Вчера мы по поводу этой новости решили не давать пост, а сегодня подумали, и решили все-таки написать.
Cisco выпустили обновления, устраняющие уязвимости в линейке маршрутизаторов RV160 и RV260 со встроенным VPN.
Всего исправлено семь уязвимостей (c CVE-2021-1289 по CVE-2021-1295). Cisco не дали технических подробностей, но сообщили, что балл их критичности равен 9,8 из 10. Это прямо очень много.
Ошибки заключаются в некорректном механизме обработки HTTP-запросов, благодаря чему хакер может удаленно выполнить код с рутовыми правами.
Плюс исправлены еще две уязвимости CVE-2021-1296 и CVE-2021-1297 в этих же маршрутизаторах, которые позволяют пользователю, не прошедшему аутентификацию, получить доступ к файловой системе.
Ну, и на сдачу - обновления для маршрутизаторов RV016, RV042, RV082, RV320 и RV325, исправляющие кучу уязвимостей, позволявших злоумышленнику выполнять команды с рутовыми правами, осуществлять RCE и вызывать DoS.
Поскольку все эти продукты продаются в России и используются в корпоративных сетях, то стоит задуматься о срочном обновлении.
Cisco выпустили обновления, устраняющие уязвимости в линейке маршрутизаторов RV160 и RV260 со встроенным VPN.
Всего исправлено семь уязвимостей (c CVE-2021-1289 по CVE-2021-1295). Cisco не дали технических подробностей, но сообщили, что балл их критичности равен 9,8 из 10. Это прямо очень много.
Ошибки заключаются в некорректном механизме обработки HTTP-запросов, благодаря чему хакер может удаленно выполнить код с рутовыми правами.
Плюс исправлены еще две уязвимости CVE-2021-1296 и CVE-2021-1297 в этих же маршрутизаторах, которые позволяют пользователю, не прошедшему аутентификацию, получить доступ к файловой системе.
Ну, и на сдачу - обновления для маршрутизаторов RV016, RV042, RV082, RV320 и RV325, исправляющие кучу уязвимостей, позволявших злоумышленнику выполнять команды с рутовыми правами, осуществлять RCE и вызывать DoS.
Поскольку все эти продукты продаются в России и используются в корпоративных сетях, то стоит задуматься о срочном обновлении.
Cisco
Cisco Security Advisory: Cisco??Small Business RV160, RV160W, RV260, RV260P, and RV260W VPN Routers Remote Code Execution Vulnerabilities
Multiple vulnerabilities in the web-based management interface of Cisco Small Business RV160, RV160W, RV260, RV260P, and RV260W VPN Routers could allow an unauthenticated, remote attacker to execute arbitrary code as the root user on an affected device. …
Неутешительные новости касаемо ransomware.
BleepingComputer сообщает, что две крупные электроэнергетические компании Бразилии - Centrais Eletricas Brasileiras (Eletrobras) и Companhia Paranaense de Energia (Copel) - на прошлой неделе подверглись атакам ransomware.
При этом Eletrobras - это вообще крупнейшая энергетическая компания в Южной Америке, но атака была направлена на ее дочернюю компанию Eletronuclear, которая занимается строительством и эксплуатацией атомных электростанций. Фукусимой прямо повеяло.
В результате атаки вымогателя некоторые административные сервисы были выведены из строя, но, слава Богу, технологические сегменты сети не были затронуты и на работу непосредственно атомных электростанций атака не повлияла. Какой конкретно штамм ransomware причастен к инциденту - пока не ясно.
В отношении второй атаки, на компанию Copel, информации немного больше. К ней причастен оператор ransomware Darkside, представители которого утверждают, что им удалось украсть более 1 Тб данных, в которых содержатся как данные клиентов и руководства компании, так и конфиденциальная информация, которую можно использовать для доступа к инфраструктуре Copel. А эта самая инфраструктура, по логике вещей, является критической.
В этом случае технологические сети также не пострадали.
С последней атакой не все ясно, так как еще 12 января румынские исследователи из Bitdefender выпустили бесплатный декриптор для Darkside. Возможно, что атака, о которой Copel сообщили 1 февраля в отчете американской SEC (бразильцы торгуются на нью-йоркской бирже) произошла сильно раньше. А возможно, что декриптор был использован, но это, понятное дело, не спасло от кражи данных вымогателями.
Как бы то ни было, учащающиеся атаки ransomware на объекты критической инфраструктуры энтузиазма нам не прибавляют. Поскольку велика вероятность корявого сегментирования сети, после чего шифровальщик проникнет в технологический сегмент и уронит какую-нибудь ICS (Industrial Control System), следом за чем брякнется какой-нибудь технологический процесс. Например, связанный с производством пестицидов. И начнется треш и гуро.
