Forwarded from Social Engineering
🔑 #Shodan и дефолтные пароли.
Дефолтные пароли на сетевых устройствах встречаются чаще, чем может показаться на первый взгляд. В интернете открытыми портами наружу торчат сотни роутеров не только частных пользователей, но и корпоративных сетей.
• Мы уже говорили про такие инструменты как Passhunt, Login Hunter и другие полезные сервисы. Сегодня мы поговорим о #Shodan. Ниже будут представлены готовые запросы и описание, благодаря этой информации ты можешь найти дефолтные пароли различных устройств:
• admin 1234 – basic very unsecure credentials.
• “default password” – speaks for itself…
• test test port:”80″ – generic test credentials over HTTP.
• “authentication disabled” “RFB 003.008” – no authentication necessary.
• “root@” port:23 -login -password -name -Session – accounts already logged in with root privilege over Telnet, port 23.
• port:23 console gateway – remote access via Telnet, no password required.
• html:”def_wirelesspassword” – default login pages for routers.
• “polycom command shell” – possible authentication bypass to Polycom devices.
• “authentication disabled” port:5900,5901 – VNC services without authentication.
• “server: Bomgar” “200 OK” – Bomgar remote support service.
‼️ Не забывай про другую полезную информацию, которую ты сможешь найти в нашем канале по хештегам #OSINT #Shodan и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
Дефолтные пароли на сетевых устройствах встречаются чаще, чем может показаться на первый взгляд. В интернете открытыми портами наружу торчат сотни роутеров не только частных пользователей, но и корпоративных сетей.
🖖🏻 Приветствую тебя user_name.
• Устройства на которых не изменены дефолтные пароли, великое множество. Даже в крупных организациях есть вероятность найти камеру, принтер, роутер, IP-телефоны, сетевые устройства или другое оборудование с дефолтными паролями.• Мы уже говорили про такие инструменты как Passhunt, Login Hunter и другие полезные сервисы. Сегодня мы поговорим о #Shodan. Ниже будут представлены готовые запросы и описание, благодаря этой информации ты можешь найти дефолтные пароли различных устройств:
• admin 1234 – basic very unsecure credentials.
• “default password” – speaks for itself…
• test test port:”80″ – generic test credentials over HTTP.
• “authentication disabled” “RFB 003.008” – no authentication necessary.
• “root@” port:23 -login -password -name -Session – accounts already logged in with root privilege over Telnet, port 23.
• port:23 console gateway – remote access via Telnet, no password required.
• html:”def_wirelesspassword” – default login pages for routers.
• “polycom command shell” – possible authentication bypass to Polycom devices.
• “authentication disabled” port:5900,5901 – VNC services without authentication.
• “server: Bomgar” “200 OK” – Bomgar remote support service.
‼️ Не забывай про другую полезную информацию, которую ты сможешь найти в нашем канале по хештегам #OSINT #Shodan и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
Большой респект исследователям в сфере облачной безопасности Ширу Тамари и Ами Луттваку из компании Wiz, которые раскрыли новый класс уязвимостей DNS, затрагивающих даже самых крупных поставщиков DNSaaS.
Из неутешительных выводов: любой облачный провайдер, регистратор доменов и хостинг веб-сайтов, которые предоставляют DNSaaS, может быть уязвим. Из шести исследованных спецами основных поставщиков DNSaaS трое были уязвимы.
Вкратце: Wiz заметили, что несколько провайдеров управляемых DNS не заносили в черный список свои собственные DNS-серверы внутри своих бэкэндов. Им удалось добавить сам сервер имен управляемого DNS-провайдера в бэкэнд и указать его на свою внутреннюю сеть, что позволило им перехватить DNS-трафик, попадающий на захваченный управляемый сервер провайдера, но получая не весь DNS-трафик, а только динамические обновления DNS.
Согласно отчету, конечные точки Microsoft Windows раскрывают конфиденциальную информацию о клиентах при выполнении запросов на обновление DNS. Так, за несколько часов мониторинга DNS они получили обновления с 992 597 оконечных точек Windows от примерно 15 000 потенциально уязвимых компаний, включая 15 компаний из списка Fortune 500. В некоторых организациях было более 20 000 оконечных устройств, которые активно передавали свою информацию за пределы.
Успешная эксплуатация позволила им собрать внутренние IP-адреса, раскрыть сетевые сегменты организации, имена компьютеров, их потенциальное содержание, внешние IP-адреса с географическим местоположениям, сайты организации по всему миру, внутренние адреса IPv6 (иногда доступны извне и позволяют войти в организацию), обнаружить билеты NTLM / Kerberos.
Исследователи полагают, что несмотря на то, что они не могли отслеживать весь DNS-трафик компании в реальном времени, собранные данные динамических обновлений DNS - золотая жила для разведки, особенно при проведении точных целевых атак. Кроме того, данные могут помочь для корреляции связей между различными компаниями, что после нанесения на карту может идентифицировать компании, которые, например, нарушили правила OFAC и вели бизнес в странах, находящихся под санкциями, например, в таких как Иран или Кот-д'Ивуар.
Однако проблема глубже, чем просто недоработка со стороны провайдеров: и тут снова Microsoft, которые установили по умолчанию на серверах Windows опцию, которая дает динамическим обновлениям DNS выходить из локальной сети в Интернет.
Удивительно, что даже такие гиганты как Amazon и Google оказались в списке аутсайдеров, судорожно блокируя регистрацию собственных доменных имен внутри своих серверов. Конечно же, гиганты заявили, что не обнаружили злонамеренной эксплуатации уязвимостей. Мы и не сомневаемся, ведь, о полезной реализации таких глобальных дыр обычно докладывают в отчетах спецслужб.
Из неутешительных выводов: любой облачный провайдер, регистратор доменов и хостинг веб-сайтов, которые предоставляют DNSaaS, может быть уязвим. Из шести исследованных спецами основных поставщиков DNSaaS трое были уязвимы.
Вкратце: Wiz заметили, что несколько провайдеров управляемых DNS не заносили в черный список свои собственные DNS-серверы внутри своих бэкэндов. Им удалось добавить сам сервер имен управляемого DNS-провайдера в бэкэнд и указать его на свою внутреннюю сеть, что позволило им перехватить DNS-трафик, попадающий на захваченный управляемый сервер провайдера, но получая не весь DNS-трафик, а только динамические обновления DNS.
Согласно отчету, конечные точки Microsoft Windows раскрывают конфиденциальную информацию о клиентах при выполнении запросов на обновление DNS. Так, за несколько часов мониторинга DNS они получили обновления с 992 597 оконечных точек Windows от примерно 15 000 потенциально уязвимых компаний, включая 15 компаний из списка Fortune 500. В некоторых организациях было более 20 000 оконечных устройств, которые активно передавали свою информацию за пределы.
Успешная эксплуатация позволила им собрать внутренние IP-адреса, раскрыть сетевые сегменты организации, имена компьютеров, их потенциальное содержание, внешние IP-адреса с географическим местоположениям, сайты организации по всему миру, внутренние адреса IPv6 (иногда доступны извне и позволяют войти в организацию), обнаружить билеты NTLM / Kerberos.
Исследователи полагают, что несмотря на то, что они не могли отслеживать весь DNS-трафик компании в реальном времени, собранные данные динамических обновлений DNS - золотая жила для разведки, особенно при проведении точных целевых атак. Кроме того, данные могут помочь для корреляции связей между различными компаниями, что после нанесения на карту может идентифицировать компании, которые, например, нарушили правила OFAC и вели бизнес в странах, находящихся под санкциями, например, в таких как Иран или Кот-д'Ивуар.
Однако проблема глубже, чем просто недоработка со стороны провайдеров: и тут снова Microsoft, которые установили по умолчанию на серверах Windows опцию, которая дает динамическим обновлениям DNS выходить из локальной сети в Интернет.
