Как мы ранее и прогнозировали атаки на цепочку поставок в виде библиотек продолжаются - теперь новый вектор, действия самого разработчика библиотек.
Forwarded from SecAtor
Атаки на цепочку поставок доходят до абсурда: популярные библиотеки с открытым исходным кодом «colors» и «faker» были скомпрометированы своим же разработчиком.
Библиотеки NPM стали инструментом в руках разработчика Marak Squires, который еще в ноябре 2020 года заявил, что больше не будет поддерживать крупные корпорации своей «бесплатной работой» и предложил выплатить ему заплату в годовом исчислении на шестизначную сумму.
После того, как предложение разраба проигнорилось, а загрузки продолжились (коих кстати на npm более 20 и 2,8 млн. для colors и faker соответственно), Marak решил привлечь внимание другим способом, который по итогу получил неоднозначную оценку в сообществе.
Разработчик популярных библиотек намеренно внедрил в них вредоносные коммиты, которые повлияли на тысячи приложений, использующих их.
Так, пользователи популярных проектов с открытым исходным кодом, например, таких как Amazon's Cloud Development Kit (aws-cdk) были очень удивлены, увидев на консолях своих приложений текст «LIBERTY LIBERTY LIBERTY» и прочие глюки, которые изначально были восприняты как очередные атаки, как это было в случае с coa, rc и ua-parser-js. А не так давно в библиотеку colors.js в версии v1.4.44-liberty-2 был добавлен модуль «американского флага».
Все это и не только стало возмездием разработчика, которое, по его мнению, предназначалось, прежде всего, для крупных компаний и корпораций, которые широко полагаются на программное обеспечение с открытым исходным кодом, поддержание которого фактически осуществляется разработчиками безвозмездно.
Несмотря на дебаты внутри сообщества, GitHub заблокировал учетную запись разработчика, что, в свою очередь, также вызвало бурю критики.
В целом же, на фоне героических усилий разработчиков по исправлению дыр в Log4j, которые безвозмездно трудились в праздничные дни, поступок Марака выглядит больше безответственным, нежели решительным и справедливым.
Безусловно, ситуация отражает, что проблема эксплуатации исходного кода крупным бизнесом все же существует и ее признают в сообществе. Но пользователям NPM «colors» и «faker» следует перейти на безопасную версию (например, 1.4.0 и 5.5.3 соответственно), не дожидаясь разрешения ситуации.
Библиотеки NPM стали инструментом в руках разработчика Marak Squires, который еще в ноябре 2020 года заявил, что больше не будет поддерживать крупные корпорации своей «бесплатной работой» и предложил выплатить ему заплату в годовом исчислении на шестизначную сумму.
После того, как предложение разраба проигнорилось, а загрузки продолжились (коих кстати на npm более 20 и 2,8 млн. для colors и faker соответственно), Marak решил привлечь внимание другим способом, который по итогу получил неоднозначную оценку в сообществе.
Разработчик популярных библиотек намеренно внедрил в них вредоносные коммиты, которые повлияли на тысячи приложений, использующих их.
Так, пользователи популярных проектов с открытым исходным кодом, например, таких как Amazon's Cloud Development Kit (aws-cdk) были очень удивлены, увидев на консолях своих приложений текст «LIBERTY LIBERTY LIBERTY» и прочие глюки, которые изначально были восприняты как очередные атаки, как это было в случае с coa, rc и ua-parser-js. А не так давно в библиотеку colors.js в версии v1.4.44-liberty-2 был добавлен модуль «американского флага».
Все это и не только стало возмездием разработчика, которое, по его мнению, предназначалось, прежде всего, для крупных компаний и корпораций, которые широко полагаются на программное обеспечение с открытым исходным кодом, поддержание которого фактически осуществляется разработчиками безвозмездно.
Несмотря на дебаты внутри сообщества, GitHub заблокировал учетную запись разработчика, что, в свою очередь, также вызвало бурю критики.
В целом же, на фоне героических усилий разработчиков по исправлению дыр в Log4j, которые безвозмездно трудились в праздничные дни, поступок Марака выглядит больше безответственным, нежели решительным и справедливым.
Безусловно, ситуация отражает, что проблема эксплуатации исходного кода крупным бизнесом все же существует и ее признают в сообществе. Но пользователям NPM «colors» и «faker» следует перейти на безопасную версию (например, 1.4.0 и 5.5.3 соответственно), не дожидаясь разрешения ситуации.
GitHub
No more free work from Marak - Pay Me or Fork This · Issue #1046 · Marak/faker.js
Respectfully, I am no longer going to support Fortune 500s ( and other smaller sized companies ) with my free work. There isn't much else to say. Take this as an opportunity to send me a si...
