HomeSecurityHackers εκμεταλλεύονται ευπάθειες ελέγχου ταυτότητας του ProjectSend

Hackers εκμεταλλεύονται ευπάθειες ελέγχου ταυτότητας του ProjectSend

Hackers εκμεταλλεύονται μια κρίσιμη ευπάθεια αυθεντικοποίησης στο ProjectSend, μια δημοφιλή εφαρμογή ανοιχτού κώδικα για ανταλλαγή αρχείων.

projectsend

Η ευπάθεια, γνωστή ως CVE-2024-11680, επιτρέπει σε μη αυθεντικοποιημένους απομακρυσμένους hackers να παρακάμψουν τον έλεγχο ταυτότητας (αυθεντικοποίηση) και να τροποποιήσουν τις ρυθμίσεις της εφαρμογής, οδηγώντας ενδεχομένως σε μη εξουσιοδοτημένη δημιουργία λογαριασμών, εισαγωγή webshells και κακόβουλη ενσωμάτωση JavaScript.

Δείτε ακόμη: Ευπάθεια NVIDIA UFM επιτρέπει σε hackers κλιμάκωση προνομίων

Παρά το ότι το patch είναι διαθέσιμο από τις 16 Μαΐου 2023, ο κωδικός CVE αποδόθηκε μόλις στις 26 Νοεμβρίου 2024, αφήνοντας πολλά συστήματα εκτεθειμένα για περισσότερο από έναν χρόνο. Η καθυστέρηση στην απόδοση του CVE είναι αξιοσημείωτη, δεδομένου ότι η Rapid7, μια Αρχή Αριθμοδότησης CVE, είχε ήδη εκδώσει ένα module Metasploit για αυτήν την ευπάθεια.

#secnews #google 

Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή. Η Google έκανε πρόσφατα ένα βήμα που δεν είχαμε δει εδώ και καιρό, αφού μήνυσε το Γραφείο Οικονομικής Προστασίας των Καταναλωτών των ΗΠΑ (CFPB), αμφισβητώντας πρόσφατη εντολή που εκδόθηκε για την επίβλεψη της πτέρυγας πληρωμών της εταιρείας από την κυβέρνηση. Η Google διαθέτει δύο κύριες υπηρεσίες πληρωμών που προσφέρει — το Google Wallet και το Google Pay. Το τελευταίο χρησιμοποιούσε ένα σύστημα peer-to-peer για πληρωμές και σταμάτησε να λειτουργεί στις ΗΠΑ νωρίτερα φέτος.

00:00 Εισαγωγή
00:25 Δύο υπηρεσίες πληρωμών
01:03 Απόρριψη εντολών
01:38 Επίβλεψη των εργασιών 

Μάθετε περισσότερα: https://www.secnews.gr/634151/google-miniei-kivernisi-ipa-ipervoli/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #google

Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή. Η Google έκανε πρόσφατα ένα βήμα που δεν είχαμε δει εδώ και καιρό, αφού μήνυσε το Γραφείο Οικονομικής Προστασίας των Καταναλωτών των ΗΠΑ (CFPB), αμφισβητώντας πρόσφατη εντολή που εκδόθηκε για την επίβλεψη της πτέρυγας πληρωμών της εταιρείας από την κυβέρνηση. Η Google διαθέτει δύο κύριες υπηρεσίες πληρωμών που προσφέρει — το Google Wallet και το Google Pay. Το τελευταίο χρησιμοποιούσε ένα σύστημα peer-to-peer για πληρωμές και σταμάτησε να λειτουργεί στις ΗΠΑ νωρίτερα φέτος.

00:00 Εισαγωγή
00:25 Δύο υπηρεσίες πληρωμών
01:03 Απόρριψη εντολών
01:38 Επίβλεψη των εργασιών

Μάθετε περισσότερα: https://www.secnews.gr/634151/google-miniei-kivernisi-ipa-ipervoli/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnpKVnRDVHZNN2k4

Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή

SecNewsTV 11 hours ago

Ερευνητές ασφαλείας της VulnCheck έχουν παρατηρήσει σαφή σημάδια εκμετάλλευσης σε πραγματικές συνθήκες. Δημόσιοι διακομιστές ProjectSend έχουν βρεθεί με μεταβλημένους τίτλους αρχικών σελίδων, συμπεριφορά που συνάδει με την εκμετάλλευση μέσω εργαλείων όπως το Nuclei και το Metasploit.

projectsend

Τεχνική ανάλυση δείχνει ότι αυτά τα εργαλεία τροποποιούν το αρχείο ρύθμισης του θύματος αλλάζοντας το όνομα του ιστότοπου, προκαλώντας την εμφάνιση τυχαίων strings στους τίτλους HTTP. Ακόμα πιο ανησυχητικό είναι ότι οι hackers δεν περιορίζονται μόνο στη δοκιμή της ευπάθειας. Η VulnCheck παρατήρησε ενεργοποίηση των ρυθμίσεων εγγραφής χρηστών, μια μη προεπιλεγμένη ρύθμιση που επιτρέπει στους hackers να αποκτήσουν προνόμια μετά την αυθεντικοποίηση, υποδηλώνοντας την πιθανή εγκατάσταση webshells ή κακόβουλου JavaScript.

Διαβάστε επίσης: Ευπάθεια 7-Zip επιτρέπει στους hackers να εκτελούν αυθαίρετο κώδικα

Η ανάλυση της VulnCheck αποκάλυψε ότι μόνο το 1% των παραδειγμάτων ProjectSend που είναι προσβάσιμα στο διαδίκτυο χρησιμοποιούν την ενημερωμένη έκδοση (r1750). Εντυπωσιακό είναι ότι το 55% εξακολουθεί να χρησιμοποιεί την ευάλωτη έκδοση r1605, που κυκλοφόρησε τον Οκτώβριο του 2022, ενώ το 44% χρησιμοποιεί μια ανώνυμη έκδοση του Απριλίου 2023.

Οι οργανισμοί που χρησιμοποιούν το ProjectSend καλούνται να αναβαθμίσουν άμεσα στην έκδοση r1720 ή νεότερη για να μειώσουν αυτόν τον κρίσιμο κίνδυνο ασφαλείας. Επιπλέον, οι ομάδες ασφαλείας θα πρέπει να αξιολογήσουν την έκθεσή τους, να εφαρμόσουν τις απαραίτητες διορθώσεις και να αναλάβουν διεξοδικές δραστηριότητες απόκρισης για να ανιχνεύσουν πιθανές παραβιάσεις.

projectsend

Δείτε περισσότερα: Κρίσιμη ευπάθεια Kubernetes επιτρέπει στους hackers να εκτελούν αυθαίρετο κώδικα

Αυτό το περιστατικό υπογραμμίζει τη σημασία της άμεσης εφαρμογής ενημερώσεων και της ανάγκης για καλύτερο συντονισμό στις διαδικασίες αποκάλυψης ευπαθειών και απόδοσης CVE. Καθώς το τοπίο των απειλών συνεχίζει να εξελίσσεται, η συνεχής παρακολούθηση και διατήρηση ενημερωμένων μέτρων ασφαλείας παραμένουν κρίσιμες για οργανισμούς κάθε μεγέθους.

Πηγή: cybersecuritynews

spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS