Внезапно ушедший из жизни в апреле этого года настоящий профессионал в сфере инфосек Дэн Камински был занесен в Зал славы Интернет-сообщества за уникальный вклад в безопасность DNS. Ранее в июле этого года Каминский был включен в зал славы FIRST по реагированию на инциденты.
Камински был известен исследованиями в области безопасности DNS, в частности именно он в 2008 году впервые описал DNS cache poisoning. В июне 2010 года Камински стал одним из самых доверенных представителей ICANN для корня DNSSEC. А кроме того, постоянно выступал на Black Hat и DEFCON, основал антифрод-стартап White Ops и многое другое.
Его безвременная смерть в возрасте 42 лет оборвала блестящую карьеру, которая к тому времени уже сделала Интернет сильнее и безопаснее.
Камински был известен исследованиями в области безопасности DNS, в частности именно он в 2008 году впервые описал DNS cache poisoning. В июне 2010 года Камински стал одним из самых доверенных представителей ICANN для корня DNSSEC. А кроме того, постоянно выступал на Black Hat и DEFCON, основал антифрод-стартап White Ops и многое другое.
Его безвременная смерть в возрасте 42 лет оборвала блестящую карьеру, которая к тому времени уже сделала Интернет сильнее и безопаснее.
Forwarded from Social Engineering
👤 Подборка поисковиков, обеспечивающих конфиденциальность.
• Любая конфиденциальная поисковая система из этой статьи может подойти под ваши запросы. Нужно попробовать поработать с ними и выбрать ту, которая окажется наиболее подходящей:
• Brave Search - бета-версия поисковой системы, связанной с популярным браузером Brave.
• DuckDuckGo - вероятно, самая известная поисковая система, ориентированная на конфиденциальность.
• Disconnect Search - поддерживается DuckDuckGo, с прозрачной политикой конфиденциальности.
• eTools CH - агрегатор поисковых систем, ориентированный на конфиденциальность, в который в настоящее время входят 17 поисковых систем (многие из которых находятся в этом списке).
• Gibiru - Берет результаты своего поиска из измененного алгоритма Google. Позиционирует себя как свободную, быструю и приватную поисковую систему.
• Gigablast - частный поисковик новостей, изображений, каталогов и т.д. использует шифрование для обеспечения конфиденциальности.
• Intelligence X - многоцелевая, но специализированная поисковая система для чего угодно, от веб-инфраструктуры до утечек данных.
• Oscobo - не собирает никаких данных о пользователях; также есть специальный браузер.
• Privado - поисковая система, ориентированная на конфиденциальность.
• Private SH - обеспечивает конфиденциальность с помощью зашифрованных поисковых запросов. Подробное описание платформы.
• Searx - является метапоисковой системой с открытым исходным кодом, которая берёт результаты из других поисковых систем и обеспечивает конфиденциальность пользвоателей.
• StartPage - не собирает данные о пользователях. Позволяет анонимно открывать сайты из поисковой выдачи. блокирует трекеры, таргетинг рекламы и т.д.
• swisscows - частная поисковая система с нулевым отслеживанием, базирующаяся в Швейцарии и размещенная на защищенной швейцарской инфраструктуре.
• Дополнение: Search Engine Party — ресурс, где собраны всевозможные поисковые системы, ориентированные на приватность.
‼️ Список не претендует на полноту, другую дополнительную информацию ты всегда можешь найти по хештегу #OSINT. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Выбор поисковой системы под наши потребности является субъективным процессом. Нельзя назвать какую-то одну поисковую систему, которая станет лучшей для всех. Нужно принимать во внимание множество факторов. В идеале поисковая система должна отвечать на ваши запросы и при этом уважать вашу конфиденциальность.• Любая конфиденциальная поисковая система из этой статьи может подойти под ваши запросы. Нужно попробовать поработать с ними и выбрать ту, которая окажется наиболее подходящей:
• Brave Search - бета-версия поисковой системы, связанной с популярным браузером Brave.
• DuckDuckGo - вероятно, самая известная поисковая система, ориентированная на конфиденциальность.
• Disconnect Search - поддерживается DuckDuckGo, с прозрачной политикой конфиденциальности.
• eTools CH - агрегатор поисковых систем, ориентированный на конфиденциальность, в который в настоящее время входят 17 поисковых систем (многие из которых находятся в этом списке).
• Gibiru - Берет результаты своего поиска из измененного алгоритма Google. Позиционирует себя как свободную, быструю и приватную поисковую систему.
• Gigablast - частный поисковик новостей, изображений, каталогов и т.д. использует шифрование для обеспечения конфиденциальности.
• Intelligence X - многоцелевая, но специализированная поисковая система для чего угодно, от веб-инфраструктуры до утечек данных.
• Oscobo - не собирает никаких данных о пользователях; также есть специальный браузер.
• Privado - поисковая система, ориентированная на конфиденциальность.
• Private SH - обеспечивает конфиденциальность с помощью зашифрованных поисковых запросов. Подробное описание платформы.
• Searx - является метапоисковой системой с открытым исходным кодом, которая берёт результаты из других поисковых систем и обеспечивает конфиденциальность пользвоателей.
• StartPage - не собирает данные о пользователях. Позволяет анонимно открывать сайты из поисковой выдачи. блокирует трекеры, таргетинг рекламы и т.д.
• swisscows - частная поисковая система с нулевым отслеживанием, базирующаяся в Швейцарии и размещенная на защищенной швейцарской инфраструктуре.
• Дополнение: Search Engine Party — ресурс, где собраны всевозможные поисковые системы, ориентированные на приватность.
‼️ Список не претендует на полноту, другую дополнительную информацию ты всегда можешь найти по хештегу #OSINT. Твой S.E.
Кто работает по Ру, к тому приходят по утру.
Благо речь сейчас не о наших соотечественниках, а гражданине Румынии - подозреваемом, 41-летнем мужчине из Крайовы, который был арестован в понедельник рано утром в своем доме.
Когда утро началось не с кофе, а со знакомства с сотрудниками Европола и Румынской национальной полиции, которые считают тебя соучастником в операциях с ransomware, нацеленной на несколько известных организаций.
По данным Европола, задержанный участвовал в атаке на крупную ИТ-компанию в Румынии, предоставляющую услуги в различных секторах, включая энергетику, розничную торговлю и коммунальные платежи. После успешного взлома сети ИТ-компании подозреваемый якобы украл сведения у ее клиентов - как румынских, так и международных организаций - после чего благополучно развернул программу-вымогатель и пошифровал все данные. Похищенная информация включала от финансовых сведений о клиентах, до личных данных сотрудников и других конфиденциальных документов.
После, все как учили в автошколе: хакер связался с организациями жертв и потребовал выкуп, угрожая опубликовать украденные данные, если они откажутся платить.
Официальных версий о причастности злоумышленника к какой-либо хакерской группе пока не оглашалось, но учитывая, что в расследовании Европолу и румынской национальной полиции помогали ребята из ФБР США, очевидно, что смышленый румын провернул такую операцию не в одиночку.
Благо речь сейчас не о наших соотечественниках, а гражданине Румынии - подозреваемом, 41-летнем мужчине из Крайовы, который был арестован в понедельник рано утром в своем доме.
Когда утро началось не с кофе, а со знакомства с сотрудниками Европола и Румынской национальной полиции, которые считают тебя соучастником в операциях с ransomware, нацеленной на несколько известных организаций.
По данным Европола, задержанный участвовал в атаке на крупную ИТ-компанию в Румынии, предоставляющую услуги в различных секторах, включая энергетику, розничную торговлю и коммунальные платежи. После успешного взлома сети ИТ-компании подозреваемый якобы украл сведения у ее клиентов - как румынских, так и международных организаций - после чего благополучно развернул программу-вымогатель и пошифровал все данные. Похищенная информация включала от финансовых сведений о клиентах, до личных данных сотрудников и других конфиденциальных документов.
После, все как учили в автошколе: хакер связался с организациями жертв и потребовал выкуп, угрожая опубликовать украденные данные, если они откажутся платить.
Официальных версий о причастности злоумышленника к какой-либо хакерской группе пока не оглашалось, но учитывая, что в расследовании Европолу и румынской национальной полиции помогали ребята из ФБР США, очевидно, что смышленый румын провернул такую операцию не в одиночку.
Подтянулась тяжелая артиллерия: настоящий Jam, как мы и прогнозировали, еще впереди.
Все это даже после того, как CVE-2021-44228 была исправлена еще 6 декабря с выпуском Log4j 2.15.0, а вызванная этим патчем последующая CVE-2021-45046 (позволявшая эксплуатировать log4shell в некоторых нестандартных конфигурациях с возможностью атак с отказом в обслуживании) также была устранена выпуском самой последней версии Log4j 2.12.2 и 2.16.0, удаляющей функцию поиска сообщений и по умолчанию блокирующей доступ к JNDI.
Тем не менее, более 70 образцов, использующих эксплойт, обнаружено, что достаточно небольшой показатель по сравнению с тем, что, вероятно, уже присутствует в дикой природе.
Но что еще хуже, Bitdefender заметили, что за Log4Shell взялись первые вымогатели. Злоумышленники пытаются использовать ошибку для загрузки двоичного файла .NET с удаленного сервера, который шифрует файлы на целевой машине c расширением khonsari. Записка с требованием выкупа «КАК ПОЛУЧИТЬ СВОИ ФАЙЛЫ BACK.TXT» добавляется на рабочий стол.
Первый инцидент был зафиксирован 11 декабря, когда на уязвимый хост был загружен вредоносный двоичный файл с hxxp://3.145.115.94/zambo/groenhuyzen.exe. Это новое семейство программ-вымогателей, получивших название благодаря своему расширению в зашифрованных файлах. В реальности свое ПО хакеры нарекли именем владельца антикварного магазина в Луизиане. Почему – не ясно.
