Как избежать атак на 660 000 серверов Rsync: советы киберэксперта
Специалисты Google Cloud совместно с независимыми исследователями выявили шесть уязвимостей в утилите Rsync, среди которых — критическая ошибка переполнения буфера хипа. Эта уязвимость позволяет злоумышленникам удалённо выполнять код на уязвимых серверах, что создает значительные риски для безопасности данных. Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин рекомендует в подобных ситуациях использовать решения, такие как Ankey ASAP, которые позволяют выявлять аномалии в инфраструктуре и обнаруживать уязвимости нулевого дня, обеспечивая дополнительный уровень защиты для организаций.
По данным исследования, более 660 000 серверов Rsync могут быть уязвимы для атак, что ставит под угрозу данные и конфиденциальность организаций, использующих этот инструмент. Уязвимости оцениваются по шкале CVSS от 5,6 до 9,8 баллов. CERT/CC уже выпустил бюллетень безопасности, предостерегающий об уязвимостях Rsync. Эксперты уточняют, что проблемы касаются таких систем, как Red Hat, Arch, Gentoo, Ubuntu, NixOS, AlmaLinux OS Foundation и Triton Data Center, однако полный список уязвимых проектов и решений может быть намного длиннее.
«История с Rsync — это очередное напоминание о том, что инструмент с открытым исходным кодом не является гарантией отсутствия уязвимостей. Похожие ситуации происходили и с другими прикладными протоколами, такими как SMB, а также с операционными системами. Мантра о том, что открытое программное обеспечение обязательно будет проверено сообществом, и поэтому безопасно, уже не работает. В этом случае единственным решением является поддержание программного обеспечения в актуальном состоянии, даже если оно является вспомогательным или входит в состав более сложных решений. Если же открытое ПО используется как часть вашего собственного решения, то теперь вы несете ответственность за его поддержку и минимизацию вероятности появления уязвимостей. В этом случае могут помочь решения вроде Ankey ASAP, позволяющие выявлять аномалии в инфраструктуре и обнаруживать уязвимостей нулевого дня», — комментирует Сергей Полунин.
Северокорейские хакеры используют фишинговые атаки, направленные на конкретных пользователей, злоупотребляя сервисами GitHub и Dropbox. Александр Михайлов, руководитель GSOC компании «Газинформсервис», предупреждает, что злоумышленники рассылают фишинговые письма со ссылками на эти популярные платформы.
Шифровальщик Anubis обновился, добавив функцию вайпера – полного уничтожения файлов жертвы. Даже выплата выкупа не гарантирует восстановление данных. Как отмечает Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», Anubis демонстрирует новый тренд: киберпреступники не ограничиваются одним типом атаки, а комбинируют их, дополняя шифрование полным уничтожением информации. Появление в даркнете конструкторов вредоносного ПО усиливает эту тенденцию.
В ночь на 18 июня 2025 года иранская криптовалютная биржа Nobitex подверглась разрушительной кибератаке, за которой стоит группировка хакеров Predatory Sparrow. Руководитель GSOC компании «Газинформсервис» Александр Михайлов предупредил, что за подобными атаками не всегда стоят финансовые мотивы — данный случай демонстрирует политическую мотивацию.
Интеграция OneDrive в Windows 10 и 11 привела к росту популярности Microsoft 365 и к увеличению количества пользователей, хранящих данные в облаке. Однако недавно достоянием общественности стал серьёзный случай потери данных: пользователь потерял фотографии за 30 лет из-за блокировки учётной записи OneDrive. Как объясняет Александр Катасонов, инженер-аналитик компании «Газинформсервис», полная зависимость от облачных сервисов, таких как OneDrive, чревата серьёзными рисками.
Критическая уязвимость CVE-2024-12168 в Windows-версии «Яндекс Телемоста» вновь подчёркивает важность многоуровневой защиты, предупреждает Андрей Жданухин, руководитель группы аналитики L1 GSOC компании «Газинформсервис».
Хакерская АРТ-группировка Team46 (TaxOff) использует уязвимость нулевого дня в Google Chrome (CVE-2025-2783) для проведения изощрённой фишинговой кампании. Александр Катасонов, инженер-аналитик компании «Газинформсервис», отмечает, что расследованная атака — это яркий пример того, как APT-группы комбинируют социальную инженерию и технические уязвимости для достижения своих целей.
Используя ажиотаж вокруг новой ИИ-модели Sora от компании OpenAI, киберпреступники распространяют фишинговый сервис генерации видео через GitHub, предупреждает Ирина Дмитриева, киберэксперт компании «Газинформсервис». Злоумышленники маскируют вредоносный файл 'SoraAI.lnk' под легальный дистрибутив. Конечная цель – кража данных, включая учётные данные браузера, конфигурации системы и личных файлов, что может привести к целенаправленным атакам.
