Хороший урок специалисты Лаборатории Касперского, на наш взгляд, преподали коллегам из Claroty (Team82), которые в конце марта выкатили результаты своего исследования уязвимостей в продуктах Rockwell Automation, о чем мы ранее также сообщали.

Речь шла о двух ошибках CVE-2022-1159 (уязвимость в программном обеспечении Studio 5000 Logix Designer, которая позволяет подменять код во время компиляции проекта для ПЛК) и CVE-2022-1161 (уязвимость в самих контроллерах серии ControlLogix, которая позволяет подменять скомпилированный код на ПЛК без подмены исходного кода), получивших высокую оценку по метрике CVSS 3.1 – 7.7 (High) и 10.0 (Critical).

Однако при детальном разборе ситуация выглядит иначе.

По версии вендора, CVE-2022-1159 эксплуатируется в ходе локального доступа с повышенными привилегиями к компьютеру с Studio 5000 Logix Designer, путем взаимодействия с пользователем и вызывает нарушение конфиденциальности, целостности и доступности ПЛК. Как объяснили представители Лаборатории согласно спецификации CVSS v3.1 при наличии административного доступа к инженерному компьютеру злоумышленник и так может вызвать эти нарушения ПЛК, а, значит и оценка CVE соответствует значению 0.0 (None).

Вторая уязвимость, которую исследователи приравнивают к «уязвимостям уровня Stuxnet», затрагивает ПЛК серии ControlLogix. По версии вендора атакующий может удалённо, без аутентификации, полностью нарушить работу уязвимого ПЛК. Но при разборе вектора выясняется, что для успешной эксплуатации уязвимости требуются права на скачивание приложения на ПЛК, что уже само по себе дает злоумышленнику возможности нанести очень серьёзный вред без эксплуатации каких-либо уязвимостей.

Кроме того, уязвимость позволяет подменить скомпилированный код приложения без изменения исходного, то есть страдает целостность информации для инженерного ПО. Нарушить конфиденциальность или доступность самого инженерного ПО она не позволяет.

По мнению Лаборатории Касперского, справедливая оценка критичности данной уязвимости должна быть снижена с 10.0 (Critical) до 6.8 (Medium) по CVSS.

И если говорить по-серьезному о реально опасных багах, то Kaspersky ICS CERT еще в сентябре 2017 года уведомляла производителя об уязвимости механизма авторизации в нескольких линейках контроллеров Rockwell Automation, включая контроллеры противоаварийной защиты (ПАЗ). Ошибка позволяет удалённому неаутентифицированному пользователю производить любые операции с контроллерами и ПАЗ.

И лишь спустя 4 года уязвимость стала публично известна и получила идентификатор CVE-2021-22681. Эксплуатация, в отличие от предыдущих, не требует никаких привилегий и ведёт к полной компрометации устройства. Имеет честную оценку серьёзности 9.8 (Critical).

Но, что самое забавное - даже спустя 4,5 года Rockwell Automation так и не придумала способа ее исправить, предлагая лишь компенсационные меры. И это при том, что в сети обнаруживаются соответственно 515 и 6793 доступных устройства с открытым портом 44818/TCP (через который эксплуатируется CVE-2021-22681).

На наш взгляд отличный урок, показывающий важность адекватной оценки и практической значимости информации об уязвимостях в OT-продуктах и технологиях.

👨🏻‍💻 S.E.Заметка. ⁤Готовая инфраструктура для пентеста.

🖖🏻 Приветствую тебя user_name.

• По ссылке ниже, ты найдешь 1 атакующую ВМ на #Linux и 4 уязвимых ВМ на Win Server 2019 с уязвимыми службами, развернутой Active Directory (#AD), уязвимыми MSSQL, Apache Tomcat, Jenkins и т.д.

• После установки, можешь использовать полученную инфраструктуру для взлома \ обучения \ тестирования на проникновение. Крутая и полезная инфраструктура для тех, кому нужен практический опыт.

🧷 https://github.com/R3dy/capsulecorp-pentest

• В дополнение: OffenOsint — ВМ, которая сочетает в себе различные инструменты Kali Linux для проведения #OSINT, полезные фреймворки, полезные скрипты, инструменты для анонимизации своих действий в сети и многое другое.

Твой S.E. #Пентест

Специалисты по информационной безопасности обнаружили новый вариант вредоносного ПО ботнета BotenaGo, который считается одним из самых скрытных и до недавнего времени не был обнаружен ни одним антивирусом.

Впервые о ботнете BotenaGo поведали миру исследователи из AT&T в ноябре 2021 года, вредоносный код которого использовал 33 эксплойта для атаки на миллионы маршрутизаторов и устройств IoT. А вот исходный код BotenaGo уже был доступен в сети с октября 2021 года, что позволило многим злоумышленникам создавать свои собственные версии, добавляя новые эксплойты для заражения наибольшего числа устройств. BotenaGo был написан на Golang (Go) и на момент публикации отчета имел низкий уровень обнаружения - всего 6/62.