Forwarded from ZLONOV security
Обновлённая подборка чатов и каналов по информационной безопасности в Telegram в 2022 году: https://zlonov.com/telegram-security-list-2022
Forwarded from Пост Лукацкого
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Персональный чеклист безопасника на 2022-й год - Бизнес без опасности
В 2019-м году я уже делал персональный чеклист безопасника. В этот раз я решил его немного обновить. Не то, чтобы там есть что-то уникальное, но если мне (и вам) удастся выполнить всю вторую и хотя быть часть третьей страницы, то можно будет считать, что…
Forwarded from SecAtor
Серьезная уязвимость, позволяющая удаленно выполнять код, затронула миллионы маршрутизаторов конечных пользователей.
Речь идет о критической ошибке CVE-2021-45388 (оценка CVSS: 9,8), о которой сообщили специалисты из SentinelOne. Багу нашли в компоненте ядра KCodes NetUSB, используемом в устройствах популярных производителей сетевого оборудования от Netgear, TP-Link, Tenda, EDiMAX, D-Link и Western Digital.
KCodes NetUSB — это модуль ядра Linux, который позволяет устройствам в локальной сети предоставлять функцию USB over IP. То есть принтеры, внешние жесткие диски и флэш-накопители, подключенные к встроенной системе на базе Linux (например, к маршрутизатору), становятся доступными через сеть с помощью драйвера. Если проще, то это решение, позволяющее удаленным устройствам в сети взаимодействовать с USB-устройствами, напрямую подключенными к маршрутизатору
Проблему обнаружил исследователь Макс Ван Амеронген во время изучения маршрутизатора Netgear. В ходе исследования он заметил ошибку в работе модуля ядра NetUSB, связанную с неправильной проверкой размера пакетов, получаемых через удаленные соединения, что непосредственно приводило к переполнению буфера. По мнению эксперт, не так просто написать вредоносную полезную нагрузку для запуска CVE-2021-45388 из-за ограничений кода, но тем не менее эксплойт может привести к RCE в ядре.
Sentinel One сообщил KCodes об угрозе еще в сентябре 2021 г. и предоставил сценарий PoC для проверки исправлений. Поставщики, включая Netgear, TP-Link, DLink и Western Digital, также были уведомлены об уязвимости в системе безопасности и обновленные патчи были запланированы на конец 2021 года.
Ввиду масштабности потенциально подверженных угрозам девайсов, до конца неясно, какие модели затрагивает CVE-2021-45388, в связи с чем рекомендуется использовать активно поддерживаемые продукты, которые получают регулярные обновления безопасности.
Поскольку эта уязвимость находится в стороннем компоненте, лицензированном для различных поставщиков маршрутизаторов, единственный способ исправить это — обновить прошивку вашего маршрутизатора, если такое обновление доступно.
Речь идет о критической ошибке CVE-2021-45388 (оценка CVSS: 9,8), о которой сообщили специалисты из SentinelOne. Багу нашли в компоненте ядра KCodes NetUSB, используемом в устройствах популярных производителей сетевого оборудования от Netgear, TP-Link, Tenda, EDiMAX, D-Link и Western Digital.
KCodes NetUSB — это модуль ядра Linux, который позволяет устройствам в локальной сети предоставлять функцию USB over IP. То есть принтеры, внешние жесткие диски и флэш-накопители, подключенные к встроенной системе на базе Linux (например, к маршрутизатору), становятся доступными через сеть с помощью драйвера. Если проще, то это решение, позволяющее удаленным устройствам в сети взаимодействовать с USB-устройствами, напрямую подключенными к маршрутизатору
Проблему обнаружил исследователь Макс Ван Амеронген во время изучения маршрутизатора Netgear. В ходе исследования он заметил ошибку в работе модуля ядра NetUSB, связанную с неправильной проверкой размера пакетов, получаемых через удаленные соединения, что непосредственно приводило к переполнению буфера. По мнению эксперт, не так просто написать вредоносную полезную нагрузку для запуска CVE-2021-45388 из-за ограничений кода, но тем не менее эксплойт может привести к RCE в ядре.
Sentinel One сообщил KCodes об угрозе еще в сентябре 2021 г. и предоставил сценарий PoC для проверки исправлений. Поставщики, включая Netgear, TP-Link, DLink и Western Digital, также были уведомлены об уязвимости в системе безопасности и обновленные патчи были запланированы на конец 2021 года.
Ввиду масштабности потенциально подверженных угрозам девайсов, до конца неясно, какие модели затрагивает CVE-2021-45388, в связи с чем рекомендуется использовать активно поддерживаемые продукты, которые получают регулярные обновления безопасности.
