​​Встречайте, Spring4Shell. Правда, если сравнивать обнаруженную RCE в Java Spring Framework с Log4Shell, эффект которой можно назвать бомбой, то новая 0-Day скорее всего на этом фоне будет выглядеть как связка петард.

Уязвимость удаленного выполнения кода была обнаружена в среде Spring вскоре после того, как некий китайский исследователь, который выпустил на GitHub соответствующий PoC, который вскоре после этого удалил вместе со своими аккаунтами.

Spring - достаточно популярная платформа для создания приложений на основе Java EE (Enterprise Edition), которая позволяет быстро и легко их разрабатывать, а затем и разворачивать на серверах, в том числе Apache Tomcat, в виде автономных пакетов со всеми необходимыми зависимостями.

По данным Praetorian, непропатченная уязвимость затрагивает Spring Core в Java Development Kit (JDK) версии 9 и более поздних и является обходом другой уязвимости, отслеживаемой как CVE-2010-1622, что позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код в целевой системе.

Дополнительные сведения о новой уязвимости не разглашаются, специалисты по поддержке фреймворка Spring.io, дочерняя компания VMware, вовсю работают над исправлением. 

Новая бага отличается от двух предыдущих уязвимостей, раскрытых в структуре приложения на этой неделе, включая DoS-уязвимость выражений Spring Framework (CVE-2022-22950) и уязвимость доступа к ресурсам выражений Spring Cloud (CVE-2022-22963). Spring RCE вызвана небезопасной десериализацией переданных аргументов.

Praetorian также подтвердила, что ошибка зависит от определенных конфигураций для правильного использования. Для эксплуатации требуется конечная точка с включенным DataBinder (например, запрос POST, который автоматически декодирует данные из тела запроса) и сильно зависит от контейнера сервлетов для приложения.

Например, когда Spring развернут на Apache Tomcat, доступен WebAppClassLoader, что позволяет злоумышленнику вызывать геттеры и сеттеры, чтобы в конечном итоге записать вредоносный JSP-файл на диск. Однако, если Spring развернут с использованием встроенного контейнера сервлетов Tomcat, загрузчик классов — это LaunchedURLClassLoader, доступ к которому ограничен.

В некоторых конфигурациях эксплуатация этой проблемы проста, поскольку для этого требуется, чтобы злоумышленник отправил созданный запрос POST в уязвимую систему. 

По мнению специалистов Flashpoint, первоначальный анализ новой уязвимости выполнения кода в Spring Core предполагает, что ее влияние может быть несерьезным. Для эксплуатации уязвимости злоумышленникам необходимо будет найти и идентифицировать экземпляры веб-приложений, которые на самом деле используют DeserializationUtils.

Кроме того, несмотря на общедоступность эксплойтов, Rapid7 утверждают, что в настоящее время неясно, какие реальные приложения используют уязвимую функциональность. ISAC заявили, что еще не завершили свои тесты и не могут однозначно подтвердить действительность PoC для ошибки RCE.

Вместе с тем, согласно заключению аналитика Уилла Дорманна из CERT/CC, эксплойт Spring4Shell в дикой природе все же функционирует и существуют реальные уязвимые приложения. Вообще, по данным источников BleepingComputer, уязвимость активно используется в атаках.

Поскольку для этой уязвимости в настоящее время нет исправления, настоятельно рекомендуется как можно скорее реализовать меры по смягчению атак, связанных с ограничениями функционала Spring Core DataBinder.

За завидной регулярностью тайваньская компания QNAP стала информировать о проблемах. В этот раз в компании предупредили, что на определенное количество ее сетевых хранилищ (NAS) влияет недавно обнаруженная ошибка в криптографической библиотеке OpenSSL с открытым исходным кодом.

Как сообщают в компании, угрозу представляет уязвимость бесконечного цикла в OpenSSL и в случае ее эксплуатации позволяет злоумышленникам проводить атаки типа «отказ в обслуживании».

Отслеживаемая как CVE-2022-0778 (CVSS 7,5) уязвимость связана с ошибкой, возникающей при анализе сертификатов безопасности для запуска условия отказа в обслуживании и удаленного сбоя неисправленных устройств.

Эта уязвимость не слишком сложна в использовании, но влияние ограничено DoS. Наиболее распространенный сценарий, в котором эксплуатация этой уязвимости может стать проблемой, — это доступ клиента TLS к вредоносному серверу, который обслуживает проблемный сертификат.