После запуска Khonsari сканит все диски и шифрует системные папки с документами, видео, изображениями, загрузками и рабочий стол. При этом не шифруются файлы с расширениями .ini и .lnk. Вредоносная программа использует AES 128 CBC с поддержкой алгоритма PaddingMode.Zeros для шифрования. Кроме того, как выяснили BitDefender в более поздних атаках хакеры использовали тот же сервер для распространения RAT Orcus.
Не обошлось и без китайских и иранских АРТ, следы которых выявили спецы из Mandiant. Воспользовавшись ситуацией всеобщего хаоса, АРТ занимались решением традиционных для них задач по кибершпионажу, но помимо прочего иранские субъекты выстраивались и под более агрессивные действия, преследуя подрывные цели. Представители Mandiant отказались сообщать подробную информацию о том, какие конкретно связанные АРТ принимали участие в атаках.
Согласно данным телеметрии Check Point с 44% корпоративных сетей обнаружено более 1,3 миллиона попыток использования уязвимости, большинство из которых были совершены известными вредоносными группами. Всеобщий хакерский ажиотаж и хаос во всем технологическом мире не вызывают удивления, исследование Wiz показывает, что более 89% всех сред имеют уязвимые библиотеки Log4j, разработчики которых в некоторых случаях даже не догадываются об этом. Настоящая черная пятница для хакеров всех мастей.
Учитывая, что Microsoft уже фиксировали имплантаты Cobalt Strike, не стоит считать первый пример эксплойта Log4j, непосредственно устанавливающего ransomware, последним. Вероятно, более увесистые акторы уже вовсю эксплуатируют Log4 Jam, но пока сосредоточены более на максимально широком таргетинге. А по истечении пары тройки недель мест на DLS, судя по всему, не будет хватать, чтоб упорядочить всех новых жертв ransomware.
Тем временем к настоящему моменту помимо исправления уязвимости, перед специалистами по ИБ стоит куда более сложная задача: выявить вероятного злоумышленника в сети.
Все это даже после того, как CVE-2021-44228 была исправлена еще 6 декабря с выпуском Log4j 2.15.0, а вызванная этим патчем последующая CVE-2021-45046 (позволявшая эксплуатировать log4shell в некоторых нестандартных конфигурациях с возможностью атак с отказом в обслуживании) также была устранена выпуском самой последней версии Log4j 2.12.2 и 2.16.0, удаляющей функцию поиска сообщений и по умолчанию блокирующей доступ к JNDI.
Тем не менее, более 70 образцов, использующих эксплойт, обнаружено, что достаточно небольшой показатель по сравнению с тем, что, вероятно, уже присутствует в дикой природе.
Но что еще хуже, Bitdefender заметили, что за Log4Shell взялись первые вымогатели. Злоумышленники пытаются использовать ошибку для загрузки двоичного файла .NET с удаленного сервера, который шифрует файлы на целевой машине c расширением khonsari. Записка с требованием выкупа «КАК ПОЛУЧИТЬ СВОИ ФАЙЛЫ BACK.TXT» добавляется на рабочий стол.
Первый инцидент был зафиксирован 11 декабря, когда на уязвимый хост был загружен вредоносный двоичный файл с hxxp://3.145.115.94/zambo/groenhuyzen.exe. Это новое семейство программ-вымогателей, получивших название благодаря своему расширению в зашифрованных файлах. В реальности свое ПО хакеры нарекли именем владельца антикварного магазина в Луизиане. Почему – не ясно.
После запуска Khonsari сканит все диски и шифрует системные папки с документами, видео, изображениями, загрузками и рабочий стол. При этом не шифруются файлы с расширениями .ini и .lnk. Вредоносная программа использует AES 128 CBC с поддержкой алгоритма PaddingMode.Zeros для шифрования. Кроме того, как выяснили BitDefender в более поздних атаках хакеры использовали тот же сервер для распространения RAT Orcus.
Не обошлось и без китайских и иранских АРТ, следы которых выявили спецы из Mandiant. Воспользовавшись ситуацией всеобщего хаоса, АРТ занимались решением традиционных для них задач по кибершпионажу, но помимо прочего иранские субъекты выстраивались и под более агрессивные действия, преследуя подрывные цели. Представители Mandiant отказались сообщать подробную информацию о том, какие конкретно связанные АРТ принимали участие в атаках.
Согласно данным телеметрии Check Point с 44% корпоративных сетей обнаружено более 1,3 миллиона попыток использования уязвимости, большинство из которых были совершены известными вредоносными группами. Всеобщий хакерский ажиотаж и хаос во всем технологическом мире не вызывают удивления, исследование Wiz показывает, что более 89% всех сред имеют уязвимые библиотеки Log4j, разработчики которых в некоторых случаях даже не догадываются об этом. Настоящая черная пятница для хакеров всех мастей.
Учитывая, что Microsoft уже фиксировали имплантаты Cobalt Strike, не стоит считать первый пример эксплойта Log4j, непосредственно устанавливающего ransomware, последним. Вероятно, более увесистые акторы уже вовсю эксплуатируют Log4 Jam, но пока сосредоточены более на максимально широком таргетинге. А по истечении пары тройки недель мест на DLS, судя по всему, не будет хватать, чтоб упорядочить всех новых жертв ransomware.
Тем временем к настоящему моменту помимо исправления уязвимости, перед специалистами по ИБ стоит куда более сложная задача: выявить вероятного злоумышленника в сети.
Twitter
vx-underground
Rare, never seen before, archived footage of the "Battle of Log4J", 2021, colorized
Microsoft традиционно выпустил последний в 2021 году Patch Tuesday, исправив в общей сложности 67 уязвимостей во всей экосистеме Windows, из них 21 уязвимость связана с повышением привилегий, 26 - удаленным выполнением кода, 10 - с раскрытием информации, 3 - с отказом в обслуживании, 7 - спуфингом. 7 из пропатченных дыр оцениваются как «критические», а оставшимся 60 недостаткам присвоена «важная» степень серьезности.
Согласно данным брокера уязвимостей ZDI, последняя партия довела общее количество CVE в этом году до 887, что почти на 30% меньше, чем в 2020 году.
Отдельно Microsoft исправила 16 недостатков браузера в продукте Microsoft Edge (на основе Chromium), в результате чего общее количество ошибок CVE за декабрь составило 83.
Особое внимание разработчиками из Редмонда было уделено уязвимости подделки в установщике Windows AppX Installer - CVE-2021-43890, которая используется в различных кампаниях по распространению вредоносных программ, включая Emotet, TrickBot и BazarLoader. Ошибка позволяет злоумышленнику создавать вредоносные вложения для эффективных фишинговых кампаний и была обнаружена благодаря Эндрю Брандту из Sophos.
Помимо нее Microsoft также исправила пять публично раскрытых 0-day уязвимостей, которые, по официальным данным, не использовались в атаках:
- CVE-2021-43240 - уязвимость NTFS, связанная с повышением привилегий с помощью короткого имени;
- CVE-2021-41333 - уязвимость диспетчера очереди печати Windows, связанная с повышением привилегий;
- CVE-2021-43880 - уязвимость, связанная с повышением привилегий в системе управления устройствами Windows Mobile;
- CVE-2021-43883 - уязвимость установщика Windows, связанная с повышением привилегий;
- CVE-2021-43893 - уязвимость, связанная с повышением привилегий в шифрованной файловой системе Windows (EFS).
Исследователи также присвоили высокие оценки CVSS 9,8 и 9,6 ошибкам CVE-2021-43215 (критическая уязвимость удаленного выполнения кода на сервере iSNS путем специально созданного запроса) и CVE-2021-43899 (ошибка в адаптере беспроводного дисплея Microsoft 4K, связанная с риском атак удаленного выполнения кода).
Полное описание каждой уязвимости и систем, на которые она влияет, представлено здесь.
Согласно данным брокера уязвимостей ZDI, последняя партия довела общее количество CVE в этом году до 887, что почти на 30% меньше, чем в 2020 году.
Отдельно Microsoft исправила 16 недостатков браузера в продукте Microsoft Edge (на основе Chromium), в результате чего общее количество ошибок CVE за декабрь составило 83.
Особое внимание разработчиками из Редмонда было уделено уязвимости подделки в установщике Windows AppX Installer - CVE-2021-43890, которая используется в различных кампаниях по распространению вредоносных программ, включая Emotet, TrickBot и BazarLoader. Ошибка позволяет злоумышленнику создавать вредоносные вложения для эффективных фишинговых кампаний и была обнаружена благодаря Эндрю Брандту из Sophos.
Помимо нее Microsoft также исправила пять публично раскрытых 0-day уязвимостей, которые, по официальным данным, не использовались в атаках:
- CVE-2021-43240 - уязвимость NTFS, связанная с повышением привилегий с помощью короткого имени;
- CVE-2021-41333 - уязвимость диспетчера очереди печати Windows, связанная с повышением привилегий;
- CVE-2021-43880 - уязвимость, связанная с повышением привилегий в системе управления устройствами Windows Mobile;
- CVE-2021-43883 - уязвимость установщика Windows, связанная с повышением привилегий;
- CVE-2021-43893 - уязвимость, связанная с повышением привилегий в шифрованной файловой системе Windows (EFS).
Исследователи также присвоили высокие оценки CVSS 9,8 и 9,6 ошибкам CVE-2021-43215 (критическая уязвимость удаленного выполнения кода на сервере iSNS путем специально созданного запроса) и CVE-2021-43899 (ошибка в адаптере беспроводного дисплея Microsoft 4K, связанная с риском атак удаленного выполнения кода).
Полное описание каждой уязвимости и систем, на которые она влияет, представлено здесь.
