Агентство по кибербезопасности США CISA предупреждает об активном использовании уязвимостей в Zoho ManageEngine ADSelfService.

ManageEngine ADSelfService - интегрированное решение для самостоятельного управления паролями и единого входа для Active Directory в Microsoft Windows, позволяющее администраторам применять 2FA для входа в приложения, а пользователям - сбрасывать свои пароли. ADSelfService Plus также предоставляет пользователям безопасный мгновенный доступ ко всем корпоративным приложениям с поддержкой SAML, включая Office 365, Salesforce и G Suite.

Речь идет об уязвимости нулевого дня CVE-2021-40539. Ошибка связана с возможностью обхода аутентификации REST API, что может привести к произвольному выполнению кода (RCE) и позволить злоумышленнику получить контроль над уязвимой системой. Под угрозой находятся сборки ADSelfService Plus до 6113 версии.

Напоминаем, что это уже пятая уязвимость безопасности, обнаруженная в ManageEngine ADSelfService Plus с начала года, три из которых - CVE-2021-37421, CVE-2021-37417 и CVE-2021-33055 были исправлены в последних обновлениях. Четвертая уязвимость, CVE-2021-28958 была исправлена в марте 2021 года. Все выявленные уязвимости имеют высокую степень риска и имеют оценку CVSS: 9,8.

Присоединяемся к CISA и настоятельно рекомендуем накатить обновления на ManageEngine, реальные атаки с эксплуатацией данной уязвимости уже фиксируются. Скептикам же следует вспомнить прошлогодние мартовские инциденты, когда APT41 реализовали RCE в ManageEngine Desktop Central (CVE-2020-10189) для загрузки и выполнения вредоносных полезных нагрузок в корпоративных сетях в рамках глобальной кампании нашумевших вторжений.

​​Вернулись и взялись за дело.

На прошлой неделе мы уже сообщали об эффектном возвращении легендарной REvil, также известной как Sodinokibi, а уже на этой неделе возобновились и атаки: на сайте опубликованы скриншоты украденных данных новой жертвы.

9 сентября 2021 года на VirusTotal подгрузили новый образец ПО Revil, датированный 4 сентября.

Но главное, что стали известны подробности таинственного исчезновения группы на пике «своей карьеры», когда резонансные атаки стали поводом для переговоров между Президентами США и РФ.

Ожидалось, что вымогатели проведут ребрендинг и примутся за дело «с чистого листа». Но к всеобщему удивлению они просто возобновили работу, в даркнете появился новый представитель группировки.

При этом публиковавший новости об операциях вымогателя представитель группировки UNKN (он же 8800), по сведениям его сменщика, пропал из сети, а хостер сообщил, что серверы Clearnet были скомпрометированы, что и явилось поводом для кодеров группы отключить сервера и залечь на дно. По мнению банды, UNKWN мог быть похищен спецслужбами или арестован. А декриптор Kaseya, который якобы изъяли правоохранительные органы, на самом деле был упущен одним из наших операторов во время генерации дешифратора.

Мы, конечно, никогда не узнаем реальную историю исчезновения REvil и то, как Касея получила ключ дешифрования, но драматичная история REvil продолжается. Верившие во всесильные американские спецслужбы, расстроились, ведь угрожавший исключительными мерами Байден на деле не смог остановить хакеров, которые вновь нацелены на крупный корпоративный сектор и солидные заработки. Ждем реакции.

Не прошло и недели, как на теневых форумах появился мануал для мамкиных хацкеров по эксплуатации зеродея в Windows MSHTML, о котором мы писали ранее. Представители подпольного андеграунда активно делятся мануалом по эксплуатации CVE-2021-40444, что позволяет другим хакерам использовать новую уязвимость в своих собственных атаках.

Напоминаем, что в прошлый вторник Microsoft раскрыла новую уязвимость нулевого дня в Windows MSHTML, которая позволяет злоумышленникам создавать вредоносные документы, включая документы Office и RTF, для удаленного выполнения команд на компьютере жертвы. Microsoft на скорую руку предоставили меры по предотвращению ее эксплуатации. Эти меры защиты должны работать путем блокировки элементов управления ActiveX и предварительного просмотра документов Word / RTF в проводнике Windows.

Однако, хакеры уже модифицировали эксплойт так, чтобы он не использовал ActiveX, эффективно обходя предложенные меры защиты от Microsoft. Ребята на самом деле выдающиеся, раз так быстро смогли воспроизвести эксплойт самостоятельно на основе информации и образцов вредоносных документов, размещенных в Интернете собственно поэтому и начали делиться подробными руководствами и информацией на хакерских форумах.

