Очередной QNAP-переполох для владельцев сетевых устройств хранения данных NAS.

Производитель просит пользователей устранить критические ошибки CVE-2022-22721 и CVE-2022-23943 с оценкой серьезности 9,8/10, влияющие на системы под управлением Apache HTTP Server 2.4.52 и более ранних версий.

Тайваньский производитель NAS пояснил, что CVE-2022-22721 затрагивает 32-разрядные модели QNAP NAS, а CVE-2022-23943 затрагивает пользователей, которые включили mod_sed в Apache HTTP Server на своем устройстве. Злоумышленники, не прошедшие проверку подлинности, могут удаленно использовать уязвимости в атаках низкой сложности, не требуя взаимодействия с пользователем.

К настоящему времени разработки работает над выпуском обновлений, пока исправления не будут доступны, QNAP рекомендует клиентам сохранять значение по умолчанию «1M» для LimitXMLRequestBody, чтобы смягчить атаки CVE-2022-22721 и отключить mod_sed как средство смягчения CVE-2022-23943.

Компания также отмечает, что внутрипроцессный фильтр содержимого mod_sed по умолчанию отключен в HTTP-сервере Apache на устройствах NAS, работающих под управлением операционной системы QTS.

Параллельно QNAP также работает над обновлениями безопасности для устранения серьезной уязвимости Linux, получившей название Dirty Pipe, которая позволяет злоумышленникам с локальным доступом получить привилегии root. И это еще при том, что QNAP еще не выпустила исправления для уязвимости OpenSSL, которую злоумышленники могут использовать для запуска состояния отказа в обслуживании (DoS) и удаленного сбоя уязвимых устройств.

Компания разводит руками и рекомендует клиентам подождать обновлений, намекая по всей видимости на то, что лучше спрятать подальше NAS в чулан и наглухо заколотить дверь.

- партнёрский пост -

Бизнесу нужны специалисты по кибербезопасности

Спрос на таких экспертов за последний год вырос в полтора раза. Сотрудники в области информационной безопасности помогают бизнесу избегать утечек данных, сохранять репутацию и клиентов.

27 апреля в 19:00 совместная магистратура ВШЭ и Нетологии проведёт день открытых дверей «Кибербезопасность в 2022: атаки, аналоговые решения, перспективы». На онлайн‑дискуссии вы узнаете:
-какие решения для защиты данных
-используют специалисты по кибербезопасности;
-какие эксперты востребованы на рынке и какие навыки стоит развивать, чтобы реализовать себя в сфере;
-как устроена магистерская программа в Нетологии: дисциплины, преподаватели, стажировки.

Присоединяйтесь → https://netolo.gy/ibq

Не так давно мы писали, как супостаты из-за скомпрометированной OctoberCMS на десятках сайтах попытались посягнуть на нашу мессианскую долю по обеспечению информационной безопасности во всем мире. Собственно, и наш пример другим наука, когда в популярной CMS есть баги, то, как правило последствия могут коснуться многих.
 
В этот раз Drupal объявил о выпуске обновлений безопасности для устранения уязвимостей, которые могли привести к обходу доступа и перезаписи данных.

Первая ошибка, связанная с проблемой обхода доступа, была обусловлена неправильной реализацией универсального API. Вся чехарда заключалась в том, что API не был полностью интегрирован с существующими разрешениями, что как раз-таки и приводило к возможности обхода для пользователей, у которых был доступ к использованию контента, но у которых не было доступа к отдельным элементам и медиа-контенту. Данная уязвимость затрагивает только версии Drupal 9.3.

Вторая проблема была обнаружена в API-интерфейсе ядра Drupal и описывается как неправильная проверка ввода в некоторых формах дополнительных или пользовательских модулей.

Из-за этой баги потенциальный злоумышленник может ввести запрещенные значения или перезаписать данные. Затронутые формы встречаются редко, но Drupal отмечает, что в некоторых случаях недостатки могут позволить злоумышленнику изменить важные или конфиденциальные данные.