Zero Day Initiative
Zero Day Initiative — The December 2021 Security Update Review
The final second Tuesday of the year is here, and this month, it brings much more than just patches from Microsoft and Adobe. Take a break from your holiday preparations and join us we review the details of the latest security patches. CVE-2021-44228: Log4Shell…
Forwarded from Эксплойт | Live
Wi-fi и Bluetooth могут стать причиной кражи данных миллиардов устройств
Исследователи выяснили, что с помощью Wi-Fi можно управлять трафиком в телефоне, а через Bluetooth узнавать пароли и прочие данные.
Хоть в смартфоны встроены отдельные чипы Wi-fi, Bluetooth и LTE, они всё же пользуются общими ресурсами смартфона для оптимизации энергоэффективности. Поэтому, их можно без проблем использовать для атаки извне.
Так, исследователям удалось закрыть доступ к обновлениям ПО и узнать пароли дистанционно. В заключение они добавили, что сработало это лишь с популярными микросхемами, которые стоят в миллиардах устройств: Broadcom, Cypress и Silicon Lab.
Исследователи выяснили, что с помощью Wi-Fi можно управлять трафиком в телефоне, а через Bluetooth узнавать пароли и прочие данные.
Хоть в смартфоны встроены отдельные чипы Wi-fi, Bluetooth и LTE, они всё же пользуются общими ресурсами смартфона для оптимизации энергоэффективности. Поэтому, их можно без проблем использовать для атаки извне.
Так, исследователям удалось закрыть доступ к обновлениям ПО и узнать пароли дистанционно. В заключение они добавили, что сработало это лишь с популярными микросхемами, которые стоят в миллиардах устройств: Broadcom, Cypress и Silicon Lab.
Производитель программного обеспечения Adobe выпустила критическое предупреждение об уязвимостях безопасности в популярных продуктах под управлением Windows и macOS.
Обнаружено более 60 недостатков безопасности в широком спектре известных программных продуктов и компания предупреждает, что злоумышленники могут использовать эти ошибки для выполнения кода, повышения привилегий и проведения атак типа «отказ в обслуживании».
Пока представители из Сан-Хосе уверяют, что ей ничего не известно об эксплуатации какой-либо из задокументированных уязвимостей в дикой природе.
Вместе с тем, Adobe обратила особое внимание на исправления, доступные для своего флагманского инструмента Photoshop и предупредила, что три проблемы, связанные с безопасностью памяти могут быть использованы для выполнения кода или утечек памяти, которые могут использоваться в связке эксплойтов. Речь идет об уязвимостях в Photoshop - CVE-2021-43018, CVE-2021-43020 и CVE-2021-44184, которые относятся к категории «критических» и применяются к Photoshop 2021 и Photoshop 2022 в системах Windows и macOS.
В другом бюллетене с рейтингом критичности содержится предупреждение как минимум о 16 уязвимостях в Adobe Premiere Rush, успешная эксплуатация которых может привести к выполнению произвольного кода, отказу в обслуживании приложений и повышению привилегий в контексте текущего пользователя.
Пул исправленных недостатков в продуктовой линейке достаточно приличный и разработчик призывает пользователей немедленно применить доступные исправления.
Обнаружено более 60 недостатков безопасности в широком спектре известных программных продуктов и компания предупреждает, что злоумышленники могут использовать эти ошибки для выполнения кода, повышения привилегий и проведения атак типа «отказ в обслуживании».
Пока представители из Сан-Хосе уверяют, что ей ничего не известно об эксплуатации какой-либо из задокументированных уязвимостей в дикой природе.
Вместе с тем, Adobe обратила особое внимание на исправления, доступные для своего флагманского инструмента Photoshop и предупредила, что три проблемы, связанные с безопасностью памяти могут быть использованы для выполнения кода или утечек памяти, которые могут использоваться в связке эксплойтов. Речь идет об уязвимостях в Photoshop - CVE-2021-43018, CVE-2021-43020 и CVE-2021-44184, которые относятся к категории «критических» и применяются к Photoshop 2021 и Photoshop 2022 в системах Windows и macOS.
В другом бюллетене с рейтингом критичности содержится предупреждение как минимум о 16 уязвимостях в Adobe Premiere Rush, успешная эксплуатация которых может привести к выполнению произвольного кода, отказу в обслуживании приложений и повышению привилегий в контексте текущего пользователя.
Пул исправленных недостатков в продуктовой линейке достаточно приличный и разработчик призывает пользователей немедленно применить доступные исправления.
Вызванная Log4Shell киберпандемия в сфере инфосек набирает новые обороты.
Наряду с выявленными более 1,8 млн. попыток эксплуатации первоначальной уязвимости CVE-2021-44228 в Log4j, хакеры начинают использовать вторую и третью уязвимости.
Это все при том, что выявлено более 60 использующих багу семейств malware, которые охватывают весь спектр вредоносных воздействий от майнеров и троянов удаленного доступа до ботнетов и веб-оболочек. И, что еще хуже, по данным MSTIC, брокеры первоначального доступа использовали уязвимость Log4Shell для проникновения в целевые сети, лазейки в которые затем были реализованы вымогателям.
Не менее активны оказались АРТ, связанные с Китаем (Hafnium), Ираном (APT 35 aka Phosphorus), Северной Корей и Турцией, в интересах которых отработать как можно больше уязвимых в моменте систем, начиная от интеграции уязвимости до развертывания полезных нагрузок в реальных условиях.
А теперь Cloudflare сообщают, что буквально вчера злоумышленники переориентировались на вторую CVE, обнаруженную в широко используемой утилите ведения журналов Log4j.
Уязвимость CVE-2021-45046 затрагивает все версии Log4j от 2.0-beta9 до 2.12.1 и от 2.13.0 до 2.15.0 и возникла неполного исправления Apache Software Foundation предыдущей CVE в некоторых нестандартных конфигурациях, отличных от настроек по умолчанию. Неполный патч для CVE-2021-44228 может быть использован для создания вредоносных входных данных с использованием шаблона поиска JNDI, что приводит к атаке типа отказ в обслуживании (DoS). В свою очередь, разработчики ее оперативно пофиксили в Log4j версии 2.16.0.
Еще большую тревогу вызывает исследование Praetorian, в котором исследователи предупреждают о третьей уязвимости в Log4j версии 2.15.0, которая дает возможность кражи конфиденциальных данных при определенных условиях. Технические подробности уязвимости не разглашаются, дабы предотвратить дальнейший коллапс, и, вероятно, еще и потому, что новая версия 2.16.0, по всей видимости, не содержит ее исправлений.
Можете сами оценить, как происходит эксфильтрация конфиденциальных данных в Log4j 2.15.0.
Наряду с выявленными более 1,8 млн. попыток эксплуатации первоначальной уязвимости CVE-2021-44228 в Log4j, хакеры начинают использовать вторую и третью уязвимости.
Это все при том, что выявлено более 60 использующих багу семейств malware, которые охватывают весь спектр вредоносных воздействий от майнеров и троянов удаленного доступа до ботнетов и веб-оболочек. И, что еще хуже, по данным MSTIC, брокеры первоначального доступа использовали уязвимость Log4Shell для проникновения в целевые сети, лазейки в которые затем были реализованы вымогателям.
Не менее активны оказались АРТ, связанные с Китаем (Hafnium), Ираном (APT 35 aka Phosphorus), Северной Корей и Турцией, в интересах которых отработать как можно больше уязвимых в моменте систем, начиная от интеграции уязвимости до развертывания полезных нагрузок в реальных условиях.
А теперь Cloudflare сообщают, что буквально вчера злоумышленники переориентировались на вторую CVE, обнаруженную в широко используемой утилите ведения журналов Log4j.
Уязвимость CVE-2021-45046 затрагивает все версии Log4j от 2.0-beta9 до 2.12.1 и от 2.13.0 до 2.15.0 и возникла неполного исправления Apache Software Foundation предыдущей CVE в некоторых нестандартных конфигурациях, отличных от настроек по умолчанию. Неполный патч для CVE-2021-44228 может быть использован для создания вредоносных входных данных с использованием шаблона поиска JNDI, что приводит к атаке типа отказ в обслуживании (DoS). В свою очередь, разработчики ее оперативно пофиксили в Log4j версии 2.16.0.
Еще большую тревогу вызывает исследование Praetorian, в котором исследователи предупреждают о третьей уязвимости в Log4j версии 2.15.0, которая дает возможность кражи конфиденциальных данных при определенных условиях. Технические подробности уязвимости не разглашаются, дабы предотвратить дальнейший коллапс, и, вероятно, еще и потому, что новая версия 2.16.0, по всей видимости, не содержит ее исправлений.
Можете сами оценить, как происходит эксфильтрация конфиденциальных данных в Log4j 2.15.0.
YouTube
Log4j 2.15.0 stills allows for exfiltration of sensitive data
Why we recommend upgrading to 2.16.0 as quickly as possible.
Forwarded from IT's positive investing
17 декабря в 11-00 акции ПАО «Группа Позитив» появятся в продаже
⚡️Сегодня объявляем о листинге обыкновенных акций ПАО «Группа Позитив» на Московской бирже.
❗️Акции с 17 декабря 2021 года можно будет купить на Московской бирже. Торговый код – POSI. Торги и расчеты будут проводиться в российских рублях.
Обыкновенные акции «Группы Позитив» также будут включены в сектор рынка инноваций и инвестиций (РИИ) Московской биржи.
В целях обеспечения ликвидности мы заключили маркетмейкинговые соглашения с тремя российскими брокерами, которые будут поддерживать заявки на покупку и продажу на торгах.
📣 «Группа Позитив» стала первой российской компанией из сектора кибербезопасности, которая приобрела публичный статус и акции которой обращаются на фондовой бирже, - заявил председатель совета директоров ПАО «Группа Позитив» Юрий Максимов. - В новом публичном статусе мы рассчитываем на привлечение и мотивацию талантливых людей индустрии, создание сплоченного сообщества единомышленников-совладельцев, которые понимают наш бизнес и высоко оценивают его перспективы. Мы также хотим выразить признательность Московской бирже за поддержку наших устремлений и инициатив».
📊 Оценка ПАО «Группа Позитив» от Евгения Когана.
Оценка ПАО «Группа Позитив» от ИК «Велес-Капитал».
Финансовая отчетность ПАО «Группа Позитив» открыта и прозрачна. Ознакомиться с ней можно на сайте.
#PositiveБиржа #security #cybersecurity
⚡️Сегодня объявляем о листинге обыкновенных акций ПАО «Группа Позитив» на Московской бирже.
❗️Акции с 17 декабря 2021 года можно будет купить на Московской бирже. Торговый код – POSI. Торги и расчеты будут проводиться в российских рублях.
Обыкновенные акции «Группы Позитив» также будут включены в сектор рынка инноваций и инвестиций (РИИ) Московской биржи.
В целях обеспечения ликвидности мы заключили маркетмейкинговые соглашения с тремя российскими брокерами, которые будут поддерживать заявки на покупку и продажу на торгах.
📣 «Группа Позитив» стала первой российской компанией из сектора кибербезопасности, которая приобрела публичный статус и акции которой обращаются на фондовой бирже, - заявил председатель совета директоров ПАО «Группа Позитив» Юрий Максимов. - В новом публичном статусе мы рассчитываем на привлечение и мотивацию талантливых людей индустрии, создание сплоченного сообщества единомышленников-совладельцев, которые понимают наш бизнес и высоко оценивают его перспективы. Мы также хотим выразить признательность Московской бирже за поддержку наших устремлений и инициатив».
📊 Оценка ПАО «Группа Позитив» от Евгения Когана.
Оценка ПАО «Группа Позитив» от ИК «Велес-Капитал».
Финансовая отчетность ПАО «Группа Позитив» открыта и прозрачна. Ознакомиться с ней можно на сайте.
#PositiveБиржа #security #cybersecurity
В конце ноября группа специалистов из Adversarial Counterintelligence Prevailion (PACT) выявила новый троян удаленного доступа (RAT) на основе javanoscript, который использует устойчивый алгоритм генерации доменов для идентификации своего центра управления и контроля (C2), а также новые методы для безфайлового хранения на целевой системе.
Кроме того, малварь скрывает свою активность динамически обновляясь и перекомпилируясь. Троян действительно уникален и использует реестр Windows для всех операций с хранением, что позволяет эффективно обходить механизмы защиты от вредоносных программ, так как работает ниже или около порога обнаружения большинства инструментов безопасности.
Новый RAT состоит из кода JavaScript и кейлоггера на основе C#, последний из которых как раз хранится в реестре, чтобы избежать обнаружения. Оба компонента очень легкие. Например, вредоносный код JavaScript занимает около 32 КБ, а кейлоггер всего 8,5 КБ.
Этот RAT специалисты из PACT назвали кодовым именем DarkWatchman. Новое вредоносное ПО, распространяется посредством социальной инженерии путем рассылки на электронную почту. К электронным письмам прилагается файл в виде ZIP-архива, который, в свою очередь, содержит полезную нагрузку, необходимую для заражения системы Windows.
Интересный факт, о котором сообщили в Prevailion состоит в том, что одной из целевых жертв было некое крупное предприятие в России и, по мнению экспертов DarkWatchman, мог использоваться для первоначального доступа с последующим применением ransomware.
Вектор атаки при этом начинался с доставки целевых фишинговых электронных писем, замаскированных под "уведомление об истечении срока бесплатного хранения для партии груза" российской транспортной компании Pony Express.
Информации о потерпевшей и атакующей стороне пока доподлинно не известно, но в ближайшее время уверены все станет ясно.
На самом деле получился очень познавательный и подробный отчет, который позволит окунуться в эволюцию безфайловых вредоносных программ.
Кроме того, малварь скрывает свою активность динамически обновляясь и перекомпилируясь. Троян действительно уникален и использует реестр Windows для всех операций с хранением, что позволяет эффективно обходить механизмы защиты от вредоносных программ, так как работает ниже или около порога обнаружения большинства инструментов безопасности.
Новый RAT состоит из кода JavaScript и кейлоггера на основе C#, последний из которых как раз хранится в реестре, чтобы избежать обнаружения. Оба компонента очень легкие. Например, вредоносный код JavaScript занимает около 32 КБ, а кейлоггер всего 8,5 КБ.
Этот RAT специалисты из PACT назвали кодовым именем DarkWatchman. Новое вредоносное ПО, распространяется посредством социальной инженерии путем рассылки на электронную почту. К электронным письмам прилагается файл в виде ZIP-архива, который, в свою очередь, содержит полезную нагрузку, необходимую для заражения системы Windows.
Интересный факт, о котором сообщили в Prevailion состоит в том, что одной из целевых жертв было некое крупное предприятие в России и, по мнению экспертов DarkWatchman, мог использоваться для первоначального доступа с последующим применением ransomware.
Вектор атаки при этом начинался с доставки целевых фишинговых электронных писем, замаскированных под "уведомление об истечении срока бесплатного хранения для партии груза" российской транспортной компании Pony Express.
Информации о потерпевшей и атакующей стороне пока доподлинно не известно, но в ближайшее время уверены все станет ясно.
На самом деле получился очень познавательный и подробный отчет, который позволит окунуться в эволюцию безфайловых вредоносных программ.
Продолжаем следить за развитием киберпандемии Log4Shell.
До настоящего времени большинство атак с использованием уязвимости Log4Jam, осуществлялись через службу LDAP (Lightweight Directory Access Protocol). Однако в последнее время злоумышленники начали менять тактику и переключились с URL-адресов обратного вызова LDAP на RMI, а то и вовсе используют оба варианта в одном запросе.
Переход на RMI (Remote Method Invocation) API может казаться нелогичным, учитывая, что этот механизм подвергается дополнительным проверкам и ограничениям, но это не всегда так. Некоторые версии JVM не имеют строгих политик, и в этом случае RMI иногда может быть более простым каналом для достижения RCE, чем LDAP.
Являясь частью цепочки заражения, многие инструменты IDS/IPS в настоящее время фильтруют запросы с помощью JNDI и LDAP. Поэтому есть вероятность, что RMI на этом этапе может быть проигнорирован.
Несмотря на то, что выявленные Juniper Labs атаки с переходом на RMI были направлены на майнинг Monero, вектор может быть использован и более серьёзными акторами.
Log4Shell постепенно превращается в Log4Hell для всего инфосек.
До настоящего времени большинство атак с использованием уязвимости Log4Jam, осуществлялись через службу LDAP (Lightweight Directory Access Protocol). Однако в последнее время злоумышленники начали менять тактику и переключились с URL-адресов обратного вызова LDAP на RMI, а то и вовсе используют оба варианта в одном запросе.
Переход на RMI (Remote Method Invocation) API может казаться нелогичным, учитывая, что этот механизм подвергается дополнительным проверкам и ограничениям, но это не всегда так. Некоторые версии JVM не имеют строгих политик, и в этом случае RMI иногда может быть более простым каналом для достижения RCE, чем LDAP.
Являясь частью цепочки заражения, многие инструменты IDS/IPS в настоящее время фильтруют запросы с помощью JNDI и LDAP. Поэтому есть вероятность, что RMI на этом этапе может быть проигнорирован.
Несмотря на то, что выявленные Juniper Labs атаки с переходом на RMI были направлены на майнинг Monero, вектор может быть использован и более серьёзными акторами.
Log4Shell постепенно превращается в Log4Hell для всего инфосек.
Juniper Networks
Log4j Vulnerability: Attackers Shift Focus From LDAP to RMI
Juniper Threat Labs has observed variants of the ongoing Log4j CVE-2021-44228 attacks that use an RMI service instead of LDAP.
Редакторы канала SecAtor ходят по большой комнате и хлопают в ладоши: "А где у нас APT, а куда они спрятались?!" Из-под детского столика выкарабкивается пухлый мальчуган с узким разрезом глаз и, испуганно оглядываясь, шустро улепетывает в сторону кухни.
"Малыш Сон, мы тебя видим!" - улыбаются редакторы и, схватив мальчиша в охапку, относят его в кроватку с надписью APT-C-06.
Как вы догадались из нашей небольшой художественной зарисовки дальнейшая речь пойдет о южнокорейской APT DarkHotel.
В прошлом году мы достаточно подробно рассказывали про киберподвиги этих сеульских хонгильдонов. Особенно заметны они были в первой половине 2020 года, но потом их активность пошла на спад.
И вот на днях (а конкретнее - вчера, мы всегда поставляем свежие новости, мы не ВкусВилл какой-нибудь) исследователи из команды ThreatLabz американской инфосек компании Zscaler выпустили отчет, в котором описали новую кампанию DarkHotel.
Первичным звеном атаки является многослойный вредоносный документ, вероятно доставляемый путем фишинга, в котором вредоносный скриптлет, в котором скрипт PowerShell, в котором утка, в которой заяц, в котором яйцо, в котором загрузчик малвари Ramsay, выявленный в 2020 году китайцами из Antiy и однозначно приписанный DarkHotel.
Кроме этого исследователи нашли еще ряд TTPs, которые весьма весомо указывают на DarkHotel в качестве автора кибероперации, в частности команды С2.
Основной целью кампании была подмена различных китайских доменов, в том числе правительственных. Однако в числе прочего, Zscaler обнаружили несколько фишинговых доменов ряда популярных в Китае криптовалютных проектов, с помощью которых хакеры стараются украсть закрытые криптоключи.
И это действительно интересно. Ранее таким промышляли, в основном, северокорейские APT, к примеру Lazarus. А вот о попытках украсть криптовалюту от южнокорейских хакеров слышной не было.
