Война войной, а ransomware по расписанию.
Nvidia стала жертвой атаки вымогателей, которая вывела из строя некоторые из его систем на несколько дней. Как позже выяснилось, Lapsus$ похитили из сети Nvidia более 1 ТБ данных. В качестве доказательств вымогатели слили хэши паролей всех сотрудников компании.
Сам производитель не делится подробностями, заявляя лишь, что ведет расследование инцидента и не располагает дополнительной информацией, которой можно было бы поделиться, а деловая и коммерческая деятельность продолжается непрерывно.
Закрытие сети McDonald's на Украине сразу после начала военной операции ВС РФ ознаменовалось также и отключением части их информационных систем в результате атаки вымогателей Snatch. Теперь их 500 ГБ уже висят на DLS в ожидании свободной кассы.
Nvidia стала жертвой атаки вымогателей, которая вывела из строя некоторые из его систем на несколько дней. Как позже выяснилось, Lapsus$ похитили из сети Nvidia более 1 ТБ данных. В качестве доказательств вымогатели слили хэши паролей всех сотрудников компании.
Сам производитель не делится подробностями, заявляя лишь, что ведет расследование инцидента и не располагает дополнительной информацией, которой можно было бы поделиться, а деловая и коммерческая деятельность продолжается непрерывно.
Закрытие сети McDonald's на Украине сразу после начала военной операции ВС РФ ознаменовалось также и отключением части их информационных систем в результате атаки вымогателей Snatch. Теперь их 500 ГБ уже висят на DLS в ожидании свободной кассы.
TechCrunch
Nvidia confirms it is investigating a cybersecurity incident
The chipmaker says its business and commercial activities continue uninterrupted.
NHS Digital предупреждает об RCE в Windows-клиенте для платформы управления аутентификацией Okta Advanced Server Access.
Решение обеспечивает управление идентификацией и доступом Zero Trust для облачной и локальной инфраструктуры, его используют тысячи компаний по всему миру.
Уязвимость удаленного выполнения кода CVE-2022-24295 и характерна всем версиям ПО до 1.57.0 включительно. Удаленный злоумышленник, не прошедший проверку подлинности, может активировать уязвимость, отправив специально созданный URL-адрес.
Успешная эксплуатация уязвимости может привести к полному захвату системы. Поставщик пока не предоставил технических подробностей ошибки, пытаясь избежать ее злонамеренного использования в дикой природе.
NHS Digital рекомендует поскорее установить исправления и отмечает отсутствие обходных путей для вновь выявленной уязвимости. Кроме того, вновь вышедший бюллетень NHS Digital также содержит обновленные рекомендации относительно уязвимостей Log4Shell (CVE-2021-45105, CVE-2021-45046 и CVE-2021-44228) в Okta.
Решение обеспечивает управление идентификацией и доступом Zero Trust для облачной и локальной инфраструктуры, его используют тысячи компаний по всему миру.
Уязвимость удаленного выполнения кода CVE-2022-24295 и характерна всем версиям ПО до 1.57.0 включительно. Удаленный злоумышленник, не прошедший проверку подлинности, может активировать уязвимость, отправив специально созданный URL-адрес.
Успешная эксплуатация уязвимости может привести к полному захвату системы. Поставщик пока не предоставил технических подробностей ошибки, пытаясь избежать ее злонамеренного использования в дикой природе.
NHS Digital рекомендует поскорее установить исправления и отмечает отсутствие обходных путей для вновь выявленной уязвимости. Кроме того, вновь вышедший бюллетень NHS Digital также содержит обновленные рекомендации относительно уязвимостей Log4Shell (CVE-2021-45105, CVE-2021-45046 и CVE-2021-44228) в Okta.
NHS Digital
Okta Releases Security Updates for Advanced Server Client for Windows - NHS Digital
Security update addresses a remote code execution vulnerability
Шум вокруг NSO Group, а также череда скандалов и разоблачений после публикаций израильской деловой газетой Calcalist о неправомерности использования шпионского ПО приобретает новый оборот. Из позиции постоянно оправдывающихся мальчиков для битья в компании решили ответить и подать иск на газету за клевету.
Израильская технологическая компания внимательно изучила опубликованные израильской газетой серию взрывных статей, в которых утверждалось, что израильская полиция незаконно использовала шпионское ПО в отношении десятков общественных деятелей и таки нашла некоторые не состыковки, а точнее откровенную ложь.
Иск NSO нацелен на конкретную статью, в которой говорится, что компания разрешила клиентам удалять следы использования ими шпионского ПО. Кроме того с учетом растущей негативной реакцией на свой продукт, компания вовсе поставила под сомнение общую достоверность отчетов, назвав серию статей «односторонней, предвзятой и ложной» и что "не каждое журналистское расследование с сенсационным заголовком об NSO действительно основано на фактах".
За свое оклеветание NSO потребовала возмещения ущерба в размере 1 миллиона шекелей (310 000 долларов), которое, как заявили в компании будет направлено на благотворительность.
Мы ранее писали о публикациях Calcalist в которых утверждается, что полиция шпионила за политиками, протестующими и даже членами ближайшего окружения бывшего премьер-министра Биньямина Нетаньяху, включая одного из его сыновей еще и без судебного ордера. Но расследование, проведенное заместителем генерального прокурора Израиля, не нашло доказательств в поддержку этих утверждений.
NSO по прежнему заявляет, что продает продукт исключительным государственным организациям для борьбы с преступностью и терроризмом, при этом все продажи регулируются правительством Израиля. Кроме того, компания не идентифицирует своих клиентов и говорит, что не знает, кто является мишенью.
Так что вполне вероятно, что за громкие заголовки газеты Calcalist таки придется рассчитаться.
Израильская технологическая компания внимательно изучила опубликованные израильской газетой серию взрывных статей, в которых утверждалось, что израильская полиция незаконно использовала шпионское ПО в отношении десятков общественных деятелей и таки нашла некоторые не состыковки, а точнее откровенную ложь.
Иск NSO нацелен на конкретную статью, в которой говорится, что компания разрешила клиентам удалять следы использования ими шпионского ПО. Кроме того с учетом растущей негативной реакцией на свой продукт, компания вовсе поставила под сомнение общую достоверность отчетов, назвав серию статей «односторонней, предвзятой и ложной» и что "не каждое журналистское расследование с сенсационным заголовком об NSO действительно основано на фактах".
За свое оклеветание NSO потребовала возмещения ущерба в размере 1 миллиона шекелей (310 000 долларов), которое, как заявили в компании будет направлено на благотворительность.
Мы ранее писали о публикациях Calcalist в которых утверждается, что полиция шпионила за политиками, протестующими и даже членами ближайшего окружения бывшего премьер-министра Биньямина Нетаньяху, включая одного из его сыновей еще и без судебного ордера. Но расследование, проведенное заместителем генерального прокурора Израиля, не нашло доказательств в поддержку этих утверждений.
NSO по прежнему заявляет, что продает продукт исключительным государственным организациям для борьбы с преступностью и терроризмом, при этом все продажи регулируются правительством Израиля. Кроме того, компания не идентифицирует своих клиентов и говорит, что не знает, кто является мишенью.
Так что вполне вероятно, что за громкие заголовки газеты Calcalist таки придется рассчитаться.
