VMware опубликовали обновления безопасности для исправления критической уязвимости RCE в среде Java Spring Core, известной как CVE-2022-22965 или же Spring4Shell.
Бага с оценкой 9,8 затрагивает некоторые решения компании в области облачных вычислений и виртуализации, может быть использована без аутентификации вплоть до полного контроля над целевой системой.
При наличии актуального PoC проблема достаточно опасна, этому также способствует и широкое распространение Spring Framework. Применительно к VMware уязвимость затрагивает приложения Spring MVC и Spring WebFlux, работающие на JDK 9+. Эксплойт требует, чтобы приложение запускалось на Tomcat как развертывание WAR, хотя точные ограничения все еще изучаются.
К настоящему времени VMware проводится расследование на предмет поиска уязвимого кода. Список продуктов VMware, затронутых Spring4Shell, доступен в информационном бюллетене компании и обновляется по мере ревизии кода.
Однако известно, что следующие продукты компании уязвимы к Spring4Shell: служба приложений VMware Tanzu для виртуальных машин — версии с 2.10 по 2.13; VMware Tanzu Operations Manager — версии с 2.8 по 2.9; VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) — версии с 1.11 по 1.13.
Разработчики успели залатать дыры лишь в первых двух решениях, охватывающих несколько веток версий с точечными выпусками, но стабильное исправление для VMware Tanzu Kubernetes Grid Integrated Edition все еще находится в разработке.
Принимая во внимание, что Spring4Shell активно эксплуатируется в дикой природе, а средства виртуализации VMware все же продолжают использоваться в отечественной инфраструктуре, крайне важно прислушаться на данном этапе к рекомендациям и применить соответствующие обходные пути производителя, особенно по тем приложениям, для которых исправление недоступно.
Бага с оценкой 9,8 затрагивает некоторые решения компании в области облачных вычислений и виртуализации, может быть использована без аутентификации вплоть до полного контроля над целевой системой.
При наличии актуального PoC проблема достаточно опасна, этому также способствует и широкое распространение Spring Framework. Применительно к VMware уязвимость затрагивает приложения Spring MVC и Spring WebFlux, работающие на JDK 9+. Эксплойт требует, чтобы приложение запускалось на Tomcat как развертывание WAR, хотя точные ограничения все еще изучаются.
К настоящему времени VMware проводится расследование на предмет поиска уязвимого кода. Список продуктов VMware, затронутых Spring4Shell, доступен в информационном бюллетене компании и обновляется по мере ревизии кода.
Однако известно, что следующие продукты компании уязвимы к Spring4Shell: служба приложений VMware Tanzu для виртуальных машин — версии с 2.10 по 2.13; VMware Tanzu Operations Manager — версии с 2.8 по 2.9; VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) — версии с 1.11 по 1.13.
Разработчики успели залатать дыры лишь в первых двух решениях, охватывающих несколько веток версий с точечными выпусками, но стабильное исправление для VMware Tanzu Kubernetes Grid Integrated Edition все еще находится в разработке.
Принимая во внимание, что Spring4Shell активно эксплуатируется в дикой природе, а средства виртуализации VMware все же продолжают использоваться в отечественной инфраструктуре, крайне важно прислушаться на данном этапе к рекомендациям и применить соответствующие обходные пути производителя, особенно по тем приложениям, для которых исправление недоступно.
Google выпустила апрельские обновления для Android, которые включают исправления для 44 уязвимостей, ряд из которых относятся к критическим.
Первая часть обновлений 2022-04-01 security patch level закрывает 14 уязвимостей, наиболее важной из которых является ошибка в Framework, которую можно использовать для повышения привилегий без какого-либо взаимодействия с пользователем. Более того, никаких дополнительных прав на выполнение также не требуется.
Всего во Framework было устранено семь уязвимостей, все из которых относились к высокой степени серьезности и приводили к несанкционированному получению прав.
Другой пакет 2022-04-01 security patch level также включает исправления для двух уязвимостей в среде Media и трех в ОС. Системные обновления Google Play устраняют две уязвимости в MediaProvider и Media Codecs.
Обновления также содержат исправления не менее чем для 30 уязвимостей в системе, в частности, компонентах ядра, MediaTek, Qualcomm и Qualcomm Closed, девять из которых оцениваются как критические, а оставшиеся 21 — как высокоопасные.
Кроме того, Google также анонсировала исправления для пяти уязвимостей для устройств Pixel, которые затрагивают компоненты ядра, Pixel и Qualcomm.
Первая часть обновлений 2022-04-01 security patch level закрывает 14 уязвимостей, наиболее важной из которых является ошибка в Framework, которую можно использовать для повышения привилегий без какого-либо взаимодействия с пользователем. Более того, никаких дополнительных прав на выполнение также не требуется.
Всего во Framework было устранено семь уязвимостей, все из которых относились к высокой степени серьезности и приводили к несанкционированному получению прав.
Другой пакет 2022-04-01 security patch level также включает исправления для двух уязвимостей в среде Media и трех в ОС. Системные обновления Google Play устраняют две уязвимости в MediaProvider и Media Codecs.
Обновления также содержат исправления не менее чем для 30 уязвимостей в системе, в частности, компонентах ядра, MediaTek, Qualcomm и Qualcomm Closed, девять из которых оцениваются как критические, а оставшиеся 21 — как высокоопасные.
Кроме того, Google также анонсировала исправления для пяти уязвимостей для устройств Pixel, которые затрагивают компоненты ядра, Pixel и Qualcomm.
Японский производитель решений для промышленной автоматизации и управления Yokogawa исправил уязвимости в своих продуктах, которые могут быть использованы для нарушения производственных процессов.
Исследователям из Dragos в общей сложности удалось обнаружить десять уязвимостей, в том числе высокой степени серьезности, в распределенной системе управления (DCS) CENTUM VP и OPC-сервере Exaopc для систем CENTUM, о которых Yokogawa поделилась в январе и феврале этого года.
Уязвимости связаны с жестко запрограммированными учетными данными, обходом пути, внедрением команд, перехватом DLL, несоответствующими правами доступа и неконтролируемым потреблением ресурсов и могут быть использованы для доступа к данным, перезаписи или удаления файлов, выполнения произвольных команд, вызова сбоев серверов и повышения привилегий.
Эксплуатация некоторых уязвимостей требует локального доступа к целевой системе, в то время как другие могут быть использованы путем отправки специально созданных пакетов в Consolidated Alarm Management Software (CAMS) для станции интерфейса пользователя (HIS или HMI).
Dragos не фиксировали эксплуатации в дикой природе. Однако в ходе реальной атаки потенциальный злоумышленник может использовать уязвимости, чтобы получить контроль над HIS или в зависимости от конфигурации оказывать влияние на управление физическими процессами.