Удивительно, что даже такие гиганты как Amazon и Google оказались в списке аутсайдеров, судорожно блокируя регистрацию собственных доменных имен внутри своих серверов. Конечно же, гиганты заявили, что не обнаружили злонамеренной эксплуатации уязвимостей. Мы и не сомневаемся, ведь, о полезной реализации таких глобальных дыр обычно докладывают в отчетах спецслужб.
Blackhat
Black Hat USA 2021
Пожалуй, только ленивый не высказался в отношении инициативы Apple внедрить в экосистему алгоритмы сканирования фотографий пользователей яблока на предмет противоправного контента, в том числе с участием несовершеннолетних. Система коснётся всех устройств пользователей продукции Apple.
Однако нам добавить нечего, и наш читатель прекрасно знает, потому как мы подробно осветили эту проблему еще полтора года назад, выяснив некоторые пикантные детали новой разработки. Оказывается, чтоIT-гигант заранее предусмотрел и внес необходимые изменения в политику конфиденциальности еще в 2019 году.
А для реализации своего коварного плана Apple задействуют систему фильтрации PhotoDNA, которая считывает хеш изображений и уже успешно работает в интересах Facebook, Twitter и Google.
Глобальная перлюстрация потребует больших бюджетов и охватит весь пользовательский медиаконтент, а теперь задумайтесь: неужели обсчитанные и собранные хеш нейтральных объектов сотрутся и забудутся, и не будут структурированы должным образом, буквально по папочкам?
Вот и мы со вчерашнего дня тоже задаемся вопросом: в Google и Amazon не смогли настроить DNSaaS и как бы по запарке пропускали динамические обновления DNS миллионов своих клиентов в отрытую сеть? Но, в целом, убеждены, что в АНБ такими вопросами не задаются.
Однако нам добавить нечего, и наш читатель прекрасно знает, потому как мы подробно осветили эту проблему еще полтора года назад, выяснив некоторые пикантные детали новой разработки. Оказывается, чтоIT-гигант заранее предусмотрел и внес необходимые изменения в политику конфиденциальности еще в 2019 году.
А для реализации своего коварного плана Apple задействуют систему фильтрации PhotoDNA, которая считывает хеш изображений и уже успешно работает в интересах Facebook, Twitter и Google.
Глобальная перлюстрация потребует больших бюджетов и охватит весь пользовательский медиаконтент, а теперь задумайтесь: неужели обсчитанные и собранные хеш нейтральных объектов сотрутся и забудутся, и не будут структурированы должным образом, буквально по папочкам?
Вот и мы со вчерашнего дня тоже задаемся вопросом: в Google и Amazon не смогли настроить DNSaaS и как бы по запарке пропускали динамические обновления DNS миллионов своих клиентов в отрытую сеть? Но, в целом, убеждены, что в АНБ такими вопросами не задаются.
Telegram
SecAtor
Никогда такого не было и вот опять.
Jane Horvath, CPO Apple, выступая на CES заявила, что яблочники таки сканируют фотографии, чтобы проверить – нет ли на них изображения насилия над детьми. Соответствующие изменения в политику конфиденциальности были внесены…
Jane Horvath, CPO Apple, выступая на CES заявила, что яблочники таки сканируют фотографии, чтобы проверить – нет ли на них изображения насилия над детьми. Соответствующие изменения в политику конфиденциальности были внесены…
Говорят, что на Raid вывалили часть украденной у Oriflame базы с данными клиентов, в том числе удостоверения личности. Пока что слили данные граждан Казахстана (более 700 тыс.) и Грузии (более 25 тыс.).
Следующей порцией обещают слить данные 800 тыс. клиентов из России. Также утекли данные граждан Великобритании, Китая, Испании, Украины.
Похоже обнальщикам-скупщикам цветного металла скоро попрет.
Следующей порцией обещают слить данные 800 тыс. клиентов из России. Также утекли данные граждан Великобритании, Китая, Испании, Украины.
Похоже обнальщикам-скупщикам цветного металла скоро попрет.
Nozomi Networks расчехлила программируемые логические контроллеры безопасности (ПЛК) компании Mitsubishi, обнаружив множество неисправленных уязвимостей безопасности, которые подвергают их дистанционным атакам, в том числе несанкционированному входу в модуль ЦП и даже возникновению состояние отказа в обслуживании (DoS).
Ошибки затрагивают механизм аутентификации в протоколе связи MELSEC, который используется для обмена данными с целевыми устройствами путем чтения и записи данных в модуль ЦП, и включают:
- CVE-2021-20594: используемые во время аутентификации имена пользователей, эффективно поддаются перебору.
- CVE-2021-20598: система защиты от брутфорса жестко ограничивает на продолжительный срок любую сетевую активность при малейших попытках атаки, блокируя доступ законным пользователям.
- CVE-2021-20597: утечка секретов, эквивалентных паролю, может способствовать успешной аутентификации с ПЛК; и передача токенов сеанса в открытом виде, которые не привязаны к IP-адресу, что позволяет злоумышленнику повторно использовать один и тот же токен с другого IP-адреса после того, как он был сгенерирован.
При этом комплексная эксплуатация ошибок открывает возможность аутентифицироваться с помощью ПЛК и взять под управление все функций безопасности, блокируя доступ пользователей к ПЛК или изменяя их пароли.
В отчете Nozomi Networks не привели технических подробностей уязвимостей или кода PoC для демонстрации атак во избежание возможных зловредных последствий. А Mitsubishi Electric тем временем вовсю принялись за исправления, которые обещают выпустить в самое ближайшее время, на первое время предлагая комбинацию мер по снижению рисков их потенциальной эксплуатации по простой схеме: брандмауэр, IP-фильтр и смена паролей через USB.
Ошибки затрагивают механизм аутентификации в протоколе связи MELSEC, который используется для обмена данными с целевыми устройствами путем чтения и записи данных в модуль ЦП, и включают:
- CVE-2021-20594: используемые во время аутентификации имена пользователей, эффективно поддаются перебору.
- CVE-2021-20598: система защиты от брутфорса жестко ограничивает на продолжительный срок любую сетевую активность при малейших попытках атаки, блокируя доступ законным пользователям.
- CVE-2021-20597: утечка секретов, эквивалентных паролю, может способствовать успешной аутентификации с ПЛК; и передача токенов сеанса в открытом виде, которые не привязаны к IP-адресу, что позволяет злоумышленнику повторно использовать один и тот же токен с другого IP-адреса после того, как он был сгенерирован.
При этом комплексная эксплуатация ошибок открывает возможность аутентифицироваться с помощью ПЛК и взять под управление все функций безопасности, блокируя доступ пользователей к ПЛК или изменяя их пароли.
В отчете Nozomi Networks не привели технических подробностей уязвимостей или кода PoC для демонстрации атак во избежание возможных зловредных последствий. А Mitsubishi Electric тем временем вовсю принялись за исправления, которые обещают выпустить в самое ближайшее время, на первое время предлагая комбинацию мер по снижению рисков их потенциальной эксплуатации по простой схеме: брандмауэр, IP-фильтр и смена паролей через USB.
Nozomi Networks
New Research Uncovers 5 Vulnerabilities in Mitsubishi Safety PLCs
Nozomi Networks Labs has discovered five vulnerabilities affecting Mitsubishi Safety PLCs—asset owners should apply mitigations immediately.
Последнее время мы неоднократно становились свидетелями того, как вопреки интересам своих клиентов и принципам инфосек-индустрии американские технологические гиганты и компаний в сфере ИБ негласно сотрудничали с национальными спецслужбами.
До сих пор никак не забудется скандал с АНБэшными бэкдорами в ОС ScreenOS брандмауэра Juniper Netscreen или последнюю историю с глобальными махинациями операторов DNSaaS, которые в таком исполнении могут быть интересны лишь узким интересантам.
