Intel устранили 18 уязвимостей высокой степени опасности в программном и микропрограммном обеспечении, большинство из которых могут способствовать повышению привилегий. Другие могут привести к раскрытию информации или отказу в обслуживании (DoS). 

Согласно представленным данным производителя, прошивка BIOS для некоторых процессоров Intel подвержена 10 уязвимостям повышения привилегий высокой степени серьезности.

Один из серьезных недостатков при этом обнаружен в микропрограмме набора микросхем Intel в службах серверной платформы (SPS), технологии активного управления (AMT) и контроллере управления питанием (PMC).

Проблемы высокой степени серьезности также были обнаружены в проекте с открытым исходным кодом Kernelflinger, компонентах Intel Quartus Prime, продуктах PROSet/Wireless WiFi и Killer WiFi, а также в AMT SDK, программном обеспечении для настройки и SCS, а также в расширениях BIOS Management Engine (MEBx).

Использование всех пропатченных уязвимостей требует локального доступа к целевому устройству.

Производитель выпустил в общей сложности 22 рекомендации по безопасности, в том числе семь с общим рейтингом серьезности «высокий». Кроме того, описываются более дюжины уязвимостей средней и низкой степени серьезности, которые компания устранила в этом месяце.

С одной стороны, учитывая широкое распространение программного и микропрограммного обеспечения Intel, уязвимости такого типа в большой долей вероятности могут быть весьма полезными для злоумышленников. 

Но статистика говорит об обратном. Так, в каталоге известных эксплуатируемых уязвимостей CISA с описанием эксплуатировавшихся за последнее десятилетие на деле более 370 уязвимостей сообщается лишь об одной уязвимости Intel (CVE-2017-5689).

Кстати, в прошлом году Intel исправила в общей сложности 226 уязвимостей в своих продуктах, при этом две уязвимости, исправленные в 2021 году, были оценены как критические, а 52 имели высокая степень серьезности.

Но не будем забывать о том, что это лишь официальная статистика.

Группа южнокорейских исследователей нашли метод восставновления файлов, зашифрованных с использованием ransomware Hive, не применяя при этом ключа дешифрования.

Четверо ученых кафедры финансовой информационной безопасности и кафедры информационной безопасности, криптологии и математики Сеульского университета Кукмин обнаружили в ходе изучения процесса шифрования Hive уязвимости. Это удалось во многом благодаря тому, что вымогатели используют их собственный алгоритм шифрования.

Hive шифрует файлы, выполняя XOR данных со случайным потоком ключей, который отличается для каждого файла. Но вот со случайностью не очень получилось, исследователи смогли найти способ угадывать случайный ключевой поток.

В результате чего им удалось восстановить большую часть главного ключа, который использовался в качестве основы для шифрования файлов жертвы. Разработанная ими методика восстанавливает около 95% главного ключа, Но главное, что такой ключ может расшифровать данные в диапазоне от 82% до 98%.

Работа исследователей кстати спонсировалась за счет гранта правительства Кореи и поддерживалась Корейским агентством информационной безопасности (KISA) и представлена в подробном техническом документе.

Теория теорией, а за практическую реализацию метода в настоящее время взялись специалисты Bitdefender и Kaspersky, которые обещают по результатам создать бесплатный дешифратор Hive на основе результатов корейских исследователей.

Что будет очень востребовано, ведь по состоянию на 16 октября 2021 года Hive RaaS стоит за атаками на 355 компаний, группа заняла 8 место в рейтинге наиболее успешных штаммов программ-вымогателей согласно доходам за 2021 год.

Путь к успеху - череда взлетов и падений, сейчас для Hive наступает последний из них, во всяком случае до того, как они смогут выкатить новый алгоритм.

Сразу после исправления обнаруженных на китайском хакерском конкурсе Tianfu Cup серьезных уязвимостей VMware выпускает новые. На этот раз - для устранения серьезной уязвимости, затрагивающей продукт NSX Data Center для сетевой виртуализации vSphere.

Обнаружить багу смогли Димитри Ди Кристофаро и Пшемек Решке из британской компании по тестированию на проникновение SECFORCE, причем в ходе пентеста VMware Cloud Director - решения, предназначенного для управления крупномасштабными облачными инфраструктурами.

Уязвимость внедрения оболочки интерфейса командной строки (CLI) CVE-2022-22945 в компоненте устройства NSX Edge продукта  имеет оценку CVSS 8,8. Она позволяет удаленному злоумышленнику выполнять произвольные команды операционной системы от имени пользователя root.

CVE-2022-22945 непосредственным образом влияет на компонент устройства NSX Edge, который представляет собой виртуальный маршрутизатор, расположенный на границе сети клиента и обеспечивающий связь между виртуальными центрами обработки данных и внешним миром.

Пользователи с правами администратора могут включить SSH на маршрутизаторе NSX Edge, что обеспечивает доступ к ограниченной оболочке Linux, которую можно использовать для настройки маршрутизатора. Эта оболочка позволяет выполнять только определенные команды для управления сетью. Уязвимость же позволяет выйти из этой локальной оболочки и получить корневую оболочку в базовой операционной системе.

Поэтому чтобы воспользоваться уязвимостью, злоумышленнику необходим SSH-доступ к целевому устройству, а также действительные учетные данные для любой учетной записи на устройстве.

Эксплуатация CVE-2022-22945 помимо получения неограниченного доступа к базовой операционной системе может позволить злоумышленнику установить вредоносное ПО на виртуальное устройство и получить неограниченный сетевой доступ к виртуальным серверам, в том числе для MitM-атак.

VMware исправила уязвимость в NSX Data Center для vSphere, выпустив версию 6.4.13. При этом стоит обратить внимание, что Cloud Foundation (NSX-V) также уязвим, однако исправление еще не подготовлено.

Подробное описание ошибки и последствий ее эксплуатации представлено в блоге SECFORCE.

Рекомендуем обновиться, а в дополнение к установке исправлений SECFORCE рекомендовал организациям убедиться, что доступ к службе SSH, работающей на маршрутизаторе NSX Edge, должен быть ограничен доверенными IP-адресами, если устройством необходимо управлять через Интернет, и не подвергается злонамеренным воздействиям из сети.

Более чем 3 миллионов сайтов содержат критическую уязвимость CVE-2022-0633 (оценка CVSS: 8,5) в плагине резервного копирования WordPress.

UpdraftPlus — это решение для резервного копирования и восстановления , способное выполнять полное, ручное или запланированное резервное копирование файлов, баз данных, плагинов и тем WordPress, которые затем можно восстановить через панель администратора WordPress.

Все версии UpdraftPlus с 1.16.7 по 1.22.2, то есть начиная с марта 2019 года, содержали уязвимость, вызванную отсутствием проверки уровня разрешений, которая позволяла ненадежным пользователям получать доступ к резервным копиям.

Спасибо следует сказать исследователю Марку-Александру Монпасу из Automattic, который обнаружил и сообщил об уязвимости 14 февраля.

В результате баги любой вошедший в систему пользователю установки WordPress с установленным UpdraftPlus может использовать привилегию загрузки существующей резервной копии — разрешения, которые должны были быть зарезервированы только для административных пользователей.

Помимо утечки паролей и других конфиденциальных данных, ошибка позволяет в некоторых случаях захватывать сайт, если злоумышленник сможет получить учетные данные базы данных из файла конфигурации и успешно получить доступ к базе данных сайта.

Пользователям подключаемого модуля UpdraftPlus рекомендуется обновить его как минимум до версии 1.22.3 (или 2.22.3 для версии Premium), чтобы избежать возможной эксплуатации. Кроме того, 17 февраля вышла 1.22.4, в которой исправлены ошибки, связанные с печатью параметров автоматического резервного копирования в PHP 8.

Репутация - тоже монетизируется.

И даже чужая, как в случае с NFT. На продажу в OpenSeas выставлена целая коллекция известных брендов ransomware. Последними забабахали группу вымогателей Conti NFT.

Можете сами оценить 👇👇👇

Если у вас старенький, дешевенький или не обновлённый Android-девайс, то спешим заверить, что ваш маленький телефончик может быть соучастникам далеко не маленькой ботсети, которую злоумышленники используют для регистрации одноразовых учетных записей.