Обе эти уязвимости оцениваются как «умеренно критические», но пользователям тем не менее рекомендуется, как можно скорее обновиться до исправленной версии.

Но сделать это смогут не все, так как ошибки были устранены с выпуском Drupal 9.3.12 и Drupal 9.2.18, а вот версии Drupal 9 до 9.2.x и Drupal 8 достигли статуса окончания срока службы (EOL) и не будут обновляться. Пользователи старющего Drupal 7 могут не переживать, так как эти уязвимости вовсе обошли его стороной.

Обнаружены критические уязвимости в промышленных продуктах SmartPTT и SmartICS российской компании Elcomplus, специализирующейся на производстве средств радиосвязи и промышленной автоматизации.

Авторитетный ресерчер Майкл Хайнцл обнаружил в общей сложности девять уязвимостей в SCADA-продукте Elcomplus SmartPTT, который сочетает в себе возможности SCADA/IIoT с диспетчерским ПО для профессиональных радиосистем. А если учесть и то, что продукты SmartICS также подвержены некоторым уязвимостям, поскольку они имеют общий код.

Уязвимые продукты используются более чем 2000 организациях на территории 90 стран, в том числе и США. Перечень ошибок включает: обход пути, межсайтовые сценарии (XSS), произвольную загрузку файлов, обход авторизации, подделку межсайтовых запросов (CSRF) и проблемы с раскрытием информации.

Эксплуатация уязвимостей может позволить злоумышленнику:
- загружать файлы,
- читать или записывать произвольные файлы в системе,
- получать учетные данные, хранящиеся в открытом виде,
- выполнять различные действия от имени пользователя,
- выполнять произвольный код,
- повышать привилегии до уровня администратора.

В некоторых случаях для эксплуатации требуется аутентификация или взаимодействие с пользователем (например, переход по ссылке или доступ к определенным страницам).

Исследователь уведомил поставщика об уязвимостях через CISA в апреле 2021 года, соответствующие исправления были выпущены в конце 2021 года. Тем не менее, CISA опубликовало два бюллетеня по этим уязвимостям. Пользователям рекомендуется выполнить обновление до версии 2.3.4 или выше.

Эксперты предупреждают о необходимости исправления критической ошибки обхода цифровой подписи в Java.
 
Проблема заключается в реализации в Java 15, Java 16, Java 17 или Java 18 алгоритма цифровой подписи на эллиптических кривых ECDSA, криптографического механизма цифровой подписи сообщений и данных для проверки подлинности и целостности содержимого.
 
CVE-2022-21449 высокой степени серьезности (оценка CVSS: 7,5), влияет на следующие версии Java SE и Oracle GraalVM Enterprise Edition: Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18; и Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2.
 
Уязвимость обнаружил Нил Мэдден из ForgeRock в ноябре 2021 года, отметив, что ее механизм позволяет злоумышленнику подделывать некоторые типы SSL-сертификатов и рукопожатий (что позволяет перехватывать и изменять сообщения), подписанные JWT, SAML assertions, токены идентификаторов OIDC и даже сообщения аутентификации WebAuthn.

Криптографическая ошибка, получившая название Psychic Signatures в Java, позволяет представить полностью пустую подпись, которая по-прежнему будет восприниматься уязвимой реализацией как действительная. Успешное использование уязвимости может позволить злоумышленнику подделать подписи и обойти установленные меры аутентификации. Psychic Signatures приводит к аннулированию целостности любого контента, которая гарантируется электронными подписями.
 
Несмотря на всю серьезность, ошибка была исправлена Oracle только в рамках ежеквартального критического обновления (CPU) в апреле 2022 г., а что печальнее исследователем безопасности Халедом Нассаром опубликован PoC, который наглядно демонстрирует как реализуется обхода цифровой подписи в Java.
 
