Исследователи Лаборатории Касперского выпустили дешифратор для жертв ransomware Yanluowang.
Обнаруженная в ходе изучения алгоритма шифрования Yanluowang уязвимость позволила восстанавливать зашифрованные файлы пострадавших пользователей с помощью атаки по известному открытому тексту.
Yanluowang впервые проявили себя в октябре 2021 года. Ransomware использовалось в управляемых целенаправленных атаках на предприятия. Месяц спустя один из операторов атаковал американские организации в финансовом секторе, используя при этом вредоносное ПО BazarLoader для разведки.
Основываясь на TTP, использованных в этих атаках, этот оператор Yanluowang был связан с Thieflock и группой Fivehands (отслеживается Mandiant как UNC2447).
После развертывания в скомпрометированных сетях Yanluowang останавливает виртуальные машины, завершает все процессы и шифрует файлы, добавляя одноимённое расширение и оставляя заметки о выкупе README.txt. Для давления на жертв используются распределенные атаки типа «отказ в обслуживании» (DDoS), угрожая повторной атакой с удалением данных.
Штамм вымогателя шифрует файлы размером более 3 ГБ и меньше 3 ГБ, используя разные методы: большие файлы частично шифруются полосами по 5 МБ через каждые 200 МБ, а меньшие полностью шифруются от начала до конца.
Для расшифровки потребуется хотя бы один из исходных файлов:
- для небольших файлов (менее или равных 3 Гб) - пара файлов размером от 1024 байт и более;
- для расшифровки больших файлов (более 3 ГБ) - пара файлов (зашифрованный и оригинальный) размером не менее 3 ГБ каждый.
Инструмент расшифровки реализован Лабораторей Касперского в формате утилиты RannohDecryptor, доступной для загрузки с сервера компании.
Обнаруженная в ходе изучения алгоритма шифрования Yanluowang уязвимость позволила восстанавливать зашифрованные файлы пострадавших пользователей с помощью атаки по известному открытому тексту.
Yanluowang впервые проявили себя в октябре 2021 года. Ransomware использовалось в управляемых целенаправленных атаках на предприятия. Месяц спустя один из операторов атаковал американские организации в финансовом секторе, используя при этом вредоносное ПО BazarLoader для разведки.
Основываясь на TTP, использованных в этих атаках, этот оператор Yanluowang был связан с Thieflock и группой Fivehands (отслеживается Mandiant как UNC2447).
После развертывания в скомпрометированных сетях Yanluowang останавливает виртуальные машины, завершает все процессы и шифрует файлы, добавляя одноимённое расширение и оставляя заметки о выкупе README.txt. Для давления на жертв используются распределенные атаки типа «отказ в обслуживании» (DDoS), угрожая повторной атакой с удалением данных.
Штамм вымогателя шифрует файлы размером более 3 ГБ и меньше 3 ГБ, используя разные методы: большие файлы частично шифруются полосами по 5 МБ через каждые 200 МБ, а меньшие полностью шифруются от начала до конца.
Для расшифровки потребуется хотя бы один из исходных файлов:
- для небольших файлов (менее или равных 3 Гб) - пара файлов размером от 1024 байт и более;
- для расшифровки больших файлов (более 3 ГБ) - пара файлов (зашифрованный и оригинальный) размером не менее 3 ГБ каждый.
Инструмент расшифровки реализован Лабораторей Касперского в формате утилиты RannohDecryptor, доступной для загрузки с сервера компании.
Securelist
How to recover files encrypted by Yanluowang
Kaspersky experts have found a vulnerability in the Yanluowang encryption algorithm and created a free decryptor to help victims of this ransomware with recovering their files.
Группа исследователей из Университета Висконсин-Мэдисон и Чикагского университета Лойолы прошерстили популярные приложения для видеоконференций VCA, в том числе используемые в корпоративных средах, обнаружив возможности доступа к микрофону, даже если звук пользователя отключен.
Исследователи вскрыли и тот факт, что некоторые приложения помимо постоянного отслеживания микрофона, считывают и данные телеметрии для точного определения различных типов фоновых действий, выполняемых пользователями. Кроме того, механизм контроля конфиденциальности для отключения микрофона зависит от приложения и не имеет связанного с ним аппаратного индикатора, в отличие от камеры.
Исследователи изучили, каким образом BlueJeans, Cisco Webex, Discord, Google Meet, GoToMeeting, Jitsi Meet, Microsoft Teams/Skype, Slack, WhereBy и Zoom (Enterprise) взаимодействуют с микрофоном, и обнаружили, что все они могут активно запрашивать микрофон, даже если звук пользователя отключен. Более того, на основе отправленных VCA пакетов телеметрии исследователи по разработанному классификатору фоновой активности смогли точно определить шесть типов общих фоновых действий, при этом микрофон был отключен.
Выявлено особенность, связанная с тем, что собственные реализации приложений для основных ОС ведут себя иначе, нежели чем их веб-аналоги, которые запрашивают доступ к микрофону через веб-браузер. При этом большинство нативных VCA для Windows и macOS могут проверять, говорит ли пользователь, даже когда звук отключен, но не производят непрерывную выборку звука. Однако когда дело доходит до веб-приложений, используется функция программного отключения звука браузера, которая указывает драйверу микрофона полностью отключить данные микрофона.
Если до конца понять каким образом Microsoft Teams и Skype используют микрофон при отключении звука не удалось в силу прямого обращения к ОС вместо API Windows, то в случае с Cisco Webex все плохо: система запрашивает микрофон независимо от состояния кнопки отключения звука, аудиобуфер Webex почти всегда содержит необработанный звук с микрофона.
При этом Webex — единственный проект, который непрерывно записывает данные с микрофона, когда звук пользователя отключен, отправляя аудиоданные телеметрии на свои серверы один раз в минуту. Cisco оправдывается тем, что собранные данные ограничиваются настройками звука.
Всегда помните, что большой брат не только следит за вами, а прежде всего подслушивает.
Исследователи вскрыли и тот факт, что некоторые приложения помимо постоянного отслеживания микрофона, считывают и данные телеметрии для точного определения различных типов фоновых действий, выполняемых пользователями. Кроме того, механизм контроля конфиденциальности для отключения микрофона зависит от приложения и не имеет связанного с ним аппаратного индикатора, в отличие от камеры.
Исследователи изучили, каким образом BlueJeans, Cisco Webex, Discord, Google Meet, GoToMeeting, Jitsi Meet, Microsoft Teams/Skype, Slack, WhereBy и Zoom (Enterprise) взаимодействуют с микрофоном, и обнаружили, что все они могут активно запрашивать микрофон, даже если звук пользователя отключен. Более того, на основе отправленных VCA пакетов телеметрии исследователи по разработанному классификатору фоновой активности смогли точно определить шесть типов общих фоновых действий, при этом микрофон был отключен.
Выявлено особенность, связанная с тем, что собственные реализации приложений для основных ОС ведут себя иначе, нежели чем их веб-аналоги, которые запрашивают доступ к микрофону через веб-браузер. При этом большинство нативных VCA для Windows и macOS могут проверять, говорит ли пользователь, даже когда звук отключен, но не производят непрерывную выборку звука. Однако когда дело доходит до веб-приложений, используется функция программного отключения звука браузера, которая указывает драйверу микрофона полностью отключить данные микрофона.
Если до конца понять каким образом Microsoft Teams и Skype используют микрофон при отключении звука не удалось в силу прямого обращения к ОС вместо API Windows, то в случае с Cisco Webex все плохо: система запрашивает микрофон независимо от состояния кнопки отключения звука, аудиобуфер Webex почти всегда содержит необработанный звук с микрофона.
При этом Webex — единственный проект, который непрерывно записывает данные с микрофона, когда звук пользователя отключен, отправляя аудиоданные телеметрии на свои серверы один раз в минуту. Cisco оправдывается тем, что собранные данные ограничиваются настройками звука.
Всегда помните, что большой брат не только следит за вами, а прежде всего подслушивает.
- партнёрский пост -
PT Industrial Cybersecurity Suite 🏭 Онлайн-запуск
| 20 апреля в 14:00
20 апреля Positive Technologies запускает PT Industrial Cybersecurity Suite — первую комплексную платформу для защиты промышленности от киберугроз.
В программе трансляции:
▪️ Промышленная кибербезопасность: почему пора меняться
▪️ Технологическая сеть глазами атакующего: исследуем сценарии
▪️PT ICS: от фрагментарной безопасности к целостному подходу в ИБ АСУ ТП
▪️ Настало время настоящих промышленных SIEM- и VM-систем
Зарегистрироваться
PT Industrial Cybersecurity Suite 🏭 Онлайн-запуск
| 20 апреля в 14:00
20 апреля Positive Technologies запускает PT Industrial Cybersecurity Suite — первую комплексную платформу для защиты промышленности от киберугроз.
В программе трансляции:
▪️ Промышленная кибербезопасность: почему пора меняться
▪️ Технологическая сеть глазами атакующего: исследуем сценарии
▪️PT ICS: от фрагментарной безопасности к целостному подходу в ИБ АСУ ТП
▪️ Настало время настоящих промышленных SIEM- и VM-систем
Зарегистрироваться
Наряду с обновлениями программных продуктов не перестают исправлять свое ПО и представители теневого киберзакулисья. На днях исследователи из Palo Alto Networks раскрыли новую версию вредоносного ПО SolarMarker, в котором реализованы новые функции, позволяющие избежать обнаружения.
SolarMarker, также известный как Jupyter, Polazert и Yellow Cockatoo — это безфайловый RAT на .NET , который реализует возможности бэкдора и позволяет красть учетные данные из веб-браузеров. Он сохраняет устойчивость путем, добавления себя в папку «Автозагрузки» и изменения ярлыка на рабочем столе жертвы. RAT также используется для доставки других вредоносных полезных нагрузок на зараженные устройства.