Однако, в условиях цифровой геополитической нестабильности правила игры меняются: американские власти теперь не стесняются открыто заявлять об оформлении сотрудничества с лидерами в области технологий, кибербезопасности и телекома, что позволит им уже не прятать и не скрывать более от IT-сообщества совместные «проекты».
Именно с такой инициативой выступило Министерство внутренней безопасности (DHS), учредив Joint Cyber Defense Collaborative (JCDC), куда вошли проверенные уже на деле подкрышеванные компании: любимцы ЦРУ и ФБР - CrowdStrike и FireEye, традиционные АНБэшные клиентелы - Microsoft, Google, Amazon Web Services, и прочие прокладки: Palo Alto Networks, AT&T, Verizon и Lumen.
Формально ключевые игроки будут коллективно участвовать в защите от киберугроз, но по факту мы помним как Shadow Brokers нашли бэкдоры в коде Microsoft, которые те вносили в интересах спецслужб, а после скандала в тайне сами же патчили.
Подобную логику действий новой администрации Президента США мы ранее предсказывали, после назначения Джен Истерли на пост директора Агентства по кибербезопасности и безопасности инфраструктуры (CISA).
Весьма ожидаемы шаги новой главы CISA, учитывая, что до назначения Истерли работала специальным помощником президента и старшим директором по борьбе с терроризмом в АНБ. Ранее более 20 лет служила в армии США, отвечая за разведку и киберопераций, под ее началом было создан первый кибербатальон, а позже - Киберкомандование США.
Бэкграунд нового главы CISA говорит сам за себя. Она вообще мыслит такими категориями, вдумайтесь: «создание JCDC уникальным образом объединит людей в мирное время, чтобы мы могли спланировать, как мы будем реагировать в военное время».
И одним из показательных моментов новой киберполитики США служит публичный слив кражи секретных сведений из лаборатории в Ухани, который, по нашему мнению, был реализован американцами именно через кибер возможности в рамках новой стратегии цифрового доминирования.
Так что не удивляйтесь, когда узнаете, что ваш комп за вами шпионит, ведь это происходит легально в рамках новой программы сотрудничества.
До сих пор никак не забудется скандал с АНБэшными бэкдорами в ОС ScreenOS брандмауэра Juniper Netscreen или последнюю историю с глобальными махинациями операторов DNSaaS, которые в таком исполнении могут быть интересны лишь узким интересантам.
Однако, в условиях цифровой геополитической нестабильности правила игры меняются: американские власти теперь не стесняются открыто заявлять об оформлении сотрудничества с лидерами в области технологий, кибербезопасности и телекома, что позволит им уже не прятать и не скрывать более от IT-сообщества совместные «проекты».
Именно с такой инициативой выступило Министерство внутренней безопасности (DHS), учредив Joint Cyber Defense Collaborative (JCDC), куда вошли проверенные уже на деле подкрышеванные компании: любимцы ЦРУ и ФБР - CrowdStrike и FireEye, традиционные АНБэшные клиентелы - Microsoft, Google, Amazon Web Services, и прочие прокладки: Palo Alto Networks, AT&T, Verizon и Lumen.
Формально ключевые игроки будут коллективно участвовать в защите от киберугроз, но по факту мы помним как Shadow Brokers нашли бэкдоры в коде Microsoft, которые те вносили в интересах спецслужб, а после скандала в тайне сами же патчили.
Подобную логику действий новой администрации Президента США мы ранее предсказывали, после назначения Джен Истерли на пост директора Агентства по кибербезопасности и безопасности инфраструктуры (CISA).
Весьма ожидаемы шаги новой главы CISA, учитывая, что до назначения Истерли работала специальным помощником президента и старшим директором по борьбе с терроризмом в АНБ. Ранее более 20 лет служила в армии США, отвечая за разведку и киберопераций, под ее началом было создан первый кибербатальон, а позже - Киберкомандование США.
Бэкграунд нового главы CISA говорит сам за себя. Она вообще мыслит такими категориями, вдумайтесь: «создание JCDC уникальным образом объединит людей в мирное время, чтобы мы могли спланировать, как мы будем реагировать в военное время».
И одним из показательных моментов новой киберполитики США служит публичный слив кражи секретных сведений из лаборатории в Ухани, который, по нашему мнению, был реализован американцами именно через кибер возможности в рамках новой стратегии цифрового доминирования.
Так что не удивляйтесь, когда узнаете, что ваш комп за вами шпионит, ведь это происходит легально в рамках новой программы сотрудничества.
WSJ
WSJ News Exclusive | U.S. Taps Amazon, Google, Microsoft, Others to Help Fight Ransomware, Cyber Threats
The creation of a joint initiative under an agency of the Department of Homeland Security follows cyberattacks on critical U.S. infrastructure.
Forwarded from S.E.Reborn
Известные как Defray, а после июня 2020 - вымогатели RansomEXX атаковали не менее известного тайваньского производителя компьютерного оборудования Gigabyte.
Атака с использованием ransomware произошла в минувшую неделю и вывела из строя несколько веб-сайтов компании, включая сайт поддержки и отдельные части тайваньского веб-сайта. Производственного процесса инцидент не коснулся. Gigabyte подтвердила кибератаку и заявила, что в результате нее нарушилась работа нескольких серверов.
Хакерам удалось тиснуть 112 Гб из внутренней сети Gigabyte, а также из репозитория Git American Megatrends. Для демонстрации своих намерений слить в сеть архив, RansomEXX прислали жертве скрины 4 конфиденциальных документов и традиционное письмо счастья, с указанием реквизитов для оплаты и телефоном «горячей линии».
Как известно, RansomEXX обычно ломают сеть с помощью уязвимостей протокола удаленного рабочего стола, эксплойтов или украденных учетных данных, а затем добираются до контроллера домена Windows. Во время бокового перемещения хакеры собирают ценную информацию для последующего давления на жертву угрозами ее публикации. При этом RansomEXX известны ещё и тем, что применяют шифровальщик Linux для блокирования виртуальных машин, на которых работают серверы VMware ESXi.
За последний месяц RansomEXX стали более активными, атаковав Лацио в Италии, государственную корпорацию Эквадора CNT. В числе других публичных жертв вымогателя правительственные сети Бразилии, Департамент транспорта Техаса (TxDOT), Konica Minolta, IPG Photonics и Tyler Technologies.
Как всегда, подождем и узнаем, кто выйдет победителем из схватки: но судя по первичной реакции и незначительных сбоев в работе производства, ожидать выкупа хакерам от гиганта не приходится, особенно после попадания инцидента в публичное поле.
Атака с использованием ransomware произошла в минувшую неделю и вывела из строя несколько веб-сайтов компании, включая сайт поддержки и отдельные части тайваньского веб-сайта. Производственного процесса инцидент не коснулся. Gigabyte подтвердила кибератаку и заявила, что в результате нее нарушилась работа нескольких серверов.
Хакерам удалось тиснуть 112 Гб из внутренней сети Gigabyte, а также из репозитория Git American Megatrends. Для демонстрации своих намерений слить в сеть архив, RansomEXX прислали жертве скрины 4 конфиденциальных документов и традиционное письмо счастья, с указанием реквизитов для оплаты и телефоном «горячей линии».
Как известно, RansomEXX обычно ломают сеть с помощью уязвимостей протокола удаленного рабочего стола, эксплойтов или украденных учетных данных, а затем добираются до контроллера домена Windows. Во время бокового перемещения хакеры собирают ценную информацию для последующего давления на жертву угрозами ее публикации. При этом RansomEXX известны ещё и тем, что применяют шифровальщик Linux для блокирования виртуальных машин, на которых работают серверы VMware ESXi.
За последний месяц RansomEXX стали более активными, атаковав Лацио в Италии, государственную корпорацию Эквадора CNT. В числе других публичных жертв вымогателя правительственные сети Бразилии, Департамент транспорта Техаса (TxDOT), Konica Minolta, IPG Photonics и Tyler Technologies.
