SAP объявила об исправлении критических уязвимостей в своих программных продуктах, а также в свет вышли 5 новых и 2 обновленных примечания по безопасности.
Наиболее серьезная угроза безопасности была связана с эксплуатацией уязвимости CVE-2021-40501 (оценка CVSS 9,6), где отсутствовала проверка авторизации в ядре платформы ABAP.
Таким образом, аутентифицированный бизнес-пользователь мог использовать уязвимость для повышения своих привилегий, что позволило бы ему читать, изменять, а также ограничивать данные, так как уязвимость затрагивает доверенные соединения с другими системами через RFC и HTTP.
Также производитель программного обеспечения устранил проблему отсутствия авторизации в SAP Commerce, которая позволяла аутентифицированному пользователю повысить привилегии. Ошибка CVE-2021-40502 (CVSS 8,3) затрагивает все установки, использующие Commerce Organization.
Кроме того, SAP выпустила обновленные примечания по безопасности, касающиеся жестко закодированных учетных данных в CA Introscope Enterprise Manager, а также известных уязвимостей, связанных с отказом в обслуживании (DoS) в зависимостях с открытым исходным кодом, используемых функцией прогнозирования и пополнения для розничной торговли (FRP или F&R).
Ряд примечаний касается угрозы раскрытия информации в графическом интерфейсе пользователя для Windows, отсутствия проверок авторизации в ERP HCM и ERP Financial Accounting, а также использования разрешений на сервере приложений NetWeaver для ABAP и ABAP Platform.
Наиболее серьезная угроза безопасности была связана с эксплуатацией уязвимости CVE-2021-40501 (оценка CVSS 9,6), где отсутствовала проверка авторизации в ядре платформы ABAP.
Таким образом, аутентифицированный бизнес-пользователь мог использовать уязвимость для повышения своих привилегий, что позволило бы ему читать, изменять, а также ограничивать данные, так как уязвимость затрагивает доверенные соединения с другими системами через RFC и HTTP.
Также производитель программного обеспечения устранил проблему отсутствия авторизации в SAP Commerce, которая позволяла аутентифицированному пользователю повысить привилегии. Ошибка CVE-2021-40502 (CVSS 8,3) затрагивает все установки, использующие Commerce Organization.
Кроме того, SAP выпустила обновленные примечания по безопасности, касающиеся жестко закодированных учетных данных в CA Introscope Enterprise Manager, а также известных уязвимостей, связанных с отказом в обслуживании (DoS) в зависимостях с открытым исходным кодом, используемых функцией прогнозирования и пополнения для розничной торговли (FRP или F&R).
Ряд примечаний касается угрозы раскрытия информации в графическом интерфейсе пользователя для Windows, отсутствия проверок авторизации в ERP HCM и ERP Financial Accounting, а также использования разрешений на сервере приложений NetWeaver для ABAP и ABAP Platform.
Домен REvil снова в сети. На сайте опубликована форма авторизации с сообщением о том, что «они не такие уж профи, какими себя считают», «у нас есть навыки и опыт».
Заключительным выражением неизвестный автор послания предлагает посетившему ресурс выбрать: «быть со спецами или с проигравшими».
CSS и PNG сайта указывают на то, что это дефейс, по всей видимости, провозглашающий победу спецслужб над хакерами.
Заключительным выражением неизвестный автор послания предлагает посетившему ресурс выбрать: «быть со спецами или с проигравшими».
CSS и PNG сайта указывают на то, что это дефейс, по всей видимости, провозглашающий победу спецслужб над хакерами.
Twitter
vx-underground
REvil domain is back online with a message. "They are not the masters they think they are" "We have the skills and experience" "Do you want to be with the most qualified or losers?" *site CSS and PNG indicates this is a defacement Information courtesy of…
Опубликована последняя часть масштабного исследования Project Memoria, над которым потрудились специалисты Forescout совместно с Medigate, специализирующейся на безопасности устройств в сфере медицины. Проект длился 18 месяцев и привел к обнаружению 78 уязвимостей в 14 стеках TCP/IP, представленных в исследованиях: AMNESIA:33, NUMBER:JACK, NAME:WREC и INFRA:HALT.
Раскрытый набор из 13 уязвимостей в операционной системе Nucleus (RTOS), разработанной Siemens, получил наименование NUCLEUS:13 и затрагивает стек Nucleus TCP/IP, позволяя злоумышленникам получать возможность удаленного выполнения кода на уязвимых устройствах, вызова отказа в обслуживании или получения информации, которая может привести к разрушительным последствиям. Все дело в том, что ОС используется в устройствах, используемых в медицине, промышленности, автомобилестроении и авиакосмической отрасли.
Выявленные 13 уязвимостей получили среднюю и высокую степень серьезности, одна из которых CVE-2021-31886 - критическая и затрагивает компонент FTP-сервера, позволяя злоумышленникам получить контроль над уязвимым устройством. Проблема связана с неправильной проверкой FTP-сервером длины команды «USER». Это приводит к переполнению буфера на основе стека, что может привести к DoS и удаленному выполнению кода (RCE).
Две другие уязвимости с высокой степенью серьезности (CVE-2021-31887 и CVE-2021-31888) имеют потенциальное влияние на RCE, и обе влияют на компоненты FTP-сервера.
Nucleus RTOS развернут на более чем 3 миллиардах устройств в сфере здравоохранения и других критических системах. При этом по данным Forescout, более 5000 устройств в реальном времени используют уязвимую версию Nucleus RTOS.
Исследователи продемонстрировали два практических сценария атак NUCLEUS:13. Один был нацелен на автоматизацию здания больницы, чтобы вывести из строя контроллер, который автоматически включал вентилятор и свет, когда кто-то входил в палату пациента.
Во втором случае целью был датчик, который определял приближение поезда к станции и контролировал его стоянку. Используя любую из ошибок в пакете NUCLEUS:13, вызывающую DoS на контроллере, злоумышленник мог заставить поезд проехать мимо станции и потенциально столкнуться с другим поездом или объектом на пути.
Компания Siemens оперативно выпустила обновления, которые исправляют NUCLEUS:13 в Nucleus ReadyStart версий 3 (обновление до v2017.02.4 или новее) и 4 (обновление до v4.1.1 или более поздней версии), а CISA и Forescout выкатили целую систему общих мер по снижению риска возможных атак, главной из которых обозначили инструмент индикации угроз, что достаточно актуально для организаций, в которых установка исправлений в настоящий момент невозможна из-за критического характера затронутых устройств.
Для наглядности Forescout отсняли даже видео с демонстрацией разрушительных возможностей NUCLEUS:13 👇
Раскрытый набор из 13 уязвимостей в операционной системе Nucleus (RTOS), разработанной Siemens, получил наименование NUCLEUS:13 и затрагивает стек Nucleus TCP/IP, позволяя злоумышленникам получать возможность удаленного выполнения кода на уязвимых устройствах, вызова отказа в обслуживании или получения информации, которая может привести к разрушительным последствиям. Все дело в том, что ОС используется в устройствах, используемых в медицине, промышленности, автомобилестроении и авиакосмической отрасли.
Выявленные 13 уязвимостей получили среднюю и высокую степень серьезности, одна из которых CVE-2021-31886 - критическая и затрагивает компонент FTP-сервера, позволяя злоумышленникам получить контроль над уязвимым устройством. Проблема связана с неправильной проверкой FTP-сервером длины команды «USER». Это приводит к переполнению буфера на основе стека, что может привести к DoS и удаленному выполнению кода (RCE).
Две другие уязвимости с высокой степенью серьезности (CVE-2021-31887 и CVE-2021-31888) имеют потенциальное влияние на RCE, и обе влияют на компоненты FTP-сервера.
Nucleus RTOS развернут на более чем 3 миллиардах устройств в сфере здравоохранения и других критических системах. При этом по данным Forescout, более 5000 устройств в реальном времени используют уязвимую версию Nucleus RTOS.
Исследователи продемонстрировали два практических сценария атак NUCLEUS:13. Один был нацелен на автоматизацию здания больницы, чтобы вывести из строя контроллер, который автоматически включал вентилятор и свет, когда кто-то входил в палату пациента.
Во втором случае целью был датчик, который определял приближение поезда к станции и контролировал его стоянку. Используя любую из ошибок в пакете NUCLEUS:13, вызывающую DoS на контроллере, злоумышленник мог заставить поезд проехать мимо станции и потенциально столкнуться с другим поездом или объектом на пути.