Yokogawa выпустила исправления и разработала меры по смягчению последствий для уязвимых решений. При этом следует учитывать, что в виду прекращения поддержки CENTUM CS 3000 клиентам следует обновиться до CENTUM VP.
Как отметили Dragos, безопасность ICS/OT вызывает все больше опасений у исследователей, отметивших рост числа нацеленных на этот сегмент групп при том, что в 2021 году идентификатор CVE был присвоен 1703 уязвимостям ICS/OT, что более чем в два раза больше, чем в предыдущем году.
И, по мнению исследователей, негативная тенденция будет только усугубляться.
#ICS #АСУТП
Исследователям из Dragos в общей сложности удалось обнаружить десять уязвимостей, в том числе высокой степени серьезности, в распределенной системе управления (DCS) CENTUM VP и OPC-сервере Exaopc для систем CENTUM, о которых Yokogawa поделилась в январе и феврале этого года.
Уязвимости связаны с жестко запрограммированными учетными данными, обходом пути, внедрением команд, перехватом DLL, несоответствующими правами доступа и неконтролируемым потреблением ресурсов и могут быть использованы для доступа к данным, перезаписи или удаления файлов, выполнения произвольных команд, вызова сбоев серверов и повышения привилегий.
Эксплуатация некоторых уязвимостей требует локального доступа к целевой системе, в то время как другие могут быть использованы путем отправки специально созданных пакетов в Consolidated Alarm Management Software (CAMS) для станции интерфейса пользователя (HIS или HMI).
Dragos не фиксировали эксплуатации в дикой природе. Однако в ходе реальной атаки потенциальный злоумышленник может использовать уязвимости, чтобы получить контроль над HIS или в зависимости от конфигурации оказывать влияние на управление физическими процессами.
Yokogawa выпустила исправления и разработала меры по смягчению последствий для уязвимых решений. При этом следует учитывать, что в виду прекращения поддержки CENTUM CS 3000 клиентам следует обновиться до CENTUM VP.
Как отметили Dragos, безопасность ICS/OT вызывает все больше опасений у исследователей, отметивших рост числа нацеленных на этот сегмент групп при том, что в 2021 году идентификатор CVE был присвоен 1703 уязвимостям ICS/OT, что более чем в два раза больше, чем в предыдущем году.
И, по мнению исследователей, негативная тенденция будет только усугубляться.
#ICS #АСУТП
Исследователи из Symantec Threat Hunter Team отследили длительную вредоносную кампанию китайской АРТ Cicada (aka menuPass, Stone Panda, Potassium, APT10, Red Apollo), в рамках которой хакеры использовали VLC Media Player для запуска пользовательского загрузчика вредоносной ПО.
АРТ активна с более 15 лет и ориентировалась на японские компании в сфере здравоохранения, обороны, аэрокосмической промышленности, финансов, морского дела, биотехнологии, энергетики и государственный сектор. Однако на этот раз кампания Cicada была нацелена на различные организации образовательной и религиозной направленности, а также компании телекоммуникационного, юридического и фармацевтического секторов в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии.
Новая кампания Cicada попала в поле зрения исследователей с середины 2021 года и оставалась активной вплоть до февраля 2022 года. Первоначальный доступ к некоторым из взломанных систем осуществлялся через непропалченный сервер Microsoft Exchange, который открывал возможность поэксплуатировать известную язвимость.
А вот после получения доступа к целевой машине хакеры с помощью популярного медиаплеера VLC развернул на скомпрометированных системах специальный загрузчик. При этом злоумышленник использует легальную версию VLC с вредоносным файлом DLL, который подгружается через функцию экспорта медиаплеера.
Помимо пользовательского загрузчика, который Symantec смогли атрибутировать по прошлым кампаниям APT10, хакеры также разворачивали сервер WinVNC для получения удаленного контроля над системами жертв, а также использовали в скомпрометированных сетях свой традиционный арсенал в виде бэкдора Sodamaster.
Как известно, малварь работает в безфайловом режиме, детектируя в реестре признаки песочницы и избегая обнаружения. Вредоносная программа также может собирать сведения о системе, искать запущенные процессы, а также загружать и выполнять различные полезные нагрузки с сервера управления и контроля.
Вместе с тем, исследователи выделили в этой кампании и ряд других утилит, включая: WMIExec (инструмент командной строки Microsoft, который можно использовать для выполнения команд на удаленных компьютерах), NBTScan (инструмент с открытым исходным кодом, который, как было замечено, используется APT-группами для разведки скомпрометированной сети), средства архивации RAR.
Среднее время пребывания злоумышленников в сетях некоторых из обнаруженных жертв достигало до девяти месяцев. В заключение Symantec пришли к выводу о том, что наиболее вероятной целью этой кампании является шпионаж, а кампания, предположительно, продолжается по сей день.
АРТ активна с более 15 лет и ориентировалась на японские компании в сфере здравоохранения, обороны, аэрокосмической промышленности, финансов, морского дела, биотехнологии, энергетики и государственный сектор. Однако на этот раз кампания Cicada была нацелена на различные организации образовательной и религиозной направленности, а также компании телекоммуникационного, юридического и фармацевтического секторов в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории и Италии.
Новая кампания Cicada попала в поле зрения исследователей с середины 2021 года и оставалась активной вплоть до февраля 2022 года. Первоначальный доступ к некоторым из взломанных систем осуществлялся через непропалченный сервер Microsoft Exchange, который открывал возможность поэксплуатировать известную язвимость.
А вот после получения доступа к целевой машине хакеры с помощью популярного медиаплеера VLC развернул на скомпрометированных системах специальный загрузчик. При этом злоумышленник использует легальную версию VLC с вредоносным файлом DLL, который подгружается через функцию экспорта медиаплеера.
Помимо пользовательского загрузчика, который Symantec смогли атрибутировать по прошлым кампаниям APT10, хакеры также разворачивали сервер WinVNC для получения удаленного контроля над системами жертв, а также использовали в скомпрометированных сетях свой традиционный арсенал в виде бэкдора Sodamaster.
Как известно, малварь работает в безфайловом режиме, детектируя в реестре признаки песочницы и избегая обнаружения. Вредоносная программа также может собирать сведения о системе, искать запущенные процессы, а также загружать и выполнять различные полезные нагрузки с сервера управления и контроля.
Вместе с тем, исследователи выделили в этой кампании и ряд других утилит, включая: WMIExec (инструмент командной строки Microsoft, который можно использовать для выполнения команд на удаленных компьютерах), NBTScan (инструмент с открытым исходным кодом, который, как было замечено, используется APT-группами для разведки скомпрометированной сети), средства архивации RAR.
Среднее время пребывания злоумышленников в сетях некоторых из обнаруженных жертв достигало до девяти месяцев. В заключение Symantec пришли к выводу о том, что наиболее вероятной целью этой кампании является шпионаж, а кампания, предположительно, продолжается по сей день.