Как всегда, подождем и узнаем, кто выйдет победителем из схватки: но судя по первичной реакции и незначительных сбоев в работе производства, ожидать выкупа хакерам от гиганта не приходится, особенно после попадания инцидента в публичное поле.
Forwarded from SecurityLab.ru
В спецвыпуске security-новостей главред SecurityLab.ru Александр Антипов расскажет о значимых инцидентах, связанных с уязвимостями веб-приложений. У него в гостях – Ярослав Бабин, руководитель отдела анализа защищенности приложений Positive Technologies.
https://www.youtube.com/watch?v=A0pqOvkHZsI
https://www.youtube.com/watch?v=A0pqOvkHZsI
YouTube
Разбор инцидентов GitHub и других веб-приложений в спецвыпуске Security-новостей, #26
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:36 Гость выпуска, Ярослав Бабин, руководитель отдела анализа защищенности веб-приложений
Разбор инцидентов
2:18 Хакеры эксплуатируют…
0:36 Гость выпуска, Ярослав Бабин, руководитель отдела анализа защищенности веб-приложений
Разбор инцидентов
2:18 Хакеры эксплуатируют…
После обнаруженной Unit 42 в марте активности в отношении устройств IoT ботнет Mirai начал новую экспансию.
Специалисты Juniper Threat Labs задетектили новые атаки, реализованные на основе эксплуатации критической уязвимости CVE-2021-20090, которая позволяет неаутентифицированным удаленным злоумышленникам обойти аутентификацию в веб-интерфейсах маршрутизаторов с прошивкой Arcadyan.
Впервые дыра была обнаружена компанией Tenable ещё 26 апреля, и, как выяснилось, существует не менее 10 лет, проникнув через цепочку поставок как минимум в 20 моделей от 17 различных поставщиков, включая Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra и Telus. Таким образом по подсчетам уязвимость на текущий момент затрагивает миллионы устройств.
Спустя 2 дня после публикации от 3 августа эксплойта PoC, злоумышленники активно взялись за критическую багу, чтобы перехватить и развернуть вредоносные полезные нагрузки Mirai на уязвимых устройствах. Атаки исходили с IP-адреса, расположенного в Ухане, провинция Хубэй, Китай.
Напомним, исследователи заметили активность Mirai еще 18 февраля, с тех пор админы постоянно добавляли новые эксплойты в свой арсенал, в том числе освоили и CVE-2021-20090. А учитывая, что большинство владельцев устройств могут даже не знать осуществлении ботнет и тем более дыры, да и зная, что прошивка на маршрутизатора обычно меняется после того, как он умер - новая атака может быть очень успешной, дешевой и весьма простой в исполнении.
Рекомендуем внимательно изучить индикаторы компрометации IOC, включая IP-адреса, используемые для запуска атак, образцы хэшей и сверить свои девайсы со списком уязвимых.
Специалисты Juniper Threat Labs задетектили новые атаки, реализованные на основе эксплуатации критической уязвимости CVE-2021-20090, которая позволяет неаутентифицированным удаленным злоумышленникам обойти аутентификацию в веб-интерфейсах маршрутизаторов с прошивкой Arcadyan.
Впервые дыра была обнаружена компанией Tenable ещё 26 апреля, и, как выяснилось, существует не менее 10 лет, проникнув через цепочку поставок как минимум в 20 моделей от 17 различных поставщиков, включая Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra и Telus. Таким образом по подсчетам уязвимость на текущий момент затрагивает миллионы устройств.
Спустя 2 дня после публикации от 3 августа эксплойта PoC, злоумышленники активно взялись за критическую багу, чтобы перехватить и развернуть вредоносные полезные нагрузки Mirai на уязвимых устройствах. Атаки исходили с IP-адреса, расположенного в Ухане, провинция Хубэй, Китай.
Напомним, исследователи заметили активность Mirai еще 18 февраля, с тех пор админы постоянно добавляли новые эксплойты в свой арсенал, в том числе освоили и CVE-2021-20090. А учитывая, что большинство владельцев устройств могут даже не знать осуществлении ботнет и тем более дыры, да и зная, что прошивка на маршрутизатора обычно меняется после того, как он умер - новая атака может быть очень успешной, дешевой и весьма простой в исполнении.
Рекомендуем внимательно изучить индикаторы компрометации IOC, включая IP-адреса, используемые для запуска атак, образцы хэшей и сверить свои девайсы со списком уязвимых.
Juniper Networks
Freshly Disclosed Vulnerability CVE-2021-20090 Exploited in the Wild
Juniper Threat Labs has discovered an active exploitation of the CVE-2021-20090 vulnerability. Learn more in this blog.
Вспоминали буквально на днях, как Microsoft втайне пачтили свои же бэкдоры после шумихи, устроенной Shadow Brokers. Примерно таким же образом, Apple исправляли ошибку в Apple Wireless Direct Link, которая могла использоваться для выхода из сетей с воздушным зазором.
Весьма полезная для кибершпионажа фитча была негласно исправлена производителем в апреле - с выпуском iOS 14.5, iPadOS 14.5, watchOS 7.4 и Big Sur 11.3. В махинациях производителя уличил основатель и генеральный директор SensorFu, финский исследователь Микко Кенттэль.
Как известно, AWD является основой сервисов Apple, таких как AirPlay и AirDrop, и включен по умолчанию на всех производимых устройствах. По заданному алгоритму AWDL автоматически сканирует другие близлежащие устройства, которые входят в его диапазон, и ему могут потребоваться для подключения в будущем. Это происходит незаметно, в фоновом режиме и в любое время, пока на устройстве включен Wi-Fi или Bluetooth.
Уязвимость позволяет переправлять украденные файлы с зараженной системы путем передачи в рамках ICMPv6 и IPv6 с одного устройства на на ближайший AWDL другого устройства с IPv6-адресом.
Отметим, что организация сети с воздушным зазором обычно используются правительственными, военными или корпоративными организациями для хранения конфиденциальных данных, в том числе секретной информации.
То есть получается, что для кражи информации из зараженной сверхзащищенной сети - необходимо, чтобы мимо нее курсировал периодически хотя бы один девайс Apple.
Согласно логике событий, завершение эксплуатации баги - вовсе не знаменует победу инфосека, а скорее указывает на то, что придумана более безопасная и эффективная технология на замену.
Весьма полезная для кибершпионажа фитча была негласно исправлена производителем в апреле - с выпуском iOS 14.5, iPadOS 14.5, watchOS 7.4 и Big Sur 11.3. В махинациях производителя уличил основатель и генеральный директор SensorFu, финский исследователь Микко Кенттэль.
Как известно, AWD является основой сервисов Apple, таких как AirPlay и AirDrop, и включен по умолчанию на всех производимых устройствах. По заданному алгоритму AWDL автоматически сканирует другие близлежащие устройства, которые входят в его диапазон, и ему могут потребоваться для подключения в будущем. Это происходит незаметно, в фоновом режиме и в любое время, пока на устройстве включен Wi-Fi или Bluetooth.
Уязвимость позволяет переправлять украденные файлы с зараженной системы путем передачи в рамках ICMPv6 и IPv6 с одного устройства на на ближайший AWDL другого устройства с IPv6-адресом.
Отметим, что организация сети с воздушным зазором обычно используются правительственными, военными или корпоративными организациями для хранения конфиденциальных данных, в том числе секретной информации.
То есть получается, что для кражи информации из зараженной сверхзащищенной сети - необходимо, чтобы мимо нее курсировал периодически хотя бы один девайс Apple.
Согласно логике событий, завершение эксплуатации баги - вовсе не знаменует победу инфосека, а скорее указывает на то, что придумана более безопасная и эффективная технология на замену.
Medium
Escaping from a truly air gapped network via Apple AWDL
In the following post I go through how to escape from a truly air gapped network using Apple Wireless Direct Link -network and leveraging…
Владельцам популярных в России сетевых хранилищ NAS Synology стоит задуматься о своей безопасности, в частности о стойкости своего пароля к хранилищу. Тайваньский производитель предупредил клиентов,что ботнет StealthWorker ориентирован на получение доступа к устройствам хранения путем атаки brute-force и последующей эксплуатацией ransomware.
