Forwarded from Пост Лукацкого
А вот и обзор зарплат специалистов по ИБ в России - https://lukatsky.ru/trends/obzor-zarplat-spetsialistov-po-ib-v-rossii.html
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Обзор зарплат специалистов по ИБ в России - Бизнес без опасности
Для начала приношу свои извинения, что затянул с итогами. Мероприятий под конец года навалило... Вы никогда не задумывались, платят вам достаточную зарплату или нет? И насколько вы можете рассчитывать, если решите уехать из своего города в Москву? И сколько…
Forwarded from Vulnerability Management and more
> And we will learn about others with the release of new vendor bulletins
OMG VMware https://www.vmware.com/security/advisories/VMSA-2021-0028.html At least 39 products, CVSS 10
OMG VMware https://www.vmware.com/security/advisories/VMSA-2021-0028.html At least 39 products, CVSS 10
Forwarded from Vulnerability Management and more
А good list of potentially vulnerable third-party products https://github.com/NCSC-NL/log4shell/tree/main/software #Log4Shell
GitHub
log4shell/software at main · NCSC-NL/log4shell
Operational information regarding the log4shell vulnerabilities in the Log4j logging library. - NCSC-NL/log4shell
Через 2-3 дня и Российские СМИ надеемся проблему осветят.
А вообще это довольно редкая ситуация когда наличие уязвимости увязывается со снижением стоимости акции компаний с уязвимыми продуктами:
"Microsoft Corp. MSFT -0.92% , in an alert to customers, said “attackers are probing all endpoints for vulnerability.” Amazon.com Inc., AMZN -1.54% Twitter Inc. TWTR -2.11% and Cisco Systems Inc. CSCO -1.08% were among the companies that have said they were carrying out investigations into the depth of the problem. Amazon, the world’s biggest cloud computing company, said in a security alert, “We are actively monitoring this issue, and are working on addressing it.” "
https://www.wsj.com/articles/tech-giants-microsoft-amazon-and-others-warn-of-widespread-software-flaw-11639260827?mod=e2tw
А вообще это довольно редкая ситуация когда наличие уязвимости увязывается со снижением стоимости акции компаний с уязвимыми продуктами:
"Microsoft Corp. MSFT -0.92% , in an alert to customers, said “attackers are probing all endpoints for vulnerability.” Amazon.com Inc., AMZN -1.54% Twitter Inc. TWTR -2.11% and Cisco Systems Inc. CSCO -1.08% were among the companies that have said they were carrying out investigations into the depth of the problem. Amazon, the world’s biggest cloud computing company, said in a security alert, “We are actively monitoring this issue, and are working on addressing it.” "
https://www.wsj.com/articles/tech-giants-microsoft-amazon-and-others-warn-of-widespread-software-flaw-11639260827?mod=e2tw
WSJ
Software Flaw Sparks Global Race to Patch Bug
Cybersecurity researchers say they have seen thousands of attempts to exploit the bug.
https://www.nccoe.nist.gov/get-involved/attend-events/nccoe-virtual-workshop-cybersecurity-genomic-data
NCCoE Virtual Workshop on the Cybersecurity of Genomic Data
NCCoE Virtual Workshop on the Cybersecurity of Genomic Data
На случай если вдруг попросят выступить перед менеджментом из-за новой уязвимости log4j вот обновляемый шаблон презентации (на английском):
https://www.infosecinnovations.com/post/talking-to-leadership-about-log4j
https://www.infosecinnovations.com/post/talking-to-leadership-about-log4j
InfoSec Innovations
Talking to Leadership about Log4j
EDIT: made slight changes to deck from suggestions given by Mubix. Thanks so much! Let's face it, the Log4j issue is a mess. If you've not already done so, you'll need to present to your org's leadership very soon. This deck is a template you can use when…
Forwarded from SecAtor
Под шумок log4shell компания Google решили устранить 0-day уязвимость в Chrome.
Обновление Chrome 96.0.4664.110 стало доступно для Windows, Mac и Linux сразу после того, как разработчики узнали о том, что эксплойт для CVE-2021-4102 уже появился и начал использоваться в дикой природе. Помимо прочего обновление содержит исправления и для других уязвимостей в веб-браузере:
- критическая CVE-2021-4098 (недостаточная проверка данных в Mojo, автор: Сергей Глазунов из Google Project Zero)
- высокой степени серьезности CVE-2021-4099 (ошибка в Swiftshader, автор: Аки Хелин из Solita)
- высокой степени серьезности CVE-2021-4100 (проблема жизненного цикла объекта в ANGLE, автор: Аки Хелин из Solita)
- высокой степени серьезности CVE-2021-4101 (переполнение буфера кучи в Swiftshader, автор: Абраруддин Хан и Омайр).