Security
Cicada: Chinese APT Group Widens Targeting in Recent Espionage Activity
Government orgs and NGOs among victims in a wide-ranging and sustained campaign.
В середине марта мы писали про то, что иностранные Bugbounty-платформы отказываются работать с российскими компаниями (а мы в текущих условиях и не советуем) и сетовали, что аналогичных крупных российских площадок просто нет (да простят нас площадки некрупные).
Так вот, как подсказывают анонимные анонимы, упомянутая в посте Positive Technologies таки вышла из сумрака и подтвердила запуск своего Bugbounty-проекта в грядущем мае. Предполагаем, что презентуют на очередном PHD.
Нам даже скинули скриншоты, на которых предположительно изображена новая платформа.
Дело - хорошее, рынок - есть, Позитивы - вендор уважаемый. Будем посмотреть.
Так вот, как подсказывают анонимные анонимы, упомянутая в посте Positive Technologies таки вышла из сумрака и подтвердила запуск своего Bugbounty-проекта в грядущем мае. Предполагаем, что презентуют на очередном PHD.
Нам даже скинули скриншоты, на которых предположительно изображена новая платформа.
Дело - хорошее, рынок - есть, Позитивы - вендор уважаемый. Будем посмотреть.
Если мы обычно придерживались правила золотых 72 часов, то случае со Spring4Shell об этом определенно стоит забыть.
Попытки эксплуатации были предприняты в первые же дни сразу после обнаружения серьезной уязвимости RCE, отслеживаемой как CVE-2022-22965. Еще до того, как были выпущены исправления.
Еще одним критическим недостатком является CVE-2022-22963, которая влияет на функцию Spring Cloud, а также позволяет удаленно выполнять код. Третьей дырой в безопасности является CVE-2022-22950, DoS-уязвимость средней степени опасности.
Согласно данным телеметрии Check Point, только за прошедшие выходные было обнаружено 37 000 атак Spring4Shell. При этом почти каждая шестая организация во всем мире, затронутая уязвимостью нулевого дня Spring4Shell, уже стала мишенью злоумышленников. На первом месте по числу жертв - Европа, на которую приходится 20%.
Наиболее пострадавшими оказались разработчики программного обеспечения, на долю которых приходится 28% от общего числа инцидентов, потенциально из-за того, что они являются отличными целями для атак на цепочку поставок.
Пока разработчики повсеместно заняты оценкой влияния Spring4Shell на свои продукты, злоумышленники предпринимают активные попытки воспользоваться существующими возможностями RCE в отношении уязвимых систем полным ходом. К настоящему моменту эксплойты доступны как для Spring4Shell, так и для CVE-2022-22963.
Поставщик выпустил версии Spring Framework 5.3.18 и 5.2.20, а также Spring Boot 2.5.12, которые успешно решают проблему RCE, а также меры по смягчению. Поэтому настоятельно рекомендуется выполнить обновление до этих версий или более поздних версий, не забывая при этом о CVE-2022-22963 и CVE-2022-22947 в Spring Cloud Function и Spring Cloud Gateway.
Попытки эксплуатации были предприняты в первые же дни сразу после обнаружения серьезной уязвимости RCE, отслеживаемой как CVE-2022-22965. Еще до того, как были выпущены исправления.
Еще одним критическим недостатком является CVE-2022-22963, которая влияет на функцию Spring Cloud, а также позволяет удаленно выполнять код. Третьей дырой в безопасности является CVE-2022-22950, DoS-уязвимость средней степени опасности.
Согласно данным телеметрии Check Point, только за прошедшие выходные было обнаружено 37 000 атак Spring4Shell. При этом почти каждая шестая организация во всем мире, затронутая уязвимостью нулевого дня Spring4Shell, уже стала мишенью злоумышленников. На первом месте по числу жертв - Европа, на которую приходится 20%.
Наиболее пострадавшими оказались разработчики программного обеспечения, на долю которых приходится 28% от общего числа инцидентов, потенциально из-за того, что они являются отличными целями для атак на цепочку поставок.
Пока разработчики повсеместно заняты оценкой влияния Spring4Shell на свои продукты, злоумышленники предпринимают активные попытки воспользоваться существующими возможностями RCE в отношении уязвимых систем полным ходом. К настоящему моменту эксплойты доступны как для Spring4Shell, так и для CVE-2022-22963.
Поставщик выпустил версии Spring Framework 5.3.18 и 5.2.20, а также Spring Boot 2.5.12, которые успешно решают проблему RCE, а также меры по смягчению. Поэтому настоятельно рекомендуется выполнить обновление до этих версий или более поздних версий, не забывая при этом о CVE-2022-22963 и CVE-2022-22947 в Spring Cloud Function и Spring Cloud Gateway.
Check Point Blog
16% of organizations worldwide impacted by Spring4Shell Zero-day vulnerability exploitation attempts since outbreak - Check Point…
͏Не так давно от рук киберпреступников пострадала американская компания Parker Hannifin, специализирующаяся в области технологий движения и управления, производстве гидравлического оборудования, а также разработки высокоточных инженерных решений в аэрокосмической, мобильной и промышленной отраслях.
Компрометацию сети в компании обнаружили 14 марта и немедленно отключив некоторые системы начали проводить расследование. Сразу же были уведомлены правоохранительные органы, после чего для помощи привлекли экспертов по информационной безопасности. Расследование продолжается, но компания уже подтвердила, что был получен доступ к некоторым данным, включая личную информацию сотрудников.
К радости Parker Hannifin инцидент обошелся для них малыми жертвами, и исходя из предварительной оценки не оказал существенного финансового или операционного воздействия. В компания заверили, что проблема не окажет существенного влияния на ее бизнес и выстроенные ранее бизнес-процессы, а системы предприятия функционируют в полном объеме.
Хакерские группировки сродни террористическим организациям стали брать на себя ответственность за компьютерные инциденты. В случае с Parker Hannifin за атакой стоит банда-вымогателей Conti, которая опубликовала более 5 Гб архивных файлов, предположительно содержащих документы Parker. Если верить хакерской группировке, то это всего лишь небольшая часть от общего объема данных, которые они получили, так как на DLS-ресурсе Conti сказано, что в сеть выложено только 3% украденных данных.
Требований от хакеров заплатить барыш пока не поступало или об этом возможно умалчивают представители компании. Но как мы знаем Conti и без этого является одной из самых разыскиваемых групп, так как за последние годы за плечами киберпреступников стоят атаки на сотни организаций, а после того как в феврале группа публично выразила поддержку российскому правительству - Conti стала мишенью номер один.
Компрометацию сети в компании обнаружили 14 марта и немедленно отключив некоторые системы начали проводить расследование. Сразу же были уведомлены правоохранительные органы, после чего для помощи привлекли экспертов по информационной безопасности. Расследование продолжается, но компания уже подтвердила, что был получен доступ к некоторым данным, включая личную информацию сотрудников.