Согласно исследованиям PSIRT (группа реагирования на инциденты в компании Synology) скомпрометированные в результате атак сетевые устройства позже используются для взлома и других систем. В настоящее время компания координирует свои действия с несколькими организациями CERT по всему миру, чтобы локализовать угрозу и вывести из строя инфраструктуру ботнета, отключив все обнаруженные хосты управления и контроля.
В целях превентивных мер защиты производитель NAS настоятельно призывает всех системных администраторов и клиентов изменить простые учетные данные на сложные и стойкие к перебору пароли, включить защиту учетных записей и автоматическую блокировку IP-адресов с большим количеством неудачных попыток входа в систему, а также настроить двухфакторную аутентификацию, где это возможно.
Раннее упомянутые StealthWorker известны своими взломами двухлетней давности - компрметацией веб-сайтов электронной коммерции путем использования уязвимостей в Magento, phpMyAdmin и cPanel для развертывания скиммеров, предназначенных для кражи платежной и личной информации.
Начиная с марта 2019 года операторы StealthWorker переориентировались
на метод перебора паролей. Ребята активно сканируют Интернет на наличие уязвимых хостов со слабыми паролями или учетными данными по умолчанию.
Поэтому не дожидаемся писем счастья, меняем пароли и выполняем рекомендации производителя NAS Synology.
Согласно исследованиям PSIRT (группа реагирования на инциденты в компании Synology) скомпрометированные в результате атак сетевые устройства позже используются для взлома и других систем. В настоящее время компания координирует свои действия с несколькими организациями CERT по всему миру, чтобы локализовать угрозу и вывести из строя инфраструктуру ботнета, отключив все обнаруженные хосты управления и контроля.
В целях превентивных мер защиты производитель NAS настоятельно призывает всех системных администраторов и клиентов изменить простые учетные данные на сложные и стойкие к перебору пароли, включить защиту учетных записей и автоматическую блокировку IP-адресов с большим количеством неудачных попыток входа в систему, а также настроить двухфакторную аутентификацию, где это возможно.
Раннее упомянутые StealthWorker известны своими взломами двухлетней давности - компрметацией веб-сайтов электронной коммерции путем использования уязвимостей в Magento, phpMyAdmin и cPanel для развертывания скиммеров, предназначенных для кражи платежной и личной информации.
Начиная с марта 2019 года операторы StealthWorker переориентировались
на метод перебора паролей. Ребята активно сканируют Интернет на наличие уязвимых хостов со слабыми паролями или учетными данными по умолчанию.
Поэтому не дожидаемся писем счастья, меняем пароли и выполняем рекомендации производителя NAS Synology.
Synology
Synology® Investigates Ongoing Brute-Force Attacks From Botnet | Synology Inc.
Synology newsroom is the source for news about Synology Inc. Read our press releases and keep up with product updates and company news.
Компания по кибербезопасности Zimperium обнаружила новый троян FlyTrap для Android, которому удалось с марта заразить более 10 000 жертв в 144 странах.
Распространение происходит через захват социальных сетей, сторонние магазины приложений и загружаемые неопубликованные приложения.
Ключевой особенностью вредоносного ПО является использование приемов социальной инженерии для взлома учетных записей Facebook, с последующей кражей информации об идентификаторе, местоположении, адресе электронной почты и IP-адресе, а также файлы cookie и токены, привязанные к учетной записи Facebook.
Взломанный аккаунт затем также реализует распространение личных сообщений со ссылками на malware, а также для ведения пропагандистских или информационных кампаний с использованием данных геолокации жертвы. Своего рода ботнет и по совместительству ферма троллей для Facebook реализована хакерами из Вьетнама, которые помимо прочего маскируют его под приложения в Google Play и других магазинах.
В основе ПО лежит метод под названием JavaScript-инъекция, который позволяет приложению открывать допустимые URL-адреса внутри WebView, настроенного с возможностью внедрения кода JavaScript. Затем приложение извлекает такую информацию, как файлы cookie, данные учетной записи пользователя, местоположение и IP-адрес, внедряя вредоносный код JS.
Между тем, Zimperium не отрицают, что троян мог быть доработан для эксфильтрации значительно более важной информации, например банковской или платежной. Кроме того, если этот троян будет реализован как услуга, вполне вероятна полезная нагрузка в виде ransomware.
FlyTrap - лишь один из примеров продолжающихся активных угроз для мобильных устройств, направленных на кражу учетных данных. Инструменты и методы, используемые FlyTrap, не новы, но эффективны из-за отсутствия продвинутой защиты мобильных конечных точек на этих устройствах.
Невольно задаешься вопросом: не пора ли уже подсуетиться компании Google, ответственной за непосредственное противодействие угрозам мобильных троянов.
Распространение происходит через захват социальных сетей, сторонние магазины приложений и загружаемые неопубликованные приложения.
Ключевой особенностью вредоносного ПО является использование приемов социальной инженерии для взлома учетных записей Facebook, с последующей кражей информации об идентификаторе, местоположении, адресе электронной почты и IP-адресе, а также файлы cookie и токены, привязанные к учетной записи Facebook.
Взломанный аккаунт затем также реализует распространение личных сообщений со ссылками на malware, а также для ведения пропагандистских или информационных кампаний с использованием данных геолокации жертвы. Своего рода ботнет и по совместительству ферма троллей для Facebook реализована хакерами из Вьетнама, которые помимо прочего маскируют его под приложения в Google Play и других магазинах.
В основе ПО лежит метод под названием JavaScript-инъекция, который позволяет приложению открывать допустимые URL-адреса внутри WebView, настроенного с возможностью внедрения кода JavaScript. Затем приложение извлекает такую информацию, как файлы cookie, данные учетной записи пользователя, местоположение и IP-адрес, внедряя вредоносный код JS.
Между тем, Zimperium не отрицают, что троян мог быть доработан для эксфильтрации значительно более важной информации, например банковской или платежной. Кроме того, если этот троян будет реализован как услуга, вполне вероятна полезная нагрузка в виде ransomware.
FlyTrap - лишь один из примеров продолжающихся активных угроз для мобильных устройств, направленных на кражу учетных данных. Инструменты и методы, используемые FlyTrap, не новы, но эффективны из-за отсутствия продвинутой защиты мобильных конечных точек на этих устройствах.
Невольно задаешься вопросом: не пора ли уже подсуетиться компании Google, ответственной за непосредственное противодействие угрозам мобильных троянов.
И тут 👆у нас для вас еще более печальные новости.
Исследователи ответили на вопрос, который, пожалуй, задавал почти каждый владелец девайса на базе ОС Android: какое антивирусное решение выбрать?
Исследователи провели тесты различных приложений по 29 угрозам, характерным для Stalkerware. Результаты показали, что на высоком уровне (почти 100%) способны детектировать шпионское ПО по всем 29 изучаемым параметрам следующие приложения: Antiy, Bitdefender, Trend Micro, ESET и Kaspersky. За ними следуют F-Secure и G Data с обнаружением 93,1%.
Вопреки ожиданиям и казалось бы репутации, худший результат показал Android Google Play Protect, который фактически как решето упустил 70% шпионского ПО.
Таким образом, результаты показывают, что когда дело доходит до защиты от вирусов, известная торговая марка - далеко не самый лучший вариант. По факту самая распространенная антивирусная программа оказалась хуже всех. Ничего личного - just business.
Исследователи ответили на вопрос, который, пожалуй, задавал почти каждый владелец девайса на базе ОС Android: какое антивирусное решение выбрать?
Исследователи провели тесты различных приложений по 29 угрозам, характерным для Stalkerware. Результаты показали, что на высоком уровне (почти 100%) способны детектировать шпионское ПО по всем 29 изучаемым параметрам следующие приложения: Antiy, Bitdefender, Trend Micro, ESET и Kaspersky. За ними следуют F-Secure и G Data с обнаружением 93,1%.