BleepingComputer сообщает, что две крупные электроэнергетические компании Бразилии - Centrais Eletricas Brasileiras (Eletrobras) и Companhia Paranaense de Energia (Copel) - на прошлой неделе подверглись атакам ransomware.
При этом Eletrobras - это вообще крупнейшая энергетическая компания в Южной Америке, но атака была направлена на ее дочернюю компанию Eletronuclear, которая занимается строительством и эксплуатацией атомных электростанций. Фукусимой прямо повеяло.
В результате атаки вымогателя некоторые административные сервисы были выведены из строя, но, слава Богу, технологические сегменты сети не были затронуты и на работу непосредственно атомных электростанций атака не повлияла. Какой конкретно штамм ransomware причастен к инциденту - пока не ясно.
В отношении второй атаки, на компанию Copel, информации немного больше. К ней причастен оператор ransomware Darkside, представители которого утверждают, что им удалось украсть более 1 Тб данных, в которых содержатся как данные клиентов и руководства компании, так и конфиденциальная информация, которую можно использовать для доступа к инфраструктуре Copel. А эта самая инфраструктура, по логике вещей, является критической.
В этом случае технологические сети также не пострадали.
С последней атакой не все ясно, так как еще 12 января румынские исследователи из Bitdefender выпустили бесплатный декриптор для Darkside. Возможно, что атака, о которой Copel сообщили 1 февраля в отчете американской SEC (бразильцы торгуются на нью-йоркской бирже) произошла сильно раньше. А возможно, что декриптор был использован, но это, понятное дело, не спасло от кражи данных вымогателями.
Как бы то ни было, учащающиеся атаки ransomware на объекты критической инфраструктуры энтузиазма нам не прибавляют. Поскольку велика вероятность корявого сегментирования сети, после чего шифровальщик проникнет в технологический сегмент и уронит какую-нибудь ICS (Industrial Control System), следом за чем брякнется какой-нибудь технологический процесс. Например, связанный с производством пестицидов. И начнется треш и гуро.
BleepingComputer
Eletrobras, Copel energy companies hit by ransomware attacks
Centrais Eletricas Brasileiras (Eletrobras) and Companhia Paranaense de Energia (Copel), two major electric utilities companies in Brazil have announced that they suffered ransomware attacks over the past week.
За 2020 год Google выплатили 6,7 млн. долларов в рамках своей программы Bug Bounty.
Самое большое разовое вознаграждение составило более 132 тыс. долларов, всего награждено 662 исследователя из 62 стран.
Да, этичным хакингом тоже можно зарабатывать деньги. И достаточно неплохие.
Самое большое разовое вознаграждение составило более 132 тыс. долларов, всего награждено 662 исследователя из 62 стран.
Да, этичным хакингом тоже можно зарабатывать деньги. И достаточно неплохие.
XDA Developers
Google paid out over $6.7 million in bug bounty rewards last year
In 2020, Google paid over $6.7 million to security researchers around the world for reporting security vulnerabilities in Google products.
Странная история с найденной уязвимостью в Signal.
Две недели назад Иран заблокировал использование мессенджера на своей территории. В ответ на это Signal предложил пользователям поддержать цифровую демократию в Иране и поучаствовать в создании TLS-прокси, с помощью которых персидские сподвижники смогут обходить блокировку.
В пятницу исследователь DuckSoft разметил на GitHub статью о том, что из-за корявости кода Signal иранские госорганы могут спокойно отследить все такие TLS-прокси и заблокировать их. Там же приводился PoC за авторством исследователя studentmain. А дальше начался цирк.
Ресерчеры направили данные в Signal. Администрация мессенджера выпилила статью на GitHub, сказав, что такие вопросы необходимо обсуждать на форуме Signal. Затем заблокировали DuckSoft на своем форуме, а в Twitter объяснили, что причиной всему этому стала "безответственность исследователя". Мол, если бы он тихонько написал про уязвимость безопасникам Signal, то все было бы ровно. А он зачем-то выкинул это на публику, негодяй. И вообще вел себя неуважительно.
Исследователи перезалили тему на GitHub, уже с соответствующими комментариями.
А в качестве вишенки на торте выступила статья BleepingComputer, которую под нажимом администрации мессенджера журналисты вынуждены были снести, а вместо нее поставили путанное извинение.
Когда ты борешься против цензуры с помощью цензуры.
Две недели назад Иран заблокировал использование мессенджера на своей территории. В ответ на это Signal предложил пользователям поддержать цифровую демократию в Иране и поучаствовать в создании TLS-прокси, с помощью которых персидские сподвижники смогут обходить блокировку.
В пятницу исследователь DuckSoft разметил на GitHub статью о том, что из-за корявости кода Signal иранские госорганы могут спокойно отследить все такие TLS-прокси и заблокировать их. Там же приводился PoC за авторством исследователя studentmain. А дальше начался цирк.