К радости Parker Hannifin инцидент обошелся для них малыми жертвами, и исходя из предварительной оценки не оказал существенного финансового или операционного воздействия. В компания заверили, что проблема не окажет существенного влияния на ее бизнес и выстроенные ранее бизнес-процессы, а системы предприятия функционируют в полном объеме.
Хакерские группировки сродни террористическим организациям стали брать на себя ответственность за компьютерные инциденты. В случае с Parker Hannifin за атакой стоит банда-вымогателей Conti, которая опубликовала более 5 Гб архивных файлов, предположительно содержащих документы Parker. Если верить хакерской группировке, то это всего лишь небольшая часть от общего объема данных, которые они получили, так как на DLS-ресурсе Conti сказано, что в сеть выложено только 3% украденных данных.
Требований от хакеров заплатить барыш пока не поступало или об этом возможно умалчивают представители компании. Но как мы знаем Conti и без этого является одной из самых разыскиваемых групп, так как за последние годы за плечами киберпреступников стоят атаки на сотни организаций, а после того как в феврале группа публично выразила поддержку российскому правительству - Conti стала мишенью номер один.
Forwarded from Russian OSINT
🇺🇸Сетевая безопасность Украины теперь под надёжной защитой АНБ и Кибернетического командования США
👮Глава Кибернетического командования США генерал Пол Накасоне и по совместительству директор Агентства национальной безопасности (NSA) заявил, что его организация 🥷“активизировала” свои усилия по укреплению сетей и киберзащиты Украины от российских цифровых атак с тех пор, как Москва начала спецоперацию по демилитаризации и денацификации в феврале 2022 года.
“Мы оказывали удаленную аналитическую поддержку Украине и проводили мероприятия по сетевой защите, ориентированные на критически важные сети Украины - непосредственно в поддержку партнеров по миссии”, - комментирует ситуацию директор Агентства национальной безопасности
👆Интересно, а завуалированная формулировка "активизация укрепления сетей партнёра" cлучайно не относится к тому, что спецслужбы США предложили президенту Джо Байдену использовать кибероружие против России «в невиданных ранее масштабах» о которой писали NBC?
Разведывательные ведомства и военные предлагали такие варианты как нарушение интернет-соединения по всей России, отключение электроэнергии и вмешательство в работу железнодорожных стрелочных переводов😕
Дальше интереснее, бюджетный запрос президента Джо Байдена на 2023 финансовый год направлен на то, чтобы предоставить 🇺🇸Кибернетическому командованию США новое крупное вливание долларов, поскольку оно борется с такими недемократическими государствами-противниками как 🇷🇺Россия,🇨🇳 Китай, 🇮🇷Иран и 🇰🇵Северная Корея. Кибернетическое командование требует выделить бюджет в размере $717 миллионов долларов на противостояние, что на $50 миллионов больше, чем в прошлом году, сообщает представитель Пентагона.
"President Joe Biden’s fiscal 2023 budget request seeks to give Cyber Command a major dollar infusion as it contends with adversaries like Russia, China, Iran and North Korea and juggles a portfolio of missions that has grown to include election security and ransomware" - сообщает RF.
🇺🇸🇨🇳 Четырехзвездочный генерал также назвал Китай “вызовом, не похожим ни на один другой". Для противодействия Азиатскому красному дракону командование США решило создать специальное подразделение “China Outcomes Group” — объединенную оперативную группу Кибернетического командования и АНБ — для “надлежащего фокусирования, обеспечения ресурсами, планирования операций” с целью противодействия растущему глобальному влиянию Пекина.
📲 @russian_osint
👮Глава Кибернетического командования США генерал Пол Накасоне и по совместительству директор Агентства национальной безопасности (NSA) заявил, что его организация 🥷“активизировала” свои усилия по укреплению сетей и киберзащиты Украины от российских цифровых атак с тех пор, как Москва начала спецоперацию по демилитаризации и денацификации в феврале 2022 года.
“Мы оказывали удаленную аналитическую поддержку Украине и проводили мероприятия по сетевой защите, ориентированные на критически важные сети Украины - непосредственно в поддержку партнеров по миссии”, - комментирует ситуацию директор Агентства национальной безопасности
👆Интересно, а завуалированная формулировка "активизация укрепления сетей партнёра" cлучайно не относится к тому, что спецслужбы США предложили президенту Джо Байдену использовать кибероружие против России «в невиданных ранее масштабах» о которой писали NBC?
Разведывательные ведомства и военные предлагали такие варианты как нарушение интернет-соединения по всей России, отключение электроэнергии и вмешательство в работу железнодорожных стрелочных переводов😕
Дальше интереснее, бюджетный запрос президента Джо Байдена на 2023 финансовый год направлен на то, чтобы предоставить 🇺🇸Кибернетическому командованию США новое крупное вливание долларов, поскольку оно борется с такими недемократическими государствами-противниками как 🇷🇺Россия,🇨🇳 Китай, 🇮🇷Иран и 🇰🇵Северная Корея. Кибернетическое командование требует выделить бюджет в размере $717 миллионов долларов на противостояние, что на $50 миллионов больше, чем в прошлом году, сообщает представитель Пентагона.
"President Joe Biden’s fiscal 2023 budget request seeks to give Cyber Command a major dollar infusion as it contends with adversaries like Russia, China, Iran and North Korea and juggles a portfolio of missions that has grown to include election security and ransomware" - сообщает RF.
🇺🇸🇨🇳 Четырехзвездочный генерал также назвал Китай “вызовом, не похожим ни на один другой". Для противодействия Азиатскому красному дракону командование США решило создать специальное подразделение “China Outcomes Group” — объединенную оперативную группу Кибернетического командования и АНБ — для “надлежащего фокусирования, обеспечения ресурсами, планирования операций” с целью противодействия растущему глобальному влиянию Пекина.
📲 @russian_osint
͏У Palo Alto Networks вечно что-то ломается: то служба техподдержки отваливается, то брандмауэры и VPN вызывают состояние отказа в обслуживании из-за ошибки OpenSSL.
В среду американская инфосек компания предупредила клиентов, что PAN-OS 8.1 и более поздние версии (включает как аппаратные, так и виртуальные брандмауэры, а также устройства Panorama и Prisma), все версии приложения GlobalProtect и агента Cortex XDR содержат уязвимую версию библиотеки OpenSSL с серьезной ошибкой бесконечного цикла, обнаруженную три недели назад. Уязвимость не влияет на Prisma Cloud и Cortex XSOAR.
Злоумышленники могут использовать уязвимость CVE-2022-0778 для активации состояния отказа в обслуживании и удаленно вывести из строя устройства, на которых запущено непропатченное ПО. При этом успешная эксплуатация уязвимости в Cortex XDR и GlobalProtect может быть реализована в ходе MITM.