Средством доставки для SolarMarker в основном являлись манипуляций с поисковой оптимизацией (SEO), дабы заставить пользователей загружать вредоносные документы самим.
Последняя версия малвари также работает с файлами пакетов установщика Windows (файлы MSI) и исполняемыми файлами EXE. Начальным этапом установки вредоносного ПО является EXE-файл размером более 250 МБ, такой большой размер файла как раз обусловлен тем, чтобы избежать песочницы или антивирусного анализа.
Этот файл удаляет и запускает установщик законной программы, чтобы не вызывать подозрений, в то же время он запускает загрузчик PowerShell в новом потоке для загрузки и выполнения полезной нагрузки бэкдора SolarMarker. Такой вот хитрый зверь. Кроме того, бэкдор мальварь взаимодействует с сервером C2 по зашифрованному каналу, так как использует HTTP-запросы POST и шифрует данные, используя шифрование RSA с симметричным шифрованием Advanced Encryption Standard (AES).
Базовая модель SolarMarker использует специальный модуль кражи информации для сбора данных автозаполнения, файлов cookie, паролей и информации о кредитных картах из веб-браузеров.
В отличие от предыдущих вариантов, последние файлы дроппера всегда подписаны сертификатом, выданным законной компанией. В новой версии используется измененный сценарий загрузчика PowerShell, и в отличие от предыдущих версий при первом запуске бэкдор будет загружаться в процесс дроппера, а не в процесс PowerShell.
Как говорят эксперты, разработчики вредоносного ПО прилагают значительные усилия для уклонения от защиты, такими методами, как подписанные и большие файлы, имитация легитимных установок программного обеспечения и нетривиальные сценарии PowerShell, что наглядно демонстрирует развитие SolarMarker.
SolarMarker, также известный как Jupyter, Polazert и Yellow Cockatoo — это безфайловый RAT на .NET , который реализует возможности бэкдора и позволяет красть учетные данные из веб-браузеров. Он сохраняет устойчивость путем, добавления себя в папку «Автозагрузки» и изменения ярлыка на рабочем столе жертвы. RAT также используется для доставки других вредоносных полезных нагрузок на зараженные устройства.
Средством доставки для SolarMarker в основном являлись манипуляций с поисковой оптимизацией (SEO), дабы заставить пользователей загружать вредоносные документы самим.
Последняя версия малвари также работает с файлами пакетов установщика Windows (файлы MSI) и исполняемыми файлами EXE. Начальным этапом установки вредоносного ПО является EXE-файл размером более 250 МБ, такой большой размер файла как раз обусловлен тем, чтобы избежать песочницы или антивирусного анализа.
Этот файл удаляет и запускает установщик законной программы, чтобы не вызывать подозрений, в то же время он запускает загрузчик PowerShell в новом потоке для загрузки и выполнения полезной нагрузки бэкдора SolarMarker. Такой вот хитрый зверь. Кроме того, бэкдор мальварь взаимодействует с сервером C2 по зашифрованному каналу, так как использует HTTP-запросы POST и шифрует данные, используя шифрование RSA с симметричным шифрованием Advanced Encryption Standard (AES).
Базовая модель SolarMarker использует специальный модуль кражи информации для сбора данных автозаполнения, файлов cookie, паролей и информации о кредитных картах из веб-браузеров.
В отличие от предыдущих вариантов, последние файлы дроппера всегда подписаны сертификатом, выданным законной компанией. В новой версии используется измененный сценарий загрузчика PowerShell, и в отличие от предыдущих версий при первом запуске бэкдор будет загружаться в процесс дроппера, а не в процесс PowerShell.
Как говорят эксперты, разработчики вредоносного ПО прилагают значительные усилия для уклонения от защиты, такими методами, как подписанные и большие файлы, имитация легитимных установок программного обеспечения и нетривиальные сценарии PowerShell, что наглядно демонстрирует развитие SolarMarker.
Unit 42
New SolarMarker (Jupyter) Campaign Demonstrates the Malware’s Changing Attack Patterns
A new version of SolarMarker malware appears to upgrade evasion abilities and demonstrates that the infostealer and backdoor continues to evolve.
Lenovo выпустил исправления безопасности для устранения трех уязвимостей, влияющих на прошивку Unified Extensible Firmware Interface (UEFI) в более чем 110 моделях популярных ноутбуков, , включая IdeaPad 3, Legion 5 Pro-16ACH6 H и Yoga Slim 9-14ITL05.
Уязвимости были обнаружены аналитиками ESET, которые, в свою очередь, уведомили Lenovo об этом в октябре 2021 года.
Две ошибки безопасности CVE-2021-3972 и CVE-2021-3971 обусловлены тем, что рабочие драйвера с SecureBackDoor и SecureBackDoorPeim были ошибочно включены в образ BIOS, которые позволяют злоумышленнику с повышенными привилегиями изменить область защиты микропрограммы, изменив переменную NVRAM.
Использование недостатков драйвера может позволить злоумышленникам с повышенными привилегиями либо изменить настройки безопасной загрузки (CVE-2021-3972), либо изменить область защиты прошивки (CVE-2021-3971). Последнюю можно также применять для деактивации механизмов защиты от записи для флэшпамяти SPI, на котором обычно и размещается прошивка UEFI, что дает злоумышленнику возможность развернуть вредоносный код непосредственно в хранилище прошивки
По мнению исследователей ESET, отключение безопасной загрузки оказывает значительное влияние на работу всей системы, позволяя выполнять вредоносные драйверы и приложения во время загрузки. Кроме того, сброс прошивки к заводским настройкам может позволить злоумышленнику развернуть уязвимые приложения UEFI для использования в будущих атаках.
Третья проблема CVE-2021-3970 возникает из-за ошибки в обработчике SMI программного обеспечения. SW SMI реализует прерывание процессора, которое необходимо запустить для входа в высокопривилегированный режим выполнения процессоров x86, называемый режимом управления системой (SMM).
Выявленная уязвимость может быть использована из привилегированного процесса в режиме ядра путем запуска программного прерывания SMI и передачи физического адреса специально созданного буфера в качестве параметра уязвимому обработчику SMI программного обеспечения.
К настоящему времени Lenovo уже выпустил патчи для нескольких моделей ноутбуков и планирует к 10 мая завершить работы по развертыванию обновлений прошивки для остальных продуктов. При этом достигшие конца срока службы (EOL) модели ноутбуков останутся непропатченными.
Учитывая реальные угрозы UEFI, обнаруженные в последние годы (LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy), настоятельно рекомендуем владельцам ноутбуков Lenovo обновить прошивку.
Уязвимости были обнаружены аналитиками ESET, которые, в свою очередь, уведомили Lenovo об этом в октябре 2021 года.
Две ошибки безопасности CVE-2021-3972 и CVE-2021-3971 обусловлены тем, что рабочие драйвера с SecureBackDoor и SecureBackDoorPeim были ошибочно включены в образ BIOS, которые позволяют злоумышленнику с повышенными привилегиями изменить область защиты микропрограммы, изменив переменную NVRAM.
Использование недостатков драйвера может позволить злоумышленникам с повышенными привилегиями либо изменить настройки безопасной загрузки (CVE-2021-3972), либо изменить область защиты прошивки (CVE-2021-3971). Последнюю можно также применять для деактивации механизмов защиты от записи для флэшпамяти SPI, на котором обычно и размещается прошивка UEFI, что дает злоумышленнику возможность развернуть вредоносный код непосредственно в хранилище прошивки
По мнению исследователей ESET, отключение безопасной загрузки оказывает значительное влияние на работу всей системы, позволяя выполнять вредоносные драйверы и приложения во время загрузки. Кроме того, сброс прошивки к заводским настройкам может позволить злоумышленнику развернуть уязвимые приложения UEFI для использования в будущих атаках.
Третья проблема CVE-2021-3970 возникает из-за ошибки в обработчике SMI программного обеспечения. SW SMI реализует прерывание процессора, которое необходимо запустить для входа в высокопривилегированный режим выполнения процессоров x86, называемый режимом управления системой (SMM).
Выявленная уязвимость может быть использована из привилегированного процесса в режиме ядра путем запуска программного прерывания SMI и передачи физического адреса специально созданного буфера в качестве параметра уязвимому обработчику SMI программного обеспечения.
К настоящему времени Lenovo уже выпустил патчи для нескольких моделей ноутбуков и планирует к 10 мая завершить работы по развертыванию обновлений прошивки для остальных продуктов. При этом достигшие конца срока службы (EOL) модели ноутбуков останутся непропатченными.
Учитывая реальные угрозы UEFI, обнаруженные в последние годы (LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy), настоятельно рекомендуем владельцам ноутбуков Lenovo обновить прошивку.
WeLiveSecurity
When “secure” isn’t secure at all: High‑impact UEFI vulnerabilities discovered in Lenovo consumer laptops
ESET research discovers vulnerabilities in Lenovo consumer laptop models that allow attackers with admin rights to expose users to firmware-level malware.
Выпустить патч вовсе не означает исправить проблему. Amazon Web Services не даст соврать.
Четыре месяца понадобилось разработчику, чтобы окончательно разобраться с Log4Shell, влияющей на облачные или локальные среды для приложений Java с уязвимой версией библиотеки.
Казалось бы, патче от декабря 2021 года AWS пофиксили проблемы безопасности, чтобы предотвратить возможность выхода из контейнера в среде и получения контроля над хостом, а в некоторых случаях и повышения привилегий и выполнения кода, как с правами root.
Но к досаде разработчика, Palo Alto Networks выявили проблемы безопасности в исправлениях AWS через шесть дней после их выпуска и проинформировали об этом Amazon 21 декабря 2021 года.