Компания Siemens оперативно выпустила обновления, которые исправляют NUCLEUS:13 в Nucleus ReadyStart версий 3 (обновление до v2017.02.4 или новее) и 4 (обновление до v4.1.1 или более поздней версии), а CISA и Forescout выкатили целую систему общих мер по снижению риска возможных атак, главной из которых обозначили инструмент индикации угроз, что достаточно актуально для организаций, в которых установка исправлений в настоящий момент невозможна из-за критического характера затронутых устройств.
Для наглядности Forescout отсняли даже видео с демонстрацией разрушительных возможностей NUCLEUS:13 👇
YouTube
NUCLEUS:13 - Dissecting the Nucleus TCP/IP stack
In the fifth study of Project Memoria – NUCLEUS:13 – Forescout Research Labs and Medigate identified a set of 13 new vulnerabilities affecting the Nucleus TCP/IP stack.
Nucleus is currently owned by Siemens. Its original release was in 1993 and, since then…
Nucleus is currently owned by Siemens. Its original release was in 1993 and, since then…
Абстрагируясь от NUCLEUS:13, отметим, что промышленный гигант Siemens выпустил исправления и рекомендации в целом для 36 уязвимостей для широкой линейки своих продуктов.
Не обошел производтель стороной критические и серьезные недостатки в SIMATIC, позволяющие локальному злоумышленнику использовать их для повышения привилегий, а также для чтения, записи или удаления файлов.
Аналогичные проблемы также были выявлены в точках прямого доступа на базе контроллера SCALANCE W1750D, которые представляют собой устройства с фирменной маркировкой от Aruba. Бреши в безопасности могут быть использованы в некоторых случаях без аутентификации - для удаленного выполнения кода, чтения файлов или вызова DoS.
Кроме того, рекомендации Siemens касаются серьезных недостатков в Siveillance Video DLNA Server (обход пути), SENTRON powermanager V3 (выполнение локального кода и повышение привилегий), NX (выполнение кода), а также в продуктах PSS, SICAM и SIMATIC (DoS). Проблемы средней степени серьезности решены в Climatix POL909 (раскрытие информации), SIMATIC RTLS Locating Manager (DoS и раскрытие информации), Mendix (раскрытие информации и манипулирование содержимым) и NX (выполнение кода).
Не отстает и Schneider Electric, устранивший в общей сложности 17 уязвимостей, затрагивающих такие продукты, как SCADAPack 300E, Schneider Electric Software Update (SESU), карты сетевого управления (NMC), EcoStruxure Process Expert, TelevisAir Dongle BTLE, Eurotherm GUIcon и др. Отдельные рекомендации даны относительно уязвимостей PrintNightmare и BadAlloc.
Внимания заслуживают две ошибки с высокой степенью серьезности и одна ошибка со средней степенью серьезности в инструменте настройки GUIcon для продуктов PenGUIn HMI. Их успешная эксплуатация может привести к DoS-атакам, выполнению кода и раскрытию информации, но исправления выпускаться не будут, поскольку продукты больше не поддерживаются. Также в линейке RTU серии SCADAPack 300E исправлена DoS-уязвимость высокой степени серьезности.
Кроме того, Schneider также посоветовал организациям, использующим TelevisAir BTLE, заменить свои устройства из-за уязвимости Bluetooth, которая дает возможность находящемуся поблизости злоумышленнику перехватывать сообщения.
Такой сегодня богатый на Zero day.
Не обошел производтель стороной критические и серьезные недостатки в SIMATIC, позволяющие локальному злоумышленнику использовать их для повышения привилегий, а также для чтения, записи или удаления файлов.
Аналогичные проблемы также были выявлены в точках прямого доступа на базе контроллера SCALANCE W1750D, которые представляют собой устройства с фирменной маркировкой от Aruba. Бреши в безопасности могут быть использованы в некоторых случаях без аутентификации - для удаленного выполнения кода, чтения файлов или вызова DoS.
Кроме того, рекомендации Siemens касаются серьезных недостатков в Siveillance Video DLNA Server (обход пути), SENTRON powermanager V3 (выполнение локального кода и повышение привилегий), NX (выполнение кода), а также в продуктах PSS, SICAM и SIMATIC (DoS). Проблемы средней степени серьезности решены в Climatix POL909 (раскрытие информации), SIMATIC RTLS Locating Manager (DoS и раскрытие информации), Mendix (раскрытие информации и манипулирование содержимым) и NX (выполнение кода).
Не отстает и Schneider Electric, устранивший в общей сложности 17 уязвимостей, затрагивающих такие продукты, как SCADAPack 300E, Schneider Electric Software Update (SESU), карты сетевого управления (NMC), EcoStruxure Process Expert, TelevisAir Dongle BTLE, Eurotherm GUIcon и др. Отдельные рекомендации даны относительно уязвимостей PrintNightmare и BadAlloc.
Внимания заслуживают две ошибки с высокой степенью серьезности и одна ошибка со средней степенью серьезности в инструменте настройки GUIcon для продуктов PenGUIn HMI. Их успешная эксплуатация может привести к DoS-атакам, выполнению кода и раскрытию информации, но исправления выпускаться не будут, поскольку продукты больше не поддерживаются. Также в линейке RTU серии SCADAPack 300E исправлена DoS-уязвимость высокой степени серьезности.
Кроме того, Schneider также посоветовал организациям, использующим TelevisAir BTLE, заменить свои устройства из-за уязвимости Bluetooth, которая дает возможность находящемуся поблизости злоумышленнику перехватывать сообщения.
Такой сегодня богатый на Zero day.
Siemens
Siemens ProductCERT and Siemens CERT
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services, or infrastructure.
Исследователь и директор компании Certitude Consulting Вольфганг Эттлингер раскрыл коды подтверждения концепции (PoC) для атаки Trojan Source, которую не так давно анонсировали исследователи Кембриджского университета, о чем мы сообщали ранее.
Исследователь пролил свет на то, как невидимые символы могут быть имплементированы в JavaScript для внедрения уязвимостей в исходный код таким образом, чтобы скрыть бэкдор в программном обеспечении.
В одном случае он использовал необязательный параметр HTTP timeout, спрятав бэкдор в строках, где находится Hangul Filler, который будучи "буквой" Unicode можно тривиально использовать в качестве имени переменной JavaScript. Это возможно, поскольку, как казалось, параметр тайм-аута был единственным параметром, распаковываемым из атрибута req.query, но на самом деле также извлекается дополнительная переменная, обозначаемая невидимым символом.
Все это означает, что если созданный по такой схеме код JavaScript будет размещен на веб-сервере, злоумышленник может получить доступ к параметру GET, представляющему невидимую переменную в ее закодированной URL-адресом форме, для выполнения произвольного кода.
Еще один интересный пример PoC, который приводит Эттлингер - это условное выражение, в котором используются гомоглифы. Например, символ «ǃ» - это не восклицательный знак, а символ Unicode, известный как Alveolar click.
Атака требует, чтобы IDE/текстовый редактор (и используемый шрифт) правильно отображали невидимые символы.
Исследователь упоминает, что по крайней мере, Notepad ++ и VS Code отображают его правильно (в VS Code невидимый символ немного шире, чем символы ASCII). Некоторые IDE, похоже, явно выделяют эти невидимые символы, в том числе JetBrains WebStorm и PhpStorm, что затрудняет выполнение атаки.
Однако, как бы ни хотелось, не все текстовые редакторы могут выделять невидимые символы, что приводит к известным уже инцидентам.
Так, в прошлом месяце была взломана популярная библиотека Node.js ua-parser-js и злоумышленники внедряли код в выпуски npm для установки криптомайнеров и кражи паролей, а буквально на прошлой неделе вредоносные выпуски затронули coa и rc, повлияв на конвейеры React по всему миру. Точно так же в апреле этого года исследователями из Университета Миннесоты вносили уязвимости в ядра Linux в ходе своего не совсем удачного эксперимента.
Кембриджская команда предлагает ограничить символы Bidi Unicode в качестве решения для Trojan Source, запретив использование любых символов, отличных от ASCII.
А, как нам кажется, голос ученных будет реально услышан лишь после того, как научная мысль будет подкреплена практической составляющей. Так, что следующий шаг, вероятно, за хакерами.
Исследователь пролил свет на то, как невидимые символы могут быть имплементированы в JavaScript для внедрения уязвимостей в исходный код таким образом, чтобы скрыть бэкдор в программном обеспечении.