Так что присоединяемся к OpenJDK и рекомендуем компаниям, использующим Java 15-18 сосредоточится на обновлении систем во избежание активных попыток эксплуатации.

Всем запомнился амбициозный план и обещания Администрации Байдена качественно усилить защиту критической инфраструктуры и правительственного сегмента от современных киберугроз.
 
Правда, итоги очередного Hack DHS немного не вписываются в парадигму новых мер.
 
Участники программы обнаружили 122 уязвимости безопасности во внешних системах Министерства внутренней безопасности США, при этом 27 из них - критические. 450 исследователей заработали до 5000 долларов за ошибку (в зависимости от серьезности уязвимости) и в общем заработали 125 600 долларов США.
 
Программа стартовала в 2019 году после принятия закона о технологиях *SECURE, который обязывает устанавливать политики раскрытия уязвимостей безопасности и программы вознаграждений. Она опирается на опыт аналогичных усилий федерального правительства США: по аналогии с программой Взломать Пентагон и частного сектора.
 
Текущий этап был объявлен в декабре 2021 года. Кроме того, программа 2022 года дополнена у связи с экстренной директивой CISA в отношении критической ошибки Log4Shell.
 
Хакеры по итогам работ раскрывают свои выводы вместе с подробной информацией об уязвимости и о том, как ее можно использовать, в том числе для получения доступа к данным систем DHS. Все заявленные недостатки безопасности затем проверяются экспертами по безопасности DHS в течение 48 часов и исправляются в течение 15 или более дней, в зависимости от сложности ошибки.
 
Либо план оказался настолько плох либо его сабботируют чиновники - разбираться не нам, а вот опыт подобных мероприятий всегда полезен, особенно в условиях современного положения дел в отечественном инфосек.

Отличный обзор реального кейса атаки с использованием ransomware сделали DFIR: 3 часа 44 минуты понадобилось операторам Quantum с момента первоначального доступа и до тотального шифрования по всему домену.

Первоначальным вектором доступа в этом случае была полезная нагрузка IcedID, доставленная в образе ISO по электронной почте (как это делали XingLocker, Conti и REvil).

ISO содержал файл DLL (вредоносное ПО IcedID) и ярлык LNK для его выполнения. После нажатия на ISO отображался только один файл «document», который являлся ярлыком LNK для скрытой библиотеки DLL, упакованной в ISO. После щелчка на файл LNK, выполнялась IcedID DLL.

Вредоносная программа IcedID выполняла ряд задач по обнаружению с использованием встроенных утилит Windows, таких как ipconfig, systeminfo, nltest, net и chcp, а также создавала запланированную задачу для сохранения на хосте. Процесс cmd.exe, инициированный IcedID, также выполнял дополнительные запросы на обнаружение.

Примерно через 2 часа после первоначального заражения разворачивался Cobalt Strike, актор приступал к ручным операциям с помощью Cobalt Strike и RDP.

Актор использовал AdFind через пакетный сценарий для анализа Active Directory в части сбора информации о пользователях, хостах и подсетях в домене. Применяли дополнительный пакетный скрипт ns.bat, который собирал все имена хостов в домене с nslookup указанием IP-адресов.

Перед первым боковым перемещением с занимаемого узла злоумышленник проверял учетные данные и собирал информацию со своего целевого удаленного сервера с помощью WMI. В течение следующего часа злоумышленник применял RDP для горизонтального перемещения к важным узлам.

Как только субъект получил представление о структуре домена, он подготовился к развертыванию ransomware, скопировав программу-вымогатель (с именем ttsel.exe) на каждый хост через общую папку.

Далее злоумышленник использовал комбинацию PsExec и WMI для удаленного запуска программы-вымогателя. При этом злоумышленник использовал параметр «-r» в PsExec для определения пользовательского имени (mstdc) удаленной службы, созданной на целевом хосте (по умолчанию это PSEXESVC). Актор также использовал WMIC, чтобы убедиться, что все удаленные хосты успешно выполнили окончательную полезную нагрузку. 