Несмотря на то, что команда OpenSSL выпустила исправление еще две недели назад, клиентам Palo Alto Network все же придется подождать до 18 апреля: именно на эту дату запланирован выпуск обновления безопасности. Пока же для премиальных подписок доступны идентификаторы угроз 92409 и 92411, позволяющие блокировать известные атаки, связанные с этой уязвимостью и снижать риск использования известных эксплойтов.
Разработчик заявляет, что несмотря на доступность PoC доказательств использования проблемы ни в одном из своих продуктов не зафиксировано, а в результате успешной эксплуатации влияние ошибки ограничено вызовом отказа в обслуживании.
Тем не менее Palo Alto признают все же, что злоумышленники могут использовать уязвимость OpenSSL в атаках низкой сложности без взаимодействия с пользователем без каких-либо заморочек.
В среду американская инфосек компания предупредила клиентов, что PAN-OS 8.1 и более поздние версии (включает как аппаратные, так и виртуальные брандмауэры, а также устройства Panorama и Prisma), все версии приложения GlobalProtect и агента Cortex XDR содержат уязвимую версию библиотеки OpenSSL с серьезной ошибкой бесконечного цикла, обнаруженную три недели назад. Уязвимость не влияет на Prisma Cloud и Cortex XSOAR.
Злоумышленники могут использовать уязвимость CVE-2022-0778 для активации состояния отказа в обслуживании и удаленно вывести из строя устройства, на которых запущено непропатченное ПО. При этом успешная эксплуатация уязвимости в Cortex XDR и GlobalProtect может быть реализована в ходе MITM.
Несмотря на то, что команда OpenSSL выпустила исправление еще две недели назад, клиентам Palo Alto Network все же придется подождать до 18 апреля: именно на эту дату запланирован выпуск обновления безопасности. Пока же для премиальных подписок доступны идентификаторы угроз 92409 и 92411, позволяющие блокировать известные атаки, связанные с этой уязвимостью и снижать риск использования известных эксплойтов.
Разработчик заявляет, что несмотря на доступность PoC доказательств использования проблемы ни в одном из своих продуктов не зафиксировано, а в результате успешной эксплуатации влияние ошибки ограничено вызовом отказа в обслуживании.
Тем не менее Palo Alto признают все же, что злоумышленники могут использовать уязвимость OpenSSL в атаках низкой сложности без взаимодействия с пользователем без каких-либо заморочек.
Big Sur и Catalina похоже, что все.
31 марта Apple выпустила экстренные исправления для двух уязвимостей памяти CVE-2022-22675 и CVE-2022-22674, которые активно использовались злоумышленниками в дикой природе.
При этом исправления были доступны для iOS, iPadOS и macOS Monterey. А клиенты Apple на Big Sur или Catalina (или пользователи более ранних версий ОС) так и не дождались обновлений. И не дождутся.
Фактически Apple решила забить на 35–40% всех поддерживаемых компьютеров Mac и бросить их на растерзание хакерам, и это при том, что проигнорированные 0-day активно используются в реальных атаках, а обе эти версии macOS якобы все еще получают исправления для «значительных уязвимостей».
На помощь пользователям флагманской платформы macOS пришли исследователи Intego с заявлением о халатности разработчика. Ресерчеры выяснили, что Big Sur и Catalina подвержены по крайней мере одной из двух проблем, а также еще длинному списку других уязвимостей, которые до сих пор остаются непропатченными.
Конечно же, Apple отмалчивается, а исследователи больше склоняются к тому, что Apple намеренно оставила macOS Big Sur восприимчивой к довольно активно эксплуатируемой уязвимости, равно как и не приводит в бюллетенях подробностей или индикаторов компрометации к активно используемым ошибкам. Только в этом году было зарегистрировано не менее 13 атак с использованием 0-day.
И тут вспоминается известное в народе литературное произведение про куратора из спецслужб.
31 марта Apple выпустила экстренные исправления для двух уязвимостей памяти CVE-2022-22675 и CVE-2022-22674, которые активно использовались злоумышленниками в дикой природе.
При этом исправления были доступны для iOS, iPadOS и macOS Monterey. А клиенты Apple на Big Sur или Catalina (или пользователи более ранних версий ОС) так и не дождались обновлений. И не дождутся.
Фактически Apple решила забить на 35–40% всех поддерживаемых компьютеров Mac и бросить их на растерзание хакерам, и это при том, что проигнорированные 0-day активно используются в реальных атаках, а обе эти версии macOS якобы все еще получают исправления для «значительных уязвимостей».
На помощь пользователям флагманской платформы macOS пришли исследователи Intego с заявлением о халатности разработчика. Ресерчеры выяснили, что Big Sur и Catalina подвержены по крайней мере одной из двух проблем, а также еще длинному списку других уязвимостей, которые до сих пор остаются непропатченными.
Конечно же, Apple отмалчивается, а исследователи больше склоняются к тому, что Apple намеренно оставила macOS Big Sur восприимчивой к довольно активно эксплуатируемой уязвимости, равно как и не приводит в бюллетенях подробностей или индикаторов компрометации к активно используемым ошибкам. Только в этом году было зарегистрировано не менее 13 атак с использованием 0-day.
И тут вспоминается известное в народе литературное произведение про куратора из спецслужб.
The Mac Security Blog
Apple Neglects to Patch Two Zero-Day, Wild Vulnerabilities for macOS Big Sur, Catalina - The Mac Security Blog
Apple has chosen to leave Big Sur and Catalina (around 35 to 40 percent of all Macs) in danger of actively exploited vulnerabilities that have only been patched for macOS Monterey.
Forwarded from Social Engineering
💬 true story... Social Engineering.
• В 2018 году, Конрад Войц использовал #СИ и #фишинг для обмана сотрудников Американской тюрьмы и установки вредоносного ПО с целью хищения учётных данных и уменьшения тюремного срока своего друга.
• В ходе своей атаки, Войц создал копию сайта тюрьмы
В чем смысл данного поста?
Смысл в том, что тюрьма использовала передовое, на то время, ПО для анализа угроз, тюрьма окружена стальными дверьми и сотрудниками (самым слабым звеном в любой системе) которые доверились атакующему. Да, атакующего смогли поймать, но что бы было, если бы уровень #СИ был на более высоком уровне и была организована более тщательная подготовка перед атакой?
• Для того что бы прокачать свои навыки социальной инженерии, ты можешь воспользоваться хештегом #СИ. Обрати внимание на тему: #Профайлинг — это поможет тебе в межличностной коммуникации, а так же не забывай про #Фишинг — самый популярный вид атаки, в связи с обостренной обстановкой в мире. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Сегодня мы говорим о социальной инженерии, а именно о взломе американской тюремной системы с помощью #СИ. Кевин Митник утверждал, что никакая технология в мире не может противостоять социальному инженеру, так как людьми просто манипулировать, и даже в самых защищённых системах именно люди могут оказаться слабым звеном.• В 2018 году, Конрад Войц использовал #СИ и #фишинг для обмана сотрудников Американской тюрьмы и установки вредоносного ПО с целью хищения учётных данных и уменьшения тюремного срока своего друга.