В одном случае он использовал необязательный параметр HTTP timeout, спрятав бэкдор в строках, где находится Hangul Filler, который будучи "буквой" Unicode можно тривиально использовать в качестве имени переменной JavaScript. Это возможно, поскольку, как казалось, параметр тайм-аута был единственным параметром, распаковываемым из атрибута req.query, но на самом деле также извлекается дополнительная переменная, обозначаемая невидимым символом.
Все это означает, что если созданный по такой схеме код JavaScript будет размещен на веб-сервере, злоумышленник может получить доступ к параметру GET, представляющему невидимую переменную в ее закодированной URL-адресом форме, для выполнения произвольного кода.
Еще один интересный пример PoC, который приводит Эттлингер - это условное выражение, в котором используются гомоглифы. Например, символ «ǃ» - это не восклицательный знак, а символ Unicode, известный как Alveolar click.
Атака требует, чтобы IDE/текстовый редактор (и используемый шрифт) правильно отображали невидимые символы.
Исследователь упоминает, что по крайней мере, Notepad ++ и VS Code отображают его правильно (в VS Code невидимый символ немного шире, чем символы ASCII). Некоторые IDE, похоже, явно выделяют эти невидимые символы, в том числе JetBrains WebStorm и PhpStorm, что затрудняет выполнение атаки.
Однако, как бы ни хотелось, не все текстовые редакторы могут выделять невидимые символы, что приводит к известным уже инцидентам.
Так, в прошлом месяце была взломана популярная библиотека Node.js ua-parser-js и злоумышленники внедряли код в выпуски npm для установки криптомайнеров и кражи паролей, а буквально на прошлой неделе вредоносные выпуски затронули coa и rc, повлияв на конвейеры React по всему миру. Точно так же в апреле этого года исследователями из Университета Миннесоты вносили уязвимости в ядра Linux в ходе своего не совсем удачного эксперимента.
Кембриджская команда предлагает ограничить символы Bidi Unicode в качестве решения для Trojan Source, запретив использование любых символов, отличных от ASCII.
А, как нам кажется, голос ученных будет реально услышан лишь после того, как научная мысль будет подкреплена практической составляющей. Так, что следующий шаг, вероятно, за хакерами.
Telegram
SecAtor
Ученые из Кембриджского университета в Соединенном Королевстве раскрыли обнаруженный еще 25 июля вектор атаки Trojan Source, позволяющий внедрять уязвимости в исходный код программного обеспечения таким образом, чтобы рецензенты не могли их обнаружить, что…
Trend Micro разоблачили хакерскую группу Void Balaur, которая с 2014 года предоставляла в даркнете услуги пробива и взлома, зарекомендовав себя авторитетами мира киберпреступности.
Целями хакеров был широкий пул юзеров: сотрудники телекома, общественные активисты, политики, журналисты и религиозные деятели. Среди других целей атак Void Balaur были: операторы связи, диллеры мобильного оборудования, дистрибьюторы банкоматов, торговые точки (POS), финтехкомпании, банки, авиакомпании, страховые организации, медцентры, лаборатории ДНК и др.
Спектр услуг включал возможности взлома аккаунтов соцсетей, электронной почты (причем по некоторым российским почтовым клиентам продавались зеркала или архивы переписки).
Начиная с 2019 года группа добавила в арсенал возможности продажи персданных, включая данные паспортов, водительских прав, личных телефонных разговоров и пр.
Отдельным направлением бизнеса Void Balaur стал мобильный пробив с возможностью реализации: записей телефонных разговоров, биллинга (в том числе и с указанием базовых станций), услуг блокировки телефонных номеров, установления принадлежности номеров и др.
Trend Micro сообщили о обнаружении списка из 3500 адресов электронной почты, ставших жертвами хакеров за последние несколько лет в ходе целевых атак.
Хакерам приписывают резонансную серию нападений на журналистов и правозащитников в Узбекистане в 2016 и 2017 годах (и продолжаются до сих пор в рамках долгосрочной кампании). После чего атаки на политические цели усилились: в 2020 году хакеры нацелились на кандидатов в президенты на выборах 2020 года в Беларуси.
В августе 2021 года группа также работала по политикам и чиновникам Украины, Словакии, России, Казахстана, Армении, Норвегии, Франции и Италии. А в сентябре 2021 года группа также попыталась получить доступ к электронной почте бывшего главы разведывательного агентства, пяти действующих министров правительства (включая министра обороны) и двух членов национального парламента неназванной восточноевропейской страны.
Исследователи заявили, что помимо политических заказов Void Balaur принимали и частные. Хакеры отрабатывали членов совета директоров, руководителей и директоров одного из крупнейших конгломератов в России, а также российского миллиардера и членов его семьи.
На вооружении хакеров состояло разнообразное вредоносное ПО для кражи информации, связанное с их инфраструктурой. С 2018 года Void Balaur вела администрирование нескольких фишинговых сайтов под пользователей крипты.
Работу хакеры вели в соответствии со строгим графиком работы. Начинали рабочий день около 6 часов утра по Гринвичу и работали примерно до 19 часов. В выходные дни хакеры, как положено, отдыхали, длительные отпуска не брали.
Как обычно, одним из главных лейтмотивов расследования Trend Micro стали обвинения в адрес российской ГРУ в причастности к деятельности Void Balaur, цели которой, по мнению спецов, коррелируются с орудовавшей в период с 2014 по 2015 год Pawn Storm. В качестве пруфов обозначили дюжину целевых адресов. Что примечательно, хакеры совершили эти нападения еще до того, как начали размещать объявления на подпольных форумах.
Однако при более детальном изучении выяснилось, что некоторые из этих атак могут быть связаны с инфраструктурой RocketHackMe, рекламирующей услуги взлома на заказ, ссылки на которую размещались с 2017 года практически на всех русскоязычных хакерских форумах: Probiv, Tenec и Darkmoney.
Несмотря на столь подробный отчет, мы полагаем на многие вопросы расследователям еще предстоит ответить, однако Void Balaur представляет собой уникальный пример организации бизнеса киберуслуг через хакерский андеграунд.
Целями хакеров был широкий пул юзеров: сотрудники телекома, общественные активисты, политики, журналисты и религиозные деятели. Среди других целей атак Void Balaur были: операторы связи, диллеры мобильного оборудования, дистрибьюторы банкоматов, торговые точки (POS), финтехкомпании, банки, авиакомпании, страховые организации, медцентры, лаборатории ДНК и др.
Спектр услуг включал возможности взлома аккаунтов соцсетей, электронной почты (причем по некоторым российским почтовым клиентам продавались зеркала или архивы переписки).
Начиная с 2019 года группа добавила в арсенал возможности продажи персданных, включая данные паспортов, водительских прав, личных телефонных разговоров и пр.
Отдельным направлением бизнеса Void Balaur стал мобильный пробив с возможностью реализации: записей телефонных разговоров, биллинга (в том числе и с указанием базовых станций), услуг блокировки телефонных номеров, установления принадлежности номеров и др.
Trend Micro сообщили о обнаружении списка из 3500 адресов электронной почты, ставших жертвами хакеров за последние несколько лет в ходе целевых атак.
Хакерам приписывают резонансную серию нападений на журналистов и правозащитников в Узбекистане в 2016 и 2017 годах (и продолжаются до сих пор в рамках долгосрочной кампании). После чего атаки на политические цели усилились: в 2020 году хакеры нацелились на кандидатов в президенты на выборах 2020 года в Беларуси.
В августе 2021 года группа также работала по политикам и чиновникам Украины, Словакии, России, Казахстана, Армении, Норвегии, Франции и Италии. А в сентябре 2021 года группа также попыталась получить доступ к электронной почте бывшего главы разведывательного агентства, пяти действующих министров правительства (включая министра обороны) и двух членов национального парламента неназванной восточноевропейской страны.
Исследователи заявили, что помимо политических заказов Void Balaur принимали и частные. Хакеры отрабатывали членов совета директоров, руководителей и директоров одного из крупнейших конгломератов в России, а также российского миллиардера и членов его семьи.
На вооружении хакеров состояло разнообразное вредоносное ПО для кражи информации, связанное с их инфраструктурой. С 2018 года Void Balaur вела администрирование нескольких фишинговых сайтов под пользователей крипты.
Работу хакеры вели в соответствии со строгим графиком работы. Начинали рабочий день около 6 часов утра по Гринвичу и работали примерно до 19 часов. В выходные дни хакеры, как положено, отдыхали, длительные отпуска не брали.