В результате киберинцидента крупнейший японский автопроизводитель Toyota Motors был вынужден остановить производство. Дочерние компании автопроизводителя Daihatsu Motors и Hino Motors также прекращают работу.
Атаке подвергся ее поставщик - Kojima Industries, японский производитель пластиковых компонентов, которые имеют решающее значение для производства автомобилей.
Toyota заявила, что приостановлена работа 28 производственных линий на 14 заводах в Японии, начиная с 1 марта 2022 года. Прогнозируемый ущерб — снижение ежемесячного производства Toyota в Японии на 5%, что составляет примерно 13 000 единиц.
Подробностей инцидента не сообщается, все признаки указывают на ransomware. На руку хакерам сыграл также главный производственный принцип Toyota - just in time (JIT), поставивший технологический процесс в жёсткую систему поставок, главное звено которого как раз и было нарушено.
И даже в этой казалось сугубо инфосековской истории, западные ресерчеры и журналисты, первым делом, пытаются увязать инцидент ответными мерами Москвы на санкции Японии. Отвечая на вопросы прессы, премьер-министр Фумио Кисида заявил по этому поводу, что на данный момент подтверждений связи с Россией нет.
С сожалением констатируем, что еще задолго до известных событий на Украине, стало возникать все больше вопросов к западному инфосек-сообществу, напрочь позабывшему такое понятие как атрибуция.
Но после начала военной операции ВС РФ все стало еще печальнее, ведь те самые исследователи, призванные бороться с киберугрозами и стоять на страже информационной безопасности, стали и вовсе поощрять атаки и прочие киберпровокации, которые развернула украинская сторона. Отличный пример двуличия показал небезызвестный Кребс, публично поддержавший кибератаки украинских хакеров в отношении объектов государственного и коммерческого сектора РФ.
К еще большему сожалению, вынуждены признать, что этические и профессиональные принципы отрасли, по всей видимости, также утратили какое-либо значение для западных коллег.
Атаке подвергся ее поставщик - Kojima Industries, японский производитель пластиковых компонентов, которые имеют решающее значение для производства автомобилей.
Toyota заявила, что приостановлена работа 28 производственных линий на 14 заводах в Японии, начиная с 1 марта 2022 года. Прогнозируемый ущерб — снижение ежемесячного производства Toyota в Японии на 5%, что составляет примерно 13 000 единиц.
Подробностей инцидента не сообщается, все признаки указывают на ransomware. На руку хакерам сыграл также главный производственный принцип Toyota - just in time (JIT), поставивший технологический процесс в жёсткую систему поставок, главное звено которого как раз и было нарушено.
И даже в этой казалось сугубо инфосековской истории, западные ресерчеры и журналисты, первым делом, пытаются увязать инцидент ответными мерами Москвы на санкции Японии. Отвечая на вопросы прессы, премьер-министр Фумио Кисида заявил по этому поводу, что на данный момент подтверждений связи с Россией нет.
С сожалением констатируем, что еще задолго до известных событий на Украине, стало возникать все больше вопросов к западному инфосек-сообществу, напрочь позабывшему такое понятие как атрибуция.
Но после начала военной операции ВС РФ все стало еще печальнее, ведь те самые исследователи, призванные бороться с киберугрозами и стоять на страже информационной безопасности, стали и вовсе поощрять атаки и прочие киберпровокации, которые развернула украинская сторона. Отличный пример двуличия показал небезызвестный Кребс, публично поддержавший кибератаки украинских хакеров в отношении объектов государственного и коммерческого сектора РФ.
К еще большему сожалению, вынуждены признать, что этические и профессиональные принципы отрасли, по всей видимости, также утратили какое-либо значение для западных коллег.
Toyota Motor Corporation Official Global Website
March Production Plan (as of February 28) | Corporate | Global Newsroom | Toyota Motor Corporation Official Global Website
Due to a system failure at a domestic supplier (KOJIMA INDUSTRIES CORPORATION), we have decided to suspend the operation of 28 lines at 14 plants in Japan on Tuesday, March 1st (both 1st and 2nd shifts). We apologize to our relevant suppliers and customers…
Forwarded from S.E.Reborn
APT-атаки на промышленные компании во второй половине 2021 года.
Обзор основных APT-атак на промышленные организации, сведения о которых были опубликованы во второй половине 2021 года.
Обзор основных APT-атак на промышленные организации, сведения о которых были опубликованы во второй половине 2021 года.
Kaspersky ICS CERT | Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского»
APT-атаки на промышленные компании во второй половине 2021 года | Kaspersky ICS CERT
Обзор основных APT-атак на промышленные организации, сведения о которых были опубликованы во второй половине 2021 года.
Немного о ситуации, связанной с проведением ВС РФ военной операции на Украине. Инцидентов становится катастрофически много. К сожалению, про все, что фиксируем писать не сможем. Остановимся на значимых событиях.
Потасовка среди вымогателей продолжается.
Первоначально заявившие о поддержке России Conti, впоследствии смягчившие свою риторику в интересах бизнеса, попали под информационную атаку оппонентов, которые опубличили данные о заработках хакеров, начиная с 2017 года. Как мы предполагали, цифры оказались в 5 и более раз выше, нежели официально заявленные ресерчерами. За пять лет Conti, если верить сливу, заработали 65,498.197 BTC или 2,7 млрд. USD. Что подтверждает нашу версию о высокой латентности инцидентов с использованием ransomware. Не слив - а, пожалуй, неплохая реклама.
Под всеобщее ликование представителей западного инфосека Украина фактически легализовала преступные компьютерные атаки с использованием своей народной IT-армии, что фактически равносильно тому, как они легализовали в своей стране незаконный оборот оружия, раздавая его всем желающим. Результатом такой кибервакханалии стали атаки на российские компании и инфраструктуру. Так, клиенты аптечной сети Озерки получили push-уведомления с провокационным содержанием.
В ответ на агрессию украинских хакеров, группировка Killnet, на счету которых атаки на сайты Anonymous и Правого сектора (запрещённой в России организации), выпустила обращение в поддержку действий России и ее интересов в киберпространстве. Killnet посоветовал Anonymous заняться починкой своего сервера, а россиянам не переживать.
Отдельного внимания также заслуживают зарубежные хостеры и регистраторы, которые своими «частными санкциями» в поддержку Украины, начинают аннулировать регистрацию (после прекращения срока подписки) и прекращать предоставление соответствующих услуг в ru-сегмент. Уведомления от недружественных операторов уже стали поступать российским пользователям.
В новых санкционных реалиях Минцифры РФ отметило одним из приоритетных направлений - развитие российской IT-отрасли, для чего подготовило перечень первоочередных мер поддержки. Решено расширить налоговые преференции и в некоторых случаях освободить сотрудников и компании от уплаты налогов и проверок, предоставить айтишникам льготную ипотеку со ставкой 5%, упростить бюрократические механизмы для иностранных специалистов, финансировать разработку и развитие IT-продукции, обеспечить ускоренное импортозамещение, а также создать в России аналог репозитория открытого ПО GitHub.
Потасовка среди вымогателей продолжается.
Первоначально заявившие о поддержке России Conti, впоследствии смягчившие свою риторику в интересах бизнеса, попали под информационную атаку оппонентов, которые опубличили данные о заработках хакеров, начиная с 2017 года. Как мы предполагали, цифры оказались в 5 и более раз выше, нежели официально заявленные ресерчерами. За пять лет Conti, если верить сливу, заработали 65,498.197 BTC или 2,7 млрд. USD. Что подтверждает нашу версию о высокой латентности инцидентов с использованием ransomware. Не слив - а, пожалуй, неплохая реклама.
Под всеобщее ликование представителей западного инфосека Украина фактически легализовала преступные компьютерные атаки с использованием своей народной IT-армии, что фактически равносильно тому, как они легализовали в своей стране незаконный оборот оружия, раздавая его всем желающим. Результатом такой кибервакханалии стали атаки на российские компании и инфраструктуру. Так, клиенты аптечной сети Озерки получили push-уведомления с провокационным содержанием.
В ответ на агрессию украинских хакеров, группировка Killnet, на счету которых атаки на сайты Anonymous и Правого сектора (запрещённой в России организации), выпустила обращение в поддержку действий России и ее интересов в киберпространстве. Killnet посоветовал Anonymous заняться починкой своего сервера, а россиянам не переживать.
Отдельного внимания также заслуживают зарубежные хостеры и регистраторы, которые своими «частными санкциями» в поддержку Украины, начинают аннулировать регистрацию (после прекращения срока подписки) и прекращать предоставление соответствующих услуг в ru-сегмент. Уведомления от недружественных операторов уже стали поступать российским пользователям.
В новых санкционных реалиях Минцифры РФ отметило одним из приоритетных направлений - развитие российской IT-отрасли, для чего подготовило перечень первоочередных мер поддержки. Решено расширить налоговые преференции и в некоторых случаях освободить сотрудников и компании от уплаты налогов и проверок, предоставить айтишникам льготную ипотеку со ставкой 5%, упростить бюрократические механизмы для иностранных специалистов, финансировать разработку и развитие IT-продукции, обеспечить ускоренное импортозамещение, а также создать в России аналог репозитория открытого ПО GitHub.
Telegram
Караульный Z
❗️Обращение российских хакеров из группировки Killnet, уронивших сайты Anonymous и Правого сектора (запрещённой в России организации)
Killnet посоветовал Anonymous заняться починкой своего положенного сервера, а россиянам не переживать...
Россия сравнивает…
Killnet посоветовал Anonymous заняться починкой своего положенного сервера, а россиянам не переживать...
Россия сравнивает…
Группа ученых из Тель-Авивского университета в ходе анализа криптографического дизайна и аппаратного хранилища ключей обнаружила баги, которые затрагивают около 100 миллионов флагманских устройств Samsung Galaxy S8, S9, S10, S20 и S21 базе Android и приводят к раскрытию криптографических ключей. В группу вошли исследователи: Алон Шаковский, Эяль Ронен и Авишай Вул.
В Android существует изолированная среда для выполнения Trusted Applications (TA) для выполнения критических задач безопасности для обеспечения конфиденциальности и целостности - это безопасная зона Trusted Execution Environments (TEE). Для того, что основная операционная система не имеет прямого доступа к ключам, используется аппаратное хранилище ключей, которое обеспечивает создание и хранение криптографических ключей в TEE.
Хранилище, в свою очередь, реализует API-интерфейсы в форме Keymaster TA (доверенное приложение) для выполнения криптографических операций в этой среде, включая безопасное создание ключей, их хранение и их использование для цифровой подписи и шифрования. На мобильных устройствах Samsung Keymaster TA работает в TEE на базе ARM TrustZone.
Успешная эксплуатация уязвимостей Keymaster TA как раз и приводит к несанкционированному доступу к аппаратно защищенным ключам и данным, защищенным TEE. Последствия такой атаки могут варьироваться от обхода аутентификации до сложных операции, которые могут нарушить основные функции безопасности, поддерживаемые криптографическими системами.
Среди выявленных ошибок следующие:
- CVE-2021-25444: уязвимость повторного использования IV в Keymaster до SMR AUG-2021 Release 1 позволяет расшифровать пользовательский ключевой BLOB-объект с помощью привилегированного процесса. Влияет на Galaxy S9, J3 Top, J7 Top, J7 Duo, TabS4, Tab-AS-Lite, A6 Plus и A9S.
- CVE-2021-25490: уязвимость понижения уровня ключевого блоба в Keymaster до выпуска 1 SMR за октябрь 2021 г., которая позволяет злоумышленнику активировать уязвимость повторного использования с помощью привилегированного процесса. Влияет на Galaxy S10, S20 и S21.
После раскрытия информации в мае и июле 2021 года проблемы были устранены с помощью обновлений, выпущенных в августе и октябре 2021 года для всех уязвимых устройств. Подробности исследований будут представлены на симпозиуме по безопасности USENIX в августе этого года. Но на всякий случай напоминаем о необходимости обновления девайсов, если вы используете перечисленные модели производителя.
В Android существует изолированная среда для выполнения Trusted Applications (TA) для выполнения критических задач безопасности для обеспечения конфиденциальности и целостности - это безопасная зона Trusted Execution Environments (TEE). Для того, что основная операционная система не имеет прямого доступа к ключам, используется аппаратное хранилище ключей, которое обеспечивает создание и хранение криптографических ключей в TEE.
Хранилище, в свою очередь, реализует API-интерфейсы в форме Keymaster TA (доверенное приложение) для выполнения криптографических операций в этой среде, включая безопасное создание ключей, их хранение и их использование для цифровой подписи и шифрования. На мобильных устройствах Samsung Keymaster TA работает в TEE на базе ARM TrustZone.
Успешная эксплуатация уязвимостей Keymaster TA как раз и приводит к несанкционированному доступу к аппаратно защищенным ключам и данным, защищенным TEE. Последствия такой атаки могут варьироваться от обхода аутентификации до сложных операции, которые могут нарушить основные функции безопасности, поддерживаемые криптографическими системами.
Среди выявленных ошибок следующие:
- CVE-2021-25444: уязвимость повторного использования IV в Keymaster до SMR AUG-2021 Release 1 позволяет расшифровать пользовательский ключевой BLOB-объект с помощью привилегированного процесса. Влияет на Galaxy S9, J3 Top, J7 Top, J7 Duo, TabS4, Tab-AS-Lite, A6 Plus и A9S.
- CVE-2021-25490: уязвимость понижения уровня ключевого блоба в Keymaster до выпуска 1 SMR за октябрь 2021 г., которая позволяет злоумышленнику активировать уязвимость повторного использования с помощью привилегированного процесса. Влияет на Galaxy S10, S20 и S21.
После раскрытия информации в мае и июле 2021 года проблемы были устранены с помощью обновлений, выпущенных в августе и октябре 2021 года для всех уязвимых устройств. Подробности исследований будут представлены на симпозиуме по безопасности USENIX в августе этого года. Но на всякий случай напоминаем о необходимости обновления девайсов, если вы используете перечисленные модели производителя.
Ответка вернулась.
Сразу после разоблачения китайскими исследователями из Pangu Lab бэкдора Bvp47, который уже более десяти лет используется АНБ США, специалисты Symantec Threat Hunter Team расчехляют новое и достаточно сложное вредоносное ПО, которое, по их мнению, используется китайскими АРТ.
Целями атак с использованием Daxin становились правительственные и иные важные объекты в организациях телекоммуникационного, транспортного и производственного секторов, представляющие стратегический интерес для Китая. Самые последние известные атаки Daxin произошли в ноябре 2021 года, самый ранний известный образец вредоносного ПО датируется 2013 годом.
Daxin поставляется в виде драйвера ядра Windows, что в настоящее время является относительно редким форматом для вредоносных программ. Отличается технической сложностью, с которой специалисты ранее не сталкивались, и является самой передовой частью китайского вредоносного ПО. Кроме того, может быть связан с обнаруженным Microsoft в декабре 2012 года бэкдором VirTool:WinNT/Exforel.A.
Symantec выпустила индикаторы компрометации (IOC) и технические подробности, а также документацию о том, как вредоносное ПО Daxin реализует расширенные коммуникационные функции с высокой степенью скрытности в высокозащищенных сетях, где прямое подключение к Интернету недоступно.
По результатам анализа исследователи пришли к выводу о том, что такие расширенные функции управления и контроля напоминают Regin, обнаруженный ими в 2014 году инструмент шпионажа западных спецслужб. В основе Daxin лежат методы связи, которые позволяют соединениям смешиваться с обычным сетевым трафиком в сети цели.
Daxin заточен под защищенные цели и позволяет хакерам глубоко и скрытно проникать в сеть для эксфильтрации данных. Более старая известная вредоносная программа — Backdoor.Zala (Exforel) содержала ряд общих функций, но не обладала многими расширенными возможностями Daxin. Он, похоже, опирается на сетевые методы Zala, повторно используя значительный объем отличительного кода.
Кроме того, Symantec обнаружили, что вредоносное ПО может злоупотреблять любыми уже работающими сетевыми службами, избегая запуска собственных. Daxin также может ретранслировать свои сообщения через сеть зараженных компьютеров в атакуемой организации.
Вредоносное ПО также использует сетевое туннелирование, чтобы злоумышленники могли взаимодействовать с другими службами в сети жертвы, к которым можно получить доступ с любого зараженного компьютера. Вредоносное ПО может обмениваться данными, перехватывая текущие TCP/IP-соединения, устанавливая соединение в сетях со строгими правилами брандмауэра, что значительно снижает риск обнаружения со стороны SOC.
Исследовательская группа компании подчеркнула, что обнаружила несколько технических ссылок, позволяющих с уверенностью приписать Daxin известным китайским АРТ. Так, в ходе атаки на компанию, занимающуюся информационными технологиями, в ноябре 2019 года злоумышленники использовали PsExec, чтобы сначала попытаться развернуть Daxin, а затем прибегнуть к Trojan.Owprox, который связан с китайским Slug (Owlproxy). В мае 2020 года вредоносная активность с использованием как Backdoor.Daxin, так и Trojan.Owprox произошла на одном компьютере, принадлежащем другой организации, технологической компании.
Сразу после разоблачения китайскими исследователями из Pangu Lab бэкдора Bvp47, который уже более десяти лет используется АНБ США, специалисты Symantec Threat Hunter Team расчехляют новое и достаточно сложное вредоносное ПО, которое, по их мнению, используется китайскими АРТ.
Целями атак с использованием Daxin становились правительственные и иные важные объекты в организациях телекоммуникационного, транспортного и производственного секторов, представляющие стратегический интерес для Китая. Самые последние известные атаки Daxin произошли в ноябре 2021 года, самый ранний известный образец вредоносного ПО датируется 2013 годом.
Daxin поставляется в виде драйвера ядра Windows, что в настоящее время является относительно редким форматом для вредоносных программ. Отличается технической сложностью, с которой специалисты ранее не сталкивались, и является самой передовой частью китайского вредоносного ПО. Кроме того, может быть связан с обнаруженным Microsoft в декабре 2012 года бэкдором VirTool:WinNT/Exforel.A.
Symantec выпустила индикаторы компрометации (IOC) и технические подробности, а также документацию о том, как вредоносное ПО Daxin реализует расширенные коммуникационные функции с высокой степенью скрытности в высокозащищенных сетях, где прямое подключение к Интернету недоступно.
По результатам анализа исследователи пришли к выводу о том, что такие расширенные функции управления и контроля напоминают Regin, обнаруженный ими в 2014 году инструмент шпионажа западных спецслужб. В основе Daxin лежат методы связи, которые позволяют соединениям смешиваться с обычным сетевым трафиком в сети цели.
Daxin заточен под защищенные цели и позволяет хакерам глубоко и скрытно проникать в сеть для эксфильтрации данных. Более старая известная вредоносная программа — Backdoor.Zala (Exforel) содержала ряд общих функций, но не обладала многими расширенными возможностями Daxin. Он, похоже, опирается на сетевые методы Zala, повторно используя значительный объем отличительного кода.
Кроме того, Symantec обнаружили, что вредоносное ПО может злоупотреблять любыми уже работающими сетевыми службами, избегая запуска собственных. Daxin также может ретранслировать свои сообщения через сеть зараженных компьютеров в атакуемой организации.
Вредоносное ПО также использует сетевое туннелирование, чтобы злоумышленники могли взаимодействовать с другими службами в сети жертвы, к которым можно получить доступ с любого зараженного компьютера. Вредоносное ПО может обмениваться данными, перехватывая текущие TCP/IP-соединения, устанавливая соединение в сетях со строгими правилами брандмауэра, что значительно снижает риск обнаружения со стороны SOC.
Исследовательская группа компании подчеркнула, что обнаружила несколько технических ссылок, позволяющих с уверенностью приписать Daxin известным китайским АРТ. Так, в ходе атаки на компанию, занимающуюся информационными технологиями, в ноябре 2019 года злоумышленники использовали PsExec, чтобы сначала попытаться развернуть Daxin, а затем прибегнуть к Trojan.Owprox, который связан с китайским Slug (Owlproxy). В мае 2020 года вредоносная активность с использованием как Backdoor.Daxin, так и Trojan.Owprox произошла на одном компьютере, принадлежащем другой организации, технологической компании.
Security
Daxin: Stealthy Backdoor Designed for Attacks Against Hardened Networks
Espionage tool is the most advanced piece of malware Symantec researchers have seen from China-linked actors.
В период нарастающей мировой напряженности работа кибербанд и кибермарадеров увеличивается в прогрессии. Буквально на днях шведская компания Axis Communications, чьи сетевые камеры и другие решения для обеспечения физической безопасности используются государственными и частными организациями по всему миру подверглась кибератаке, которая нарушила деятельность компании и потребителей.
Axis проинформировала клиентов о компрометации ее оборудования, через день после того, как ее системы безопасности обнаружили нарушение. В результате общедоступные сервисы были отключены по всему миру, дабы ограничить потенциальное негативные последствия от деятельности злоумышленников.
Компания сообщила, что атака была связана с социальной инженерией и захватом учетных записей сотрудников, при этом злоумышленникам удалось обойти многофакторную аутентификацию. Злоумышленникам также удалось повысить привилегии до необходимого уровня доступа для компрометации внутренних служб и каталогов.
Учитывая уровень угроз, компания решила закрыть весь доступ к сети по всему миру, что привело к перебоям в предоставлении услуг сотрудникам и партнерам в более чем 50 странах.
Однако до сих пор неясно, была ли это деятельность банд-вымогателей или кого-то еще, но компания заявила, что зашифрованных серверов обнаружено не было, однако подтвердила факт обнаружения вредоносного ПО. Сведения об утечке информации о клиентах в компании также были опровергнуты.
На данный момент большая часть внешних сервисов Axis была восстановлена, но компания будет работать в «ограниченном режиме» до тех пор, пока не будет завершено расследование инцидента.
Axis проинформировала клиентов о компрометации ее оборудования, через день после того, как ее системы безопасности обнаружили нарушение. В результате общедоступные сервисы были отключены по всему миру, дабы ограничить потенциальное негативные последствия от деятельности злоумышленников.
Компания сообщила, что атака была связана с социальной инженерией и захватом учетных записей сотрудников, при этом злоумышленникам удалось обойти многофакторную аутентификацию. Злоумышленникам также удалось повысить привилегии до необходимого уровня доступа для компрометации внутренних служб и каталогов.
Учитывая уровень угроз, компания решила закрыть весь доступ к сети по всему миру, что привело к перебоям в предоставлении услуг сотрудникам и партнерам в более чем 50 странах.
Однако до сих пор неясно, была ли это деятельность банд-вымогателей или кого-то еще, но компания заявила, что зашифрованных серверов обнаружено не было, однако подтвердила факт обнаружения вредоносного ПО. Сведения об утечке информации о клиентах в компании также были опровергнуты.
На данный момент большая часть внешних сервисов Axis была восстановлена, но компания будет работать в «ограниченном режиме» до тех пор, пока не будет завершено расследование инцидента.
Anonymous нашли на просторах сайта российского Минэкономразвития открытые папки, доступные для просмотра. И хотя в адресе этих папок виден домен old., а в самих папках лежат какие-то картинки и документы 2013 года, выдается все это за неэпическую кибероперацию.
Безусловно тот, кто забыл закрыть папки, должен получить по голове, но на инцидент это, имхо, не тянет.
Хакеры my ass.
Безусловно тот, кто забыл закрыть папки, должен получить по голове, но на инцидент это, имхо, не тянет.
Хакеры my ass.
Twitter
Anonymous • News🌐
Database of the Ministry of Economic Development of Russia ►old.economy.gov.ru/minec/resource… ►old.economy.gov.ru/wps/wcm/connec… #Anonymous #OpRussia #StopWar🇺🇦
Украинские Anonymous подумали, что Китай выступает с Россией единым фронтом против Украины и решили ушатать по китайским государственным учреждениям. Под хэштегом #RussianAlliances.
Под раздачу попало Государственное управление оборонной науки, техники и промышленности Китая (ГУОНТП), базу данных пользователей которого они якобы сперли. Как всегда надо проверять, вполне возможно, что это фейк.
По данным незабаненной пока Вики основная задача ГУОНТП - координация работы промышленности и научных центров по выполнению поступающих от Главного управления вооружений и военной техники НОАК заказов на проведение НИОКР и выпуск продукции военного назначения. Если проще, ГУОНТП - это головной центр китайских военных научных разработок.
Обычно причастные к подобным утечкам молчат в тряпочку. Не самый умный поступок со стороны украинских анонов.
Под раздачу попало Государственное управление оборонной науки, техники и промышленности Китая (ГУОНТП), базу данных пользователей которого они якобы сперли. Как всегда надо проверять, вполне возможно, что это фейк.
По данным незабаненной пока Вики основная задача ГУОНТП - координация работы промышленности и научных центров по выполнению поступающих от Главного управления вооружений и военной техники НОАК заказов на проведение НИОКР и выпуск продукции военного назначения. Если проще, ГУОНТП - это головной центр китайских военных научных разработок.
Обычно причастные к подобным утечкам молчат в тряпочку. Не самый умный поступок со стороны украинских анонов.
X (formerly Twitter)
X
-партнёрский пост-
XI конференция по кибербезопасности ZeroNights 2022 в Петербурге!
ZeroNights – это квинтэссенция того, чем ИБ-сообщество живет целый год. И организаторы в 11-й раз соберут всех неравнодушных к прикладным аспектам отрасли.
🗓 Дата
23 июня 2022
📍Место
Санкт-Петербург, Севкабель Порт
💥Программа
На ZeroNights будут представлены тщательно отобранные доклады по самым разным темам информационной безопасности.
В этом году массу интересного можно будет услышать на отдельной секции Defensive Track, посвященной практической стороне ИБ в контексте защиты и обеспечения безопасности ресурсов и приложений.
Спикеры любимой многими секции Web Village расскажут о современных атаках на веб-приложения. Желающие прокачать свои скиллы и овладеть новыми навыками смогут сделать это в рамках воркшопов и Hardware Zone.
Активностей с ценными призами для победителей будет еще больше!
Купить билет +120 к интеллекту
XI конференция по кибербезопасности ZeroNights 2022 в Петербурге!
ZeroNights – это квинтэссенция того, чем ИБ-сообщество живет целый год. И организаторы в 11-й раз соберут всех неравнодушных к прикладным аспектам отрасли.
🗓 Дата
23 июня 2022
📍Место
Санкт-Петербург, Севкабель Порт
💥Программа
На ZeroNights будут представлены тщательно отобранные доклады по самым разным темам информационной безопасности.
В этом году массу интересного можно будет услышать на отдельной секции Defensive Track, посвященной практической стороне ИБ в контексте защиты и обеспечения безопасности ресурсов и приложений.
Спикеры любимой многими секции Web Village расскажут о современных атаках на веб-приложения. Желающие прокачать свои скиллы и овладеть новыми навыками смогут сделать это в рамках воркшопов и Hardware Zone.
Активностей с ценными призами для победителей будет еще больше!
Купить билет +120 к интеллекту
А теперь новости с санкционных полей:
- Решения Fortinet после обновления превращаются в «кирпич»: пока что это коснулось компаний, которые попали под санкции и рестрикция со стороны запада.
- Американский поставщик программного обеспечения и услуг в сфере информационной безопасности Websense (известный также как Forcepoint со штаб-квартирой в Остине, штат Техас) разрывает отношения со своими российскими партнерами.
- Решения Fortinet после обновления превращаются в «кирпич»: пока что это коснулось компаний, которые попали под санкции и рестрикция со стороны запада.
- Американский поставщик программного обеспечения и услуг в сфере информационной безопасности Websense (известный также как Forcepoint со штаб-квартирой в Остине, штат Техас) разрывает отношения со своими российскими партнерами.
Уязвимости в реле защиты напряжения Schneider Electric Easergy могут позволить хакерам отключать защиту электрических сетей.
Исследователи из Red Balloon Security обнаружили три уязвимости высокой степени опасности: две затрагивают устройства Easergy P5 и одна затрагивает устройства Easergy P3.
Ретрансляторы P3 подвержены переполнению буфера (CVE-2022-22725), которое может привести к выполнению произвольного кода или отказу в обслуживании (DoS), если на ретранслятор отправляются специально созданные пакеты по сети. Злоумышленник может воспользоваться уязвимостью, чтобы вызвать перезагрузку реле и получить полный контроль над устройством.
Ретрансляторы Easergy P5 также уязвимы для переполнения буфера (CVE-2022-22723), которое может позволить злоумышленнику вызвать сбой программы и выполнить код с помощью специально созданных пакетов. Кроме того, устройства имеют жестко заданные учетные данные (CVE-2022-22722).
Если злоумышленник получит криптографический ключ SSH для устройства и получит активный контроль над локальной операционной сетью, подключенной к продукту, он потенциально может наблюдать и манипулировать трафиком, связанным с конфигурацией продукта. Поставщик предупредил, что эксплуатация может привести к потере защиты электрической сети.