Анализ сервисов проверки учетной записи с помощью SMS-телефона (Phone-Verified Account, PVA) привел к обнаружению мошеннической платформы, построенной на основе ботнета, включающего тысячи зараженных телефонов Android, использующего службы SMS PVA, которые как раз таки предоставляют пользователям альтернативные мобильные номера и позволяют регистрироваться в различных онлайн-сервисах.

Не для кого не секрет, что подобные услуги активно используются злоумышленниками для массовой регистрации одноразовых учетных записей или создания аккаунтов с подтвержденным телефоном с целью осуществления разного рода преступных действий.

О проблеме достаточно подробно изложили исследователи из Trend Micro в своем отчете, опубликованном на прошлой неделе.

По данным телеметрии большая часть случаев заражений приходится на Индонезию (47 357), за ней следуют Россия (16 157), Таиланд (11 196), Индия (8 109), Франция (5 548), Перу (4 915), Марокко ( 4822 человека), ЮАР (4413 человек), Украина (2920 человек) и Малайзия (2779 человек), а большинство скомпрометированных устройств — это бюджетные телефоны Android производителей Lava, ZTE, Mione, Meizu, Huawei, Oppo и HTC.

Не будем вдаваться в технические детали, но примечательный факт заключался в том, что исследователи выявили сервис состоящий из телефонов Android, зараженных вредоносным ПО для перехвата SMS, которое помимо случайной загрузки пользователем могло быть предварительно загружено на устройство во время производства, что подразумевает компрометацию в цепочке поставок. Кроме того, сервис предоставляет виртуальные номера для регистрации через API и владеет телефонными емкостями, охватывающими более 100 стран.

Вредоносное ПО остается малозаметным, так как собирает только те текстовые сообщения, которые соответствуют запрошенному приложению, что позволяет скрытно осуществлять эту деятельность в течение длительного времени.

Самое печальное, что сервисы SMS PVA в очередной раз подрывают целостность SMS-верификации как основного средства проверки аккаунта, а альтернатив на данный момент для большинства платформ, увы и ах, нет.

​​Буквально вчера мы писали о том, что в ближайшее время у Hive начнутся проблемы с клиентурой после публикации результатов Сеульским университетом исследования, в ходе которого были изучены уязвимости алгоритма шифрования и найден метод восстановления зашифрованных данных.

А сегодня вымогатели Hive разместили на свой DLS жертву Hyundai Samho Heavy Industries Co., Ltd в аккурат из Южной Кореи.

​​Атака ransomware привела к закрытию целой сети Expeditors International.

Базирующаяся в Сиэтле логистическая и экспедиторская компания с оборотом в 10 миллиардов долларов, 350 офисами и штатом в 18 000 сотрудников по всему миру оказывает услуги транспортировки, складирования, распределения и растоможке грузов, а в минувшие выходные подверглась мощной кибератаке.

Компания не сообщает обстоятельств инцидента, но из анонимных источников журналистам издания BleepingComputer все же удалось выяснить, что инцидентом стоят вымогатели. Официально Expeditors лишь объявили о глобальном отключении систем и прекращении логистических операций из-за целенаправленной кибератаки.

Согласно заявлению Expeditors, системы будут работать в автономном режиме до тех пор, пока не завершится восстановление данных из резервных копий. Однако пока нет даже прогнозных оценок, когда это произойдет.

В целом Expeditors характеризует инцидент как «весьма значимое событие», которое «окажет серьезное негативное влияние на бизнес, доходы, результаты операций и репутацию». Кстати все расходы на расследование кибератаки и устранение ее последствий компания намерена погасить самостоятельно, пусть даже в длительной перспективе.

Представители Expeditors International обещают раскрыть детали инцидента сразу по возвращении к нормальному функционированию бизнеса.

Как мы и ожидали, атаки ransomware буду становиться более разрушительными и дорогостоящими (как по вопросу выкупа, так и в плане ущерба).

Инциденты вокруг криптобирж набирают обороты и стоит отдать должное многие представители криптоиндустрии стали по достоинству оценивать финансовые и репутационные риски от угроз информационной безопасности.

Буквально на днях отличилась одна из крупнейших криптовалютных бирж - Coinbase, которая совершила крупнейшую за всю историю выплату вознаграждения - аж целых 250 тыс. долларов — за обнаруженную ошибку способную "подрывать" рынок из-за возможности пользователей продавать криптоактивы, которыми они не владели.

В Coinbase сообщили, что 11 февраля сторонний исследователь Tree_of_Alpha сообщил об угрозе безопасности критического уровня, что вызвало немедленную реакцию биржы на инцидент, а именно были отключил все новые сделки и осуществлен перевод платформы в режим только отмены.

Как известно, проблема крылась в новой функции Advanced Trading, которая позволила бы злоумышленнику продать BTC или любую другую монету, не владея ими, используя два аккаунта на бирже. То есть, злоумышленник мог выставлять ордера на продажу криптовалюты, используя балансы в других монетах, например, он мог «продать» 100 BTC, хотя на его счету было бы лишь 100 SHIB.

В Coinbase заявили, что исправили ошибку менее чем за шесть часов и без каких-либо последствий для средств клиентов.

В принципе поощрение по bug bounty более чем достойное, учитывая вероятный уровень последствий при реализации коварного замысла.

Объявленный хакерами LeakTheAnalyst крестовый поход продолжается. Взломавшие 5 лет назад Mandiant похоже, что смогли повторить свой успех, атаковав Verint security company.

Вслед за военными данными Израиля и Великобритании, конфиденциальными сведениями Министерства иностранных дел Украины и таиландской телекоммуникационной компании AIS благодаря LeakTheAnalyst в сеть утекли душещипательные разведывательные материалы компании Verint.

Verint Systems - американская компания из Мелвилла, штат Нью-Йорк, в 2021 году имела более 9 800 клиентов в более чем 175 странах и более 4 300 сотрудников. Реализует программные и аппаратные продукты для управления взаимодействием с клиентами, анализа данных, но главное, пожалуй, для безопасности и наблюдения, в том числе предоставляет правоохранительным органам возможность отслеживать и анализировать голос, видео и данные для «огромного числа целей» во всех типах крупных и сложных компьютерных сетей.

В феврале 2021 израильская дочка Verint засветилась в скандале с продажей оборудования для слежки спецслужбам Южного Судана, который устроили Amnesty International, те самые, которые стояли у истоков кампании по дискредитации NSO Group.

Возвращаясь к утечке, хакеры анонсировали внушительный объем документации, которая относится именно к проектам, связанным со шпионскими технологиями, включая документы в отношении проектов Octopus, Purim Spionage, Shavar, Thesseus, Reliant, OPCD, технологий Vantage-x, алгоритмов проникновения в целевую сеть (FLD,EPI,BE), тактической активной сотовой разведки, видеоаналитики (VIS Nextiva), связи и киберразведки (CIS), ситуационного управления (SMC), а также контракты на поставку шпионского ПО и железа для США, Великобритании, Германии, ОАЭ, Японии, Индии, Южной Кореи, Южной Африки.

Кстати, ранее компания уже проходила нечто подобное в 2019 году, когда ей пришлось столнуться с ransomware. Пока что Verint security company никак не комментирует инцидент, при том, что сообщество уже заполоняет твитами эфир по этому поводу.

​​Поздравляем всех подписчиков (точнее, мужскую их часть) и представителей infosec-сообщества с Праздником 23 февраля!

Желаем всего! И себе пожелаем! Удачных решений, четких атрибуций и грамотных улучшений!

Ура, товарищи!

Дорогие подписчики.

Мы пребываем в легком афиге от происходящего, также как и большинство из вас.

Но вместе с тем, те, кто давно читают наш канал, знают, что мы всегда придерживались позиции: "наши – разведчики, а их – шпионы."

Поэтому хотим обозначить сразу, что в таком ключе и будем освещать инфосек события на фоне текущей ситуации. Просим отнестись с пониманием.

Dixi.

Вымогатели DeadBolt после фиаско с атакой на сетевые хранилища NAS от производителя QNAP нацелились на устройства ASUSTOR.

Вымогатели разводят производителя по той же схеме, предлагая мастер-ключ и детали 0-day за 50 биткойнов (на сумму 1,9 миллиона долларов или информацию об уязвимости за 7,5 биткойнов (на сумму 290 000 долларов). С рядовых клиентов, чьи файлы оказались зашифрованы, DeadBolt требуют выкуп в размере 1150 долларов США в биткойнах.

В ходе шифрования файлов ransomware переименовывает файлы на устройствах ASUSTOR, добавляя к ним расширение deadbolt, а при входе в систему отображается записка о выкупе. При этом DeadBolt отмечают, что другого способа связаться с ними, кроме как произвести платеж в биткойнах, нет.

ASUSTOR не объяснил, как шифруются устройства NAS, пострадавшие их владельцы считают, что это уязвимость в медиасервере PLEX или EZ Connect, которая позволяет получить доступ к их устройствам.

До сих пор непонятен перечень уязвимого для DeadBolt оборудования Неясно, но согласно поступающим отчетам, модели AS6602T, AS-6210T-4K, AS5304T, AS6102T и AS5304T пока что не подвергались атакам.

Возможности восстановить файлы после атак ransomware DeadBolt в настоящее время отсутствуют: единственный способ восстановить файлы — это восстановить их из резервных копий или заплатить выкуп. ASUSTOR намерены выпустить прошивку для восстановления, чтобы пользователи снова могли использовать свои устройства NAS, однако это не поможет восстановить зашифрованные файлы.

При этом производитель настоятельно рекомендует пользователям сделать резервную копию файлов index.cgi и ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАБЛОКИРОВАНЫ DEADBOLT.html перед запуском программного обеспечения для восстановления, поскольку после обновления они будут стёрты.

Эти файлы содержат информацию, необходимую для уплаты выкупа и получения ключа дешифрования, который владельцы затем могут использовать с  дешифратором Emsisoft для DeadBolt.

Основываясь на анализе ransomware, специалисты выяснили, что DeadBolt - это вредоносное ПО для Linux, которое использует шаблон для заметки о выкупе, который можно заменить на любого поставщика: «This is not a personal attack. You have been targeted because of the inadequate security provided by your vendor ({VENDOR NAME})».

Следовательно, в ближайшем будущем нас ожидают новые атаки, но уже на других производителей NAS и их владельцев.

Интересно, как он опенсорс блочить будет.

https://mobile.twitter.com/cyb3rops/status/1496815032738459651

Уязвимость девятилетней давности была обнаружена в программном обеспечении Horde Webmail. Ошибка затрагивает все версии с 30 ноября 2012 года.

Horde Webmail — это бесплатный, готовый к работе корпоративный браузерный коммуникационный пакет, разработанный проектом Horde. Это решение веб-почты широко используется университетами и государственными учреждениями, позволяет пользователям читать, отправлять и упорядочивать сообщения электронной почты, а также управлять календарями, контактами, задачами, заметками, файлами и закладками.

Согласно отчету Sonarsource, уязвимость XSS позволяет получить доступ к учетным записям электронной почты. Злоумышленник может создать документ OpenOffice, который при преобразовании Horde в XHTML для предварительного просмотра может выполнить вредоносную полезную нагрузку JavaScript. Уязвимость срабатывает, когда целевой пользователь просматривает прикрепленный документ OpenOffice в браузере.

Эксплуатация дает злоумышленнику доступ ко всей конфиденциальной информации, которую жертва хранит в своей почте, и может позволить им получить дополнительный доступ к внутренним службам организации. Кроме того, злоумышленник может скомпрометировать учетную запись администратора и захватить сервер веб-почты.

Sonarsource сообщил об этой уязвимости почти 6 месяцев назад, в настоящее время официального патча нет, даже несмотря на подтверждение от поставщика о признании недостатка. Исследователи настоятельно рекомендуют пользователям Horde Webmail отключить рендеринг вложений OpenOffice, отредактировав файл config/mimedrivers.php, добавив параметр конфигурации disable => true.