Поскольку эта уязвимость находится в стороннем компоненте, лицензированном для различных поставщиков маршрутизаторов, единственный способ исправить это — обновить прошивку вашего маршрутизатора, если такое обновление доступно.
👍1
Forwarded from SecAtor
Сага Log4J - не что иное как идеальный шторм для хакеров всех мастей и, согласно словам руководителя CISA уязвимости Log4j будут использоваться для вторжений в будущем, ведь если хакеры используют Log4shell, мы, возможно, еще просто не знаем об этом.
Просто вдумайтесь, 32 приложения немецкого производителя программного обеспечения SAP использовали уязвимую библиотеку Apache Log4j. Исправить SAP удалось лишь некоторые из них, выпустив первый набор обновлений безопасности в 2022 году.
В рамках Patch Day SAP объявила о выпуске в общей сложности 11 новых заметок по безопасности, а также 16 дополнительных примечаний и трех обновлений ранее выпущенных примечаний, пропатчив в общей сложности ошибки в 21 приложении.
Наиболее важные из этих замечаний по безопасности касаются уязвимого компонента Log4j, включая более старую проблему, обнаруженную в предыдущем варианте библиотеки и отслеживаемую как CVE-2019-17571 (оценка CVSS 9,8).
Еще одно важное примечание по безопасности (оценка CVSS 8,7), опубликованное SAP на этой неделе, касается межсайтового скриптинга (XSS) и уязвимости внедрения кода в S/4HANA, которые существуют из-за того, что приложение не проверяет загруженные и загруженные файлы.
Первая уязвимость позволяет злоумышленнику с базовыми правами пользователя запускать произвольный код сценария, что приводит к раскрытию или изменению конфиденциальной информации.
Вторая позволяет злоумышленнику с базовыми правами пользователя внедрять опасный контент или вредоносный код, что может привести к изменению важной информации или полностью поставить под угрозу доступность приложения.
Исправлены также ошибки раскрытия информации в Business One, ошибка XSS в Enterprise Threat Detection и проблему раскрытия информации в NetWeaver, все средней серьезности.
Кроме того, компания обновила предыдущие 3 декабрьские исправления для ошибок внедрения кода в NetWeaver AS ABAP, неправильной проверки ввода в 3D Visual Enterprise Viewer и отсутствия проверки авторизации в GRC Access Control.
Столь серьезный набор исправлений говорит о не менее серьезных проблемах, с которыми отрасли придется столкнуться в будущем. Но, мы уже об этом предупреждали.
Просто вдумайтесь, 32 приложения немецкого производителя программного обеспечения SAP использовали уязвимую библиотеку Apache Log4j. Исправить SAP удалось лишь некоторые из них, выпустив первый набор обновлений безопасности в 2022 году.
В рамках Patch Day SAP объявила о выпуске в общей сложности 11 новых заметок по безопасности, а также 16 дополнительных примечаний и трех обновлений ранее выпущенных примечаний, пропатчив в общей сложности ошибки в 21 приложении.
Наиболее важные из этих замечаний по безопасности касаются уязвимого компонента Log4j, включая более старую проблему, обнаруженную в предыдущем варианте библиотеки и отслеживаемую как CVE-2019-17571 (оценка CVSS 9,8).
Еще одно важное примечание по безопасности (оценка CVSS 8,7), опубликованное SAP на этой неделе, касается межсайтового скриптинга (XSS) и уязвимости внедрения кода в S/4HANA, которые существуют из-за того, что приложение не проверяет загруженные и загруженные файлы.
Первая уязвимость позволяет злоумышленнику с базовыми правами пользователя запускать произвольный код сценария, что приводит к раскрытию или изменению конфиденциальной информации.
Вторая позволяет злоумышленнику с базовыми правами пользователя внедрять опасный контент или вредоносный код, что может привести к изменению важной информации или полностью поставить под угрозу доступность приложения.
Исправлены также ошибки раскрытия информации в Business One, ошибка XSS в Enterprise Threat Detection и проблему раскрытия информации в NetWeaver, все средней серьезности.
Кроме того, компания обновила предыдущие 3 декабрьские исправления для ошибок внедрения кода в NetWeaver AS ABAP, неправильной проверки ввода в 3D Visual Enterprise Viewer и отсутствия проверки авторизации в GRC Access Control.
Столь серьезный набор исправлений говорит о не менее серьезных проблемах, с которыми отрасли придется столкнуться в будущем. Но, мы уже об этом предупреждали.
Onapsis
SAP Security Patch Day January 2022: Log4j Causes Record-Breaking Number of HotNews Notes
SAP has published 35 new and updated Security Notes on its January Patch Day, demonstrating the serious impact of Log4j vulnerability on SAP security.