QNAP, которая в настоящее время исследует свою линейку, заявила, что под угрозой следующие версии операционной системы: QTS 5.0.x и выше, 4.5.4 и выше, 4.3.6 и выше, 4.3.4 и выше, 4.3.3 и выше, 4.2.6 и выше, QuTS hero h5.0.x и выше, h4.5.4 и выше, а также QuTScloud c5.0.x.

Несмотря на то, что патч был выпущен две недели назад, когда ошибка была публично раскрыта, QNAP объяснила, что ее клиентам придется подождать, пока компания не выпустит собственные обновления безопасности.

К общей радости на сегодняшний день пока нет никаких доказательств того, что уязвимость использовалась в реальных условиях, а патчи для операционных систем QTS и QuTScloud будут выпущены в ближайшее время.

В компании призвали клиентов максимально оперативно устанавливать любые исправления безопасности, которые они выпускают, дабы обезопасить себя от потенциальных атак.

​​IT-компания по разработке ПО со штатом более чем 16 000 сотрудников и доходом в 1,2 млрд. долларов США, засветившаяся на днях в утечках Lapsus$ подтвердила инцидент и подтверждает слив 70 ГБ украденных данных.

Таким образом, опубликованные хакерами админские учетные данные, используемые Globant для работы над кодом в Jira, Confluence, GitHub, Crucible, атентичны. Равно как исходный код и проектная документация разработок компании для крупных клиентов.

По результатам исследования, проведенного SOS Intelligence, утечка данных содержит информацию о клиентах, а также репозитории кода с большим количеством закрытых ключей (полная цепочка, SSL-сертификаты веб-сервера, сервер Globant, ключи API).

Кроме того, утечка включает более 150 файлов базы данных SQL для различных клиентских приложений. Один из репозиториев предназначен для приложения Bluecap в области консультирования в финансовом секторе, которое Globant приобрела в конце 2020 года.

Все слитые образцы данных были сопоставлены с действующими системами, что еще раз подтвердило подлинность представленных хакерами данных.

Globant также заявила, что расследование инцидента не выявило доказательств того, что хакеры взломали какие-либо другие части ее инфраструктуры.

Хотя как знать, клиенты, например, о которых мы сообщали ранее, уже выразили свою крайнюю обеспокоенность, и, вероятно, не зря.

СРОЧНО В НОМЕР!

Британская инфосек компания SOS Intelligence, специализирующаяся на поисковых мероприятиях в дарквеб, сообщает о массовой утечке PIN от банковских карт по всему миру.

Отредактированный пруф присутствует.

Вот тебе, бабушка, и информационная безопасность в банковской среде...

https://twitter.com/SOSIntel/status/1509786154509422619

Apple выпустила экстренный обновления для исправления двух 0-day, которые активно используются в дикой природе для взлома iPhone 6s и новее, iPad Pro (все модели), iPad Air 2 и новее, iPad 5-го поколения и новее, iPad mini 4 и новее и iPod touch (7-го поколения), а также компьютеров Mac под управлением macOS Monterey.

Уязвимости представляют собой ошибку записи за пределами памяти (CVE-2022-22674) в графическом драйвере Intel, которая позволяет приложениям считывать память ядра, а также проблема чтения за пределами памяти (CVE-2022-22675) в AppleAVD, медиа-декодере, который позволит приложениям выполнять произвольный код с привилегиями ядра.

Об ошибках сообщили анонимные исследователи, и Apple исправила их в iOS 15.4.1, iPadOS 15.4.1 и macOS Monterey 12.3.1 с улучшенной проверкой ввода и проверкой границ соответственно. Обстоятельства эксплуатации в дикой природе Apple не раскрывает.

В этом году на счету Apple уже пять исправленных 0-day: в январе-феврале были закрыты CVE-2022-22587, CVE-2022-22587, CVE-2022-22594, которые, как все яблочные дыры, вовсю становились предметом жесткой эксплуатации. Прошлогодние баги, к примеру, применялись в работе небезызвестного шпионского ПО Pegasus от компании NSO. Последствия мы все уже наблюдали.

Несмотря на то, что эти нулевые дни, скорее всего, использовались только в целевых атаках, все же настоятельно рекомендуем установить обновления безопасности как можно скорее, чтобы избежать возможных атак.

​🧠 Социальная инженерия и фишинг. Профессиональный обман.

🖖🏻 Приветствую тебя user_name.