CVE-2021-4102 была раскрыта анонимным исследователем в движке JavaScript Chrome V8 и WebAssembly, его использование может привести к выполнению произвольного кода или повреждения данных. Google отказываются от разглашения деталей по поводу выявленных злоупотреблений дырой.
В этом году это уже 17-ая исправленная Google 0-day в Chrome, поэтому настоятельно рекомендуем пользователям Google Chrome установить обновление, как только оно станет доступным.
Обновление Chrome 96.0.4664.110 стало доступно для Windows, Mac и Linux сразу после того, как разработчики узнали о том, что эксплойт для CVE-2021-4102 уже появился и начал использоваться в дикой природе. Помимо прочего обновление содержит исправления и для других уязвимостей в веб-браузере:
- критическая CVE-2021-4098 (недостаточная проверка данных в Mojo, автор: Сергей Глазунов из Google Project Zero)
- высокой степени серьезности CVE-2021-4099 (ошибка в Swiftshader, автор: Аки Хелин из Solita)
- высокой степени серьезности CVE-2021-4100 (проблема жизненного цикла объекта в ANGLE, автор: Аки Хелин из Solita)
- высокой степени серьезности CVE-2021-4101 (переполнение буфера кучи в Swiftshader, автор: Абраруддин Хан и Омайр).
CVE-2021-4102 была раскрыта анонимным исследователем в движке JavaScript Chrome V8 и WebAssembly, его использование может привести к выполнению произвольного кода или повреждения данных. Google отказываются от разглашения деталей по поводу выявленных злоупотреблений дырой.
В этом году это уже 17-ая исправленная Google 0-day в Chrome, поэтому настоятельно рекомендуем пользователям Google Chrome установить обновление, как только оно станет доступным.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 96.0.4664.110 for Windows, Mac and Linux which will roll out over the coming days/weeks. Extended sta...
Webinar—COBIT’s Value for Small and Medium Enterprises
18 January 2022 | 3PM local time (Kampala, Uganda)
https://store.isaca.org/s/community-event?id=a334w000004cOUqAAM
18 January 2022 | 3PM local time (Kampala, Uganda)
https://store.isaca.org/s/community-event?id=a334w000004cOUqAAM
Chapter_Content_Letter_December_2021.docx
19.9 KB
Дайджест ссылок и новостей ISACA за декабрь.
Chapter_Content_Letter_December_2021
Chapter_Content_Letter_December_2021
Forwarded from SecAtor
Подтянулась тяжелая артиллерия: настоящий Jam, как мы и прогнозировали, еще впереди.
Все это даже после того, как CVE-2021-44228 была исправлена еще 6 декабря с выпуском Log4j 2.15.0, а вызванная этим патчем последующая CVE-2021-45046 (позволявшая эксплуатировать log4shell в некоторых нестандартных конфигурациях с возможностью атак с отказом в обслуживании) также была устранена выпуском самой последней версии Log4j 2.12.2 и 2.16.0, удаляющей функцию поиска сообщений и по умолчанию блокирующей доступ к JNDI.
Тем не менее, более 70 образцов, использующих эксплойт, обнаружено, что достаточно небольшой показатель по сравнению с тем, что, вероятно, уже присутствует в дикой природе.
Но что еще хуже, Bitdefender заметили, что за Log4Shell взялись первые вымогатели. Злоумышленники пытаются использовать ошибку для загрузки двоичного файла .NET с удаленного сервера, который шифрует файлы на целевой машине c расширением khonsari. Записка с требованием выкупа «КАК ПОЛУЧИТЬ СВОИ ФАЙЛЫ BACK.TXT» добавляется на рабочий стол.
Первый инцидент был зафиксирован 11 декабря, когда на уязвимый хост был загружен вредоносный двоичный файл с hxxp://3.145.115.94/zambo/groenhuyzen.exe. Это новое семейство программ-вымогателей, получивших название благодаря своему расширению в зашифрованных файлах. В реальности свое ПО хакеры нарекли именем владельца антикварного магазина в Луизиане. Почему – не ясно.
После запуска Khonsari сканит все диски и шифрует системные папки с документами, видео, изображениями, загрузками и рабочий стол. При этом не шифруются файлы с расширениями .ini и .lnk. Вредоносная программа использует AES 128 CBC с поддержкой алгоритма PaddingMode.Zeros для шифрования. Кроме того, как выяснили BitDefender в более поздних атаках хакеры использовали тот же сервер для распространения RAT Orcus.
Не обошлось и без китайских и иранских АРТ, следы которых выявили спецы из Mandiant. Воспользовавшись ситуацией всеобщего хаоса, АРТ занимались решением традиционных для них задач по кибершпионажу, но помимо прочего иранские субъекты выстраивались и под более агрессивные действия, преследуя подрывные цели. Представители Mandiant отказались сообщать подробную информацию о том, какие конкретно связанные АРТ принимали участие в атаках.
Согласно данным телеметрии Check Point с 44% корпоративных сетей обнаружено более 1,3 миллиона попыток использования уязвимости, большинство из которых были совершены известными вредоносными группами. Всеобщий хакерский ажиотаж и хаос во всем технологическом мире не вызывают удивления, исследование Wiz показывает, что более 89% всех сред имеют уязвимые библиотеки Log4j, разработчики которых в некоторых случаях даже не догадываются об этом. Настоящая черная пятница для хакеров всех мастей.
Учитывая, что Microsoft уже фиксировали имплантаты Cobalt Strike, не стоит считать первый пример эксплойта Log4j, непосредственно устанавливающего ransomware, последним. Вероятно, более увесистые акторы уже вовсю эксплуатируют Log4 Jam, но пока сосредоточены более на максимально широком таргетинге. А по истечении пары тройки недель мест на DLS, судя по всему, не будет хватать, чтоб упорядочить всех новых жертв ransomware.
Тем временем к настоящему моменту помимо исправления уязвимости, перед специалистами по ИБ стоит куда более сложная задача: выявить вероятного злоумышленника в сети.
Все это даже после того, как CVE-2021-44228 была исправлена еще 6 декабря с выпуском Log4j 2.15.0, а вызванная этим патчем последующая CVE-2021-45046 (позволявшая эксплуатировать log4shell в некоторых нестандартных конфигурациях с возможностью атак с отказом в обслуживании) также была устранена выпуском самой последней версии Log4j 2.12.2 и 2.16.0, удаляющей функцию поиска сообщений и по умолчанию блокирующей доступ к JNDI.
Тем не менее, более 70 образцов, использующих эксплойт, обнаружено, что достаточно небольшой показатель по сравнению с тем, что, вероятно, уже присутствует в дикой природе.
Но что еще хуже, Bitdefender заметили, что за Log4Shell взялись первые вымогатели. Злоумышленники пытаются использовать ошибку для загрузки двоичного файла .NET с удаленного сервера, который шифрует файлы на целевой машине c расширением khonsari. Записка с требованием выкупа «КАК ПОЛУЧИТЬ СВОИ ФАЙЛЫ BACK.TXT» добавляется на рабочий стол.
Первый инцидент был зафиксирован 11 декабря, когда на уязвимый хост был загружен вредоносный двоичный файл с hxxp://3.145.115.94/zambo/groenhuyzen.exe. Это новое семейство программ-вымогателей, получивших название благодаря своему расширению в зашифрованных файлах. В реальности свое ПО хакеры нарекли именем владельца антикварного магазина в Луизиане. Почему – не ясно.
После запуска Khonsari сканит все диски и шифрует системные папки с документами, видео, изображениями, загрузками и рабочий стол. При этом не шифруются файлы с расширениями .ini и .lnk. Вредоносная программа использует AES 128 CBC с поддержкой алгоритма PaddingMode.Zeros для шифрования. Кроме того, как выяснили BitDefender в более поздних атаках хакеры использовали тот же сервер для распространения RAT Orcus.
Не обошлось и без китайских и иранских АРТ, следы которых выявили спецы из Mandiant. Воспользовавшись ситуацией всеобщего хаоса, АРТ занимались решением традиционных для них задач по кибершпионажу, но помимо прочего иранские субъекты выстраивались и под более агрессивные действия, преследуя подрывные цели. Представители Mandiant отказались сообщать подробную информацию о том, какие конкретно связанные АРТ принимали участие в атаках.
Согласно данным телеметрии Check Point с 44% корпоративных сетей обнаружено более 1,3 миллиона попыток использования уязвимости, большинство из которых были совершены известными вредоносными группами. Всеобщий хакерский ажиотаж и хаос во всем технологическом мире не вызывают удивления, исследование Wiz показывает, что более 89% всех сред имеют уязвимые библиотеки Log4j, разработчики которых в некоторых случаях даже не догадываются об этом. Настоящая черная пятница для хакеров всех мастей.
Учитывая, что Microsoft уже фиксировали имплантаты Cobalt Strike, не стоит считать первый пример эксплойта Log4j, непосредственно устанавливающего ransomware, последним. Вероятно, более увесистые акторы уже вовсю эксплуатируют Log4 Jam, но пока сосредоточены более на максимально широком таргетинге. А по истечении пары тройки недель мест на DLS, судя по всему, не будет хватать, чтоб упорядочить всех новых жертв ransomware.
Тем временем к настоящему моменту помимо исправления уязвимости, перед специалистами по ИБ стоит куда более сложная задача: выявить вероятного злоумышленника в сети.
Twitter
vx-underground
Rare, never seen before, archived footage of the "Battle of Log4J", 2021, colorized