В серверах OpenLiteSpeed найдены уязвимости, помогающие внедрить бэкдор

В серверах OpenLiteSpeed найдены уязвимости, помогающие внедрить бэкдор

В серверах OpenLiteSpeed найдены уязвимости, помогающие внедрить бэкдор

Специалисты Palo Alto Networks выявили три уязвимости в OpenLiteSpeed Web Server; как оказалось, в связке они позволяют скомпрометировать сервер и удаленно выполнить сторонний код с привилегиями root. Проблема актуальна также для LiteSpeed Web Server Enterprise; патчи уже доступны.

Серверный софт OpenLiteSpeed представляет собой opensource-версию продукта корпоративного класса, созданного LiteSpeed Technologies как альтернатива Apache. По данным Palo Alto, лицензионный LiteSpeed Web Server занимает шестое место по популярности среди веб-серверов; поиск по Shodan показал около 1,9 млн активных экземпляров LiteSpeed.

Две уязвимости, выявленные в OpenLiteSpeed (CVE-2022-0073 и CVE-2022-0074), эксперты оценили одинаково — в 8,8 балла CVSS. Третья была признана менее опасной (CVE-2022-0072, 5,8 балла).

Проблема CVE-2022-0073 классифицируется как возможность инъекции команд. Эксплойт требует доступа к админ-панели (учетные данные можно получить брутфорсом или с помощью социальной инженерии) и позволяет удаленно выполнить вредоносный код на сервере — даже из-под аккаунта nobody, по традиции создаваемого на Linux-машинах.

Использование CVE-2022-0074 поможет хакеру повысить привилегии в системе до уровня суперпользователя, а CVE-2022-0072 (обход каталога) обеспечит доступ к закрытым файлам. Таким образом, комбинация эксплойтов позволяет автору атаки скомпрометировать сервер, создать скрытый бэкдор и получить к нему доступ.

Наличие уязвимостей подтверждено для OpenLiteSpeed выпусков с 1.5.11 по 1.7.16 и LiteSpeed с 5.4.6 по 6.0.11. Патчи включены в состав сборок 1.7.16.1 и 6.0.12 соответственно.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Фейковое Android-приложение Deepseek AI крадет банковские данные

Специалисты K7 Labs раскрыли новую вредоносную кампанию, в рамках которой злоумышленники распространяют банковский троян для Android под видом популярного чатбота Deepseek AI. Вредонос назвали OctoV2.

Атака начинается с фишинговой ссылки, ведущей на поддельный сайт, внешне практически неотличимый от официального ресурса Deepseek AI.

Пользователям предлагается скачать приложение с названием «DeepSeek.apk». После установки вредоносная программа маскируется под оригинальное приложение, используя его иконку.

Зловред сначала просит пользователя разрешить установку приложений из неизвестных источников, после чего инсталлирует две отдельные вредоносные программы — «родительское» приложение com.hello.world и «дочернее» com.vgsupervision_kit29.

«Дочерний» софт активно запрашивает у жертвы доступ к специальным возможностям операционной системы Android (Accessibility Service).

 

Исследователи столкнулись со сложностями анализа «родительского» приложения из-за парольной защиты. Здесь наблюдается тенденция к росту числа подобных вредоносных APK-файлов с защитой от реверс-инжиниринга.

Тем не менее специалистам удалось определить, что «родительское» приложение проверяет наличие файла с расширением «.cat», после чего устанавливает дополнительный вредоносный пакет.

Кроме того, троян OctoV2 использует алгоритм генерации доменов (DGA), что позволяет постоянно менять имена серверов управления и обходить блокировки. Кроме того, троян передаёт на серверы злоумышленников информацию обо всех установленных на заражённом устройстве приложениях.

Напомним, ранее банковский Android-троян Octo выдавал себя за Google Chrome и NordVPN.

Специалисты рекомендуют быть особенно внимательными при скачивании приложений и избегать установки программ из неизвестных источников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru