Группа южнокорейских исследователей нашли метод восставновления файлов, зашифрованных с использованием ransomware Hive, не применяя при этом ключа дешифрования.
Четверо ученых кафедры финансовой информационной безопасности и кафедры информационной безопасности, криптологии и математики Сеульского университета Кукмин обнаружили в ходе изучения процесса шифрования Hive уязвимости. Это удалось во многом благодаря тому, что вымогатели используют их собственный алгоритм шифрования.
Hive шифрует файлы, выполняя XOR данных со случайным потоком ключей, который отличается для каждого файла. Но вот со случайностью не очень получилось, исследователи смогли найти способ угадывать случайный ключевой поток.
В результате чего им удалось восстановить большую часть главного ключа, который использовался в качестве основы для шифрования файлов жертвы. Разработанная ими методика восстанавливает около 95% главного ключа, Но главное, что такой ключ может расшифровать данные в диапазоне от 82% до 98%.
Работа исследователей кстати спонсировалась за счет гранта правительства Кореи и поддерживалась Корейским агентством информационной безопасности (KISA) и представлена в подробном техническом документе.
Теория теорией, а за практическую реализацию метода в настоящее время взялись специалисты Bitdefender и Kaspersky, которые обещают по результатам создать бесплатный дешифратор Hive на основе результатов корейских исследователей.
Что будет очень востребовано, ведь по состоянию на 16 октября 2021 года Hive RaaS стоит за атаками на 355 компаний, группа заняла 8 место в рейтинге наиболее успешных штаммов программ-вымогателей согласно доходам за 2021 год.
Путь к успеху - череда взлетов и падений, сейчас для Hive наступает последний из них, во всяком случае до того, как они смогут выкатить новый алгоритм.
Четверо ученых кафедры финансовой информационной безопасности и кафедры информационной безопасности, криптологии и математики Сеульского университета Кукмин обнаружили в ходе изучения процесса шифрования Hive уязвимости. Это удалось во многом благодаря тому, что вымогатели используют их собственный алгоритм шифрования.
Hive шифрует файлы, выполняя XOR данных со случайным потоком ключей, который отличается для каждого файла. Но вот со случайностью не очень получилось, исследователи смогли найти способ угадывать случайный ключевой поток.
В результате чего им удалось восстановить большую часть главного ключа, который использовался в качестве основы для шифрования файлов жертвы. Разработанная ими методика восстанавливает около 95% главного ключа, Но главное, что такой ключ может расшифровать данные в диапазоне от 82% до 98%.
Работа исследователей кстати спонсировалась за счет гранта правительства Кореи и поддерживалась Корейским агентством информационной безопасности (KISA) и представлена в подробном техническом документе.
Теория теорией, а за практическую реализацию метода в настоящее время взялись специалисты Bitdefender и Kaspersky, которые обещают по результатам создать бесплатный дешифратор Hive на основе результатов корейских исследователей.
Что будет очень востребовано, ведь по состоянию на 16 октября 2021 года Hive RaaS стоит за атаками на 355 компаний, группа заняла 8 место в рейтинге наиболее успешных штаммов программ-вымогателей согласно доходам за 2021 год.
Путь к успеху - череда взлетов и падений, сейчас для Hive наступает последний из них, во всяком случае до того, как они смогут выкатить новый алгоритм.
Chainalysis
As Ransomware Payments Continue to Grow, So Too Does Ransomware’s Role in Geopolitical Conflict
Along with ransomware payments, ransomware's role in geopolitical conflicts grows. Download the 2022 Crypto Crime Report to learn more.
Сразу после исправления обнаруженных на китайском хакерском конкурсе Tianfu Cup серьезных уязвимостей VMware выпускает новые. На этот раз - для устранения серьезной уязвимости, затрагивающей продукт NSX Data Center для сетевой виртуализации vSphere.
Обнаружить багу смогли Димитри Ди Кристофаро и Пшемек Решке из британской компании по тестированию на проникновение SECFORCE, причем в ходе пентеста VMware Cloud Director - решения, предназначенного для управления крупномасштабными облачными инфраструктурами.
Уязвимость внедрения оболочки интерфейса командной строки (CLI) CVE-2022-22945 в компоненте устройства NSX Edge продукта имеет оценку CVSS 8,8. Она позволяет удаленному злоумышленнику выполнять произвольные команды операционной системы от имени пользователя root.
CVE-2022-22945 непосредственным образом влияет на компонент устройства NSX Edge, который представляет собой виртуальный маршрутизатор, расположенный на границе сети клиента и обеспечивающий связь между виртуальными центрами обработки данных и внешним миром.
Пользователи с правами администратора могут включить SSH на маршрутизаторе NSX Edge, что обеспечивает доступ к ограниченной оболочке Linux, которую можно использовать для настройки маршрутизатора. Эта оболочка позволяет выполнять только определенные команды для управления сетью. Уязвимость же позволяет выйти из этой локальной оболочки и получить корневую оболочку в базовой операционной системе.
Поэтому чтобы воспользоваться уязвимостью, злоумышленнику необходим SSH-доступ к целевому устройству, а также действительные учетные данные для любой учетной записи на устройстве.
Эксплуатация CVE-2022-22945 помимо получения неограниченного доступа к базовой операционной системе может позволить злоумышленнику установить вредоносное ПО на виртуальное устройство и получить неограниченный сетевой доступ к виртуальным серверам, в том числе для MitM-атак.
VMware исправила уязвимость в NSX Data Center для vSphere, выпустив версию 6.4.13. При этом стоит обратить внимание, что Cloud Foundation (NSX-V) также уязвим, однако исправление еще не подготовлено.
Подробное описание ошибки и последствий ее эксплуатации представлено в блоге SECFORCE.
Рекомендуем обновиться, а в дополнение к установке исправлений SECFORCE рекомендовал организациям убедиться, что доступ к службе SSH, работающей на маршрутизаторе NSX Edge, должен быть ограничен доверенными IP-адресами, если устройством необходимо управлять через Интернет, и не подвергается злонамеренным воздействиям из сети.
Обнаружить багу смогли Димитри Ди Кристофаро и Пшемек Решке из британской компании по тестированию на проникновение SECFORCE, причем в ходе пентеста VMware Cloud Director - решения, предназначенного для управления крупномасштабными облачными инфраструктурами.
Уязвимость внедрения оболочки интерфейса командной строки (CLI) CVE-2022-22945 в компоненте устройства NSX Edge продукта имеет оценку CVSS 8,8. Она позволяет удаленному злоумышленнику выполнять произвольные команды операционной системы от имени пользователя root.
CVE-2022-22945 непосредственным образом влияет на компонент устройства NSX Edge, который представляет собой виртуальный маршрутизатор, расположенный на границе сети клиента и обеспечивающий связь между виртуальными центрами обработки данных и внешним миром.
Пользователи с правами администратора могут включить SSH на маршрутизаторе NSX Edge, что обеспечивает доступ к ограниченной оболочке Linux, которую можно использовать для настройки маршрутизатора. Эта оболочка позволяет выполнять только определенные команды для управления сетью. Уязвимость же позволяет выйти из этой локальной оболочки и получить корневую оболочку в базовой операционной системе.
Поэтому чтобы воспользоваться уязвимостью, злоумышленнику необходим SSH-доступ к целевому устройству, а также действительные учетные данные для любой учетной записи на устройстве.
Эксплуатация CVE-2022-22945 помимо получения неограниченного доступа к базовой операционной системе может позволить злоумышленнику установить вредоносное ПО на виртуальное устройство и получить неограниченный сетевой доступ к виртуальным серверам, в том числе для MitM-атак.
VMware исправила уязвимость в NSX Data Center для vSphere, выпустив версию 6.4.13. При этом стоит обратить внимание, что Cloud Foundation (NSX-V) также уязвим, однако исправление еще не подготовлено.
Подробное описание ошибки и последствий ее эксплуатации представлено в блоге SECFORCE.
Рекомендуем обновиться, а в дополнение к установке исправлений SECFORCE рекомендовал организациям убедиться, что доступ к службе SSH, работающей на маршрутизаторе NSX Edge, должен быть ограничен доверенными IP-адресами, если устройством необходимо управлять через Интернет, и не подвергается злонамеренным воздействиям из сети.
www.secforce.com
SECFORCE - Security without compromise
Cybersecurity consultancy specialized in offensive security helping top-tier organisations all over the world.