Развертывание ransomware завершилось сбросом записки с требованием выкупа: README_TO_DECRYPT.html менее чем через четыре часа после первоначального запуска IcedID. После чего на портале Quantum появилась вкладка для создания чата переговоров и установления пароля к нему.

Исследователи отметили, что в записке о выкупе указывалось, что злоумышленник украл данные, однако признаков эксфильтрации обнаружено не было. Однако не исключается, что злоумышленники использовали IcedID или Cobalt Strike для передачи конфиденциальных данных.

Обязательно рекомендуем ознакомиться с полной версией обзора, который наглядно отражает как все происходит в моменте.

͏Популярные решения для управления проектами Jira и Jira Service Management оказались под угрозой, да еще под какой.

На днях Atlassian опубликовала бюллетень по безопасности, чтобы предупредить о том, что их продукты подвержены критической уязвимости обхода аутентификации в Seraph - среде безопасности веб-приложений J2EE, которая используется для обработки запросов.

Уязвимость отслеживается как CVE-2022-0540 и имеет рейтинг серьезности 9,9. Бага позволяет удаленному злоумышленнику обойти аутентификацию, отправив специально созданный HTTP-запрос уязвимым конечным точкам.

Недостаток находится в ядре Jira и затрагивает продукты: Jira Core Server, Software Data Center, Software Server, Service Management Server и Management Data Center.

В Atlassian предупреждают, что злоумышленники могут скомпрометировать решения только в том случае, если они используются с определенной конфигурацией в Seraph, которая подробно описана у поставщика

Серьезность использования CVE-2022-0540 добавляет и тот факт, что Jira может взаимодействовать и со сторонними приложениями и соответственно, используют ли они дополнительные проверки разрешений помимо тех, что указаны в конфигурации Seraph.

Под прямой угрозой два связанных приложения: Insight — Asset Management и Mobile Plugin для Jira. Полный список затронутых приложений можно найти в рекомендациях у Atlassian.

А вот сторонние приложения, например те, которые не представлены в Atlassian Marketplace или разработаны самими клиентами, также подвержены риску, если они используют уязвимую конфигурацию. Так что целесообразно провести ревизию, на предмет использования самописных или сторонних решений.

Пользователям настоятельно рекомендуется обновиться до последних версий, а если в настоящее время это невозможно, то Atlassian рекомендует обновить уязвимые приложения до версии, в которой устранен риск, или отключить уязвимые приложения до тех пор, пока не станет возможным исправление.

Популярность этой уязвимости пока ниже среднего, так как отсутствует публичный эксплойт. Но для желающих сварганить такой эксплойт можно всего до 5000 зеленых.

Обычно мы оперативно информируем о резонансных хакерских атаках или их последствиях, однако вопреки сложившейся практики хотелось бы отметить усилия инфосек-сообщества Республики Иран, которым после череды разрушительных нападений на топливный, транспортный и медиа сектор, удалось дать решительный отпор киберпреступникам.

Об этом сообщило Государственное телевидение Ирана. Киберстражи Исламской Революции AFTA и подведомственные IT-структуры предотвратили массовые кибератаки на национальную инфраструктуру более чем 100 учреждений и организаций.

В опубликованном отчете не называется конкретные цели хакеров, но сообщается, что инциденты происходили последние дни. По следам установлено, что неизвестные злоумышленники хакеры использовали IP-адреса, зарегистрированные в Нидерландах, Великобритании и США.

Хакеры пытались воспользоваться уязвимостями в системе безопасности ПО, которое используется различными организациями в Иране. Кроме того, злоумышленники пытались залить свой контент в скомпрометированные системы.

Безусловно, источники и конкретные обстоятельства недружественных действий властями Ирана может и не оглашаются, но точно прекрасно известны, равно как и понимание вектора ответных мер, которые, как мы видели на практике, принимаются достаточно быстро и эффективно.