• В ходе своей атаки, Войц создал копию сайта тюрьмы
(ewashtenaw.org), изменив в названии букву W на 2 буквы VV (ewashtenavv.org). После чего, Войц использовал Вишинг, представляясь сотрудником отдела ИТ, предлагал своим жертвам ввести их учётные данные на фишинговом сайте, тем самым он получил доступ к более чем 1600 паролям. Однако, Войц был обнаружен прежде, чем сумел что-либо сделать, и был приговорен к 87 месяцам тюрьмы.В чем смысл данного поста?
Смысл в том, что тюрьма использовала передовое, на то время, ПО для анализа угроз, тюрьма окружена стальными дверьми и сотрудниками (самым слабым звеном в любой системе) которые доверились атакующему. Да, атакующего смогли поймать, но что бы было, если бы уровень #СИ был на более высоком уровне и была организована более тщательная подготовка перед атакой?
• Для того что бы прокачать свои навыки социальной инженерии, ты можешь воспользоваться хештегом #СИ. Обрати внимание на тему: #Профайлинг — это поможет тебе в межличностной коммуникации, а так же не забывай про #Фишинг — самый популярный вид атаки, в связи с обостренной обстановкой в мире. Твой S.E.
Порой не перестаешь удивляться насколько пытлив хакерский ум особенно, когда он замотивирован по-тихому заработать.
Не так давно было обнаружено вредоносное ПО Denonia, названное по имени домена с которым оно взаимодействует и предназначенное для майнинга криптовалюты, в частности Monero (XMR) и что самое интересное ориентированное на среду Amazon Web Services (AWS) Lambda.
О малвари сообщили исследователями Cado Security, которые обнаружили образцы, загруженные на VirusTotal еще в январе-феврале текущего года. Denonia написана на языке программирования Go, также известном как Golang, и содержит модифицированный вариант криптомайнера XMRig в сочетании с некоторыми пока неизвестными функциями.
Lambda — это бессерверная служба вычислений, управляемая событиями, которая позволяет пользователям запускать код практически для любого типа приложений или серверных служб без необходимости выделять сервер или управлять им, что собственно делает ее особенно уязвимой для вредоносных программ.
Эксперты отметили, как AWS защищает базовую среду выполнения Lambda, но безопасность функций зависит от клиентов, что позволяет киберпреступникам развертывать подобные вредоносные программы. Тем не менее во время анализа Denonia так и не стало ясно как оно развертывается в средах Lambda.
Denonia может показаться относительно безобидной, поскольку она использует только программное обеспечение для криптомайнинга, но при всем этом она использует передовые технологии для обхода стандартных методов обнаружения и контроля доступа к виртуальной сети, а также демонстрирует, как злоумышленники используют знания об облачных технологиях для эксплуатации сложных инфраструктур, указывая путь к будущим более разрушительным атакам.
Полное уведомление о раскрытии информации, включая более глубокий анализ и индикаторы компрометации, можно найти в отчете исследователей.
Не так давно было обнаружено вредоносное ПО Denonia, названное по имени домена с которым оно взаимодействует и предназначенное для майнинга криптовалюты, в частности Monero (XMR) и что самое интересное ориентированное на среду Amazon Web Services (AWS) Lambda.
О малвари сообщили исследователями Cado Security, которые обнаружили образцы, загруженные на VirusTotal еще в январе-феврале текущего года. Denonia написана на языке программирования Go, также известном как Golang, и содержит модифицированный вариант криптомайнера XMRig в сочетании с некоторыми пока неизвестными функциями.
Lambda — это бессерверная служба вычислений, управляемая событиями, которая позволяет пользователям запускать код практически для любого типа приложений или серверных служб без необходимости выделять сервер или управлять им, что собственно делает ее особенно уязвимой для вредоносных программ.
Эксперты отметили, как AWS защищает базовую среду выполнения Lambda, но безопасность функций зависит от клиентов, что позволяет киберпреступникам развертывать подобные вредоносные программы. Тем не менее во время анализа Denonia так и не стало ясно как оно развертывается в средах Lambda.
Denonia может показаться относительно безобидной, поскольку она использует только программное обеспечение для криптомайнинга, но при всем этом она использует передовые технологии для обхода стандартных методов обнаружения и контроля доступа к виртуальной сети, а также демонстрирует, как злоумышленники используют знания об облачных технологиях для эксплуатации сложных инфраструктур, указывая путь к будущим более разрушительным атакам.
Полное уведомление о раскрытии информации, включая более глубокий анализ и индикаторы компрометации, можно найти в отчете исследователей.
Darktrace
Solve Cloud Forensics at Scale
Darktrace has acquired Cado security, a cyber investigation and response solution provider and leader in cloud data capture and forensics.
This media is not supported in your browser
VIEW IN TELEGRAM
- Партнёрский пост -
Каков сейчас рынок услуг ИБ? Просто посмотрите на это.
Длинные цепочки субподрядчиков, грабительские комиссии, непрозрачное ценообразование и сомнительные гарантии качества. Альтернатива?
Третья Сторона - первый маркетплейс услуг ИБ в России!
Работай напрямую с проверенными исполнителями, без посредников, с максимальной прозрачностью.
Подробнее о площадке
Каков сейчас рынок услуг ИБ? Просто посмотрите на это.
Длинные цепочки субподрядчиков, грабительские комиссии, непрозрачное ценообразование и сомнительные гарантии качества. Альтернатива?
Третья Сторона - первый маркетплейс услуг ИБ в России!
Работай напрямую с проверенными исполнителями, без посредников, с максимальной прозрачностью.
Подробнее о площадке
Минфин США объявил о снятии санкций с поставок российским компаниям телекоммуникационного оборудования, а также ряда Интернет-технологий.
Ну а что, АНБшные бэкдоры сами себя в Россию не завезут!
Ну а что, АНБшные бэкдоры сами себя в Россию не завезут!
Office of Foreign Assets Control | U.S. Department of the Treasury
Home
Mission The Office of Foreign Assets Control ("OFAC") of the US Department of the Treasury administers and enforces economic and trade sanctions based on US foreign policy and national security goals against targeted foreign countries and regimes, terrorists…
͏Исследователи AppCensus обнаружили в Play Store приложения, которые собирали конфиденциальные пользовательские данные более чем 45 миллионов пользователей устройств на базе ОС Android.
Как выяснилось, сбор данных происходил посредством стороннего SDK, который включал функционал захвата буфера обмена, данных GPS, адресов электронной почты, номеров телефонов и даже MAC-адресов маршрутизатора пользователя и сетевого SSID. И соответственно через буфер также доставались сведения в отношении криптокошельков и платежных средств.