Как обычно, одним из главных лейтмотивов расследования Trend Micro стали обвинения в адрес российской ГРУ в причастности к деятельности Void Balaur, цели которой, по мнению спецов, коррелируются с орудовавшей в период с 2014 по 2015 год Pawn Storm. В качестве пруфов обозначили дюжину целевых адресов. Что примечательно, хакеры совершили эти нападения еще до того, как начали размещать объявления на подпольных форумах.
Однако при более детальном изучении выяснилось, что некоторые из этих атак могут быть связаны с инфраструктурой RocketHackMe, рекламирующей услуги взлома на заказ, ссылки на которую размещались с 2017 года практически на всех русскоязычных хакерских форумах: Probiv, Tenec и Darkmoney.
Несмотря на столь подробный отчет, мы полагаем на многие вопросы расследователям еще предстоит ответить, однако Void Balaur представляет собой уникальный пример организации бизнеса киберуслуг через хакерский андеграунд.
Trendmicro
The Far-Reaching Attacks of the Void Balaur Cybermercenary Group
Our research paper takes a close look at the cybermercenary group Void Balaur's services, activities, and targets.
Исследователи Packstack обнаружили критическую уязвимость в плагине WP Reset PRO WordPress 5.98 и ниже, которая может быть использована аутентифицированным пользователем для полного уничтожения базы данных веб-сайта.
После полной очистки базы данных веб-сайта, на котором запущена популярная CMS, процесс установки будет перезапущен. Затем злоумышленник может создать учетную запись администратора, связанную с процессом установки. Учетная запись администратора также может быть использована для загрузки вредоносных плагинов на веб-сайт или даже для загрузки бэкдора.
Плагин WP Reset PRO позволяет администраторам сайтов легко восстанавливать поврежденные сайты, сбрасывая базу данных сайта до настроек по умолчанию, не изменяя файлы. Плагин позволяет удалить любые настройки и контент или только выбранные части, такие как настройки темы.
Основная причина выявленной уязвимости кроется в отсутствии авторизации и проверки токена nonce. Эксперты заметили, что плагин регистрирует несколько действий в области admin action, включая admin action wpr delete snapshot tables. Проблема в том, что проверка прав пользователя не выполняется, маркер nonce для предотвращения атак CSRF не проверяется.
Несмотря на то, что команда разработчиков плагина WebFactory Ltd в конце сентября исправила ошибку, выпустив версию 5.99, внедрив все необходимые проверки аутентификации и токена, владельцам ресурсов WordPress определенно следует обновиться.
После полной очистки базы данных веб-сайта, на котором запущена популярная CMS, процесс установки будет перезапущен. Затем злоумышленник может создать учетную запись администратора, связанную с процессом установки. Учетная запись администратора также может быть использована для загрузки вредоносных плагинов на веб-сайт или даже для загрузки бэкдора.
Плагин WP Reset PRO позволяет администраторам сайтов легко восстанавливать поврежденные сайты, сбрасывая базу данных сайта до настроек по умолчанию, не изменяя файлы. Плагин позволяет удалить любые настройки и контент или только выбранные части, такие как настройки темы.
Основная причина выявленной уязвимости кроется в отсутствии авторизации и проверки токена nonce. Эксперты заметили, что плагин регистрирует несколько действий в области admin action, включая admin action wpr delete snapshot tables. Проблема в том, что проверка прав пользователя не выполняется, маркер nonce для предотвращения атак CSRF не проверяется.
Несмотря на то, что команда разработчиков плагина WebFactory Ltd в конце сентября исправила ошибку, выпустив версию 5.99, внедрив все необходимые проверки аутентификации и токена, владельцам ресурсов WordPress определенно следует обновиться.
Patchstack
Critical Security Vulnerability Fixed In WP Reset PRO - Patchstack
There is a critical vulnerability in the WP Reset PRO plugin which allows any authenticated user to wipe the database. Update ASAP.
Positive Technologies представили весьма интересные, но вовсе неутешительные результаты анонимного опроса специалистов ИБ, согласно которому целевым атакам подвергались треть российских компаний, а 16% выплатили выкуп.
Фокус-группа исследования охватывала предприятия в сфере финансов, промышленности, ТЭК, образования, телекоммуникаций, здравоохранения, СМИ и госуправления. 44% атак пришлось на финансовые компании, затем следуют ТЭК и госучреждения (33% и 29% соответственно).
Большинство целевых атак проводились после тщательной разведки и в реальности приводили к с таким последствиям, как простой инфраструктуры, нарушение бизнес-процессов и уничтожение или изменение данных.
И, чему вовсе не удивлены: большинство организаций практически не защищены от подобных угроз: нет даже базовых средств защиты, в том числе и антивирусов. Соответствующий обнаружении злоумышленника в сети функционал имеет лишь каждая пятая компания: Sandbox используют 28% опрошенных, системы глубокого анализа трафика (NTA) 27%. Специализированные комплексные решения используют лишь 15% респондентов.
Вместе с тем, исследование отражает и позитивные тренды: все больше компаний начинают осознавать необходимость усиления ИБ и планируют внедрять конкретные средства защиты.
Представители промышленности собираются закупать системы мониторинга событий ИБ SIEM (40%), глубокого анализа трафика - NTA (36%), проверки файлов в изолированной виртуальной среде Sandbox (36%). В финансовой отрасли 40% организаций будут усиливать защиту от целевых атак, используя комплексные решения, а 27% склоняются к решениям для защиты конечных точек EDR и файрволам NGFW.
67% специалистов взяли на вооружение базу MITRE ATT&CK (либо планируют ее применять в работе). Настоятельно рекомендуем ознакомиться с полной версией исследования.
Фокус-группа исследования охватывала предприятия в сфере финансов, промышленности, ТЭК, образования, телекоммуникаций, здравоохранения, СМИ и госуправления. 44% атак пришлось на финансовые компании, затем следуют ТЭК и госучреждения (33% и 29% соответственно).
Большинство целевых атак проводились после тщательной разведки и в реальности приводили к с таким последствиям, как простой инфраструктуры, нарушение бизнес-процессов и уничтожение или изменение данных.
И, чему вовсе не удивлены: большинство организаций практически не защищены от подобных угроз: нет даже базовых средств защиты, в том числе и антивирусов. Соответствующий обнаружении злоумышленника в сети функционал имеет лишь каждая пятая компания: Sandbox используют 28% опрошенных, системы глубокого анализа трафика (NTA) 27%. Специализированные комплексные решения используют лишь 15% респондентов.
Вместе с тем, исследование отражает и позитивные тренды: все больше компаний начинают осознавать необходимость усиления ИБ и планируют внедрять конкретные средства защиты.
Представители промышленности собираются закупать системы мониторинга событий ИБ SIEM (40%), глубокого анализа трафика - NTA (36%), проверки файлов в изолированной виртуальной среде Sandbox (36%). В финансовой отрасли 40% организаций будут усиливать защиту от целевых атак, используя комплексные решения, а 27% склоняются к решениям для защиты конечных точек EDR и файрволам NGFW.
67% специалистов взяли на вооружение базу MITRE ATT&CK (либо планируют ее применять в работе). Настоятельно рекомендуем ознакомиться с полной версией исследования.
ptsecurity.com
Аналитические статьи
По данным исследования Positive Technologies, треть специалистов по ИБ сообщили, что их компании когда-либо подвергались целевой атаке, в большинстве случаев — с серьезными последствиями. В каждом пятом случае организации защищаются с помощью систем класса…
И как же без исправлений.
Palo Alto Networks из Санта-Клары, штат Калифорния, особо обеспокоены критической уязвимостью удаленного выполнения кода в интерфейсах шлюза и портале GlobalProtect. Проблема затрагивает версии PAN-OS 8.1 ранее, чем PAN-OS 8.1.17.
Согласно Randori Attack Team, брешь в безопасности CVE-2021-3064 затрагивает брандмауэры PAN, использующие GlobalProtect Portal VPN, и позволяет выполнять удаленный код без аутентификации на уязвимых установках продукта с привилегиями root. При этом он должен иметь сетевой доступ к интерфейсу GlobalProtect, чтобы воспользоваться этой проблемой.
Для корпоративных клиентов, использующих PAN-OS 8.1.17 и все более поздние версии PAN-OS, выпущены высокоприоритетные исправления. Вопреки заявлениям Palo Alto Networks об отсутствии эксплуатации ошибки в дикой природе, компания Randori уже внедрили успешные эксплойты в свой программный продукт Red teaming.
Citrix выпущены исправления для нескольких уязвимостей, затрагивающих Citrix ADC, Gateway и SD-WAN, включая критическую ошибку, приводящую к отказу в обслуживании (DoS).
