Forwarded from SecAtor
Исследователи Horizon3 Attack Team анонсироавли выпуск RCE-эксплойта, нацеленного на цепочку уязвимостей на непропатченных устройствах VMware vRealize Log Insight.
Как мы сообщали, в прошлый вторник VMware исправила четыре уязвимости в инструменте анализа журналов, две из которых являются критическими и позволяют злоумышленникам удаленно выполнять код без аутентификации.
Обе имеют критический уровень серьезности с базовыми оценками CVSS 9,8/10 и могут быть использованы злоумышленниками в атаках низкой сложности, не требующих аутентификации.
Все уязвимости можно использовать в стандартной конфигурации устройств VMware vRealize Log Insight.
Horizon3 Attack Team предупредила администраторовk Team анонсичто им удалось создать эксплойт, который связывает три из четырех ошибкой, исправленных VMware на этой неделе, для удаленного выполнения кода от имени пользователя root.
Эксплойт можно использовать для получения начального доступа к сетям организаций (через устройства, открытые в Интернете), а также для горизонтального перемещения с сохраненными учетными данными.
Злоумышленники могут получить конфиденциальную информацию из журналов на узлах Log Insight, включая ключи API и токены сеанса, которые помогут взломать дополнительные системы и еще больше скомпрометировать среду.
Безусловно, учитывая функциональную роль VMware vRealize Log Insight, лишь штучные экземпляры открыты в глобальной сети (всего - 45, по метрике Shodan).
Однако это не делает их менее ценными для злоумышленников, которые с легкостью могут использовать уязвимости в уже скомпрометированных сетях.
Как мы сообщали, в прошлый вторник VMware исправила четыре уязвимости в инструменте анализа журналов, две из которых являются критическими и позволяют злоумышленникам удаленно выполнять код без аутентификации.
Обе имеют критический уровень серьезности с базовыми оценками CVSS 9,8/10 и могут быть использованы злоумышленниками в атаках низкой сложности, не требующих аутентификации.
Все уязвимости можно использовать в стандартной конфигурации устройств VMware vRealize Log Insight.
Horizon3 Attack Team предупредила администраторовk Team анонсичто им удалось создать эксплойт, который связывает три из четырех ошибкой, исправленных VMware на этой неделе, для удаленного выполнения кода от имени пользователя root.
Эксплойт можно использовать для получения начального доступа к сетям организаций (через устройства, открытые в Интернете), а также для горизонтального перемещения с сохраненными учетными данными.
Злоумышленники могут получить конфиденциальную информацию из журналов на узлах Log Insight, включая ключи API и токены сеанса, которые помогут взломать дополнительные системы и еще больше скомпрометировать среду.
Безусловно, учитывая функциональную роль VMware vRealize Log Insight, лишь штучные экземпляры открыты в глобальной сети (всего - 45, по метрике Shodan).
Однако это не делает их менее ценными для злоумышленников, которые с легкостью могут использовать уязвимости в уже скомпрометированных сетях.
X (formerly Twitter)
Horizon3 Attack Team (@Horizon3Attack) on X
Exploitation of multiple vulnerabilities affecting #VMware vRealize Log Insight leads to unauth RCE
🔺 CVE-2022-31704, CVE-2022-31706, CVE-2022-31711
🔺 IOC Blog tomorrow
🔺 POC / Deep-Dive Blog next week
See VMware Security Advisory: https://t.co/tldhMQPoPK
🔺 CVE-2022-31704, CVE-2022-31706, CVE-2022-31711
🔺 IOC Blog tomorrow
🔺 POC / Deep-Dive Blog next week
See VMware Security Advisory: https://t.co/tldhMQPoPK
Forwarded from SecAtor
Для подготовки своего нового отчета ресерчерам Лаборатории Касперского пришлось просканировать даркнет и с головой погрузиться в профсообщество современных киберпреступников.
Как и любой другой бизнес, хакерская индустрия нуждается в рекрутинге рабочей силы.
Новых членов в команды и подбор специалистов для узконаправленных задач киберпреступники ведут в даркнете. Соискателям предлагаются ежемесячная заработная плата, оплачиваемый отпуск и отпуск по болезни.
Исследователи изучили и проанализировали более 200 000 объявлений о вакансиях, размещенных на 155 теневых площадках за период с марта 2020 года по июнь 2022 года.
Материал получился объемный и достаточно репрезентативный.
Большинство работодателей даркнета предлагают полулегальную и нелегальную работу, бывают и исключения (создание учебных курсов по ИТ).
Объявлений о поиске работы было значительно меньше, чем предложений.
Резюме, размещенные на даркнет-форумах, касаются самых разных областей знаний и должностных инструкций: от модерации каналов Telegram до компрометации корпоративной инфраструктуры.
