Как мы и ванговали санкции против российских инфосек вендоров продолжают расширяться. Досталось все той же Лаборатории Касперского.
Американская Федеральная комиссия по связи (FCC) в пятницу внесла ЛК в т.н. Covered List - список компаний, представляющих неприемлемый риск для национальной безопасности США. Касперские попали в обновленный лист не одни, а в компании с China Telecom и China Mobile International.
На самом деле, включение ЛК в этот список - фактически продолжение истории с санкциями Министерства национальной безопасности США (DHS), введенными против вендора в 2017 году. Какие конкретно последствия проистекают из внесения компании в Covered List FCC мы, если честно, так и не разобрались до конца. Единственное, что удалось обнаружить, - это запрет на поддержку от некоего FCC's Universal Service Fund.
Вероятно, что произошедшее - это, по сути, запрет на работу в американских сетях связи. Но, полагаем, после директивы DHS от 2017 года Касперские и так там не присутствовали. Таким образом, все происходящее - это, скорее всего, PR-история для создания медийной картинки неотвратимого давления на российскую IT-отрасль, поскольку Лаборатория Касперского является, пожалуй, самым узнаваемым в мире российским IT-брендом.
Дальнейшее нагнетание обстановки в отношении отечественных инфосек компаний, думаем, последует от стран ЕС. Но тут бы мы на их месте не торопились. А то им скоро газ за рубли покупать, а, как говорят, рублевые операции хорошо проходят только у компаний, которые стоят под защитой российских инфосек вендоров 😎
Американская Федеральная комиссия по связи (FCC) в пятницу внесла ЛК в т.н. Covered List - список компаний, представляющих неприемлемый риск для национальной безопасности США. Касперские попали в обновленный лист не одни, а в компании с China Telecom и China Mobile International.
На самом деле, включение ЛК в этот список - фактически продолжение истории с санкциями Министерства национальной безопасности США (DHS), введенными против вендора в 2017 году. Какие конкретно последствия проистекают из внесения компании в Covered List FCC мы, если честно, так и не разобрались до конца. Единственное, что удалось обнаружить, - это запрет на поддержку от некоего FCC's Universal Service Fund.
Вероятно, что произошедшее - это, по сути, запрет на работу в американских сетях связи. Но, полагаем, после директивы DHS от 2017 года Касперские и так там не присутствовали. Таким образом, все происходящее - это, скорее всего, PR-история для создания медийной картинки неотвратимого давления на российскую IT-отрасль, поскольку Лаборатория Касперского является, пожалуй, самым узнаваемым в мире российским IT-брендом.
Дальнейшее нагнетание обстановки в отношении отечественных инфосек компаний, думаем, последует от стран ЕС. Но тут бы мы на их месте не торопились. А то им скоро газ за рубли покупать, а, как говорят, рублевые операции хорошо проходят только у компаний, которые стоят под защитой российских инфосек вендоров 😎
Telegram
SecAtor
Вчера Федеральное управление по информационной безопасности Германии (BSI) распространило пресс-релиз, в котором призвало немецкие организации заменить антивирусные продукты Лаборатории Касперского на альтернативное ПО.
В качестве обоснования BSI указывает…
В качестве обоснования BSI указывает…
На самом деле давно известен трюк, который злоумышленники используют во время фишинговых атак в популярных службах обмена сообщениями, таких как WhatsApp, Signal, iMessage и др. Фокус состоит в том, что хакеры могут использовать URL-адреса, которые выглядят для получателя легитимными.
Некоторые из основных уязвимостей известны с 2019 года и подвергают риску пользователей самых популярных платформ обмена сообщениями и электронной почты, таких как Instagram, iMessage, WhatsApp, Signal и Facebook Messenger.
Самое интересное, что уязвимости были впервые обнаружены в августе 2019 года исследователем по имени zadewg. Но исследователь не хотел делиться дополнительной информацией о методе эксплуатации уязвимостей, которые были продемонстрированы им только на видео и поэтому Sick.Codes решили воспроизвести эксплойт самостоятельно и написать для него PoC.
Уязвимости представляют собой ошибки рендеринга, из-за которых пользовательский интерфейс приложения неправильно отображает URL-адреса со вставленными элементами управления Unicode RTLO (переопределение справа налево), что делает пользователя уязвимым для атак с подменой URI.
Когда символ RTLO вставляется в строку, он заставляет браузер или приложение для обмена сообщениями отображать строку справа налево вместо ее обычной ориентации слева направо. Этот символ в основном используется для обозначения сообщений на арабском языке или иврите. Таким образом, доверенные домены для фишинговых атак могут быть подделаны в сообщениях и выглядеть как законные и доверенные субдомены apple.com или google.com.
После введенного управляющего символа RTLO URL-адрес инвертируется, поскольку он обрабатывается как язык «справа налево». Так например, поддельный URL-адрес «gepj.xyz» будет отображаться как безвредный файл изображения JPEG «zyx.jpeg», а поддельный URL-адрес «kpa.li» будет отображаться как APK-файл «li.apk» и т д. Затем многие URL-адреса могут быть скрыты, что затрудняет обнаружение спуфинга.
CVE были назначены соответствующим уязвимостям и, как известно, работают в следующих версиях мессенджеров:
- CVE-2020-20093: Facebook Messenger 227.0 или более ранней версии для iOS и 228.1.0.10.116 или более ранней версии для Android.
- CVE-2020-20094: Instagram 106.0 или более ранней версии для iOS и 107.0.0.11 или более ранней версии для Android.
- CVE-2020-20095: iMessage 14.3 или более ранней версии для iOS.
- CVE-2020-20096: WhatsApp 2.19.80 или более ранней версии для iOS и 2.19.222 или более ранней версии для Android.
Так как PoC был опубликован относительно недавно и увы перечисленные уязвимости активно эксплуатировались в течение длительного времени в дикой природе. Например, у того же Signal нет соответствующего идентификатора CVE, так как конкретный метод атаки был раскрыт ими совсем недавно.
Некоторые из основных уязвимостей известны с 2019 года и подвергают риску пользователей самых популярных платформ обмена сообщениями и электронной почты, таких как Instagram, iMessage, WhatsApp, Signal и Facebook Messenger.
Самое интересное, что уязвимости были впервые обнаружены в августе 2019 года исследователем по имени zadewg. Но исследователь не хотел делиться дополнительной информацией о методе эксплуатации уязвимостей, которые были продемонстрированы им только на видео и поэтому Sick.Codes решили воспроизвести эксплойт самостоятельно и написать для него PoC.
Уязвимости представляют собой ошибки рендеринга, из-за которых пользовательский интерфейс приложения неправильно отображает URL-адреса со вставленными элементами управления Unicode RTLO (переопределение справа налево), что делает пользователя уязвимым для атак с подменой URI.
Когда символ RTLO вставляется в строку, он заставляет браузер или приложение для обмена сообщениями отображать строку справа налево вместо ее обычной ориентации слева направо. Этот символ в основном используется для обозначения сообщений на арабском языке или иврите. Таким образом, доверенные домены для фишинговых атак могут быть подделаны в сообщениях и выглядеть как законные и доверенные субдомены apple.com или google.com.
После введенного управляющего символа RTLO URL-адрес инвертируется, поскольку он обрабатывается как язык «справа налево». Так например, поддельный URL-адрес «gepj.xyz» будет отображаться как безвредный файл изображения JPEG «zyx.jpeg», а поддельный URL-адрес «kpa.li» будет отображаться как APK-файл «li.apk» и т д. Затем многие URL-адреса могут быть скрыты, что затрудняет обнаружение спуфинга.
CVE были назначены соответствующим уязвимостям и, как известно, работают в следующих версиях мессенджеров:
- CVE-2020-20093: Facebook Messenger 227.0 или более ранней версии для iOS и 228.1.0.10.116 или более ранней версии для Android.
- CVE-2020-20094: Instagram 106.0 или более ранней версии для iOS и 107.0.0.11 или более ранней версии для Android.
- CVE-2020-20095: iMessage 14.3 или более ранней версии для iOS.
- CVE-2020-20096: WhatsApp 2.19.80 или более ранней версии для iOS и 2.19.222 или более ранней версии для Android.
Так как PoC был опубликован относительно недавно и увы перечисленные уязвимости активно эксплуатировались в течение длительного времени в дикой природе. Например, у того же Signal нет соответствующего идентификатора CVE, так как конкретный метод атаки был раскрыт ими совсем недавно.
GitHub
RIUS/exploit.sh at master · zadewg/RIUS
CVE-2020-20093; 20094; 20095; 20096, 2022-28345 RTLO Injection URI Spoofing - zadewg/RIUS
Немного с фронтов ransomware.
Conti зашифровали ROYAL BRUNEI AIRLINES SDN BHD и угрожают утечкой двух файлов общим размером 342 КБ. Казалось бы мелочь, сами оцените.