Поэтому логично было бы допустить версию, что под маской DarkHotel выступают другие хакеры. Например, те же Lazarus или Kimsuky. К сожалению Zscaler такого предположения не рассматривают, поэтому нам остается только гадать.
"Малыш Сон, мы тебя видим!" - улыбаются редакторы и, схватив мальчиша в охапку, относят его в кроватку с надписью APT-C-06.
Как вы догадались из нашей небольшой художественной зарисовки дальнейшая речь пойдет о южнокорейской APT DarkHotel.
В прошлом году мы достаточно подробно рассказывали про киберподвиги этих сеульских хонгильдонов. Особенно заметны они были в первой половине 2020 года, но потом их активность пошла на спад.
И вот на днях (а конкретнее - вчера, мы всегда поставляем свежие новости, мы не ВкусВилл какой-нибудь) исследователи из команды ThreatLabz американской инфосек компании Zscaler выпустили отчет, в котором описали новую кампанию DarkHotel.
Первичным звеном атаки является многослойный вредоносный документ, вероятно доставляемый путем фишинга, в котором вредоносный скриптлет, в котором скрипт PowerShell, в котором утка, в которой заяц, в котором яйцо, в котором загрузчик малвари Ramsay, выявленный в 2020 году китайцами из Antiy и однозначно приписанный DarkHotel.
Кроме этого исследователи нашли еще ряд TTPs, которые весьма весомо указывают на DarkHotel в качестве автора кибероперации, в частности команды С2.
Основной целью кампании была подмена различных китайских доменов, в том числе правительственных. Однако в числе прочего, Zscaler обнаружили несколько фишинговых доменов ряда популярных в Китае криптовалютных проектов, с помощью которых хакеры стараются украсть закрытые криптоключи.
И это действительно интересно. Ранее таким промышляли, в основном, северокорейские APT, к примеру Lazarus. А вот о попытках украсть криптовалюту от южнокорейских хакеров слышной не было.
Поэтому логично было бы допустить версию, что под маской DarkHotel выступают другие хакеры. Например, те же Lazarus или Kimsuky. К сожалению Zscaler такого предположения не рассматривают, поэтому нам остается только гадать.
Zscaler
New DarkHotel APT attack chain identified | Zscaler
ThreatLabz identified a previously undocumented variant of an attack-chain used by the South Korea-based Dark Hotel APT group.
Специалистами из IBM Security X-Force обнаружена деятельность хакерской группировки, которая, по мнению экспертов, относится к иранской APT.
По данным компании, деятельность злоумышленников началась еще в 2019 году и была нацелена на азиатскую авиакомпанию (на какую пока умалчивается).
Основываясь на TTP, наблюдаемой в сети с 2019 по 2021 год, исследователи связали атаку с предполагаемой группировкой отслеживаемой как ITG17 или известной под названием MuddyWater.
Вредоносная активность была обнаружена в начале октября 2019 года и начиналась с развертывания Aclip - бэкдора, написанного на PowerShell, который способен получать команды и отправлять данные с помощью прикладного программного интерфейса популярного приложения для обмена сообщениями Slack.
Использование для C2 легитимной платформы Slack, широко используемой в корпоративных средах, дает злоумышленникам возможность смешивать трафик вредоносных программ, что затрудняет аналитикам по безопасности замечать вредоносную активность.
В наблюдаемой атаке хакеры создавали управляемое рабочее пространство в Slack и каналы, по которым могли получать системную информацию, включая файлы и снимки экрана. В ходе анализа исследователи обнаружили, что Aclip изначально запускался с помощью пакетного сценария Windows с именем aclip.bat, который был добавлен в ключ запуска реестра Windows, что непосредственно позволяло ему сохраняться при перезагрузках и запускаться с включением системы.
При первом запуске бэкдор собирал основную системную информацию, включая имя хоста, имя пользователя и внешний IP-адрес. Эти данные кодировались с помощью Base64 и передавались в центр управления. Снимки экрана, сделанные Aclip с помощью графической библиотеки PowerShell сохранялись в каталоге TEMP и после загрузки на сервер злоумышленника удалялись оттуда.
Учитывая рост и популярность перехода на удаленный формат работы во многих компаниях и активного использования приложения для корпоративного общения и контроля производственной деятельности, X-Force предполагает аналогичную тенденцию в использовании бэкдора злоумышленниками для контроля и распространения вредоносного ПО.
По данным компании, деятельность злоумышленников началась еще в 2019 году и была нацелена на азиатскую авиакомпанию (на какую пока умалчивается).
Основываясь на TTP, наблюдаемой в сети с 2019 по 2021 год, исследователи связали атаку с предполагаемой группировкой отслеживаемой как ITG17 или известной под названием MuddyWater.
Вредоносная активность была обнаружена в начале октября 2019 года и начиналась с развертывания Aclip - бэкдора, написанного на PowerShell, который способен получать команды и отправлять данные с помощью прикладного программного интерфейса популярного приложения для обмена сообщениями Slack.
Использование для C2 легитимной платформы Slack, широко используемой в корпоративных средах, дает злоумышленникам возможность смешивать трафик вредоносных программ, что затрудняет аналитикам по безопасности замечать вредоносную активность.
В наблюдаемой атаке хакеры создавали управляемое рабочее пространство в Slack и каналы, по которым могли получать системную информацию, включая файлы и снимки экрана. В ходе анализа исследователи обнаружили, что Aclip изначально запускался с помощью пакетного сценария Windows с именем aclip.bat, который был добавлен в ключ запуска реестра Windows, что непосредственно позволяло ему сохраняться при перезагрузках и запускаться с включением системы.
При первом запуске бэкдор собирал основную системную информацию, включая имя хоста, имя пользователя и внешний IP-адрес. Эти данные кодировались с помощью Base64 и передавались в центр управления. Снимки экрана, сделанные Aclip с помощью графической библиотеки PowerShell сохранялись в каталоге TEMP и после загрузки на сервер злоумышленника удалялись оттуда.
Учитывая рост и популярность перехода на удаленный формат работы во многих компаниях и активного использования приложения для корпоративного общения и контроля производственной деятельности, X-Force предполагает аналогичную тенденцию в использовании бэкдора злоумышленниками для контроля и распространения вредоносного ПО.
Security Intelligence
Nation State Threat Group Targets Airline with Aclip Backdoor
An attack on an Asian airline was uncovered, likely compromised by a state-sponsored adversary using a new backdoor that utilizes Slack. IBM Security X-Force experts share the findings from their research.
Ноутбуки Lenovo, включая семейства ThinkPad и Yoga, уязвимы для атак, позволяющих получать права администратора.
Рик Велдховен из Fox-IT, входящей в NCC Group, выявил 29 октября две ошибки повышения привилегий в службе ImControllerService («Служба System Interface Foundation») всех версий Lenovo System Interface Foundation ниже 1.1.20.3, CVE-2021-3922 и CVE-2021-3969.
Lenovo System Interface Foundation Service предоставляет интерфейсы для множества функций, включая управление питанием системы, оптимизацию системы, обновление драйверов и приложений. 17 ноября Lenovo выпустили исправления для уязвимостей, которые были публично раскрыты на этой неделе.
CVE-2021-3922 была обнаружена в IMController, программном компоненте Lenovo System Interface Foundation, которая могла позволить локальному злоумышленнику подключиться и взаимодействовать с именованным конвейером дочернего процесса IMController, а CVE-2021-3969, в свою очередь, затрагивала Time of Check Time of Use (TOCTOU) в IMController, предоставляя возможность локальному злоумышленнику повысить привилегии.
Согласно исследованию NCC Group, служба ImController устанавливается на определенных устройствах Lenovo и запускается на уровне SYSTEM, периодически выполняя дочерние процессы, связанные с задачами настройки и обслуживания системы.
Дело в том, что ImControllerService обрабатывает выполнение высокопривилегированных дочерних процессов, что позволяет непривилегированному злоумышленнику с локальным доступом к системе повышать свои привилегии. Родительский процесс устанавливает соединение с дочерним сервером как можно скорее, чтобы отправить сериализованные команды XML по именованному каналу. Дочерний элемент не проверяет источник соединения и анализирует сериализованные команды XML.
При этом одна из команд, которую может отправить родительский процесс, указывает дочернему процессу загрузить «плагин» из произвольного места в файловой системе. Дочерний процесс проверяет цифровую подпись файла DLL подключаемого модуля перед загрузкой файла в свое адресное пространство.
Таким образом, как заметили исследователи, дочерний процесс не проверяет источник соединения, а это означает, что он начнет принимать команды от злоумышленника, используя высокопроизводительные процедуры синхронизации файловой системы. А вторая уязвимость используется для остановки процесса загрузки и замены проверенного подключаемого модуля вредоносным файлом DLL, который выполняется с высокими привилегиями.
Исследователи и производители свое дело сделали, пора бы и пользователям заняться обновлением, пока багами не занялись специалисты другого профиля.
Рик Велдховен из Fox-IT, входящей в NCC Group, выявил 29 октября две ошибки повышения привилегий в службе ImControllerService («Служба System Interface Foundation») всех версий Lenovo System Interface Foundation ниже 1.1.20.3, CVE-2021-3922 и CVE-2021-3969.
Lenovo System Interface Foundation Service предоставляет интерфейсы для множества функций, включая управление питанием системы, оптимизацию системы, обновление драйверов и приложений. 17 ноября Lenovo выпустили исправления для уязвимостей, которые были публично раскрыты на этой неделе.
CVE-2021-3922 была обнаружена в IMController, программном компоненте Lenovo System Interface Foundation, которая могла позволить локальному злоумышленнику подключиться и взаимодействовать с именованным конвейером дочернего процесса IMController, а CVE-2021-3969, в свою очередь, затрагивала Time of Check Time of Use (TOCTOU) в IMController, предоставляя возможность локальному злоумышленнику повысить привилегии.