Более чем 3 миллионов сайтов содержат критическую уязвимость CVE-2022-0633 (оценка CVSS: 8,5) в плагине резервного копирования WordPress.
UpdraftPlus — это решение для резервного копирования и восстановления , способное выполнять полное, ручное или запланированное резервное копирование файлов, баз данных, плагинов и тем WordPress, которые затем можно восстановить через панель администратора WordPress.
Все версии UpdraftPlus с 1.16.7 по 1.22.2, то есть начиная с марта 2019 года, содержали уязвимость, вызванную отсутствием проверки уровня разрешений, которая позволяла ненадежным пользователям получать доступ к резервным копиям.
Спасибо следует сказать исследователю Марку-Александру Монпасу из Automattic, который обнаружил и сообщил об уязвимости 14 февраля.
В результате баги любой вошедший в систему пользователю установки WordPress с установленным UpdraftPlus может использовать привилегию загрузки существующей резервной копии — разрешения, которые должны были быть зарезервированы только для административных пользователей.
Помимо утечки паролей и других конфиденциальных данных, ошибка позволяет в некоторых случаях захватывать сайт, если злоумышленник сможет получить учетные данные базы данных из файла конфигурации и успешно получить доступ к базе данных сайта.
Пользователям подключаемого модуля UpdraftPlus рекомендуется обновить его как минимум до версии 1.22.3 (или 2.22.3 для версии Premium), чтобы избежать возможной эксплуатации. Кроме того, 17 февраля вышла 1.22.4, в которой исправлены ошибки, связанные с печатью параметров автоматического резервного копирования в PHP 8.
UpdraftPlus — это решение для резервного копирования и восстановления , способное выполнять полное, ручное или запланированное резервное копирование файлов, баз данных, плагинов и тем WordPress, которые затем можно восстановить через панель администратора WordPress.
Все версии UpdraftPlus с 1.16.7 по 1.22.2, то есть начиная с марта 2019 года, содержали уязвимость, вызванную отсутствием проверки уровня разрешений, которая позволяла ненадежным пользователям получать доступ к резервным копиям.
Спасибо следует сказать исследователю Марку-Александру Монпасу из Automattic, который обнаружил и сообщил об уязвимости 14 февраля.
В результате баги любой вошедший в систему пользователю установки WordPress с установленным UpdraftPlus может использовать привилегию загрузки существующей резервной копии — разрешения, которые должны были быть зарезервированы только для административных пользователей.
Помимо утечки паролей и других конфиденциальных данных, ошибка позволяет в некоторых случаях захватывать сайт, если злоумышленник сможет получить учетные данные базы данных из файла конфигурации и успешно получить доступ к базе данных сайта.
Пользователям подключаемого модуля UpdraftPlus рекомендуется обновить его как минимум до версии 1.22.3 (или 2.22.3 для версии Premium), чтобы избежать возможной эксплуатации. Кроме того, 17 февраля вышла 1.22.4, в которой исправлены ошибки, связанные с печатью параметров автоматического резервного копирования в PHP 8.
Wordfence
Vulnerability in UpdraftPlus Allowed Subscribers to Download Sensitive Backups
Update: a previous version of this article indicated that an attacker would need to begin their attack when a backup was in progress, and would need to guess the appropriate timestamp to download a backup. Since the article was originally published, we have…
Репутация - тоже монетизируется.
И даже чужая, как в случае с NFT. На продажу в OpenSeas выставлена целая коллекция известных брендов ransomware. Последними забабахали группу вымогателей Conti NFT.
Можете сами оценить 👇👇👇
И даже чужая, как в случае с NFT. На продажу в OpenSeas выставлена целая коллекция известных брендов ransomware. Последними забабахали группу вымогателей Conti NFT.
Можете сами оценить 👇👇👇
OpenSea
master_0x90 - Profile | OpenSea
Check out master_0x90's NFTs on OpenSea, the largest marketplace for crypto collectibles.
Если у вас старенький, дешевенький или не обновлённый Android-девайс, то спешим заверить, что ваш маленький телефончик может быть соучастникам далеко не маленькой ботсети, которую злоумышленники используют для регистрации одноразовых учетных записей.
Анализ сервисов проверки учетной записи с помощью SMS-телефона (Phone-Verified Account, PVA) привел к обнаружению мошеннической платформы, построенной на основе ботнета, включающего тысячи зараженных телефонов Android, использующего службы SMS PVA, которые как раз таки предоставляют пользователям альтернативные мобильные номера и позволяют регистрироваться в различных онлайн-сервисах.
Не для кого не секрет, что подобные услуги активно используются злоумышленниками для массовой регистрации одноразовых учетных записей или создания аккаунтов с подтвержденным телефоном с целью осуществления разного рода преступных действий.
О проблеме достаточно подробно изложили исследователи из Trend Micro в своем отчете, опубликованном на прошлой неделе.
По данным телеметрии большая часть случаев заражений приходится на Индонезию (47 357), за ней следуют Россия (16 157), Таиланд (11 196), Индия (8 109), Франция (5 548), Перу (4 915), Марокко ( 4822 человека), ЮАР (4413 человек), Украина (2920 человек) и Малайзия (2779 человек), а большинство скомпрометированных устройств — это бюджетные телефоны Android производителей Lava, ZTE, Mione, Meizu, Huawei, Oppo и HTC.
Не будем вдаваться в технические детали, но примечательный факт заключался в том, что исследователи выявили сервис состоящий из телефонов Android, зараженных вредоносным ПО для перехвата SMS, которое помимо случайной загрузки пользователем могло быть предварительно загружено на устройство во время производства, что подразумевает компрометацию в цепочке поставок. Кроме того, сервис предоставляет виртуальные номера для регистрации через API и владеет телефонными емкостями, охватывающими более 100 стран.
Вредоносное ПО остается малозаметным, так как собирает только те текстовые сообщения, которые соответствуют запрошенному приложению, что позволяет скрытно осуществлять эту деятельность в течение длительного времени.
Самое печальное, что сервисы SMS PVA в очередной раз подрывают целостность SMS-верификации как основного средства проверки аккаунта, а альтернатив на данный момент для большинства платформ, увы и ах, нет.
Анализ сервисов проверки учетной записи с помощью SMS-телефона (Phone-Verified Account, PVA) привел к обнаружению мошеннической платформы, построенной на основе ботнета, включающего тысячи зараженных телефонов Android, использующего службы SMS PVA, которые как раз таки предоставляют пользователям альтернативные мобильные номера и позволяют регистрироваться в различных онлайн-сервисах.
Не для кого не секрет, что подобные услуги активно используются злоумышленниками для массовой регистрации одноразовых учетных записей или создания аккаунтов с подтвержденным телефоном с целью осуществления разного рода преступных действий.
О проблеме достаточно подробно изложили исследователи из Trend Micro в своем отчете, опубликованном на прошлой неделе.
По данным телеметрии большая часть случаев заражений приходится на Индонезию (47 357), за ней следуют Россия (16 157), Таиланд (11 196), Индия (8 109), Франция (5 548), Перу (4 915), Марокко ( 4822 человека), ЮАР (4413 человек), Украина (2920 человек) и Малайзия (2779 человек), а большинство скомпрометированных устройств — это бюджетные телефоны Android производителей Lava, ZTE, Mione, Meizu, Huawei, Oppo и HTC.
Не будем вдаваться в технические детали, но примечательный факт заключался в том, что исследователи выявили сервис состоящий из телефонов Android, зараженных вредоносным ПО для перехвата SMS, которое помимо случайной загрузки пользователем могло быть предварительно загружено на устройство во время производства, что подразумевает компрометацию в цепочке поставок. Кроме того, сервис предоставляет виртуальные номера для регистрации через API и владеет телефонными емкостями, охватывающими более 100 стран.
Вредоносное ПО остается малозаметным, так как собирает только те текстовые сообщения, которые соответствуют запрошенному приложению, что позволяет скрытно осуществлять эту деятельность в течение длительного времени.
Самое печальное, что сервисы SMS PVA в очередной раз подрывают целостность SMS-верификации как основного средства проверки аккаунта, а альтернатив на данный момент для большинства платформ, увы и ах, нет.
Trend Micro
SMS PVA Services' Use of Infected Android Phones Reveals Flaws in SMS Verification
Forwarded from SecurityLab.ru
Security-новости от Александра Антипова (securitylab.ru). Выпуск #49. Среди тем выпуска:
— Для подписчиков канала мы разыгрываем курс Курс недели Этичный хакинг и тестирование на проникновение от наших друзей УЦ Информазащита.
— Ключ к улучшению кибербезопасности может скрываться в биологии
— Медработники читают медицинские карты перед свиданием
— У ЦРУ есть секретная программа по сбору данных американцев
— Пользователи Gemini лишились $36 млн из-за взлома IRA Financial Trust
— Разработчик iOS-джейлбрейка получил $2 млн за уязвимость в Optimism
— Пентагон создаст платформу для обнаружения спуфинга GPS
— Эксперт: искусственный интеллект уже обладает сознанием
— iPhone предупредит владельца о риске падения в ближайший год
— В Китае смогли передать 1 ТБ данных на 1 км за 1 секунду с помощью вихревых волн
— Intel представила высокопроизводительный чип для майнинга биткоинов
— Объем слияний и поглощений в сфере ИБ в 2021 году достиг $77,5 млрд
— Для подписчиков канала мы разыгрываем курс Курс недели Этичный хакинг и тестирование на проникновение от наших друзей УЦ Информазащита.
— Ключ к улучшению кибербезопасности может скрываться в биологии
— Медработники читают медицинские карты перед свиданием
— У ЦРУ есть секретная программа по сбору данных американцев
— Пользователи Gemini лишились $36 млн из-за взлома IRA Financial Trust
— Разработчик iOS-джейлбрейка получил $2 млн за уязвимость в Optimism
— Пентагон создаст платформу для обнаружения спуфинга GPS
— Эксперт: искусственный интеллект уже обладает сознанием
— iPhone предупредит владельца о риске падения в ближайший год
— В Китае смогли передать 1 ТБ данных на 1 км за 1 секунду с помощью вихревых волн
— Intel представила высокопроизводительный чип для майнинга биткоинов
— Объем слияний и поглощений в сфере ИБ в 2021 году достиг $77,5 млрд
YouTube
$2 млн за найденную уязвимость, ЦРУ скрывало программу слежки от граждан. Security-новости #49 | 12+
👉 Новости об инвестициях в кибербезопасность предоставлены каналом IT’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Security-новости
0:55 Ключ к улучшению кибербезопасности может скрываться в биологии - https://www.securitylab.ru/news/529876.php…
0:00 Security-новости
0:55 Ключ к улучшению кибербезопасности может скрываться в биологии - https://www.securitylab.ru/news/529876.php…
Буквально вчера мы писали о том, что в ближайшее время у Hive начнутся проблемы с клиентурой после публикации результатов Сеульским университетом исследования, в ходе которого были изучены уязвимости алгоритма шифрования и найден метод восстановления зашифрованных данных.
А сегодня вымогатели Hive разместили на свой DLS жертву Hyundai Samho Heavy Industries Co., Ltd в аккурат из Южной Кореи.
А сегодня вымогатели Hive разместили на свой DLS жертву Hyundai Samho Heavy Industries Co., Ltd в аккурат из Южной Кореи.
Twitter
DarkTracer : DarkWeb Criminal Intelligence
[ALERT] Hive ransomware gang has announced "Hyundai Samho Heavy Industries Co.,Ltd. (South Korea)" on the victim list.
Атака ransomware привела к закрытию целой сети Expeditors International.
Базирующаяся в Сиэтле логистическая и экспедиторская компания с оборотом в 10 миллиардов долларов, 350 офисами и штатом в 18 000 сотрудников по всему миру оказывает услуги транспортировки, складирования, распределения и растоможке грузов, а в минувшие выходные подверглась мощной кибератаке.
Компания не сообщает обстоятельств инцидента, но из анонимных источников журналистам издания BleepingComputer все же удалось выяснить, что инцидентом стоят вымогатели. Официально Expeditors лишь объявили о глобальном отключении систем и прекращении логистических операций из-за целенаправленной кибератаки.
Согласно заявлению Expeditors, системы будут работать в автономном режиме до тех пор, пока не завершится восстановление данных из резервных копий. Однако пока нет даже прогнозных оценок, когда это произойдет.
В целом Expeditors характеризует инцидент как «весьма значимое событие», которое «окажет серьезное негативное влияние на бизнес, доходы, результаты операций и репутацию». Кстати все расходы на расследование кибератаки и устранение ее последствий компания намерена погасить самостоятельно, пусть даже в длительной перспективе.
Представители Expeditors International обещают раскрыть детали инцидента сразу по возвращении к нормальному функционированию бизнеса.
Как мы и ожидали, атаки ransomware буду становиться более разрушительными и дорогостоящими (как по вопросу выкупа, так и в плане ущерба).
Базирующаяся в Сиэтле логистическая и экспедиторская компания с оборотом в 10 миллиардов долларов, 350 офисами и штатом в 18 000 сотрудников по всему миру оказывает услуги транспортировки, складирования, распределения и растоможке грузов, а в минувшие выходные подверглась мощной кибератаке.
Компания не сообщает обстоятельств инцидента, но из анонимных источников журналистам издания BleepingComputer все же удалось выяснить, что инцидентом стоят вымогатели. Официально Expeditors лишь объявили о глобальном отключении систем и прекращении логистических операций из-за целенаправленной кибератаки.
Согласно заявлению Expeditors, системы будут работать в автономном режиме до тех пор, пока не завершится восстановление данных из резервных копий. Однако пока нет даже прогнозных оценок, когда это произойдет.
В целом Expeditors характеризует инцидент как «весьма значимое событие», которое «окажет серьезное негативное влияние на бизнес, доходы, результаты операций и репутацию». Кстати все расходы на расследование кибератаки и устранение ее последствий компания намерена погасить самостоятельно, пусть даже в длительной перспективе.
Представители Expeditors International обещают раскрыть детали инцидента сразу по возвращении к нормальному функционированию бизнеса.
Как мы и ожидали, атаки ransomware буду становиться более разрушительными и дорогостоящими (как по вопросу выкупа, так и в плане ущерба).
Инциденты вокруг криптобирж набирают обороты и стоит отдать должное многие представители криптоиндустрии стали по достоинству оценивать финансовые и репутационные риски от угроз информационной безопасности.
Буквально на днях отличилась одна из крупнейших криптовалютных бирж - Coinbase, которая совершила крупнейшую за всю историю выплату вознаграждения - аж целых 250 тыс. долларов — за обнаруженную ошибку способную "подрывать" рынок из-за возможности пользователей продавать криптоактивы, которыми они не владели.
В Coinbase сообщили, что 11 февраля сторонний исследователь Tree_of_Alpha сообщил об угрозе безопасности критического уровня, что вызвало немедленную реакцию биржы на инцидент, а именно были отключил все новые сделки и осуществлен перевод платформы в режим только отмены.
Как известно, проблема крылась в новой функции Advanced Trading, которая позволила бы злоумышленнику продать BTC или любую другую монету, не владея ими, используя два аккаунта на бирже. То есть, злоумышленник мог выставлять ордера на продажу криптовалюты, используя балансы в других монетах, например, он мог «продать» 100 BTC, хотя на его счету было бы лишь 100 SHIB.
В Coinbase заявили, что исправили ошибку менее чем за шесть часов и без каких-либо последствий для средств клиентов.
В принципе поощрение по bug bounty более чем достойное, учитывая вероятный уровень последствий при реализации коварного замысла.
Буквально на днях отличилась одна из крупнейших криптовалютных бирж - Coinbase, которая совершила крупнейшую за всю историю выплату вознаграждения - аж целых 250 тыс. долларов — за обнаруженную ошибку способную "подрывать" рынок из-за возможности пользователей продавать криптоактивы, которыми они не владели.
В Coinbase сообщили, что 11 февраля сторонний исследователь Tree_of_Alpha сообщил об угрозе безопасности критического уровня, что вызвало немедленную реакцию биржы на инцидент, а именно были отключил все новые сделки и осуществлен перевод платформы в режим только отмены.
Как известно, проблема крылась в новой функции Advanced Trading, которая позволила бы злоумышленнику продать BTC или любую другую монету, не владея ими, используя два аккаунта на бирже. То есть, злоумышленник мог выставлять ордера на продажу криптовалюты, используя балансы в других монетах, например, он мог «продать» 100 BTC, хотя на его счету было бы лишь 100 SHIB.
В Coinbase заявили, что исправили ошибку менее чем за шесть часов и без каких-либо последствий для средств клиентов.
В принципе поощрение по bug bounty более чем достойное, учитывая вероятный уровень последствий при реализации коварного замысла.
Объявленный хакерами LeakTheAnalyst крестовый поход продолжается. Взломавшие 5 лет назад Mandiant похоже, что смогли повторить свой успех, атаковав Verint security company.
Вслед за военными данными Израиля и Великобритании, конфиденциальными сведениями Министерства иностранных дел Украины и таиландской телекоммуникационной компании AIS благодаря LeakTheAnalyst в сеть утекли душещипательные разведывательные материалы компании Verint.
Verint Systems - американская компания из Мелвилла, штат Нью-Йорк, в 2021 году имела более 9 800 клиентов в более чем 175 странах и более 4 300 сотрудников. Реализует программные и аппаратные продукты для управления взаимодействием с клиентами, анализа данных, но главное, пожалуй, для безопасности и наблюдения, в том числе предоставляет правоохранительным органам возможность отслеживать и анализировать голос, видео и данные для «огромного числа целей» во всех типах крупных и сложных компьютерных сетей.
В феврале 2021 израильская дочка Verint засветилась в скандале с продажей оборудования для слежки спецслужбам Южного Судана, который устроили Amnesty International, те самые, которые стояли у истоков кампании по дискредитации NSO Group.
Возвращаясь к утечке, хакеры анонсировали внушительный объем документации, которая относится именно к проектам, связанным со шпионскими технологиями, включая документы в отношении проектов Octopus, Purim Spionage, Shavar, Thesseus, Reliant, OPCD, технологий Vantage-x, алгоритмов проникновения в целевую сеть (FLD,EPI,BE), тактической активной сотовой разведки, видеоаналитики (VIS Nextiva), связи и киберразведки (CIS), ситуационного управления (SMC), а также контракты на поставку шпионского ПО и железа для США, Великобритании, Германии, ОАЭ, Японии, Индии, Южной Кореи, Южной Африки.
Кстати, ранее компания уже проходила нечто подобное в 2019 году, когда ей пришлось столнуться с ransomware. Пока что Verint security company никак не комментирует инцидент, при том, что сообщество уже заполоняет твитами эфир по этому поводу.
Вслед за военными данными Израиля и Великобритании, конфиденциальными сведениями Министерства иностранных дел Украины и таиландской телекоммуникационной компании AIS благодаря LeakTheAnalyst в сеть утекли душещипательные разведывательные материалы компании Verint.
Verint Systems - американская компания из Мелвилла, штат Нью-Йорк, в 2021 году имела более 9 800 клиентов в более чем 175 странах и более 4 300 сотрудников. Реализует программные и аппаратные продукты для управления взаимодействием с клиентами, анализа данных, но главное, пожалуй, для безопасности и наблюдения, в том числе предоставляет правоохранительным органам возможность отслеживать и анализировать голос, видео и данные для «огромного числа целей» во всех типах крупных и сложных компьютерных сетей.
В феврале 2021 израильская дочка Verint засветилась в скандале с продажей оборудования для слежки спецслужбам Южного Судана, который устроили Amnesty International, те самые, которые стояли у истоков кампании по дискредитации NSO Group.
Возвращаясь к утечке, хакеры анонсировали внушительный объем документации, которая относится именно к проектам, связанным со шпионскими технологиями, включая документы в отношении проектов Octopus, Purim Spionage, Shavar, Thesseus, Reliant, OPCD, технологий Vantage-x, алгоритмов проникновения в целевую сеть (FLD,EPI,BE), тактической активной сотовой разведки, видеоаналитики (VIS Nextiva), связи и киберразведки (CIS), ситуационного управления (SMC), а также контракты на поставку шпионского ПО и железа для США, Великобритании, Германии, ОАЭ, Японии, Индии, Южной Кореи, Южной Африки.
Кстати, ранее компания уже проходила нечто подобное в 2019 году, когда ей пришлось столнуться с ransomware. Пока что Verint security company никак не комментирует инцидент, при том, что сообщество уже заполоняет твитами эфир по этому поводу.
reddit
LeakTheAnalyst group Leak critical data from Verint security company
Posted in r/InfoSecNews by u/vinetuu21 • 9 points and 3 comments
Дорогие подписчики.
Мы пребываем в легком афиге от происходящего, также как и большинство из вас.
Но вместе с тем, те, кто давно читают наш канал, знают, что мы всегда придерживались позиции: "наши – разведчики, а их – шпионы."
Поэтому хотим обозначить сразу, что в таком ключе и будем освещать инфосек события на фоне текущей ситуации. Просим отнестись с пониманием.
Dixi.
Мы пребываем в легком афиге от происходящего, также как и большинство из вас.
Но вместе с тем, те, кто давно читают наш канал, знают, что мы всегда придерживались позиции: "наши – разведчики, а их – шпионы."
Поэтому хотим обозначить сразу, что в таком ключе и будем освещать инфосек события на фоне текущей ситуации. Просим отнестись с пониманием.
Dixi.
Вымогатели DeadBolt после фиаско с атакой на сетевые хранилища NAS от производителя QNAP нацелились на устройства ASUSTOR.
Вымогатели разводят производителя по той же схеме, предлагая мастер-ключ и детали 0-day за 50 биткойнов (на сумму 1,9 миллиона долларов или информацию об уязвимости за 7,5 биткойнов (на сумму 290 000 долларов). С рядовых клиентов, чьи файлы оказались зашифрованы, DeadBolt требуют выкуп в размере 1150 долларов США в биткойнах.
В ходе шифрования файлов ransomware переименовывает файлы на устройствах ASUSTOR, добавляя к ним расширение deadbolt, а при входе в систему отображается записка о выкупе. При этом DeadBolt отмечают, что другого способа связаться с ними, кроме как произвести платеж в биткойнах, нет.
ASUSTOR не объяснил, как шифруются устройства NAS, пострадавшие их владельцы считают, что это уязвимость в медиасервере PLEX или EZ Connect, которая позволяет получить доступ к их устройствам.
До сих пор непонятен перечень уязвимого для DeadBolt оборудования Неясно, но согласно поступающим отчетам, модели AS6602T, AS-6210T-4K, AS5304T, AS6102T и AS5304T пока что не подвергались атакам.
Возможности восстановить файлы после атак ransomware DeadBolt в настоящее время отсутствуют: единственный способ восстановить файлы — это восстановить их из резервных копий или заплатить выкуп. ASUSTOR намерены выпустить прошивку для восстановления, чтобы пользователи снова могли использовать свои устройства NAS, однако это не поможет восстановить зашифрованные файлы.
При этом производитель настоятельно рекомендует пользователям сделать резервную копию файлов index.cgi и ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАБЛОКИРОВАНЫ DEADBOLT.html перед запуском программного обеспечения для восстановления, поскольку после обновления они будут стёрты.
Эти файлы содержат информацию, необходимую для уплаты выкупа и получения ключа дешифрования, который владельцы затем могут использовать с дешифратором Emsisoft для DeadBolt.
Основываясь на анализе ransomware, специалисты выяснили, что DeadBolt - это вредоносное ПО для Linux, которое использует шаблон для заметки о выкупе, который можно заменить на любого поставщика: «This is not a personal attack. You have been targeted because of the inadequate security provided by your vendor ({VENDOR NAME})».
Следовательно, в ближайшем будущем нас ожидают новые атаки, но уже на других производителей NAS и их владельцев.
Вымогатели разводят производителя по той же схеме, предлагая мастер-ключ и детали 0-day за 50 биткойнов (на сумму 1,9 миллиона долларов или информацию об уязвимости за 7,5 биткойнов (на сумму 290 000 долларов). С рядовых клиентов, чьи файлы оказались зашифрованы, DeadBolt требуют выкуп в размере 1150 долларов США в биткойнах.
В ходе шифрования файлов ransomware переименовывает файлы на устройствах ASUSTOR, добавляя к ним расширение deadbolt, а при входе в систему отображается записка о выкупе. При этом DeadBolt отмечают, что другого способа связаться с ними, кроме как произвести платеж в биткойнах, нет.
ASUSTOR не объяснил, как шифруются устройства NAS, пострадавшие их владельцы считают, что это уязвимость в медиасервере PLEX или EZ Connect, которая позволяет получить доступ к их устройствам.
До сих пор непонятен перечень уязвимого для DeadBolt оборудования Неясно, но согласно поступающим отчетам, модели AS6602T, AS-6210T-4K, AS5304T, AS6102T и AS5304T пока что не подвергались атакам.
Возможности восстановить файлы после атак ransomware DeadBolt в настоящее время отсутствуют: единственный способ восстановить файлы — это восстановить их из резервных копий или заплатить выкуп. ASUSTOR намерены выпустить прошивку для восстановления, чтобы пользователи снова могли использовать свои устройства NAS, однако это не поможет восстановить зашифрованные файлы.
При этом производитель настоятельно рекомендует пользователям сделать резервную копию файлов index.cgi и ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАБЛОКИРОВАНЫ DEADBOLT.html перед запуском программного обеспечения для восстановления, поскольку после обновления они будут стёрты.
Эти файлы содержат информацию, необходимую для уплаты выкупа и получения ключа дешифрования, который владельцы затем могут использовать с дешифратором Emsisoft для DeadBolt.
Основываясь на анализе ransomware, специалисты выяснили, что DeadBolt - это вредоносное ПО для Linux, которое использует шаблон для заметки о выкупе, который можно заменить на любого поставщика: «This is not a personal attack. You have been targeted because of the inadequate security provided by your vendor ({VENDOR NAME})».
Следовательно, в ближайшем будущем нас ожидают новые атаки, но уже на других производителей NAS и их владельцев.
Reddit
From the asustor community on Reddit: Ransomware Attack - Megathread
Explore this post and more from the asustor community
Интересно, как он опенсорс блочить будет.
https://mobile.twitter.com/cyb3rops/status/1496815032738459651
https://mobile.twitter.com/cyb3rops/status/1496815032738459651
Twitter
Florian Roth ⚡️
I consider disabling my free tools on systems with certain language and time zone settings e.g. "Russian" language + timezone somewhere within "Russia" > "sorry, I can't run here" Opinions?
Уязвимость девятилетней давности была обнаружена в программном обеспечении Horde Webmail. Ошибка затрагивает все версии с 30 ноября 2012 года.
Horde Webmail — это бесплатный, готовый к работе корпоративный браузерный коммуникационный пакет, разработанный проектом Horde. Это решение веб-почты широко используется университетами и государственными учреждениями, позволяет пользователям читать, отправлять и упорядочивать сообщения электронной почты, а также управлять календарями, контактами, задачами, заметками, файлами и закладками.
Согласно отчету Sonarsource, уязвимость XSS позволяет получить доступ к учетным записям электронной почты. Злоумышленник может создать документ OpenOffice, который при преобразовании Horde в XHTML для предварительного просмотра может выполнить вредоносную полезную нагрузку JavaScript. Уязвимость срабатывает, когда целевой пользователь просматривает прикрепленный документ OpenOffice в браузере.
Эксплуатация дает злоумышленнику доступ ко всей конфиденциальной информации, которую жертва хранит в своей почте, и может позволить им получить дополнительный доступ к внутренним службам организации. Кроме того, злоумышленник может скомпрометировать учетную запись администратора и захватить сервер веб-почты.
Sonarsource сообщил об этой уязвимости почти 6 месяцев назад, в настоящее время официального патча нет, даже несмотря на подтверждение от поставщика о признании недостатка. Исследователи настоятельно рекомендуют пользователям Horde Webmail отключить рендеринг вложений OpenOffice, отредактировав файл config/mimedrivers.php, добавив параметр конфигурации disable => true.
Horde Webmail — это бесплатный, готовый к работе корпоративный браузерный коммуникационный пакет, разработанный проектом Horde. Это решение веб-почты широко используется университетами и государственными учреждениями, позволяет пользователям читать, отправлять и упорядочивать сообщения электронной почты, а также управлять календарями, контактами, задачами, заметками, файлами и закладками.
Согласно отчету Sonarsource, уязвимость XSS позволяет получить доступ к учетным записям электронной почты. Злоумышленник может создать документ OpenOffice, который при преобразовании Horde в XHTML для предварительного просмотра может выполнить вредоносную полезную нагрузку JavaScript. Уязвимость срабатывает, когда целевой пользователь просматривает прикрепленный документ OpenOffice в браузере.
Эксплуатация дает злоумышленнику доступ ко всей конфиденциальной информации, которую жертва хранит в своей почте, и может позволить им получить дополнительный доступ к внутренним службам организации. Кроме того, злоумышленник может скомпрометировать учетную запись администратора и захватить сервер веб-почты.
Sonarsource сообщил об этой уязвимости почти 6 месяцев назад, в настоящее время официального патча нет, даже несмотря на подтверждение от поставщика о признании недостатка. Исследователи настоятельно рекомендуют пользователям Horde Webmail отключить рендеринг вложений OpenOffice, отредактировав файл config/mimedrivers.php, добавив параметр конфигурации disable => true.
Sonarsource
Horde Webmail 5.2.22 - Account Takeover via Email
We recently discovered a code vulnerability in Horde Webmail that can be used by attackers to take over email accounts by sending a malicious email.
А теперь о прекрасном: китайские исследователи Advanced Cyber Security Research из Pangu Lab основательно расчехлили один из инструментов связанной с подразделением Tailored Access Operations АНБ США АРТ, известной как Equation Group. Причем основательно так, на 50 листах с подробным описанием вредоносного ПО для Linux.
Pangu Lab — исследовательский проект команды Pangu Team, прославившейся своими джейлбрейками для iPhone. В прошлом году эксплойт для iOS принес им 300 000 долларов на китайском хакерском конкурсе.
Бэкдор группировки Equation Group из-за многочисленных ссылок на строку Bvp и числовое значение 0x47 в алгоритме шифрования получил наименование Bvp47 и был впервые обнаружен на системах под управлением Linux в 2013 году при расследовании инцидента, затрагивающего китайскую правительственную организацию.
Анализ инцидента, проведенный Pangu Lab, включал три сервера, один из которых был целью внешней атаки, а два других внутренних компьютера — сервер электронной почты и бизнес-сервер.
Интересный момент отметили исследователи, расследуя вредоносную кампанию Operation Telescreen, связанную с развертыванием Bvp47: использовался тип вредоноса, отличающийся более расширенным поведением скрытого канала, основанным на пакетах TCP SYN, обфускации кода, сокрытии системы и тактике самоуничтожения.
В реальности Bvp47 использовался для осуществления атак на более чем 287 объектов в академическом, экономическом, военном, научном и телекоммуникационном секторах, расположенных в 45 странах, в основном в Китае, Корее, Японии, Германии, Испании, Индии и Мексике. Вредоносное ПО оставалось незамеченным более десяти лет.
Неуловимый бэкдор оснащен функцией удаленного управления, которая защищена с помощью алгоритма шифрования, для активации которого требуется закрытый ключ злоумышленника. В 2016 и 2017 годах хакеры The Shadow Brokers слили внушительный массив данных, предположительно украденных у Equation Group, включая множество хакерских инструментов и эксплойтов. В этих утечках исследователи Pangu Lab как раз и обнаружили обнаружили закрытый ключ, который был им необходим для полного анализа Bvp47.
Bvp47 предназначен для предоставления операторам долгосрочного контроля над скомпрометированными устройствами и включает в себя функционал: руткит, обход функций безопасности, защиту от криминалистики, самоудаление и другие возможности.
