Уязвимость в сервисе SecureDrop приводит к утечке данных
Команда анонимного сервиса для информаторов SecureDrop устранила серьезную уязвимость, позволявшую атакующим перехватывать коммуникации между журналистами и информаторами.
Проблема была выявлена 16 октября нынешнего года в ходе внутреннего тестирования серверов. По сообщению команды SecureDrop, ошибка связана с конфигурационной логикой в процессе установки, в результате которой три пакета - tor, ntp и tor keyring - устанавливаются без должной проверки криптографических подписей. Пакеты передаются по протоколу HTTP, что позволяет злоумышленнику с доступом к сети осуществить атаку «человек посередине», подключиться к серверу и удаленно выполнить код. Уязвимость затрагивает версию SecureDrop 0.3. Более ранние версии проблеме не подвержены.
Эксплуатация ошибки возможна только во время инсталляции SecureDrop. Как отмечается, для проведения атаки хакерам потребуются значительные ресурсы для того, чтобы вести наблюдение за объектом, определить момент установки версии SecureDrop 0.3, осуществить атаку «человек посередине» и своевременно подменить установочные файлы вредоносными. В настоящее время у команды SecureDrop нет информации о случаях эксплуатации данной уязвимости злоумышленниками.
Проблема устранена в выпуске SecureDrop 0.4.4.
SecureDrop - платформа с открытым исходным кодом, которая позволяет новостным медиаорганизациям анонимно и безопасно получать информацию и общаться с журналистами и правозащитниками.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш