Фахівці австралійської компанії Skylight Cyber виявили уразливість в популярній платформі для управління хмарними обчисленнями OnApp, що дозволяє зловмисникам, які мають доступ лише до одного сервера, захопити контроль над усіма серверами хмарного провайдера.
Отримати доступ до сервера кіберзлочинці можуть цілком законно, наприклад, орендувавши його у провайдера. Оскільки багато сервісів пропонують безкоштовний пробний період користування, а для реєстрації пробного облікового запису потрібно лише електронну адресу, щоб отримати доступ до сервера зловмисникам навіть не потрібно повідомляти свої дані.
За словами фахівців, уразливість (CVE-2019-12491) в платформі OnApp дозволяє за допомогою облікових даних адміністратора найвищого рівня і привілеїв хмарного провайдера захопити контроль над усіма його серверами, викрадати, модифікувати, видаляти і навіть шифрувати дані, що зберігаються на них. Навіть якщо дані на сервері були зашифровані їх власником, зловмисник може зашифрувати їх повторно, тим самим позбавивши його доступу до них.
“Це не просто витік даних. При наявності доступу суперкористувача до цих серверів можна встановлювати на них шкідливе ПЗ, запускати шифрувальники, все що завгодно … Це жахлива помилка”, – повідомив глава Skylight Cyber Аді Ашкеназі (Adi Ashkenazy).
OnApp є однією з найпопулярніших в світі платформ для управління хмарними обчисленнями. Її використовує кожен третій хмарний провайдер.
Компанія OnApp випустила виправлення для уразливості, проте далеко не всі клієнти встановили його. оскільки ніяких інших способів захиститися від експлуатації цієї уразливості не існує, користувачам платформи настійно рекомендується встановити оновлення.
Нагадаємо, нову активність сімейства шкідливих програм Zebrocy групи кіберзлочинців Sedni виявили фахівці компанії ESET. Цього разу кампанія зловмисників спрямована на посольства та міністерства закордонних справ у країнах Східної Європи та Центральної Азії.
Завдяки WatchOS 6 смарт-годинник Apple Watch наближається до самостійного пристрою. Раніше Ви не могли б налаштувати Apple Watch без iPhone, а тепер Ви можете встановлювати та видаляти додатки, не торкаючись свого смартфона.
Також Співробітник Microsoft Аарон Лоуер (Aaron Lower) детально пояснив, як працює нова функція “Завантаження з хмари” в Windows 10 20H1 (версія 2003). В офіційному блозі Windows Insider опубліковали матеріал, в якому Лоуер розповідає про вбудовані функції повернення Windows 10 до вихідного стану, а також про розділи відновлення.
Зауважте, що Apple випустила оновлення iOS 13.1 та iPadOS раніше, ніж планувала. Це повинно виправити деякі помилки, знайдені у досить “сирій” версії iOS 13.0. Але компанія вже попереджає клієнтів про ще одну помилку, яку вона ще не виправила.
Часом трапляється, що Play Маркет перестає працювати. Які фактори на це можуть вплинути, та що робити, аби знову отримати доступ до віртуального магазину додатків, читайте у статті.