Всплеск хакерской активности очевиден, так как для уязвимости CVE-2021-40444 до сих пор нет доступных обновлений безопасности, а предложенные корпорацией Microsoft меры уже не особо то эффективны.

Амбициозные планы выкатили разработчики вредоносного ПО SOVA под устройства Android.

Многофункциональный банковский троянец обещает покорить даркнет, в арсенал малваря будут встроены в дополнение к банковским функциям (кейлогер, мониторинг уведомлений и SMS-сообщений, оверлейные атаки и пр.): распределенный отказ в обслуживании (DDoS), возможности атак MiTM и нагрузка ransomware.

SOVA имеет одну очень необычную функцию: кража сессионных файлов cookie, которая позволяет вредоносному ПО получать банковские учетные данные для доступа к счетам жертвы. При этом SOVA способна создавать список приложений, для которых автоматически отслеживаются файлы cookie. Чтобы лучше собирать учетные данные жертвы и другую личную информацию (PII), SOVA осуществляет банковские операции на Android Accessibility Services.

По данным ThreatFabric, пока же SOVA находится в стадии активной разработки, с августа тестируется версия 2. Но она уже содержит возможность таргетинга пользователей помимо европейских и некоторых российских банков.

Кроме того, SOVA отличается и тем, что полностью развита в Kotlin, перспективном языке кодирования для Android. В основе разработки проект с открытым исходным кодом RetroFit, который реализует связь с command-and-control (C2). Retrofit - это REST-клиент для Android, Java и Kotlin, разработанный Square. Библиотека предоставляет мощную структуру для аутентификации и взаимодействия с API и отправки сетевых запросов с помощью OkHttp.

Авторы SOVA помимо прочего намерены добавить «автоматические трехступенчатые накладываемые инъекции».

Исследователи полагают, что кодеры вредоносного ПО явно имеют много амбиций относительно будущего SOVA, и малварь потенциально может стать серьёзной угрозой для экосистемы Android, а в общем задеть новый эталон для банковских троянов.

В этом плане SOVA может переплюнуть TrickBot, мультиплатформенное вредоносное ПО, которое начало свою жизнь как банковский троян, прежде чем перейти к другим видам кибератак и стать одним из самых популярных и распространенных троянов, используемых акторами по всему миру.

Уверены, ещё не раз мы столкнёмся с SOVA, если только планы не являются маркетинговым ходом хакеров.

«Российские власти может и не контролируют напрямую банды вымогателей. Однако они имеют непрямые симбиотические отношения с криминальной экосистемой вымогателей» https://t.co/XFhoIHpAG7 https://t.co/KUp0gvFeJz
— Alexey Lukatsky (@alukatsky) Sep 13, 2021

Google выпустил обновление Chrome 93.0.4577.82 для Windows, Mac и Linux, исправив в общей сложности 11 уязвимостей безопасности, две из которых CVE-2021-30632 и CVE-2021-30633 эксплуатируются в режиме «нулевого дня» в дикой природе. Однако дополнительной информации об атаках не предоставлено.

Самые серьезные ошибки были раскрыты Google 8 сентября 2021 без указания автора и обе являются ошибками памяти: CVE-2021-30632 - это запись за пределами допустимого диапазона в движке JavaScript V8, а CVE-2021-30633 - это ошибка использования после освобождения в Indexed DB API. Баги при оплетённых условиях позволяют злоумышленникам использовать их для удаленного выполнения кода, выхода из песочницы и других вредоносных действий.

Таким образом, Google патчит уже 10 zeroday в Chrome за этот год.

Теперь, когда они исправлены, эксплуатация будет только расти. А это подчеркивает то внимание, которое хакеры уделяют уязвимостям браузера. Chrome становится явным фаворитом, позволяя упростить доступ к миллионам устройств независимо от ОС.

Так что, настоятельно рекомендуется немедленно обновить Google Chrome до последней версии, дабы не узнать подробности анонсированных атак на себе.

Не часто услышишь от Apple признание потенциальных угроз в безопасности своей OS. И не нужно, все и так понятно.

Apple выпустила патчи обновлений для iOS и macOS с предупреждением о том, что угрозы относятся к категории «активно эксплуатируемых» zeroday. Примечательно, что обновления попали в свет совсем незадолго до презентации новой линейки девайсов.

Стало понятно почему Apple не предоставила никаких сведений о реальных атаках, ибо связано все со шпионскими политическими игрищами, с которыми компания себя ассоциировать никак не хочет.