Профессиональные хакерские команды и APT фокусируются на поиске и найме разработчиков ПО, предлагая при этом серьезные оферы для их привлечения (более 61% всех объявлений).
На втором месте оказались пентестеры с 16%, а на третьем — дизайнеры с 10%.
Самая высокооплачиваемая вакансия включала месячную зарплату в размере 20 000 долл., в то время как другие предложения для высококлассных спецов по таргетирванным атакам превышали планку в 15 000.
Кроме того, востребованы услуги аналитиков, разработчиков вредоносных программ и инструментов, брокеров первичного доступа, реверсинженеров, тестировщиков, веб-дизайнеров, спецов по фишингу, и админов.
Средняя з/п для IT-специалистов варьируется в диапазоне 1300 - 4000 долл. в месяц. При этом наиболее высокоплачиваемыми считаются реверсинженеры, а услуги дизайна - самыми дешевыми.
Более трети предложений предполагали кандидатам полную занятость на весь рабочий день, другая треть - гибкий график, в оставшихся 45% - удаленка.
В некоторых случаях (8% вакансий) работникам также предлагался ежегодный оплачиваемый отпуск и оплата больничного. Продумана и система мотивации: поощрения, продвижение на вышестоящие должности, стажировки и тп.
По мнению специалистов ЛК, такие плюшки и более высокий заработок делают предложения киберпреступников конкурентными легальным вакансиям на рынке IT и более привлекательными для начинающих и безработных специалистов.
Другими факторами являются отсутствие формальных требований к кандидату: образование, судимости, военная служба и тп.
Как и обычной жизни, в процессе найма рекрутеры предлагают пройти собеседование и выполнить тестовые задания для определения и подтверждения профессионального уровня соискателя.
Оценивается также резюме или портфолио.
В характерных случая, обнаруженных Лабораторией Касперского, кандидатам даже оплачивалась тестовая работа: около 300 долларов в BTC.
В другой ситуации соискатель должен был в течение 24 часов скрыть тестовую DLL от обнаружения антивирусными средствами, допуская максимум 3 незначительных сработки.
Ресерчеры полагают, что даркнет будет еще более активно задействоваться организованной киберпреступностью в качестве инструмента вербовки новых членов, предлагая стабильный доход и возможности в условиях нестабильной экономической и политической ситуации.
Однако, как отмечают в ЛК, не многие осознают, что риски по-прежнему перевешивают преимущества.
Работодатель не несет никакой ответственности, а работник всегда может остаться без зарплаты, стать участником мошеннической схемы или вовсе отправиться в места не столь отдаленные.
Как и любой другой бизнес, хакерская индустрия нуждается в рекрутинге рабочей силы.
Новых членов в команды и подбор специалистов для узконаправленных задач киберпреступники ведут в даркнете. Соискателям предлагаются ежемесячная заработная плата, оплачиваемый отпуск и отпуск по болезни.
Исследователи изучили и проанализировали более 200 000 объявлений о вакансиях, размещенных на 155 теневых площадках за период с марта 2020 года по июнь 2022 года.
Материал получился объемный и достаточно репрезентативный.
Большинство работодателей даркнета предлагают полулегальную и нелегальную работу, бывают и исключения (создание учебных курсов по ИТ).
Объявлений о поиске работы было значительно меньше, чем предложений.
Резюме, размещенные на даркнет-форумах, касаются самых разных областей знаний и должностных инструкций: от модерации каналов Telegram до компрометации корпоративной инфраструктуры.
Профессиональные хакерские команды и APT фокусируются на поиске и найме разработчиков ПО, предлагая при этом серьезные оферы для их привлечения (более 61% всех объявлений).
На втором месте оказались пентестеры с 16%, а на третьем — дизайнеры с 10%.
Самая высокооплачиваемая вакансия включала месячную зарплату в размере 20 000 долл., в то время как другие предложения для высококлассных спецов по таргетирванным атакам превышали планку в 15 000.
Кроме того, востребованы услуги аналитиков, разработчиков вредоносных программ и инструментов, брокеров первичного доступа, реверсинженеров, тестировщиков, веб-дизайнеров, спецов по фишингу, и админов.
Средняя з/п для IT-специалистов варьируется в диапазоне 1300 - 4000 долл. в месяц. При этом наиболее высокоплачиваемыми считаются реверсинженеры, а услуги дизайна - самыми дешевыми.
Более трети предложений предполагали кандидатам полную занятость на весь рабочий день, другая треть - гибкий график, в оставшихся 45% - удаленка.