Помимо того, что Pangu Lab связывает вредоносное ПО Bvp47 с Equation Group, анализ бэкдора также показывает сходство с другим образцом того же субъекта. Согласно Kaspersky Threat Attribution Engine (KTAE), 34 из 483 строк соответствуют строкам из другого образца, связанного с Equation, для систем Solaris SPARC, который, в свою очередь, имеет 30% сходство с еще одним вредоносным ПО Equation.
Все указывает на то, что вредоносное ПО не использовалось широко, а лишь в узконаправленных атаках. По мнению исследователей, инструмент хорошо спроектирован, мощен и широко адаптирован. Его возможности в рамках сетевых атак с использованием уязвимостей нулевого дня фактически невозможно было предотвратить, а сбор данных под скрытым контролем не требовал больших усилий.
Весь цинк - в отчете Pangu Law с результатами проделанной работы, а главное атрибуцией, чем не могут последнее время похвастаться западные ресерчеры. Рекомендуем, одним словом.
Pangu Lab — исследовательский проект команды Pangu Team, прославившейся своими джейлбрейками для iPhone. В прошлом году эксплойт для iOS принес им 300 000 долларов на китайском хакерском конкурсе.
Бэкдор группировки Equation Group из-за многочисленных ссылок на строку Bvp и числовое значение 0x47 в алгоритме шифрования получил наименование Bvp47 и был впервые обнаружен на системах под управлением Linux в 2013 году при расследовании инцидента, затрагивающего китайскую правительственную организацию.
Анализ инцидента, проведенный Pangu Lab, включал три сервера, один из которых был целью внешней атаки, а два других внутренних компьютера — сервер электронной почты и бизнес-сервер.
Интересный момент отметили исследователи, расследуя вредоносную кампанию Operation Telescreen, связанную с развертыванием Bvp47: использовался тип вредоноса, отличающийся более расширенным поведением скрытого канала, основанным на пакетах TCP SYN, обфускации кода, сокрытии системы и тактике самоуничтожения.
В реальности Bvp47 использовался для осуществления атак на более чем 287 объектов в академическом, экономическом, военном, научном и телекоммуникационном секторах, расположенных в 45 странах, в основном в Китае, Корее, Японии, Германии, Испании, Индии и Мексике. Вредоносное ПО оставалось незамеченным более десяти лет.
Неуловимый бэкдор оснащен функцией удаленного управления, которая защищена с помощью алгоритма шифрования, для активации которого требуется закрытый ключ злоумышленника. В 2016 и 2017 годах хакеры The Shadow Brokers слили внушительный массив данных, предположительно украденных у Equation Group, включая множество хакерских инструментов и эксплойтов. В этих утечках исследователи Pangu Lab как раз и обнаружили обнаружили закрытый ключ, который был им необходим для полного анализа Bvp47.
Bvp47 предназначен для предоставления операторам долгосрочного контроля над скомпрометированными устройствами и включает в себя функционал: руткит, обход функций безопасности, защиту от криминалистики, самоудаление и другие возможности.
Помимо того, что Pangu Lab связывает вредоносное ПО Bvp47 с Equation Group, анализ бэкдора также показывает сходство с другим образцом того же субъекта. Согласно Kaspersky Threat Attribution Engine (KTAE), 34 из 483 строк соответствуют строкам из другого образца, связанного с Equation, для систем Solaris SPARC, который, в свою очередь, имеет 30% сходство с еще одним вредоносным ПО Equation.
Все указывает на то, что вредоносное ПО не использовалось широко, а лишь в узконаправленных атаках. По мнению исследователей, инструмент хорошо спроектирован, мощен и широко адаптирован. Его возможности в рамках сетевых атак с использованием уязвимостей нулевого дня фактически невозможно было предотвратить, а сбор данных под скрытым контролем не требовал больших усилий.
Весь цинк - в отчете Pangu Law с результатами проделанной работы, а главное атрибуцией, чем не могут последнее время похвастаться западные ресерчеры. Рекомендуем, одним словом.
www.pangulab.cn
The Bvp47 - a Top-tier Backdoor of US NSA Equation Group
Ну что же, обстановка на инфосек направлении накаляется.
Вчера последовал ряд DDoS-атак на российские государственные ресурсы и банковские структуры. Некоторые операции проходили с трудом, сами заметили.
Ближе к вечеру официальный сайт Минобороны России mil .ru перестал отвечать IP-адресам, находящимся вне СНГ. Скорее всего произошло огораживание по причине DDoS.
Сегодня о продолжении DDoS-атак заявили власти Крыма.
Anonymous сообщили, что вступают в кибервойну против российского правительства.
Но Anonymous - это фигня, куда опаснее заявление Байдена о том, что если Россия продолжит кибератаки на американские компании и инфраструктуру, то США ответят. Памятуя уровень атрибуции, который царит в последнее время в отчетах западных инфосек компаний, надо понимать, что повод может для киберопераций американцами может быть найден в любой момент. "За булочку! За SolarWinds!"
NBC News сообщает, что спецслужбы предложили Байдену в числе вариантов кибератак нарушение работы сети в России, удары по энергетическому сектору и железным дорогам. И хотя вскоре Псаки опровергла эту новость, полагаем, что такой разговор был.
Реально ли это? Мы думаем, что вполне. У американских трехбуквенных контор есть очень квалифицированные хакеры, куча закладок в аппаратной части и ПО по всему миру и десятки лет опыта проведения кибератак. В России же зачастую - "информационная безопасность за мелкий прайс", особенно в области промышленных OT сетей (хотя тут во всем мире так).
Тем не менее количество и качество российских специалистов в инфосек прекрасное, при желании и наличии политической воли все эти проблемы решаемы.
Перейдем в Telegram.
Некоторые инфосек каналы весьма однозначно "окрасили себя в те цвета, в которые они себя окрасили" (с) Ну, пусть остается на их совести. Мы лично никого люстрировать не призываем.
Другой, более важный, момент - со вчерашнего вечера в ряд российских ТГ-каналов начали массово заливать ботов.
Если кто не знает - это делается, как правило, для последующего бана канала администрацией Telegram. Саму схему расписывать не будем, но она есть.
Канал Незыгарь.Brief (https://news.1rj.ru/str/russicabrief) ночью лишился своей короткой ссылки, пытаясь предотвратить подлив ботов (ситуация известная, не следует уводить канал в приват).
Также боты пришли и на ряд дружественных нам инфосек каналов. Поэтому если вы видите, что у вас аномально растут подписчики, то в первую очередь уведомите администрацию Telegram. А во вторую - начинайте вычищать ботов руками. Опционально - можно сообщить об этом своей аудитории.
А мы лишь вспомним свои же вангования двухлетней давности (правда мы не предполагали наличие реальных боевых действий, но все равно похоже).
Это приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется.
Вчера последовал ряд DDoS-атак на российские государственные ресурсы и банковские структуры. Некоторые операции проходили с трудом, сами заметили.
Ближе к вечеру официальный сайт Минобороны России mil .ru перестал отвечать IP-адресам, находящимся вне СНГ. Скорее всего произошло огораживание по причине DDoS.
Сегодня о продолжении DDoS-атак заявили власти Крыма.
Anonymous сообщили, что вступают в кибервойну против российского правительства.
Но Anonymous - это фигня, куда опаснее заявление Байдена о том, что если Россия продолжит кибератаки на американские компании и инфраструктуру, то США ответят. Памятуя уровень атрибуции, который царит в последнее время в отчетах западных инфосек компаний, надо понимать, что повод может для киберопераций американцами может быть найден в любой момент. "За булочку! За SolarWinds!"
NBC News сообщает, что спецслужбы предложили Байдену в числе вариантов кибератак нарушение работы сети в России, удары по энергетическому сектору и железным дорогам. И хотя вскоре Псаки опровергла эту новость, полагаем, что такой разговор был.
Реально ли это? Мы думаем, что вполне. У американских трехбуквенных контор есть очень квалифицированные хакеры, куча закладок в аппаратной части и ПО по всему миру и десятки лет опыта проведения кибератак. В России же зачастую - "информационная безопасность за мелкий прайс", особенно в области промышленных OT сетей (хотя тут во всем мире так).
Тем не менее количество и качество российских специалистов в инфосек прекрасное, при желании и наличии политической воли все эти проблемы решаемы.