Спасибо ребятам из Citizen Lab, которые предоставили доказательства, связывающие новые эксплойты KISMET и FORCEDENTRY с шпионским инструментом Pegasus от скандально известного израильского поставщика шпионского ПО NSO Group, а реальные атаки, как стало известно, были нацелены на политических активистов в Бахрейне.

Уязвимости CVE-2021-30858 и CVE-2021-30860 обнаруженные в компонентах WebKit и CoreGraphics, позволяют при обработке вредоносного PDF-файла или веб-контента привести к выполнению произвольного кода.

Угроза касается всех iPhone с версиями iOS до 14.8, все компьютеры Mac с версиями операционной системы до OSX Big Sur 11.6, обновление безопасности 2021-005 Catalina и Apple Watch до watchOS 7.6.2.

Согласно данным SecurityWeek, с начала 2021 года зафиксировано 64 атаки нулевого дня, 15 из которых нацелены на безопасность в операционных системах iOS и macOS, что потихоньку разрушает миф о незыблемой безопасности флагманского производителя Apple.

Обновляемся, не раздумывая.

​​Не так давно мы писали о крупнейшей компрометации поставщика систем безопасности Fortinet, когда в паблик утекли учетные данные от 87 000 VPN-устройств, которые были взломаны с использованием уязвимости двухлетней давности CVE-2018-13379.

Тем временем Fortinet продолжает бить тревогу для владельцев устройств FortiGate SSL-VPN и просит выполнить обновление FortiOS 5.4.13, 5.6.14, 6.0.11, 6.2.8 и более поздних версий, а также сбросить пароли для своих устройств после обновления.

В компании заявили, что если в вашей организации использовалась какая-либо из перечисленных версий, даже если вы обновили свои устройства необходимо сбросить пароль пользователя после обновления в соответствии с бюллетенем поддержки клиентов и другой консультативной информацией по данному инциденту.

В противном случае высока вероятность остаться уязвимым после обновления, если учетные данные пользователей ранее были скомпрометированы.

Но мы прекрасно с вами помним, что утечка все ещё размещена на сервере хранения банды-вымогателей Groove.

​​Армия Трясогузки снова в бою.

Некие хактивисты взломали хостинг MskHost, который они называют антиабьюзным и удалили большую часть серверов. В качестве причины называется массовое размещение фишинговых сайтов и отсутствие реакции на абьюзы. Данные на чернушников обещают слить в полицию, или хотя бы в паблик.

В соответствии с требованиями времени товарищи завели ТГ-канал, на котором все это описывают.

На самом ли деле это хактивисты или происки антиабьюзных конкурентов – мы не знаем. Но это в любом случае прецедент.

​​Понеслось. Похоже, что помимо софта BlackMatter успешно переняли у DarkSide и технологию подбора жертв.

В тиски ransomware попала ведущая компания в области медицинских технологий Olympus. Компания насчитывает более 31 000 сотрудников по всему миру и имеет более чем 100-летний опыт разработки в области медицины, биологических наук и промышленного оборудования.

При обнаружении о
8 сентября 2021 подозрительной активности Olympus немедленно мобилизовали спецгруппу реагирования, которой удалось установить, что потенциальный киберинцидент охватил ИТ-системы гиганта в регионе EMEA (Европа, Ближний Восток, Африка).

В рамках расследования Olympus оперативно приостановили передачу данных из зараженных систем и проинформировали соответствующих внешних партнеров. Компания заверила публику, что инцидент не повлиял на безопасность и обслуживание клиентов, масштабы вторжения и сведения об ущербе не сообщаются.

Впрочем, как всегда, пока не завершиться переговорный процесс - и не узнаем. И возможно, никто не узнает, все зависит от желания и возможности выплатить гонорар акторам.

​​После недавнего возвращения
вымогателей из REvil на американские спецслужбы напала печалька и вчера
заместитель директора ФБР Пол Аббейт заявил, что не видит никаких свидетельств того, что Россия борется с ransomware.

Он также сказал, что американцы ожидали взаимодействия с российскими
правоохранительными органами в отношении тех киберпреступников, которых они установили, но не получили никакого отзыва. Ситуация и в самом деле складывается неоднозначная и в ней есть несколько аспектов.

Во-первых, национальные американские пендосы как всегда крутят лукавой
мордой – взаимодействие в их понимании означает «дайте нам вашего
хакера, а мы его тут сами выжмем и на 30 лет посадим, а может против вас
работать заставим». Вместо разумного «вот вам материалы в отношении
противоправной деятельности негодяя, разберитесь с ним по всей строгости
закона».