• #Фишинг — этот метод позволяет социальным инженерам обходить самые продвинутые защитные системы, воздействуя на эмоции и страхи людей, тем самым атакующий манипулирует жертвой, получает нужную информацию и заставляет свою цель действовать так, как нужно ему.

• Сегодня я рекомендую ознакомиться с интересной статьей на хабре, которая освещает тему фишинга и #СИ.

🧷 Читать статью: https://habr.com/ru/company/bastion/blog/655795/

📌 В дополнение:

• Фишинг. Практический разбор.
• Спам-письмо. Факторы, влияющие на количество и качество отклика.
• Как правильно использовать фишинговые рассылки в рамках пентеста.
• Фишинговые письма.
• Оформляем письмо для максимального отклика.
• Слабое звено. Подробный гайд по фишингу.
• Обходим спам-фильтр.

• Пример СИ | Фишинг-атаки на биржу Codex.
• Социальная инженерия. Атака на Сбербанк.
• Социальная инженерия. Фишинг организаций. Black Hat.
• Фишинг и "Почта России".
• Методы, применяемые при фишинговых атаках.
• Фишинг с поддельным приглашением на встречу.
• Социальная Инженерия, фишинг и хейт.
• Социальная инженерия, Фишинг и атаки на майнеров.
• Фишинг, 0day и атаки на разработчика баллистических ракет.
• Фишинг. Браузер в браузере.

Твой S.E. #Фишинг #СИ

Злую шутку сыграла Palo Alto Networks со своими клиентами.

Неправильная конфигурация панели управления Palo Alto Networks (PAN) привела к тому, что тысячи обращений в службу поддержки оказались доступны неавторизованному лицу.

Раскрытая конфиденциальная информация включала имена и контактную информацию обратившегося в службу поддержки, а также переписка между сотрудниками Palo Alto Networks и клиентом. Кроме того, некоторые запросы в службу поддержки содержали вложения, такие как журналы брандмауэра, дампы конфигурации, макеты групп безопасности сети (NSG), изображения сообщений об ошибках и другие ресурсы отладки, которыми клиенты поделились с персоналом PAN.

Обнаружить проблему удалось после обращения одного из клиентов PAN, который о ретранслировал ее персоналу Palo Alto Networks. Он отметил, что смог отследить 1989 обращений в службу поддержки, поделившись подтверждающими скринами. Более того, оказалась доступной возможность скачать вложения.

Как отметил анонимный клиент первые проблемы начались сразу после регистрации в службе поддержки и попутке доступа к Palo Alto Hub, откуда можно было установить Cloud Identity Engine. После чего он обратился с этой проблемой в службу поддержки PAN, и ему сказали, что его доступ к Palo Alto Hub «исправлен». Однако в ходе повторного входа около 1990 обращений в службу поддержки стали доступны для клиента во вкладке «Обращения моей компании».

Исправление ошибки заняло примерно восемь дней, после чего возможность доступа неавторизованного пользователя к 1900 несвязанным заявкам был отозвана. PAN не сообщили об уведомлении клиентов, или же вообще о намерении это сделать, заверив, что никаких действий со стороны клиентов не требуется, а ее продукты и услуги безопасны как никогда.

Реализующая кибершпионские операции китайская APT Deep Panda, одного из членов которой в 2017 году арестовало ФБР США, отметилась новыми атаками на сервера VMware Horizon с использованием Log4Shell для развертывания нового руткита под названием Fire Chili.

Рютрит подписывается цифровой подписью с использованием сертификата Frostburn Studios (разработчика игр) или сертификата Comodo (программное обеспечение безопасности), чтобы избежать обнаружения с помощью AV-инструментов.

Аналитики Fortinet, которые отслеживали недавнюю активность Deep Panda, считают, что сертификаты были украдены у упомянутых разработчиков программного обеспечения.

В отслеживаемой кампании Deep Panda, исследователи Fortinet увидели, как хакерская группа развертывает новый руткит Fire Chili, избегая обнаружения в скомпрометированных системах.

Марварь представляет собой вредоносное ПО, которое устанавливается в качестве драйвера, который подключает различные API Windows, чтобы скрыть наличие других файлов и настроек конфигурации в операционной системе.

Руткит подписывается действительными цифровыми сертификатами, что позволяет ему обходить обнаружение программным обеспечением безопасности и загружаться в Windows без каких-либо предупреждений.

После запуска Fire Chili выполняет базовые системные тесты на выявление смоделированной среды и проверяет наличие структур ядра и объектов, которыми нужно злоупотреблять во время работы.