Но исследователи из Nozomi Networks Labs недавно обнаружили новый вариант BotenaGo, специально предназначенный для цифровых видеорегистраторов Lilin. Собственно эксперты, после того как проанализировали образец так и назвали его «сканером Lillin», очевидно из-за имени, которое разработчики использовали для него в исходном коде: /root/lillin.go.

Как говорится в анализе, опубликованном Nozomi Networks на момент проведения исследования, вредоносный образец не был обнаружен ни одним модулем обнаружения вредоносных программ в VirusTotal. Хотя образец довольно большой (2,8 МБ), но из-за того, что он написан на Go, часть фактического вредоносного кода довольно мала и сосредоточена на одной задаче. По словам экспертов, авторы удалили почти все 30 эксплойтов, включенных в исходный код BotenaGo, и повторно использовали некоторые части для эксплуатации уязвимости RCE, затрагивающей устройства Lilin DVR.

Исследователи считают, что сканер Lillin можно использовать в ручном режиме вместе с другим инструментом, который создает списки устройств Lilin, поскольку он не проверяет заданные IP-адреса. Тем не менее, он перебирает получаемые IP-адреса — так же, как это делал оригинальный BotenaGo — для запуска процедуры заражения.

Сканер Lillin содержит в общей сложности 11 пар «пользователь-пароль», которые закодированы в Base64 для использования в базовой аутентификации, необходимой для эксплуатации уязвимости, позволяющей удаленное выполнение кода (RCE). Если вредоносное ПО сочтет попытку аутентификации успешной, оно перейдет к использованию уязвимости конфигурации протокола сетевого времени (NTP), которая была обнаружена в цифровых видеорегистраторах Lilin в 2020 году.

После успешной компрометации цели вредоносное ПО загружает полезные нагрузки, предназначенные для нескольких архитектур (ARM, x86, MIPS, Motorola 68000, PowerPC, SPARC и SuperH), и пытается выполнить их на камере.

По данным Nozomi Networks, все эти образцы полезной нагрузки принадлежат семейству Mirai и все они были отправлены в VirusTotal в начале марта 2022 года. Кроме того, эксперты заметили, что ботнет Mirai, использованный в атаках, исключает диапазоны IP-адресов, принадлежащих внутренним сетям Министерства обороны США, Почтовой службы США, General Electric, Hewlett-Packard и другие. Интересно…

Критическая уязвимость RCE в декодере устройств Android, работающих на чипсетах Qualcomm и MediaTek, может открывать доступ к медиафайлам пользователей и делает 2/3 девайсов уязвимыми для взлома.

Исследователи Check Point Research обнаружили критическое удаленное выполнение кода, которое влияет на реализацию Apple Lossless Audio Codec (ALAC) в устройствах Android, работающих на чипсетах Qualcomm и MediaTek. Производители чипсетов использовали уязвимую версию кода ALAC в своих аудиодекодерах.

ALAC — это формат кодирования звука, разработанный Apple для сжатия данных цифровой музыки без потерь, был разработан в 2004 году. В 2011 году исходный код был раскрыт Apple, с тех пор его использовали многие сторонние поставщики.

MediaTek отметила ошибки в ALAC как CVE-2021-0674 (средняя серьезность с оценкой 5,5) и CVE-2021-0675 (высокая серьезность с оценкой 7,8), а Qualcomm - как CVE-2021-30351 (критическая степень тяжести с 9,8 балла).

Уязвимости подвержены более половины всех смартфонов по всему миру. Удаленный злоумышленник может активировать уязвимость, обманом заставив целевое устройство открыть искаженный аудиофайл для выполнения произвольного кода. Исследователи называют эту атаку ALHACK.

Воздействие уязвимости RCE может варьироваться от запуска вредоносного ПО до получения злоумышленником контроля над мультимедийными данными пользователя, включая потоковую передачу с камеры взломанной машины. Кроме того, непривилегированное Android-приложение может использовать эти уязвимости для повышения своих привилегий и получения доступа к медиаданным и разговорам пользователей.

Во взаимодействии с Check Point производители MediaTek и Qualcomm исправили ошибку в декабре 2021 года. Исследователи не раскрывают подробностей об уязвимости во избежании ее эксплуатации в дикой природе, свои выводы они готовы представить на CanSecWest в мае 2022 года.

Trend Micro Zero Day Initiative (ZDI) в период с 19 по 21 апреля в Майами-Саут-Бич провели ежегодный Pwn2Own Miami 2022.

По итогу мероприятия участники заработали 400 000 долларов США за демонстрацию 26 эксплойтов нулевого дня, нацеленных на продукты ICS и SCADA в нескольких производственных категориях: сервер управления, сервер унифицированной архитектуры OPC (OPC UA), шлюз данных и человеко-машинный интерфейс (HMI). В ходе первого выпуска Pwn2Own Miami на тему ICS в январе 2020 года участники показали 24 уникальные 0-day, заработав 280 000 долларов США.

Победителями Pwn2Own Miami 2022 стали Даан Кеупер и Тийс Алкемаде из Computest Sector 7.

В первый день хакеры заработали 20 000 долларов СШАА после выполнения кода на сервере управления Inductive Automation Ignition SCADA, используя уязвимость аутентификации. В тот же день участникам удалось проэкслуатировать уязвимость неконтролируемого пути поиска для удаленного выполнения кода (RCE) в программном обеспечении AVEVA Edge HMI/SCADA, заработав 20 000 долларов США.

На второй день Computest Sector 7 воспользовался бесконечным циклом, активировав состояние DoS в отношении Unified Automation C++ Demo Server, за что заработал 5000 долларов США.

Также команда обошла проверку надежных приложений в стандарте OPC Foundation OPC UA .NET и добавила еще 40 000 долларов в свой призовой фонд. По итогу они выиграли титул Master of Pwn, заработав в общей сложности 90 000 долларов за три дня конкурса и заняв первое место в таблице лидеров с 90 очками.

Теперь в распоряжении разработчиков и поставщиков систем 120 дней на выпуск исправлений, пока ZDI не раскроет их публично.

Очередной QNAP-переполох для владельцев сетевых устройств хранения данных NAS.

Производитель просит пользователей устранить критические ошибки CVE-2022-22721 и CVE-2022-23943 с оценкой серьезности 9,8/10, влияющие на системы под управлением Apache HTTP Server 2.4.52 и более ранних версий.

Тайваньский производитель NAS пояснил, что CVE-2022-22721 затрагивает 32-разрядные модели QNAP NAS, а CVE-2022-23943 затрагивает пользователей, которые включили mod_sed в Apache HTTP Server на своем устройстве. Злоумышленники, не прошедшие проверку подлинности, могут удаленно использовать уязвимости в атаках низкой сложности, не требуя взаимодействия с пользователем.

К настоящему времени разработки работает над выпуском обновлений, пока исправления не будут доступны, QNAP рекомендует клиентам сохранять значение по умолчанию «1M» для LimitXMLRequestBody, чтобы смягчить атаки CVE-2022-22721 и отключить mod_sed как средство смягчения CVE-2022-23943.

Компания также отмечает, что внутрипроцессный фильтр содержимого mod_sed по умолчанию отключен в HTTP-сервере Apache на устройствах NAS, работающих под управлением операционной системы QTS.

Параллельно QNAP также работает над обновлениями безопасности для устранения серьезной уязвимости Linux, получившей название Dirty Pipe, которая позволяет злоумышленникам с локальным доступом получить привилегии root. И это еще при том, что QNAP еще не выпустила исправления для уязвимости OpenSSL, которую злоумышленники могут использовать для запуска состояния отказа в обслуживании (DoS) и удаленного сбоя уязвимых устройств.

Компания разводит руками и рекомендует клиентам подождать обновлений, намекая по всей видимости на то, что лучше спрятать подальше NAS в чулан и наглухо заколотить дверь.

- партнёрский пост -

Бизнесу нужны специалисты по кибербезопасности

Спрос на таких экспертов за последний год вырос в полтора раза. Сотрудники в области информационной безопасности помогают бизнесу избегать утечек данных, сохранять репутацию и клиентов.

27 апреля в 19:00 совместная магистратура ВШЭ и Нетологии проведёт день открытых дверей «Кибербезопасность в 2022: атаки, аналоговые решения, перспективы». На онлайн‑дискуссии вы узнаете:
-какие решения для защиты данных
-используют специалисты по кибербезопасности;
-какие эксперты востребованы на рынке и какие навыки стоит развивать, чтобы реализовать себя в сфере;
-как устроена магистерская программа в Нетологии: дисциплины, преподаватели, стажировки.

Присоединяйтесь → https://netolo.gy/ibq

Не так давно мы писали, как супостаты из-за скомпрометированной OctoberCMS на десятках сайтах попытались посягнуть на нашу мессианскую долю по обеспечению информационной безопасности во всем мире. Собственно, и наш пример другим наука, когда в популярной CMS есть баги, то, как правило последствия могут коснуться многих.
 
В этот раз Drupal объявил о выпуске обновлений безопасности для устранения уязвимостей, которые могли привести к обходу доступа и перезаписи данных.

Первая ошибка, связанная с проблемой обхода доступа, была обусловлена неправильной реализацией универсального API. Вся чехарда заключалась в том, что API не был полностью интегрирован с существующими разрешениями, что как раз-таки и приводило к возможности обхода для пользователей, у которых был доступ к использованию контента, но у которых не было доступа к отдельным элементам и медиа-контенту. Данная уязвимость затрагивает только версии Drupal 9.3.

Вторая проблема была обнаружена в API-интерфейсе ядра Drupal и описывается как неправильная проверка ввода в некоторых формах дополнительных или пользовательских модулей.