По данным AppCensus, собранные данные объединяются и передаются с помощью SDK на домен «mobile.measurelib.com», который, принадлежит панамской аналитической фирме Measurement Systems.
Компания реализует SDK для сбора данных под названием Coelib, позиционируя ее как инструмент монетизации для разработчиков приложений, не требующей размещения рекламы. Только одно непонятно, зачем же тогда строки в библиотеке SDK закодированы с помощью шифрования AES и base64, если все легально.
Впрочем, это никак не смутило разработчиков следующих приложений приделать SDK за небольшую копейку и обеспечить панамской компании доступ к следующим пользовательским данным:
⁃ Speed Camera Radar (10 миллионов установок, передает: номер телефона, IMEI, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Al-Moazin Lite (10 миллионов установок, передает: MAC-адрес маршрутизатора)
⁃ WiFi Mouse (10 million installations, передает: router MAC address)
⁃ QR & Barcode Scanner (5 миллионов установок, передает: номер телефона, адрес электронной почты, IMEI, данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Qibla Compass Ramadan 2022 (5 миллионов установок, передает: данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Simple weather & clock widget (1 миллион установок, передает: номер телефона, IMEI, SSID роутера, MAC-адрес роутера)
⁃ Handcent Next SMS-Text w/MSS (1 миллион установок, передает: адрес электронной почты, IMEI, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Smart Kit 360 (1 миллион установок, передает: адрес электронной почты, IMEI, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Al Quran mp3 (1 миллион установок, передает: данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Full Quran MP3 (1 миллион установок, передает: данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Audiosdroid Audio Studio DAW (1 миллион установок, передает: номер телефона, IMEI, данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора).
О махинациях Measurement Systems исследователи сообщили в Google 20 октября 2021 года, после чего все заряженные версии приложений были удалены Play Store, а на замену им разработчики вернули обновленных версии без шпионского содержимого. Согласно официальным заявлениям сами разработчики при этом не были в курсе ситуации и признали, что SDK, принадлежащий Measurementsys, использует некоторые уязвимости Android, работая неясным и сомнительным образом.
Однако все предыдущие установки на девайсах пользователей Android по-прежнему используют библиотеки SDK и передают в фоновом режиме фактически всю самую интересную конфиденциальную инфу на панамский домен. Во избежание дальнейшей утечки пользователям следует удалить и заново инсталлировать свежую версию ПО.
В данной ситуации интересно другое: куда в реальности уходили данные, большая часть из которых позволяет фиксировать геопозиции пользователей и места их притяжения. Не удивимся, если выяснится, что Measurement реализовывали инфу поставщикам шпионского ПО и аналитических систем.
Как выяснилось, сбор данных происходил посредством стороннего SDK, который включал функционал захвата буфера обмена, данных GPS, адресов электронной почты, номеров телефонов и даже MAC-адресов маршрутизатора пользователя и сетевого SSID. И соответственно через буфер также доставались сведения в отношении криптокошельков и платежных средств.
По данным AppCensus, собранные данные объединяются и передаются с помощью SDK на домен «mobile.measurelib.com», который, принадлежит панамской аналитической фирме Measurement Systems.
Компания реализует SDK для сбора данных под названием Coelib, позиционируя ее как инструмент монетизации для разработчиков приложений, не требующей размещения рекламы. Только одно непонятно, зачем же тогда строки в библиотеке SDK закодированы с помощью шифрования AES и base64, если все легально.
Впрочем, это никак не смутило разработчиков следующих приложений приделать SDK за небольшую копейку и обеспечить панамской компании доступ к следующим пользовательским данным:
⁃ Speed Camera Radar (10 миллионов установок, передает: номер телефона, IMEI, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Al-Moazin Lite (10 миллионов установок, передает: MAC-адрес маршрутизатора)
⁃ WiFi Mouse (10 million installations, передает: router MAC address)
⁃ QR & Barcode Scanner (5 миллионов установок, передает: номер телефона, адрес электронной почты, IMEI, данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Qibla Compass Ramadan 2022 (5 миллионов установок, передает: данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Simple weather & clock widget (1 миллион установок, передает: номер телефона, IMEI, SSID роутера, MAC-адрес роутера)
⁃ Handcent Next SMS-Text w/MSS (1 миллион установок, передает: адрес электронной почты, IMEI, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Smart Kit 360 (1 миллион установок, передает: адрес электронной почты, IMEI, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Al Quran mp3 (1 миллион установок, передает: данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Full Quran MP3 (1 миллион установок, передает: данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора)
⁃ Audiosdroid Audio Studio DAW (1 миллион установок, передает: номер телефона, IMEI, данные GPS, SSID маршрутизатора, MAC-адрес маршрутизатора).
О махинациях Measurement Systems исследователи сообщили в Google 20 октября 2021 года, после чего все заряженные версии приложений были удалены Play Store, а на замену им разработчики вернули обновленных версии без шпионского содержимого. Согласно официальным заявлениям сами разработчики при этом не были в курсе ситуации и признали, что SDK, принадлежащий Measurementsys, использует некоторые уязвимости Android, работая неясным и сомнительным образом.
Однако все предыдущие установки на девайсах пользователей Android по-прежнему используют библиотеки SDK и передают в фоновом режиме фактически всю самую интересную конфиденциальную инфу на панамский домен. Во избежание дальнейшей утечки пользователям следует удалить и заново инсталлировать свежую версию ПО.
В данной ситуации интересно другое: куда в реальности уходили данные, большая часть из которых позволяет фиксировать геопозиции пользователей и места их притяжения. Не удивимся, если выяснится, что Measurement реализовывали инфу поставщикам шпионского ПО и аналитических систем.
Group-IB решили присоединиться к MSSP-движу и заключили партнерство с Уральским Центром Систем Безопасности (УЦСБ).
Для ГрИБов это первый полноценный MSSP-провайдер на базе Threat Intelligence & Attribution. Про саму систему мы раньше писали, а как минимум в одном случае она даже смогла поломать традиционную точку зрения на крупную кибератаку. Весьма любопытная штуковина. Обещают реагирование 24/7 по жесткому SLA (до 30 мин при критичных инцидентах).
Как обычно - будем посмотреть.
Для ГрИБов это первый полноценный MSSP-провайдер на базе Threat Intelligence & Attribution. Про саму систему мы раньше писали, а как минимум в одном случае она даже смогла поломать традиционную точку зрения на крупную кибератаку. Весьма любопытная штуковина. Обещают реагирование 24/7 по жесткому SLA (до 30 мин при критичных инцидентах).
Как обычно - будем посмотреть.
Telegram
Group-IB
#TI
Не спи, встречай MSSP!