Ресерчеры направили данные в Signal. Администрация мессенджера выпилила статью на GitHub, сказав, что такие вопросы необходимо обсуждать на форуме Signal. Затем заблокировали DuckSoft на своем форуме, а в Twitter объяснили, что причиной всему этому стала "безответственность исследователя". Мол, если бы он тихонько написал про уязвимость безопасникам Signal, то все было бы ровно. А он зачем-то выкинул это на публику, негодяй. И вообще вел себя неуважительно.
Исследователи перезалили тему на GitHub, уже с соответствующими комментариями.
А в качестве вишенки на торте выступила статья BleepingComputer, которую под нажимом администрации мессенджера журналисты вынуждены были снести, а вместо нее поставили путанное извинение.
Когда ты борешься против цензуры с помощью цензуры.
Нешуточные страсти разгорелись на Шри-Ланке.
В субботу некая группа хактивистов осуществила DNS-спуфинг (подделка данных кэша DNS-сервера) администратора национального домена .LK, в результате которого перенаправила трафик на подконтрольную страницу, содержавшую перечисление недостатков шриланкийского бытия - коррупция, отсутствие свободы СМИ и вообще предвзятое отношение к тамилам.
Атакой были затронуты сайты местных предприятий и СМИ, а также Google .lk и Oracle .lk.
Ну и поскольку ZDNet, которые первые написали об этой атаке, поленились разобраться, что же за таинственные хакеры стоят за инцидентом, то мы дадим небольшие пояснения вместо них.
В Южной Азии живет народ тамилы, весьма многочисленный - всего около 77 млн. человек. В основном живут на территории Индии, но порядка 3 млн. живет в Шри-Ланке.
Поскольку национальное большинство в лице сингалов третировало тамилов, то в 1976 году последние создали повстанческое движение Тигры освобождения Тамил-Илама (ТОТИ), выступавшее за создание независимого государства Тамил-Илам на территории Шри-Ланки. И Тигры стали периодически стали устраивать замесы с правительственными войсками, в которых поучаствовали даже вооруженные силы Индии (отхватив в итоге по пране и ретировавшись к себе домой). ТОТИ, кстати, первые придумали пояса смертников, а также надевать их на женщин. Суровые товарищи, в общем.
Но в 2008 году правительство Шри-Ланки решило окончательно задавить Тигров, разорвало действовавшее перемирие и захватило подконтрольные ТОТИ территории. После чего те ушли партизанить в джунгли. В качестве сопутствующих допустимых потерь выступили 6,5 тыс. мирных жителей, погибших в ходе правительственной операции. Оставшимся же в живых тамилам с тех пор приходится несладко.
Поэтому можно смело говорить, что за атакой на NIC .lk стоят тамильские повстанцы, которым в джунгли завезли два ящика Интернета и книжку "DNS-спуфинг для чайников". А спонсором этого выступления стали раздолбаи из администратора национального домена Шри-Ланки.
В субботу некая группа хактивистов осуществила DNS-спуфинг (подделка данных кэша DNS-сервера) администратора национального домена .LK, в результате которого перенаправила трафик на подконтрольную страницу, содержавшую перечисление недостатков шриланкийского бытия - коррупция, отсутствие свободы СМИ и вообще предвзятое отношение к тамилам.
Атакой были затронуты сайты местных предприятий и СМИ, а также Google .lk и Oracle .lk.
Ну и поскольку ZDNet, которые первые написали об этой атаке, поленились разобраться, что же за таинственные хакеры стоят за инцидентом, то мы дадим небольшие пояснения вместо них.
В Южной Азии живет народ тамилы, весьма многочисленный - всего около 77 млн. человек. В основном живут на территории Индии, но порядка 3 млн. живет в Шри-Ланке.
Поскольку национальное большинство в лице сингалов третировало тамилов, то в 1976 году последние создали повстанческое движение Тигры освобождения Тамил-Илама (ТОТИ), выступавшее за создание независимого государства Тамил-Илам на территории Шри-Ланки. И Тигры стали периодически стали устраивать замесы с правительственными войсками, в которых поучаствовали даже вооруженные силы Индии (отхватив в итоге по пране и ретировавшись к себе домой). ТОТИ, кстати, первые придумали пояса смертников, а также надевать их на женщин. Суровые товарищи, в общем.
Но в 2008 году правительство Шри-Ланки решило окончательно задавить Тигров, разорвало действовавшее перемирие и захватило подконтрольные ТОТИ территории. После чего те ушли партизанить в джунгли. В качестве сопутствующих допустимых потерь выступили 6,5 тыс. мирных жителей, погибших в ходе правительственной операции. Оставшимся же в живых тамилам с тех пор приходится несладко.