Самой серьезной является критическая CVE-2021-22955, которая может привести к состоянию DoS на устройствах, настроенных как виртуальный сервер VPN (шлюз) или AAA. Недостаток был обнаружен в Citrix Application Delivery Controller (ADC, ранее NetScaler ADC) и Gateway (ранее NetScaler Gateway).
Вторая ошибка CVE-2021-22956 может привести к временному нарушению взаимодействия с графическим интерфейсом управления, Nitro API и RPC. Она влияет на АЦП и Gateway, а также модели SD-WAN WANOP версии 4000-WO 4100-WO, 5000-WO, и 5100-WO.
Citrix устранил обе уязвимости. Клиентам Citrix рекомендуется как можно скорее установить доступные исправления, о чем даже озаботились представители CISA. По всей видимости, не зря.
Не порадовали только VMware, которые все никак не могут доработать исправления для потенциально серьезной уязвимости повышения привилегий CVE-2021-22048, затрагивающей vCenter Server, которую выявили спецы из CrowdStrike.
Уязвимость затрагивает vCenter Server 6.7 и 7.0, Cloud Foundation 3.x и 4.x и приводит к повышению привилегий в механизме аутентификации IWA (встроенная проверка подлинности Windows). Злоумышленник с неадминистративным доступом к vCenter Server может использовать эту проблему для повышения привилегий до группы с более высокими привилегиями.
Несмотря на отсутствие сведений об использовании дыры в дикой природе, ее обнаружение представителями CrowdStrike свидетельствует об обратном, что сама компания и не отрицает. Пока не станут доступны исправления, VMware опубликовали рекомендации относительно обходного пути, которые следует как можно скорее применить.
Palo Alto Networks из Санта-Клары, штат Калифорния, особо обеспокоены критической уязвимостью удаленного выполнения кода в интерфейсах шлюза и портале GlobalProtect. Проблема затрагивает версии PAN-OS 8.1 ранее, чем PAN-OS 8.1.17.
Согласно Randori Attack Team, брешь в безопасности CVE-2021-3064 затрагивает брандмауэры PAN, использующие GlobalProtect Portal VPN, и позволяет выполнять удаленный код без аутентификации на уязвимых установках продукта с привилегиями root. При этом он должен иметь сетевой доступ к интерфейсу GlobalProtect, чтобы воспользоваться этой проблемой.
Для корпоративных клиентов, использующих PAN-OS 8.1.17 и все более поздние версии PAN-OS, выпущены высокоприоритетные исправления. Вопреки заявлениям Palo Alto Networks об отсутствии эксплуатации ошибки в дикой природе, компания Randori уже внедрили успешные эксплойты в свой программный продукт Red teaming.
Citrix выпущены исправления для нескольких уязвимостей, затрагивающих Citrix ADC, Gateway и SD-WAN, включая критическую ошибку, приводящую к отказу в обслуживании (DoS).
Самой серьезной является критическая CVE-2021-22955, которая может привести к состоянию DoS на устройствах, настроенных как виртуальный сервер VPN (шлюз) или AAA. Недостаток был обнаружен в Citrix Application Delivery Controller (ADC, ранее NetScaler ADC) и Gateway (ранее NetScaler Gateway).
Вторая ошибка CVE-2021-22956 может привести к временному нарушению взаимодействия с графическим интерфейсом управления, Nitro API и RPC. Она влияет на АЦП и Gateway, а также модели SD-WAN WANOP версии 4000-WO 4100-WO, 5000-WO, и 5100-WO.
Citrix устранил обе уязвимости. Клиентам Citrix рекомендуется как можно скорее установить доступные исправления, о чем даже озаботились представители CISA. По всей видимости, не зря.
Не порадовали только VMware, которые все никак не могут доработать исправления для потенциально серьезной уязвимости повышения привилегий CVE-2021-22048, затрагивающей vCenter Server, которую выявили спецы из CrowdStrike.
Уязвимость затрагивает vCenter Server 6.7 и 7.0, Cloud Foundation 3.x и 4.x и приводит к повышению привилегий в механизме аутентификации IWA (встроенная проверка подлинности Windows). Злоумышленник с неадминистративным доступом к vCenter Server может использовать эту проблему для повышения привилегий до группы с более высокими привилегиями.
Несмотря на отсутствие сведений об использовании дыры в дикой природе, ее обнаружение представителями CrowdStrike свидетельствует об обратном, что сама компания и не отрицает. Пока не станут доступны исправления, VMware опубликовали рекомендации относительно обходного пути, которые следует как можно скорее применить.
Ibm
QRadar SaaS | IBM
Palo Alto Networks recently completed the acquisition of IBM's QRadar Software as a Service (SaaS) assets. IBM continue to sale QRadar on-premises.
Повесть о том, как поссорился Иван Иванович с Иваном Никифоровичем. Jewish edition.
Компании таки не израильские, а скорее американо-еврейские. Кстати Лиор Див, основатель Cybereason, служил в пресловутом Unit 8200, отвечающем, в числе прочего, за проводимые Израилем кибератаки. К примеру, за Stuxnet.
https://news.1rj.ru/str/avdno/1105
Компании таки не израильские, а скорее американо-еврейские. Кстати Лиор Див, основатель Cybereason, служил в пресловутом Unit 8200, отвечающем, в числе прочего, за проводимые Израилем кибератаки. К примеру, за Stuxnet.
https://news.1rj.ru/str/avdno/1105
Telegram
Антивирусное ДНО
Один израильский вендор Cybereason обвинил второго израильского вендора SentinelOne в том, что в состав его кода входят обфусцированые PowerShell скрипты.
В основе обвинений скриншоты из твиттера:
https://www.cybereason.com/blog/when-your-edr-vendor-attacks
В основе обвинений скриншоты из твиттера:
https://www.cybereason.com/blog/when-your-edr-vendor-attacks
Forwarded from Эксплойт | Live
Вчера госуслуги подверглись мощнейшей DDoS-атаке
Как сообщает Минцифры, мощность этой DDoS-атаки в пике составляла 680 Гбит/с.
Эта атака, по сути, была в 10 раз мощнее, чем подобная атака в августе на крупные российские банки и интернет-провайдеры.
Сегодня днём были также зафиксированы проблемы с доступом к сервису.
Прямо сейчас проблема уже устранена, а специалисты пытаются разобраться в её причине.
Источник атаки и её продолжительность, к сожалению, названы не были.
Как сообщает Минцифры, мощность этой DDoS-атаки в пике составляла 680 Гбит/с.
Эта атака, по сути, была в 10 раз мощнее, чем подобная атака в августе на крупные российские банки и интернет-провайдеры.
Сегодня днём были также зафиксированы проблемы с доступом к сервису.
Прямо сейчас проблема уже устранена, а специалисты пытаются разобраться в её причине.
Источник атаки и её продолжительность, к сожалению, названы не были.
Целую портянку исправленных уязвимостей в графических драйверах для устройств с Windows 10 выкатили AMD. При этом более десятка ошибок имели высокую степень серьезности.
Потенциальный набор слабых мест в нескольких API, которые могут привести к эскалации привилегий, отказу в обслуживании, раскрытию информации, обходу KASLR или произвольной записи в память ядра, были обнаружены при всестороннем анализе AMD Escape группой независимых исследователей: Ори Нимрон, driverThru_BoB 9th, Эран Шимони из CyberArk Labs и Лукас Буйо из Apple Media Products RedTeam.
AMD в сотрудничестве с Google, Microsoft и Oracle исправила также недостатки безопасности средней и высокой степени серьезности, влияющие на серверные процессоры AMD EPYC, AMD (SMU), AMD (SEV), которые могли привести к выполнению произвольного кода, обходу защиты SPI ROM, потере целостности, отказу в обслуживании, раскрытию информации и другим негативным событиям.
Устранена уязвимость неправильного управления доступом (CVE-2021-26334), обнаруженная Михалом Послушным из ESET Research в драйвере AMDPowerProfiler.sys инструмента AMD μProf. Успешная эксплуатация уязвимости позволит злоумышленникам, не имеющим достаточных привилегий, получить доступ к регистрам, зависящим от модели ядра, что приводит к эскалации привилегий и выполнению кода нулевого уровня, который дает злоумышленнику полный контроль над уязвимой системой.
Кроме того, производитель решил проблему кэширования L3, которая может повлиять на производительность некоторых приложений на устройствах с процессорами AMD Ryzen с помощью обновления KB5006746 для Windows 11.
Даже слов нет.
