блокировка телеграм-канала «Глаз Бога» и операция против криптобиржи Cryptex, активно использовавшейся киберпреступниками.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru