Forwarded from Антивирусное ДНО
1 Января 2022 почтовые сервера с Microsoft Exchange on-premise перестали передавать почту из-за ошибки в антивирусном движке.
Антивирусный и антиспам движок FIP-FS, который включен в Exchange по умолчанию, имеет ошибку конвертации даты из-за того, что для типа переменной даты используется число со знаком (singed int32). Максимально возможное значение для данного типа 2147483647, что недостаточно для даты 1 Января 2022 года. Во внутреннем формате Exchange данная дата имеет значение 2201010001.
У серверов, подверженных данной проблеме, в логах фигурирует ошибка 1106 со следующим содержанием:
The FIP-FS Scan Process failed initialization. Error: 0x8004005. Error Details: Unspecified Error" or "Error Code: 0x80004005. Error Denoscription: Can't convert "2201010001" to long.
Для временного решения данной проблемы достаточно отключить встроенный антивирусный движок от Microsoft.
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/
Антивирусный и антиспам движок FIP-FS, который включен в Exchange по умолчанию, имеет ошибку конвертации даты из-за того, что для типа переменной даты используется число со знаком (singed int32). Максимально возможное значение для данного типа 2147483647, что недостаточно для даты 1 Января 2022 года. Во внутреннем формате Exchange данная дата имеет значение 2201010001.
У серверов, подверженных данной проблеме, в логах фигурирует ошибка 1106 со следующим содержанием:
The FIP-FS Scan Process failed initialization. Error: 0x8004005. Error Details: Unspecified Error" or "Error Code: 0x80004005. Error Denoscription: Can't convert "2201010001" to long.
Для временного решения данной проблемы достаточно отключить встроенный антивирусный движок от Microsoft.
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-year-2022-bug-in-fip-fs-breaks-email-delivery/
BleepingComputer
Microsoft Exchange year 2022 bug in FIP-FS breaks email delivery
Microsoft Exchange on-premise servers cannot deliver email starting on January 1st, 2022, due to a "Year 2022" bug in the FIP-FS anti-malware scanning engine.
👍1
Крайне актуальное направление ИБ для банковского сектора:
https://csrc.nist.gov/publications/detail/nistir/8389/draft
https://csrc.nist.gov/publications/detail/nistir/8389/draft
CSRC | NIST
NIST Internal or Interagency Report (NISTIR) 8389 (Draft), Cybersecurity Considerations for Open Banking Technology and Emerging…
“Open banking” refers to a new financial ecosystem that is governed by specific security profiles, application interfaces, and guidelines with the objective of improving customer choices and experiences. Open banking ecosystems aim to provide more choices…
FTC обещает привлекать к ответственности тех кто своевременно не предпринял действий по устранению log4j.
https://www.ftc.gov/news-events/blogs/techftc/2022/01/ftc-warns-companies-remediate-log4j-security-vulnerability
https://www.ftc.gov/news-events/blogs/techftc/2022/01/ftc-warns-companies-remediate-log4j-security-vulnerability
Federal Trade Commission
FTC warns companies to remediate Log4j security vulnerability
Log4j is a ubiquitous piece of software used to record activities in a wide range of systems found in consumer-facing products and services.
Forwarded from Записки админа
💾 The State of Enterprise Linux in 2022. Что год грядущий нам готовит, или как теперь выглядит жизнь rhel-based ынтерпрайза после прихода CentOS Stream.
#redhat #напочитать #centos
#redhat #напочитать #centos
Forwarded from Пост Лукацкого
Страховка лондонской Lloyd теперь не будет покрывать кибератаки, за которыми стоят государственные хакеры. То есть они либо намекают, что не надо углубляться в атрибуцию, либо они столкнулись с большим числом страховых случаев и не хотят больше по ним расплачиваться
CPO Magazine
Lloyd’s of London: Cyber Insurance Will Not Cover Cyber Attacks Attributable to Nation-States
Lloyd’s of London has issued a bulletin indicating that its cyber insurance products will no longer cover the fallout of cyber attacks exchanged between nation-states. This definition extends to operations that have "major detrimental impact on the functioning…
Как мы ранее и прогнозировали атаки на цепочку поставок в виде библиотек продолжаются - теперь новый вектор, действия самого разработчика библиотек.
Forwarded from SecAtor
Атаки на цепочку поставок доходят до абсурда: популярные библиотеки с открытым исходным кодом «colors» и «faker» были скомпрометированы своим же разработчиком.
Библиотеки NPM стали инструментом в руках разработчика Marak Squires, который еще в ноябре 2020 года заявил, что больше не будет поддерживать крупные корпорации своей «бесплатной работой» и предложил выплатить ему заплату в годовом исчислении на шестизначную сумму.
После того, как предложение разраба проигнорилось, а загрузки продолжились (коих кстати на npm более 20 и 2,8 млн. для colors и faker соответственно), Marak решил привлечь внимание другим способом, который по итогу получил неоднозначную оценку в сообществе.
Разработчик популярных библиотек намеренно внедрил в них вредоносные коммиты, которые повлияли на тысячи приложений, использующих их.
Так, пользователи популярных проектов с открытым исходным кодом, например, таких как Amazon's Cloud Development Kit (aws-cdk) были очень удивлены, увидев на консолях своих приложений текст «LIBERTY LIBERTY LIBERTY» и прочие глюки, которые изначально были восприняты как очередные атаки, как это было в случае с coa, rc и ua-parser-js. А не так давно в библиотеку colors.js в версии v1.4.44-liberty-2 был добавлен модуль «американского флага».
Все это и не только стало возмездием разработчика, которое, по его мнению, предназначалось, прежде всего, для крупных компаний и корпораций, которые широко полагаются на программное обеспечение с открытым исходным кодом, поддержание которого фактически осуществляется разработчиками безвозмездно.
Несмотря на дебаты внутри сообщества, GitHub заблокировал учетную запись разработчика, что, в свою очередь, также вызвало бурю критики.
В целом же, на фоне героических усилий разработчиков по исправлению дыр в Log4j, которые безвозмездно трудились в праздничные дни, поступок Марака выглядит больше безответственным, нежели решительным и справедливым.
Безусловно, ситуация отражает, что проблема эксплуатации исходного кода крупным бизнесом все же существует и ее признают в сообществе. Но пользователям NPM «colors» и «faker» следует перейти на безопасную версию (например, 1.4.0 и 5.5.3 соответственно), не дожидаясь разрешения ситуации.
Библиотеки NPM стали инструментом в руках разработчика Marak Squires, который еще в ноябре 2020 года заявил, что больше не будет поддерживать крупные корпорации своей «бесплатной работой» и предложил выплатить ему заплату в годовом исчислении на шестизначную сумму.
После того, как предложение разраба проигнорилось, а загрузки продолжились (коих кстати на npm более 20 и 2,8 млн. для colors и faker соответственно), Marak решил привлечь внимание другим способом, который по итогу получил неоднозначную оценку в сообществе.
Разработчик популярных библиотек намеренно внедрил в них вредоносные коммиты, которые повлияли на тысячи приложений, использующих их.
Так, пользователи популярных проектов с открытым исходным кодом, например, таких как Amazon's Cloud Development Kit (aws-cdk) были очень удивлены, увидев на консолях своих приложений текст «LIBERTY LIBERTY LIBERTY» и прочие глюки, которые изначально были восприняты как очередные атаки, как это было в случае с coa, rc и ua-parser-js. А не так давно в библиотеку colors.js в версии v1.4.44-liberty-2 был добавлен модуль «американского флага».
Все это и не только стало возмездием разработчика, которое, по его мнению, предназначалось, прежде всего, для крупных компаний и корпораций, которые широко полагаются на программное обеспечение с открытым исходным кодом, поддержание которого фактически осуществляется разработчиками безвозмездно.
Несмотря на дебаты внутри сообщества, GitHub заблокировал учетную запись разработчика, что, в свою очередь, также вызвало бурю критики.
В целом же, на фоне героических усилий разработчиков по исправлению дыр в Log4j, которые безвозмездно трудились в праздничные дни, поступок Марака выглядит больше безответственным, нежели решительным и справедливым.
Безусловно, ситуация отражает, что проблема эксплуатации исходного кода крупным бизнесом все же существует и ее признают в сообществе. Но пользователям NPM «colors» и «faker» следует перейти на безопасную версию (например, 1.4.0 и 5.5.3 соответственно), не дожидаясь разрешения ситуации.
GitHub
No more free work from Marak - Pay Me or Fork This · Issue #1046 · Marak/faker.js
Respectfully, I am no longer going to support Fortune 500s ( and other smaller sized companies ) with my free work. There isn't much else to say. Take this as an opportunity to send me a si...
Forwarded from ZLONOV security
Обновлённая подборка чатов и каналов по информационной безопасности в Telegram в 2022 году: https://zlonov.com/telegram-security-list-2022
Forwarded from Пост Лукацкого
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Персональный чеклист безопасника на 2022-й год - Бизнес без опасности
В 2019-м году я уже делал персональный чеклист безопасника. В этот раз я решил его немного обновить. Не то, чтобы там есть что-то уникальное, но если мне (и вам) удастся выполнить всю вторую и хотя быть часть третьей страницы, то можно будет считать, что…
Forwarded from SecAtor
Серьезная уязвимость, позволяющая удаленно выполнять код, затронула миллионы маршрутизаторов конечных пользователей.
Речь идет о критической ошибке CVE-2021-45388 (оценка CVSS: 9,8), о которой сообщили специалисты из SentinelOne. Багу нашли в компоненте ядра KCodes NetUSB, используемом в устройствах популярных производителей сетевого оборудования от Netgear, TP-Link, Tenda, EDiMAX, D-Link и Western Digital.
KCodes NetUSB — это модуль ядра Linux, который позволяет устройствам в локальной сети предоставлять функцию USB over IP. То есть принтеры, внешние жесткие диски и флэш-накопители, подключенные к встроенной системе на базе Linux (например, к маршрутизатору), становятся доступными через сеть с помощью драйвера. Если проще, то это решение, позволяющее удаленным устройствам в сети взаимодействовать с USB-устройствами, напрямую подключенными к маршрутизатору
Проблему обнаружил исследователь Макс Ван Амеронген во время изучения маршрутизатора Netgear. В ходе исследования он заметил ошибку в работе модуля ядра NetUSB, связанную с неправильной проверкой размера пакетов, получаемых через удаленные соединения, что непосредственно приводило к переполнению буфера. По мнению эксперт, не так просто написать вредоносную полезную нагрузку для запуска CVE-2021-45388 из-за ограничений кода, но тем не менее эксплойт может привести к RCE в ядре.
Sentinel One сообщил KCodes об угрозе еще в сентябре 2021 г. и предоставил сценарий PoC для проверки исправлений. Поставщики, включая Netgear, TP-Link, DLink и Western Digital, также были уведомлены об уязвимости в системе безопасности и обновленные патчи были запланированы на конец 2021 года.
Ввиду масштабности потенциально подверженных угрозам девайсов, до конца неясно, какие модели затрагивает CVE-2021-45388, в связи с чем рекомендуется использовать активно поддерживаемые продукты, которые получают регулярные обновления безопасности.
Поскольку эта уязвимость находится в стороннем компоненте, лицензированном для различных поставщиков маршрутизаторов, единственный способ исправить это — обновить прошивку вашего маршрутизатора, если такое обновление доступно.
Речь идет о критической ошибке CVE-2021-45388 (оценка CVSS: 9,8), о которой сообщили специалисты из SentinelOne. Багу нашли в компоненте ядра KCodes NetUSB, используемом в устройствах популярных производителей сетевого оборудования от Netgear, TP-Link, Tenda, EDiMAX, D-Link и Western Digital.
KCodes NetUSB — это модуль ядра Linux, который позволяет устройствам в локальной сети предоставлять функцию USB over IP. То есть принтеры, внешние жесткие диски и флэш-накопители, подключенные к встроенной системе на базе Linux (например, к маршрутизатору), становятся доступными через сеть с помощью драйвера. Если проще, то это решение, позволяющее удаленным устройствам в сети взаимодействовать с USB-устройствами, напрямую подключенными к маршрутизатору
Проблему обнаружил исследователь Макс Ван Амеронген во время изучения маршрутизатора Netgear. В ходе исследования он заметил ошибку в работе модуля ядра NetUSB, связанную с неправильной проверкой размера пакетов, получаемых через удаленные соединения, что непосредственно приводило к переполнению буфера. По мнению эксперт, не так просто написать вредоносную полезную нагрузку для запуска CVE-2021-45388 из-за ограничений кода, но тем не менее эксплойт может привести к RCE в ядре.
Sentinel One сообщил KCodes об угрозе еще в сентябре 2021 г. и предоставил сценарий PoC для проверки исправлений. Поставщики, включая Netgear, TP-Link, DLink и Western Digital, также были уведомлены об уязвимости в системе безопасности и обновленные патчи были запланированы на конец 2021 года.
Ввиду масштабности потенциально подверженных угрозам девайсов, до конца неясно, какие модели затрагивает CVE-2021-45388, в связи с чем рекомендуется использовать активно поддерживаемые продукты, которые получают регулярные обновления безопасности.
Поскольку эта уязвимость находится в стороннем компоненте, лицензированном для различных поставщиков маршрутизаторов, единственный способ исправить это — обновить прошивку вашего маршрутизатора, если такое обновление доступно.
👍1