Вопреки ожиданиям и казалось бы репутации, худший результат показал Android Google Play Protect, который фактически как решето упустил 70% шпионского ПО.
Таким образом, результаты показывают, что когда дело доходит до защиты от вирусов, известная торговая марка - далеко не самый лучший вариант. По факту самая распространенная антивирусная программа оказалась хуже всех. Ничего личного - just business.
www.av-test.org
Stopped in its Tracks: Stalkerware for Spying Under Android
More and more dubious apps offer their services for spying and stalking, in order to secretly surveil unwitting persons, acquaintances or (ex-)partners. With a good security app for Android, it's also possible to unmask these deceitful attackers.
Исследователи Дэн Петро и Аллан Сесил из BiShopFox Labs обнаружили критическую уязвимость в аппаратных генераторах случайных чисел (ГСЧ) миллиардов устройств Интернета вещей (IoT).
Ошибка влияет на процесс генерации случайных чисел, что подрывает безопасность и подвергает устройства риску атак. Как оказалось, выбранные числа не всегда случайны, как хотелось бы, ведь фактически, во многих случаях устройства выбирают ключи шифрования 0 или тому подобные.
В традиционных операционных системах ГСЧ является производным от криптографически безопасного генератора псевдослучайных чисел (CSPRNG), который использует энтропию, полученную из высококачественного начального источника.
Но дело в том, что на устройствах IoT функция обеспечивается системой на кристалле (SoC), в которой размещается выделенное аппаратное периферийное устройство RNG, называемое генератором истинных случайных чисел TRNG, которое используется для захвата случайностей с физических процессов или явлений.
В случае, когда нарушается механизм взаимодействия с периферийным утсройством и не производится проверка поступающих с него ответов с кодами ошибок, реализуется негативный сценарий, при котором генерируемое случайное число не просто случайное и, что еще хуже, предсказуемо. Функция HAL для периферийного устройства с ГСЧ может не работать по разным причинам, но наиболее распространенной является исчерпание энтропии.
Аппаратные периферийные устройства ГСЧ вытягивают энтропию из физического окружения посредством аналоговых датчиков или показаний ЭДС, но область исчислений при этом оказывается ограниченной и содержит определенное количество случайных битов в секунду. В случае вызова функции RNG HAL при отсутствии случайных чисел, на устройство вернется код ошибки. Таким образом, если устройство пытается слишком быстро получить слишком много случайных чисел, оно выпадет в блок.
Проблема дополняется еще и тем, что в IoT отсутствует операционная система, которая имеет сервисы для получения энтропии на стороне (например, / dev / random в Unix-подобных ОС или BCryptGenRandom в Windows).
Поэтому ее глубинное решение может быть реализовано путем внедрения CSPRNG в операционную систему IoT. В общем разработчикам придется сделать серьёзное усилие над собой и суметь встроить более сложный функционал в устройства IoT. Но на наш взгляд, чем сложнее задача, тем интереснее ее решать: тем достигается эволюция и прогресс. Пожелаем удачи и будем следить за развитиям ситуации.
Ошибка влияет на процесс генерации случайных чисел, что подрывает безопасность и подвергает устройства риску атак. Как оказалось, выбранные числа не всегда случайны, как хотелось бы, ведь фактически, во многих случаях устройства выбирают ключи шифрования 0 или тому подобные.
В традиционных операционных системах ГСЧ является производным от криптографически безопасного генератора псевдослучайных чисел (CSPRNG), который использует энтропию, полученную из высококачественного начального источника.
Но дело в том, что на устройствах IoT функция обеспечивается системой на кристалле (SoC), в которой размещается выделенное аппаратное периферийное устройство RNG, называемое генератором истинных случайных чисел TRNG, которое используется для захвата случайностей с физических процессов или явлений.
В случае, когда нарушается механизм взаимодействия с периферийным утсройством и не производится проверка поступающих с него ответов с кодами ошибок, реализуется негативный сценарий, при котором генерируемое случайное число не просто случайное и, что еще хуже, предсказуемо. Функция HAL для периферийного устройства с ГСЧ может не работать по разным причинам, но наиболее распространенной является исчерпание энтропии.
Аппаратные периферийные устройства ГСЧ вытягивают энтропию из физического окружения посредством аналоговых датчиков или показаний ЭДС, но область исчислений при этом оказывается ограниченной и содержит определенное количество случайных битов в секунду. В случае вызова функции RNG HAL при отсутствии случайных чисел, на устройство вернется код ошибки. Таким образом, если устройство пытается слишком быстро получить слишком много случайных чисел, оно выпадет в блок.
Проблема дополняется еще и тем, что в IoT отсутствует операционная система, которая имеет сервисы для получения энтропии на стороне (например, / dev / random в Unix-подобных ОС или BCryptGenRandom в Windows).
Поэтому ее глубинное решение может быть реализовано путем внедрения CSPRNG в операционную систему IoT. В общем разработчикам придется сделать серьёзное усилие над собой и суметь встроить более сложный функционал в устройства IoT. Но на наш взгляд, чем сложнее задача, тем интереснее ее решать: тем достигается эволюция и прогресс. Пожелаем удачи и будем следить за развитиям ситуации.
Bishop Fox
You're Doing IoT Security RNG: The Crack in the Foundation of IoT
Learn why hardware random number generators (RNG) used by billions of IoT devices to create encryption keys don't always generate random numbers.
И снова хакеры украли...
Внимание криптообщественности приковано к трем кошелькам Ethereum, BinanceChain и Polygon на которые были выведены активы с Poly Network - межсетевой децентрализованной финансовой платформы DeFi, предназначенной для обмена токенов между несколькими блокчейнами. Сумма похищенных активов составляет 611 млн. долларов, что на сегодняшний день считается одним из крупнейших ограблений в индустрии цифровых активов, опередив взломы бирж Coincheck и Mt. Gox.
Хакерам удалось воспользоваться уязвимостью между вызовами контрактов, что по меньшей мере странно в нынешних условиях обеспечения безопасности современных криптоплатформ. Не зря компания CipherTrace, занимающаяся безопасностью блокчейнов заявила, что по сравнению с предыдущими годами взломы, связанные с DeFi, теперь составляют более 60% от общего объема краж, что точно должно настораживать юзеров.
Poly Network, в свою очередь, обратилась к майнерам и владельцам криптобирж с просьбой внести в блэк-листы данные кошельки, а также призвала представителей хакерского сообщества установить с ними связь и вернуть взломанные активы десятков тысяч членов криптосообщества.
Внимательно наблюдаем за миграцией активов и ожидаем возможные манипуляции на котировках криптовалют. Монеты перспективные, так что не исключено, что в скором времени увидим новую строчку с миллиардером в списке Forbes. Во всяком случае нынешние хакеры - как 12 друзей Оушена: вынуждены подыскивать варианты безопасного вывода такого «раритета», что с учётом пристального внимания общественности и не только - будет второй по сложности после хищения задачей.
Так что, запасаемся попкорном и следим:
Ethereum: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 ($273 million)
Binance Smart Chain: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 ($253 million)
Polygon: 0x5dc3603C9D42Ff184153a8a9094a73d461663214 ($85 million)
Внимание криптообщественности приковано к трем кошелькам Ethereum, BinanceChain и Polygon на которые были выведены активы с Poly Network - межсетевой децентрализованной финансовой платформы DeFi, предназначенной для обмена токенов между несколькими блокчейнами. Сумма похищенных активов составляет 611 млн. долларов, что на сегодняшний день считается одним из крупнейших ограблений в индустрии цифровых активов, опередив взломы бирж Coincheck и Mt. Gox.