В настоящее время уязвимости оценены как риски высокой степени тяжести с оценкой 8,8 из 10 отслеживаются как:
- CVE-2021-3100: повышение привилегий из-за невозможности имитировать разрешения исправленной JVM, что позволяет запускать любой процесс с ненужными высокими привилегиями (базовая оценка CVSS: 8,8);
- CVE-2022-0070: неполное исправление для CVE-2021-3100;
- CVE-2021-3101: Hotdog не соблюдает ограничения устройств, фильтры системных вызовов и ограничения ресурсов на целевой JVM, что может привести к вредоносным модификациям, переопределению политик и исчерпанию ресурсов (базовая оценка CVSS: 8,8);
- CVE-2022-0071: неполное исправление для CVE-2021-3101.
Исследователи Unit 42 обнаружили, что решения Amazon для оперативного исправления Log4Shell оперативно выявляют и исправляют процессы Java, но не обеспечивают их работу с ограничениями, наложенными на контейнер. Потенциально злоумышленник может внедрить непривилегированный двоичный файл процесса с именем «java» и заставить службу исправления выполнить его с повышенными привилегиями.
Кроме того, вредоносный процесс может злоупотреблять своими повышенными привилегиями, чтобы выйти из контейнера и захватить базовый хост. Другая проблема, созданная патчем Amazon, заключалась еще и в том, что хост-процессы обрабатывались одинаково, и все они получали повышенные привилегии в процессе исправления Log4Shell.
Команда безопасности AWS признала уязвимости и попыталась исправить их с помощью нового обновления от 23 декабря 2021 года, но патч оказался малоэффективен. Окончательно решить проблему AWS смогли к 19 апреля, выпустив новые исправления.
А Unit 42, в свою очередь, представила демонстрационное видео эксплойта (PoC), реализующего сценарий выхода контейнера. Детали реализации конечно же скрыты в интересах безопасности.
Четыре месяца понадобилось разработчику, чтобы окончательно разобраться с Log4Shell, влияющей на облачные или локальные среды для приложений Java с уязвимой версией библиотеки.
Казалось бы, патче от декабря 2021 года AWS пофиксили проблемы безопасности, чтобы предотвратить возможность выхода из контейнера в среде и получения контроля над хостом, а в некоторых случаях и повышения привилегий и выполнения кода, как с правами root.
Но к досаде разработчика, Palo Alto Networks выявили проблемы безопасности в исправлениях AWS через шесть дней после их выпуска и проинформировали об этом Amazon 21 декабря 2021 года.
В настоящее время уязвимости оценены как риски высокой степени тяжести с оценкой 8,8 из 10 отслеживаются как:
- CVE-2021-3100: повышение привилегий из-за невозможности имитировать разрешения исправленной JVM, что позволяет запускать любой процесс с ненужными высокими привилегиями (базовая оценка CVSS: 8,8);
- CVE-2022-0070: неполное исправление для CVE-2021-3100;
- CVE-2021-3101: Hotdog не соблюдает ограничения устройств, фильтры системных вызовов и ограничения ресурсов на целевой JVM, что может привести к вредоносным модификациям, переопределению политик и исчерпанию ресурсов (базовая оценка CVSS: 8,8);
- CVE-2022-0071: неполное исправление для CVE-2021-3101.
Исследователи Unit 42 обнаружили, что решения Amazon для оперативного исправления Log4Shell оперативно выявляют и исправляют процессы Java, но не обеспечивают их работу с ограничениями, наложенными на контейнер. Потенциально злоумышленник может внедрить непривилегированный двоичный файл процесса с именем «java» и заставить службу исправления выполнить его с повышенными привилегиями.
Кроме того, вредоносный процесс может злоупотреблять своими повышенными привилегиями, чтобы выйти из контейнера и захватить базовый хост. Другая проблема, созданная патчем Amazon, заключалась еще и в том, что хост-процессы обрабатывались одинаково, и все они получали повышенные привилегии в процессе исправления Log4Shell.
Команда безопасности AWS признала уязвимости и попыталась исправить их с помощью нового обновления от 23 декабря 2021 года, но патч оказался малоэффективен. Окончательно решить проблему AWS смогли к 19 апреля, выпустив новые исправления.
А Unit 42, в свою очередь, представила демонстрационное видео эксплойта (PoC), реализующего сценарий выхода контейнера. Детали реализации конечно же скрыты в интересах безопасности.
Unit 42
AWS's Log4Shell Hot Patch Vulnerable to Container Escape and Privilege Escalation
We identified severe security issues within AWS Log4Shell hot patch solutions. We provide a root cause analysis and overview of fixes and mitigations.
Forwarded from SecurityLab.ru
В архиваторе 7-Zip обнаружена серьезная уязвимость
— Проблема безопасности дает возможность пользователю, имеющему ограниченные права на ПК, поднять уровень привилегий до администратора.
— Уязвимость CVE-2022-29072 затрагивает пользователей Windows, использующих версию 21.07 – последнюю на данный момент.
— Создатели архиватора отказались признавать факт наличия уязвимости. Они указали, что проблема провоцируется процессом hh.exe, созданном Microsoft.
https://www.securitylab.ru/news/531215.php
— Проблема безопасности дает возможность пользователю, имеющему ограниченные права на ПК, поднять уровень привилегий до администратора.
— Уязвимость CVE-2022-29072 затрагивает пользователей Windows, использующих версию 21.07 – последнюю на данный момент.
— Создатели архиватора отказались признавать факт наличия уязвимости. Они указали, что проблема провоцируется процессом hh.exe, созданном Microsoft.
https://www.securitylab.ru/news/531215.php
SecurityLab.ru
В архиваторе 7-Zip обнаружена серьезная уязвимость
Уязвимость позволяет злоумышленникам получить права администратора
Вчера мы уже писали о том, как микрофоны производят фоновую запись, даже при отключении звука. Сегодня расскажем о том, как блокировать такую прослушку.
Исследователи Колумбийского университета разработали новый метод противодействия автоматизированному сбору акустической информации через микрофоны смартфонов, голосовых помощников и подключенных устройств в целом.
Разработанный алгоритм прогнозирует речь пользователя и генерирует мешающий фоновый шум (шепот) в режиме реального времени, скрывая основной источник звука. При этом громкость шума относительно низкая, что не мешает пользователю и позволяет комфортно разговаривать.
В реальности с проблемой автоматизированного подслушивания сталкиваются все больше пользователей, все чаще обращая внимание на персонализированную рекламу исходя из упоминаемых в разговорах категориях. При этом существующие методы маскировки голоса не способны работать в реалтайме, поскольку это требует мгновенных вычислений, которые не поддерживаются современным железом.
Именно поэтому в своем исследовании ученые сосредоточились на прогностической модели «прогнозирующих атак», согласно которой генерация фонового шума происходит на основе анализа характеристики речи, позволяющих расшифровывать каждое произнесенное слово, предсказывать последующие слова или выражения, генерируя шепот в нужный момент.
Для обучения модели использовались графические процессоры NVIDIA RTX 2080Ti и 100-часовой набор речевых данных. По результатам работ обнаружили, что оптимальное время прогнозирования — 0,5 секунды наперед.
Кроме того, ученые представили несколько реалистичных тестов в помещении, а также результирующий текст, идентифицированный системами распознавания речи в каждом случае.
На данный момент система работает только с английской речью и имеет высокий показатель эффективности: на 80% речь становится неразборчивой для технологии автоматического распознавания речи, независимо от используемого программного обеспечения и положения микрофона.
Борьба за конфиденциальность переходит на новый уровень, производители в борьбе за умы и предпочтения пользователей будут вынуждены корректировать свои методы распознавания. Посмотрим, чем ответят.
Исследователи Колумбийского университета разработали новый метод противодействия автоматизированному сбору акустической информации через микрофоны смартфонов, голосовых помощников и подключенных устройств в целом.
Разработанный алгоритм прогнозирует речь пользователя и генерирует мешающий фоновый шум (шепот) в режиме реального времени, скрывая основной источник звука. При этом громкость шума относительно низкая, что не мешает пользователю и позволяет комфортно разговаривать.
В реальности с проблемой автоматизированного подслушивания сталкиваются все больше пользователей, все чаще обращая внимание на персонализированную рекламу исходя из упоминаемых в разговорах категориях. При этом существующие методы маскировки голоса не способны работать в реалтайме, поскольку это требует мгновенных вычислений, которые не поддерживаются современным железом.
Именно поэтому в своем исследовании ученые сосредоточились на прогностической модели «прогнозирующих атак», согласно которой генерация фонового шума происходит на основе анализа характеристики речи, позволяющих расшифровывать каждое произнесенное слово, предсказывать последующие слова или выражения, генерируя шепот в нужный момент.
Для обучения модели использовались графические процессоры NVIDIA RTX 2080Ti и 100-часовой набор речевых данных. По результатам работ обнаружили, что оптимальное время прогнозирования — 0,5 секунды наперед.
Кроме того, ученые представили несколько реалистичных тестов в помещении, а также результирующий текст, идентифицированный системами распознавания речи в каждом случае.
На данный момент система работает только с английской речью и имеет высокий показатель эффективности: на 80% речь становится неразборчивой для технологии автоматического распознавания речи, независимо от используемого программного обеспечения и положения микрофона.
Борьба за конфиденциальность переходит на новый уровень, производители в борьбе за умы и предпочтения пользователей будут вынуждены корректировать свои методы распознавания. Посмотрим, чем ответят.
Columbia Engineering
Concerned Your Smartphone Is Spying on You?
Columbia computer scientists have built an algorithm that blocks a rogue microphone from correctly hearing your words—in English so far—80% of the time
QNAP замучили до состояния дремучего леса. С такой регулярной антирекламой волей не волей начинаешь задумываться над альтернативными продуктами, коих на самом то деле не много.
В этот раз тайваньский поставщик потревожил своих клиентов призывом отключить переадресацию портов Universal Plug and Play (UPnP) на маршрутизаторах, чтобы защитить свои сетевые устройства хранения данных (NAS) от атак. UPnP — небезопасный протокол, так как он использует многоадресную рассылку UDP по сети и не поддерживает шифрование и аутентификацию.