Из-за этой баги потенциальный злоумышленник может ввести запрещенные значения или перезаписать данные. Затронутые формы встречаются редко, но Drupal отмечает, что в некоторых случаях недостатки могут позволить злоумышленнику изменить важные или конфиденциальные данные.

Обе эти уязвимости оцениваются как «умеренно критические», но пользователям тем не менее рекомендуется, как можно скорее обновиться до исправленной версии.

Но сделать это смогут не все, так как ошибки были устранены с выпуском Drupal 9.3.12 и Drupal 9.2.18, а вот версии Drupal 9 до 9.2.x и Drupal 8 достигли статуса окончания срока службы (EOL) и не будут обновляться. Пользователи старющего Drupal 7 могут не переживать, так как эти уязвимости вовсе обошли его стороной.

Обнаружены критические уязвимости в промышленных продуктах SmartPTT и SmartICS российской компании Elcomplus, специализирующейся на производстве средств радиосвязи и промышленной автоматизации.

Авторитетный ресерчер Майкл Хайнцл обнаружил в общей сложности девять уязвимостей в SCADA-продукте Elcomplus SmartPTT, который сочетает в себе возможности SCADA/IIoT с диспетчерским ПО для профессиональных радиосистем. А если учесть и то, что продукты SmartICS также подвержены некоторым уязвимостям, поскольку они имеют общий код.

Уязвимые продукты используются более чем 2000 организациях на территории 90 стран, в том числе и США. Перечень ошибок включает: обход пути, межсайтовые сценарии (XSS), произвольную загрузку файлов, обход авторизации, подделку межсайтовых запросов (CSRF) и проблемы с раскрытием информации.

Эксплуатация уязвимостей может позволить злоумышленнику:
- загружать файлы,
- читать или записывать произвольные файлы в системе,
- получать учетные данные, хранящиеся в открытом виде,
- выполнять различные действия от имени пользователя,
- выполнять произвольный код,
- повышать привилегии до уровня администратора.

В некоторых случаях для эксплуатации требуется аутентификация или взаимодействие с пользователем (например, переход по ссылке или доступ к определенным страницам).

Исследователь уведомил поставщика об уязвимостях через CISA в апреле 2021 года, соответствующие исправления были выпущены в конце 2021 года. Тем не менее, CISA опубликовало два бюллетеня по этим уязвимостям. Пользователям рекомендуется выполнить обновление до версии 2.3.4 или выше.

Эксперты предупреждают о необходимости исправления критической ошибки обхода цифровой подписи в Java.
 
Проблема заключается в реализации в Java 15, Java 16, Java 17 или Java 18 алгоритма цифровой подписи на эллиптических кривых ECDSA, криптографического механизма цифровой подписи сообщений и данных для проверки подлинности и целостности содержимого.
 
CVE-2022-21449 высокой степени серьезности (оценка CVSS: 7,5), влияет на следующие версии Java SE и Oracle GraalVM Enterprise Edition: Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18; и Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2.
 
Уязвимость обнаружил Нил Мэдден из ForgeRock в ноябре 2021 года, отметив, что ее механизм позволяет злоумышленнику подделывать некоторые типы SSL-сертификатов и рукопожатий (что позволяет перехватывать и изменять сообщения), подписанные JWT, SAML assertions, токены идентификаторов OIDC и даже сообщения аутентификации WebAuthn.

Криптографическая ошибка, получившая название Psychic Signatures в Java, позволяет представить полностью пустую подпись, которая по-прежнему будет восприниматься уязвимой реализацией как действительная. Успешное использование уязвимости может позволить злоумышленнику подделать подписи и обойти установленные меры аутентификации. Psychic Signatures приводит к аннулированию целостности любого контента, которая гарантируется электронными подписями.
 
Несмотря на всю серьезность, ошибка была исправлена Oracle только в рамках ежеквартального критического обновления (CPU) в апреле 2022 г., а что печальнее исследователем безопасности Халедом Нассаром опубликован PoC, который наглядно демонстрирует как реализуется обхода цифровой подписи в Java.
 
Так что присоединяемся к OpenJDK и рекомендуем компаниям, использующим Java 15-18 сосредоточится на обновлении систем во избежание активных попыток эксплуатации.

Всем запомнился амбициозный план и обещания Администрации Байдена качественно усилить защиту критической инфраструктуры и правительственного сегмента от современных киберугроз.
 
Правда, итоги очередного Hack DHS немного не вписываются в парадигму новых мер.
 
Участники программы обнаружили 122 уязвимости безопасности во внешних системах Министерства внутренней безопасности США, при этом 27 из них - критические. 450 исследователей заработали до 5000 долларов за ошибку (в зависимости от серьезности уязвимости) и в общем заработали 125 600 долларов США.
 
Программа стартовала в 2019 году после принятия закона о технологиях *SECURE, который обязывает устанавливать политики раскрытия уязвимостей безопасности и программы вознаграждений. Она опирается на опыт аналогичных усилий федерального правительства США: по аналогии с программой Взломать Пентагон и частного сектора.
 
Текущий этап был объявлен в декабре 2021 года. Кроме того, программа 2022 года дополнена у связи с экстренной директивой CISA в отношении критической ошибки Log4Shell.
 
Хакеры по итогам работ раскрывают свои выводы вместе с подробной информацией об уязвимости и о том, как ее можно использовать, в том числе для получения доступа к данным систем DHS. Все заявленные недостатки безопасности затем проверяются экспертами по безопасности DHS в течение 48 часов и исправляются в течение 15 или более дней, в зависимости от сложности ошибки.
 
Либо план оказался настолько плох либо его сабботируют чиновники - разбираться не нам, а вот опыт подобных мероприятий всегда полезен, особенно в условиях современного положения дел в отечественном инфосек.

Отличный обзор реального кейса атаки с использованием ransomware сделали DFIR: 3 часа 44 минуты понадобилось операторам Quantum с момента первоначального доступа и до тотального шифрования по всему домену.

Первоначальным вектором доступа в этом случае была полезная нагрузка IcedID, доставленная в образе ISO по электронной почте (как это делали XingLocker, Conti и REvil).

ISO содержал файл DLL (вредоносное ПО IcedID) и ярлык LNK для его выполнения. После нажатия на ISO отображался только один файл «document», который являлся ярлыком LNK для скрытой библиотеки DLL, упакованной в ISO. После щелчка на файл LNK, выполнялась IcedID DLL.

Вредоносная программа IcedID выполняла ряд задач по обнаружению с использованием встроенных утилит Windows, таких как ipconfig, systeminfo, nltest, net и chcp, а также создавала запланированную задачу для сохранения на хосте. Процесс cmd.exe, инициированный IcedID, также выполнял дополнительные запросы на обнаружение.

Примерно через 2 часа после первоначального заражения разворачивался Cobalt Strike, актор приступал к ручным операциям с помощью Cobalt Strike и RDP.

Актор использовал AdFind через пакетный сценарий для анализа Active Directory в части сбора информации о пользователях, хостах и подсетях в домене. Применяли дополнительный пакетный скрипт ns.bat, который собирал все имена хостов в домене с nslookup указанием IP-адресов.

Перед первым боковым перемещением с занимаемого узла злоумышленник проверял учетные данные и собирал информацию со своего целевого удаленного сервера с помощью WMI. В течение следующего часа злоумышленник применял RDP для горизонтального перемещения к важным узлам.

Как только субъект получил представление о структуре домена, он подготовился к развертыванию ransomware, скопировав программу-вымогатель (с именем ttsel.exe) на каждый хост через общую папку.

Далее злоумышленник использовал комбинацию PsExec и WMI для удаленного запуска программы-вымогателя. При этом злоумышленник использовал параметр «-r» в PsExec для определения пользовательского имени (mstdc) удаленной службы, созданной на целевом хосте (по умолчанию это PSEXESVC). Актор также использовал WMIC, чтобы убедиться, что все удаленные хосты успешно выполнили окончательную полезную нагрузку. 

Развертывание ransomware завершилось сбросом записки с требованием выкупа: README_TO_DECRYPT.html менее чем через четыре часа после первоначального запуска IcedID. После чего на портале Quantum появилась вкладка для создания чата переговоров и установления пароля к нему.

Исследователи отметили, что в записке о выкупе указывалось, что злоумышленник украл данные, однако признаков эксфильтрации обнаружено не было. Однако не исключается, что злоумышленники использовали IcedID или Cobalt Strike для передачи конфиденциальных данных.

Обязательно рекомендуем ознакомиться с полной версией обзора, который наглядно отражает как все происходит в моменте.

͏Популярные решения для управления проектами Jira и Jira Service Management оказались под угрозой, да еще под какой.

На днях Atlassian опубликовала бюллетень по безопасности, чтобы предупредить о том, что их продукты подвержены критической уязвимости обхода аутентификации в Seraph - среде безопасности веб-приложений J2EE, которая используется для обработки запросов.

Уязвимость отслеживается как CVE-2022-0540 и имеет рейтинг серьезности 9,9. Бага позволяет удаленному злоумышленнику обойти аутентификацию, отправив специально созданный HTTP-запрос уязвимым конечным точкам.

Недостаток находится в ядре Jira и затрагивает продукты: Jira Core Server, Software Data Center, Software Server, Service Management Server и Management Data Center.

В Atlassian предупреждают, что злоумышленники могут скомпрометировать решения только в том случае, если они используются с определенной конфигурацией в Seraph, которая подробно описана у поставщика

Серьезность использования CVE-2022-0540 добавляет и тот факт, что Jira может взаимодействовать и со сторонними приложениями и соответственно, используют ли они дополнительные проверки разрешений помимо тех, что указаны в конфигурации Seraph.