Тем временем, Hive поработали над своим шифровальщиком Linux VMware ESXi, переложив его на язык программирования Rust и расширив функционал, затрудняющий контроль за переговорами о выкупе. Ведь во многих случаях эти переговоры затем публикуются в Твиттере и на других публичных ресурсах, что приводит к провалу переговоров.
Примечательно то, что Hive уже некоторое время использует шифровальщик Linux для атак на серверы VMware ESXi, а недавний образец показывает, что они обновили свой софт функциями, впервые представленными BlackCat/ALPHV.
Так, BlackCat удалила из своего шифровальщика URL-адреса чатов с переговорами жертв в Tor по вопросам выплаты выкупа. Копируя BlackCat, теперь Hive также закрыла возможность получения учетных данных для входа в систему из образцов вредоносного ПО для Linux, поскольку учетные данные теперь доступны только в заметках о выкупе, созданных во время атаки.
Кроме того, Hive вслед за BlackCat переложили свой Linux-шифровальщик с Golang на Rust, делая ransomware более эффективным и сложным для анализа исследователями.
Поскольку шифрование виртуальных машин VMware ESXi является главным залогом любой успешной атаки, вымогатели постоянно совершенствуют свой код, чтобы не только повысить эффективность, но и обеспечить скрытность своих операций и тем более переговоров.
По мере того, как все больше компаний переходят на виртуализацию, разработчики ransomware не только концентрируют усилия на устройствах Windows, но и все активнее адаптируют свой софт под Linux. В связи с чем, специалистам по ИБ и админам необходимо уделять пристальное внимание своим серверам Linux в контексте обнаружения и противодействия возможным угрозам.
Conti зашифровали ROYAL BRUNEI AIRLINES SDN BHD и угрожают утечкой двух файлов общим размером 342 КБ. Казалось бы мелочь, сами оцените.
Тем временем, Hive поработали над своим шифровальщиком Linux VMware ESXi, переложив его на язык программирования Rust и расширив функционал, затрудняющий контроль за переговорами о выкупе. Ведь во многих случаях эти переговоры затем публикуются в Твиттере и на других публичных ресурсах, что приводит к провалу переговоров.
Примечательно то, что Hive уже некоторое время использует шифровальщик Linux для атак на серверы VMware ESXi, а недавний образец показывает, что они обновили свой софт функциями, впервые представленными BlackCat/ALPHV.
Так, BlackCat удалила из своего шифровальщика URL-адреса чатов с переговорами жертв в Tor по вопросам выплаты выкупа. Копируя BlackCat, теперь Hive также закрыла возможность получения учетных данных для входа в систему из образцов вредоносного ПО для Linux, поскольку учетные данные теперь доступны только в заметках о выкупе, созданных во время атаки.
Кроме того, Hive вслед за BlackCat переложили свой Linux-шифровальщик с Golang на Rust, делая ransomware более эффективным и сложным для анализа исследователями.
Поскольку шифрование виртуальных машин VMware ESXi является главным залогом любой успешной атаки, вымогатели постоянно совершенствуют свой код, чтобы не только повысить эффективность, но и обеспечить скрытность своих операций и тем более переговоров.
По мере того, как все больше компаний переходят на виртуализацию, разработчики ransomware не только концентрируют усилия на устройствах Windows, но и все активнее адаптируют свой софт под Linux. В связи с чем, специалистам по ИБ и админам необходимо уделять пристальное внимание своим серверам Linux в контексте обнаружения и противодействия возможным угрозам.
Twitter
DarkTracer : DarkWeb Criminal Intelligence
[ALERT] Conti ransomware gang has announced "ROYAL BRUNEI AIRLINES SDN BHD" on the victim list.
Производитель оборудования в сфере безопасности SonicWall устранил критическую уязвимость в операционной системе SonicOS, которая допускает DoS и может привести к удаленному выполнению кода (RCE).
Ошибка представляет собой уязвимость переполнения буфера на основе стека с оценкой CVSS 9,4 и влияет на несколько брандмауэров SonicWall.
CVE-2022-22274 затрагивает брандмауэры следующего поколения (NGFW) настольных ПК TZ Series начального уровня для малого и среднего бизнеса (SMB), брандмауэры Network Security Virtual (серия NSv), предназначенные для защиты облака, а также высокопроизводительные брандмауэры платформы служб сетевой безопасности (NSsp).
Злоумышленник, не прошедший проверку подлинности, может использовать уязвимость удаленно, через HTTP-запросы, в атаках низкой сложности, которые не требуют взаимодействия с пользователем, чтобы вызвать отказ в обслуживании (DoS) или потенциально привести к RCE в брандмауэре.
Команда SonicWall (PSIRT) сообщает, что общедоступных PoC не представлено, доказательств использования в атаках также не получено.
Компания выпустила исправления для всех уязвимых версий SonicOS и брандмауэров и настоятельно призывает клиентов обновить все затронутые продукты.
Все бы ничего, но полный официальный патч ожидается только к середине апреля. Тем временем, исправление доступно по запросу в службу поддержки. В частности, для владельцев высокоскоростного брандмауэра корпоративного класса NSsp 15700 доступно исправление прошивки 7.0.1-5030-HF-R844.
Доступен также временный обходной путь для удаления вектора эксплуатации в системах, который подразумевает ограничение доступа к интерфейсу управления SonicOS доверенными источниками, изменив существующие правила для SSH/HTTPS/ HTTP. Соответствующие рекомендации по смягчению последствий SonicWall заблаговременно передала всем пострадавшим организациям.
Ошибка представляет собой уязвимость переполнения буфера на основе стека с оценкой CVSS 9,4 и влияет на несколько брандмауэров SonicWall.
CVE-2022-22274 затрагивает брандмауэры следующего поколения (NGFW) настольных ПК TZ Series начального уровня для малого и среднего бизнеса (SMB), брандмауэры Network Security Virtual (серия NSv), предназначенные для защиты облака, а также высокопроизводительные брандмауэры платформы служб сетевой безопасности (NSsp).
Злоумышленник, не прошедший проверку подлинности, может использовать уязвимость удаленно, через HTTP-запросы, в атаках низкой сложности, которые не требуют взаимодействия с пользователем, чтобы вызвать отказ в обслуживании (DoS) или потенциально привести к RCE в брандмауэре.
Команда SonicWall (PSIRT) сообщает, что общедоступных PoC не представлено, доказательств использования в атаках также не получено.
Компания выпустила исправления для всех уязвимых версий SonicOS и брандмауэров и настоятельно призывает клиентов обновить все затронутые продукты.
Все бы ничего, но полный официальный патч ожидается только к середине апреля. Тем временем, исправление доступно по запросу в службу поддержки. В частности, для владельцев высокоскоростного брандмауэра корпоративного класса NSsp 15700 доступно исправление прошивки 7.0.1-5030-HF-R844.
Доступен также временный обходной путь для удаления вектора эксплуатации в системах, который подразумевает ограничение доступа к интерфейсу управления SonicOS доверенными источниками, изменив существующие правила для SSH/HTTPS/ HTTP. Соответствующие рекомендации по смягчению последствий SonicWall заблаговременно передала всем пострадавшим организациям.
Lockbit решили попиариться и объявили о BugBounty в размере 1 000 000 долларов США за свои же головы. Хакеры пообещали выплатить вознаграждение любому силовику, кто сможет установить их.
Если верить тому, что мысли материализуются - перспектива вряд ли порадует авторов. Другое дело, что пару миллионов все же найдутся, правда после обыска.
Если верить тому, что мысли материализуются - перспектива вряд ли порадует авторов. Другое дело, что пару миллионов все же найдутся, правда после обыска.
Вслед за израильской NSO Group банкротство настигло FinFisher из Германии.
FinFisher GmbH продавала правоохранительным и спецслужбам специализированное ПО, которое можно было использовать для решения оперативных задач. По данным WikiLeaks, в реальности компания предлагала свое шпионское ПО FinSpy как средство доступа к целевым компьютерным системам по всему миру в обход любых антивирусных средств.
Первоначально продукция реализовывалась подразделением британской компании Gamma Group. После его роспуска в 2014 году, шпионское ПО продолжило продаваться немецким поставщиком FinFisher.
Репрессии в адрес разработчиков начались сразу после начавшихся еще в 2011 году скандалов с обвинениями в нарушениях экспортных процедур и поставке спецПО Турции, Египту и Мьянме, власти которых использовали его наблюдения за своими оппонентами.
Тем временем Citizen Lab опубликовала серию собственных расследований, в которых говорится, что правительства более чем 30 стран подозреваются в использовании FinFisher, включая Бангладеш, Эфиопию, Оман, Саудовскую Аравию и Венесуэлу.
Однако в сентябре 2019 года коалиция правозащитных групп подала иск против компании, утверждая, что она поставила свое шпионское ПО в Турцию без получения необходимой лицензии от федерального правительства Германии, где FinSpy использовался для слежки за неугодными режиму лицами, что было отражено в техническом отчете, опубликованном группой по цифровым правам Access Now. Именно после этой жалобы правоохранительные органы Германии начали расследование и провели обыски в офисах компании.
Несмотря на то, что расследование предполагаемых нарушений продолжается до сих пор, счета компании по требованию мюнхенской прокуратуры были заблокированы, как и другие активы, которые были получены в результате незаконных действий, что и привело фактически к ликвидации FinFisher.
По данным немецкого управляющего по делам о несостоятельности JAFFÉ Rechtsanwälte Insolvenzverwalter, в начале февраля мюнхенская компания FinFisher и две связанные с ней фирмы — FinFisher Labs GmbH и raedarius m8 GmbH — подали заявление о банкротстве.
Но это вовсе не означает, что цифровые права больше не будут впредь нарушаться, будут - но другим поставщиком: ведь мы уже не раз говорили об инициированном глобальном переделе международного рынка шпионских ПО.
FinFisher GmbH продавала правоохранительным и спецслужбам специализированное ПО, которое можно было использовать для решения оперативных задач. По данным WikiLeaks, в реальности компания предлагала свое шпионское ПО FinSpy как средство доступа к целевым компьютерным системам по всему миру в обход любых антивирусных средств.
Первоначально продукция реализовывалась подразделением британской компании Gamma Group. После его роспуска в 2014 году, шпионское ПО продолжило продаваться немецким поставщиком FinFisher.
Репрессии в адрес разработчиков начались сразу после начавшихся еще в 2011 году скандалов с обвинениями в нарушениях экспортных процедур и поставке спецПО Турции, Египту и Мьянме, власти которых использовали его наблюдения за своими оппонентами.
Тем временем Citizen Lab опубликовала серию собственных расследований, в которых говорится, что правительства более чем 30 стран подозреваются в использовании FinFisher, включая Бангладеш, Эфиопию, Оман, Саудовскую Аравию и Венесуэлу.
Однако в сентябре 2019 года коалиция правозащитных групп подала иск против компании, утверждая, что она поставила свое шпионское ПО в Турцию без получения необходимой лицензии от федерального правительства Германии, где FinSpy использовался для слежки за неугодными режиму лицами, что было отражено в техническом отчете, опубликованном группой по цифровым правам Access Now. Именно после этой жалобы правоохранительные органы Германии начали расследование и провели обыски в офисах компании.
Несмотря на то, что расследование предполагаемых нарушений продолжается до сих пор, счета компании по требованию мюнхенской прокуратуры были заблокированы, как и другие активы, которые были получены в результате незаконных действий, что и привело фактически к ликвидации FinFisher.
По данным немецкого управляющего по делам о несостоятельности JAFFÉ Rechtsanwälte Insolvenzverwalter, в начале февраля мюнхенская компания FinFisher и две связанные с ней фирмы — FinFisher Labs GmbH и raedarius m8 GmbH — подали заявление о банкротстве.
Но это вовсе не означает, что цифровые права больше не будут впредь нарушаться, будут - но другим поставщиком: ведь мы уже не раз говорили об инициированном глобальном переделе международного рынка шпионских ПО.
Bloomberg.com
Spyware Vendor FinFisher Claims Insolvency Amid Investigation
A German company long criticized for helping governments spy on communications has shut down operations and filed for insolvency, according to authorities.
Checkmarx обнаружили угрозу, связанную с деятельностью злоумышленника RED-LILI, отметившегося созданием и доставкой сотен вредоносных пакетов в экосистему NPM в режиме автоматизации, что вызывает серьёзные опасения в контексте атак на цепочки зависимостей, особенно на фоне последних инцидентов с саботажем отдельных разработчиков.
По данным Checkmarx, RED-LILI полностью автоматизировал процесс создания учеток NPM для проведения атак с путаницей зависимостей, которые трудно обнаружить.
Обычно злоумышленники для этих целей используют анонимную одноразовую учетную запись NPM, с которой они запускают свои атаки. В этой ситуации злоумышленник полностью автоматизировал процесс их создания, создав выделенные учетные записи на каждый пакет с вредоносным вложением.
Актор в настоящее время все еще активен и продолжает штамповать вредоносные пакеты. На текущий момент исследователям обнаружили и отслеживают около 800 пакетов, большинство из которых имели уникальную учетную запись пользователя для каждого из них, созданных в течение одной недели.
При этом имена пакетов были методично подобраны, а имена публикующих их пользователей представляли собой случайно сгенерированные строки, в том числе такие как 5t7crz72 и d4ugwerp.
Все указывает на то, что злоумышленник выстроил процесс автоматизации от начала до конца, включая регистрацию пользователей и прохождение OTP-вызовов, а также сокрытие вредоносные пакеты NPM.
Если до этого инцидента отмечались случаи публикации вредоносных полезных нагрузок в полуавтоматическом режиме, то RED-LILI организовал все в формате полной автоматизации, значительно увеличивая шансы заражения. И этот факт знаменует новый тренд на ландшафте угроз в экосистеме NPM. Безусловно, негативные процессы будут лишь прогрессировать.
Компания выкатила полный список вредоносных пакетов в своей документации.
По данным Checkmarx, RED-LILI полностью автоматизировал процесс создания учеток NPM для проведения атак с путаницей зависимостей, которые трудно обнаружить.
Обычно злоумышленники для этих целей используют анонимную одноразовую учетную запись NPM, с которой они запускают свои атаки. В этой ситуации злоумышленник полностью автоматизировал процесс их создания, создав выделенные учетные записи на каждый пакет с вредоносным вложением.
Актор в настоящее время все еще активен и продолжает штамповать вредоносные пакеты. На текущий момент исследователям обнаружили и отслеживают около 800 пакетов, большинство из которых имели уникальную учетную запись пользователя для каждого из них, созданных в течение одной недели.
При этом имена пакетов были методично подобраны, а имена публикующих их пользователей представляли собой случайно сгенерированные строки, в том числе такие как 5t7crz72 и d4ugwerp.
Все указывает на то, что злоумышленник выстроил процесс автоматизации от начала до конца, включая регистрацию пользователей и прохождение OTP-вызовов, а также сокрытие вредоносные пакеты NPM.
Если до этого инцидента отмечались случаи публикации вредоносных полезных нагрузок в полуавтоматическом режиме, то RED-LILI организовал все в формате полной автоматизации, значительно увеличивая шансы заражения. И этот факт знаменует новый тренд на ландшафте угроз в экосистеме NPM. Безусловно, негативные процессы будут лишь прогрессировать.
Компания выкатила полный список вредоносных пакетов в своей документации.
Checkmarx
A Beautiful Factory for Malicious Packages
In the past month, Checkmarx SCS research team has been tracking the malicious activity of RED-LILI, which marks a significant milestone in the development of software supply-chain attacks. After gathering enough clues, the team has reconstructed this threat…
Исследователи из SentinelOne представили подробный отчет в отношении паре критических уязвимостей удаленного выполнения кода, которые были обнаружены в Microsoft Defender для IoT.
Защитник для IoT, разработанный с возможностями непрерывного обнаружения и реагирования в сети (NDR), поддерживает различные устройства IoT, OT и промышленных систем управления (ICS) и может быть развернут как локально, так и в облаке.
Выявленные CVE-2021-42311 и CVE-2021-42313 имеют 10 баллов по шкале CVSS и были устранены Microsoft в рамках PatchTuesday за декабрь 2021 года. Обе представляют собой уязвимости SQL-инъекций, которые удаленный злоумышленник может использовать без аутентификации для выполнения RCE.
Выявленная в процессе проверки токена CVE-2021-42313 возникает из-за того, что параметр UUID не очищается. Ошибка позволяла им внедрять, обновлять и выполнять специальные команды SQL, на основании чего исследователи разработали PoC, который использует багу для извлечения идентификатора сеанса вошедшего в систему пользователя из базы данных, что приводит к полному захвату учетной записи.
CVE-2021-42311 также связана с процессом проверки токена, хотя и выполняется другой функцией, поскольку токен API, используемый для проверки, является общим для всех установок Defender for IoT.
SentinelLabs сообщила Microsoft о критических уязвимостях в июне 2021 года, а также о трех других проблемах, в том числе двух серьезных уязвимостях в Microsoft Defender для IoT (CVE-2021-42312 и CVE-2021-42310) и уязвимости в проекте с открытым исходным кодом RCDCAP (CVE -2021-37222).
CVE-2021-42310, как поясняют SentinelLabs, связана с механизмом восстановления пароля портала Azure, состоящим из веб-API Python и веб-API Java, который подвержен ошибке TOCTOU. Он использует подписанный ZIP-файл сброса пароля, который пользователь должен загрузить на соответствующей странице сброса пароля. Однако из-за дефекта безопасности можно использовать этот ZIP от другого пользователя для создания ZIP-файла, содержащего вредоносный JSON.
Атака может быть использована для получения пароля привилегированного пользователя Cyberx (Microsoft приобрела CyberX в 2020 году и встроила в Defender для IoT), что может привести к выполнению кода с привилегиями root, и натолкнуло исследователей к обнаружению простой проблемы с внедрением команд, влияющей на механизм смены пароля. Позже она была устранена в рамках CVE-2021-42312.
Несмотря на то, что свидетельств эксплуатации этих уязвимостей в дикой природе пока нет, все же рекомендуется отозвать все привилегированные учетные данные, развернутые на платформе, до того, как облачные платформы будут исправлены, и проверить журналы доступа на наличие нарушений.
Защитник для IoT, разработанный с возможностями непрерывного обнаружения и реагирования в сети (NDR), поддерживает различные устройства IoT, OT и промышленных систем управления (ICS) и может быть развернут как локально, так и в облаке.
Выявленные CVE-2021-42311 и CVE-2021-42313 имеют 10 баллов по шкале CVSS и были устранены Microsoft в рамках PatchTuesday за декабрь 2021 года. Обе представляют собой уязвимости SQL-инъекций, которые удаленный злоумышленник может использовать без аутентификации для выполнения RCE.
Выявленная в процессе проверки токена CVE-2021-42313 возникает из-за того, что параметр UUID не очищается. Ошибка позволяла им внедрять, обновлять и выполнять специальные команды SQL, на основании чего исследователи разработали PoC, который использует багу для извлечения идентификатора сеанса вошедшего в систему пользователя из базы данных, что приводит к полному захвату учетной записи.
CVE-2021-42311 также связана с процессом проверки токена, хотя и выполняется другой функцией, поскольку токен API, используемый для проверки, является общим для всех установок Defender for IoT.
SentinelLabs сообщила Microsoft о критических уязвимостях в июне 2021 года, а также о трех других проблемах, в том числе двух серьезных уязвимостях в Microsoft Defender для IoT (CVE-2021-42312 и CVE-2021-42310) и уязвимости в проекте с открытым исходным кодом RCDCAP (CVE -2021-37222).
CVE-2021-42310, как поясняют SentinelLabs, связана с механизмом восстановления пароля портала Azure, состоящим из веб-API Python и веб-API Java, который подвержен ошибке TOCTOU. Он использует подписанный ZIP-файл сброса пароля, который пользователь должен загрузить на соответствующей странице сброса пароля. Однако из-за дефекта безопасности можно использовать этот ZIP от другого пользователя для создания ZIP-файла, содержащего вредоносный JSON.
Атака может быть использована для получения пароля привилегированного пользователя Cyberx (Microsoft приобрела CyberX в 2020 году и встроила в Defender для IoT), что может привести к выполнению кода с привилегиями root, и натолкнуло исследователей к обнаружению простой проблемы с внедрением команд, влияющей на механизм смены пароля. Позже она была устранена в рамках CVE-2021-42312.
Несмотря на то, что свидетельств эксплуатации этих уязвимостей в дикой природе пока нет, все же рекомендуется отозвать все привилегированные учетные данные, развернутые на платформе, до того, как облачные платформы будут исправлены, и проверить журналы доступа на наличие нарушений.
SentinelOne
Pwning Microsoft Azure Defender for IoT | Multiple Flaws Allow Remote Code Execution for All
As if IoT & OT aren't hard enough to defend, we dive into five critical vulnerabilities in Microsoft Defender for IoT that leave the door wide open.
В арсенале хакерской группы Purple Fox новый троян FatalRAT, который был обнаружен в недавних атаках.
О новой малвари сообщили исследователи из Trend Micro, по заявлению которых машины пользователей атакуются с помощью троянских программных пакетов, маскирующихся под легитимные установщики приложений. Кроме того, Purple Fox обновили свои механизмы уклонения для обхода программного обеспечения безопасности в связи с чем установщики активно распространяются в сети и увеличивают общую инфраструктуру ботнета.
О деятельности группировки ранее сообщали исследователи Minerva Labs, которые рассказывали о способах использования мошеннических приложений Telegram для распространения бэкдора, а также других замаскированных установщиков программного обеспечения, таких как WhatsApp, Adobe Flash Player и Google Chrome.
Эти пакеты используются как загрузчики первого уровня, запуская последовательность заражений, которая приводила к развертыванию полезной нагрузки второго уровня с удаленного сервера и завершается выполнением двоичного файла, наследующего свои функции от FatalRAT.
Сам FatalRAT представляет из себя имплантат на основе C++, предназначенный для запуска команд и передачи конфиденциальной информации на удаленный сервер, при этом авторы вредоносных программ постепенно обновляют бэкдор новыми функциями. RAT отвечает за загрузку и выполнение вспомогательных модулей на основе проверок на компьютерах жертв. Например, изменения могут произойти, если запущены определенные антивирусные программы или найдены ключи реестра.
Кроме того, малварь поставляется с модулем руткита и поддерживает пять различных команд, включая копирование и удаление файлов из ядра, а также уклонение от антивируса путем перехвата вызовов, отправляемых в файловую систему.
Специалисты предупреждают, что операторы ботнета Purple Fox по-прежнему активны и постоянно обновляют свой арсенал новыми вредоносными программами. Хакеры постоянно оптимизируют работу руткитов для обхода антивирусных средств и других механизмов обнаружения путем подписанных драйверов ядра ОС.
О новой малвари сообщили исследователи из Trend Micro, по заявлению которых машины пользователей атакуются с помощью троянских программных пакетов, маскирующихся под легитимные установщики приложений. Кроме того, Purple Fox обновили свои механизмы уклонения для обхода программного обеспечения безопасности в связи с чем установщики активно распространяются в сети и увеличивают общую инфраструктуру ботнета.
О деятельности группировки ранее сообщали исследователи Minerva Labs, которые рассказывали о способах использования мошеннических приложений Telegram для распространения бэкдора, а также других замаскированных установщиков программного обеспечения, таких как WhatsApp, Adobe Flash Player и Google Chrome.
Эти пакеты используются как загрузчики первого уровня, запуская последовательность заражений, которая приводила к развертыванию полезной нагрузки второго уровня с удаленного сервера и завершается выполнением двоичного файла, наследующего свои функции от FatalRAT.
Сам FatalRAT представляет из себя имплантат на основе C++, предназначенный для запуска команд и передачи конфиденциальной информации на удаленный сервер, при этом авторы вредоносных программ постепенно обновляют бэкдор новыми функциями. RAT отвечает за загрузку и выполнение вспомогательных модулей на основе проверок на компьютерах жертв. Например, изменения могут произойти, если запущены определенные антивирусные программы или найдены ключи реестра.
Кроме того, малварь поставляется с модулем руткита и поддерживает пять различных команд, включая копирование и удаление файлов из ядра, а также уклонение от антивируса путем перехвата вызовов, отправляемых в файловую систему.
Специалисты предупреждают, что операторы ботнета Purple Fox по-прежнему активны и постоянно обновляют свой арсенал новыми вредоносными программами. Хакеры постоянно оптимизируют работу руткитов для обхода антивирусных средств и других механизмов обнаружения путем подписанных драйверов ядра ОС.
Trend Micro
Purple Fox Uses New Arrival Vector and Improves Malware Arsenal
Forwarded from SecurityLab.ru
Уязвимости в Dell BIOS, 230 тыс. маршрутизаторов контролируются ботнетом. Security-новости #54 | 12+
— Александр Антипов еженедельно рассказывает о главных новостях из мира ИБ, актуальных угрозах и событиях, которые оказывают влияние на жизни людей.
— Еженедельные конкурсы для подписчиков канала - курс недели и 10 годовых подписок на VPN hidemy.name
— Смотрите наши новости, ставьте лайки и жмите на цифровой колольчик, мы вместе спасем этот мир от киберхаоса!
https://www.youtube.com/watch?v=xcZQftc18Lw
— Александр Антипов еженедельно рассказывает о главных новостях из мира ИБ, актуальных угрозах и событиях, которые оказывают влияние на жизни людей.
— Еженедельные конкурсы для подписчиков канала - курс недели и 10 годовых подписок на VPN hidemy.name
— Смотрите наши новости, ставьте лайки и жмите на цифровой колольчик, мы вместе спасем этот мир от киберхаоса!
https://www.youtube.com/watch?v=xcZQftc18Lw
YouTube
Уязвимости в Dell BIOS, 230 тыс. маршрутизаторов контролируются ботнетом. Security-новости #54 | 12+
👉 Новости об инвестициях в кибербезопасность предоставлены каналом IT’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Security-новости
0:21 Розыгрыш VPN, ставьте #Positive и пишите в комментариях какой фильм или сериал стоит посмотреть, чтобы…
0:00 Security-новости
0:21 Розыгрыш VPN, ставьте #Positive и пишите в комментариях какой фильм или сериал стоит посмотреть, чтобы…
Lapsus$ вернулись из отпуска, опровергнув все доводы о том, что в результате силовой операции лондонской полиции костяк группы и ее лидер были арестованы. Собственно, о чем мы и говорили совсем недавно.
Для большей убедительности хакеры слили в сеть более 70 GB исходного кода и данные для доступа к devops-платформам, включая confluence, crucible, jira и github, следующей своей жертвы, которой оказалась компания в сфере разработки ПО со штаб-квартирой в Люксембурге - Globant.
Но самое печальное даже не это. Дело в том, что Globant - это лишь одна из многих других крупных компаний в сфере IT, которые уже были скомпрометированы Lapsus$.
Хакеры уже анонсировали перечень будущих жертв, среди которых Alphabet, Apple, Facebook и др. По их словам, доступ к исходному коду им удалось получить в результате целевой атаки на стороннего поставщика программного обеспечения, который по всей видимости участвовал в совместных разработках.
Для большей убедительности хакеры слили в сеть более 70 GB исходного кода и данные для доступа к devops-платформам, включая confluence, crucible, jira и github, следующей своей жертвы, которой оказалась компания в сфере разработки ПО со штаб-квартирой в Люксембурге - Globant.
Но самое печальное даже не это. Дело в том, что Globant - это лишь одна из многих других крупных компаний в сфере IT, которые уже были скомпрометированы Lapsus$.
Хакеры уже анонсировали перечень будущих жертв, среди которых Alphabet, Apple, Facebook и др. По их словам, доступ к исходному коду им удалось получить в результате целевой атаки на стороннего поставщика программного обеспечения, который по всей видимости участвовал в совместных разработках.
Эскалация кибершпионского противостояния между Пакистаном и Индией эволюционирует и приобретает все более изощрённые и интересные методы шпионской деятельности.
Очередная кампания хакерской группировки APT36 или более известной как Transparent Tribe и Mythic Leopard была обнаружена с использованием новых пользовательских вредоносных программ и векторов атаки против правительства Индии.
Как мы знаем небезызвестный субъект угрозы APT36 активен по крайней мере с 2016 года и его стратегическими целями почти всегда были исключительно индийские оборонные и правительственные организации. С учетом целей и ранее выявленных индикаторов компрометации группировка исторически считается связанной с Пакистаном и спонсируется государством.
В том числе о данной гипотезе рассказали исследователи Cisco Talos в своем новом отчете, который для нашего брата заблокирован, но в котором подробно изложены выводы об активности APT36 и подчеркнуты некоторые новые интересные изменения в тактике злоумышленника.
Наиболее примечательным аспектом новой кампании является использование встроенных приложений аутентификации Kavach, нацеленных на сотрудников индийского правительства. Kavach Authentication — это OTP-приложение, разработанное Индийским национальным центром информатики, для безопасной многофакторной аутентификации в критически важных информационных системах. Данное приложение доступно в Google Play и широко используется военнослужащими или государственными служащими Индии, которым необходим доступ к службам электронной почты, базам данных и другим ведомственными ИТ-ресурсам.
Распространение установщиков Kavach осуществляется через поддельные веб-сайты, которые являются клонами легитимных ресурсов индийских правительственных учреждений. Когда жертва получает копию установщика Kavach в месте с ним эксплуатируется вредоносная полезная нагрузка, которая автоматически инициирует процесс заражения вредоносным ПО по выбору злоумышленника.
Вместе с тем, пакистанские хакеры по-прежнему использует CrimsonRAT, впервые обнаруженный в атаках 2020 года, но вредоносное ПО с тех пор эволюционировало и дает чуть больше возможностей.
CrimsonRAT — основной передовой инструмент APT36, способный красть учетные данные из браузера, получать список запущенных процессов, дополнительные полезные нагрузки от C2 и делать снимки экрана.
В версии 2022 года CrimsonRAT также использует кейлоггер, поддерживает выполнение произвольных команд в скомпрометированной системе, может читать содержимое файлов, удалять файлы и многое другое. Обновление коснулось по большей части обработчика команд и появлению нового инструмента - легкого трояна удаленного доступа на NET, который является более простым по сравнению с CrimsonRAT, но все же предлагает мощные функции, такие как получение списка процессов, загрузки и запуска файлов с C2 или из других мест, безопасное соединение, сбор системной информации и другое.
APT36, вероятно, использует второй имплантат для резервирования, хотя это может быть просто более ранняя версия нового пользовательского RAT, который будет улучшен за счет дополнительных функций в будущем.
Очередная кампания хакерской группировки APT36 или более известной как Transparent Tribe и Mythic Leopard была обнаружена с использованием новых пользовательских вредоносных программ и векторов атаки против правительства Индии.
Как мы знаем небезызвестный субъект угрозы APT36 активен по крайней мере с 2016 года и его стратегическими целями почти всегда были исключительно индийские оборонные и правительственные организации. С учетом целей и ранее выявленных индикаторов компрометации группировка исторически считается связанной с Пакистаном и спонсируется государством.
В том числе о данной гипотезе рассказали исследователи Cisco Talos в своем новом отчете, который для нашего брата заблокирован, но в котором подробно изложены выводы об активности APT36 и подчеркнуты некоторые новые интересные изменения в тактике злоумышленника.
Наиболее примечательным аспектом новой кампании является использование встроенных приложений аутентификации Kavach, нацеленных на сотрудников индийского правительства. Kavach Authentication — это OTP-приложение, разработанное Индийским национальным центром информатики, для безопасной многофакторной аутентификации в критически важных информационных системах. Данное приложение доступно в Google Play и широко используется военнослужащими или государственными служащими Индии, которым необходим доступ к службам электронной почты, базам данных и другим ведомственными ИТ-ресурсам.
Распространение установщиков Kavach осуществляется через поддельные веб-сайты, которые являются клонами легитимных ресурсов индийских правительственных учреждений. Когда жертва получает копию установщика Kavach в месте с ним эксплуатируется вредоносная полезная нагрузка, которая автоматически инициирует процесс заражения вредоносным ПО по выбору злоумышленника.
Вместе с тем, пакистанские хакеры по-прежнему использует CrimsonRAT, впервые обнаруженный в атаках 2020 года, но вредоносное ПО с тех пор эволюционировало и дает чуть больше возможностей.
CrimsonRAT — основной передовой инструмент APT36, способный красть учетные данные из браузера, получать список запущенных процессов, дополнительные полезные нагрузки от C2 и делать снимки экрана.
В версии 2022 года CrimsonRAT также использует кейлоггер, поддерживает выполнение произвольных команд в скомпрометированной системе, может читать содержимое файлов, удалять файлы и многое другое. Обновление коснулось по большей части обработчика команд и появлению нового инструмента - легкого трояна удаленного доступа на NET, который является более простым по сравнению с CrimsonRAT, но все же предлагает мощные функции, такие как получение списка процессов, загрузки и запуска файлов с C2 или из других мест, безопасное соединение, сбор системной информации и другое.
APT36, вероятно, использует второй имплантат для резервирования, хотя это может быть просто более ранняя версия нового пользовательского RAT, который будет улучшен за счет дополнительных функций в будущем.
Во многом благодаря исчезновению Raccoon Stealer на просторах даркнета набирает популярность вредоносное ПО Mars Stealer, следы которого стали фигурировать в недавних крупномасштабных кампаниях, о чем информируют исследователи из Morphisec.
Mars Stealer появился на рынке как переработанная версия вредоносного ПО Oski, разработка которого была прекращена в 2020 году, предлагая более широкий арсенал возможностей для кражи информации в различных приложениях. Низкий ценовой диапазон в 140-160 долларов делает ПО Mars Stealer достаточно доступным инструментом для клиентов различной масти.
В одной из новых обнаруженной Morphisec кампаний для Mars Stealer задействуется реклама Google Ads для продвижения в топ фишинговых сайтов офисного пакета OpenOffice, который до сих пор востребован среди пользователей. Продвигаемый таким образом установщик приложения на самом деле представляет собой исполняемый файл Mars Stealer, упакованный шифровальщиком Babadeda или загрузчиком Autoit.
Благодаря допущенной оператором этой кампании ошибки, исследователям удалось выяснить, что Mars Stealer собирал с зараженных хостов данные автозаполнения браузера, данные расширения браузера, кредитные карты, IP-адрес, код страны и часовой пояс. Кроме того, исследователи смогли обнаружить аккаунты злоумышленника в GitLab, идентифицировать украденные учетные данные, используемые для оплаты Google Ads и многое другое.
Morphisec установили, что Mars Stealer реализуется на 47 площадках в даркнет и Telegram. Операторы ПО в значительной степени сосредоточены на криптовалютных активах, в том числе плагинах MetaMask, Coinbase Wallet, Binance Wallet и Math wallet.
Но, пожалуй, более четко новый малварь разложили 3xp0rt в своем февральском отчете, с которым вы можете ознакомиться здесь
Mars Stealer появился на рынке как переработанная версия вредоносного ПО Oski, разработка которого была прекращена в 2020 году, предлагая более широкий арсенал возможностей для кражи информации в различных приложениях. Низкий ценовой диапазон в 140-160 долларов делает ПО Mars Stealer достаточно доступным инструментом для клиентов различной масти.
В одной из новых обнаруженной Morphisec кампаний для Mars Stealer задействуется реклама Google Ads для продвижения в топ фишинговых сайтов офисного пакета OpenOffice, который до сих пор востребован среди пользователей. Продвигаемый таким образом установщик приложения на самом деле представляет собой исполняемый файл Mars Stealer, упакованный шифровальщиком Babadeda или загрузчиком Autoit.
Благодаря допущенной оператором этой кампании ошибки, исследователям удалось выяснить, что Mars Stealer собирал с зараженных хостов данные автозаполнения браузера, данные расширения браузера, кредитные карты, IP-адрес, код страны и часовой пояс. Кроме того, исследователи смогли обнаружить аккаунты злоумышленника в GitLab, идентифицировать украденные учетные данные, используемые для оплаты Google Ads и многое другое.
Morphisec установили, что Mars Stealer реализуется на 47 площадках в даркнет и Telegram. Операторы ПО в значительной степени сосредоточены на криптовалютных активах, в том числе плагинах MetaMask, Coinbase Wallet, Binance Wallet и Math wallet.
Но, пожалуй, более четко новый малварь разложили 3xp0rt в своем февральском отчете, с которым вы можете ознакомиться здесь
Morphisec
Mars Stealer: Exclusive New Threat Research
Read the Morphisec Labs Team's research on the new Mars infostealer. Mars Stealer steals user credentials stored in many different browsers and cryptocurrency wallets.
В догонку к недавним экстренным исправлениям 0-day в движке JavaScript V8 на этой неделе Google выпустила новое обновление для Chrome с исправлением 28 задокументированных уязвимостей, некоторые из которых достаточно серьезны, чтобы привести к атакам с выполнением кода.
Chrome 100.0.4896.60 доступен для пользователей Windows, Mac и Linux и устраняет 9 ошибок с высоким уровнем серьезности. Большая часть из них относилась к ошибкам, связанным с использованием после освобождения, другие были связаны с переполнением буфера кучи и несоответствующей реализацией. 52 000 долларов США выплачено исследователям в качестве вознаграждения за некоторые из вскрытых дефектов безопасности. Окончательная сумма может быть намного выше, поскольку компании еще предстоит оценить гонорар за оставшиеся дыры.
Самый большой куш в 16000 долларов США за обнаружение CVE-2022-1135 сорвал Вей Юаню из MoyunSec VLab за уязвимость средней степени серьезности, связанную с использованием после освобождения в корзине покупок. В числе других исследователей: Халил Жани, Абделя Адима из Shielder, Ирван Курниаван, Сергей Тошин из Oversecurity, Абдулрахман Алькабанди, Microsoft Browser Vulnerability Research, Ман Юэ Мо из GitHub Security Lab, Томас Орлит, Алесандро Ортис, Морис Дауэр, Raven из лаборатории KunLun, Leecraso и Guang Gong из 360 Alpha Lab, Якун Чжан из Baidu Security.
Полный перечень исправлений и улучшений представлен в журнале.
Chrome 100.0.4896.60 доступен для пользователей Windows, Mac и Linux и устраняет 9 ошибок с высоким уровнем серьезности. Большая часть из них относилась к ошибкам, связанным с использованием после освобождения, другие были связаны с переполнением буфера кучи и несоответствующей реализацией. 52 000 долларов США выплачено исследователям в качестве вознаграждения за некоторые из вскрытых дефектов безопасности. Окончательная сумма может быть намного выше, поскольку компании еще предстоит оценить гонорар за оставшиеся дыры.
Самый большой куш в 16000 долларов США за обнаружение CVE-2022-1135 сорвал Вей Юаню из MoyunSec VLab за уязвимость средней степени серьезности, связанную с использованием после освобождения в корзине покупок. В числе других исследователей: Халил Жани, Абделя Адима из Shielder, Ирван Курниаван, Сергей Тошин из Oversecurity, Абдулрахман Алькабанди, Microsoft Browser Vulnerability Research, Ман Юэ Мо из GitHub Security Lab, Томас Орлит, Алесандро Ортис, Морис Дауэр, Raven из лаборатории KunLun, Leecraso и Guang Gong из 360 Alpha Lab, Якун Чжан из Baidu Security.
Полный перечень исправлений и улучшений представлен в журнале.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 100 to the stable channel for Windows, Mac and Linux. Chrome 100 is also pr...
Forwarded from Russian OSINT
🇺🇸Американские компании Apple и Meta (признана в РФ экстремистской организацией и запрещена) передали пользовательскую информацию хакерам, подделавшим официальный запрос от 👮правоохранительных органов
Как пишет Bloomberg, в середине 2021 года американские компании предоставили некоторые данные о клиентах, в том числе адрес, номер телефона и IP-адрес, получив поддельные "экстренные запросы информации".
Источники пояснили, что обычно запросы персональных данных удовлетворяются только при наличии ордера на обыск или судебной повестки, но экстренные запросы решения суда не требуют.
Полученные незаконным путем данные могли в теории использоваться социальными инженерами для облегчения схем финансового мошенничества и других целей. Какой объем данных попал в цепкие лапы матёрых злоумышленников остается в секрете.
https://www.interfax.ru/world/832289
Как пишет Bloomberg, в середине 2021 года американские компании предоставили некоторые данные о клиентах, в том числе адрес, номер телефона и IP-адрес, получив поддельные "экстренные запросы информации".
Источники пояснили, что обычно запросы персональных данных удовлетворяются только при наличии ордера на обыск или судебной повестки, но экстренные запросы решения суда не требуют.
Полученные незаконным путем данные могли в теории использоваться социальными инженерами для облегчения схем финансового мошенничества и других целей. Какой объем данных попал в цепкие лапы матёрых злоумышленников остается в секрете.
https://www.interfax.ru/world/832289
Встречайте, Spring4Shell. Правда, если сравнивать обнаруженную RCE в Java Spring Framework с Log4Shell, эффект которой можно назвать бомбой, то новая 0-Day скорее всего на этом фоне будет выглядеть как связка петард.
Уязвимость удаленного выполнения кода была обнаружена в среде Spring вскоре после того, как некий китайский исследователь, который выпустил на GitHub соответствующий PoC, который вскоре после этого удалил вместе со своими аккаунтами.
Spring - достаточно популярная платформа для создания приложений на основе Java EE (Enterprise Edition), которая позволяет быстро и легко их разрабатывать, а затем и разворачивать на серверах, в том числе Apache Tomcat, в виде автономных пакетов со всеми необходимыми зависимостями.
По данным Praetorian, непропатченная уязвимость затрагивает Spring Core в Java Development Kit (JDK) версии 9 и более поздних и является обходом другой уязвимости, отслеживаемой как CVE-2010-1622, что позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код в целевой системе.
Дополнительные сведения о новой уязвимости не разглашаются, специалисты по поддержке фреймворка Spring.io, дочерняя компания VMware, вовсю работают над исправлением.
Новая бага отличается от двух предыдущих уязвимостей, раскрытых в структуре приложения на этой неделе, включая DoS-уязвимость выражений Spring Framework (CVE-2022-22950) и уязвимость доступа к ресурсам выражений Spring Cloud (CVE-2022-22963). Spring RCE вызвана небезопасной десериализацией переданных аргументов.
Praetorian также подтвердила, что ошибка зависит от определенных конфигураций для правильного использования. Для эксплуатации требуется конечная точка с включенным DataBinder (например, запрос POST, который автоматически декодирует данные из тела запроса) и сильно зависит от контейнера сервлетов для приложения.
Например, когда Spring развернут на Apache Tomcat, доступен WebAppClassLoader, что позволяет злоумышленнику вызывать геттеры и сеттеры, чтобы в конечном итоге записать вредоносный JSP-файл на диск. Однако, если Spring развернут с использованием встроенного контейнера сервлетов Tomcat, загрузчик классов — это LaunchedURLClassLoader, доступ к которому ограничен.