Несмотря на то, что уязвимые ретрансляторы, как правило, не подключены к Интернету, ряд ситуации свидетельствуют о том, что корпоративные системы, системы удаленного доступа и промышленные диспетчерские могут быть доступны из Интернета с помощью фишинга, а из диспетчерской можно легко добраться до этих реле.
Получив доступ к реальным устройствам и скомпрометировав их, злоумышленник может отключить источник питания или нарушить его работу таким образом, чтобы нанести ущерб другому оборудованию. Например, заставив резервное питание быстро включаться и выключаться. В качестве альтернативы они могут отключить функции защиты, необходимую в случае грозы или выхода из строя другого подключенного устройства (например, при перегрузке трансформатора).
В любом случае злоумышленник может нанести реальный ущерб и вызвать сбой работы электросети, что достаточно актуально в нынешнее неспокойное в плане киберактивности время.
Исследователи из Red Balloon Security обнаружили три уязвимости высокой степени опасности: две затрагивают устройства Easergy P5 и одна затрагивает устройства Easergy P3.
Ретрансляторы P3 подвержены переполнению буфера (CVE-2022-22725), которое может привести к выполнению произвольного кода или отказу в обслуживании (DoS), если на ретранслятор отправляются специально созданные пакеты по сети. Злоумышленник может воспользоваться уязвимостью, чтобы вызвать перезагрузку реле и получить полный контроль над устройством.
Ретрансляторы Easergy P5 также уязвимы для переполнения буфера (CVE-2022-22723), которое может позволить злоумышленнику вызвать сбой программы и выполнить код с помощью специально созданных пакетов. Кроме того, устройства имеют жестко заданные учетные данные (CVE-2022-22722).
Если злоумышленник получит криптографический ключ SSH для устройства и получит активный контроль над локальной операционной сетью, подключенной к продукту, он потенциально может наблюдать и манипулировать трафиком, связанным с конфигурацией продукта. Поставщик предупредил, что эксплуатация может привести к потере защиты электрической сети.
Несмотря на то, что уязвимые ретрансляторы, как правило, не подключены к Интернету, ряд ситуации свидетельствуют о том, что корпоративные системы, системы удаленного доступа и промышленные диспетчерские могут быть доступны из Интернета с помощью фишинга, а из диспетчерской можно легко добраться до этих реле.
Получив доступ к реальным устройствам и скомпрометировав их, злоумышленник может отключить источник питания или нарушить его работу таким образом, чтобы нанести ущерб другому оборудованию. Например, заставив резервное питание быстро включаться и выключаться. В качестве альтернативы они могут отключить функции защиты, необходимую в случае грозы или выхода из строя другого подключенного устройства (например, при перегрузке трансформатора).
В любом случае злоумышленник может нанести реальный ущерб и вызвать сбой работы электросети, что достаточно актуально в нынешнее неспокойное в плане киберактивности время.
Специалисты из подразделения Cisco Talos на этой неделе раскрыли шесть критических уязвимостей, затрагивающих Gerbv - программу для просмотра файлов.
Gerbv можно найти на многих распространенных платформах UNIX и также доступна версия для Windows. Средство достаточно популярное, опенсорсное и загружено с SourceForge более 1 миллиона раз.
Некоторые производители печатных плат используют программное обеспечение Gerbv в своих веб-интерфейсах в качестве инструмента для преобразования файлов Gerber в изображения. Пользователи могут загружать файлы gerber на веб-сайт производителя, которые преобразуются в изображение для отображения в браузере. Эта возможность собственно и позволяет злоумышленнику получить доступ к программному обеспечению по сети без взаимодействия с пользователем или повышения привилегий.
Выявленные уязвимости, как объясняют исследователи, влияют на функцию, которую использует Gerbv при открытии одноименных файлов.
Четыре из недавно обнаруженных уязвимостей — отслеживаемые как CVE-2021-40391, CVE-2021-40393, CVE-2021-40394 и CVE-2021-40401 — имеют оценку CVSS 10. Все четыре можно использовать для выполнения кода, загрузив специально созданный файл в Gerbv.
Две другие критически важные уязвимости, отслеживаемые как CVE-2021-40400 и CVE-2021-40402, могут использоваться для утечки данных также в результате загрузки специально созданного файла Gerber.
Как говорят ребята из Talos, разработчик выпустил патчи для четырех из этих уязвимостей, но две ошибки (CVE-2021-40400 и CVE-2021-40402) остаются неисправленными, хотя с момента уведомления поставщика уже прошло более 90 дней.
Gerbv можно найти на многих распространенных платформах UNIX и также доступна версия для Windows. Средство достаточно популярное, опенсорсное и загружено с SourceForge более 1 миллиона раз.
Некоторые производители печатных плат используют программное обеспечение Gerbv в своих веб-интерфейсах в качестве инструмента для преобразования файлов Gerber в изображения. Пользователи могут загружать файлы gerber на веб-сайт производителя, которые преобразуются в изображение для отображения в браузере. Эта возможность собственно и позволяет злоумышленнику получить доступ к программному обеспечению по сети без взаимодействия с пользователем или повышения привилегий.
Выявленные уязвимости, как объясняют исследователи, влияют на функцию, которую использует Gerbv при открытии одноименных файлов.
Четыре из недавно обнаруженных уязвимостей — отслеживаемые как CVE-2021-40391, CVE-2021-40393, CVE-2021-40394 и CVE-2021-40401 — имеют оценку CVSS 10. Все четыре можно использовать для выполнения кода, загрузив специально созданный файл в Gerbv.
Две другие критически важные уязвимости, отслеживаемые как CVE-2021-40400 и CVE-2021-40402, могут использоваться для утечки данных также в результате загрузки специально созданного файла Gerber.
Как говорят ребята из Talos, разработчик выпустил патчи для четырех из этих уязвимостей, но две ошибки (CVE-2021-40400 и CVE-2021-40402) остаются неисправленными, хотя с момента уведомления поставщика уже прошло более 90 дней.
Forwarded from SecurityLab.ru
В WhatsApp и других VoIP-приложениях обнаружены RCE-уязвимости
— Мессенджер WhatsApp и другие популярные VoIP-приложения используют библиотеку с открытым исходным кодом PJSIP, содержащую критические уязвимости удаленного выполнения кода.
— Успешная эксплуатация уязвимостей позволяет злоумышленнику удаленно выполнить код в приложении, использующем библиотеку PJSIP.
— По данным сайта Asterisk, программное обеспечение насчитывает около 2 млн загрузок в год и работает на 1 млн серверов в 170 странах.
https://www.securitylab.ru/news/530390.php
— Мессенджер WhatsApp и другие популярные VoIP-приложения используют библиотеку с открытым исходным кодом PJSIP, содержащую критические уязвимости удаленного выполнения кода.
— Успешная эксплуатация уязвимостей позволяет злоумышленнику удаленно выполнить код в приложении, использующем библиотеку PJSIP.
— По данным сайта Asterisk, программное обеспечение насчитывает около 2 млн загрузок в год и работает на 1 млн серверов в 170 странах.
https://www.securitylab.ru/news/530390.php
SecurityLab.ru
В WhatsApp и других VoIP-приложениях обнаружены RCE-уязвимости
Программы используют библиотеку с открытым исходным кодом PJSIP, содержащую критические проблемы.