С другой стороны, российские кибертанковые войска тоже не лыком шиты и, если им дать двух сферических хакеров в вакууме, то они одного сломают, а второго потеряют.

Поэтому с нашей точки зрения вся история с временным исчезновением REvil могла выглядеть следующим образом.

После атаки на Kaseya и последовавшего геополитического кипиша американцы направили российским коллегам данные в отношении Unknown, являвшегося официальным представителем REvil. Товарища хлопнули и получили от него универсальный декриптор, который потом передали представителям Kaseya.

Оставшийся партактив группы вымогателей ушел на дно, а Unknown их либо не сдал, либо просто не знал кто они. В связи с пунктами 1 и 2 (смотри выше) активность российских правоохранителей по дальнейшей борьбе с ransomware быстро сошли на нет. И поэтому спустя несколько месяцев REvil собрались снова и продолжили свою вымогательскую деятельность.

Всем спасибо, все свободны.

P.S. Кстати, а где обличительные пассажи ФБР и CISA в отношении Украины?
Ведь, как показали события этого года, как минимум две крупных
русскоязычных банды ransomware были родом именно оттуда. Хотя, с другой
стороны, их хотя бы хлопнули.

Наконец-то вышел долгожданный сентябрьский патч от Microsoft, который закрывает 60 недостатков безопасности, в том числе 2 критические уязвимости нулевого дня. 

Камнем преткновения стала бага в Windows MSHTML, известная как CVE-2021-40444, мануал по эксплуатации которой стал активно распространятся на хакерских площадках, что вызвало волну инцидентов. Второй zeroday CVE-2021-36968 связан с повышением привилегий в Windows DNS имеет локальный вектор эксплуатации и для обычного обывателя не представляет опасности.

Как известно, Microsoft раскрыла уязвимость в Windows MSHTML, только после того как злоумышленники стали активно использовать ее в фишинговых атаках. Эти атаки распространяли вредоносные документы Word с полезной нагрузкой CVE-2021-40444 для загрузки и выполнения вредоносного файла DLL, который устанавливал Cobalt Strike на компьютер жертвы, что соответственно давало возможность злоумышленникам получать удаленный доступ к устройству.

Вскоре после того, как Microsoft заявила об уязвимости, злоумышленники и исследователи безопасности начали делиться руководством по эксплуатации, что позволило любому начать использовать ее в атаках. Самое интересное, что энтузиастам удалось модифицировать эксплоит для обхода предложенных Microsoft рекомендаций по безопасности и более того обнаружили множество сценариев использования ошибки, что на данный момент пока неясно - исправляет ли обновление безопасности все методы.

Как мы знаем Microsoft классифицирует уязвимость, как уязвимость нулевого дня, только если она публично раскрыта или активно используется без выпуска официальных обновлений безопасности. Поэтому на сколько локализованы реальные угрозы остаётся только гадать, но пренебрегать обновлениями все же не стоит.

Интересный факт в том, что Microsoft не предоставила дополнительных сведений о реальных атаках или каких-либо индикаторов компрометации, чтобы помочь представителям инфосека найти признаки злонамеренной активности.

Тем не менее, в разделе атрибуции бюллетеня Microsoft содержится достаточно признаков, по которым можно предположить, что это работа APT-субъектов, а это уже совсем другая история и не про мамкиных хацкеров.

Xiaomi решила перестать блокировать смартфоны в «запрещённых» регионах

Помните, как жители Кубы, Крыма и других регионов столкнулись с полной блокировкой телефонов Xiaomi только из-за своего местоположения?

Так вот, компания сообщила, что она снимет эту блокировку в ближайшее время.

Как пояснил представитель Xiaomi, эта временная блокировка была связана с отслеживанием контрабанды.

Из его слов, конечно, мало что понятно, но пользователям больше ничего не угрожает.

Тем временем HP прикрыли серьезную уязвимость повышения привилегий в командном центре HP OMEN.

Расковыряли багу CVE-2021-3437 с оценкой CVSS 7,8 спецы из SentinelLabs. Ошибка касается миллионов устройств по всему миру, включая широкий спектр игровых ноутбуков и настольных компьютеров OMEN, а также моделей HP Pavilion и HP ENVY.

Игровой центр используется для управления настройками в соответствии с предпочтениями геймера, включая скорость вращения вентиляторов и разгон, а также для мониторинга общей производительности ПК и сети.

