Информационная безопасность Вкратце, пара демократов в Конгрессе потребовали пересмотра программы по выявлению общих уязвимостей (CVE) на фоне неопределенности относительно продолжения финансирования этой программы правительством США.
В письме [PDF], направленном генеральному контролеру США, член комитета по национальной безопасности Палаты представителей Бенни Томпсон (сенатор-демократ) и член комитета по науке, космосу и технологиям Палаты представителей Зои Лофгрен (сенатор-демократ от Калифорнии) обратились в Управление правительственной отчетности (GAO) с просьбой изучить управление программой.Федеральное финансирование программы CVE закончилось в апреле, и хотя Агентство по кибербезопасности и защите инфраструктуры изыскало средства для ее продолжения в течение одиннадцати месяцев, законодатели опасаются, что поток данных о кибербезопасности, на которые полагаются правительство и предприятия, может прекратиться. Томпсон и Лофгрен сказал, что они хотят, чтобы была проведена оценка «эффективности» государственных программ, направленных на поддержку сердечно-сосудистых заболеваний и ССЗ.»Эти программы лежат в основе того, как организации по всему миру устраняют уязвимости, которые в противном случае могли бы быть использованы злоумышленниками, и реализуют свои более широкие программы кибербезопасности», — говорится в письме пары генеральному контролеру Юджину Додаро. «Кибербезопасность остается одной из величайших проблем, стоящих перед нашей нацией».
Пара демократов попросили GAO изучить программы Национального института стандартов и технологий, которые поддерживают программы управления данными об уязвимостях, такие как Национальная база данных об уязвимостях, сама программа CVE и роль Национального центра управления уязвимостями. Министерство внутренней безопасности (головное агентство CISA) поддерживает CVE. В письме также содержалась просьба к GAO оценить степень, в которой организации государственного и частного секторов полагаются на NVD и CVES.
Вторая администрация Трампа предложила существенно сократить бюджет CISA, в результате чего в агентстве произошли увольнения и сокращение персонала на высшем уровне.
В последние месяцы агентство покинули несколько высокопоставленных руководителей.Администрация приняла решение о меньшем сокращении бюджета CISA на 2026 финансовый год после того, как республиканцы в Палате представителей одобрили сокращение на 135 миллионов долларов, что значительно ниже первоначального предложения о сокращении на 495 миллионов долларов.Демократы заявили, что это все еще слишком большое сокращение для такого важного ведомства.
Критические уязвимости недели: Roundcube XSS alert
Мы обнаружили только один новый критический недостаток, который The Register еще не рассмотрел в последние дни.
Это уязвимость межсайтового скриптинга, присутствующая в платформе веб-почты Roundcube с открытым исходным кодом, и она связана с проблемой дезорганизации текста сообщений электронной почты. Удаленный злоумышленник, использующий этот недостаток, может украсть и отправить электронные письма из учетной записи жертвы со специально созданным сообщением, и это уже происходит в дикой природе.
Этот тест называется CVE-2024-42009 и имеет оценку CVSS 9,3. Это можно найти в Roundcube версии 1.5.7, а также в версиях с 1.6.x по 1.6.7.
Как предотвратить мошеннический захват ваших приглашающих ссылок в Discord
Мошенники используют уязвимость популярного приложения для чата Discord, чтобы перехватывать ссылки и отправлять жертвам на сайты, которые могут устанавливать трояны для удаленного доступа и вредоносные программы для кражи криптографических данных.
В четверг компания Check Point Research опубликовала результаты расследования ссылок, которые рассылает Discord, когда его пользователи приглашают других присоединиться к различным чат-группам. Предполагается, что срок действия этих ссылок истекает через определенный период.
Check Point обнаружила, что срок их действия не истек, и поэтому злоумышленники могут злоупотреблять ими, чтобы направлять жертв куда угодно.
Это означает, что любой пользователь с премиум–подпиской Discord может повторно использовать инвайт-код с истекшим сроком действия на своем собственном сервере и указывать его не на предполагаемую группу Discord.
Check Point наблюдала, как киберпреступники именно так и поступают.
В Check Point заявили, что самый безопасный способ для администраторов Discord избежать мошенничества с собственными пользователями — использовать ссылку для приглашения, срок действия которой никогда не истечет — украсть ее практически невозможно.
Ипотечные клиенты были проинформированы об утечке данных через восемь месяцев после факта
Ипотечная компания McLean, базирующаяся в Вирджинии, только что сообщила более чем 30 000 своих клиентов о том, что кто-то украл их данные – в октябре 2024 года.
На этой неделе McLean начала рассылать письма пострадавшим клиентам, информируя их о взломе.
В письмах объясняется, что компания узнала о нарушении уже давно и решила не информировать компании до тех пор, пока не завершит проверку инцидента.
Это произошло в середине мая.
В образце письма-уведомления о взломе не упоминается, как произошла атака, упоминается только, что «неавторизованный субъект получил доступ» к сети компании и «возможно, скачал определенные файлы».
Компания McLean предлагала жертвам услуги кредитного мониторинга.
Популярный инструмент пентестинга выходит из строя
Исследователи из Proofpoint обнаружили злоумышленников, использующих инструмент пентестинга TeamFiltration для взлома учетных записей Entra ID (ранее Azure Active Directory).
Proofpoint зафиксировала атаки примерно на 80 000 учетных записей в сотнях организаций и считает, что некоторые из них увенчались успехом.Неизвестные злоумышленники, стоящие за кампанией, которую Proofpoint окрестила “UNK_SneakyStrike”, используют TeamFiltration для запуска попыток перечисления пользователей и разбрасывания паролей, используя Microsoft Teams API и серверы AWS.
Большинство целей было в США, но злоумышленники также атаковали организации в Ирландии и Великобритании.
Хотя TeamFiltration доступна для тестировщиков с 2021 года, Proofpoint заявила, что злоумышленники использовали ее злонамеренно только с тех пор, как началась кампания UNK_SneakyStrike.
Proofpoint прогнозирует увеличение числа подобных атак, поскольку участники угроз «все чаще используют передовые инструменты и платформы для проникновения… отказываясь от менее эффективных методов проникновения».
О, []()+! – сотни тысяч веб-сайтов могут взломать вас
Внедрение на веб-сайт не является чем-то новым, но, по данным Palo Alto Networks, использование обфускации JavaScript для сокрытия вредоносного кода на законных веб-сайтах является чем-то новым.
Исследователи угроз поставщика средств безопасности обнаружили кампанию, которая внедрила вредоносный код по меньшей мере на 269 552 веб-страницах.
Код трудно распознать, потому что тот, кто его написал, замаскировал свою работу всего шестью символами — []()+! — используя метод, известный как JSF*ck.
«Это неожиданно по сравнению с примерами вредоносного кода JavaScript, внедренного с использованием вредоносных программ обычно мы находим, поскольку нет ни одной переменной или функции с именем, которые на первый взгляд казались бы исполняемыми», — сказал ПАН о кампании. «В ходе нашего анализа мы обнаружили тысячи веб-сайтов с таким типом запутанного JavaScript, внедренного на их веб-страницы».
Разработчики могут запутать любой JavaScript-код с помощью этого метода, говорится в отчете, благодаря использованию в JavaScript приведения типов, которое преобразует различные типы данных для обеспечения возможности выполнения операций. быть исполненным.
Защита от стандартных внедрений на веб-сайт должна противостоять этой атаке, но может потребовать немного больше усилий, поскольку вредоносный код очень хорошо скрыт. ®