͏Очередной пример, когда платформа нацеленная на предостережение от угроз безопасности может сама выступать угрозой.

Энтузиасты из Cysource не поленились и решили отаудировать сам VirusTotal и как оказалось вышло это у них достаточно успешно. Исследователи обнаружили проблему безопасности, которая позволяла использовать платформу VirusTotal в качестве орудия для удаленного выполнения кода (RCE) на сторонних машинах-песочницах, использующих антивирусные движки.

Багу конечно пофиксили еще 13 апреля 2021 года, но для справки из-за возможности RCE потенциальный злоумышленник мог получать доступ к различным возможностям сканирования платформы.

Метод атаки включал загрузку файла DjVu через пользовательский веб-интерфейс платформы с использованием его для запуска эксплойта серьезной уязвимости удаленного выполнения кода в ExifTool - утилите с открытым исходным кодом, используемой для чтения и редактирования метаданных EXIF в изображениях и PDF-файлах.

Недостаток CVE-2021-22204 получил оценку 7,8 по CVSS и рассматривается как уязвимость высокого уровня опасности.

Как мы помним VirusTotal, входит в состав подразделения безопасности Google Chronicle и каждый раз, когда исследователи загружали файл с новой полезной нагрузкой, VirusTotal благополучно отправлял этот файл другим хостам. Таким образом, помимо возможности удалённого выполнения кода, еще и сама нагрузка отправлялась по внутренней сети Google её клиентам и партнёрам.

Кроме того, помимо последствий возможной эксплуатации в системе Google, открывался доступ более чем к 50 хостам, причём доступ был с высокими привилегиями. Вероятно, поэтому ребята не спешили с публичным раскрытием информации об уязвимости.

Весь мир увлеченно следит за тем, как публично хоронят NSO Group с печально известным шпионским ПО Pegasus.
 
Но как мы предполагали, дело вовсе не в борьбе за демократию. Права человека - товар на рынке шпионских технологий, а Израиль вежливо попросили подвинуться.
 
Если применение Pegasus носило целевой характер и реализовывалось по линии спецслужб, то их американские коллеги Anomaly Six отслеживают до 3 миллиардов трубок по всему миру в моменте.
 
За несколько месяцев до начала спецоперации РФ на Украине компания объединилась с Zignal Labs, которые специализируются на наблюдении в соцсетях. Консолидированный ресурс позволил им одним щелчком отследить передвижения российских войск в ходе развертывания вдоль границы с Украиной. Выделить места обучения, дислокации, проживания военнослужащих, а также окружение, связи и маршруты передвижений. В ходе другого кейса аналогичным образом проводился контроль за атомной подводной лодкой КНР.
 
A6 продемонстрировали результаты мониторинга в районе расположения ЧВК «Вагнер» в РФ, на основе которого были выявлены командировки бойцов Ливию, Конго и другие точки. При этом Zignal давали и содержательную оценку активности пользователей в той или иной местности на основе публикаций в соцсетях, легко опровергая, к примеру, легенду об учениях.
 
Виртуозы шпионажа также показали, насколько уязвимы их собственные спецслужбы. Отмониторив штаб-квартиру АНБ в Форт-Мид, штат Мэриленд, и штаб-квартиру ЦРУ в Лэнгли, штат Вирджиния, операторы Anomaly Six смогли срисовать 183 устройства, посетившие обе локации, а также раскрыть их перемещения за рубежом по линии разведки. По возвращении в США одного из объектов контроля проследили прямо до дома.
 
Anomaly Six поставила на поток сбор данных о местоположении пользователей мобильных приложений, запущенный конвейер позволил им отслеживать сотни миллионов людей по всему миру онлайн. Для этих целей используют SDK, о широких возможностях которых мы не так давно писали. В свою очередь, Zignal Labs, имея эксклюзивную технологию парсинга, взяли фактически под контроль публичные коммуникации в Twitter.
 