Под прямой угрозой два связанных приложения: Insight — Asset Management и Mobile Plugin для Jira. Полный список затронутых приложений можно найти в рекомендациях у Atlassian.

А вот сторонние приложения, например те, которые не представлены в Atlassian Marketplace или разработаны самими клиентами, также подвержены риску, если они используют уязвимую конфигурацию. Так что целесообразно провести ревизию, на предмет использования самописных или сторонних решений.

Пользователям настоятельно рекомендуется обновиться до последних версий, а если в настоящее время это невозможно, то Atlassian рекомендует обновить уязвимые приложения до версии, в которой устранен риск, или отключить уязвимые приложения до тех пор, пока не станет возможным исправление.

Популярность этой уязвимости пока ниже среднего, так как отсутствует публичный эксплойт. Но для желающих сварганить такой эксплойт можно всего до 5000 зеленых.

Обычно мы оперативно информируем о резонансных хакерских атаках или их последствиях, однако вопреки сложившейся практики хотелось бы отметить усилия инфосек-сообщества Республики Иран, которым после череды разрушительных нападений на топливный, транспортный и медиа сектор, удалось дать решительный отпор киберпреступникам.

Об этом сообщило Государственное телевидение Ирана. Киберстражи Исламской Революции AFTA и подведомственные IT-структуры предотвратили массовые кибератаки на национальную инфраструктуру более чем 100 учреждений и организаций.

В опубликованном отчете не называется конкретные цели хакеров, но сообщается, что инциденты происходили последние дни. По следам установлено, что неизвестные злоумышленники хакеры использовали IP-адреса, зарегистрированные в Нидерландах, Великобритании и США.

Хакеры пытались воспользоваться уязвимостями в системе безопасности ПО, которое используется различными организациями в Иране. Кроме того, злоумышленники пытались залить свой контент в скомпрометированные системы.

Безусловно, источники и конкретные обстоятельства недружественных действий властями Ирана может и не оглашаются, но точно прекрасно известны, равно как и понимание вектора ответных мер, которые, как мы видели на практике, принимаются достаточно быстро и эффективно.

͏Очередной пример, когда платформа нацеленная на предостережение от угроз безопасности может сама выступать угрозой.

Энтузиасты из Cysource не поленились и решили отаудировать сам VirusTotal и как оказалось вышло это у них достаточно успешно. Исследователи обнаружили проблему безопасности, которая позволяла использовать платформу VirusTotal в качестве орудия для удаленного выполнения кода (RCE) на сторонних машинах-песочницах, использующих антивирусные движки.

Багу конечно пофиксили еще 13 апреля 2021 года, но для справки из-за возможности RCE потенциальный злоумышленник мог получать доступ к различным возможностям сканирования платформы.

Метод атаки включал загрузку файла DjVu через пользовательский веб-интерфейс платформы с использованием его для запуска эксплойта серьезной уязвимости удаленного выполнения кода в ExifTool - утилите с открытым исходным кодом, используемой для чтения и редактирования метаданных EXIF в изображениях и PDF-файлах.

Недостаток CVE-2021-22204 получил оценку 7,8 по CVSS и рассматривается как уязвимость высокого уровня опасности.

Как мы помним VirusTotal, входит в состав подразделения безопасности Google Chronicle и каждый раз, когда исследователи загружали файл с новой полезной нагрузкой, VirusTotal благополучно отправлял этот файл другим хостам. Таким образом, помимо возможности удалённого выполнения кода, еще и сама нагрузка отправлялась по внутренней сети Google её клиентам и партнёрам.

Кроме того, помимо последствий возможной эксплуатации в системе Google, открывался доступ более чем к 50 хостам, причём доступ был с высокими привилегиями. Вероятно, поэтому ребята не спешили с публичным раскрытием информации об уязвимости.

Весь мир увлеченно следит за тем, как публично хоронят NSO Group с печально известным шпионским ПО Pegasus.
 
Но как мы предполагали, дело вовсе не в борьбе за демократию. Права человека - товар на рынке шпионских технологий, а Израиль вежливо попросили подвинуться.
 
Если применение Pegasus носило целевой характер и реализовывалось по линии спецслужб, то их американские коллеги Anomaly Six отслеживают до 3 миллиардов трубок по всему миру в моменте.
 
За несколько месяцев до начала спецоперации РФ на Украине компания объединилась с Zignal Labs, которые специализируются на наблюдении в соцсетях. Консолидированный ресурс позволил им одним щелчком отследить передвижения российских войск в ходе развертывания вдоль границы с Украиной. Выделить места обучения, дислокации, проживания военнослужащих, а также окружение, связи и маршруты передвижений. В ходе другого кейса аналогичным образом проводился контроль за атомной подводной лодкой КНР.
 
A6 продемонстрировали результаты мониторинга в районе расположения ЧВК «Вагнер» в РФ, на основе которого были выявлены командировки бойцов Ливию, Конго и другие точки. При этом Zignal давали и содержательную оценку активности пользователей в той или иной местности на основе публикаций в соцсетях, легко опровергая, к примеру, легенду об учениях.
 