⚔️Group-IB рада представить Уральский Центр систем безопасности (УЦСБ) — своего первого и на данный момент единственного MSSP-партнера, который умеет в киберразведку, исследование угроз и атрибутирование атак на базе нашей легендарной…
Не спи, встречай MSSP!
⚔️Group-IB рада представить Уральский Центр систем безопасности (УЦСБ) — своего первого и на данный момент единственного MSSP-партнера, который умеет в киберразведку, исследование угроз и атрибутирование атак на базе нашей легендарной…
Часто ли вы задумывались о том, что кто-то еще имеет доступ к вашему телефону? И к сожалению возможно, вы правы.
В конце 2022 года эксперты из Kryptowire обнаружили уязвимость, отслеживаемую как CVE-2022-22292, которую можно использовать для взлома устройств Android 9, 10, 11 и 12.
Уязвимость находится в предустановленном приложении Телефон, которое запускается с системными привилегиями на устройствах Samsung. Эксперты отметили, что в приложении Телефон есть небезопасный компонент, который позволяет локальным приложениям выполнять привилегированные операции без какого-либо взаимодействия с пользователем.
Бага позволяет потенциальному злоумышленнику инициировать сброс настроек к заводским (т. е. удалить все пользовательские данные), совершать телефонные звонки, устанавливать/удалять приложения, устанавливать корневые сертификаты для прослушивания защищенного трафика и все это из ненадежных приложений, работающих в фоновом режиме и без одобрения конечного пользователя.
Уязвимость CVE-2022-22292 была оценена как высокая степень серьезности, и о ней было сообщено Samsung еще 27 ноября 2021 года. Но компания устранила проблему только феврале 2022, выпустив патч в рамках процесса обновления безопасности (SMR).
Что произошло с пользователями Samsung за столь продолжительный период времени одному Богу известно. В прочем об уязвимости прогудели уже многие, но и мы призываем обновить свои девайсы пока есть такая возможность.
В конце 2022 года эксперты из Kryptowire обнаружили уязвимость, отслеживаемую как CVE-2022-22292, которую можно использовать для взлома устройств Android 9, 10, 11 и 12.
Уязвимость находится в предустановленном приложении Телефон, которое запускается с системными привилегиями на устройствах Samsung. Эксперты отметили, что в приложении Телефон есть небезопасный компонент, который позволяет локальным приложениям выполнять привилегированные операции без какого-либо взаимодействия с пользователем.
Бага позволяет потенциальному злоумышленнику инициировать сброс настроек к заводским (т. е. удалить все пользовательские данные), совершать телефонные звонки, устанавливать/удалять приложения, устанавливать корневые сертификаты для прослушивания защищенного трафика и все это из ненадежных приложений, работающих в фоновом режиме и без одобрения конечного пользователя.
Уязвимость CVE-2022-22292 была оценена как высокая степень серьезности, и о ней было сообщено Samsung еще 27 ноября 2021 года. Но компания устранила проблему только феврале 2022, выпустив патч в рамках процесса обновления безопасности (SMR).
Что произошло с пользователями Samsung за столь продолжительный период времени одному Богу известно. В прочем об уязвимости прогудели уже многие, но и мы призываем обновить свои девайсы пока есть такая возможность.
Quokka
Home
Strengthen your mobile security with Quokka’s mobile app risk intelligence, delivered via mobile app vetting and mobile app security testing. Identify and mitigate mobile threats and integrate seamlessly into your existing security stack and dev lifecycle.
В прошедшие выходные кто-то наделал нам на связной ящик электронной почты кучу (более 800 писем) спама с ресурсов различных российских и белорусских компаний.
Содержание везде одинаковое - запрос на сброс пароля.
Есть подозрение, что негодяи массово ломанули что-то непропатченное (или атака на цепочку поставок) и подставили наш адрес в качестве служебного. То ли пытаются выставить нас хакерами, то ли еще чего. Скорее всего - дело рук УГИЛ (Украинское государство Ивано-Франковска и Львова, в России пока не запрещено).
Хотя может быть тупо фишинг. Посмотрим.
Содержание везде одинаковое - запрос на сброс пароля.
Есть подозрение, что негодяи массово ломанули что-то непропатченное (или атака на цепочку поставок) и подставили наш адрес в качестве служебного. То ли пытаются выставить нас хакерами, то ли еще чего. Скорее всего - дело рук УГИЛ (Украинское государство Ивано-Франковска и Львова, в России пока не запрещено).
Хотя может быть тупо фишинг. Посмотрим.
Trend Micro официально подтвердили использование Spring4Shell ботнетом Mirai. Первыми атаки обнаружили китайские коллеги из Qihoo 360.
В этом плане операторы ботнета Mirai действуют весьма оперативно, добавляя свежие CVE в свой арсенал эксплойтов, как это было ранее с Log4Shell.
Речь идет о двух критических уязвимостях CVE-2022-22965 и CVE-2022-22963 в популярной среде разработки Java-приложений Spring, которые могут быть использованы для удаленного выполнения кода.
Касаемо Mirai исследователи наблюдали активное использование Spring4Shell, когда злоумышленники загружали вредоносное ПО Mirai в на уязвимых серверах, особенно в регионе Сингапура. Образец загружался в папку «/tmp» и выполнялся сразу после добавления необходимого разрешения для его исполнения с помощью «chmod».
Несмотря но то, что Spring4Shell не так широко эксплуатируема, как Log4Shell, уязвимость все же потенциально может затронут многих, поэтому специалисты рекомендуют следовать рекомендациям и использовать доступные инструменты для защиты систем, пока поставщики ПО оценивают степень влияния Spring4Shell на свои продукты и готовят соответствующие патчи.
В этом плане операторы ботнета Mirai действуют весьма оперативно, добавляя свежие CVE в свой арсенал эксплойтов, как это было ранее с Log4Shell.
Речь идет о двух критических уязвимостях CVE-2022-22965 и CVE-2022-22963 в популярной среде разработки Java-приложений Spring, которые могут быть использованы для удаленного выполнения кода.
Касаемо Mirai исследователи наблюдали активное использование Spring4Shell, когда злоумышленники загружали вредоносное ПО Mirai в на уязвимых серверах, особенно в регионе Сингапура. Образец загружался в папку «/tmp» и выполнялся сразу после добавления необходимого разрешения для его исполнения с помощью «chmod».
Несмотря но то, что Spring4Shell не так широко эксплуатируема, как Log4Shell, уязвимость все же потенциально может затронут многих, поэтому специалисты рекомендуют следовать рекомендациям и использовать доступные инструменты для защиты систем, пока поставщики ПО оценивают степень влияния Spring4Shell на свои продукты и готовят соответствующие патчи.
Trend Micro
CVE-2022-22965 Analyzing the Exploitation of Spring4Shell Vulnerability in Weaponizing and Executing the Mirai Botnet Malware