Поэтому можно смело говорить, что за атакой на NIC .lk стоят тамильские повстанцы, которым в джунгли завезли два ящика Интернета и книжку "DNS-спуфинг для чайников". А спонсором этого выступления стали раздолбаи из администратора национального домена Шри-Ланки.
Исследователи из словацкой ESET выпустили отчет о ландшафте киберугроз в 4 квартале 2020 года.
Основные тенденции:
- резко возросло количество атак на цепочки поставок (мы об этом говорили тоже) - только за 4 квартал словаки наблюдали такое же их количество, как за ранее происходило за год;
- количество зафиксированных ESET попыток атак на RDP выросло на 768% (!) и составило 29 млрд. штук. Это связано, конечно же, с переходом множества сотрудников на удаленную работу в связи с пандемией коронавируса и, как следствие, кратным увеличением использования RDP;
- количество операторов ransomware растет, соответственно количество операторов банковских троянов уменьшается - хакерские группы перепрофилируются на более выгодный вид киберпреступности;
- основной темой спама в 2020 году стал COVID.
Полный отчет - по ссылке.
Основные тенденции:
- резко возросло количество атак на цепочки поставок (мы об этом говорили тоже) - только за 4 квартал словаки наблюдали такое же их количество, как за ранее происходило за год;
- количество зафиксированных ESET попыток атак на RDP выросло на 768% (!) и составило 29 млрд. штук. Это связано, конечно же, с переходом множества сотрудников на удаленную работу в связи с пандемией коронавируса и, как следствие, кратным увеличением использования RDP;
- количество операторов ransomware растет, соответственно количество операторов банковских троянов уменьшается - хакерские группы перепрофилируются на более выгодный вид киберпреступности;
- основной темой спама в 2020 году стал COVID.
Полный отчет - по ссылке.
WeLiveSecurity
ESET Threat Report Q4 2020
ESET Threat Report Q4 2020 gives a snapshot of the main cyber-threats and trends in the last quarter of 2020 and brings exclusive ESET research updates.
Infosecurity Magazine публикует очень важную (нет) статью о том, как сделать кибербезопасность более кибербезопасной.
Для этого надо всего лишь (барабанная дробь) ... увеличить диверсити и инклюзивность в вашей инфосек команде. Что для этого надо делать конкретно?
Во-первых, не только резко увеличить количество гендерквиров, женщин и цветных людей, но и предпринимать все меры, чтобы их удержать в команде. Например, дать им бОльшую зарплату просто за их небинарность и цвет кожи.
Во-вторых, если сотрудник выглядит как говно и пахнет также - окажите ему моральную поддержку. Равно как и если он не работает как надо - это просто проявление нейроразнообразия (новое словечко!). Короче, максимум времени надо уделять раздолбаям и лентяям, нормальные сотрудники не достойны вашего внимания, сами выкарабкаются.
В-третьих, если сотрудник несет бред - он просто оригинально мыслит. Необходимо создать культуру инклюзивности, каким-бы долбоклюем он не был (в целом, в том, чтобы принимать во внимание мнение нестандартно мыслящих людей есть рациональное зерно, но нельзя перегибать, иначе все свободное время уйдет на объяснение дуракам почему корова не летает).
Только так получится предотвратить растущую киберугрозу. Ведь, как известно, нет лучшей кандидатуры на должность CISO чем одноногая необразованная неподмытая ксеногендерная негритянка.
P.S. Один из пунктов мы пропустили, потому что гибкий подход к организации рабочего процесса с точки зрения локации и графика работы в инфосеке действительно полезен.
P.P.S. Мы не думаем, что, к примеру, женщины или инвалиды менее достойны работы в инфосек. И знаем массу ярких примеров обратного. Но мы против того, чтобы диверсити ставили во главу стола.
Для этого надо всего лишь (барабанная дробь) ... увеличить диверсити и инклюзивность в вашей инфосек команде. Что для этого надо делать конкретно?
Во-первых, не только резко увеличить количество гендерквиров, женщин и цветных людей, но и предпринимать все меры, чтобы их удержать в команде. Например, дать им бОльшую зарплату просто за их небинарность и цвет кожи.
Во-вторых, если сотрудник выглядит как говно и пахнет также - окажите ему моральную поддержку. Равно как и если он не работает как надо - это просто проявление нейроразнообразия (новое словечко!). Короче, максимум времени надо уделять раздолбаям и лентяям, нормальные сотрудники не достойны вашего внимания, сами выкарабкаются.
В-третьих, если сотрудник несет бред - он просто оригинально мыслит. Необходимо создать культуру инклюзивности, каким-бы долбоклюем он не был (в целом, в том, чтобы принимать во внимание мнение нестандартно мыслящих людей есть рациональное зерно, но нельзя перегибать, иначе все свободное время уйдет на объяснение дуракам почему корова не летает).