Применяемый в ПО HP драйвер HpPortIox64.sys выступает главным носителем угроз безопасности, которые перекочевали туда из WinRing0.sys, драйвера OpenLibSys, используемого для управления действиями, включая чтение/запись памяти ядра.

В прошлом в драйвере WinRing0.sys также обнаруживались ошибки повышения и привилегий, которые позволяли крутить интерфейс IOCTL для выполнения действий на более высоком уровне. В целом, уязвимость может позволить хакеру обходить решения безопасности.

Ошибки коснулись HP OMEN Gaming Hub до версии 11.6.3.0 и HP OMEN Gaming Hub SDK до 1.0.44. Свидетельств того, что ошибка была использована в дикой природе до настоящего времени не получено.

Об уязвимостях SentinelLabs сообщили ещё 17 февраля. К 14 мая HP разработали патч, однако он оказался малоэффективен. В итоге уязвимая функция была времени отключена до 7 июня. Исправленная версия ПО стала доступна 27 июля в Microsoft Store.

Кроме того, все же рекомендуем почитать на досуге рекомендации HP по CVE-2021-3437 и позаботиться о своих системах соответсвующим образом, пока о них не позаботились другие.

В результате атаки ransomware, произошедшей 6 сентября, в ЮАР оказались недоступны все электронные операции как для граждан, так и для чиновников.

Министерство юстиции и конституционного развития, чьи системы и службы полностью зашифровались, приостановило операции, будь то выплаты алиментов на детей, выдача доверенностей, услуги по освобождению под залог, электронная почта и многое другое.

В стране введен план действий в чрезвычайных ситуациях, чтобы обеспечить продолжение работы госаппарата. Судебная система и органы юстиции перешли на ручной режим оформления документации.

К настоящему времени удалось восстановить сервера электронной почты. Сколько потребуется ресурсов для нормализации остальных систем пока не ясно. Равно как и непонятно, кто стоит за этой атакой. До сих пор об атаке не заявляла ни одна из известных групп.

По заявлениям ИТ-специалистов Министерства, признаков компрометации данных не обнаружено. Но принимая в расчет столь долгий временной интервал после инцидента, хакеры, вероятно, так и не дождались выкупа и вскоре мы непременно узнаем все подробности атаки, как говориться из первых рук.

Siemens и Schneider Electric выпустили 25 рекомендаций по устранению более 40 уязвимостей в производимых системах промышленного управления (ICS).

Siemens предоставила 21 новую и обновила 25 ранее опубликованных рекомендаций по закрытию 36 уязвимостей, в том числе критических.

Одна из которых, например, касается платформы управления зданием Desigo CC и станции управления Cerberus (DMS), которые в случае подключения к Интернет несут риск выполнения неаутентифицированным злоумышленником произвольного кода в уязвимой системе.

Другая связана с проблемами вводом команд в приложении Siveillance Open Interface Services (OIS) для систем управления зданиями Siemens, и может использована удаленным злоумышленником, не прошедшим проверку подлинности, для выполнения кода с привилегиями root.

Серьезные ошибки также устранены: в веб-сервере для устройств автоматизации APOGEE (вызывает переполнение буфера для выполнения произвольного кода с привилегиями root), приложении Siemens Industrial Edge (позволяет неаутентифицированному злоумышленнику изменять пароль любого пользователя в системе, выдавать себя за этого пользователя), реле SIPROTEC 5 (дает возможность вызывать состояние отказа в обслуживании (DoS) или выполнять произвольный код).

Исправления также коснулись устройств Ruggedcom ROX (получение контроля над устройством), Simcenter STAR-CCM и Viewer (выполнение кода или извлечение данных), Siemens NX (нарушение доступа и выполнение кода), SINEC NMS (загрузка файлов из файловой системы и управление конфигурацией), переключатели SCALANCE (DoS), Teamcenter (захват учетной записи и несанкционированный доступ к данным), модули SIMATIC NET CP (DoS), LOGO CMR и SIMATIC RTU 3000 (DoS), SIPROTEC 5 (DoS), RFID-терминалы (выполнение кода) и SINEMA Remote Connect Server (DoS), Teamcenter Active Workspace, SINEMA Server и Simcenter Fema (раскрытие информации, перехват соединения и обход пути).

Schneider Electric выпустила исправления для 7 уязвимостей, в том числе 2 критические баги в StruxureWare Data Center Expert, который предназначен для управления физической инфраструктурой. Ошибки дают возможность злоумышленнику удаленно выполнить произвольный код, что, по словам промышленного гиганта, может привести к простою или отключению оборудования.