В некоторых конфигурациях эксплуатация этой проблемы проста, поскольку для этого требуется, чтобы злоумышленник отправил созданный запрос POST в уязвимую систему.
По мнению специалистов Flashpoint, первоначальный анализ новой уязвимости выполнения кода в Spring Core предполагает, что ее влияние может быть несерьезным. Для эксплуатации уязвимости злоумышленникам необходимо будет найти и идентифицировать экземпляры веб-приложений, которые на самом деле используют DeserializationUtils.
Кроме того, несмотря на общедоступность эксплойтов, Rapid7 утверждают, что в настоящее время неясно, какие реальные приложения используют уязвимую функциональность. ISAC заявили, что еще не завершили свои тесты и не могут однозначно подтвердить действительность PoC для ошибки RCE.
Вместе с тем, согласно заключению аналитика Уилла Дорманна из CERT/CC, эксплойт Spring4Shell в дикой природе все же функционирует и существуют реальные уязвимые приложения. Вообще, по данным источников BleepingComputer, уязвимость активно используется в атаках.
Поскольку для этой уязвимости в настоящее время нет исправления, настоятельно рекомендуется как можно скорее реализовать меры по смягчению атак, связанных с ограничениями функционала Spring Core DataBinder.
Уязвимость удаленного выполнения кода была обнаружена в среде Spring вскоре после того, как некий китайский исследователь, который выпустил на GitHub соответствующий PoC, который вскоре после этого удалил вместе со своими аккаунтами.
Spring - достаточно популярная платформа для создания приложений на основе Java EE (Enterprise Edition), которая позволяет быстро и легко их разрабатывать, а затем и разворачивать на серверах, в том числе Apache Tomcat, в виде автономных пакетов со всеми необходимыми зависимостями.
По данным Praetorian, непропатченная уязвимость затрагивает Spring Core в Java Development Kit (JDK) версии 9 и более поздних и является обходом другой уязвимости, отслеживаемой как CVE-2010-1622, что позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код в целевой системе.
Дополнительные сведения о новой уязвимости не разглашаются, специалисты по поддержке фреймворка Spring.io, дочерняя компания VMware, вовсю работают над исправлением.
Новая бага отличается от двух предыдущих уязвимостей, раскрытых в структуре приложения на этой неделе, включая DoS-уязвимость выражений Spring Framework (CVE-2022-22950) и уязвимость доступа к ресурсам выражений Spring Cloud (CVE-2022-22963). Spring RCE вызвана небезопасной десериализацией переданных аргументов.
Praetorian также подтвердила, что ошибка зависит от определенных конфигураций для правильного использования. Для эксплуатации требуется конечная точка с включенным DataBinder (например, запрос POST, который автоматически декодирует данные из тела запроса) и сильно зависит от контейнера сервлетов для приложения.
Например, когда Spring развернут на Apache Tomcat, доступен WebAppClassLoader, что позволяет злоумышленнику вызывать геттеры и сеттеры, чтобы в конечном итоге записать вредоносный JSP-файл на диск. Однако, если Spring развернут с использованием встроенного контейнера сервлетов Tomcat, загрузчик классов — это LaunchedURLClassLoader, доступ к которому ограничен.
В некоторых конфигурациях эксплуатация этой проблемы проста, поскольку для этого требуется, чтобы злоумышленник отправил созданный запрос POST в уязвимую систему.
По мнению специалистов Flashpoint, первоначальный анализ новой уязвимости выполнения кода в Spring Core предполагает, что ее влияние может быть несерьезным. Для эксплуатации уязвимости злоумышленникам необходимо будет найти и идентифицировать экземпляры веб-приложений, которые на самом деле используют DeserializationUtils.
Кроме того, несмотря на общедоступность эксплойтов, Rapid7 утверждают, что в настоящее время неясно, какие реальные приложения используют уязвимую функциональность. ISAC заявили, что еще не завершили свои тесты и не могут однозначно подтвердить действительность PoC для ошибки RCE.
Вместе с тем, согласно заключению аналитика Уилла Дорманна из CERT/CC, эксплойт Spring4Shell в дикой природе все же функционирует и существуют реальные уязвимые приложения. Вообще, по данным источников BleepingComputer, уязвимость активно используется в атаках.
Поскольку для этой уязвимости в настоящее время нет исправления, настоятельно рекомендуется как можно скорее реализовать меры по смягчению атак, связанных с ограничениями функционала Spring Core DataBinder.
Praetorian
Spring Core on JDK9+ is vulnerable to remote code execution
Update: March 31, 2022 A patch has officially been released. https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement https://tanzu.vmware.com/security/cve-2022-22965 Overview Spring Core on JDK9+ is vulnerable to remote code execution due…
За завидной регулярностью тайваньская компания QNAP стала информировать о проблемах. В этот раз в компании предупредили, что на определенное количество ее сетевых хранилищ (NAS) влияет недавно обнаруженная ошибка в криптографической библиотеке OpenSSL с открытым исходным кодом.
Как сообщают в компании, угрозу представляет уязвимость бесконечного цикла в OpenSSL и в случае ее эксплуатации позволяет злоумышленникам проводить атаки типа «отказ в обслуживании».
Отслеживаемая как CVE-2022-0778 (CVSS 7,5) уязвимость связана с ошибкой, возникающей при анализе сертификатов безопасности для запуска условия отказа в обслуживании и удаленного сбоя неисправленных устройств.
Эта уязвимость не слишком сложна в использовании, но влияние ограничено DoS. Наиболее распространенный сценарий, в котором эксплуатация этой уязвимости может стать проблемой, — это доступ клиента TLS к вредоносному серверу, который обслуживает проблемный сертификат.
QNAP, которая в настоящее время исследует свою линейку, заявила, что под угрозой следующие версии операционной системы: QTS 5.0.x и выше, 4.5.4 и выше, 4.3.6 и выше, 4.3.4 и выше, 4.3.3 и выше, 4.2.6 и выше, QuTS hero h5.0.x и выше, h4.5.4 и выше, а также QuTScloud c5.0.x.
Несмотря на то, что патч был выпущен две недели назад, когда ошибка была публично раскрыта, QNAP объяснила, что ее клиентам придется подождать, пока компания не выпустит собственные обновления безопасности.
К общей радости на сегодняшний день пока нет никаких доказательств того, что уязвимость использовалась в реальных условиях, а патчи для операционных систем QTS и QuTScloud будут выпущены в ближайшее время.
В компании призвали клиентов максимально оперативно устанавливать любые исправления безопасности, которые они выпускают, дабы обезопасить себя от потенциальных атак.
Как сообщают в компании, угрозу представляет уязвимость бесконечного цикла в OpenSSL и в случае ее эксплуатации позволяет злоумышленникам проводить атаки типа «отказ в обслуживании».
Отслеживаемая как CVE-2022-0778 (CVSS 7,5) уязвимость связана с ошибкой, возникающей при анализе сертификатов безопасности для запуска условия отказа в обслуживании и удаленного сбоя неисправленных устройств.
Эта уязвимость не слишком сложна в использовании, но влияние ограничено DoS. Наиболее распространенный сценарий, в котором эксплуатация этой уязвимости может стать проблемой, — это доступ клиента TLS к вредоносному серверу, который обслуживает проблемный сертификат.
QNAP, которая в настоящее время исследует свою линейку, заявила, что под угрозой следующие версии операционной системы: QTS 5.0.x и выше, 4.5.4 и выше, 4.3.6 и выше, 4.3.4 и выше, 4.3.3 и выше, 4.2.6 и выше, QuTS hero h5.0.x и выше, h4.5.4 и выше, а также QuTScloud c5.0.x.
Несмотря на то, что патч был выпущен две недели назад, когда ошибка была публично раскрыта, QNAP объяснила, что ее клиентам придется подождать, пока компания не выпустит собственные обновления безопасности.
К общей радости на сегодняшний день пока нет никаких доказательств того, что уязвимость использовалась в реальных условиях, а патчи для операционных систем QTS и QuTScloud будут выпущены в ближайшее время.
В компании призвали клиентов максимально оперативно устанавливать любые исправления безопасности, которые они выпускают, дабы обезопасить себя от потенциальных атак.
QNAP Systems, Inc. - Network Attached Storage (NAS)
Infinite Loop Vulnerability in OpenSSL - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
IT-компания по разработке ПО со штатом более чем 16 000 сотрудников и доходом в 1,2 млрд. долларов США, засветившаяся на днях в утечках Lapsus$ подтвердила инцидент и подтверждает слив 70 ГБ украденных данных.
Таким образом, опубликованные хакерами админские учетные данные, используемые Globant для работы над кодом в Jira, Confluence, GitHub, Crucible, атентичны. Равно как исходный код и проектная документация разработок компании для крупных клиентов.
По результатам исследования, проведенного SOS Intelligence, утечка данных содержит информацию о клиентах, а также репозитории кода с большим количеством закрытых ключей (полная цепочка, SSL-сертификаты веб-сервера, сервер Globant, ключи API).
Кроме того, утечка включает более 150 файлов базы данных SQL для различных клиентских приложений. Один из репозиториев предназначен для приложения Bluecap в области консультирования в финансовом секторе, которое Globant приобрела в конце 2020 года.
Все слитые образцы данных были сопоставлены с действующими системами, что еще раз подтвердило подлинность представленных хакерами данных.
Globant также заявила, что расследование инцидента не выявило доказательств того, что хакеры взломали какие-либо другие части ее инфраструктуры.
Хотя как знать, клиенты, например, о которых мы сообщали ранее, уже выразили свою крайнюю обеспокоенность, и, вероятно, не зря.
Таким образом, опубликованные хакерами админские учетные данные, используемые Globant для работы над кодом в Jira, Confluence, GitHub, Crucible, атентичны. Равно как исходный код и проектная документация разработок компании для крупных клиентов.
По результатам исследования, проведенного SOS Intelligence, утечка данных содержит информацию о клиентах, а также репозитории кода с большим количеством закрытых ключей (полная цепочка, SSL-сертификаты веб-сервера, сервер Globant, ключи API).
Кроме того, утечка включает более 150 файлов базы данных SQL для различных клиентских приложений. Один из репозиториев предназначен для приложения Bluecap в области консультирования в финансовом секторе, которое Globant приобрела в конце 2020 года.
Все слитые образцы данных были сопоставлены с действующими системами, что еще раз подтвердило подлинность представленных хакерами данных.
Globant также заявила, что расследование инцидента не выявило доказательств того, что хакеры взломали какие-либо другие части ее инфраструктуры.
Хотя как знать, клиенты, например, о которых мы сообщали ранее, уже выразили свою крайнюю обеспокоенность, и, вероятно, не зря.
Telegram
SecAtor
Lapsus$ вернулись из отпуска, опровергнув все доводы о том, что в результате силовой операции лондонской полиции костяк группы и ее лидер были арестованы. Собственно, о чем мы и говорили совсем недавно.
Для большей убедительности хакеры слили в сеть более…
Для большей убедительности хакеры слили в сеть более…
СРОЧНО В НОМЕР!
Британская инфосек компания SOS Intelligence, специализирующаяся на поисковых мероприятиях в дарквеб, сообщает о массовой утечке PIN от банковских карт по всему миру.
Отредактированный пруф присутствует.
Вот тебе, бабушка, и информационная безопасность в банковской среде...
https://twitter.com/SOSIntel/status/1509786154509422619
Британская инфосек компания SOS Intelligence, специализирующаяся на поисковых мероприятиях в дарквеб, сообщает о массовой утечке PIN от банковских карт по всему миру.
Отредактированный пруф присутствует.
Вот тебе, бабушка, и информационная безопасность в банковской среде...
https://twitter.com/SOSIntel/status/1509786154509422619
Twitter
SOS Intelligence
🚨BREAKING NEWS🚨 A hacking group has alleged they have leaked every single person's bank card PIN number. This could be the single most important hack of the card payment system in history! A file containing all PINs in the world was found on derp web. Redacted…
Apple выпустила экстренный обновления для исправления двух 0-day, которые активно используются в дикой природе для взлома iPhone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения), а также компьютеров Mac под управлением macOS Monterey.
Уязвимости представляют собой ошибку записи за пределами памяти (CVE-2022-22674) в графическом драйвере Intel, которая позволяет приложениям считывать память ядра, а также проблема чтения за пределами памяти (CVE-2022-22675) в AppleAVD, медиа-декодере, который позволит приложениям выполнять произвольный код с привилегиями ядра.
Об ошибках сообщили анонимные исследователи, и Apple исправила их в iOS 15.4.1, iPadOS 15.4.1 и macOS Monterey 12.3.1 с улучшенной проверкой ввода и проверкой границ соответственно. Обстоятельства эксплуатации в дикой природе Apple не раскрывает.
В этом году на счету Apple уже пять исправленных 0-day: в январе-феврале были закрыты CVE-2022-22587, CVE-2022-22587, CVE-2022-22594, которые, как все яблочные дыры, вовсю становились предметом жесткой эксплуатации. Прошлогодние баги, к примеру, применялись в работе небезызвестного шпионского ПО Pegasus от компании NSO. Последствия мы все уже наблюдали.
Несмотря на то, что эти нулевые дни, скорее всего, использовались только в целевых атаках, все же настоятельно рекомендуем установить обновления безопасности как можно скорее, чтобы избежать возможных атак.
Уязвимости представляют собой ошибку записи за пределами памяти (CVE-2022-22674) в графическом драйвере Intel, которая позволяет приложениям считывать память ядра, а также проблема чтения за пределами памяти (CVE-2022-22675) в AppleAVD, медиа-декодере, который позволит приложениям выполнять произвольный код с привилегиями ядра.
Об ошибках сообщили анонимные исследователи, и Apple исправила их в iOS 15.4.1, iPadOS 15.4.1 и macOS Monterey 12.3.1 с улучшенной проверкой ввода и проверкой границ соответственно. Обстоятельства эксплуатации в дикой природе Apple не раскрывает.
В этом году на счету Apple уже пять исправленных 0-day: в январе-феврале были закрыты CVE-2022-22587, CVE-2022-22587, CVE-2022-22594, которые, как все яблочные дыры, вовсю становились предметом жесткой эксплуатации. Прошлогодние баги, к примеру, применялись в работе небезызвестного шпионского ПО Pegasus от компании NSO. Последствия мы все уже наблюдали.
Несмотря на то, что эти нулевые дни, скорее всего, использовались только в целевых атаках, все же настоятельно рекомендуем установить обновления безопасности как можно скорее, чтобы избежать возможных атак.
Apple Support
About the security content of iOS 15.4.1 and iPadOS 15.4.1
This document describes the security content of iOS 15.4.1 and iPadOS 15.4.1.
Forwarded from Social Engineering
🧠 Социальная инженерия и фишинг. Профессиональный обман.
• Сегодня я рекомендую ознакомиться с интересной статьей на хабре, которая освещает тему фишинга и #СИ.
🧷 Читать статью: https://habr.com/ru/company/bastion/blog/655795/
📌 В дополнение:
• Фишинг. Практический разбор.
• Спам-письмо. Факторы, влияющие на количество и качество отклика.
• Как правильно использовать фишинговые рассылки в рамках пентеста.
• Фишинговые письма.
• Оформляем письмо для максимального отклика.
• Слабое звено. Подробный гайд по фишингу.
• Обходим спам-фильтр.
• Пример СИ | Фишинг-атаки на биржу Codex.
• Социальная инженерия. Атака на Сбербанк.
• Социальная инженерия. Фишинг организаций. Black Hat.
• Фишинг и "Почта России".
• Методы, применяемые при фишинговых атаках.
• Фишинг с поддельным приглашением на встречу.
• Социальная Инженерия, фишинг и хейт.
• Социальная инженерия, Фишинг и атаки на майнеров.
• Фишинг, 0day и атаки на разработчика баллистических ракет.
• Фишинг. Браузер в браузере.
Твой S.E. #Фишинг #СИ
🖖🏻 Приветствую тебя user_name.• #Фишинг — этот метод позволяет социальным инженерам обходить самые продвинутые защитные системы, воздействуя на эмоции и страхи людей, тем самым атакующий манипулирует жертвой, получает нужную информацию и заставляет свою цель действовать так, как нужно ему.
• Сегодня я рекомендую ознакомиться с интересной статьей на хабре, которая освещает тему фишинга и #СИ.
🧷 Читать статью: https://habr.com/ru/company/bastion/blog/655795/
📌 В дополнение:
• Фишинг. Практический разбор.
• Спам-письмо. Факторы, влияющие на количество и качество отклика.
• Как правильно использовать фишинговые рассылки в рамках пентеста.
• Фишинговые письма.
• Оформляем письмо для максимального отклика.
• Слабое звено. Подробный гайд по фишингу.
• Обходим спам-фильтр.
• Пример СИ | Фишинг-атаки на биржу Codex.
• Социальная инженерия. Атака на Сбербанк.
• Социальная инженерия. Фишинг организаций. Black Hat.
• Фишинг и "Почта России".
• Методы, применяемые при фишинговых атаках.
• Фишинг с поддельным приглашением на встречу.
• Социальная Инженерия, фишинг и хейт.
• Социальная инженерия, Фишинг и атаки на майнеров.
• Фишинг, 0day и атаки на разработчика баллистических ракет.
• Фишинг. Браузер в браузере.
Твой S.E. #Фишинг #СИ