Хакерам удалось воспользоваться уязвимостью между вызовами контрактов, что по меньшей мере странно в нынешних условиях обеспечения безопасности современных криптоплатформ. Не зря компания CipherTrace, занимающаяся безопасностью блокчейнов заявила, что по сравнению с предыдущими годами взломы, связанные с DeFi, теперь составляют более 60% от общего объема краж, что точно должно настораживать юзеров.
Poly Network, в свою очередь, обратилась к майнерам и владельцам криптобирж с просьбой внести в блэк-листы данные кошельки, а также призвала представителей хакерского сообщества установить с ними связь и вернуть взломанные активы десятков тысяч членов криптосообщества.
Внимательно наблюдаем за миграцией активов и ожидаем возможные манипуляции на котировках криптовалют. Монеты перспективные, так что не исключено, что в скором времени увидим новую строчку с миллиардером в списке Forbes. Во всяком случае нынешние хакеры - как 12 друзей Оушена: вынуждены подыскивать варианты безопасного вывода такого «раритета», что с учётом пристального внимания общественности и не только - будет второй по сложности после хищения задачей.
Так что, запасаемся попкорном и следим:
Ethereum: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 ($273 million)
Binance Smart Chain: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 ($253 million)
Polygon: 0x5dc3603C9D42Ff184153a8a9094a73d461663214 ($85 million)
Twitter
Poly Network
https://t.co/Yzw4oDenjC
Adobe выпустила большое обновление безопасности Patch Tuesday, которое закрывает более 29 критических уязвимостей, которые могут привести к выполнению произвольного кода.
При этом 26 из них касаются Magento (оставшиеся - Adobe Connect), 10 из которых могут быть реализованы без входа на сайт, а некоторые из этих ошибок в preauth вызывают удаленное выполнение кода и представляют обходы безопасности, позволяющие контролировать сайт и его сервер.
Несмотря на то, что случаев эксплуатации багов в дикой природе не зафиксировано, это вовсе не означает, что этого не произойдет: мы прекрасно помним про 72 часа, в течение которых коварный ум хакера может вычленить уязвимый код и создать под него эксплойты.
А учитывая, что к настоящему времени Magento - это одна из самых популярных E-commerce-систем, интегрированная в более 100 000 Интернет-магазинов, в 2 000 расширений и включающей около 375 000 участников сообщества, поработать хакподполью будет над чем.
Поэтому всецело разделяем обеспокоенность Adobe и настоятельно рекомендуем как можно скорее обновиться до последних версий.
При этом 26 из них касаются Magento (оставшиеся - Adobe Connect), 10 из которых могут быть реализованы без входа на сайт, а некоторые из этих ошибок в preauth вызывают удаленное выполнение кода и представляют обходы безопасности, позволяющие контролировать сайт и его сервер.
Несмотря на то, что случаев эксплуатации багов в дикой природе не зафиксировано, это вовсе не означает, что этого не произойдет: мы прекрасно помним про 72 часа, в течение которых коварный ум хакера может вычленить уязвимый код и создать под него эксплойты.
А учитывая, что к настоящему времени Magento - это одна из самых популярных E-commerce-систем, интегрированная в более 100 000 Интернет-магазинов, в 2 000 расширений и включающей около 375 000 участников сообщества, поработать хакподполью будет над чем.
Поэтому всецело разделяем обеспокоенность Adobe и настоятельно рекомендуем как можно скорее обновиться до последних версий.
Adobe
Adobe Security Bulletin
Security Updates Available for Adobe Commerce | APSB21-64
Forwarded from Эксплойт | Live
Хакеры начали возвращать Poly Network часть похищенной криптовалюты
Напомним, что всего хакеры похитили у межсетевого протокола Poly Network криптовалюту на сумму почти $600 млн.
Платформа сразу же призвала майнеров внести в чёрный список токены адресов злоумышленников.
Вероятно, теперь хакерам трудно отмыть и обналичить криптовалюту, поэтому они пришли к тому, что самым приемлемым вариантом будет просто вернуть украденные деньги.
Что они, собственно говоря, и сделали: уже порядка $4,8 млн было перечислено хакерами на адреса биржи.
Напомним, что всего хакеры похитили у межсетевого протокола Poly Network криптовалюту на сумму почти $600 млн.
Платформа сразу же призвала майнеров внести в чёрный список токены адресов злоумышленников.
Вероятно, теперь хакерам трудно отмыть и обналичить криптовалюту, поэтому они пришли к тому, что самым приемлемым вариантом будет просто вернуть украденные деньги.
Что они, собственно говоря, и сделали: уже порядка $4,8 млн было перечислено хакерами на адреса биржи.
«Империя наносит ответный удар» - так мы обозначим, пожалуй, эпический патч от Microsoft, который исправляет в общей сложности 44 CVE, из которых 7 - критические, 3 - zeroday, 37 - важные, 13 - уязвимости удаленного выполнения кода, 8 - касаются раскрытия информации, а главное - содержит как бы исправления PrintNightmare и PetitPotam.
В общем, баги устранены в NET Core, Visual Studio, ASP.NET Core, Azure, Центр обновления Windows, диспетчер очереди печати Windows, Windows Media, Защитник Windows, клиент удаленного рабочего стола, Microsoft Dynamics, Microsoft Edge, Microsoft Office, Microsoft Office SharePoint и др.
К исправленным ошибкам нулевого дня относятся:
• CVE-2021-36948: уязвимость, связанная с повышением привилегий Windows Update Medic;
• CVE-2021-36942: уязвимость подмены Windows LSA;
• CVE-2021-36936: уязвимости диспетчера очереди печати Windows.
При этом из них, согласно данным Microsoft, эксплуатировалась в реале лишь CVE-2021-36948, однако кем и как история умалчивает. Мы полагаем, что за ней может скрываться ноябрьская 2020-года CVE-2020-17070, а рокировка может быть своеобразным фокусом для злоумышленников.
На практике же среди прочих следует уделить внимание CVE-2021-26424, которая непосредственно касается Windows TCP/IP Remote Code Execution в весьма популярных Windows 7–10 и Windows Server 2008–2019. Ошибка, с большой долей вероятности, может быть использована злоумышленниками в виду ее относительной тривиальности, как например CVE-2020-16898, экплуатировавшаяся вдоль и поперек в прошлом году.
Аналогичное замечание относится и к CVE-2021-26432, которая представляет собой патч для драйвера NFS ONCRPC XDR служб Windows, эксплуатация ошибки не требует ни привилегии, ни взаимодействия с пользователем.
Можно отказываться от фильтров NETSH в вопросе противодействия атакам PetitPotam, патч действительно нейтрализует вектор этой атаки, блокируя вызовы уязвимых API OpenEncryptedFileRawA и OpenEncryptedFileRawW через интерфейс LSARPC. Но одновременно с этим и блокирует программное обеспечение резервного копирования, которое использует функцию EFS API OpenEncryptedFileRaw (A / W) в Windows 7 и Windows Server 2008, для которых потребуется получить у разработчика соответствующие программное обеспечение новой версии. Все для клиентов, как говорится.
Уязвимость PrintNightmare также устранена с помощью ввода по умолчанию требования от пользователя прав администратора для установки драйвера принтера с помощью функции Указать и напечатать.
Все бы ничего, но!
К сожалению, вскоре после того, как Microsoft выпустила обновление безопасности, небезызвестный исследователь
Benjamin Delpy забомбил, что его пакетный драйвер печати PoC, по-прежнему, продолжает работать Still SYSTEM from standard user…
Похоже, ответный «удар империи» немного отрекошетил, в обратную сторону. Эх, а мы так надеялись.
В общем, баги устранены в NET Core, Visual Studio, ASP.NET Core, Azure, Центр обновления Windows, диспетчер очереди печати Windows, Windows Media, Защитник Windows, клиент удаленного рабочего стола, Microsoft Dynamics, Microsoft Edge, Microsoft Office, Microsoft Office SharePoint и др.