Fortinet сообщает, что последней поддерживаемой версией операционной системы Fire Chili является Windows 10 Creators Update, выпущенная в апреле 2017 года.

Цель руткита состоит в том, чтобы скрыть файловые операции, процессы, добавления ключей реестра и вредоносные сетевые соединения.

Для этой функции скрытия вредоносное ПО использует IOCTL (вызовы системы управления вводом/выводом), которые предварительно заполнены вредоносными артефактами и могут быть динамически настроены.

Например, чтобы скрыть вредоносные TCP-соединения от netstat, руткит перехватывает обычные вызовы IOCTL в стек устройств, извлекает полный список сетевых подключений, отфильтровывает свои собственные и, наконец, возвращает очищенную структуру.

В ходе анализа кампании Deep Panda, Фортинет представили ранее неизвестный руткит Fire Chili и две скомпрометированные цифровые подписи, одну из которых исследователи также напрямую связали с Винти. Хотя Deep Panda и Winnti, как известно, используют руткиты в рамках своего набора инструментов, Fire Chili - это новый штамм с уникальной кодовой базой, отличной от тех, которые ранее были связаны с группами.

Причина, по которой эти инструменты связаны с двумя разными группами, в настоящее время неясна. Возможно, разработчики групп делились ресурсами, такими как украденные сертификаты и инфраструктура C2, друг с другом. Это может объяснить, почему образцы были подписаны только через несколько часов после компиляции.

Исследователи в области промышленной кибербезопасности из компании Claroty обнаружили две серьезные уязвимости, которые могут позволить злоумышленникам запускать атаки в стиле Stuxnet на программируемые логические контроллеры (ПЛК) производства Rockwell Automation.

Одна из ошибок CVE-2022-1161 классифицируется как «критическая» и затрагивает различные контроллеры CompactLogix, ControlLogix, GuardLogix, FlexLogix, DriveLogix и SoftLogix. Вторая, отслеживаемая как CVE-2022-1159 высокой степени серьезности, затрагивает программное обеспечение для программирования Studio 5000 Logix Designer, которое используется на инженерных рабочих станциях.

По данным Rockwell Automation и Claroty, уязвимости могут позволить злоумышленнику, имеющему доступ к системам жертвы, вносить изменения в программный код ПЛК и модифицировать процессы автоматизации таким образом, что их нельзя обнаружить, как это было в случае с вредоносным ПО Stuxnet, которое США и Израиль использовали в отношении устройств Siemens для срыва ядерной программы Ирана, когда им удавалось повредить центрифуги на ядерном объекте.

Злоумышленник, модифицируя логику ПЛК, потенциально способен нанести физический ущерб, что может остановить производственные линии и негативным повлиять на функциональность роботизированных устройств.

Обнаруженные Claroty уязвимости в продуктах Rockwell нацелены на процесс разработки и передачи кода в ПЛК, который состоит из разработки кода на инженерной рабочей станции с использованием программного обеспечения Studio 5000, его компиляции в двоичный код, совместимый с ПЛК, и передачи на ПЛК, где он соответственно выполняется.

Критическая уязвимость позволяет злоумышленнику в сочетании с ранее раскрытой критической ошибкой обхода аутентификации CVE-2021-22681 с оценкой CVSS 10 контроллера Logix доставлять вредоносный код на контроллер, в то время как инженер будет видеть легитимный код ПО.

Другая уязвимость может быть использована злоумышленником с правами администратора на рабочей станции с программным обеспечением Studio 5000 для перехвата процесса компиляции и внедрения своего собственного кода в пользовательскую программу, опять же, не вызывая подозрений у инженеров.

Конечный результат использования обеих уязвимостей идентичный: инженер полагает, что в ПЛК работает на безопасном коде, в то время как на ПЛК выполняется совершенно другой и потенциально вредоносный код. Изменения в логическом потоке или предопределенных локальных переменных меняют нормальную работу ПЛК и приводят к отправке новых команд на физические устройства, управляемые контроллером.

Компания Rockwell разработала различные меры для защиты от атак, а также разработала инструмент, который может обнаруживать работающий в ПЛК скрытый код.

Учитывая, что ПЛК производства Rockwell Automation активно задействуется и на российских объектах промышленной инфраструктуры, настоятельно рекомендуем внимательно отнестись к проблеме.