A6 реализуют от 30 до 60 пингов местоположения на устройство в день, покрывая 230 миллионов устройств в день и добавляя в систему почти 2,5 триллиона локаций ежегодно. В отличие от конкурентов, собирающих местоположения через Bluetooth и Wi-Fi-соединения телефона, компания использует сеть GPS. Каждой локации соответствует пользовательский профиль из базы, включающей более чем 2 миллиардов записей личных данных, которыми пользователи делятся при регистрации в приложениях.
 
Интерфейс ПО визуализирует локаций пользователей в стиле Google Maps, осуществляя поиск как по заданному местоположению (району, городу или даже стране), так и в отношении конкретного абонента.
 
Очевидно, что декларируемые маркетинговые цели стартапа отставных военных никак не соотносятся c реальным функционалом. Поэтому не зря Командование специальных операций США перечислило A6 590 000 долларов в сентябре 2020 года, получив годовой доступ к коммерческому каналу телеметрии фирмы, а Zignal получили примерно 4 миллиона долларов за субподряд в интересах армии США.
 
При этом Anomaly Six на американском рынке далеко не единственные. И все они востребованы РУМО США, которое получает коммерчески доступные базы данных с местоположениями смартфонов без ордеров или прочих формальностей в режиме реального времени.
 
Как после этого жить? Обычным гражданам рекомендуем программно ограничить работу функций геолокации и применять их при необходимости. А спецслужбам, военным и чиновникам придется качественно перестороить работу с учетом новых элементов оперативной обстановки. Еще большими молодцами мы станем, если сами освоим технологию.

​📲 Google запускает функцию толерантной замены слов под названием "inclusive warnings"

Google внедряет в свои сервисы новую технологию распознавания и коррекции текста, которая заставит пользователя избегать использования определенных слов, призывая обойтись более толерантными формулировками без привязки к половой принадлежности, об этом пишет The Telegraph.

Технология под названием "inclusive warnings" будет использоваться как минимум в Google Docs, предлагая пользователю замену таких слов как "policeman" (полицейский) или "landlord" (владелец земли/объекта недвижимости) на что-то более нейтральное, так как эти слова намекают на гендерную принадлежность к мужчине или женщине. По мнению Google, лучшей заменой он видит слова "police officer" и "property owner".

Даже такие технические термины как материнская плата "motherboard" стали жертвами исправления технологии перевода и коррекции слов. Алгоритм считает недопустимым использование в словах "mother", так как это указывает на женский пол, а это уже заявка на нетолерантность к меньшинствам с английской буквой Х в паспорте.

"When Googling John F. Kennedy’s inauguration speech, Google suggests that it should be corrected to ‘for all humankind’ instead of ‘for all mankind"

Некоторые публичные критики уже высказывают своё недовольство в социальных сетях нововведениями компании Google. Директор правозащитной группы Big Brother Watch Силки Карло назвала inclusive warnings “глубоко навязчивой” технологией. Эксперты опасаются того, что навязывание как писать и какие слова использовать может привести к утрате важных смыслов для отдельных пользователей.

“Этот речевой контроль глубоко неуклюж, он жуткий и неправильный, усиливает предвзятость. Подобные агрессивные технологии подрывают частную жизнь, свободу выражения мнений и все большую свободу мысли” - делится размышлениями директор Big Brother Watch

👆Кроме того что Google читает и распознает каждое слово на своих сервисах, теперь вдобавок он ещё подскажет "как и что" писать собеседнику вместо вас.

“With Google’s new assistive writing tool, the company is not only reading every word you type but telling you what to type,” she noted.

А мы предупреждали, что VMware RCE может и будет эксплуатироваться.
 
Так и случилось, согласно данным Morphisec Labs, проиранская АРТ Rocket Kitten нацелился на непропатченные системы, используя недавно исправленную еще 6 апреля уязвимость VMware, чтобы получить первоначальный доступ для разворачивания бэкдора Core Impact в уязвимых системах.
 