Только так получится предотвратить растущую киберугрозу. Ведь, как известно, нет лучшей кандидатуры на должность CISO чем одноногая необразованная неподмытая ксеногендерная негритянка.
P.S. Один из пунктов мы пропустили, потому что гибкий подход к организации рабочего процесса с точки зрения локации и графика работы в инфосеке действительно полезен.
P.P.S. Мы не думаем, что, к примеру, женщины или инвалиды менее достойны работы в инфосек. И знаем массу ярких примеров обратного. Но мы против того, чтобы диверсити ставили во главу стола.
Infosecurity Magazine
#HowTo: Increase Diversity in Security Teams
What steps should organizations be taking to improve diversity within their security teams?
Ну вот и первая на нашей памяти атака на объект критической инфраструктуры, в процессе которой хакер попытался напрямую нанести ущерб здоровью и жизни людей. И не удалось ему это только по причине того, что атаку вовремя заметили.
По информации американских СМИ, в пятницу неизвестный хакер получил доступ к системе управления водоочистительного объекта города Олдсмар, что в американском штате Флорида.
Злоумышленник просто подобрал пароль к TeamViewer, который стоял на машине, управляющей системой водоочистки, и повысил концентрацию едкого натра, поступающего в воду, более чем в 100 раз.
В стандартной концентрации едкий натр используется для отчистки воды. Если же концентрация сильно превышает норму, то едкий натр, который является щелочью, может нанести серьезные химические ожоги. К примеру, если такой водичкой умыться, то прекрасного завтра можно и не увидеть - едкий натр вызывает атрофию зрительного нерва и потерю зрения.
К счастью, оператор, следивший за системой водоочистки, зрительно обнаружил удаленную активность на рабочем столе взломанного компьютера и предотвратил вмешательство. Теперь героем станет.
Атакованный водоочистительный объект - это муниципальное предприятие, которое, как не удивительно, имеет собственное IT-подразделение (действительно, кто-то же TeamViewer поставил на машину). Местный шериф Гуалтьери сообщил, что для оказания помощи вызваны ФБР и Секретная Служба, а также сказал, что для всех это послужить тревожным звонком.
Для нас же тревожным звонком служит тот факт, что на таком критическом объекте айтишники не только догадались подключить машину, управляющую очисткой воды, в Интернет, но и поставили на нее TeamViewer.
Теперь основной вопрос - что будет происходить дальше. Если накажут как следует виновных в создании такой бреши - хорошо. Но, как нам кажется, в очередной раз все сведется к обсуждению личности хакера и его возможной причастности к тому или иному злокозненному государству.
По информации американских СМИ, в пятницу неизвестный хакер получил доступ к системе управления водоочистительного объекта города Олдсмар, что в американском штате Флорида.
Злоумышленник просто подобрал пароль к TeamViewer, который стоял на машине, управляющей системой водоочистки, и повысил концентрацию едкого натра, поступающего в воду, более чем в 100 раз.
В стандартной концентрации едкий натр используется для отчистки воды. Если же концентрация сильно превышает норму, то едкий натр, который является щелочью, может нанести серьезные химические ожоги. К примеру, если такой водичкой умыться, то прекрасного завтра можно и не увидеть - едкий натр вызывает атрофию зрительного нерва и потерю зрения.
К счастью, оператор, следивший за системой водоочистки, зрительно обнаружил удаленную активность на рабочем столе взломанного компьютера и предотвратил вмешательство. Теперь героем станет.
Атакованный водоочистительный объект - это муниципальное предприятие, которое, как не удивительно, имеет собственное IT-подразделение (действительно, кто-то же TeamViewer поставил на машину). Местный шериф Гуалтьери сообщил, что для оказания помощи вызваны ФБР и Секретная Служба, а также сказал, что для всех это послужить тревожным звонком.
Для нас же тревожным звонком служит тот факт, что на таком критическом объекте айтишники не только догадались подключить машину, управляющую очисткой воды, в Интернет, но и поставили на нее TeamViewer.
Теперь основной вопрос - что будет происходить дальше. Если накажут как следует виновных в создании такой бреши - хорошо. Но, как нам кажется, в очередной раз все сведется к обсуждению личности хакера и его возможной причастности к тому или иному злокозненному государству.
U.S.
Hackers try to contaminate Florida town's water supply through computer breach
Hackers broke into the computer system of a facility that treats water for about 15,000 people near Tampa, Florida and sought to add a dangerous level of additive to the water supply, the Pinellas County Sheriff said on Monday.
Поляки из CD Project Red нас до инфаркта доведут. Речь, конечно, про Cyberpunk 2077.