#ICS #АСУТП

GitLab устранил критическую уязвимость CVE-2022-1162, затрагивающую как GitLab Community Edition (CE), так и Enterprise Edition (EE), которая позволяет удаленным злоумышленникам получать доступ к учетным записям пользователей с помощью жестко заданных паролей.

Сейчас платформу DevOps от GitLab используют более 100 000 организаций, на ней зарегистрированы порядка 30 миллионов пользователей из 66 стран мира.

Дело в том, что для учетных записей, зарегистрированных с использованием провайдера OmniAuth (например, OAuth, LDAP, SAML) в GitLab CE/EE версий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, которым случайным образом был установлен жестко запрограммированный статический пароль.

GitLab также сбросили пароли ограниченного числа пользователей GitLab.com в рамках усилий по смягчению последствий CVE-2022-1162. Кроме того, коммит кода указывает на удаление GitLab файла lib/gitlab/password.rb, который использовался для назначения слабого жестко закодированного пароля константе TEST_DEFAULT.

GitLab также создала скрипт, который администраторы самоуправляемых экземпляров могут использовать для идентификации учетных записей пользователей, потенциально затронутых CVE-2022-1162. 

Доказательств того, что какие-либо учетные записи были скомпрометированы злоумышленниками, использующими эту уязвимость, не получено.

Тем не менее администрация призывает пользователей немедленно обновить все установки GitLab до последних версий (14.9.2, 14.8.5 или 14.7.7), чтобы избежать потенциальных атак.

Trend Micro исправляет серьезную уязвимость произвольной загрузки файлов в Apex Central, которая к этому времени уже применялась в целевых атак.

CVE-2022-26871 с оценкой CVSS 8,6 затрагивает как локальную версию, так и на версию SaaS консоли централизованного управления. Обнаружить багу удалось собственной исследовательской группе Trend Micro еще в начале марта, тогда же был выпущен патч для развертывания исправлений под версии SaaS. К настоящему времени доступна исправление 3 (сборка 6016) для локальных установок Apex Central.

Уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, удаленно загрузить произвольный файл, что может привести к удаленному выполнению кода.

Поставщик решений для кибербезопасности зафиксировал как минимум одну активную попытку потенциального использования этой уязвимости в реальных условиях, о чем поделились, выпустив соответствующий бюллетень. Однако конкретную информацию об этих атаках компания не разглашает.

Эксплуатация достаточно сложна и требует определенных условий, но тем не менее Trend Micro призывает всех клиентов как можно скорее обновиться до исправленной версии. Компания также выпустила серию правил и фильтров IPS для Trend Micro Cloud One и Trend Micro Deep Discovery Inspector для защиты от попыток эксплуатации.

Учитывая серьезность обнаруженной дыры CISA добавила эту ошибку в свой каталог известных эксплуатируемых уязвимостей наряду с несколькими другими, включая недавнюю критическую уязвимость удаленного выполнения кода в Sophos Firewall, о которой мы также ранее сообщали.

Исследователи FortiGuard Labs обнаружили, что несмотря на то, что создатель Mirai осенью 2018 года уехал в места не столь отдаленные, его последователи Beastmode (или же B3astmode) продолжают быстро внедрять недавно опубликованный эксплойт для заражения непропатченных маршрутизаторов Totolink с помощью вредоносного ПО Mirai.

Реализующий DDoS (app http, tcp ack, tcp syn, udp plain, udp vse, udp ovhhex, udp stdhex, udp CLAMP) ботнет с февраля по март 2022 года добавил пять новых эксплойтов, три из которых нацелены на некоторые маршрутизаторы TOTOLINK.

Злоумышленники добавили эксплойты TOTOLINK всего через неделю после того, как коды эксплойтов были публично опубликованы на GitHub, в попытке скомпрометировать максимально возможное количество устройств, прежде чем владельцы обновятся до последних выпусков прошивки.

Среди проанализированных Fortinet уязвимостей в устройствах Totolink, используемых ботнетом Beastmode: CVE-2022-26210 (нацелен на TOTOLINK A800R, A810R, A830R, A950RG, A3000RU и A3100R), CVE-2022-26186 (нацелен на TOTOLINK N600R и A7100RU), CVE-2022-25075-25084 (нацелены на маршрутизаторы TOTOLINK A810R, A830R, A860R, A950RG, A3100R, A360 и TR10 T6 и T6).