Согласно исследованию NCC Group, служба ImController устанавливается на определенных устройствах Lenovo и запускается на уровне SYSTEM, периодически выполняя дочерние процессы, связанные с задачами настройки и обслуживания системы.
Дело в том, что ImControllerService обрабатывает выполнение высокопривилегированных дочерних процессов, что позволяет непривилегированному злоумышленнику с локальным доступом к системе повышать свои привилегии. Родительский процесс устанавливает соединение с дочерним сервером как можно скорее, чтобы отправить сериализованные команды XML по именованному каналу. Дочерний элемент не проверяет источник соединения и анализирует сериализованные команды XML.
При этом одна из команд, которую может отправить родительский процесс, указывает дочернему процессу загрузить «плагин» из произвольного места в файловой системе. Дочерний процесс проверяет цифровую подпись файла DLL подключаемого модуля перед загрузкой файла в свое адресное пространство.
Таким образом, как заметили исследователи, дочерний процесс не проверяет источник соединения, а это означает, что он начнет принимать команды от злоумышленника, используя высокопроизводительные процедуры синхронизации файловой системы. А вторая уязвимость используется для остановки процесса загрузки и замены проверенного подключаемого модуля вредоносным файлом DLL, который выполняется с высокими привилегиями.
Исследователи и производители свое дело сделали, пора бы и пользователям заняться обновлением, пока багами не занялись специалисты другого профиля.
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.
С января по ноябрь 2021 года было атаковано более 35000 устройств в 195 странах, включая АСУ ТП (ICS) и правительственный сектор, с помощью нового шпионского ПО PseudoManuscrypt.
Вредоносную активность обнаружили специалисты Лаборатории Касперского, назвавший новое шпионское ПО PseudoManuscrypt из-за его сходства с Manuscrypt, которое использовалось связанной с Северной Кореей АРТ Lazarus для атак на объекты в оборонной сфере.
С другой стороны, вредоносное ПО использует протокол KCP для подключения к своему серверу управления и контроля, который на практике редко встречался, только разве что связанной с Китаем группой угроз APT41 в своих атаках на промышленные организации.
Кроме того, образцы вредоносного ПО также содержат комментарии, исполненные на китайском языке, выявлены подключения к облачному хранилищу китайской компании Baidu, а китайский указывается malware в качестве предпочтительного языка при подключении к C2.
PseudoManuscrypt поддерживает широкий спектр шпионских функций: крадет учетные данные VPN, перехватывает нажатия клавиш, захватывает содержимое экрана, записывает звук с микрофона, а также копирует данные из буфера обмена и журнала событий ОС.
Распространяется через дистрибутивы пиратского ПО, включая архивы, относящиеся к программному обеспечению ICS, которые, вероятно, реализовывались по схеме Malware-as-a-Service (MaaS). В некоторых случаях malware доставлялось ботнетом Glupteba.
Эксперты выявили, что не менее 7,2% всех систем, пораженных вредоносным ПО PseudoManuscrypt, являются частью систем управления производством (ICS) в сфере машиностроения, автоматизаций зданий, энергетики, промышленности, строительстве, ЖКХ и водоснабжения. В числе целей также фигурировали военно-промышленные предприятия и НИИ. При этом во многих случаях злоумышленников интересовали хосты, используемые для моделирования и инженерных изысканий, что навело исследователей на мысль о возможном промышленном шпионаже.
В тоже время слишком широкая таргеттированность атак не свойственна прогосударственным АРТ. Почти треть устройств, не использующих АСУ ТП, на которые нацелена эта кампания, приходится на Россию (10,1%), Индию (10%) и Бразилию (9,3%), а случае с АСУ ТП - наибольший процент целевых показателей наблюдался в Индии, Вьетнаме и России.
До настоящего времени атрибутировать PseudoManuscrypt с Lazarus или другой АРТ исследователи Лаборатории однозначно не смогли, поскольку в совокупности изученные данные не укладываются в какие-либо известные схемы, равно как и понять, преследует ли кампания финансовую выгоду или реализуется в национальных интересах какого-либо государства.
Но всяко лучше атрибуции на «кофейной гуще», которая все чаще пронизывает отчеты уважаемых инфосек компании в угоду политическим тренда, впрочем, мы уже не раз об этом писали.
Вредоносную активность обнаружили специалисты Лаборатории Касперского, назвавший новое шпионское ПО PseudoManuscrypt из-за его сходства с Manuscrypt, которое использовалось связанной с Северной Кореей АРТ Lazarus для атак на объекты в оборонной сфере.
С другой стороны, вредоносное ПО использует протокол KCP для подключения к своему серверу управления и контроля, который на практике редко встречался, только разве что связанной с Китаем группой угроз APT41 в своих атаках на промышленные организации.
Кроме того, образцы вредоносного ПО также содержат комментарии, исполненные на китайском языке, выявлены подключения к облачному хранилищу китайской компании Baidu, а китайский указывается malware в качестве предпочтительного языка при подключении к C2.
PseudoManuscrypt поддерживает широкий спектр шпионских функций: крадет учетные данные VPN, перехватывает нажатия клавиш, захватывает содержимое экрана, записывает звук с микрофона, а также копирует данные из буфера обмена и журнала событий ОС.
Распространяется через дистрибутивы пиратского ПО, включая архивы, относящиеся к программному обеспечению ICS, которые, вероятно, реализовывались по схеме Malware-as-a-Service (MaaS). В некоторых случаях malware доставлялось ботнетом Glupteba.
Эксперты выявили, что не менее 7,2% всех систем, пораженных вредоносным ПО PseudoManuscrypt, являются частью систем управления производством (ICS) в сфере машиностроения, автоматизаций зданий, энергетики, промышленности, строительстве, ЖКХ и водоснабжения. В числе целей также фигурировали военно-промышленные предприятия и НИИ. При этом во многих случаях злоумышленников интересовали хосты, используемые для моделирования и инженерных изысканий, что навело исследователей на мысль о возможном промышленном шпионаже.
В тоже время слишком широкая таргеттированность атак не свойственна прогосударственным АРТ. Почти треть устройств, не использующих АСУ ТП, на которые нацелена эта кампания, приходится на Россию (10,1%), Индию (10%) и Бразилию (9,3%), а случае с АСУ ТП - наибольший процент целевых показателей наблюдался в Индии, Вьетнаме и России.
До настоящего времени атрибутировать PseudoManuscrypt с Lazarus или другой АРТ исследователи Лаборатории однозначно не смогли, поскольку в совокупности изученные данные не укладываются в какие-либо известные схемы, равно как и понять, преследует ли кампания финансовую выгоду или реализуется в национальных интересах какого-либо государства.
Но всяко лучше атрибуции на «кофейной гуще», которая все чаще пронизывает отчеты уважаемых инфосек компании в угоду политическим тренда, впрочем, мы уже не раз об этом писали.
Kaspersky ICS CERT | Kaspersky Industrial Control Systems Cyber Emergency Response Team
PseudoManuscrypt: a mass-scale spyware attack campaign | Kaspersky ICS CERT
Kaspersky products blocked PseudoManuscrypt on more than 35,000 computers in 195 countries of the world. Targets of attacks include a significant number of industrial and government organizations, including enterprises in the military-industrial complex and…
Непотопляемая банда вымогателей Clop продолжает злодействовать и в этот раз слила в сеть конфиденциальные данные полиции Великобритании.
Инцидент произошел еще в октябре, когда операторы ransomware получили доступ к данным, IT-компании Dacoll, содержащим личную информацию и записи 13 миллионов человек, а также конфиденциальные сведения некоторых британских департаментов полиции.
Очевидно, что переговоры по поводу выкупа зашли в тупик и Dacoll отказались платить. Тогда хакеры решили обнародовать данные из Национального компьютера полиции (PNC), содержащие информацию национальной системы автоматического распознавания номеров (ANPR), видеозаписи правонарушений и изображения лиц водителей.
Dacoll подтверждает утечку данных, сумму выкупа не называет и платить не намерена, несмотря на то что преступники продолжают угрозы дальнейшего распространения конфиденциальных сведений.
Британские СМИ отмечают, что одна из дочерних компаний Dacoll, NDI Technologies, оказывает «критически важные» услуги для более чем 90% правоохранительных структур Великобритании, предоставляя сотрудникам полиции удаленный доступ к PNC. Dacoll в свою очередь говорит, что работа информационных систем функционирует в штатном режиме, а инцидент был ограничен внутренней сетью и не связан ни с одной из сетей или услуг других клиентов.
В расследовании инцидента правоохранительным органам оказывает поддержку Национальный центр кибербезопасности Великобритании (NCSC). Посмотрим, насколько успешно будет проводиться расследование, так как уже какой раз предполагаемые участники банды Clop были арестованы в ходе международных правоохранительных операциях, проводимых Интерполом. Видимо название банды выбрано не просто так, их давят, а они не истребляются или ловят совсем не тех.
Инцидент произошел еще в октябре, когда операторы ransomware получили доступ к данным, IT-компании Dacoll, содержащим личную информацию и записи 13 миллионов человек, а также конфиденциальные сведения некоторых британских департаментов полиции.
Очевидно, что переговоры по поводу выкупа зашли в тупик и Dacoll отказались платить. Тогда хакеры решили обнародовать данные из Национального компьютера полиции (PNC), содержащие информацию национальной системы автоматического распознавания номеров (ANPR), видеозаписи правонарушений и изображения лиц водителей.
Dacoll подтверждает утечку данных, сумму выкупа не называет и платить не намерена, несмотря на то что преступники продолжают угрозы дальнейшего распространения конфиденциальных сведений.