Как мы сообщали, CVE-2022-22954 (с оценкой CVSS: 9,8) представляет собой критическую ошибку, связанную с уязвимостью удаленного выполнения кода (RCE) и затрагивающую VMware Workspace ONE Access и Identity Manager.
 
Используя уязвимость RCE, злоумышленник реализует наивысший привилегированный доступ к любым компонентам виртуализированного хоста и гостевой среды.
 
Зафиксированные цепочки атак, использующие уязвимость, включают распространение стейджера на основе PowerShell, который затем используется для инсталляции полезной нагрузки следующего этапа - PowerTrash Loader, которая, в свою очередь, внедряет инструмент Core Impact в память для последующих действий.
 
И по факту хакеры получают широкие возможности управления идентификационными данными VMWare в сочетании с беспрепятственным удаленным доступом, что является отличным плацдармом для дальнейших разрушительных действий на объектах в различных отраслях.
 
Собственно, теперь вы понимаете, что мы имели в виду, когда упоминали сегодня об ответных мерах со стороны Ирана, которые могут последовать после отраженной массированной кибератаки.

͏Известный мотив рекламной кампании Coca-Cola теперь напевают вымогатели Stormous, которые ожидают выкупа от крупнейшего в мире производителя безалкогольных напитков.

Хакеры сообщили об успешной атаке на часть серверов американского производителя и анонсировали 161 ГБ украденных данных. Среди упомянутых файлов присутствуют документы, текстовые файлы с админскими аутентификационными данными (электронная почта и паролями), ZIP-архивы учетных записей и платежей, а такж другая конфиденциальная информация.

Coca-Cola подтвердила кибератаку на свою сеть, и в настоящее время она проводит собственное расследование, каких-либо негативных последствий в виде ransomware пока не обнаружено. Привлечены правоохранители.

Неожиданно удивила сумма выкупа, которая составила 1,65 биткойна или примерно 64 000 долларов США. Причем, впервые хакеры опубликовали перечень похищенных сведений.

Атака состоялась после того, как подписчика канала вымогателей проголосовали за очередную жертву, выбрав большинством голосов Coca-Cola (72% проголосовавших). Хакеры обещали DDoS, кражу исходного кода и клиентских сведений. Со слов хакеров, для взлома им потребовалось всего лишь несколько дней.

Если ранее исследователи высказывали сомнения относительно результатов недавних кампаний Stormous, то сейчас инцидент с Coca-Cola должен расставить все точки.

Госдепартамент США в рамках программы Награда за правосудие предложили до 10 млн. американских расовых долларов за информацию о шести гражданах России, которых американцы называют членами APT Sandworm и сотрудниками ГРУ.

Безотносительно нашего мнения по поводу объективности выдвинутых ранее в отношении указанных лиц обвинений хочется задать один вопрос.

А как отнесется Госдеп к тому, что за членов APT Equation предложат пару миллионов кубометров газа с поставкой в октябре 2022 года?

В коем веке Microsoft нашла критические уязвимости не только у себя, а еще и в операционной системе Linux.

Вчера специалисты из Редмонда раскрыли две уязвимости, которые  могут позволить локальным злоумышленникам повышать привилегии в системах Linux для развертывания вредоносных программ, начиная от бэкдоров и заканчивая программами-вымогателями.

Эти уязвимости, получившие общее название Nimbuspwn, могут быть объединены в цепочку для получения привилегий суперпользователя в системах Linux, позволяя злоумышленникам развертывать полезную нагрузку и выполнять другие вредоносные действия посредством выполнения произвольного кода. Кроме того, уязвимости - отслеживаемые как CVE-2022-29799 и CVE-2022-29800 - также могут быть использованы в качестве вектора для корневого доступа при развертывании более сложных угроз, таких как ransomware.