Виртуозы шпионажа также показали, насколько уязвимы их собственные спецслужбы. Отмониторив штаб-квартиру АНБ в Форт-Мид, штат Мэриленд, и штаб-квартиру ЦРУ в Лэнгли, штат Вирджиния, операторы Anomaly Six смогли срисовать 183 устройства, посетившие обе локации, а также раскрыть их перемещения за рубежом по линии разведки. По возвращении в США одного из объектов контроля проследили прямо до дома.
 
Anomaly Six поставила на поток сбор данных о местоположении пользователей мобильных приложений, запущенный конвейер позволил им отслеживать сотни миллионов людей по всему миру онлайн. Для этих целей используют SDK, о широких возможностях которых мы не так давно писали. В свою очередь, Zignal Labs, имея эксклюзивную технологию парсинга, взяли фактически под контроль публичные коммуникации в Twitter.
 
A6 реализуют от 30 до 60 пингов местоположения на устройство в день, покрывая 230 миллионов устройств в день и добавляя в систему почти 2,5 триллиона локаций ежегодно. В отличие от конкурентов, собирающих местоположения через Bluetooth и Wi-Fi-соединения телефона, компания использует сеть GPS. Каждой локации соответствует пользовательский профиль из базы, включающей более чем 2 миллиардов записей личных данных, которыми пользователи делятся при регистрации в приложениях.
 
Интерфейс ПО визуализирует локаций пользователей в стиле Google Maps, осуществляя поиск как по заданному местоположению (району, городу или даже стране), так и в отношении конкретного абонента.
 
Очевидно, что декларируемые маркетинговые цели стартапа отставных военных никак не соотносятся c реальным функционалом. Поэтому не зря Командование специальных операций США перечислило A6 590 000 долларов в сентябре 2020 года, получив годовой доступ к коммерческому каналу телеметрии фирмы, а Zignal получили примерно 4 миллиона долларов за субподряд в интересах армии США.
 
При этом Anomaly Six на американском рынке далеко не единственные. И все они востребованы РУМО США, которое получает коммерчески доступные базы данных с местоположениями смартфонов без ордеров или прочих формальностей в режиме реального времени.
 
Как после этого жить? Обычным гражданам рекомендуем программно ограничить работу функций геолокации и применять их при необходимости. А спецслужбам, военным и чиновникам придется качественно перестороить работу с учетом новых элементов оперативной обстановки. Еще большими молодцами мы станем, если сами освоим технологию.

​📲 Google запускает функцию толерантной замены слов под названием "inclusive warnings"

Google внедряет в свои сервисы новую технологию распознавания и коррекции текста, которая заставит пользователя избегать использования определенных слов, призывая обойтись более толерантными формулировками без привязки к половой принадлежности, об этом пишет The Telegraph.

Технология под названием "inclusive warnings" будет использоваться как минимум в Google Docs, предлагая пользователю замену таких слов как "policeman" (полицейский) или "landlord" (владелец земли/объекта недвижимости) на что-то более нейтральное, так как эти слова намекают на гендерную принадлежность к мужчине или женщине. По мнению Google, лучшей заменой он видит слова "police officer" и "property owner".

Даже такие технические термины как материнская плата "motherboard" стали жертвами исправления технологии перевода и коррекции слов. Алгоритм считает недопустимым использование в словах "mother", так как это указывает на женский пол, а это уже заявка на нетолерантность к меньшинствам с английской буквой Х в паспорте.

"When Googling John F. Kennedy’s inauguration speech, Google suggests that it should be corrected to ‘for all humankind’ instead of ‘for all mankind"

Некоторые публичные критики уже высказывают своё недовольство в социальных сетях нововведениями компании Google. Директор правозащитной группы Big Brother Watch Силки Карло назвала inclusive warnings “глубоко навязчивой” технологией. Эксперты опасаются того, что навязывание как писать и какие слова использовать может привести к утрате важных смыслов для отдельных пользователей.

“Этот речевой контроль глубоко неуклюж, он жуткий и неправильный, усиливает предвзятость. Подобные агрессивные технологии подрывают частную жизнь, свободу выражения мнений и все большую свободу мысли” - делится размышлениями директор Big Brother Watch

👆Кроме того что Google читает и распознает каждое слово на своих сервисах, теперь вдобавок он ещё подскажет "как и что" писать собеседнику вместо вас.

“With Google’s new assistive writing tool, the company is not only reading every word you type but telling you what to type,” she noted.

А мы предупреждали, что VMware RCE может и будет эксплуатироваться.
 
Так и случилось, согласно данным Morphisec Labs, проиранская АРТ Rocket Kitten нацелился на непропатченные системы, используя недавно исправленную еще 6 апреля уязвимость VMware, чтобы получить первоначальный доступ для разворачивания бэкдора Core Impact в уязвимых системах.
 