Потенциальный набор слабых мест в нескольких API, которые могут привести к эскалации привилегий, отказу в обслуживании, раскрытию информации, обходу KASLR или произвольной записи в память ядра, были обнаружены при всестороннем анализе AMD Escape группой независимых исследователей: Ори Нимрон, driverThru_BoB 9th, Эран Шимони из CyberArk Labs и Лукас Буйо из Apple Media Products RedTeam.
AMD в сотрудничестве с Google, Microsoft и Oracle исправила также недостатки безопасности средней и высокой степени серьезности, влияющие на серверные процессоры AMD EPYC, AMD (SMU), AMD (SEV), которые могли привести к выполнению произвольного кода, обходу защиты SPI ROM, потере целостности, отказу в обслуживании, раскрытию информации и другим негативным событиям.
Устранена уязвимость неправильного управления доступом (CVE-2021-26334), обнаруженная Михалом Послушным из ESET Research в драйвере AMDPowerProfiler.sys инструмента AMD μProf. Успешная эксплуатация уязвимости позволит злоумышленникам, не имеющим достаточных привилегий, получить доступ к регистрам, зависящим от модели ядра, что приводит к эскалации привилегий и выполнению кода нулевого уровня, который дает злоумышленнику полный контроль над уязвимой системой.
Кроме того, производитель решил проблему кэширования L3, которая может повлиять на производительность некоторых приложений на устройствах с процессорами AMD Ryzen с помощью обновления KB5006746 для Windows 11.
Даже слов нет.
AMD
AMD Graphics Driver for Windows 10
Как-то не так давно мы писали о китайском ботнете Pink из более чем 1,6 миллионов зараженных умных устройств, который был обнаружен в ходе исследования Netlab.
Так вот выводы этого исследования позволили AT&T Alien Labs обнаружить новое вредоносное ПО BotenaGo, в основе которой использовано 33 эксплойта для атак на миллионы маршрутизаторов и IoT-устройств, в том числе оборудование D-Link, устройства Netgear, маршрутизаторы на основе Realtek SDK, маршрутизаторы Zyxel, устройства NAS, продукты Tenda, модемы ZTE и др.
BotenaGo был написан на языке Golang (Go) и только шесть из 62 антивирусных движков на VirusTotal детектируют образец как вредоносный, а некоторые идентифицируют его как Mirai. BotenaGo нацелен на миллионы устройств.
Для доставки эксплойта вредоносная программа сначала запрашивает цель с помощью простого запроса GET. Затем он ищет данные, возвращенные из запроса GET, с каждой сигнатурой системы, которая была сопоставлена с функциями атаки. После установки вредоносная программа-бот будет сканировать порты 31412 и 19412, последний используется для получения IP-адреса жертвы.
Как только соединение с информацией к этому порту получено, оно будет проходить через отображенные функции эксплойта и выполнять их с заданным IP. BotenaGo будет выполнять удаленные команды оболочки на скомпрометированных устройствах, в зависимости от зараженной системы бот использует разные ссылки, связанные с разными полезными нагрузками.
Однако во время анализа на хост-сервере не было полезных данных, поэтому их нельзя было извлечь для анализа. Кроме того, исследователи не обнаружили активной связи C2 между BotenaGo и сервером, управляемым субъектом, поэтому они дают три возможных объяснения того, как это работает.
В первом случае они полагают, что BotenaGo - это только часть (модуль) многоэтапной модульной атаки вредоносного ПО. Второе предположение: BotenaGo - это новый инструмент, используемый операторами Mirai на определенных машинах, сценарий, поддерживаемый общими ссылками для сброса полезной нагрузки. Третий сценарий свидетельствует о том, что вредоносная программа представляет собой образец в ранней стадии разработки.
Исследователи предоставили индикаторы компрометации, связанные с ПО, они предполагают, что malware будет улучшаться в дальнейшем путем интеграции новых эксплойтов.
Так вот выводы этого исследования позволили AT&T Alien Labs обнаружить новое вредоносное ПО BotenaGo, в основе которой использовано 33 эксплойта для атак на миллионы маршрутизаторов и IoT-устройств, в том числе оборудование D-Link, устройства Netgear, маршрутизаторы на основе Realtek SDK, маршрутизаторы Zyxel, устройства NAS, продукты Tenda, модемы ZTE и др.
BotenaGo был написан на языке Golang (Go) и только шесть из 62 антивирусных движков на VirusTotal детектируют образец как вредоносный, а некоторые идентифицируют его как Mirai. BotenaGo нацелен на миллионы устройств.
Для доставки эксплойта вредоносная программа сначала запрашивает цель с помощью простого запроса GET. Затем он ищет данные, возвращенные из запроса GET, с каждой сигнатурой системы, которая была сопоставлена с функциями атаки. После установки вредоносная программа-бот будет сканировать порты 31412 и 19412, последний используется для получения IP-адреса жертвы.
Как только соединение с информацией к этому порту получено, оно будет проходить через отображенные функции эксплойта и выполнять их с заданным IP. BotenaGo будет выполнять удаленные команды оболочки на скомпрометированных устройствах, в зависимости от зараженной системы бот использует разные ссылки, связанные с разными полезными нагрузками.
Однако во время анализа на хост-сервере не было полезных данных, поэтому их нельзя было извлечь для анализа. Кроме того, исследователи не обнаружили активной связи C2 между BotenaGo и сервером, управляемым субъектом, поэтому они дают три возможных объяснения того, как это работает.
В первом случае они полагают, что BotenaGo - это только часть (модуль) многоэтапной модульной атаки вредоносного ПО. Второе предположение: BotenaGo - это новый инструмент, используемый операторами Mirai на определенных машинах, сценарий, поддерживаемый общими ссылками для сброса полезной нагрузки. Третий сценарий свидетельствует о том, что вредоносная программа представляет собой образец в ранней стадии разработки.
Исследователи предоставили индикаторы компрометации, связанные с ПО, они предполагают, что malware будет улучшаться в дальнейшем путем интеграции новых эксплойтов.
Google решил поделиться подробностями недавней атаки, в которой использовалась уязвимость нулевого дня в macOS для доставки вредоносного ПО пользователям в Гонконге.
По мнению экспертов атака была проведена хорошо обеспеченной ресурсами командой хакеров и, вероятно, спонсировалась государством. Хотя Google публично обвинять никого не стали, но как мы уже замечали, пользователи в Гонконге, как правило, становятся объектами атак из Китая.
Для заражения пользователей злоумышленники гнали трафик с веб-сайтов средств массовой информации и ресурсов профсоюзных и политических групп в Гонконге. На сайтах размещалось два фрейма с загрузкой эксплойтов для iOS и macOS.
В случае эксплойта для iOS исследователи Google не смогли получить полную цепочку эксплойтов, но обнаружили, что он включает фреймворк, основанный на проекте доставки эксплойтов в браузере Ironsquirrel и эксплуатацию более старой уязвимости удаленного выполнения кода, отслеживаемой как CVE-2019- 8506.
Однако эксплойт macOS использовал уязвимость удаленного выполнения кода в WebKit - известную как CVE-2021-1789 и исправленную Apple в январе, а также ошибка повышения привилегий CVE-2021-30869, которая была исправлена Apple только 23 сентября, примерно через месяц после того, как Google обнаружил ее в реальных атаках.
Функционал успешно доставленной в результате атаки вредоносной программы для Mac, может перехватывать нажатия клавиш, делать снимки экрана, выгружать и скачивать файлы, выполнять команды терминала и записывать аудио.
Исследователь безопасности Патрик Уордл в своем блоге подробно описал функционал вредоносной программы, которую он назвал OSX.CDDS.
Дополнительные индикаторы компрометации (IoC), связанные с кампанией, можно прочитать в гуглоблоге.
По мнению экспертов атака была проведена хорошо обеспеченной ресурсами командой хакеров и, вероятно, спонсировалась государством. Хотя Google публично обвинять никого не стали, но как мы уже замечали, пользователи в Гонконге, как правило, становятся объектами атак из Китая.
Для заражения пользователей злоумышленники гнали трафик с веб-сайтов средств массовой информации и ресурсов профсоюзных и политических групп в Гонконге. На сайтах размещалось два фрейма с загрузкой эксплойтов для iOS и macOS.
В случае эксплойта для iOS исследователи Google не смогли получить полную цепочку эксплойтов, но обнаружили, что он включает фреймворк, основанный на проекте доставки эксплойтов в браузере Ironsquirrel и эксплуатацию более старой уязвимости удаленного выполнения кода, отслеживаемой как CVE-2019- 8506.