Напомним, UPnP — это набор сетевых протоколов, который позволяет сетевым устройствам беспрепятственно обнаруживать присутствие друг друга в сети и устанавливать функциональные сетевые службы. А переадресация портов в QNAP UPnP позволяет сетевым устройствам более эффективно взаимодействовать друг с другом и автоматически создавать рабочие группы для обмена данными, среди других приложений. Несомненно, удобная штука, но порой не все что удобно - безопасно, так как злоумышленники могут использовать UPnP, чтобы заразить систему и захватить ее, из-за того, что UPnP может подвергать пользовательские устройства общедоступным сетям и соответственно вредоносным атакам.
Рекомендуется, чтобы ваш NAS оставался за вашим маршрутизатором и брандмауэром без общедоступного IP-адреса. Также следует отключить в конфигурации маршрутизатора ручную и автоматическую переадресацию портов UPnP для QNAP NAS.
Производитель также рекомендует включить функцию VPN-сервера на пользовательском маршрутизаторе для доступа к QNAP из Интернета. Пользователи также могут удаленно подключать свои устройства, включив VPN-сервер на QNAP NAS, установив приложение службы QVPN или развернув решение QuWAN, SD-WAN.
QNAP также предоставил пошаговые инструкции по отключению подключений SSH и Telnet, изменению номера системного порта и пароля устройства, а также включению защиты доступа к IP-адресу и учетной записи.
В общем принимаем к сведению и прислушиваемся к советам и рекомендациям вендора.
В этот раз тайваньский поставщик потревожил своих клиентов призывом отключить переадресацию портов Universal Plug and Play (UPnP) на маршрутизаторах, чтобы защитить свои сетевые устройства хранения данных (NAS) от атак. UPnP — небезопасный протокол, так как он использует многоадресную рассылку UDP по сети и не поддерживает шифрование и аутентификацию.
Напомним, UPnP — это набор сетевых протоколов, который позволяет сетевым устройствам беспрепятственно обнаруживать присутствие друг друга в сети и устанавливать функциональные сетевые службы. А переадресация портов в QNAP UPnP позволяет сетевым устройствам более эффективно взаимодействовать друг с другом и автоматически создавать рабочие группы для обмена данными, среди других приложений. Несомненно, удобная штука, но порой не все что удобно - безопасно, так как злоумышленники могут использовать UPnP, чтобы заразить систему и захватить ее, из-за того, что UPnP может подвергать пользовательские устройства общедоступным сетям и соответственно вредоносным атакам.
Рекомендуется, чтобы ваш NAS оставался за вашим маршрутизатором и брандмауэром без общедоступного IP-адреса. Также следует отключить в конфигурации маршрутизатора ручную и автоматическую переадресацию портов UPnP для QNAP NAS.
Производитель также рекомендует включить функцию VPN-сервера на пользовательском маршрутизаторе для доступа к QNAP из Интернета. Пользователи также могут удаленно подключать свои устройства, включив VPN-сервер на QNAP NAS, установив приложение службы QVPN или развернув решение QuWAN, SD-WAN.
QNAP также предоставил пошаговые инструкции по отключению подключений SSH и Telnet, изменению номера системного порта и пароля устройства, а также включению защиты доступа к IP-адресу и учетной записи.
В общем принимаем к сведению и прислушиваемся к советам и рекомендациям вендора.
QNAP Blog
What is UPnP Port Forwarding? | QNAP Blog
UPnP 為通用隨插即用(Universal Plug and Play)的網路協定,是只要一組設定就能快速將正在使用的連接埠轉發到網路上其他設備的配置方式。歡迎點閱 QNAP Blog,了解更多 UPnP 設定及遠端存取 NAS 的資安防護方案。
REvil возвращается (ли?)
Инфраструктура вымогателей в сети TOR реанимирована и редиректит на новую платформу, запущенную недавно.
Исследователи pancak3 и Soufiane Tahiri отмечают, что новый сайт утечки REvil продвигается на теневой площадке RuTOR, ориентированной на русскоязычные регионы. При этом DLS содержит большой список жертв прошлых атак REvil, а также две новых. Одна из них — Oil India. Установлено, что текущий сайт утечки начал работать с 5 по 10 апреля, но без контента, а заполняться - примерно через неделю.
Несмотря на то, что новый сайт размещен на другом домене, он все же ведет к исходному сайту REvil, который использовался в активный период работы вымогателей. Новая программ RaaS предлагает улучшенную версию программы-вымогателя REvil и схему распределения дивидендов в пропорции 80/20.
Внимательно наблюдающие за ситуацией вокруг REvil исследователи отметили ряд интересных событий, предшествовавших возрождению новой операции ransomware.
В январе 2022, буквально через пару недель после того, как 14 предполагаемых членов банды были арестованы в России, MalwareHunterTeam заметили активность другой банды вымогателей (Ransom Cartel), которая была связана с шифровальщиком REvil. Помимо нее шифровальщик REvil до вмешательства силовиков также использовали LV. Ресерчеры также обнаружили, что источник RSS-канала показывает строку Corp Leaks, которая использовалась ныне несуществующей бандой вымогателей Nefilim.
Блог и платежные сайты работают на разных серверах. Глядя на первый, исследователи увидели файл cookie с именем DEADBEEF, который использовался в качестве файлового маркера бандой вымогателей TeslaCrypt.
С ноября 2021 года сайты утечки и оплаты REvil контролировались ФБР США, однако как показывает текущая ситуация, кто-то, кроме правоохранительных органов, также до сих пор имеет доступ к закрытым ключам TOR для сайта Onion.
Все это приводит к предположениям о возможной новой операции спецслужб в отношении хакерского подполья, в основе которой вновь положена репутация ставшего брендом среди хакеров имени REvil или, по крайней мере, ее остатки.
Однако, как мы уже писали, обстоятельства задержания банды все же указывают на то, что они коснулись больше операторов, нежели основного состава группы. Будем посмотреть, как говорится.
Инфраструктура вымогателей в сети TOR реанимирована и редиректит на новую платформу, запущенную недавно.
Исследователи pancak3 и Soufiane Tahiri отмечают, что новый сайт утечки REvil продвигается на теневой площадке RuTOR, ориентированной на русскоязычные регионы. При этом DLS содержит большой список жертв прошлых атак REvil, а также две новых. Одна из них — Oil India. Установлено, что текущий сайт утечки начал работать с 5 по 10 апреля, но без контента, а заполняться - примерно через неделю.
Несмотря на то, что новый сайт размещен на другом домене, он все же ведет к исходному сайту REvil, который использовался в активный период работы вымогателей. Новая программ RaaS предлагает улучшенную версию программы-вымогателя REvil и схему распределения дивидендов в пропорции 80/20.
Внимательно наблюдающие за ситуацией вокруг REvil исследователи отметили ряд интересных событий, предшествовавших возрождению новой операции ransomware.
В январе 2022, буквально через пару недель после того, как 14 предполагаемых членов банды были арестованы в России, MalwareHunterTeam заметили активность другой банды вымогателей (Ransom Cartel), которая была связана с шифровальщиком REvil. Помимо нее шифровальщик REvil до вмешательства силовиков также использовали LV. Ресерчеры также обнаружили, что источник RSS-канала показывает строку Corp Leaks, которая использовалась ныне несуществующей бандой вымогателей Nefilim.
Блог и платежные сайты работают на разных серверах. Глядя на первый, исследователи увидели файл cookie с именем DEADBEEF, который использовался в качестве файлового маркера бандой вымогателей TeslaCrypt.
С ноября 2021 года сайты утечки и оплаты REvil контролировались ФБР США, однако как показывает текущая ситуация, кто-то, кроме правоохранительных органов, также до сих пор имеет доступ к закрытым ключам TOR для сайта Onion.
Все это приводит к предположениям о возможной новой операции спецслужб в отношении хакерского подполья, в основе которой вновь положена репутация ставшего брендом среди хакеров имени REvil или, по крайней мере, ее остатки.
Однако, как мы уже писали, обстоятельства задержания банды все же указывают на то, что они коснулись больше операторов, нежели основного состава группы. Будем посмотреть, как говорится.
The Times of India
IB, Central cyber security agencies to probe ransomware attack on Oil India - Times of India
India Business News: The Intelligence Bureau and two national cyber security agencies – CERT-In and NCIIPC – have joined the probe into the ransomware attack on state-run
Cisco выпустила обновления для устранения серьезной уязвимости CVE-2022-20773 в механизме аутентификации SSH на основе ключей Cisco Umbrella VA, которая позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно красть учетные данные администратора.
Облачная служба безопасности Cisco Umbrella используется в более чем 24 000 организациях в качестве защиты на уровне DNS от фишинга, вредоносных программ и ransomware.
Ошибка была обнаружена Фрейзером Хессом из Pinnacol Assurance. Уязвимость связана с наличием статического ключа хоста SSH. Злоумышленник может воспользоваться этой уязвимостью, выполнив атаку MiTM на SSH-подключение к виртуальной машине Umbrella. Успешный эксплойт может позволить злоумышленнику получить учетные данные администратора, изменить конфигурацию или перезагрузить виртуальную машину.
Для Cisco это не первая ошибка, связанная с SSH-ключами по умолчанию в механизме SSH-аутентификации, ранее компания уже исправляла CVE-2021-40119 в Cisco Policy Suite, через месяц спустя - CVE-2021-34795, связанную с жестко закодированными учетными данными в службе Telnet коммутаторов Cisco Catalyst серии PON ONT.
Новая уязвимость затрагивает виртуальные устройства Cisco Umbrella для Hyper-V и VMWare ESXi, работающие под управлением версий программного обеспечения до 3.3.2. При этом служба SSH не включена по умолчанию на локальных виртуальных машинах Umbrella, что значительно снижает общее влияние уязвимости.
PSIRT не обнаружили эксплуатации в дикой природе или общедоступного PoC.
Для уязвимости безопасности нет доступных обходных путей или смягчений. Поэтому Cisco рекомендует клиентам перейти на фиксированную версию программного обеспечения, что пока еще актуально для российского сегмента.
Облачная служба безопасности Cisco Umbrella используется в более чем 24 000 организациях в качестве защиты на уровне DNS от фишинга, вредоносных программ и ransomware.
Ошибка была обнаружена Фрейзером Хессом из Pinnacol Assurance. Уязвимость связана с наличием статического ключа хоста SSH. Злоумышленник может воспользоваться этой уязвимостью, выполнив атаку MiTM на SSH-подключение к виртуальной машине Umbrella. Успешный эксплойт может позволить злоумышленнику получить учетные данные администратора, изменить конфигурацию или перезагрузить виртуальную машину.
Для Cisco это не первая ошибка, связанная с SSH-ключами по умолчанию в механизме SSH-аутентификации, ранее компания уже исправляла CVE-2021-40119 в Cisco Policy Suite, через месяц спустя - CVE-2021-34795, связанную с жестко закодированными учетными данными в службе Telnet коммутаторов Cisco Catalyst серии PON ONT.
Новая уязвимость затрагивает виртуальные устройства Cisco Umbrella для Hyper-V и VMWare ESXi, работающие под управлением версий программного обеспечения до 3.3.2. При этом служба SSH не включена по умолчанию на локальных виртуальных машинах Umbrella, что значительно снижает общее влияние уязвимости.
PSIRT не обнаружили эксплуатации в дикой природе или общедоступного PoC.
Для уязвимости безопасности нет доступных обходных путей или смягчений. Поэтому Cisco рекомендует клиентам перейти на фиксированную версию программного обеспечения, что пока еще актуально для российского сегмента.
Cisco
Cisco Security Advisory: Cisco Umbrella Virtual Appliance Static SSH Host Key Vulnerability
A vulnerability in the key-based SSH authentication mechanism of Cisco Umbrella Virtual Appliance (VA) could allow an unauthenticated, remote attacker to impersonate a VA.
This vulnerability is due to the presence of a static SSH host key. An attacker could…
This vulnerability is due to the presence of a static SSH host key. An attacker could…
Хороший урок специалисты Лаборатории Касперского, на наш взгляд, преподали коллегам из Claroty (Team82), которые в конце марта выкатили результаты своего исследования уязвимостей в продуктах Rockwell Automation, о чем мы ранее также сообщали.
Речь шла о двух ошибках CVE-2022-1159 (уязвимость в программном обеспечении Studio 5000 Logix Designer, которая позволяет подменять код во время компиляции проекта для ПЛК) и CVE-2022-1161 (уязвимость в самих контроллерах серии ControlLogix, которая позволяет подменять скомпилированный код на ПЛК без подмены исходного кода), получивших высокую оценку по метрике CVSS 3.1 – 7.7 (High) и 10.0 (Critical).
Однако при детальном разборе ситуация выглядит иначе.
По версии вендора, CVE-2022-1159 эксплуатируется в ходе локального доступа с повышенными привилегиями к компьютеру с Studio 5000 Logix Designer, путем взаимодействия с пользователем и вызывает нарушение конфиденциальности, целостности и доступности ПЛК. Как объяснили представители Лаборатории согласно спецификации CVSS v3.1 при наличии административного доступа к инженерному компьютеру злоумышленник и так может вызвать эти нарушения ПЛК, а, значит и оценка CVE соответствует значению 0.0 (None).
Вторая уязвимость, которую исследователи приравнивают к «уязвимостям уровня Stuxnet», затрагивает ПЛК серии ControlLogix. По версии вендора атакующий может удалённо, без аутентификации, полностью нарушить работу уязвимого ПЛК. Но при разборе вектора выясняется, что для успешной эксплуатации уязвимости требуются права на скачивание приложения на ПЛК, что уже само по себе дает злоумышленнику возможности нанести очень серьёзный вред без эксплуатации каких-либо уязвимостей.
Кроме того, уязвимость позволяет подменить скомпилированный код приложения без изменения исходного, то есть страдает целостность информации для инженерного ПО. Нарушить конфиденциальность или доступность самого инженерного ПО она не позволяет.
По мнению Лаборатории Касперского, справедливая оценка критичности данной уязвимости должна быть снижена с 10.0 (Critical) до 6.8 (Medium) по CVSS.
И если говорить по-серьезному о реально опасных багах, то Kaspersky ICS CERT еще в сентябре 2017 года уведомляла производителя об уязвимости механизма авторизации в нескольких линейках контроллеров Rockwell Automation, включая контроллеры противоаварийной защиты (ПАЗ). Ошибка позволяет удалённому неаутентифицированному пользователю производить любые операции с контроллерами и ПАЗ.
И лишь спустя 4 года уязвимость стала публично известна и получила идентификатор CVE-2021-22681. Эксплуатация, в отличие от предыдущих, не требует никаких привилегий и ведёт к полной компрометации устройства. Имеет честную оценку серьёзности 9.8 (Critical).
Но, что самое забавное - даже спустя 4,5 года Rockwell Automation так и не придумала способа ее исправить, предлагая лишь компенсационные меры. И это при том, что в сети обнаруживаются соответственно 515 и 6793 доступных устройства с открытым портом 44818/TCP (через который эксплуатируется CVE-2021-22681).
На наш взгляд отличный урок, показывающий важность адекватной оценки и практической значимости информации об уязвимостях в OT-продуктах и технологиях.
Речь шла о двух ошибках CVE-2022-1159 (уязвимость в программном обеспечении Studio 5000 Logix Designer, которая позволяет подменять код во время компиляции проекта для ПЛК) и CVE-2022-1161 (уязвимость в самих контроллерах серии ControlLogix, которая позволяет подменять скомпилированный код на ПЛК без подмены исходного кода), получивших высокую оценку по метрике CVSS 3.1 – 7.7 (High) и 10.0 (Critical).
Однако при детальном разборе ситуация выглядит иначе.
По версии вендора, CVE-2022-1159 эксплуатируется в ходе локального доступа с повышенными привилегиями к компьютеру с Studio 5000 Logix Designer, путем взаимодействия с пользователем и вызывает нарушение конфиденциальности, целостности и доступности ПЛК. Как объяснили представители Лаборатории согласно спецификации CVSS v3.1 при наличии административного доступа к инженерному компьютеру злоумышленник и так может вызвать эти нарушения ПЛК, а, значит и оценка CVE соответствует значению 0.0 (None).
Вторая уязвимость, которую исследователи приравнивают к «уязвимостям уровня Stuxnet», затрагивает ПЛК серии ControlLogix. По версии вендора атакующий может удалённо, без аутентификации, полностью нарушить работу уязвимого ПЛК. Но при разборе вектора выясняется, что для успешной эксплуатации уязвимости требуются права на скачивание приложения на ПЛК, что уже само по себе дает злоумышленнику возможности нанести очень серьёзный вред без эксплуатации каких-либо уязвимостей.
Кроме того, уязвимость позволяет подменить скомпилированный код приложения без изменения исходного, то есть страдает целостность информации для инженерного ПО. Нарушить конфиденциальность или доступность самого инженерного ПО она не позволяет.
По мнению Лаборатории Касперского, справедливая оценка критичности данной уязвимости должна быть снижена с 10.0 (Critical) до 6.8 (Medium) по CVSS.
И если говорить по-серьезному о реально опасных багах, то Kaspersky ICS CERT еще в сентябре 2017 года уведомляла производителя об уязвимости механизма авторизации в нескольких линейках контроллеров Rockwell Automation, включая контроллеры противоаварийной защиты (ПАЗ). Ошибка позволяет удалённому неаутентифицированному пользователю производить любые операции с контроллерами и ПАЗ.
И лишь спустя 4 года уязвимость стала публично известна и получила идентификатор CVE-2021-22681. Эксплуатация, в отличие от предыдущих, не требует никаких привилегий и ведёт к полной компрометации устройства. Имеет честную оценку серьёзности 9.8 (Critical).
Но, что самое забавное - даже спустя 4,5 года Rockwell Automation так и не придумала способа ее исправить, предлагая лишь компенсационные меры. И это при том, что в сети обнаруживаются соответственно 515 и 6793 доступных устройства с открытым портом 44818/TCP (через который эксплуатируется CVE-2021-22681).
На наш взгляд отличный урок, показывающий важность адекватной оценки и практической значимости информации об уязвимостях в OT-продуктах и технологиях.
Kaspersky ICS CERT | Центр реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского»
Уязвимость АСУ ТП. Как оценить критичность? | Kaspersky ICS CERT
В последний день марта команда Claroty (Team82) опубликовала статью о двух найденным ими уязвимостях в продуктах Rockwell Automation. Мы считаем, что серьезность этих уязвимостей сильно завышена. В то же время самая опасная уязвимость в тех же продуктах уже…
Forwarded from Social Engineering
👨🏻💻 S.E.Заметка. Готовая инфраструктура для пентеста.
• После установки, можешь использовать полученную инфраструктуру для взлома \ обучения \ тестирования на проникновение. Крутая и полезная инфраструктура для тех, кому нужен практический опыт.
🧷 https://github.com/R3dy/capsulecorp-pentest
• В дополнение: OffenOsint — ВМ, которая сочетает в себе различные инструменты Kali Linux для проведения #OSINT, полезные фреймворки, полезные скрипты, инструменты для анонимизации своих действий в сети и многое другое.
Твой S.E. #Пентест
🖖🏻 Приветствую тебя user_name.• По ссылке ниже, ты найдешь 1 атакующую ВМ на #Linux и 4 уязвимых ВМ на Win Server 2019 с уязвимыми службами, развернутой Active Directory (#AD), уязвимыми MSSQL, Apache Tomcat, Jenkins и т.д.