Уязвимости в EcoStruxure Control Expert, EcoStruxure Process Expert и SCADAPack RemoteConnect могут быть реализованы злоуымшленником лишь после открытия жертвой файла вредоносного проекта, тогда он получит доступ для выполнения произвольного кода.

Еще 3 серьезных недостатка исправлены в компонентах веб-сервера ПЛК Modicon M340, которые позволяли получать конфиденциальную информацию или вызывать состояние DoS.

Ответственным за ICS следует внимательно отнестись к рекомендациям и исправлениям производителей, ведь мы прекрасно помним о том, что промышленные системы были и остаются в фокусе кибератак.

​​Отличился и немецкий разработчик SAP, выпустив 17 новых и обновив 2 прежних рекомендаций по безопасности, при этом 7 из них связаны с критическими уязвимостями в продуктах компании.

Самое важное исправление касается отсутствующей проверки авторизации в SAP NetWeaver Application Server для Java. CVE-2021-37535 имеет 10 баллов по CVSS. Устранены и другие критические уязвимости в Hot News для NetWeaver (с оценкой CVSS 9,9): CVE-2021-38163 (ошибка неограниченной загрузки файлов в Visual Composer 7.0 RT) и CVE-2021-37531 (проблема внедрения кода в системе управления знаниями). Обе уязвимости реализуются лишь при наличии минимальных привилегий в уязвимой системе.

Еще одна критическая уязвимость CVE-2021-38176 (оценка CVSS 9,9) заключается в неправильной очистке ввода в 25 функциональных модулях с поддержкой RFC, которые могут позволить аутентифицированному пользователю с определенными конкретными привилегиями удаленно вызывать эти функциональные модули и выполнять управляемые запросы для получения доступа к серверной базе данных.

Еще одно примечание по безопасности Hot News касается внедрения критического кода и отражает уязвимости межсайтового скриптинга (XSS) в контакт-центре SAP. Исправленные ошибки CVE-2021-33672, CVE-2021-33673, CVE-2021-33674 и CVE-2021-33675 имеют оценку CVSS 9,6.

На этой неделе SAP туда же включила 2 обновленных примечания по безопасности для ошибок с оценкой CVSS 10: обновление браузере Chromium в Business Client, проблема неограниченной загрузки файлов в Business One.

Кроме того, в сентябрьский SAP 2021 также попали 2 высокоприоритетных примечания по безопасности для CVE-2021-38162 в Web Dispatcher и CVE-2021-38177 в CommonCryptoLib.

Остальные рекомендации SAP касаются различных проблем в Analysis для Microsoft Office, Business Client, Business One, BusinessObjects, ERP Financial Accounting, NetWeaver и 3D Visual Enterprise Viewer.

Клиентам немецкого разработчика - в работу.

Производитель сетевого оборудования MikroTik призывает своих клиентов поменять пароли к своим корпоративным девайсам, так как маршрутизаторы, которые были взломаны с помощью эксплоита CVE-2018-14847 Winbox, а так же те кто до сих пор не обновились, сами того не осознавая служат верой и правдой в интересах крупнейшего ботнета Mēris, известного своими DDoS-атаками с рекордными 21,8 миллионов запросов в секунду, которые обрушились на "непотопляемого" интернет-гиганта Яндекс.

Представители MicroTik заявили, что в этих атаках используются те же маршрутизаторы, которые были взломаны ещё в 2018 году, когда в MikroTik RouterOS была обнаружена уязвимость. Багу быстро исправили, но далеко не все успели накатить соответствующий патч.

Ну, и помня о правиле 72 часов - эмпирически выявленный временной интервал, когда есть возможность без последствий успеть обновиться, после официальной публикации уязвимости. Однако, закрытие уязвимости не обеспечило немедленной защиты маршрутизаторов и если кто-то установил пароль от устройства в 2018.

Исследователи Qrator Labs, которые предоставили подробную информацию об атаке на Яндекс заявили, что Mēris - ботнет, созданный на основе вредоносного кода Mirai - в настоящее время продолжает контролировать более 250 000 устройств, большинство из которых являются сетевыми шлюзами и маршрутизаторами MikroTik.

Как обезопасить свой роутер MikroTik, представители компании рассказали в блоге. Если вкратце, то все очень прозаично - нужно выбирать надежные пароли, которые должны защищать устройства от атак bruteforce и поддерживать обновления в актуальном состоянии.