К исправленным ошибкам нулевого дня относятся:
• CVE-2021-36948: уязвимость, связанная с повышением привилегий Windows Update Medic;
• CVE-2021-36942: уязвимость подмены Windows LSA;
• CVE-2021-36936: уязвимости диспетчера очереди печати Windows.
При этом из них, согласно данным Microsoft, эксплуатировалась в реале лишь CVE-2021-36948, однако кем и как история умалчивает. Мы полагаем, что за ней может скрываться ноябрьская 2020-года CVE-2020-17070, а рокировка может быть своеобразным фокусом для злоумышленников.
На практике же среди прочих следует уделить внимание CVE-2021-26424, которая непосредственно касается Windows TCP/IP Remote Code Execution в весьма популярных Windows 7–10 и Windows Server 2008–2019. Ошибка, с большой долей вероятности, может быть использована злоумышленниками в виду ее относительной тривиальности, как например CVE-2020-16898, экплуатировавшаяся вдоль и поперек в прошлом году.
Аналогичное замечание относится и к CVE-2021-26432, которая представляет собой патч для драйвера NFS ONCRPC XDR служб Windows, эксплуатация ошибки не требует ни привилегии, ни взаимодействия с пользователем.
Можно отказываться от фильтров NETSH в вопросе противодействия атакам PetitPotam, патч действительно нейтрализует вектор этой атаки, блокируя вызовы уязвимых API OpenEncryptedFileRawA и OpenEncryptedFileRawW через интерфейс LSARPC. Но одновременно с этим и блокирует программное обеспечение резервного копирования, которое использует функцию EFS API OpenEncryptedFileRaw (A / W) в Windows 7 и Windows Server 2008, для которых потребуется получить у разработчика соответствующие программное обеспечение новой версии. Все для клиентов, как говорится.
Уязвимость PrintNightmare также устранена с помощью ввода по умолчанию требования от пользователя прав администратора для установки драйвера принтера с помощью функции Указать и напечатать.
Все бы ничего, но!
К сожалению, вскоре после того, как Microsoft выпустила обновление безопасности, небезызвестный исследователь
Benjamin Delpy забомбил, что его пакетный драйвер печати PoC, по-прежнему, продолжает работать Still SYSTEM from standard user…
Похоже, ответный «удар империи» немного отрекошетил, в обратную сторону. Эх, а мы так надеялись.
Twitter
🥝 Benjamin Delpy
Great #patchtuesday Microsoft, but did you not forgot something for #printnightmare? 🤔 Still SYSTEM from standard user... (I may have missed something, but #mimikatz🥝mimispool library still loads... 🤷♂️)
Цепочка загадочных событий в деле Kaseya продолжается.
После таинственного исчезновения банды вымогателей REvil, которое произошло сразу после телефонного разговора лидеров РФ и США, • представители последней жертвы вымогателей - Kaseya заявили, что получили универсальный дешифратор для всех своих жертв ransomware от неназванной доверенной третьей стороны.
А на днях исследователь безопасности Pancak3 сообшил о публикации в даркнете универсального дешифратора REvil.
После внимательного изучения ключа установлено, что ключ подходит лишь для систем, атакованных в рамках кампании Kaseya. По мнению специалистов, к публикации ключа скорее причастны сами хакеры, нежели представители пострадавшей компании.
И все же мы ошибались: вместо кина для взрослых, в эфире инфосек настоящий сериал. Будем следить.
После таинственного исчезновения банды вымогателей REvil, которое произошло сразу после телефонного разговора лидеров РФ и США, • представители последней жертвы вымогателей - Kaseya заявили, что получили универсальный дешифратор для всех своих жертв ransomware от неназванной доверенной третьей стороны.
А на днях исследователь безопасности Pancak3 сообшил о публикации в даркнете универсального дешифратора REvil.
После внимательного изучения ключа установлено, что ключ подходит лишь для систем, атакованных в рамках кампании Kaseya. По мнению специалистов, к публикации ключа скорее причастны сами хакеры, нежели представители пострадавшей компании.
И все же мы ошибались: вместо кина для взрослых, в эфире инфосек настоящий сериал. Будем следить.
Twitter
pancak3
#kaseya master key? OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs/kVkhelp2s= github.com/Fr3akaLmaTT3r/…
А тем временем, наследие нашумевшей в свое время банды вымогателей Egregor продолжает преследовать ее жертв.
Схлопнувшиеся в феврале 2021 после совместной операции правоохранительных органов Франции и Украины Egregor, а прошлом легендарные Maze, как выясняется, преследовали и продолжают преследовать как страшный сон разработчика и издателя игры Crytek.
Копания на днях разослала уведомления клиентам с предупреждением об утечке их данных, которые были получены хакерами в результате взлома сети в октябре 2020 года. Реализованная на рынок Egregor информация о клиентах Crytek включала имя и фамилию людей, должность, название компании, электронную почту, служебный адрес, номер телефона и страну.
Принимая во внимание попытки компании преуменьшить обозначаемый ими потенциальный ущерб, в реале по ходу инфа начала эффективно отрабатываться другими киберпреступниками, учитывая связи хакеров, которые они выстраивали в формате RaaS.
А вот для гиганта Accenture попытки приукрасить инцидент могут закончиться достаточно печально. Ведь совсем она стала жертвой вымогателя Lockbit. Отметим, что Accenture сама представлена в инфосек, в прошлом году выручка компании составила более 40 млрд. долларов, а ее штат насчитывает более 550 000 сотрудников в разных странах.
После ответки о том, что они смогли оперативно выявить активность в одной из сред, локализовать проблему и восстановить системы из резервной копии, хакеры в своем обращении написали, что за атакой на компанию стоял инсайдер, что достаточно сильно подогрело публику.
После чего компания решила отмалчиваться и не отказалась от комментариев.
Но, как стало известно Hudson Rock в результате атаки были скомпрометированы около 2500 компьютеров сотрудников и партнеров, а Cyble заявили о требовании выкупа в размере 50 млн. долларов за 6 ТБ украденных данных.
Совсем скоро, мы увидим, чем ответят Lockbit и может быть они представят подтверждения своих слов. Не зря же анонсировали.
Схлопнувшиеся в феврале 2021 после совместной операции правоохранительных органов Франции и Украины Egregor, а прошлом легендарные Maze, как выясняется, преследовали и продолжают преследовать как страшный сон разработчика и издателя игры Crytek.
Копания на днях разослала уведомления клиентам с предупреждением об утечке их данных, которые были получены хакерами в результате взлома сети в октябре 2020 года. Реализованная на рынок Egregor информация о клиентах Crytek включала имя и фамилию людей, должность, название компании, электронную почту, служебный адрес, номер телефона и страну.
Принимая во внимание попытки компании преуменьшить обозначаемый ими потенциальный ущерб, в реале по ходу инфа начала эффективно отрабатываться другими киберпреступниками, учитывая связи хакеров, которые они выстраивали в формате RaaS.
А вот для гиганта Accenture попытки приукрасить инцидент могут закончиться достаточно печально. Ведь совсем она стала жертвой вымогателя Lockbit. Отметим, что Accenture сама представлена в инфосек, в прошлом году выручка компании составила более 40 млрд. долларов, а ее штат насчитывает более 550 000 сотрудников в разных странах.
После ответки о том, что они смогли оперативно выявить активность в одной из сред, локализовать проблему и восстановить системы из резервной копии, хакеры в своем обращении написали, что за атакой на компанию стоял инсайдер, что достаточно сильно подогрело публику.
После чего компания решила отмалчиваться и не отказалась от комментариев.
Но, как стало известно Hudson Rock в результате атаки были скомпрометированы около 2500 компьютеров сотрудников и партнеров, а Cyble заявили о требовании выкупа в размере 50 млн. долларов за 6 ТБ украденных данных.
Совсем скоро, мы увидим, чем ответят Lockbit и может быть они представят подтверждения своих слов. Не зря же анонсировали.
Twitter
vx-underground
@Accenture