• После установки, можешь использовать полученную инфраструктуру для взлома \ обучения \ тестирования на проникновение. Крутая и полезная инфраструктура для тех, кому нужен практический опыт.
🧷 https://github.com/R3dy/capsulecorp-pentest
• В дополнение: OffenOsint — ВМ, которая сочетает в себе различные инструменты Kali Linux для проведения #OSINT, полезные фреймворки, полезные скрипты, инструменты для анонимизации своих действий в сети и многое другое.
Твой S.E. #Пентест
Специалисты по информационной безопасности обнаружили новый вариант вредоносного ПО ботнета BotenaGo, который считается одним из самых скрытных и до недавнего времени не был обнаружен ни одним антивирусом.
Впервые о ботнете BotenaGo поведали миру исследователи из AT&T в ноябре 2021 года, вредоносный код которого использовал 33 эксплойта для атаки на миллионы маршрутизаторов и устройств IoT. А вот исходный код BotenaGo уже был доступен в сети с октября 2021 года, что позволило многим злоумышленникам создавать свои собственные версии, добавляя новые эксплойты для заражения наибольшего числа устройств. BotenaGo был написан на Golang (Go) и на момент публикации отчета имел низкий уровень обнаружения - всего 6/62.
Но исследователи из Nozomi Networks Labs недавно обнаружили новый вариант BotenaGo, специально предназначенный для цифровых видеорегистраторов Lilin. Собственно эксперты, после того как проанализировали образец так и назвали его «сканером Lillin», очевидно из-за имени, которое разработчики использовали для него в исходном коде: /root/lillin.go.
Как говорится в анализе, опубликованном Nozomi Networks на момент проведения исследования, вредоносный образец не был обнаружен ни одним модулем обнаружения вредоносных программ в VirusTotal. Хотя образец довольно большой (2,8 МБ), но из-за того, что он написан на Go, часть фактического вредоносного кода довольно мала и сосредоточена на одной задаче. По словам экспертов, авторы удалили почти все 30 эксплойтов, включенных в исходный код BotenaGo, и повторно использовали некоторые части для эксплуатации уязвимости RCE, затрагивающей устройства Lilin DVR.
Исследователи считают, что сканер Lillin можно использовать в ручном режиме вместе с другим инструментом, который создает списки устройств Lilin, поскольку он не проверяет заданные IP-адреса. Тем не менее, он перебирает получаемые IP-адреса — так же, как это делал оригинальный BotenaGo — для запуска процедуры заражения.
Сканер Lillin содержит в общей сложности 11 пар «пользователь-пароль», которые закодированы в Base64 для использования в базовой аутентификации, необходимой для эксплуатации уязвимости, позволяющей удаленное выполнение кода (RCE). Если вредоносное ПО сочтет попытку аутентификации успешной, оно перейдет к использованию уязвимости конфигурации протокола сетевого времени (NTP), которая была обнаружена в цифровых видеорегистраторах Lilin в 2020 году.
После успешной компрометации цели вредоносное ПО загружает полезные нагрузки, предназначенные для нескольких архитектур (ARM, x86, MIPS, Motorola 68000, PowerPC, SPARC и SuperH), и пытается выполнить их на камере.
По данным Nozomi Networks, все эти образцы полезной нагрузки принадлежат семейству Mirai и все они были отправлены в VirusTotal в начале марта 2022 года. Кроме того, эксперты заметили, что ботнет Mirai, использованный в атаках, исключает диапазоны IP-адресов, принадлежащих внутренним сетям Министерства обороны США, Почтовой службы США, General Electric, Hewlett-Packard и другие. Интересно…
Впервые о ботнете BotenaGo поведали миру исследователи из AT&T в ноябре 2021 года, вредоносный код которого использовал 33 эксплойта для атаки на миллионы маршрутизаторов и устройств IoT. А вот исходный код BotenaGo уже был доступен в сети с октября 2021 года, что позволило многим злоумышленникам создавать свои собственные версии, добавляя новые эксплойты для заражения наибольшего числа устройств. BotenaGo был написан на Golang (Go) и на момент публикации отчета имел низкий уровень обнаружения - всего 6/62.
Но исследователи из Nozomi Networks Labs недавно обнаружили новый вариант BotenaGo, специально предназначенный для цифровых видеорегистраторов Lilin. Собственно эксперты, после того как проанализировали образец так и назвали его «сканером Lillin», очевидно из-за имени, которое разработчики использовали для него в исходном коде: /root/lillin.go.
Как говорится в анализе, опубликованном Nozomi Networks на момент проведения исследования, вредоносный образец не был обнаружен ни одним модулем обнаружения вредоносных программ в VirusTotal. Хотя образец довольно большой (2,8 МБ), но из-за того, что он написан на Go, часть фактического вредоносного кода довольно мала и сосредоточена на одной задаче. По словам экспертов, авторы удалили почти все 30 эксплойтов, включенных в исходный код BotenaGo, и повторно использовали некоторые части для эксплуатации уязвимости RCE, затрагивающей устройства Lilin DVR.
Исследователи считают, что сканер Lillin можно использовать в ручном режиме вместе с другим инструментом, который создает списки устройств Lilin, поскольку он не проверяет заданные IP-адреса. Тем не менее, он перебирает получаемые IP-адреса — так же, как это делал оригинальный BotenaGo — для запуска процедуры заражения.
Сканер Lillin содержит в общей сложности 11 пар «пользователь-пароль», которые закодированы в Base64 для использования в базовой аутентификации, необходимой для эксплуатации уязвимости, позволяющей удаленное выполнение кода (RCE). Если вредоносное ПО сочтет попытку аутентификации успешной, оно перейдет к использованию уязвимости конфигурации протокола сетевого времени (NTP), которая была обнаружена в цифровых видеорегистраторах Lilin в 2020 году.
После успешной компрометации цели вредоносное ПО загружает полезные нагрузки, предназначенные для нескольких архитектур (ARM, x86, MIPS, Motorola 68000, PowerPC, SPARC и SuperH), и пытается выполнить их на камере.
По данным Nozomi Networks, все эти образцы полезной нагрузки принадлежат семейству Mirai и все они были отправлены в VirusTotal в начале марта 2022 года. Кроме того, эксперты заметили, что ботнет Mirai, использованный в атаках, исключает диапазоны IP-адресов, принадлежащих внутренним сетям Министерства обороны США, Почтовой службы США, General Electric, Hewlett-Packard и другие. Интересно…
Nozominetworks
New BotenaGo Variant Discovered by Nozomi Networks Labs
Lillin scanner is a new variant of the BotenaGo malware that specifically targets Lilin security camera DVR devices, discovered by Nozomi Networks Labs.
Критическая уязвимость RCE в декодере устройств Android, работающих на чипсетах Qualcomm и MediaTek, может открывать доступ к медиафайлам пользователей и делает 2/3 девайсов уязвимыми для взлома.
Исследователи Check Point Research обнаружили критическое удаленное выполнение кода, которое влияет на реализацию Apple Lossless Audio Codec (ALAC) в устройствах Android, работающих на чипсетах Qualcomm и MediaTek. Производители чипсетов использовали уязвимую версию кода ALAC в своих аудиодекодерах.
ALAC — это формат кодирования звука, разработанный Apple для сжатия данных цифровой музыки без потерь, был разработан в 2004 году. В 2011 году исходный код был раскрыт Apple, с тех пор его использовали многие сторонние поставщики.
MediaTek отметила ошибки в ALAC как CVE-2021-0674 (средняя серьезность с оценкой 5,5) и CVE-2021-0675 (высокая серьезность с оценкой 7,8), а Qualcomm - как CVE-2021-30351 (критическая степень тяжести с 9,8 балла).
Уязвимости подвержены более половины всех смартфонов по всему миру. Удаленный злоумышленник может активировать уязвимость, обманом заставив целевое устройство открыть искаженный аудиофайл для выполнения произвольного кода. Исследователи называют эту атаку ALHACK.
Воздействие уязвимости RCE может варьироваться от запуска вредоносного ПО до получения злоумышленником контроля над мультимедийными данными пользователя, включая потоковую передачу с камеры взломанной машины. Кроме того, непривилегированное Android-приложение может использовать эти уязвимости для повышения своих привилегий и получения доступа к медиаданным и разговорам пользователей.
Во взаимодействии с Check Point производители MediaTek и Qualcomm исправили ошибку в декабре 2021 года. Исследователи не раскрывают подробностей об уязвимости во избежании ее эксплуатации в дикой природе, свои выводы они готовы представить на CanSecWest в мае 2022 года.
Исследователи Check Point Research обнаружили критическое удаленное выполнение кода, которое влияет на реализацию Apple Lossless Audio Codec (ALAC) в устройствах Android, работающих на чипсетах Qualcomm и MediaTek. Производители чипсетов использовали уязвимую версию кода ALAC в своих аудиодекодерах.
ALAC — это формат кодирования звука, разработанный Apple для сжатия данных цифровой музыки без потерь, был разработан в 2004 году. В 2011 году исходный код был раскрыт Apple, с тех пор его использовали многие сторонние поставщики.
MediaTek отметила ошибки в ALAC как CVE-2021-0674 (средняя серьезность с оценкой 5,5) и CVE-2021-0675 (высокая серьезность с оценкой 7,8), а Qualcomm - как CVE-2021-30351 (критическая степень тяжести с 9,8 балла).
Уязвимости подвержены более половины всех смартфонов по всему миру. Удаленный злоумышленник может активировать уязвимость, обманом заставив целевое устройство открыть искаженный аудиофайл для выполнения произвольного кода. Исследователи называют эту атаку ALHACK.
Воздействие уязвимости RCE может варьироваться от запуска вредоносного ПО до получения злоумышленником контроля над мультимедийными данными пользователя, включая потоковую передачу с камеры взломанной машины. Кроме того, непривилегированное Android-приложение может использовать эти уязвимости для повышения своих привилегий и получения доступа к медиаданным и разговорам пользователей.