Перейдем в Telegram.
Некоторые инфосек каналы весьма однозначно "окрасили себя в те цвета, в которые они себя окрасили" (с) Ну, пусть остается на их совести. Мы лично никого люстрировать не призываем.
Другой, более важный, момент - со вчерашнего вечера в ряд российских ТГ-каналов начали массово заливать ботов.
Если кто не знает - это делается, как правило, для последующего бана канала администрацией Telegram. Саму схему расписывать не будем, но она есть.
Канал Незыгарь.Brief (https://news.1rj.ru/str/russicabrief) ночью лишился своей короткой ссылки, пытаясь предотвратить подлив ботов (ситуация известная, не следует уводить канал в приват).
Также боты пришли и на ряд дружественных нам инфосек каналов. Поэтому если вы видите, что у вас аномально растут подписчики, то в первую очередь уведомите администрацию Telegram. А во вторую - начинайте вычищать ботов руками. Опционально - можно сообщить об этом своей аудитории.
А мы лишь вспомним свои же вангования двухлетней давности (правда мы не предполагали наличие реальных боевых действий, но все равно похоже).
Это приведет лишь к тому, что в конце концов сеть будет жестко сегментирована по геополитическому принципу и между различными кластерами будут летать такие кибер-плюхи, что мало никому не покажется.
Интерфакс
Хакеры снова атаковали IT-инфраструктуру правительства Крыма
IT-инфраструктура органов власти Крыма второй день подвергается DDoS-атаке, сообщили "Интерфаксу" в АО "Крымтехнологии".
На этой неделе Cisco выпустили исправления для 4 уязвимостей в своих сетевых операционных системах FXOS и NX-OS, включая одну ошибку отказа в обслуживании.
Самая серьезная CVE-2022-20650 с CVSS 8,8 можно использовать удаленно, без аутентификации для выполнения произвольных команд от имени пользователя root.
Ошибка возникает из-за того, что предоставленные пользователем данные недостаточно проверяются, что позволяет злоумышленнику отправить созданный HTTP-запрос POST к функции NX-API на уязвимом устройстве для выполнения команд в операционной системе. При этом, как отмечает Cisco, функция NX-API по умолчанию отключена.
Коммутаторы Nexus серий 3000, 5500, 5600, 6000 и 9000 подвержены этой уязвимости, если на них установлена неисправленная версия программного обеспечения NX-OS и включена функция NX-API.
Все три оставшиеся уязвимости могут быть использованы для создания условий отказа в обслуживании (DoS).
Одну из уязвимостей обнаружило АНБ США, по его информации - ошибка влияет на функцию Fabric Services over IP (CFSoIP) в NX-OS. CVE-2022-20624 обусловлена тем, что входящие пакеты CFSoIP недостаточно проверяются, что позволяет злоумышленнику отправлять специально созданные пакеты для ее эксплуатации.
Бага затрагивает Nexus серий 3000 и 9000 и UCS серии 6400, если включен CFSoIP (эта функция отключена по умолчанию). Дополнительной информацией об уязвимости при этом АНБ не поделилось.
Другая CVE-2022-20623 была обнаружена в ограничителе скорости для трафика (BFD) NX-OS и может быть использована удаленно, без аутентификации. Затронуты только коммутаторы серии Nexus 9000 в автономном режиме NX-OS.
Уязвимость существует из-за логической ошибки в функции ограничителя скорости BFD и может быть использована путем отправки созданного потока трафика через уязвимое устройство, что приводит к возникновению DoS.
Cisco также объявила о выпуске дополнительного исправления DoS-уязвимости (CVE-2021-1586), которую она первоначально устранила в августе 2021 года в сетевых конфигурациях Multi-Pod или Multi-Site для коммутаторов Nexus серии 9000 (в режиме Application Centric Infrastructure (ACI). Проблема возникает из-за неправильной очистки TCP-трафика, отправляемого на определенный порт, что позволяет злоумышленнику отправлять специально созданные данные.
Cisco рекомендует клиентам применить последние исправления для своих устройств, которые были выпущены в рамках полугодовых обновлений безопасности FXOS и NX-OS за февраль 2022 года. Поддержим и добавим, что ошибки активно используются в дикой природе.
Самая серьезная CVE-2022-20650 с CVSS 8,8 можно использовать удаленно, без аутентификации для выполнения произвольных команд от имени пользователя root.
Ошибка возникает из-за того, что предоставленные пользователем данные недостаточно проверяются, что позволяет злоумышленнику отправить созданный HTTP-запрос POST к функции NX-API на уязвимом устройстве для выполнения команд в операционной системе. При этом, как отмечает Cisco, функция NX-API по умолчанию отключена.
Коммутаторы Nexus серий 3000, 5500, 5600, 6000 и 9000 подвержены этой уязвимости, если на них установлена неисправленная версия программного обеспечения NX-OS и включена функция NX-API.
Все три оставшиеся уязвимости могут быть использованы для создания условий отказа в обслуживании (DoS).
Одну из уязвимостей обнаружило АНБ США, по его информации - ошибка влияет на функцию Fabric Services over IP (CFSoIP) в NX-OS. CVE-2022-20624 обусловлена тем, что входящие пакеты CFSoIP недостаточно проверяются, что позволяет злоумышленнику отправлять специально созданные пакеты для ее эксплуатации.
Бага затрагивает Nexus серий 3000 и 9000 и UCS серии 6400, если включен CFSoIP (эта функция отключена по умолчанию). Дополнительной информацией об уязвимости при этом АНБ не поделилось.
Другая CVE-2022-20623 была обнаружена в ограничителе скорости для трафика (BFD) NX-OS и может быть использована удаленно, без аутентификации. Затронуты только коммутаторы серии Nexus 9000 в автономном режиме NX-OS.
Уязвимость существует из-за логической ошибки в функции ограничителя скорости BFD и может быть использована путем отправки созданного потока трафика через уязвимое устройство, что приводит к возникновению DoS.
Cisco также объявила о выпуске дополнительного исправления DoS-уязвимости (CVE-2021-1586), которую она первоначально устранила в августе 2021 года в сетевых конфигурациях Multi-Pod или Multi-Site для коммутаторов Nexus серии 9000 (в режиме Application Centric Infrastructure (ACI). Проблема возникает из-за неправильной очистки TCP-трафика, отправляемого на определенный порт, что позволяет злоумышленнику отправлять специально созданные данные.
Cisco рекомендует клиентам применить последние исправления для своих устройств, которые были выпущены в рамках полугодовых обновлений безопасности FXOS и NX-OS за февраль 2022 года. Поддержим и добавим, что ошибки активно используются в дикой природе.
Forwarded from Social Engineering
🔖 S.E.Подборка. HackTheBox CTF Cheatsheet. RU.
Единственный способ стать умнее — играть с более умным противником.
Hack The Box. Уровень Easy:
• Прохождение Traceback. Бэкдор, LUA, SSH.
• Прохождение Omni. Ломаем легенький Windows IoT.
• Прохождение Buff. RCE в CMS Gym и в CloudMe.
• Прохождение Tabby. RCE в Tomcat, и повышаем привилегии через LXD.
• Прохождение Blunder. Ломаем Bludit CMS.
• Прохождение Remote. NFS, RCE в CMS Umbraco и LPE через UsoSvc.
• Прохождение Sauna. LDAP, AS-REP Roasting, AutoLogon, DCSync атака.
• Прохождение Nest. NTFS потоки, реверс C# и бродилка по SMB.
• Прохождение Traverxec. RCE в веб-сервере nostromo, техника GTFOBins.
• Прохождение Forest. AS-REP Roasting, атаки DCSync и Pass-The-Hash.
• Прохождение Postman. Redis и WebMin.
Hack The Box. Уровень Medium:
• Прохождение лаборатории Professional Offensive Operations. Пентест Active Directory.
• Прохождение Monteverde. Брут SMB и LPE через Azure Admins.
• Прохождение OpenKeys. Ломаем виртуалку OpenBSD.
• Прохождение SneakyMailer. Фишинговая рассылка, LPE через PyPI и GTFOBins pip3.
• Прохождение Fuse. RPC, принтеры и опасная привилегия SeLoadDriverPrivilege.