Ожидаемо после того, как Oracle «от имени 150 000 сотрудников по всему миру и в поддержку Украины» приостановила все операции в России, следующим технологическим IT-гигантом с клиентурой в корпоративном секторе стал SAP, руководство которого высказалось о прекращении бизнеса в РФ и завершении продаж своих услуг и решений, заявив «SAP stands with Ukraine» в своем Twitter.
Кроме того, SAP выделили 1 млн. евро на гуманитарную помощь Украине.
В реальности компании придется выделить куда больше, списав это на тот же счет, ведь, к примеру, только на лицензиях и услугах техподдержки продуктов уже ушедшая из РФ американская корпорация Oracle ежегодно зарабатывала плюс-минус 10 млрд рублей. Прибыль (а теперь уже убытки) SAP варьировались в тех же показателях.
Что-то подсказывает нам: после окончания операции и начала политического урегулирования ситуации на Украине, вернуться на российский рынок Oracle и SAP вряд ли смогут.
Особенно с учетом того, сколько критических уязвимостей последнее время обнаруживалось в SAP, о чем мы последовательно сообщали.
Кроме того, SAP выделили 1 млн. евро на гуманитарную помощь Украине.
В реальности компании придется выделить куда больше, списав это на тот же счет, ведь, к примеру, только на лицензиях и услугах техподдержки продуктов уже ушедшая из РФ американская корпорация Oracle ежегодно зарабатывала плюс-минус 10 млрд рублей. Прибыль (а теперь уже убытки) SAP варьировались в тех же показателях.
Что-то подсказывает нам: после окончания операции и начала политического урегулирования ситуации на Украине, вернуться на российский рынок Oracle и SAP вряд ли смогут.
Особенно с учетом того, сколько критических уязвимостей последнее время обнаруживалось в SAP, о чем мы последовательно сообщали.
Twitter
Christian Klein
SAP stands with Ukraine. imsap.co/6015KjN2X
Cisco исправили критические уязвимости для унифицированных коммуникаций Expressway Series и TelePresence Video Communication Server (VCS).
CVE-2022-20754 и CVE-2022-20755 с оценкой CVSS 9,0 могут быть реализованы удаленным и прошедшим проверку подлинности злоумышленником для записи файлов или выполнения кода в базовой операционной системе с привилегиями root. Однако обе могут быть проэксплуатированы лишь тогда, когда злоумышленник имеет права на чтение/запись в приложении. Ошибки затрагивают API-интерфейсы баз данных кластера Expressway и TelePresence VCS.
Первая из проблем может быть использована для запуска атак с обходом каталога и перезаписи произвольных файлов в базовой ОС с привилегиями root.
Вторая ошибка касается веб-интерфейса управления устройствами и может быть использована для выполнения произвольного кода.
Ошибки обусловлены недостаточной проверкой введенными пользователем аргументов команд, что позволяет злоумышленнику пройти аутентификацию в системе с правами администратора. Проблемы исправлены в версии 14.0.5.
Cisco также выпустила обновления программного обеспечения для устранения серьезных уязвимостей в Ultra Cloud Core (инфраструктура абонентских микросервисов (SMI) и механизм Identity Services Engine (ISE).
Одна из проблем затрагивает CLI ConfD Common Execution Environment (CEE) Ultra Cloud Core SMI и может быть использована аутентифицированным локальным злоумышленником для доступа к привилегированным контейнерам с правами root. Ошибка отслеживается как CVE-2022-20762 (оценка CVSS 7,8) и устранена в выпуске Ultra Cloud Core SMI 2020.02.2.47 и 2020.02.7.07.
Влияя на функцию RADIUS в ISE, другая ошибка может быть использована удаленно, без аутентификации, чтобы вызвать состояние отказа в обслуживании (DoS). Отслеживается как CVE-2022-20756 (оценка CVSS 8,6). Уязвимость существует из-за того, что некоторые запросы RADIUS не обрабатываются должным образом. Cisco ISE 2.7P6, 3.0P5 и 3.1P1 содержат исправления для этой уязвимости.
Технический гигант заявляет, что ему неизвестно об использовании каких-либо из этих уязвимостей в атаках. Тем не менее, клиентам Cisco рекомендуется как можно скорее установить исправление.
CVE-2022-20754 и CVE-2022-20755 с оценкой CVSS 9,0 могут быть реализованы удаленным и прошедшим проверку подлинности злоумышленником для записи файлов или выполнения кода в базовой операционной системе с привилегиями root. Однако обе могут быть проэксплуатированы лишь тогда, когда злоумышленник имеет права на чтение/запись в приложении. Ошибки затрагивают API-интерфейсы баз данных кластера Expressway и TelePresence VCS.
Первая из проблем может быть использована для запуска атак с обходом каталога и перезаписи произвольных файлов в базовой ОС с привилегиями root.
Вторая ошибка касается веб-интерфейса управления устройствами и может быть использована для выполнения произвольного кода.
Ошибки обусловлены недостаточной проверкой введенными пользователем аргументов команд, что позволяет злоумышленнику пройти аутентификацию в системе с правами администратора. Проблемы исправлены в версии 14.0.5.
Cisco также выпустила обновления программного обеспечения для устранения серьезных уязвимостей в Ultra Cloud Core (инфраструктура абонентских микросервисов (SMI) и механизм Identity Services Engine (ISE).
Одна из проблем затрагивает CLI ConfD Common Execution Environment (CEE) Ultra Cloud Core SMI и может быть использована аутентифицированным локальным злоумышленником для доступа к привилегированным контейнерам с правами root. Ошибка отслеживается как CVE-2022-20762 (оценка CVSS 7,8) и устранена в выпуске Ultra Cloud Core SMI 2020.02.2.47 и 2020.02.7.07.
Влияя на функцию RADIUS в ISE, другая ошибка может быть использована удаленно, без аутентификации, чтобы вызвать состояние отказа в обслуживании (DoS). Отслеживается как CVE-2022-20756 (оценка CVSS 8,6). Уязвимость существует из-за того, что некоторые запросы RADIUS не обрабатываются должным образом. Cisco ISE 2.7P6, 3.0P5 и 3.1P1 содержат исправления для этой уязвимости.
Технический гигант заявляет, что ему неизвестно об использовании каких-либо из этих уязвимостей в атаках. Тем не менее, клиентам Cisco рекомендуется как можно скорее установить исправление.
Cisco
Cisco Security Advisory: Cisco Expressway Series and Cisco TelePresence Video Communication Server Vulnerabilities
Multiple vulnerabilities in the API and web-based management interfaces of Cisco Expressway Series and Cisco TelePresence Video Communication Server (VCS) could allow an authenticated, remote attacker with read/write privileges to the application to write…
Forwarded from Russian OSINT
🇨🇳🇺🇸 Лаборатория Pangu в Китае опубликовала отчет о хакерской деятельности Equation Group (aka АНБ).
🩸Количество жертв хакерской группы Equation Group за 10 лет составило 287 целей в 45 странах: 🇷🇺Россия, 🇯🇵Япония, 🇪🇸 Испания, 🇩🇪Германия, 🇮🇹Италия и другие страны.