Однако эксплойт macOS использовал уязвимость удаленного выполнения кода в WebKit - известную как CVE-2021-1789 и исправленную Apple в январе, а также ошибка повышения привилегий CVE-2021-30869, которая была исправлена Apple только 23 сентября, примерно через месяц после того, как Google обнаружил ее в реальных атаках.
Функционал успешно доставленной в результате атаки вредоносной программы для Mac, может перехватывать нажатия клавиш, делать снимки экрана, выгружать и скачивать файлы, выполнять команды терминала и записывать аудио.
Исследователь безопасности Патрик Уордл в своем блоге подробно описал функционал вредоносной программы, которую он назвал OSX.CDDS.
Дополнительные индикаторы компрометации (IoC), связанные с кампанией, можно прочитать в гуглоблоге.
В течение 9 месяцев хакеры имели доступ к критическим системам и оставались в сети австралийского оператора водоснабжения SunWater, отвечающего за эксплуатацию 19 крупных плотин, 80 насосных станций и трубопроводов протяженностью 1600 миль.
Инцидент длился в период с августа 2020 года по май 2021 года. В отчете аудиторов упоминается, что хакерам удалось получить доступ к веб-серверу с клиентской информацией. Находясь в сети, злоумышленники не пытались похитить конфиденциальные данные, и вместо этого установили вредоносное ПО для накрутки посещаемости просмотров на видеоролики.
Аудиторы отмечают, что хакеры скомпрометировали старую и более уязвимую версию системы, оставив нетронутыми современные веб-серверы.
Аудиторы изучили систему внутреннего контроля шести органов управления водными ресурсами в Австралии и обнаружили недостатки в трех, не назвав их конкретно. Баги, конечно же, были своевременно залочены, а malware потёрт.
Но, в общем оказалось, что безопасность объекта КИИ просто отсутствовала: не было разграничения прав доступа у пользователей систем, о многофакторной аутентификации на всех внешних общедоступных системах вообще не слышали, не применялись необходимые средства защиты, использовались несложные пароли, и далее следует длинный перечень того, что вы и так прекрасно знаете.
Единственное, что надежно обеспечило безопасность критических процессов - низкая квалификация хакеров, которые, по всей видимости, даже не были в курсе того, куда они пристроили свой софт для накрутки трафика. Вероятно, на удачу была выстроена вся киберзащита SunWater.
Впрочем, удивляться не стоит, вчера мы уже упоминали о реальном положении дел в сфере ИБ в отечественном сегменте. Дела не лучше обстоят.
Инцидент длился в период с августа 2020 года по май 2021 года. В отчете аудиторов упоминается, что хакерам удалось получить доступ к веб-серверу с клиентской информацией. Находясь в сети, злоумышленники не пытались похитить конфиденциальные данные, и вместо этого установили вредоносное ПО для накрутки посещаемости просмотров на видеоролики.
Аудиторы отмечают, что хакеры скомпрометировали старую и более уязвимую версию системы, оставив нетронутыми современные веб-серверы.
Аудиторы изучили систему внутреннего контроля шести органов управления водными ресурсами в Австралии и обнаружили недостатки в трех, не назвав их конкретно. Баги, конечно же, были своевременно залочены, а malware потёрт.
Но, в общем оказалось, что безопасность объекта КИИ просто отсутствовала: не было разграничения прав доступа у пользователей систем, о многофакторной аутентификации на всех внешних общедоступных системах вообще не слышали, не применялись необходимые средства защиты, использовались несложные пароли, и далее следует длинный перечень того, что вы и так прекрасно знаете.
Единственное, что надежно обеспечило безопасность критических процессов - низкая квалификация хакеров, которые, по всей видимости, даже не были в курсе того, куда они пристроили свой софт для накрутки трафика. Вероятно, на удачу была выстроена вся киберзащита SunWater.
Впрочем, удивляться не стоит, вчера мы уже упоминали о реальном положении дел в сфере ИБ в отечественном сегменте. Дела не лучше обстоят.
Японские исследователи из Trend Micro выдали в эфир отчет о том как взламывать автоматические гаражные ворота.
Что дальше? Тесты холодильников и кофеварок (хотя в этом смысла много больше, IoT таки может служить, например, для первичной компрометации домашней или офисной сети)? Лучше бы безопасную разработку у себя наладили, ей Богу. А то дырки в продуктах Trend Micro появляются с пугающей периодичностью.
Что дальше? Тесты холодильников и кофеварок (хотя в этом смысла много больше, IoT таки может служить, например, для первичной компрометации домашней или офисной сети)? Лучше бы безопасную разработку у себя наладили, ей Богу. А то дырки в продуктах Trend Micro появляются с пугающей периодичностью.
Trend Micro
Forced Entry: A Security Test for Automatic Garage Doors
In this blog entry we revisit threats to automatic garage doors by using SDR to test two attack scenarios. We demonstrate a rolling code attack and one that involves a hidden remote feature.
Forwarded from Эксплойт | Live
«Сбер» научил нейросеть дописывать код и назвал эту функцию JARVIS
Это название расшифровывается как «Just another really valuable intellectual system» — ещё одна очень ценная интеллектуальная система.
По словам «Сбера», 15 ноября (сегодня) разработчики смогут протестировать такую возможность.
Нейросеть сможет сама дописывать код, искать уязвимые места в нём, переделывать код с одного языка программирования на другой и даже давать подсказки разработчику.
Помимо этого, нейросеть, по идее, сможет «трансформировать код в алгоритм, сформулированный обычной речью».
В общем, полностью развернуть сервис для сторонних разработчиков «Сбер» планирует в начале следующего года.
Это название расшифровывается как «Just another really valuable intellectual system» — ещё одна очень ценная интеллектуальная система.
По словам «Сбера», 15 ноября (сегодня) разработчики смогут протестировать такую возможность.
Нейросеть сможет сама дописывать код, искать уязвимые места в нём, переделывать код с одного языка программирования на другой и даже давать подсказки разработчику.
Помимо этого, нейросеть, по идее, сможет «трансформировать код в алгоритм, сформулированный обычной речью».
В общем, полностью развернуть сервис для сторонних разработчиков «Сбер» планирует в начале следующего года.
Хакеры грамотно заюзали электронную почту ФБР США для сведения счетов со своим оппонентом.
Международная НКО Spamhaus Project сообщила об обнаружении спам-кампаний, в электронных письмах которых от имени американской спецслужбы рассылались предупреждения о взломе сети получателя и краже данных, виновником упоминаемых атак был назван Vinny Troia, основатель компании Shadowbyte, специализирующейся на расследованиях в сфере даркнета.
Сообщения рассылались в две волны с реальных адресов ФБР, eims@ic.fbi.gov и IP-адреса 153.31.119.142 (mx-east-ic.fbi.gov), соответствующие сведения содержали и заголовки сообщений (dap00025.str0.eims.cjis, wvadc-dmz-pmo003-fbi.enet.cjis, dap00040.str0.eims.cjis), что было проверено DomainKeys Identified Mail.
По оценкам специалистов, охват приблизительный охват составил не менее 100 000 почтовых ящиков, а по факту мог иметь более крупные показатели. Список получателей был получен из базы данных ARIN.
По началу представители ФБР и CISA отказались комментировать инцидент, сославшись на загруженность службы поддержки звонками обеспокоенных получателей сообщений, которые пытались выяснить подробности фейковых атак, но в целом признали факт взлома своей инфраструктуры.
Разобравшись в ситуации, ФБР списали все на неверную конфигурацию ПО, которая позволила злоумышленникам использовать корпоративный портал правоохранительных органов (LEEP) для отправки поддельных электронных писем. LEEP - это ИТ-инфраструктура ФБР, используемая для связи с партнерами из правоохранительных органов штата и местными властями. По заверению представителей спецслужбы, взломанный сервер был изолирован от корпоративной почты агентства и не имел доступа ко внутренней сети.
Согласно расследованию Брайана Кребса, LEEP позволял подать заявку на получение учетной записи. Процесс регистрации требовал заполнения контактной информации. Подтверждение регистрации приходит по электронной почте от eims@ic.fbi.gov с одноразовым паролем. Этот код и контактные данные заявителя попадали в HTML-код веб-сайта. Хакер при этом мог изменить параметры, указав тему и текст электронного письма по своему выбору, и добиться автоматизации рассылки сообщений.
Тем временем, невольный участник событий Vinny Troia назвал своего заказчика: им оказался некий pompompurin и его команда, который и прежде проворачивал аналогичные хакерские делишки против исследователя. За несколько часов до инцидента хакер предупредил своего визави о предстоящей активности, направленной на его дискредитацию.
