Újabb biztonsági rés: 700 Gogs-szervert törtek fel világszerte
Egy foltozatlan, eddig nem nyilvánosságra hozott biztonsági rés a Gogsban, a népszerű, önállóan üzemeltethető Git-szolgáltatásban lehetővé tette, hogy támadók távoli kódfuttatást hajtsanak végre, és így több száz szervert kompromittáljanak világszerte. A Gogsot általában a GitLab vagy a GitHub Enterprise alternatívájaként használják, és gyakran közvetlenül elérhetővé teszik az interneten a távoli együttműködés megkönnyítésére.
Kritikus sebezhetőség a PutContents API-ban
A támadók egy olyan biztonsági hibát használtak ki, amely az útvonalbejárási gyengeségből ered a PutContents API-ban. Ez lehetővé teszi, hogy a fenyegetést jelentő szereplők szimbolikus hivatkozásokat (symlinkeket) kihasználva tetszőleges fájlokat írjanak felül a tárolókon kívül. A gond az, hogy még a javított verziók sem ellenőrzik megfelelően, hová mutatnak a szimbolikus linkek.
Automatizált támadások tömeges kompromittálásra
A Wiz Research kutatói júliusban fedezték fel a hibát, miközben egy fertőzött Gogs szervert vizsgáltak. Több mint 1 400, az internetre kitett Gogs szervert találtak, amelyek közül legalább 700-at sikeresen feltörtek. A gyanús példányok mind ugyanabban az időszakban, júliusban jöttek létre, jellemzően véletlenszerű, nyolc karakteres tárolónevekkel, ami automatizált támadásra utal.
Sok szervert „nyitott regisztráció” (Open Registration) opcióval telepítettek, ami hatalmas támadási felületet eredményez. Az elemzés szerint a támadók a Supershell-lel, egy nyílt forráskódú parancs- és vezérlőkeretrendszerrel terjesztették a kártevőt, amely visszafelé SSH-kapcsolaton keresztül kommunikált egy távoli, 119.45.176[.]196-os szerverrel.
Javasolt lépések a védekezéshez
A kutatók ajánlása szerint érdemes azonnal letiltani a nyitott regisztrációt, és VPN-en vagy engedélyezési lista alkalmazásával korlátozni a hozzáférést. A kompromittált példányok gyanúja esetén keresni kell a PutContents API szokatlan használatát, illetve a véletlenszerű, nyolc karakteres nevű tárolókat.
Felmerül a kérdés, hogy miféle rejtett csodákat őriznek még a Föld mély óceánjai, hiszen most először sikerült élő koboldcápát lencsevégre kapni a természetes élőhelyén...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Lively Letters – Phonics (iPhone/iPad)Ez az alkalmazás gyorsan elérte az első helyet a fizetős oktatási alkalmazások között az App Store-ban...
⚡ A Tensordyne bemutatta vadonatúj, Napier nevű MI-gyorsítóját, amely 3 nm-es technológián alapul, és különlegessége, hogy a szokásos szorzási műveleteket logaritmikus matematikával helyettesíti...
A Google Earth mostantól nemcsak a Föld felfedezését teszi lehetővé, hanem egy szórakoztató repülőszimulátor módot is kínál, amelyet már közvetlenül a böngészőből elérhetsz...
Egy friss megállapodás értelmében péntektől teljesen megnyílik a Hormuzi-szoros, amely az elmúlt hónapokban a világtörténelem egyik legjelentősebb olajválságának középpontjában állt...
⚡ A vezetékes villanyautó-töltés talán legkellemetlenebb része a nehéz, koszos kábelek pakolgatása, de ez hamarosan a múlté lehet egy vadonatúj kínai fejlesztésnek köszönhetően...
🏡 Többek között a járvány idején az ingatlanpiac fellendülése soha nem látott nyereséget hozott az Egyesült Államok legnagyobb lakásépítő vállalatainak, amikor az árak az egekbe szöktek, és hatalmas kereslet alakult ki...
🚀 A Cisco kritikus sebezhetőséget javított a Catalyst SD-WAN Manager szoftverben, miután ismeretlen támadók sikeresen kihasználták a hibát, és rootjogosultságot szereztek...
Valentina Tereskova történelmi űrrepülése, a Ford és az IBM alapítása, valamint a spanyol-brit háborúhoz kötődő gibraltári ostrom egyaránt ezen a napon történt...
🍚 A rizs több milliárd ember mindennapi tápláléka világszerte, elkészítése kapcsán azonban rengetegen vitáznak: meg kell-e mosni főzés előtt, vagy felesleges időpazarlás?..
A figyelemhiányos hiperaktivitás-zavar, vagyis az ADHD hivatalos diagnózisa sokak számára elérhetetlen: az időhiány, a költségek, a kevés elérhető szakorvos és az általános tájékozatlanság mind nehezítik az utat...
Alig néhány év alatt gyökeresen megváltozott az internet felhasználói összetétele. Már nem emberek, hanem automatizált rendszerek bonyolítják le a webes kérések többségét – derül ki a Cloudflare Radar mérőrendszerének statisztikáiból, amelyek szerint világszerte a forgalom 57,4%-át úgynevezett agentikus, vagyis parancsokra dolgozó MI-botok generálják, míg a valódi emberek csak 42,6%-ot képviselnek...
🔒 Jó példa erre, hogy Észak-Amerika egyik orvosi kutatóintézetének gépeit kínai kötődésű hackerek támadták meg, és hónapokon át észrevétlenül lopták az érzékeny adatokat...
A világ egyik legnagyobb MI-fejlesztője, az Anthropic váratlanul leállította két fejlett kiberbiztonsági modellje, a Mythos 5 és a Fable 5 elérhetőségét az egész világon, miután amerikai kormányzati előírás erre kötelezte...
Felmerül a kérdés, hogy mennyire bízhatunk meg a legmodernebb vállalati megoldásokban, amikor egy újonnan felfedezett, SearchLeak névre keresztelt sebezhetőség-sorozat lehetővé tette, hogy támadók különleges URL-ek segítségével egyetlen kattintással szerezzenek hozzáférést levelekhez, jelszavakhoz vagy akár SharePoint- és OneDrive-fájlokhoz a Microsoft 365 Copilot Enterprise rendszeren keresztül...
