Немецкий производитель корпоративного ПО SAP выпустил 15 новых заметок по безопасности в рамках Patch Tuesday, закрыв в том числе две критические уязвимости.

Наиболее серьезной из устраненных проблем является CVE-2022-39802 (оценка CVSS 9,9), которая описывается как обход пути к файлу в Manufacturing Execution.

Ошибка затрагивает средство просмотра рабочих инструкций и Visual Test and Repair — два плагина для отображения рабочих инструкций и моделей.

URL-адрес для запроса включал параметр пути к файлу, которым можно было манипулировать, чтобы разрешить произвольный обход каталогов на удаленном сервере.

Содержимое файла в каждом каталоге может быть прочитано в пользовательском контексте пользователя ОС, выполняющего процесс или службу NetWeaver.

Вторая критическая уязвимость CVE-2022-41204 (оценка CVSS 9,6) влияет на форму входа в SAP Commerce и может привести к захвату учетной записи через перенаправление URL.

Проблема возникает из-за того, что URL-адреса, которые вызываются при отправке формы входа, не очищаются должным образом, что позволяет злоумышленнику внедрить в них информацию о перенаправлении, что приводит к отправке конфиденциальной информации на сервер, контролируемый злоумышленником.

Злоумышленникам не требовались какие-либо привилегии для запуска эксплойта, главное, чтобы пользователь щелкнуть вредоносную ссылку, которая открывает манипулируемую форму входа для запуска эксплойта.

SAP выпустила пять новых и одну обновленную заметку о безопасности с высоким уровнем серьезности, в том числе три, посвященные уязвимостям раскрытия информации в BusinessObjects, и одну, касающуюся переполнения буфера в SQL Anywhere и IQ.

Две оставшиеся заметки устраняют многочисленные дыры в безопасности в 3D Visual Enterprise Viewer (17 проблем) и 3D Visual Enterprise Author (26 ошибок).

Злоумышленник может обманом заставить пользователей открыть измененные файлы в 3D Visual Enterprise Viewer/Author, что приведет к RCE или DoS.

Остальные девять замечаний по безопасности, о которых SAP объявила на этой неделе, касаются раскрытия информации средней степени серьезности и межсайтовых сценариев (XSS) в BusinessObjects, Enable Now, Commerce, Customer Data Cloud (Gigya) и Data Services Management Console.

Microsoft включила open source систему обнаружения вторжения Zeek (она же Bro в прошлом) в состав Windows, что позволит проводить полноценные расследования инцидентов ИБ

Palo Alto Networks устранила серьезную уязвимость обхода аутентификации в веб-интерфейсе ПО PAN-OS 8.1.

CVE-2022-0030 имеет оценку CVSS 8.1 и позволяет сетевому злоумышленнику, обладающему определенными знаниями о целевом брандмауэре или устройстве Panorama, выдавать себя за существующего администратора PAN-OS и выполнять привилегированные действия.

Недостаток исправлен в PAN-OS 8.1.24 и более поздних версиях. Компания указала, что PAN-OS 8.1 достигла конца срока службы (EOL) и поддерживается только на PA-200, PA-500, брандмауэрах серии 5000 и на устройствах M-100, пока они также не достигнут статуса EOL.

Поставщик заявил, что ему не известно о каком-либо злонамеренном использовании этой проблемы.

Магический квадрат Гартнера по SIEMам. Если его сравнить с прошлогодним, то возникает оооочень много вопросов. И это не только «Где MP SIEM?», но и «Где Google с купленным Siemplify?»…

The flaw (CVE-2022-42889) has been assigned a severity ranking of 9.8 out of a possible 10.0 on the CVSS scale and exists in versions 1.5 through 1.9 of Apache Commons Text. Proof-of-concept code for the vulnerability is already available, though so far there has been no sign of exploit activity.

@avleonovcom #Text4Shell #YetAnother4Shell

Изменения в ГОСТ 34.13-2018

Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) представил для общественного обсуждения проект изменений в ГОСТ 34.13-2018 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров».

А вот еще один интересный проект нашел. Называется Privado - опенсорсный (!) инструмент статического анализа кода для обнаружения точек обработки и передачи персональных данных в коде и построения потоков данных.