В некоторых случаях (8% вакансий) работникам также предлагался ежегодный оплачиваемый отпуск и оплата больничного. Продумана и система мотивации: поощрения, продвижение на вышестоящие должности, стажировки и тп.
По мнению специалистов ЛК, такие плюшки и более высокий заработок делают предложения киберпреступников конкурентными легальным вакансиям на рынке IT и более привлекательными для начинающих и безработных специалистов.
Другими факторами являются отсутствие формальных требований к кандидату: образование, судимости, военная служба и тп.
Как и обычной жизни, в процессе найма рекрутеры предлагают пройти собеседование и выполнить тестовые задания для определения и подтверждения профессионального уровня соискателя.
Оценивается также резюме или портфолио.
В характерных случая, обнаруженных Лабораторией Касперского, кандидатам даже оплачивалась тестовая работа: около 300 долларов в BTC.
В другой ситуации соискатель должен был в течение 24 часов скрыть тестовую DLL от обнаружения антивирусными средствами, допуская максимум 3 незначительных сработки.
Ресерчеры полагают, что даркнет будет еще более активно задействоваться организованной киберпреступностью в качестве инструмента вербовки новых членов, предлагая стабильный доход и возможности в условиях нестабильной экономической и политической ситуации.
Однако, как отмечают в ЛК, не многие осознают, что риски по-прежнему перевешивают преимущества.
Работодатель не несет никакой ответственности, а работник всегда может остаться без зарплаты, стать участником мошеннической схемы или вовсе отправиться в места не столь отдаленные.
Securelist
IT specialists search and recruitment on the dark web
We have analyzed more than 800 IT job ads and resumes on the dark web. Here is what the dark web job market looks like.
👍1
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Очень оперативно на
YouTube уже стали доступны выступления с первого дня CloudNativeSecurityCon 2023 в Seattle (это уже порядка 45 докладов), о котором я писал недавно. Думаю, что со второго дня все доклады будут доступны уже завтра! Также на сайте в разделе программа для некоторых докладов доступны и слайды ;)YouTube
CloudNativeSecurityCon 2023 - Seattle
CloudNativeSecurityCon 2023 was a two-day event designed to foster collaboration, discussion, and knowledge sharing of cloud native security projects and how...
👍1
Forwarded from Пост Лукацкого
Кстати, портал НКЦКИ (safe-surf.ru) обновили. Симпатичненько так получилось.
ЗЫ. Сертификат TLS у него до 15 марта (всего на 3 месяца выдан). Интересно, что потом? Новый Let's Encrypt или НУЦ?
ЗЫ. Сертификат TLS у него до 15 марта (всего на 3 месяца выдан). Интересно, что потом? Новый Let's Encrypt или НУЦ?
Портал информационной безопасности
Интернет-портал по информационной безопасности в сети | Для пользователей и специалистов
Информационный портал по безопасности в сети интернет и не только. Все вопросы информационной безопасности для пользователей и специалистов на нашем интернет-по...
Forwarded from AlexRedSec
На календаре 2 февраля, а это значит, что наступил 2nd FActor Day!
Да, да, у двухфакторки есть свой день в календаре - отличный день, чтобы убедиться, что на всех ресурсах, где у вас есть аккаунты, включена двухфакторная аутентификация✔️
Например, на сайте Гослуслуг или в Telegram.
А на сайте 2fa.directory можно посмотреть как включить эту функцию на различных популярных сайтах.
Да, да, у двухфакторки есть свой день в календаре - отличный день, чтобы убедиться, что на всех ресурсах, где у вас есть аккаунты, включена двухфакторная аутентификация
Например, на сайте Гослуслуг или в Telegram.
А на сайте 2fa.directory можно посмотреть как включить эту функцию на различных популярных сайтах.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from Авангард Медиа | Про ИБ и не только
Media is too big
VIEW IN TELEGRAM
«Магнитка 2023» многогранна как никогда! Язык машин и язык людей, цифровое измерение и человеческое — все стороны кибербеза, даже самые неочевидные, откроются тем, кто посетит главное выездное ИБ-мероприятие года в России.
Регистрируйтесь!
#ibbank #магнитка2023
Регистрируйтесь!
#ibbank #магнитка2023
Forwarded from Пост Лукацкого
Запись митапа Яндекса про внутреннюю кухню ИБ ИТ-компании. 4 доклада про безопасность финтех-сервисов в Yandex Cloud, методы защиты от современных DDoS-атак, организацию привилегированного доступа к Linux-инфраструктуре, автоматизацию процессов безопасности в корпорациях.
ЗЫ. Про утечку репозитория исходников Яндекса ни слова - обещали рассказать про это отдельно.
ЗЫ. Про утечку репозитория исходников Яндекса ни слова - обещали рассказать про это отдельно.