Мало того, что вместо игры мечты они выпустили забагованного уродца, в котором кроме сюжетных миссий нет ничего интересного (ну серьезно, ездить по городу и биться с буратинами на кулачках - так себе сайд-квесты). Теперь оказалось, что в игре присутствовала уязвимость, связанная с переполнением буфера, которая могла привести к удаленному выполнению кода (RCE) в случае использования сторонних модов.
Это конечно далеко не первый случай уязвимости в играх - вспомнить хотя бы уязвимость CVE-2018-20817 в играх линейки Call of Duty, которая также приводила к RCE. Но хотелось бы более серьезного отношения к безопасности пользователей от игры, стоимостью в десятки миллионов долларов.
В пятницу CDPR выпустили хотфикс 1.12, который устранил ошибку и в Cyberpunk 2077 теперь можно играть со спокойной душой. Если захочется, конечно.
Мало того, что вместо игры мечты они выпустили забагованного уродца, в котором кроме сюжетных миссий нет ничего интересного (ну серьезно, ездить по городу и биться с буратинами на кулачках - так себе сайд-квесты). Теперь оказалось, что в игре присутствовала уязвимость, связанная с переполнением буфера, которая могла привести к удаленному выполнению кода (RCE) в случае использования сторонних модов.
Это конечно далеко не первый случай уязвимости в играх - вспомнить хотя бы уязвимость CVE-2018-20817 в играх линейки Call of Duty, которая также приводила к RCE. Но хотелось бы более серьезного отношения к безопасности пользователей от игры, стоимостью в десятки миллионов долларов.
В пятницу CDPR выпустили хотфикс 1.12, который устранил ошибку и в Cyberpunk 2077 теперь можно играть со спокойной душой. Если захочется, конечно.
BleepingComputer
Cyberpunk 2077 bug fixed that let malicious mods take over PCs
CD Projekt Red has released a hotfix for Cyberpunk 2077 to fix a remote code execution vulnerability that could be exploited by third-party data file modifications and save games files.
Forwarded from Утечки информации
Польский разработчик компьютерных игр «CD Projekt RED» подвергся атаке вируса-вымогателя и судя по всему были “слиты” исходные коды игр «Киберпанк 2077», «Ведьмак 3» и некоторых других. Кроме того, утекли внутренние документы компании. 🔥
Пока не известно какой именно вируса-вымогатель ответственен за этот инцидент. 🤷♂️
В 2016 году уже был взломан форум forums.cdprojektred.com и тогда “слили” 1,87 млн. записей зарегистрированных пользователей: логины, адреса эл. почты, хешированные пароли (на текущий момент “расшифровано” 624 тыс.). 🤦♂️
Пока не известно какой именно вируса-вымогатель ответственен за этот инцидент. 🤷♂️
В 2016 году уже был взломан форум forums.cdprojektred.com и тогда “слили” 1,87 млн. записей зарегистрированных пользователей: логины, адреса эл. почты, хешированные пароли (на текущий момент “расшифровано” 624 тыс.). 🤦♂️
Швейцарская компания Terra Quantum AG заявила, что совершила принципиальный прорыв в использовании квантовых компьютеров для взлома симметричных криптосистем.
К симметричным шифрам относятся AES, DES, Blowfish и др. К примеру, AES широко используется в информационной безопасности.
Команда исследователей Terra Quantum, возглавляемая Гордеем Лесовиком из МФТИ и Валерием Винокуром из Аргоннской национальной лаборатории (США), якобы разработала математический метод взлома симметричных шифров для квантовых компьютеров, которые вот-вот появятся (а может и не появятся).
Подробностей пока нет, поэтому до конца неясно - действительно ли Terra Quantum обладает некими прорывными знаниями или это все хайп для зарабатывания денег. Поскольку параллельно с этим швейцарская компания рекламирует свой новый алгоритм шифрования, который, по словам разработчиков, не может быть взломан квантовыми компьютерами.
В любом случае у нас есть как минимум несколько лет до появления рабочих образцов квантовых компьютеров вне закрытых и засекреченных лабораторий.
К симметричным шифрам относятся AES, DES, Blowfish и др. К примеру, AES широко используется в информационной безопасности.
Команда исследователей Terra Quantum, возглавляемая Гордеем Лесовиком из МФТИ и Валерием Винокуром из Аргоннской национальной лаборатории (США), якобы разработала математический метод взлома симметричных шифров для квантовых компьютеров, которые вот-вот появятся (а может и не появятся).
Подробностей пока нет, поэтому до конца неясно - действительно ли Terra Quantum обладает некими прорывными знаниями или это все хайп для зарабатывания денег. Поскольку параллельно с этим швейцарская компания рекламирует свой новый алгоритм шифрования, который, по словам разработчиков, не может быть взломан квантовыми компьютерами.
