[ad_1]
var dünya çapında FreePBX sistemlerinden ödün veren devam eden bir kampanya. Geçen yılın Aralık ayından itibaren gerçekten kötü bir Uzaktan Kod Yürütme (RCE) olan CVE-2021-45461 kullanılarak özellikle Elastix sistemlerine yönelik görünüyor. Bu kusur, güvenliği ihlal edilmiş bir FreePBX sistemi analiz edilerek keşfedildiği için 0 günlüktü. Kampanya mı belli değil geçen haftaki raporda açıklanan Aralık ayında 0 gününü kullanıyordu veya hatanın kamuya açıklanmasının bir sonucu olarak başlatıldıysa.
Ne olursa olsun, CVE, Rest Phone Apps hizmetine gönderilen bir URL parametresidir. Bu modül, doğrudan VoIP telefonların ekranında çalıştırılmak üzere tasarlanmıştır ve son kullanıcıların, yıldız kodlarını girmeden veya bir web sayfasını ziyaret etmeden Rahatsız Etmeyin gibi özellikleri ayarlamasına olanak tanır. Kullanım durumu nedeniyle, bu özelliği kullanan, ağ dışından bağlanan VoIP telefonlarını destekleyen herhangi bir FreePBX dağıtımının bu bağlantı noktalarının açık olması gerekir. Bunu sağlamanın en iyi yolu, yalnızca bazı telefonların yerel olarak desteklediği bir VPN üzerinden bağlantıları zorlamak olacaktır.
Savunmasız bir uç nokta bulduktan sonra, kampanya, tümü biraz farklı şekilde gizlenmiş çeşitli konumlara bir web kabuğu bırakarak başlar. Daha sonra birden çok kök düzeyinde kullanıcı hesabı oluşturur ve erişimi sürdürmek için bir Cron işi ekler. Bu kötü amaçlı yazılım ailesinde şaşırtıcı miktarda şaşırtmaca ve gizlilik özelliği vardır ve bu da tek bir Uzlaşma Göstergesini işaret etmeyi zorlaştırır. Telefon Uygulamaları modülünün çalıştığı bir FreePBX sistemi çalıştırıyorsanız, ince dişli bir tarakla üzerinden geçmenin zamanı gelmiştir.
TikTok ile Anlaşma Nedir?
bu FCC bir kez daha TikTok’un listeden çıkarılmasını istedi Google Play Store ve Apple App Store’dan. TikTok’ta neler oluyor? Sadece saçma sapan videolar çekmek ve paylaşmak için bir uygulama, değil mi? TikTok ile ilgili esasen iki potansiyel sorun var ve her ikisi de uygulamanın Çin’de ikamet eden ana şirketine kadar uzanıyor.
Burada ABD’de Ulusal Güvenlik Mektuplarımız var ve Çin’in daha basit bir sistemi var gibi görünüyor. TikTok’un Güven ve Güvenlik Departmanı üyesinin dediği gibi “Çin’de her şey görülüyor”. TikTok, bazıları biraz fazla hevesli görünen epeyce izin kullanıyor. Çin hükümetinin ilgisini çeken biriyseniz, bu izinler sizi gözetlemek için kullanılabilir mi? Kesinlikle. Tıpkı bir Ulusal Güvenlik Mektubu sonucunda ABD merkezli bir uygulamanın yapabileceği gibi.
İkinci sorun biraz daha incelikli ve bir komplo teorisine yönelebilir, ancak dikkate değer. TikTok, akla gelebilecek her konuda, olası her bakış açısından videolar içeriyor. Çin Komünist Partisi (ÇKP) ABD’de çekiş kazanmak için belirli bir söylenti isterse ne olur? Video tavsiye algoritması üzerinde sadece küçük bir baskı, bu konuyla ilgili videoları trend haline getirecektir. Anında kamuoyu kolu.
Burada muhtemelen gizli bir istihbarat şeklinde hikayenin eksik bir parçası var. Bir Bilgi Edinme Özgürlüğü Yasası talebinin hikayenin geri kalanının kilidini açabilmesi için yeterli zaman geçene kadar, TikTok tehdidinin ne kadarının meşru ve ne kadar jeopolitik çekişme olduğu belirsiz olacak.
Oh, ve sadece Google Play Store’u açıp TikTok uygulamasının kullandığı izinleri tam olarak görebileceğinizi düşündüyseniz, Google’ın izinleri gizlemek için talihsiz bir karar verdi gerçekten yüklemeyi yapana kadar. Bu kulağa korkunç bir karar gibi geliyor ve kısa bir haykırıştan sonra Google da aynı fikirde gibi görünüyor. Bu makale basına çıkmadan hemen önce Google, bu karardan geri dönüyorlardı.
Gitlab RCE
Gitlab, yazılımında çok ciddi bir sorunu düzeltti. 4 Temmuz küçük sürüm sürümlerive [Nguyễn Tiến Giang (Jang)] gerçekten bununla neler olduğunu anlamak istedim. O kadar ki, Gitlab’ın hata ayıklanabilir bir kurulumunu kurdu ve sorunu yeniden yarattı, bizi gezintiye çıkaran. Kusur, arşiv adının doğrudan bir komut dizesine eklendiği mevcut bir Gitlab projesini içe aktarmadadır. Arşiv adı için verilen değeri değiştirebilir ve bunu önlemeye yönelik kontrollerin herhangi birinde açmayı önleyebilirseniz, temel sunucuda çalıştırılacak kabuk kodunu önemsiz bir şekilde ekleyebilirsiniz. Tuzaklardan kaçınmak, bunu gerçek bir PoC’ye dönüştürmek için çalışmanın büyük bir parçasıdır. Hata ayıklama yolculuğunun tüm ayrıntıları için gönderiyi okuyun.
Takvim Spam’i Sonunda Düzeltildi
Takvim spam’i olan belayı kaçırdıysanız, kendinizi şanslı sayın. Google Takvim harikadır, çünkü herkes size davet içeren bir e-posta gönderebilir ve etkinlik otomatik olarak takviminizde görünür. Geriye dönüp bakıldığında, bunun spam için kullanılacağı açık görünüyor. Ne olursa olsun, spam sorunundan birkaç yıl sonra, Google sonunda bir özellik sunuyor, takviminize yalnızca bilinen gönderenlerden davetiye eklemek için. Şimdi size sorulursa veya kendiniz spam alırsanız, etkinlik ayarlarına bakmayı ve ayarı değiştirmeyi biliyorsunuz. Nihayet!
[ad_2]
Kaynak : https://hackaday.com/2022/07/22/this-week-in-security-asterisk-tiktok-gitlab-and-finally-a-spam-solution/