Как мы сообщали, CVE-2022-22954 (с оценкой CVSS: 9,8) представляет собой критическую ошибку, связанную с уязвимостью удаленного выполнения кода (RCE) и затрагивающую VMware Workspace ONE Access и Identity Manager.
 
Используя уязвимость RCE, злоумышленник реализует наивысший привилегированный доступ к любым компонентам виртуализированного хоста и гостевой среды.
 
Зафиксированные цепочки атак, использующие уязвимость, включают распространение стейджера на основе PowerShell, который затем используется для инсталляции полезной нагрузки следующего этапа - PowerTrash Loader, которая, в свою очередь, внедряет инструмент Core Impact в память для последующих действий.
 
И по факту хакеры получают широкие возможности управления идентификационными данными VMWare в сочетании с беспрепятственным удаленным доступом, что является отличным плацдармом для дальнейших разрушительных действий на объектах в различных отраслях.
 
Собственно, теперь вы понимаете, что мы имели в виду, когда упоминали сегодня об ответных мерах со стороны Ирана, которые могут последовать после отраженной массированной кибератаки.

͏Известный мотив рекламной кампании Coca-Cola теперь напевают вымогатели Stormous, которые ожидают выкупа от крупнейшего в мире производителя безалкогольных напитков.

Хакеры сообщили об успешной атаке на часть серверов американского производителя и анонсировали 161 ГБ украденных данных. Среди упомянутых файлов присутствуют документы, текстовые файлы с админскими аутентификационными данными (электронная почта и паролями), ZIP-архивы учетных записей и платежей, а такж другая конфиденциальная информация.

Coca-Cola подтвердила кибератаку на свою сеть, и в настоящее время она проводит собственное расследование, каких-либо негативных последствий в виде ransomware пока не обнаружено. Привлечены правоохранители.

Неожиданно удивила сумма выкупа, которая составила 1,65 биткойна или примерно 64 000 долларов США. Причем, впервые хакеры опубликовали перечень похищенных сведений.

Атака состоялась после того, как подписчика канала вымогателей проголосовали за очередную жертву, выбрав большинством голосов Coca-Cola (72% проголосовавших). Хакеры обещали DDoS, кражу исходного кода и клиентских сведений. Со слов хакеров, для взлома им потребовалось всего лишь несколько дней.

Если ранее исследователи высказывали сомнения относительно результатов недавних кампаний Stormous, то сейчас инцидент с Coca-Cola должен расставить все точки.

Госдепартамент США в рамках программы Награда за правосудие предложили до 10 млн. американских расовых долларов за информацию о шести гражданах России, которых американцы называют членами APT Sandworm и сотрудниками ГРУ.

Безотносительно нашего мнения по поводу объективности выдвинутых ранее в отношении указанных лиц обвинений хочется задать один вопрос.

А как отнесется Госдеп к тому, что за членов APT Equation предложат пару миллионов кубометров газа с поставкой в октябре 2022 года?

В коем веке Microsoft нашла критические уязвимости не только у себя, а еще и в операционной системе Linux.

Вчера специалисты из Редмонда раскрыли две уязвимости, которые  могут позволить локальным злоумышленникам повышать привилегии в системах Linux для развертывания вредоносных программ, начиная от бэкдоров и заканчивая программами-вымогателями.

Эти уязвимости, получившие общее название Nimbuspwn, могут быть объединены в цепочку для получения привилегий суперпользователя в системах Linux, позволяя злоумышленникам развертывать полезную нагрузку и выполнять другие вредоносные действия посредством выполнения произвольного кода. Кроме того, уязвимости - отслеживаемые как CVE-2022-29799 и CVE-2022-29800 - также могут быть использованы в качестве вектора для корневого доступа при развертывании более сложных угроз, таких как ransomware.

Недостатки кроются в компоненте networkd-dispatcher - демоне, который отправляет изменения статуса соединения на машинах Linux. В частности, они связаны с комбинацией недостатков обхода каталога (CVE-2022-29799) и так называемой Time-of-check-time-of-use (TOCTOU) (CVE-2022-29800) - уязвимости состояния гонки, это когда приложению, настроенному для управления функциями в фиксированной последовательности, требуется выполнить две или более операций одновременно.

Таким образом первую уязвимость хакеры могут использовать, чтобы выйти из базового каталога «/etc/networkd-dispatcher», а вторую для замены сценариев, которые networkd-dispatcher считает принадлежащими root, на вредоносные сценарии по выбору злоумышленника. Чтобы убедиться, что Linux выполняет предоставленный злоумышленником вредоносный сценарий, а не легитимный, он запускает несколько сценариев, пока один из них не сработает.

В итоге, хакер с минимальным доступом к уязвимому рабочему столу может объединить эксплойты для этих уязвимостей, которые дают ему полный root.

В данной связи, пользователям networkd-dispatcher настоятельно рекомендуется обновиться до последней версии, чтобы уменьшить потенциальную угрозу, возникающую в результате использования уязвимостей.