Проект Privado заточен под GDPR, но за счет того, что он является свободно распространяемым с открытым исходным кодом, то можно допилить и под отечественные реалии.
По словам автора в Privado реализовано распознавание более 150 типов персональных данных (PII), а также большой перечень "приемников" данных - внешних сервисов, SDK, API, БД и т.п.

Цель проекта - своевременное выявление проблем конфиденциальности и приватности при обработке ПДн и лучшее понимание того, как они циркулируют в разрабатываемых программах и приложениях.

SafeBreach обнаружили новый бэкдор PowerShell, который маскируется под процесс обновления Windows, оставаясь полностью незамеченным.

Причем при первом обнаружении бэкдор PowerShell не считался вредоносным ни одним поставщиком службы сканирования VirusTotal.

Бэкдор распространяется через вредоносные документы Word. Атака начинается с получения фишингового письма с прикрепленным вредоносным документом Apply Form.docm.

Судя по содержимому файла и метаданным, тема, скорее всего, соответствует заявлению о приеме на работу в LinkedIn.

После открытия документа код макроса сбрасывает скрипт updater.vbs на компьютере жертвы, который создает запланированную задачу, имитирующую обычное обновление Windows.

Затем сценарий VBS выполняет два сценария PowerShell, Script.ps1 и Temp.ps1, оба из которых хранятся внутри вредоносного документа в запутанной форме.

Script.ps1 подключается к серверам управления и контроля (C2) злоумышленника, отправляет идентификатор жертвы операторам, а затем ожидает команду, полученную в зашифрованном виде AES-256 CBC.

Скрипт Temp.ps1 декодирует команду в ответе, выполняет ее, а затем шифрует и загружает результат через POST-запрос на C2.

Аналитики обнаружили, что две трети команд предназначались для эксфильтрации данных, а остальные использовались для перечисления пользователей, списков файлов, удаления файлов и учетных записей и вычисления пользователей Active Directory.

По своим характеристикам вредоносное ПО предназначено для кибершпионажа, в основном для кражи данных из скомпрометированной системы.

При анализе двух скриптов исследователи компании обнаружили, что некоторые ошибки в коде могут позволяют определить потенциальное число жертв.

Один из скриптов, вероятно, был установлен более чем на 70 системах, а другой — более чем на 50.

Новый бэкдор PowerShell является характерным примером неизвестных скрытых угроз, используемых для атак на государственные, корпоративные и частные пользовательские системы.

SafeBreach опубликовала индикаторы компрометации (IoC), связанные с новым бэкдором PowerShell, и предупреждает о том, что его фактически невозможно обнаружить.

Закономерно после появления PoC для Text4Shell, отслеживаемой как CVE-2022-42889, начались первые атаки с использованием новой уязвимости Apache Commons Text.

Apache Commons Text — это библиотека Java с открытым исходным кодом, предназначенная для работы со строками. Он используется многими разработчиками и организациями.

CVE-2022-42889 — это критическая проблема, связанная с ненадежной обработкой данных, и она может привести к RCE, но эксплуатация возможна только при определенных обстоятельствах.

Defiant включили мониторинг 4 миллионов веб-сайтов с момента публичного раскрытия баги 17 октября и уже на следующий день наблюдала попытки взлома примерно с 40 IP-адресов.

Подавляющее большинство запросов используют префикс DNS и предназначены для сканирования уязвимых установок, и не удивительно, ведь популярный веб-сканер уязвимостей Burp Suite добавлено расширение для сканирования уязвимости.

Исследователи полагают, что вряд ли Text4Shell будет использоваться так же широко, как Log4Shell, однако тщательный анализ указывает на высокий профицит эксплуатации для некоторой категории злоумышленников.

https://www.cyberscoop.com/wp-content/uploads/sites/3/2022/10/image002.png

The Carnegie Mellon University-designed privacy label for IoT devices has been tested with consumers and is ready to be deployed.

Все презентации 10 EU MITRE ATT&CK® Community Workshop [*]

Официальная ссылка на скачку.

[*] Только ⬜ TLP:WHITE ⬜. Материалы 🟩 TLP:GREEN 🟩 доступны только на оффлайн мероприятии.

📩 Подписаться 📩

Безопасно проектируйте микросервисы
https://medium.com/@mail.ruchitayal/mind-mapping-micro-services-design-patterns-part-2-c3f875e97f2f