Британские СМИ отмечают, что одна из дочерних компаний Dacoll, NDI Technologies, оказывает «критически важные» услуги для более чем 90% правоохранительных структур Великобритании, предоставляя сотрудникам полиции удаленный доступ к PNC. Dacoll в свою очередь говорит, что работа информационных систем функционирует в штатном режиме, а инцидент был ограничен внутренней сетью и не связан ни с одной из сетей или услуг других клиентов.
В расследовании инцидента правоохранительным органам оказывает поддержку Национальный центр кибербезопасности Великобритании (NCSC). Посмотрим, насколько успешно будет проводиться расследование, так как уже какой раз предполагаемые участники банды Clop были арестованы в ходе международных правоохранительных операциях, проводимых Интерполом. Видимо название банды выбрано не просто так, их давят, а они не истребляются или ловят совсем не тех.
Еще раз Merry Christmas!
Log4shell все никак не отступит. Казалось бы с тех пор, как на прошлой неделе началась длинная эпопея с критическими 0-day в log4j, для многих версия 2.16 на какое-то мгновение показалась выходом из сложной ситуации. Но, как выяснилось, она включала ранее необнаруженные баги предыдущей версии и собственные новые, которые исправили с выходом версии 2.17.0.
Дело в том, что предпоследняя версия ПО содержала уязвимость отказа в обслуживании (DoS), которой был присвоен CVE-2021-45105. Ошибка была обнаружена сразу после того, как 2.15.0 был признан уязвимым к незначительной уязвимости DoS (CVE-2021-45046). Позже уровень был повышен Apache с низкого (3,7) до критического (9,0) после того, как новые обходы позволили красть данные из уязвимых систем.
После публичного обсуждения проблемы в течение трех дней Apache присвоил новую CVE и выпустил новую пропеченную версию log4j 2.17.0.
CVE-2021-45105 получивший «высокий» (7,5) балл по шкале CVSS, существует, поскольку log4j 2.16 не всегда защищает от неконтролируемой рекурсии при самореференциальном поиске JNDI, который, казалось бы, был полностью отключен в версии 2.16, но оставался возможным при определенных обстоятельствах и приводил к ошибке StackOverflowError. Версия доступна на крупнейшем Java-репозитории - Maven Central. Выпуск 2.12.3 также на подходе для тех, кто находится в версиях ветки 2.12.x.
Абстрагируясь от очередной уязвимости, по данным Google, более 35 000 пакетов Java содержат уязвимости log4j, составляющих более 8% репозитория Maven Central. Большая часть из пакетов заимствуют баги log4j «косвенно» по принципу транзитивной зависимости. Кроме того, из 35 863 идентифицированных Google пакетов, около 7000 заимствовали log4j напрямую. Учитывая показатели зависимостей, исследователи Google прогнозируют, что устранение недостатков log4j затянется на годы.
Тем временем, в нынешних условиях следует выполнить обновление до последних версий log4j и продолжать мониторить Apache на предмет обновлений.
Log4shell все никак не отступит. Казалось бы с тех пор, как на прошлой неделе началась длинная эпопея с критическими 0-day в log4j, для многих версия 2.16 на какое-то мгновение показалась выходом из сложной ситуации. Но, как выяснилось, она включала ранее необнаруженные баги предыдущей версии и собственные новые, которые исправили с выходом версии 2.17.0.
Дело в том, что предпоследняя версия ПО содержала уязвимость отказа в обслуживании (DoS), которой был присвоен CVE-2021-45105. Ошибка была обнаружена сразу после того, как 2.15.0 был признан уязвимым к незначительной уязвимости DoS (CVE-2021-45046). Позже уровень был повышен Apache с низкого (3,7) до критического (9,0) после того, как новые обходы позволили красть данные из уязвимых систем.
После публичного обсуждения проблемы в течение трех дней Apache присвоил новую CVE и выпустил новую пропеченную версию log4j 2.17.0.
CVE-2021-45105 получивший «высокий» (7,5) балл по шкале CVSS, существует, поскольку log4j 2.16 не всегда защищает от неконтролируемой рекурсии при самореференциальном поиске JNDI, который, казалось бы, был полностью отключен в версии 2.16, но оставался возможным при определенных обстоятельствах и приводил к ошибке StackOverflowError. Версия доступна на крупнейшем Java-репозитории - Maven Central. Выпуск 2.12.3 также на подходе для тех, кто находится в версиях ветки 2.12.x.
Абстрагируясь от очередной уязвимости, по данным Google, более 35 000 пакетов Java содержат уязвимости log4j, составляющих более 8% репозитория Maven Central. Большая часть из пакетов заимствуют баги log4j «косвенно» по принципу транзитивной зависимости. Кроме того, из 35 863 идентифицированных Google пакетов, около 7000 заимствовали log4j напрямую. Учитывая показатели зависимостей, исследователи Google прогнозируют, что устранение недостатков log4j затянется на годы.
Тем временем, в нынешних условиях следует выполнить обновление до последних версий log4j и продолжать мониторить Apache на предмет обновлений.
Googleblog
Understanding the Impact of Apache Log4j Vulnerability
Posted by James Wetter and Nicky Ringland, Open Source Insights Team Editors Note: The below numbers were calculated based on both log4j-co...
Специалисты из лаборатории Citizen Lab совместно с Facebook Meta выявили еще одного игрока в частном секторе разработки шпионского ПО для мобильных устройств.
В поле зрения попала небольшая компания Cytrox из крошечной Македонии в качестве производителя высококачественных эксплойтов для iPhone. В подробном техническом отчете Citizen Lab заявляет, что Cytrox причастна к разработке вредоносного ПО для перехвата сообщений на iPhone, которое было установлено на мобильные телефоны двум достаточно известным египтянам.
Вредоносная программа под названием Predator была способна заразить последнюю на тот момент версию iOS (14.6) за один клик по ссылке, отправленной через WhatsApp.
Одной из жертв слежки оказался изгнанный египетский политик Айман Нур, на айфоне которого было обнаружено две различные шпионские программы, управляемыми двумя разными правительственными субъектами APT. Citizen Lab приписывает эту атаку правительству Египта, которое является клиентом Cytrox. Помимо Predator Cytrox, телефон был заражен скандально известным шпионским ПО Pegasus от NSO Group.
В своем разоблачении Citizen Lab проследила корпоративную историю Cytrox. Компания была создана в 2017 году, как стартап некого Иво Малинковски - гражданина Северной Македонии, который объединил компанию с Intellexa и публично продавал инструменты для цифровой криминалистической экспертизы.
Специалисты по безопасности в Meta, связывают Cytrox вместе с компаниями Cobwebs Technologies, Cognate, Black Cupe, Bluehawk CI, BellTroX и двумя неизвестными китайскими организациями, специализирующихся на подобном ремесле. По мнению экспертов эти компании занимаются разведкой и разработкой вредоносного ПО в интересах правительств и правоохранительных органов ряда стран. Целями Cytrox и его клиентов были политики и журналисты со всего мира, в том числе в Египте и Армении.
Полный цикл шпионского романа из уст исследователей Citizen Lab определенно стоит вашего внимания.
В поле зрения попала небольшая компания Cytrox из крошечной Македонии в качестве производителя высококачественных эксплойтов для iPhone. В подробном техническом отчете Citizen Lab заявляет, что Cytrox причастна к разработке вредоносного ПО для перехвата сообщений на iPhone, которое было установлено на мобильные телефоны двум достаточно известным египтянам.
Вредоносная программа под названием Predator была способна заразить последнюю на тот момент версию iOS (14.6) за один клик по ссылке, отправленной через WhatsApp.
Одной из жертв слежки оказался изгнанный египетский политик Айман Нур, на айфоне которого было обнаружено две различные шпионские программы, управляемыми двумя разными правительственными субъектами APT. Citizen Lab приписывает эту атаку правительству Египта, которое является клиентом Cytrox. Помимо Predator Cytrox, телефон был заражен скандально известным шпионским ПО Pegasus от NSO Group.
В своем разоблачении Citizen Lab проследила корпоративную историю Cytrox. Компания была создана в 2017 году, как стартап некого Иво Малинковски - гражданина Северной Македонии, который объединил компанию с Intellexa и публично продавал инструменты для цифровой криминалистической экспертизы.
Специалисты по безопасности в Meta, связывают Cytrox вместе с компаниями Cobwebs Technologies, Cognate, Black Cupe, Bluehawk CI, BellTroX и двумя неизвестными китайскими организациями, специализирующихся на подобном ремесле. По мнению экспертов эти компании занимаются разведкой и разработкой вредоносного ПО в интересах правительств и правоохранительных органов ряда стран. Целями Cytrox и его клиентов были политики и журналисты со всего мира, в том числе в Египте и Армении.
Полный цикл шпионского романа из уст исследователей Citizen Lab определенно стоит вашего внимания.
The Citizen Lab
Pegasus vs. Predator
Two Egyptians—exiled politician Ayman Nour and the host of a popular news program (who wishes to remain anonymous)—were hacked with Predator spyware, built and sold by the previously little-known mercenary spyware developer Cytrox. The phone of Ayman Nour…
Коварные хакеры из неназванной АРТ на днях препарировали и блокнули по итогу внутреннюю сеть федерального правительства США, точнее одного из его подразделений. Разбирались специалисты Avast.
Исследователи не стали называть ни конкретного актора, ни жертву атаки, но несмотря на это, жертва все же стала известна - Комиссия США по международной религиозной свободе (USCIRF).
Орган занимается мониторингом за соблюдением прав на свободу религии и убеждений за рубежом, консультируя по этим вопросам высшее руководство страны: Президента, Госсекретаря и конгрессменов. Стало быть, решают, кого похлопать по плечу, а на кого наложить санкции, определяя таким образом политику США в отношении нарушений прав человека.
