Итоги недели: дыры в CUPS, вынужденный уход Kaspersky из США и Kia, которую взламывали по номеру

Прошедшая неделя выдалась насыщенной: исследователи нашли опасные бреши в системе печати Linux, Google отчиталась об успехах перехода на Rust, а «Лаборатория Касперского» окончательно покинула американский рынок — причём не самым изящным образом. Разбираем главное.

Угроза недели: дыры в CUPS

В системе печати OpenPrinting Common Unix Printing System (CUPS), которая используется на Linux, обнаружили набор уязвимостей, позволяющих при определённых условиях выполнить произвольные команды удалённо. Red Hat Enterprise Linux присвоила проблемам статус «важных» (Important), отметив, что реальный риск эксплуатации невысок — слишком много предварительных условий должно совпасть для успешной атаки.

Главные новости

Google отчиталась об успехах Rust. Переход на безопасные с точки зрения работы с памятью языки, прежде всего Rust, позволил снизить долю связанных с памятью уязвимостей в Android с 76% до 24% за шесть лет. Параллельно усилилось сотрудничество Google и Arm — вместе они выявили ряд проблем и повысили безопасность GPU-стека программного и микропрограммного обеспечения во всей экосистеме Android.

Kaspersky ушла из США со скандалом. Российский вендор, которому в США запрещено продавать продукты из соображений национальной безопасности, столкнулся с недовольством пользователей: их установки Kaspersky автоматически удалялись и заменялись антивирусом малоизвестной компании UltraAV. В Kaspersky заявили, что уведомляли клиентов о переходе ещё в начале месяца, однако принудительный характер миграции без каких-либо действий со стороны пользователя, судя по всему, был разъяснён не всем. Компания Pango, которой принадлежит UltraAV, отметила, что у пользователей также была возможность отменить подписку напрямую через службу поддержки Kaspersky.

Kia можно было угнать по номерному знаку. Уже устранённые уязвимости в автомобилях Kia позволяли удалённо управлять ключевыми функциями машины, зная только её номерной знак. Кроме того, злоумышленник мог незаметно получить доступ к персональным данным жертвы — имени, номеру телефона, email и физическому адресу. Доказательств эксплуатации уязвимостей в реальных атаках не найдено.

США ввели санкции против криптобирж Cryptex и PM2BTC — по версии властей, площадки помогали отмывать криптовалюту, полученную преступным путём. Параллельно предъявлено обвинение россиянину Сергею Сергеевичу Иванову, который, по данным следствия, был причастен к работе нескольких сервисов по отмыванию денег для киберпреступников.

Обвинения против трёх граждан Ирана. Власти США предъявили обвинения Масуду Джалили, Сейеду Али Агамири и Ясару (Ясеру) Балаги — их связывают с Корпусом стражей исламской революции (КСИР). Обвиняемых подозревают в атаках на нынешних и бывших чиновников с целью кражи данных для вмешательства в предстоящие выборы. Иран назвал обвинения безосновательными.

Ещё в мире кибербезопасности

Компания GreyNoise зафиксировала загадочные волны «шумовых штормов» — спуфинг-трафика из TCP-соединений и ICMP-пакетов, которые отслеживаются с января 2020 года; происхождение и цель явления остаются неясными. Особенность в том, что в генерируемых ICMP-пакетах присутствует строка «LOVE», что укрепляет версию о скрытом канале связи. По словам GreyNoise, миллионы подделанных IP-адресов заваливают трафиком крупных провайдеров вроде Cogent и Lumen, но целенаправленно обходят AWS — это указывает на действия организованного и целеустремлённого актора. Хотя трафик, судя по всему, идёт из Бразилии, связи с китайскими платформами QQ, WeChat и WePay намекают на намеренную маскировку источника.

Tor Project объявил об объединении с Tails (The Amnesic Incognito Live System) — разработчиком портативной Linux-системы, построенной на базе Tor. По словам руководителя команды Tails intrigeri, интеграция в структуру Tor Project «ощущается как возвращение домой» и позволит упростить сотрудничество, снизить накладные расходы и расширить образовательные программы.

Национальный институт стандартов и технологий США (NIST) предложил новые рекомендации по паролям: провайдерам сервисов аутентификации советуют отказаться от требований использовать разные типы символов и от принудительной периодической смены паролей — если только не произошла компрометация. Рекомендованная длина пароля — от 15 до 64 символов, при этом должны допускаться как ASCII-, так и Unicode-символы.

Проблема PKfail (CVE-2024-8105) — критическая уязвимость в цепочке поставок прошивок, позволяющая обходить Secure Boot и устанавливать вредоносное ПО, — оказалась масштабнее, чем считалось ранее. Она затрагивает не только компьютеры, но и медицинское оборудование, игровые консоли, серверы, банкоматы, POS-терминалы и даже машины для голосования. В Binarly назвали PKfail «наглядным примером сбоя безопасности цепочки поставок, ударившего по всей индустрии».

Microsoft переработала функцию Recall. После выхода в мае 2024 года AI-инструмент, делающий скриншоты активности пользователя, вызвал волну критики из-за рисков приватности и безопасности — компания отложила его широкий запуск для доработок. Теперь Recall отключена по умолчанию, её можно полностью удалить, а обработка скриншотов перенесена в защищённый анклав Virtualization-based Security (VBS). Кроме того, Microsoft привлекла стороннего специалиста по безопасности для независимого аудита и пентеста функции.

Совет недели

Чтобы не допустить утечки корпоративных данных через AI-сервисы, аналитики THN рекомендуют: ввести строгие политики, запрещающие передачу конфиденциальной информации во внешние AI-платформы, использовать DLP-инструменты для блокировки таких передач, ограничить доступ к неавторизованным AI-сервисам, обучать сотрудников рискам и по возможности переходить на защищённые внутренние AI-решения.

Источник: The Hacker News.