Во взаимодействии с Check Point производители MediaTek и Qualcomm исправили ошибку в декабре 2021 года. Исследователи не раскрывают подробностей об уязвимости во избежании ее эксплуатации в дикой природе, свои выводы они готовы представить на CanSecWest в мае 2022 года.
Check Point Blog
Vulnerabilities In The ALAC Format - Check Point Blog
Check Point Research discovered vulnerabilities in the ALAC format that could have led an attacker to remotely get access to its media and audio conversations
Trend Micro Zero Day Initiative (ZDI) в период с 19 по 21 апреля в Майами-Саут-Бич провели ежегодный Pwn2Own Miami 2022.
По итогу мероприятия участники заработали 400 000 долларов США за демонстрацию 26 эксплойтов нулевого дня, нацеленных на продукты ICS и SCADA в нескольких производственных категориях: сервер управления, сервер унифицированной архитектуры OPC (OPC UA), шлюз данных и человеко-машинный интерфейс (HMI). В ходе первого выпуска Pwn2Own Miami на тему ICS в январе 2020 года участники показали 24 уникальные 0-day, заработав 280 000 долларов США.
Победителями Pwn2Own Miami 2022 стали Даан Кеупер и Тийс Алкемаде из Computest Sector 7.
В первый день хакеры заработали 20 000 долларов СШАА после выполнения кода на сервере управления Inductive Automation Ignition SCADA, используя уязвимость аутентификации. В тот же день участникам удалось проэкслуатировать уязвимость неконтролируемого пути поиска для удаленного выполнения кода (RCE) в программном обеспечении AVEVA Edge HMI/SCADA, заработав 20 000 долларов США.
На второй день Computest Sector 7 воспользовался бесконечным циклом, активировав состояние DoS в отношении Unified Automation C++ Demo Server, за что заработал 5000 долларов США.
Также команда обошла проверку надежных приложений в стандарте OPC Foundation OPC UA .NET и добавила еще 40 000 долларов в свой призовой фонд. По итогу они выиграли титул Master of Pwn, заработав в общей сложности 90 000 долларов за три дня конкурса и заняв первое место в таблице лидеров с 90 очками.
Теперь в распоряжении разработчиков и поставщиков систем 120 дней на выпуск исправлений, пока ZDI не раскроет их публично.
По итогу мероприятия участники заработали 400 000 долларов США за демонстрацию 26 эксплойтов нулевого дня, нацеленных на продукты ICS и SCADA в нескольких производственных категориях: сервер управления, сервер унифицированной архитектуры OPC (OPC UA), шлюз данных и человеко-машинный интерфейс (HMI). В ходе первого выпуска Pwn2Own Miami на тему ICS в январе 2020 года участники показали 24 уникальные 0-day, заработав 280 000 долларов США.
Победителями Pwn2Own Miami 2022 стали Даан Кеупер и Тийс Алкемаде из Computest Sector 7.
В первый день хакеры заработали 20 000 долларов СШАА после выполнения кода на сервере управления Inductive Automation Ignition SCADA, используя уязвимость аутентификации. В тот же день участникам удалось проэкслуатировать уязвимость неконтролируемого пути поиска для удаленного выполнения кода (RCE) в программном обеспечении AVEVA Edge HMI/SCADA, заработав 20 000 долларов США.
На второй день Computest Sector 7 воспользовался бесконечным циклом, активировав состояние DoS в отношении Unified Automation C++ Demo Server, за что заработал 5000 долларов США.
Также команда обошла проверку надежных приложений в стандарте OPC Foundation OPC UA .NET и добавила еще 40 000 долларов в свой призовой фонд. По итогу они выиграли титул Master of Pwn, заработав в общей сложности 90 000 долларов за три дня конкурса и заняв первое место в таблице лидеров с 90 очками.
Теперь в распоряжении разработчиков и поставщиков систем 120 дней на выпуск исправлений, пока ZDI не раскроет их публично.
Zero Day Initiative
Zero Day Initiative — Pwn2Own Miami 2022 Results
Pwn2Own Miami for 2022 has wrapped up, and it was an amazing three days of competition. In total, we awarded $400,000 for 26 unique 0-days (plus a few bug collisions). With 90 points accumulated over three days, the team of Daan Keuper ( @daankeuper ) and…
Очередной QNAP-переполох для владельцев сетевых устройств хранения данных NAS.
Производитель просит пользователей устранить критические ошибки CVE-2022-22721 и CVE-2022-23943 с оценкой серьезности 9,8/10, влияющие на системы под управлением Apache HTTP Server 2.4.52 и более ранних версий.
Тайваньский производитель NAS пояснил, что CVE-2022-22721 затрагивает 32-разрядные модели QNAP NAS, а CVE-2022-23943 затрагивает пользователей, которые включили mod_sed в Apache HTTP Server на своем устройстве. Злоумышленники, не прошедшие проверку подлинности, могут удаленно использовать уязвимости в атаках низкой сложности, не требуя взаимодействия с пользователем.
К настоящему времени разработки работает над выпуском обновлений, пока исправления не будут доступны, QNAP рекомендует клиентам сохранять значение по умолчанию «1M» для LimitXMLRequestBody, чтобы смягчить атаки CVE-2022-22721 и отключить mod_sed как средство смягчения CVE-2022-23943.
Компания также отмечает, что внутрипроцессный фильтр содержимого mod_sed по умолчанию отключен в HTTP-сервере Apache на устройствах NAS, работающих под управлением операционной системы QTS.
Параллельно QNAP также работает над обновлениями безопасности для устранения серьезной уязвимости Linux, получившей название Dirty Pipe, которая позволяет злоумышленникам с локальным доступом получить привилегии root. И это еще при том, что QNAP еще не выпустила исправления для уязвимости OpenSSL, которую злоумышленники могут использовать для запуска состояния отказа в обслуживании (DoS) и удаленного сбоя уязвимых устройств.
Компания разводит руками и рекомендует клиентам подождать обновлений, намекая по всей видимости на то, что лучше спрятать подальше NAS в чулан и наглухо заколотить дверь.
Производитель просит пользователей устранить критические ошибки CVE-2022-22721 и CVE-2022-23943 с оценкой серьезности 9,8/10, влияющие на системы под управлением Apache HTTP Server 2.4.52 и более ранних версий.
Тайваньский производитель NAS пояснил, что CVE-2022-22721 затрагивает 32-разрядные модели QNAP NAS, а CVE-2022-23943 затрагивает пользователей, которые включили mod_sed в Apache HTTP Server на своем устройстве. Злоумышленники, не прошедшие проверку подлинности, могут удаленно использовать уязвимости в атаках низкой сложности, не требуя взаимодействия с пользователем.
К настоящему времени разработки работает над выпуском обновлений, пока исправления не будут доступны, QNAP рекомендует клиентам сохранять значение по умолчанию «1M» для LimitXMLRequestBody, чтобы смягчить атаки CVE-2022-22721 и отключить mod_sed как средство смягчения CVE-2022-23943.
Компания также отмечает, что внутрипроцессный фильтр содержимого mod_sed по умолчанию отключен в HTTP-сервере Apache на устройствах NAS, работающих под управлением операционной системы QTS.
Параллельно QNAP также работает над обновлениями безопасности для устранения серьезной уязвимости Linux, получившей название Dirty Pipe, которая позволяет злоумышленникам с локальным доступом получить привилегии root. И это еще при том, что QNAP еще не выпустила исправления для уязвимости OpenSSL, которую злоумышленники могут использовать для запуска состояния отказа в обслуживании (DoS) и удаленного сбоя уязвимых устройств.
Компания разводит руками и рекомендует клиентам подождать обновлений, намекая по всей видимости на то, что лучше спрятать подальше NAS в чулан и наглухо заколотить дверь.
QNAP Systems, Inc. - Network Attached Storage (NAS)
Multiple Vulnerabilities in Apache HTTP Server - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
- партнёрский пост -
Бизнесу нужны специалисты по кибербезопасности
Спрос на таких экспертов за последний год вырос в полтора раза. Сотрудники в области информационной безопасности помогают бизнесу избегать утечек данных, сохранять репутацию и клиентов.
27 апреля в 19:00 совместная магистратура ВШЭ и Нетологии проведёт день открытых дверей «Кибербезопасность в 2022: атаки, аналоговые решения, перспективы». На онлайн‑дискуссии вы узнаете:
-какие решения для защиты данных
-используют специалисты по кибербезопасности;
-какие эксперты востребованы на рынке и какие навыки стоит развивать, чтобы реализовать себя в сфере;
-как устроена магистерская программа в Нетологии: дисциплины, преподаватели, стажировки.
Присоединяйтесь → https://netolo.gy/ibq
Бизнесу нужны специалисты по кибербезопасности
Спрос на таких экспертов за последний год вырос в полтора раза. Сотрудники в области информационной безопасности помогают бизнесу избегать утечек данных, сохранять репутацию и клиентов.
27 апреля в 19:00 совместная магистратура ВШЭ и Нетологии проведёт день открытых дверей «Кибербезопасность в 2022: атаки, аналоговые решения, перспективы». На онлайн‑дискуссии вы узнаете:
-какие решения для защиты данных
-используют специалисты по кибербезопасности;
-какие эксперты востребованы на рынке и какие навыки стоит развивать, чтобы реализовать себя в сфере;
-как устроена магистерская программа в Нетологии: дисциплины, преподаватели, стажировки.
Присоединяйтесь → https://netolo.gy/ibq
Не так давно мы писали, как супостаты из-за скомпрометированной OctoberCMS на десятках сайтах попытались посягнуть на нашу мессианскую долю по обеспечению информационной безопасности во всем мире. Собственно, и наш пример другим наука, когда в популярной CMS есть баги, то, как правило последствия могут коснуться многих.