В любом случае у нас есть как минимум несколько лет до появления рабочих образцов квантовых компьютеров вне закрытых и засекреченных лабораторий.
Bloomberg.com
A Swiss Company Says It Found Weakness That Imperils Encryption
Security experts have long worried that advances in quantum computing could eventually make it easier to break encryption that protects the privacy of people’s data. That’s because these sophisticated machines can perform calculations at speeds impossible…
Ровно неделю назад мы писали про то, что последние версии macOS оказались подвержены уязвимости CVE-2021-3156 aka Baron Samedit в sudo, связанной с переполнением кучи. В результате ее эксплуатации любой локальный пользователь без аутентификации может получить рутовые права в системе. Это конечно не RCE, но приятного тоже мало.
Хорошая новость - Apple выпустили обновления безопасности для macOS Big Sur, Catalina и Mojave, которые исправляют ошибку.
Традиционно призываем всех пользователей macOS как можно скорее обновиться.
Хорошая новость - Apple выпустили обновления безопасности для macOS Big Sur, Catalina и Mojave, которые исправляют ошибку.
Традиционно призываем всех пользователей macOS как можно скорее обновиться.
Apple Support
About the security content of macOS Big Sur 11.2.1, macOS Catalina 10.15.7 Supplemental Update, and macOS Mojave 10.14.6 Security…
This document describes the security content of macOS Big Sur 11.2.1, macOS Catalina 10.15.7 Supplemental Update, and macOS Mojave 10.14.6 Security Update 2021-002.
Чуть больше суток назад Microsoft выпустили февральское обновление безопасности своих продуктов. Всего было устранено 56 уязвимостей, 11 из которых были критичными.
В числе других была исправлена CVE-2021-1732, которая существовала в ядре Windows и приводила к локальному повышению привилегий. Уязвимость являлась 0-day и касалась всех последних версий Windows 10.
А уже сегодня ночью китайская инфосек компания DBAPPSecurity сообщила, что именно ее исследователи в декабре 2020 года обнаружили CVE-2021-1732 и ее активное использование APT Bitter в целевых атаках. Также китайцы дали технические подробности ошибки и привели PoC. По словам исследователей - "уязвимость получена высококвалифицированными хакерами, а ее эксплойт весьма сложен".
APT Bitter - это азиатская прогосударственная хакерская группа, работающая преимущественно по Пакистану и Китаю. Исходя из такого набора целей, можно предположить, что за ней стоит Индия.
В числе других была исправлена CVE-2021-1732, которая существовала в ядре Windows и приводила к локальному повышению привилегий. Уязвимость являлась 0-day и касалась всех последних версий Windows 10.
А уже сегодня ночью китайская инфосек компания DBAPPSecurity сообщила, что именно ее исследователи в декабре 2020 года обнаружили CVE-2021-1732 и ее активное использование APT Bitter в целевых атаках. Также китайцы дали технические подробности ошибки и привели PoC. По словам исследователей - "уязвимость получена высококвалифицированными хакерами, а ее эксплойт весьма сложен".
APT Bitter - это азиатская прогосударственная хакерская группа, работающая преимущественно по Пакистану и Китаю. Исходя из такого набора целей, можно предположить, что за ней стоит Индия.
Twitter
jq0904
Our team caught a windows kernel zero-day exploit (CVE-2021-1732) which was used in targeted attack: ti.dbappsecurity.com.cn/blog/index.php…
Исследователь Фабиан Восар из Emisoft говорит, что позавчерашний взлом польской игровой студии CD Project Red совершенно точно является атакой вымогателя, за которой стоит оператор ransomware HelloKitty, что следует из шаблона опубликованной записки о выкупе.
Таким образом Восар опровергает расходящиеся слухи, что атака была осуществлена недовольным геймером как месть за Cyberpunk 2077.
Мы особо ничего про HelloKitty не знаем, этот вымогатель появился только в конце прошлого года и особо не светился. Единственное, что известно - в декабре оператор ransomware атаковал ресурсы бразильской энергетической компании CEMIG, в результате чего пострадали некоторые из онлайн сервисов, но технологические процессы затронуты не были.
Интересно, что в своем сообщении о киберинциденте CEMIG заявили, что атака была выявлена SOC компании, а в результате оперативного реагирования было зашифровано менее 10% контента на атакованных серверах.
Видимо, у CD Project Red своего SOC не имеется. Kurwa...
Таким образом Восар опровергает расходящиеся слухи, что атака была осуществлена недовольным геймером как месть за Cyberpunk 2077.
Мы особо ничего про HelloKitty не знаем, этот вымогатель появился только в конце прошлого года и особо не светился. Единственное, что известно - в декабре оператор ransomware атаковал ресурсы бразильской энергетической компании CEMIG, в результате чего пострадали некоторые из онлайн сервисов, но технологические процессы затронуты не были.