Помимо эксплойтов для Totolink ботнет Beastmode также содержит арсенал для заражения: D-Link (DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L и DIR-836L) с помощью CVE-2021-45382, IP-камеры TP-Link Tapo C200 (CVE-2021-4045), маршрутизаторы Huawei HG532 (CVE-2017-17215), а также продукты NUUO NVRmini2, NVRsolo, Crystal Devices и NETGEAR ReadyNAS Surveillance (CVE-2016-5674).

Пользователям TOTOLINK рекомендуем поскорее накатить новую прошивку для уязвимых устройств.

Исследователи Cyble пошарились на рынках даркнета и обнаружили новый троян удаленного доступа (RAT) под названием Borat, реализующий функционал для организации DDoS-атак, обхода UAC и развертывания ransomware. Малварь по-взрослому задействуется в дикой природе и пользуется неплохой популярностью. И вот почему.

Borat позволяет удаленным злоумышленникам получить полный контроль над системой жертвы, в том числе к устройствам ввода, файлам, системе, полностью скрывая любые признаки своего присутствия.

Платформа RAT позволяет операторам настраивать различные компиляции для создания небольших полезных нагрузок и необходимого функционала для узкоспециализированных атак. При этом исполняемый файл полезной нагрузки BoratRat.exe был также идентифицирован на virustotal в качестве AsyncRAT, который и был положен в основу трояна.

По данным Cycle, Borat RAT поставляется в виде пакета, который включает в себя сборщик, модули вредоносного ПО и сертификат сервера. Общий боевой арсенал нового RAT включает: кейлоггинг; развертывание ransomware c автоматическим созданием записки с требованием выкупа; DDoS; активация микрофона; доступ к камере; запуск скрытого удаленного рабочего стола; организация прокси-сервера; сбор информации о системе; внедрение вредоносного кода в легитимные процессы; кража учетных данных веб-браузеров на базе Chromium; перехват токенов Discord и др.

Исследователи Cyble фактически сравнивают Borat по функционалу со полноценной шпионской программой или полноформатным ransomware, отмечая при этом высокую опасность нового трояна, название которому скажем так, явно не соответствует запомнившемуся образу героя одноименной комедии в исполнении Саши Барона Коэна.

Эксперты в один голос предрекают глобальный продовольственный кризис, обусловленный во многом агрессивной санкционной риторикой западных стран, а Lockbit уже вносят и свою лепту в цепочку поставок сельхозпродукции.

Под раздачу попала американская корпорация Scoular, занимающаяся продажей и переработкой зерна, кормов и пищевых ингредиентов. Компания была основана в 1892 году и имеет штаб более тысячи человек в 24 офисах и более чем на 90 производственных объектах. У компании 6 дней на решение вопроса с выкупом, в противном случае Lockbit намерены поделиться с общественностью 100 ГБ конфиденциальных данных.

Не легко приходится сейчас и PANASONIC, точнее ее предприятию из Канады. 2.62 ГБ коммерческих сведений начали утекать в сеть. Точнее их следует рассматривать как предлог для начала переговоров с Conti, которые разместили PANASONIC на свой DLS и дали понять, что они в деле.

В призме новых экономических реалий инциденты, связанные с ransomware, будут иметь более серьезные последствия.

Пока немцы размышляют над предложением платить за российский газ в рублях, от вымогателей в адрес немецкого производителя ветряных турбин Nordex Group поступило другое предложение - рассчитаться за будущие ветряки в долларах, точнее за возобновление их производства.

Примерно такое же, как это было в случае с другим ветряным гигантом Vestas.

Дело в том, что после состоявшейся 31 марта атаки с использованием ransomware ИТ-системы Nordex были фактически парализованы и отключены. На минуту, компания проектирует, продает и производит ветряные турбины в объеме почти 6 миллиардов долларов на 2021 год, на заводах в Германии, Китае, Мексике, США, Бразилии, Испании и Индии.

Компания заявила, что обнаружила вторжение «на ранней стадии» и смогла быстро принять ответные меры, предотвратив ее дальнейшее распространение. Хотя изначально инцидент замалчивался, как отмечают журналисты.

Сайт в настоящее время восстановлен и работает, чего не скажешь о внутренней инфраструктуре. По данным Renewables Now, компании удалось восстановить удаленный мониторинг и обслуживание примерно для 85% машин, изначально пострадавших от атаки.

Некоторые владельцы аппаратных кошельков, пребывали в холодном поту, после того когда узнали, что их кошельки не такие уж и "холодные", так еще и пустые.

На днях изощрённую фишиговую аферу провернули хакеры против владельцев криптовалютных кошельков Trezor.

В результате атаки злоумышленники получили семена восстановления (seed-фразы), которые владельцы кошельков сами благополучно написали после полученного поддельного электронного письма об утечке данных с просьбой установить якобы последнее программное обеспечение Trezor Suite. После "успешного" обновления, все что было накоплено непосильным трудом было благополучно украдено.

Более того, сайт для загрузки Trezor Suite выглядел почти настоящим, так как злоумышленники использовали Punycode для имитации домена trezor.com. При этом настоящий официальный сайт это вовсе trezor.io.

Вскоре разработчики Trezor сообщили, что данная фишинговая атака произошла из-за компрометации MailChimp.

MailChimp подтвердили, что хакеры с использованием социальной инженерии получили доступ к внутренней системе поддержке клиентов и инструментам управления учетными записями. Очевидно, злоумышленники воспользовались информацией, полученной в результате атаки для отправки поддельных электронных писем владельцам кошельков Trezor.

Суть письма состояла в том, что в Trezor произошел инцидент информационной безопасности, связанный с компрометацией 106 тыс. клиентов, и что кошелек, связанный с вашей электронной почтой, был тоже скомпрометирован, в связи с чем призываем загрузить последнюю версию Trezor Suite и следовать инструкциям по установке нового PIN-кода для своего кошелька.

Ну а дальше все по классике - многие владельцы кошельков ввели свои фразы для восстановления от 12 до 24 слов, а установленная малварь отправляла эту информацию злоумышленникам, которые благополучно сливали криптовалютные активы с кошельков жертв.

VMware опубликовали обновления безопасности для исправления критической уязвимости RCE в среде Java Spring Core, известной как CVE-2022-22965 или же Spring4Shell.

Бага с оценкой 9,8 затрагивает некоторые решения компании в области облачных вычислений и виртуализации, может быть использована без аутентификации вплоть до полного контроля над целевой системой.

При наличии актуального PoC проблема достаточно опасна, этому также способствует и широкое распространение Spring Framework. Применительно к VMware уязвимость затрагивает приложения Spring MVC и Spring WebFlux, работающие на JDK 9+. Эксплойт требует, чтобы приложение запускалось на Tomcat как развертывание WAR, хотя точные ограничения все еще изучаются.

К настоящему времени VMware проводится расследование на предмет поиска уязвимого кода. Список продуктов VMware, затронутых Spring4Shell, доступен в информационном бюллетене компании и обновляется по мере ревизии кода.

Однако известно, что следующие продукты компании уязвимы к Spring4Shell: служба приложений VMware Tanzu для виртуальных машин — версии с 2.10 по 2.13; VMware Tanzu Operations Manager — версии с 2.8 по 2.9; VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) — версии с 1.11 по 1.13.

Разработчики успели залатать дыры лишь в первых двух решениях, охватывающих несколько веток версий с точечными выпусками, но стабильное исправление для VMware Tanzu Kubernetes Grid Integrated Edition все еще находится в разработке.

Принимая во внимание, что Spring4Shell активно эксплуатируется в дикой природе, а средства виртуализации VMware все же продолжают использоваться в отечественной инфраструктуре, крайне важно прислушаться на данном этапе к рекомендациям и применить соответствующие обходные пути производителя, особенно по тем приложениям, для которых исправление недоступно.

​​Google выпустила апрельские обновления для Android, которые включают исправления для 44 уязвимостей, ряд из которых относятся к критическим.

Первая часть обновлений 2022-04-01 security patch level закрывает 14 уязвимостей, наиболее важной из которых является ошибка в Framework, которую можно использовать для повышения привилегий без какого-либо взаимодействия с пользователем. Более того, никаких дополнительных прав на выполнение также не требуется.

Всего во Framework было устранено семь уязвимостей, все из которых относились к высокой степени серьезности и приводили к несанкционированному получению прав.

Другой пакет 2022-04-01 security patch level также включает исправления для двух уязвимостей в среде Media и трех в ОС. Системные обновления Google Play устраняют две уязвимости в MediaProvider и Media Codecs.

Обновления также содержат исправления не менее чем для 30 уязвимостей в системе, в частности, компонентах ядра, MediaTek, Qualcomm и Qualcomm Closed, девять из которых оцениваются как критические, а оставшиеся 21 — как высокоопасные.

Кроме того, Google также анонсировала исправления для пяти уязвимостей для устройств Pixel, которые затрагивают компоненты ядра, Pixel и Qualcomm.