Исследователи Avast обнаружили в сети следы двух вредоносных файлов, которые фактически предоставили злоумышленникам полный контроль над внутренними системами, перехватив фактически весь локальный сетевой трафик в этой организации. А значит, хакерам удалось провентилировать достаточно многие вопросы и изучить всю внутреннюю кухню USCIRF.
Как выяснилось, злоумышленники настолько виртуозно все сделали, что даже могут запускать код по своему выбору в контексте операционной системы на зараженных системах. Учитывая, что чешских специалистов так и не подпустили (по крайней мере, официально) к более предметным деталям инцидента, кроме двух файлов публике более не представлено никакой информации.
Первый файл маскируется под oci.dll и использует программу WinDivert для перехвата всех сетевых пакетов. Это позволяет злоумышленнику загрузить и запустить любой вредоносный код в зараженной системе. Основная задача этого загрузчика может заключаться в использовании привилегированных локальных прав для преодоления межсетевых экранов и мониторинга сети.
Второй файл также маскируется под oci.dll, он меняет первый загрузчик oci.dll и, вероятно, представляет собой другой, более поздний этап той же атаки. Его назначение - расшифровать и запустить в памяти файл SecurityHealthServer.dll.
Это показывает в целом на то, что атака проводилась как минимум в два этапа, о чем свидетельствуют две разные версии oci.dll, которые нашли исследователи.
Вместе с тем, это не помешало Avast признать атаку классической операцией типа APT и заметить и без того тонкую связь с отчетом Operation Red Signature от 2018 года, представленного компанией Trend Micro, поскольку вторая версия oci.dll имеет несколько общих маркеров и копирует функционал с rcview40u.dll, который использовался в той операции. Конечно же, на официальную атрибуцию не натянуть, но пальцем все же тыкнуть на потенциальных КНДР и КНР можно.
Учитывая, что USCIRF определенно играет одну из ключевых ролей, в том числе и в разжиганий религиозных конфликтов на территории КНР, напрашивается вывод о геополитических разборках руками АРТ, как это было, когда команда Insikt Group выявила киберкампанию, проводимую китайским актором против Ватикана и Католической епархии Гонконга, накануне предстоящих межгосударственных переговоров.
Исследователи не стали называть ни конкретного актора, ни жертву атаки, но несмотря на это, жертва все же стала известна - Комиссия США по международной религиозной свободе (USCIRF).
Орган занимается мониторингом за соблюдением прав на свободу религии и убеждений за рубежом, консультируя по этим вопросам высшее руководство страны: Президента, Госсекретаря и конгрессменов. Стало быть, решают, кого похлопать по плечу, а на кого наложить санкции, определяя таким образом политику США в отношении нарушений прав человека.
Исследователи Avast обнаружили в сети следы двух вредоносных файлов, которые фактически предоставили злоумышленникам полный контроль над внутренними системами, перехватив фактически весь локальный сетевой трафик в этой организации. А значит, хакерам удалось провентилировать достаточно многие вопросы и изучить всю внутреннюю кухню USCIRF.
Как выяснилось, злоумышленники настолько виртуозно все сделали, что даже могут запускать код по своему выбору в контексте операционной системы на зараженных системах. Учитывая, что чешских специалистов так и не подпустили (по крайней мере, официально) к более предметным деталям инцидента, кроме двух файлов публике более не представлено никакой информации.
Первый файл маскируется под oci.dll и использует программу WinDivert для перехвата всех сетевых пакетов. Это позволяет злоумышленнику загрузить и запустить любой вредоносный код в зараженной системе. Основная задача этого загрузчика может заключаться в использовании привилегированных локальных прав для преодоления межсетевых экранов и мониторинга сети.
Второй файл также маскируется под oci.dll, он меняет первый загрузчик oci.dll и, вероятно, представляет собой другой, более поздний этап той же атаки. Его назначение - расшифровать и запустить в памяти файл SecurityHealthServer.dll.
Это показывает в целом на то, что атака проводилась как минимум в два этапа, о чем свидетельствуют две разные версии oci.dll, которые нашли исследователи.
Вместе с тем, это не помешало Avast признать атаку классической операцией типа APT и заметить и без того тонкую связь с отчетом Operation Red Signature от 2018 года, представленного компанией Trend Micro, поскольку вторая версия oci.dll имеет несколько общих маркеров и копирует функционал с rcview40u.dll, который использовался в той операции. Конечно же, на официальную атрибуцию не натянуть, но пальцем все же тыкнуть на потенциальных КНДР и КНР можно.
Учитывая, что USCIRF определенно играет одну из ключевых ролей, в том числе и в разжиганий религиозных конфликтов на территории КНР, напрашивается вывод о геополитических разборках руками АРТ, как это было, когда команда Insikt Group выявила киберкампанию, проводимую китайским актором против Ватикана и Католической епархии Гонконга, накануне предстоящих межгосударственных переговоров.
Avast Threat Labs
Avast Finds Backdoor on US Government Commission Network - Avast Threat Labs
Avast has found a targeted attack on a small US federal government commission. Despite the fact that they did not cooperate with us, we were able to analyze two files involved in this attack.
Forwarded from SecurityLab.ru
В этом спецвыпуске мы посетили Positive Launch Day 2021.
Мероприятие было посвящено запуску инновационного решения от компании Positive Technologies — PT XDR.
Решение предназначено для обнаружения киберугроз и реагирования на них и помогает кратно ускорить реагирование на атаки.
https://www.youtube.com/watch?v=z3wChv7ycgg
Мероприятие было посвящено запуску инновационного решения от компании Positive Technologies — PT XDR.
Решение предназначено для обнаружения киберугроз и реагирования на них и помогает кратно ускорить реагирование на атаки.
https://www.youtube.com/watch?v=z3wChv7ycgg
YouTube
Спецвыпуск! PT XDR | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
В этом спецвыпуске мы посетили Positive Launch Day 2021.
Мероприятие было посвящено запуску инновационного решения от компании…
В этом спецвыпуске мы посетили Positive Launch Day 2021.
Мероприятие было посвящено запуску инновационного решения от компании…
Очередная классика жанра, когда приборы, созданные для того, чтобы сделать жизнь более безопасной сами подвержены угрозам безопасности.
В этот раз угроза коснулась продукции для обнаружения металлов, небезызвестной компании Garrett из Техаса. Как оказалось ее арочные металлодетекторы GARRETT, которые продаются более чем в 100 странах мира подвержены потенциально серьезным уязвимостям и могут быть использованы для взлома устройств, а также изменения их конфигурации.
Металлодетекторы компании, которые видел почти каждый используются на стадионах, площадках для проведения мероприятий, школах, зданиях судов, больницах, тюрьмах и правительственных организациях почти во всей Европе, на Ближнем Востоке и в Австралии
Об угрозах безопасности сообщили специалисты из Cisco Talos, когда один из исследователей обнаружил несколько уязвимостей в модуле Garrett iC, который обеспечивает проводное или беспроводное сетевое соединение с PD 6500i - многозонными проходными металлодетекторами компании.
Так как поставщик выпустил исправления еще 13 декабря, Talos раскрыл информацию о семи уязвимостях, обнаруженных в модуле iC, пяти из которым был присвоен критический рейтинг серьезности.
Три баги в безопасности можно использовать без аутентификации, отправив на устройство специально созданный пакет, позволяющий злоумышленнику выполнить произвольный код. В Talos пояснили, что после эксплуатации уязвимостей злоумышленник может манипулировать этим модулем, чтобы удаленно отслеживать статистику, например, сработала ли тревога или сколько посетителей прошло, а также вносить изменения в конфигурацию металлодетектора, например изменять уровень чувствительности, что потенциально представляет угрозу безопасности для контролеров, которые полагаются на эти устройства.
Еще три недостатка позволяют аутентифицированному злоумышленнику читать, записывать или удалять файлы с устройства, а последняя бага может быть использована для взлома сеанса аутентифицированного пользователя.
Учитывая, что такие устройства преимущественно не подключены к интернету, соответственно для эксплуатации уязвимости злоумышленнику потребуется доступ к локальной сети.
В этот раз угроза коснулась продукции для обнаружения металлов, небезызвестной компании Garrett из Техаса. Как оказалось ее арочные металлодетекторы GARRETT, которые продаются более чем в 100 странах мира подвержены потенциально серьезным уязвимостям и могут быть использованы для взлома устройств, а также изменения их конфигурации.
Металлодетекторы компании, которые видел почти каждый используются на стадионах, площадках для проведения мероприятий, школах, зданиях судов, больницах, тюрьмах и правительственных организациях почти во всей Европе, на Ближнем Востоке и в Австралии
Об угрозах безопасности сообщили специалисты из Cisco Talos, когда один из исследователей обнаружил несколько уязвимостей в модуле Garrett iC, который обеспечивает проводное или беспроводное сетевое соединение с PD 6500i - многозонными проходными металлодетекторами компании.
Так как поставщик выпустил исправления еще 13 декабря, Talos раскрыл информацию о семи уязвимостях, обнаруженных в модуле iC, пяти из которым был присвоен критический рейтинг серьезности.
Три баги в безопасности можно использовать без аутентификации, отправив на устройство специально созданный пакет, позволяющий злоумышленнику выполнить произвольный код. В Talos пояснили, что после эксплуатации уязвимостей злоумышленник может манипулировать этим модулем, чтобы удаленно отслеживать статистику, например, сработала ли тревога или сколько посетителей прошло, а также вносить изменения в конфигурацию металлодетектора, например изменять уровень чувствительности, что потенциально представляет угрозу безопасности для контролеров, которые полагаются на эти устройства.
Еще три недостатка позволяют аутентифицированному злоумышленнику читать, записывать или удалять файлы с устройства, а последняя бага может быть использована для взлома сеанса аутентифицированного пользователя.
Учитывая, что такие устройства преимущественно не подключены к интернету, соответственно для эксплуатации уязвимости злоумышленнику потребуется доступ к локальной сети.