В этот раз Drupal объявил о выпуске обновлений безопасности для устранения уязвимостей, которые могли привести к обходу доступа и перезаписи данных.
Первая ошибка, связанная с проблемой обхода доступа, была обусловлена неправильной реализацией универсального API. Вся чехарда заключалась в том, что API не был полностью интегрирован с существующими разрешениями, что как раз-таки и приводило к возможности обхода для пользователей, у которых был доступ к использованию контента, но у которых не было доступа к отдельным элементам и медиа-контенту. Данная уязвимость затрагивает только версии Drupal 9.3.
Вторая проблема была обнаружена в API-интерфейсе ядра Drupal и описывается как неправильная проверка ввода в некоторых формах дополнительных или пользовательских модулей.
Из-за этой баги потенциальный злоумышленник может ввести запрещенные значения или перезаписать данные. Затронутые формы встречаются редко, но Drupal отмечает, что в некоторых случаях недостатки могут позволить злоумышленнику изменить важные или конфиденциальные данные.
Обе эти уязвимости оцениваются как «умеренно критические», но пользователям тем не менее рекомендуется, как можно скорее обновиться до исправленной версии.
Но сделать это смогут не все, так как ошибки были устранены с выпуском Drupal 9.3.12 и Drupal 9.2.18, а вот версии Drupal 9 до 9.2.x и Drupal 8 достигли статуса окончания срока службы (EOL) и не будут обновляться. Пользователи старющего Drupal 7 могут не переживать, так как эти уязвимости вовсе обошли его стороной.
В этот раз Drupal объявил о выпуске обновлений безопасности для устранения уязвимостей, которые могли привести к обходу доступа и перезаписи данных.
Первая ошибка, связанная с проблемой обхода доступа, была обусловлена неправильной реализацией универсального API. Вся чехарда заключалась в том, что API не был полностью интегрирован с существующими разрешениями, что как раз-таки и приводило к возможности обхода для пользователей, у которых был доступ к использованию контента, но у которых не было доступа к отдельным элементам и медиа-контенту. Данная уязвимость затрагивает только версии Drupal 9.3.
Вторая проблема была обнаружена в API-интерфейсе ядра Drupal и описывается как неправильная проверка ввода в некоторых формах дополнительных или пользовательских модулей.
Из-за этой баги потенциальный злоумышленник может ввести запрещенные значения или перезаписать данные. Затронутые формы встречаются редко, но Drupal отмечает, что в некоторых случаях недостатки могут позволить злоумышленнику изменить важные или конфиденциальные данные.
Обе эти уязвимости оцениваются как «умеренно критические», но пользователям тем не менее рекомендуется, как можно скорее обновиться до исправленной версии.
Но сделать это смогут не все, так как ошибки были устранены с выпуском Drupal 9.3.12 и Drupal 9.2.18, а вот версии Drupal 9 до 9.2.x и Drupal 8 достигли статуса окончания срока службы (EOL) и не будут обновляться. Пользователи старющего Drupal 7 могут не переживать, так как эти уязвимости вовсе обошли его стороной.
Telegram
SecAtor
Потихоньку начинает проясняться история с вчерашней массовой рассылкой на наш почтовый ящик писем от различных российских и белорусских ресурсов со сбросом админ пароля.
Судя по всему, кибердружины УГИЛ (пока не запрещено в Российской Федерации) взломали…
Судя по всему, кибердружины УГИЛ (пока не запрещено в Российской Федерации) взломали…
Обнаружены критические уязвимости в промышленных продуктах SmartPTT и SmartICS российской компании Elcomplus, специализирующейся на производстве средств радиосвязи и промышленной автоматизации.
Авторитетный ресерчер Майкл Хайнцл обнаружил в общей сложности девять уязвимостей в SCADA-продукте Elcomplus SmartPTT, который сочетает в себе возможности SCADA/IIoT с диспетчерским ПО для профессиональных радиосистем. А если учесть и то, что продукты SmartICS также подвержены некоторым уязвимостям, поскольку они имеют общий код.
Уязвимые продукты используются более чем 2000 организациях на территории 90 стран, в том числе и США. Перечень ошибок включает: обход пути, межсайтовые сценарии (XSS), произвольную загрузку файлов, обход авторизации, подделку межсайтовых запросов (CSRF) и проблемы с раскрытием информации.
Эксплуатация уязвимостей может позволить злоумышленнику:
- загружать файлы,
- читать или записывать произвольные файлы в системе,
- получать учетные данные, хранящиеся в открытом виде,
- выполнять различные действия от имени пользователя,
- выполнять произвольный код,
- повышать привилегии до уровня администратора.
В некоторых случаях для эксплуатации требуется аутентификация или взаимодействие с пользователем (например, переход по ссылке или доступ к определенным страницам).
Исследователь уведомил поставщика об уязвимостях через CISA в апреле 2021 года, соответствующие исправления были выпущены в конце 2021 года. Тем не менее, CISA опубликовало два бюллетеня по этим уязвимостям. Пользователям рекомендуется выполнить обновление до версии 2.3.4 или выше.
Авторитетный ресерчер Майкл Хайнцл обнаружил в общей сложности девять уязвимостей в SCADA-продукте Elcomplus SmartPTT, который сочетает в себе возможности SCADA/IIoT с диспетчерским ПО для профессиональных радиосистем. А если учесть и то, что продукты SmartICS также подвержены некоторым уязвимостям, поскольку они имеют общий код.
Уязвимые продукты используются более чем 2000 организациях на территории 90 стран, в том числе и США. Перечень ошибок включает: обход пути, межсайтовые сценарии (XSS), произвольную загрузку файлов, обход авторизации, подделку межсайтовых запросов (CSRF) и проблемы с раскрытием информации.
Эксплуатация уязвимостей может позволить злоумышленнику:
- загружать файлы,
- читать или записывать произвольные файлы в системе,
- получать учетные данные, хранящиеся в открытом виде,
- выполнять различные действия от имени пользователя,
- выполнять произвольный код,
- повышать привилегии до уровня администратора.
В некоторых случаях для эксплуатации требуется аутентификация или взаимодействие с пользователем (например, переход по ссылке или доступ к определенным страницам).
Исследователь уведомил поставщика об уязвимостях через CISA в апреле 2021 года, соответствующие исправления были выпущены в конце 2021 года. Тем не менее, CISA опубликовало два бюллетеня по этим уязвимостям. Пользователям рекомендуется выполнить обновление до версии 2.3.4 или выше.
Эксперты предупреждают о необходимости исправления критической ошибки обхода цифровой подписи в Java.
Проблема заключается в реализации в Java 15, Java 16, Java 17 или Java 18 алгоритма цифровой подписи на эллиптических кривых ECDSA, криптографического механизма цифровой подписи сообщений и данных для проверки подлинности и целостности содержимого.
CVE-2022-21449 высокой степени серьезности (оценка CVSS: 7,5), влияет на следующие версии Java SE и Oracle GraalVM Enterprise Edition: Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18; и Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2.
Уязвимость обнаружил Нил Мэдден из ForgeRock в ноябре 2021 года, отметив, что ее механизм позволяет злоумышленнику подделывать некоторые типы SSL-сертификатов и рукопожатий (что позволяет перехватывать и изменять сообщения), подписанные JWT, SAML assertions, токены идентификаторов OIDC и даже сообщения аутентификации WebAuthn.
Криптографическая ошибка, получившая название Psychic Signatures в Java, позволяет представить полностью пустую подпись, которая по-прежнему будет восприниматься уязвимой реализацией как действительная. Успешное использование уязвимости может позволить злоумышленнику подделать подписи и обойти установленные меры аутентификации. Psychic Signatures приводит к аннулированию целостности любого контента, которая гарантируется электронными подписями.
Несмотря на всю серьезность, ошибка была исправлена Oracle только в рамках ежеквартального критического обновления (CPU) в апреле 2022 г., а что печальнее исследователем безопасности Халедом Нассаром опубликован PoC, который наглядно демонстрирует как реализуется обхода цифровой подписи в Java.
Так что присоединяемся к OpenJDK и рекомендуем компаниям, использующим Java 15-18 сосредоточится на обновлении систем во избежание активных попыток эксплуатации.
Проблема заключается в реализации в Java 15, Java 16, Java 17 или Java 18 алгоритма цифровой подписи на эллиптических кривых ECDSA, криптографического механизма цифровой подписи сообщений и данных для проверки подлинности и целостности содержимого.
CVE-2022-21449 высокой степени серьезности (оценка CVSS: 7,5), влияет на следующие версии Java SE и Oracle GraalVM Enterprise Edition: Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18; и Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2.
Уязвимость обнаружил Нил Мэдден из ForgeRock в ноябре 2021 года, отметив, что ее механизм позволяет злоумышленнику подделывать некоторые типы SSL-сертификатов и рукопожатий (что позволяет перехватывать и изменять сообщения), подписанные JWT, SAML assertions, токены идентификаторов OIDC и даже сообщения аутентификации WebAuthn.
Криптографическая ошибка, получившая название Psychic Signatures в Java, позволяет представить полностью пустую подпись, которая по-прежнему будет восприниматься уязвимой реализацией как действительная. Успешное использование уязвимости может позволить злоумышленнику подделать подписи и обойти установленные меры аутентификации. Psychic Signatures приводит к аннулированию целостности любого контента, которая гарантируется электронными подписями.
Несмотря на всю серьезность, ошибка была исправлена Oracle только в рамках ежеквартального критического обновления (CPU) в апреле 2022 г., а что печальнее исследователем безопасности Халедом Нассаром опубликован PoC, который наглядно демонстрирует как реализуется обхода цифровой подписи в Java.
Так что присоединяемся к OpenJDK и рекомендуем компаниям, использующим Java 15-18 сосредоточится на обновлении систем во избежание активных попыток эксплуатации.
Sophos News
Naked Security – Sophos News