Японский производитель решений для промышленной автоматизации и управления Yokogawa исправил уязвимости в своих продуктах, которые могут быть использованы для нарушения производственных процессов.
 
Исследователям из Dragos в общей сложности удалось обнаружить десять уязвимостей, в том числе высокой степени серьезности, в распределенной системе управления (DCS) CENTUM VP и OPC-сервере Exaopc для систем CENTUM, о которых Yokogawa поделилась в январе и феврале этого года.
 
Уязвимости связаны с жестко запрограммированными учетными данными, обходом пути, внедрением команд, перехватом DLL, несоответствующими правами доступа и неконтролируемым потреблением ресурсов и могут быть использованы для доступа к данным, перезаписи или удаления файлов, выполнения произвольных команд, вызова сбоев серверов и повышения привилегий.
 
Эксплуатация некоторых уязвимостей требует локального доступа к целевой системе, в то время как другие могут быть использованы путем отправки специально созданных пакетов в Consolidated Alarm Management Software (CAMS) для станции интерфейса пользователя (HIS или HMI).
 
Dragos не фиксировали эксплуатации в дикой природе. Однако в ходе реальной атаки потенциальный злоумышленник может использовать уязвимости, чтобы получить контроль над HIS или в зависимости от конфигурации оказывать влияние на управление физическими процессами.
 
Yokogawa выпустила исправления и разработала меры по смягчению последствий для уязвимых решений. При этом следует учитывать, что в виду прекращения поддержки CENTUM CS 3000 клиентам следует обновиться до CENTUM VP.
 
Как отметили Dragos, безопасность ICS/OT вызывает все больше опасений у исследователей, отметивших рост числа нацеленных на этот сегмент групп при том, что в 2021 году идентификатор CVE был присвоен 1703 уязвимостям ICS/OT, что более чем в два раза больше, чем в предыдущем году.
 
И, по мнению исследователей, негативная тенденция будет только усугубляться.

#ICS #АСУТП

Исследователи из Symantec Threat Hunter Team отследили длительную вредоносную кампанию китайской АРТ Cicada (aka menuPass, Stone Panda, Potassium, APT10, Red Apollo), в рамках которой хакеры использовали VLC Media Player для запуска пользовательского загрузчика вредоносной ПО.
 
АРТ активна с более 15 лет и ориентировалась на японские компании в сфере здравоохранения, обороны, аэрокосмической промышленности, финансов, морского дела, биотехнологии, энергетики и государственный сектор. Однако на этот раз кампания Cicada была нацелена на различные организации образовательной и религиозной направленности, а также компании телекоммуникационного, юридического и фармацевтического секторов в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии.
 
Новая кампания Cicada попала в поле зрения исследователей с середины 2021 года и оставалась активной вплоть до февраля 2022 года. Первоначальный доступ к некоторым из взломанных систем осуществлялся через непропалченный сервер Microsoft Exchange, который открывал возможность поэксплуатировать известную язвимость.
 
А вот после получения доступа к целевой машине хакеры с помощью популярного медиаплеера VLC развернул на скомпрометированных системах специальный загрузчик. При этом злоумышленник использует легальную версию VLC с вредоносным файлом DLL, который подгружается через функцию экспорта медиаплеера.
 
Помимо пользовательского загрузчика, который Symantec смогли атрибутировать по прошлым кампаниям APT10, хакеры также разворачивали сервер WinVNC для получения удаленного контроля над системами жертв, а также использовали в скомпрометированных сетях свой традиционный арсенал в виде бэкдора Sodamaster.
 
Как известно, малварь работает в безфайловом режиме, детектируя в реестре признаки песочницы и избегая обнаружения. Вредоносная программа также может собирать сведения о системе, искать запущенные процессы, а также загружать и выполнять различные полезные нагрузки с сервера управления и контроля.
 
Вместе с тем, исследователи выделили в этой кампании и ряд других утилит, включая: WMIExec (инструмент командной строки Microsoft, который можно использовать для выполнения команд на удаленных компьютерах), NBTScan (инструмент с открытым исходным кодом, который, как было замечено, используется APT-группами для разведки скомпрометированной сети), средства архивации RAR.
 
Среднее время пребывания злоумышленников в сетях некоторых из обнаруженных жертв достигало до девяти месяцев. В заключение Symantec пришли к выводу о том, что наиболее вероятной целью этой кампании является шпионаж, а кампания, предположительно, продолжается по сей день.