Интересно, что в своем сообщении о киберинциденте CEMIG заявили, что атака была выявлена SOC компании, а в результате оперативного реагирования было зашифровано менее 10% контента на атакованных серверах.
Видимо, у CD Project Red своего SOC не имеется. Kurwa...
Twitter
Fabian Wosar
The amount of people that are thinking this was done by a disgruntled gamer is laughable. Judging by the ransom note that was shared, this was done by a ransomware group we track as "HelloKitty". This has nothing to do with disgruntled gamers and is just…
Исследователи из Forescout продолжают будоражить болотце информационной безопасности IoT. Почему болотце? Да потому что сверху тихая гладкая водичка, а начни разбираться - такая трясина уязвимостей, что хоть сейчас Интернет выключай.
Мы уже рассказывали про отчет Forescout под названием AMNESIA: 33, в котором они описали 33 новых уязвимости в четырех опенсорсных реализациях стека TCP/IP - uIP, FNET, picoTCP и Nut/Net, применяемых в IoT-устройствах. Там прямо готовый боевой эксплойт-кит по минимальным расценкам.
В этот раз Forecast проанализировали 11 реализаций стека TCP/IP и выявили в 9 из них уязвимости в алгоритмах генерации ISN (Initial Sequence Number, предназначен для обеспечения уникальности TCP-соединений). Слабый алгоритм генерации позволяет хакеру предсказать ISN и, таким образом, перехватить TCP-сессию.
История, на самом деле, стара как Интернет. Но вот опять всплыла.
Forecast проинформировал поставщиков уязвимых реализаций стеков TCP/IP и часть из них уже выпустили патчи. В то же время разработчики uIP вообще не ответили, а разработчики Nut/Net мучают Муму уже четыре месяца.
Ну и напоминаем традиционную проблему Интернета вещей - многие устройства IoT и OT могут вообще не обновляться, а значит даже если выявленные уязвимости исправлены в стеках, то до конечного пользователя апдейты в ряде случаев просто не дойдут.
Мы уже рассказывали про отчет Forescout под названием AMNESIA: 33, в котором они описали 33 новых уязвимости в четырех опенсорсных реализациях стека TCP/IP - uIP, FNET, picoTCP и Nut/Net, применяемых в IoT-устройствах. Там прямо готовый боевой эксплойт-кит по минимальным расценкам.
В этот раз Forecast проанализировали 11 реализаций стека TCP/IP и выявили в 9 из них уязвимости в алгоритмах генерации ISN (Initial Sequence Number, предназначен для обеспечения уникальности TCP-соединений). Слабый алгоритм генерации позволяет хакеру предсказать ISN и, таким образом, перехватить TCP-сессию.
История, на самом деле, стара как Интернет. Но вот опять всплыла.
Forecast проинформировал поставщиков уязвимых реализаций стеков TCP/IP и часть из них уже выпустили патчи. В то же время разработчики uIP вообще не ответили, а разработчики Nut/Net мучают Муму уже четыре месяца.
Ну и напоминаем традиционную проблему Интернета вещей - многие устройства IoT и OT могут вообще не обновляться, а значит даже если выявленные уязвимости исправлены в стеках, то до конечного пользователя апдейты в ряде случаев просто не дойдут.
Telegram
SecAtor
Исследователи инфосек компании Forescout подготовили отчет под названием AMNESIA: 33, в котором описали 33 новых уязвимости в четырех опенсорсных реализациях стека TCP/IP - uIP, FNET, picoTCP и Nut/Net.
Уязвимые стеки используются преимущественно в Интернете…
Уязвимые стеки используются преимущественно в Интернете…
Хакеры, взломавшие в понедельник польскую игровую студию CD Project Red (предположительно группировка, стоящая за ransomware HelloKitty) не стали медлить и сразу выставили украденные у поляков данные на продажу на одном из русскоязычных хакерских форумов.
Среди продаваемой информации - исходные коды игр Ведьмак 3, Cyberpunk 2077 и Gwent, карточной игры родом из вселенной Ведьмака.
Стартовая цена аукциона - 1 млн. долларов. Цена, при которой можно купить лот сразу, минуя аукцион, - 7 млн. долларов.
Самый понравившийся нам комментарий из Twitter мы приводим ниже.
Среди продаваемой информации - исходные коды игр Ведьмак 3, Cyberpunk 2077 и Gwent, карточной игры родом из вселенной Ведьмака.
Стартовая цена аукциона - 1 млн. долларов. Цена, при которой можно купить лот сразу, минуя аукцион, - 7 млн. долларов.
Самый понравившийся нам комментарий из Twitter мы приводим ниже.
Twitter
羽音は俺の嫁
@vxunderground Why does everything call a function named "kurwa"??!