Интересный факт, одна жертв в 🥋Японии использовалась в качестве "прыжкового сервера" для дальнейших атак. Полный отчёт в PDF файле.
https://www.pangulab.cn/en/post/the_bvp47_a_top-tier_backdoor_of_us_nsa_equation_group/
🩸Количество жертв хакерской группы Equation Group за 10 лет составило 287 целей в 45 странах: 🇷🇺Россия, 🇯🇵Япония, 🇪🇸 Испания, 🇩🇪Германия, 🇮🇹Италия и другие страны.
Интересный факт, одна жертв в 🥋Японии использовалась в качестве "прыжкового сервера" для дальнейших атак. Полный отчёт в PDF файле.
https://www.pangulab.cn/en/post/the_bvp47_a_top-tier_backdoor_of_us_nsa_equation_group/
Большая часть подключенных к сети инфузионных насосов, используемых в больницах и учреждениях здравоохранения, подвержена серьезным уязвимостям.
Согласно данным Unit 42, 75% этих медицинских устройств имеют известные уже уязвимости в системе безопасности, которые могут подвергнуть их риску возможного использования. Выводы показывают, что десятки тысяч устройств уязвимы для шести критических недостатков (9,8 из 10), о которых сообщалось в 2019 и 2020 годах.
Группа анализа угроз Palo Alto Networks проанализировали состояние безопасности более 200 000 инфузионных насосов и обнаружила, что от 30 000 до 100 000 из них уязвимы для критических проблем с безопасностью.
Наиболее распространенной уязвимостью критической серьезности является CVE-2019-12255 (оценка CVSS: 9,8). Это ошибка повреждения памяти в операционной системе реального времени (RTOS) VxWorks, используемой для встроенных устройств, включая системы инфузионных насосов. Ошибка связана с переполнением буфера в TCP-компоненте Wind River VxWorks.
По данным Palo Alto Networks, дефект присутствует в 52% проанализированных инфузионных насосов, что составляет более 104 000 устройств. CVE-2019-12255 является частью набора из 11 уязвимостей, известных как URGENT/11, обнаруженных в 2019 году исследователями компании Armis.
Другая распространённая CVE-2019-12264 (оценка CVSS: 7,1) связана с некорректным контролем доступа в клиентском компоненте DHCP Wind River VxWorks.
Кроме того, выделяют такие влияющие на инфузионный насос недостатки, как:
- CVE-2016-9355 (оценка CVSS: 5,3) — неавторизованный пользователь, имеющий физический доступ к устройствам Alaris 8015 Point of Care, может разобрать устройство, чтобы получить доступ к съемной флэш-памяти, что обеспечивает доступ для чтения и записи к памяти устройства.
- CVE-2016-8375 (оценка CVSS: 4,9) — ошибка управления учетными данными в устройствах Alaris 8015 Point of Care, которая может быть использована для получения незашифрованных учетных данных для аутентификации в беспроводной сети и других конфиденциальных технических данных.
- CVE-2020-25165 (оценка CVSS: 7,5) — уязвимость неправильной аутентификации сеанса в устройствах Alaris 8015 Point of Care, которая может быть использована для выполнения атаки типа «отказ в обслуживании» на устройствах.
- CVE-2020-12040 (оценка CVSS: 9,8) — передача конфиденциальной информации открытым текстом в инфузионной системе Sigma Spectrum.
- CVE-2020-12047 (оценка CVSS: 9,8) — использование жестко заданных учетных данных FTP в Baxter Spectrum WBM.
- CVE-2020-12045 (оценка CVSS: 9,8) — использование жестко заданных учетных данных Telnet в Baxter Spectrum WBM.
- CVE-2020-12043 (оценка CVSS: 9,8) — FTP-служба Baxter Spectrum WBM продолжает работать после ожидаемого истечения срока действия до перезагрузки.
- CVE-2020-12041 (оценка CVSS: 9,8) — беспроводной батарейный модуль Baxter Spectrum (WBM) разрешает передачу данных и интерфейсы командной строки через Telnet.
Успешное использование вышеупомянутых уязвимостей может привести к утечке конфиденциальной информации о пациентах и позволить злоумышленнику получить несанкционированный доступ к устройствам.
Согласно данным Unit 42, 75% этих медицинских устройств имеют известные уже уязвимости в системе безопасности, которые могут подвергнуть их риску возможного использования. Выводы показывают, что десятки тысяч устройств уязвимы для шести критических недостатков (9,8 из 10), о которых сообщалось в 2019 и 2020 годах.
Группа анализа угроз Palo Alto Networks проанализировали состояние безопасности более 200 000 инфузионных насосов и обнаружила, что от 30 000 до 100 000 из них уязвимы для критических проблем с безопасностью.
Наиболее распространенной уязвимостью критической серьезности является CVE-2019-12255 (оценка CVSS: 9,8). Это ошибка повреждения памяти в операционной системе реального времени (RTOS) VxWorks, используемой для встроенных устройств, включая системы инфузионных насосов. Ошибка связана с переполнением буфера в TCP-компоненте Wind River VxWorks.
По данным Palo Alto Networks, дефект присутствует в 52% проанализированных инфузионных насосов, что составляет более 104 000 устройств. CVE-2019-12255 является частью набора из 11 уязвимостей, известных как URGENT/11, обнаруженных в 2019 году исследователями компании Armis.
Другая распространённая CVE-2019-12264 (оценка CVSS: 7,1) связана с некорректным контролем доступа в клиентском компоненте DHCP Wind River VxWorks.
Кроме того, выделяют такие влияющие на инфузионный насос недостатки, как:
- CVE-2016-9355 (оценка CVSS: 5,3) — неавторизованный пользователь, имеющий физический доступ к устройствам Alaris 8015 Point of Care, может разобрать устройство, чтобы получить доступ к съемной флэш-памяти, что обеспечивает доступ для чтения и записи к памяти устройства.
- CVE-2016-8375 (оценка CVSS: 4,9) — ошибка управления учетными данными в устройствах Alaris 8015 Point of Care, которая может быть использована для получения незашифрованных учетных данных для аутентификации в беспроводной сети и других конфиденциальных технических данных.
- CVE-2020-25165 (оценка CVSS: 7,5) — уязвимость неправильной аутентификации сеанса в устройствах Alaris 8015 Point of Care, которая может быть использована для выполнения атаки типа «отказ в обслуживании» на устройствах.
- CVE-2020-12040 (оценка CVSS: 9,8) — передача конфиденциальной информации открытым текстом в инфузионной системе Sigma Spectrum.
- CVE-2020-12047 (оценка CVSS: 9,8) — использование жестко заданных учетных данных FTP в Baxter Spectrum WBM.
- CVE-2020-12045 (оценка CVSS: 9,8) — использование жестко заданных учетных данных Telnet в Baxter Spectrum WBM.
- CVE-2020-12043 (оценка CVSS: 9,8) — FTP-служба Baxter Spectrum WBM продолжает работать после ожидаемого истечения срока действия до перезагрузки.
- CVE-2020-12041 (оценка CVSS: 9,8) — беспроводной батарейный модуль Baxter Spectrum (WBM) разрешает передачу данных и интерфейсы командной строки через Telnet.
Успешное использование вышеупомянутых уязвимостей может привести к утечке конфиденциальной информации о пациентах и позволить злоумышленнику получить несанкционированный доступ к устройствам.
Unit 42
Know Your Infusion Pump Vulnerabilities and Secure Your Healthcare Organization
Infusion pump vulnerabilities can be surprisingly common. We scanned 200,000 pumps and found 75% had known security gaps.