Игра игрой, а вот американским силовиками пришлось серьезно поерзать, пытаясь объяснить, что взрыв газа вовсе не взрыв, а хлопок, что выглядело как: нас взломали, но на самом деле - не взламывали.
Международная НКО Spamhaus Project сообщила об обнаружении спам-кампаний, в электронных письмах которых от имени американской спецслужбы рассылались предупреждения о взломе сети получателя и краже данных, виновником упоминаемых атак был назван Vinny Troia, основатель компании Shadowbyte, специализирующейся на расследованиях в сфере даркнета.
Сообщения рассылались в две волны с реальных адресов ФБР, eims@ic.fbi.gov и IP-адреса 153.31.119.142 (mx-east-ic.fbi.gov), соответствующие сведения содержали и заголовки сообщений (dap00025.str0.eims.cjis, wvadc-dmz-pmo003-fbi.enet.cjis, dap00040.str0.eims.cjis), что было проверено DomainKeys Identified Mail.
По оценкам специалистов, охват приблизительный охват составил не менее 100 000 почтовых ящиков, а по факту мог иметь более крупные показатели. Список получателей был получен из базы данных ARIN.
По началу представители ФБР и CISA отказались комментировать инцидент, сославшись на загруженность службы поддержки звонками обеспокоенных получателей сообщений, которые пытались выяснить подробности фейковых атак, но в целом признали факт взлома своей инфраструктуры.
Разобравшись в ситуации, ФБР списали все на неверную конфигурацию ПО, которая позволила злоумышленникам использовать корпоративный портал правоохранительных органов (LEEP) для отправки поддельных электронных писем. LEEP - это ИТ-инфраструктура ФБР, используемая для связи с партнерами из правоохранительных органов штата и местными властями. По заверению представителей спецслужбы, взломанный сервер был изолирован от корпоративной почты агентства и не имел доступа ко внутренней сети.
Согласно расследованию Брайана Кребса, LEEP позволял подать заявку на получение учетной записи. Процесс регистрации требовал заполнения контактной информации. Подтверждение регистрации приходит по электронной почте от eims@ic.fbi.gov с одноразовым паролем. Этот код и контактные данные заявителя попадали в HTML-код веб-сайта. Хакер при этом мог изменить параметры, указав тему и текст электронного письма по своему выбору, и добиться автоматизации рассылки сообщений.
Тем временем, невольный участник событий Vinny Troia назвал своего заказчика: им оказался некий pompompurin и его команда, который и прежде проворачивал аналогичные хакерские делишки против исследователя. За несколько часов до инцидента хакер предупредил своего визави о предстоящей активности, направленной на его дискредитацию.
Игра игрой, а вот американским силовиками пришлось серьезно поерзать, пытаясь объяснить, что взрыв газа вовсе не взрыв, а хлопок, что выглядело как: нас взломали, но на самом деле - не взламывали.
Twitter
Spamhaus
These fake warning emails are apparently being sent to addresses scraped from ARIN database. They are causing a lot of disruption because the headers are real, they really are coming from FBI infrastructure. They have no name or contact information in the…
Zoom Video Communications исправила критические уязвимостей, которые подвергают корпоративных пользователей угрозам атак, связанных с удаленным выполнением кода и внедрением команд.
Компания выпустила несколько бюллетеней по безопасности, дабы предупредить о рисках своих клиентов. Особое внимание сосредоточено вокруг критических ошибок, влияющих на локальное программное обеспечение для подключения к совещаниям, а также популярного клиента Keybase.
Самая серьезная уязвимость CVE-2021-34417 (CVSS 7.9) была обнаружена на странице сетевого прокси веб-портала контроллеров Zoom On-Premise Meeting Connector, MMR Connector, Recording Connector, Virtual Room Connector для использования в локальной сети. Уязвимость связанна с данными, передаваемыми в качестве пароля сетевого прокси-сервера, которые могли быть скомпрометированы администратором веб-портала и давали возможность удаленного ввода команд, выполняемых от имени пользователя root.
Не менее интересная ошибка CVE-2021-34420 (CVSS 4.7), связана с установщиком Windows Zoom Client for Meetings и некорректной проверкой цифровых подписей файлов с расширениями .msi, .ps1 и .bat. Где установщик распаковывает такие файлы и использует их для инсталяции программного обеспечения, что, собственно, и позволяет злоумышленнику установить вредоносное ПО.
Также исправлена вторая критическая уязвимость CVE-2021-34422, которой подвержены функции компоненты Team Folder Handler, где манипуляции входными данными приводили к уязвимости обхода каталогов, влияющей на клиент Keybase для Windows до версии 5.7.0.
Обновленные пакеты программного обеспечения доступны для всех обнаруженных уязвимостей, но в Zoom нет механизма автоматического обновления, в связи с чем пользователям и администраторам настоятельно рекомендуется вручную проверить наличие патчей под свои версии ПО.
Компания выпустила несколько бюллетеней по безопасности, дабы предупредить о рисках своих клиентов. Особое внимание сосредоточено вокруг критических ошибок, влияющих на локальное программное обеспечение для подключения к совещаниям, а также популярного клиента Keybase.
Самая серьезная уязвимость CVE-2021-34417 (CVSS 7.9) была обнаружена на странице сетевого прокси веб-портала контроллеров Zoom On-Premise Meeting Connector, MMR Connector, Recording Connector, Virtual Room Connector для использования в локальной сети. Уязвимость связанна с данными, передаваемыми в качестве пароля сетевого прокси-сервера, которые могли быть скомпрометированы администратором веб-портала и давали возможность удаленного ввода команд, выполняемых от имени пользователя root.
Не менее интересная ошибка CVE-2021-34420 (CVSS 4.7), связана с установщиком Windows Zoom Client for Meetings и некорректной проверкой цифровых подписей файлов с расширениями .msi, .ps1 и .bat. Где установщик распаковывает такие файлы и использует их для инсталяции программного обеспечения, что, собственно, и позволяет злоумышленнику установить вредоносное ПО.
Также исправлена вторая критическая уязвимость CVE-2021-34422, которой подвержены функции компоненты Team Folder Handler, где манипуляции входными данными приводили к уязвимости обхода каталогов, влияющей на клиент Keybase для Windows до версии 5.7.0.
Обновленные пакеты программного обеспечения доступны для всех обнаруженных уязвимостей, но в Zoom нет механизма автоматического обновления, в связи с чем пользователям и администраторам настоятельно рекомендуется вручную проверить наличие патчей под свои версии ПО.
Крупнейший ритейлер Costco Wholesale Corporation стал жертвой скиммеров. Американская транснациональная компания занимает пятую строчку в мире и является десятой по величине корпорацией в США, по данным Fortune, управляя крупной сетью розничных магазинов и 737 складами по всему миру.
После участившихся жалоб клиентов на несанкционированные транзакции по платежным картам, которые стали приходить торговому гиганту еще с февраля, Costco решили раскрыть подробности своих проблем в сфере ИБ.
Оказалась все просто: в ходе внутренней проверки на одном из складов было обнаружено скимминговое устройство. После чего Costco публично признали, что платежные реквизиты и данные карт были украдены у клиентов, чьи транзакции проходили через скомпрометированный терминал.
Вместе с тем, в письмах с уведомлением об утечке данных не раскрывается ни общее количество затронутых клиентов, ни место на складе, где было обнаружено скимминговое устройство или какие-либо другие подробности, что дает все основания полагать о некоторых более серьезных фактических объемах перехваченных скиммерами бансковских карт и платежных реквизитов.
Предположительно, тот самый аппарат на складе 👇
После участившихся жалоб клиентов на несанкционированные транзакции по платежным картам, которые стали приходить торговому гиганту еще с февраля, Costco решили раскрыть подробности своих проблем в сфере ИБ.
Оказалась все просто: в ходе внутренней проверки на одном из складов было обнаружено скимминговое устройство. После чего Costco публично признали, что платежные реквизиты и данные карт были украдены у клиентов, чьи транзакции проходили через скомпрометированный терминал.
Вместе с тем, в письмах с уведомлением об утечке данных не раскрывается ни общее количество затронутых клиентов, ни место на складе, где было обнаружено скимминговое устройство или какие-либо другие подробности, что дает все основания полагать о некоторых более серьезных фактических объемах перехваченных скиммерами бансковских карт и платежных реквизитов.
Предположительно, тот самый аппарат на складе 👇