• Прохождение Cache. RCE в OpenEMR, memcached и docker.
• Прохождение Admirer. Уязвимость в Admirer и RCE через подмену переменной среды.
• Прохождение Magic. Password spraying. Mysqldump и LPE через sysinfo.
• Прохождение Cascade. LDAP и удаленные объекты Active Directory.
• Прохождение Book. XSS to LFI через PDF и LPE через Logrotate.
• Прохождение Resolute. Password spraying. От DnsAdmin до SYSTEM.
• Прохождение Obscurity. OS Command Injection и Race Condition.
• Прохождение Mango. NoSQL инъекция и LPE через JJS.
• Прохождение Sniper. RFI и вредоносный CHM документ.
• Прохождение Bitlab. Слабая JS обфускация, GIT и реверс Windows приложения.
Hack The Box. Уровень Hard:
• Прохождение Compromised. RCE LiteCart и бэкдор pam_unix.
• Прохождение Unbalanced. Rsync, EncFS, Squid, XPath инъекция и RCE в Pi-hole.
• Прохождение Intanse. Flask, атака HLE, SQL инъекция, SNMP to RCE, Ret2Libc.
• Прохождение Blackfield. Захват контроллера домена через SMB и RPC, LPE через теневую копию.
• Прохождение Travel. Memcache+SSRF=RCE, LPE через LDAP.
• Прохождение Quick. QUIC HTTP/3, XSLT инъекция, Race condition.
• Прохождение Oouch. OAuth2, RCE в uWSGI и LPE через DBUS.
• Прохождение Forwardslash. LFI, backup и шифрованный том.
• Прохождение Control. SQL инъекция и LPE через права на службу.
• Прохождение Registry. Docker, RCE в CMS Bolt и Restic.
• Прохождение Scavenger. DNS, FTP и следы другого взлома.
• Прохождение Zetta. FXP, IPv6, rsync, Postgres и SQLi.
• Прохождение RE. Metasploit, нагрузка в офисном документе, Zip Slip атака, немного о PowerSploit и токенах.
Hack The Box. Уровень Insane:
• Прохождение Laser. Jetdirect, RPC и кража SSH.
• Прохождение Dyplesher. Memcached, Gogs, RCE через создание плагина и LPE через AMQP.
• Прохождение Multimaster. Burp+Sqlmap. AD users from MSSQL. Уязвимость в VSCode. AMSI bypass и CVE ZeroLogon.
• Прохождение Fatty. Реверс и рекомпиляция клиент-серверного приложения. Java десериализация.
• Прохождение PlayerTwo. Twirp, 2FA bypass, Off-By-One атака.
• Прохождение Rope. PWN. Форматные строки и ROP используя pwntools.
• Прохождение Bankrobber. XSS, SQL инъекция, CSRF, port forwarding.
Дополнительная информация:
• https://github.com/Ignitetechnologies/HackTheBox-CTF-Writeups
• https://github.com/Ignitetechnologies/Privilege-Escalation
• https://github.com/Ignitetechnologies/Vulnhub-CTF-Writeups
• https://github.com/Ignitetechnologies/TryHackMe-CTF-Writeups
• Полный список #CTF площадок, можешь найти тут: https://news.1rj.ru/str/Social_engineering/1316
Твой S.E. #Пентест #CTF
Единственный способ стать умнее — играть с более умным противником.
🖖🏻 Приветствую тебя user_name.
• Собрал хорошую и большую подборку прохождений HTB, которая поможет прокачать твой скилл и получить новые знания в различных аспектах пентеста. Подборку разделил по уровням сложности, надеюсь будет полезно:Hack The Box. Уровень Easy:
• Прохождение Traceback. Бэкдор, LUA, SSH.
• Прохождение Omni. Ломаем легенький Windows IoT.
• Прохождение Buff. RCE в CMS Gym и в CloudMe.
• Прохождение Tabby. RCE в Tomcat, и повышаем привилегии через LXD.
• Прохождение Blunder. Ломаем Bludit CMS.
• Прохождение Remote. NFS, RCE в CMS Umbraco и LPE через UsoSvc.
• Прохождение Sauna. LDAP, AS-REP Roasting, AutoLogon, DCSync атака.
• Прохождение Nest. NTFS потоки, реверс C# и бродилка по SMB.
• Прохождение Traverxec. RCE в веб-сервере nostromo, техника GTFOBins.
• Прохождение Forest. AS-REP Roasting, атаки DCSync и Pass-The-Hash.
• Прохождение Postman. Redis и WebMin.
Hack The Box. Уровень Medium:
• Прохождение лаборатории Professional Offensive Operations. Пентест Active Directory.
• Прохождение Monteverde. Брут SMB и LPE через Azure Admins.
• Прохождение OpenKeys. Ломаем виртуалку OpenBSD.
• Прохождение SneakyMailer. Фишинговая рассылка, LPE через PyPI и GTFOBins pip3.
• Прохождение Fuse. RPC, принтеры и опасная привилегия SeLoadDriverPrivilege.
• Прохождение Cache. RCE в OpenEMR, memcached и docker.
• Прохождение Admirer. Уязвимость в Admirer и RCE через подмену переменной среды.
• Прохождение Magic. Password spraying. Mysqldump и LPE через sysinfo.
• Прохождение Cascade. LDAP и удаленные объекты Active Directory.
• Прохождение Book. XSS to LFI через PDF и LPE через Logrotate.
• Прохождение Resolute. Password spraying. От DnsAdmin до SYSTEM.
• Прохождение Obscurity. OS Command Injection и Race Condition.
• Прохождение Mango. NoSQL инъекция и LPE через JJS.
• Прохождение Sniper. RFI и вредоносный CHM документ.
• Прохождение Bitlab. Слабая JS обфускация, GIT и реверс Windows приложения.
Hack The Box. Уровень Hard:
• Прохождение Compromised. RCE LiteCart и бэкдор pam_unix.
• Прохождение Unbalanced. Rsync, EncFS, Squid, XPath инъекция и RCE в Pi-hole.
• Прохождение Intanse. Flask, атака HLE, SQL инъекция, SNMP to RCE, Ret2Libc.
• Прохождение Blackfield. Захват контроллера домена через SMB и RPC, LPE через теневую копию.
• Прохождение Travel. Memcache+SSRF=RCE, LPE через LDAP.
• Прохождение Quick. QUIC HTTP/3, XSLT инъекция, Race condition.
• Прохождение Oouch. OAuth2, RCE в uWSGI и LPE через DBUS.
• Прохождение Forwardslash. LFI, backup и шифрованный том.
• Прохождение Control. SQL инъекция и LPE через права на службу.
• Прохождение Registry. Docker, RCE в CMS Bolt и Restic.
• Прохождение Scavenger. DNS, FTP и следы другого взлома.
• Прохождение Zetta. FXP, IPv6, rsync, Postgres и SQLi.
• Прохождение RE. Metasploit, нагрузка в офисном документе, Zip Slip атака, немного о PowerSploit и токенах.
Hack The Box. Уровень Insane:
• Прохождение Laser. Jetdirect, RPC и кража SSH.
• Прохождение Dyplesher. Memcached, Gogs, RCE через создание плагина и LPE через AMQP.
• Прохождение Multimaster. Burp+Sqlmap. AD users from MSSQL. Уязвимость в VSCode. AMSI bypass и CVE ZeroLogon.
• Прохождение Fatty. Реверс и рекомпиляция клиент-серверного приложения. Java десериализация.
• Прохождение PlayerTwo. Twirp, 2FA bypass, Off-By-One атака.
• Прохождение Rope. PWN. Форматные строки и ROP используя pwntools.
• Прохождение Bankrobber. XSS, SQL инъекция, CSRF, port forwarding.
Дополнительная информация:
• https://github.com/Ignitetechnologies/HackTheBox-CTF-Writeups
• https://github.com/Ignitetechnologies/Privilege-Escalation
• https://github.com/Ignitetechnologies/Vulnhub-CTF-Writeups
• https://github.com/Ignitetechnologies/TryHackMe-CTF-Writeups
• Полный список #CTF площадок, можешь найти тут: https://news.1rj.ru/str/Social_engineering/1316
Твой S.E. #Пентест #CTF