YouTube
Yet Another Security Meetup #1
00:00:00 Начало трансляции
00:02:11 Открытие – Антон Карпов, Яндекс
00:04:13 Как мы строили Банк в Облаке и что мы поняли – Андрей Абакумов, Яндекс
00:30:59 Новая реальность DDoS атак – Алексей Тощаков, Яндекс
01:10:15 Классификация, моделирование и policy…
00:02:11 Открытие – Антон Карпов, Яндекс
00:04:13 Как мы строили Банк в Облаке и что мы поняли – Андрей Абакумов, Яндекс
00:30:59 Новая реальность DDoS атак – Алексей Тощаков, Яндекс
01:10:15 Классификация, моделирование и policy…
👍1👎1
Forwarded from Пост Лукацкого
Обзор 12 онлайн-курсов по ИБ (многие бесплатные, но все на английском) с получением сертификатов по окончанию
The Fordham Ram
The 12 Best Cyber Security Courses: Stay Safe Online
Planning on becoming a cybersecurity professional but don't know where to start? Browse through our list of courses to find the right fit for your career!
👍2
Forwarded from SecAtor
Критический баг в Jira Service Management Server и Data Center позволяет злоумышленникам выдавать себя за пользователей Jira.
Как сообщают разработчики Atlassian, уязвимость аутентификации при определенных обстоятельствах предоставляет злоумышленнику доступ к экземпляру Jira Service Management, выдавая его за другого пользователя.
Если в Jira Service Management включен доступ для записи в каталог пользователей и подключена электронная почта, злоумышленник может получить доступ к токенам регистрации, отправляемым пользователям с учетными записями, которые никогда не входили в систему.
Коварный замысел с получением токенов может быть реализован в двух сценариях:
1. злоумышленник включен в задачи или запросы Jira с этими пользователями
2. злоумышленник получает доступ к электронным письмам, содержащим ссылку «просмотреть запрос» от этих пользователей.
Ошибка с оценкой CVSS 9,4 отслеживается как CVE-2023-22501 и затрагивает Jira Service Management Server и Data Center версий 5.3.0, 5.3.1, 5.3.2, 5.4.0, 5.4.1 и 5.5.0.
По данным Atlassian, наиболее вероятными объектами таких атак являются учетные записи ботов.
Однако внешние учетные записи клиентов на экземплярах с единым входом также могут быть скомпрометированы, если создание учетной записи открыто для всех.
Исправления для этой уязвимости были включены в версии Jira Service Management Server и Data Center 5.3.3, 5.4.2, 5.5.1 и 5.6.0 и пользователям рекомендуется как можно скорее обновить свои экземпляры Jira.
Как сообщают разработчики Atlassian, уязвимость аутентификации при определенных обстоятельствах предоставляет злоумышленнику доступ к экземпляру Jira Service Management, выдавая его за другого пользователя.
Если в Jira Service Management включен доступ для записи в каталог пользователей и подключена электронная почта, злоумышленник может получить доступ к токенам регистрации, отправляемым пользователям с учетными записями, которые никогда не входили в систему.
Коварный замысел с получением токенов может быть реализован в двух сценариях:
1. злоумышленник включен в задачи или запросы Jira с этими пользователями
2. злоумышленник получает доступ к электронным письмам, содержащим ссылку «просмотреть запрос» от этих пользователей.
Ошибка с оценкой CVSS 9,4 отслеживается как CVE-2023-22501 и затрагивает Jira Service Management Server и Data Center версий 5.3.0, 5.3.1, 5.3.2, 5.4.0, 5.4.1 и 5.5.0.
По данным Atlassian, наиболее вероятными объектами таких атак являются учетные записи ботов.
Однако внешние учетные записи клиентов на экземплярах с единым входом также могут быть скомпрометированы, если создание учетной записи открыто для всех.
Исправления для этой уязвимости были включены в версии Jira Service Management Server и Data Center 5.3.3, 5.4.2, 5.5.1 и 5.6.0 и пользователям рекомендуется как можно скорее обновить свои экземпляры Jira.
👍2
Американский институт стандартов решил стандартизировать легковесное шифрование на базе Алгоритмов Ascon. Легковесное шифрование нужно для реализации на маломощных устройствах (iot) где существующие алгоритмы недостаточно производительны.
https://csrc.nist.gov/projects/lightweight-cryptography
https://csrc.nist.gov/projects/lightweight-cryptography
CSRC | NIST
Lightweight Cryptography | CSRC | CSRC
NIST began investigating cryptography for constrained environments in 2013. After two workshops and discussions with stakeholders in industry, government, and academia, NIST initiated a process to solicit, evaluate, and standardize schemes providing authenticated…
👍3