Недостатки кроются в компоненте networkd-dispatcher - демоне, который отправляет изменения статуса соединения на машинах Linux. В частности, они связаны с комбинацией недостатков обхода каталога (CVE-2022-29799) и так называемой Time-of-check-time-of-use (TOCTOU) (CVE-2022-29800) - уязвимости состояния гонки, это когда приложению, настроенному для управления функциями в фиксированной последовательности, требуется выполнить две или более операций одновременно.

Таким образом первую уязвимость хакеры могут использовать, чтобы выйти из базового каталога «/etc/networkd-dispatcher», а вторую для замены сценариев, которые networkd-dispatcher считает принадлежащими root, на вредоносные сценарии по выбору злоумышленника. Чтобы убедиться, что Linux выполняет предоставленный злоумышленником вредоносный сценарий, а не легитимный, он запускает несколько сценариев, пока один из них не сработает.

В итоге, хакер с минимальным доступом к уязвимому рабочему столу может объединить эксплойты для этих уязвимостей, которые дают ему полный root.

В данной связи, пользователям networkd-dispatcher настоятельно рекомендуется обновиться до последней версии, чтобы уменьшить потенциальную угрозу, возникающую в результате использования уязвимостей.

Количество киберугроз на российские компании продолжает расти.

Что будет в 2022?

«По статистике 86% всех атак были направлены на организации, и если раньше мы видели десятки атак в месяц, то сейчас столкнулись с сотнями тысяч в неделю. Хакеры моментально собираются в команды из порой даже незнакомых людей, чтобы совершить быструю и массовую DDoS-атаку.

Проблема в том, что сценарии адаптированы под конкретную жертву, что повышает шансы на успешную кибератаку. Бизнесу приходится адаптироваться к этим условиям на ходу», - рассказал Директор экспертного центра безопасности Positive Technologies Алексей Новиков.

Важно понимать, что жертвой атаки может стать любая компания, но последствия атаки зависят от заранее принятых мер по кибербезопасности.

На канале IT’s positive investing представлена актуальная и важная информация о кибербезопасности и грамотных инвестициях в перспективный сектор, который продолжает активно развиваться.

Подписывайтесь, чтобы узнавать все новости первыми!

Решения для разработки корпоративного программного обеспечения WSO2 подвержены критической уязвимости, которая использовалась в дикой природе.

WSO2 является крупнейшим в мире поставщиком интеграционных решений с открытым исходным кодом, которые могут быть эффективно использованы организациями с цифровым ведением бизнеса. Компания обладает гибридной платформой и предлагает комплексное решение, включающее более чем 20 продуктов.

Разработки компании используются многими крупными компаниями по всему миру, в том числе организациями из списка Fortune 500, в том числе eBay, Cisco, Boeing и др. С использованием технологий интеграции WSO2 выполняется более пяти триллионов транзакций ежегодно, реализуются критически-важные задачи.

Обнаруженная уязвимость отслеживается как CVE-2022-29464 и затрагивает продукты WSO2 API Manager, Identity Server, Enterprise Integrator и Open Banking. Ошибка была обнаружена Orange Tsai из DEVCORE. Исследователь описал ее как проблему с загрузкой произвольного файла, которая может привести к удаленному выполнению кода.

Из-за неправильной проверки пользовательского ввода злоумышленник может загрузить произвольный файл в контролируемое пользователем место на сервере. Используя уязвимость загрузки произвольных файлов, можно получить удаленное выполнение кода на сервере.

Технические подробности уязвимости раскрыты, доступен и PoC. Исследователи Rapid7 обнаружили попытки эксплуатации баги в дикой природе. Эксплуатация довольно проста, в связи с чем злоумышленники, по всей видимости, придерживаются первоначального эксплойта и сбрасывают веб-оболочки и майнеры на эксплуатируемые цели. Bad Packets также подтверждают наблюдения своих коллег.

В рекомендациях по CVE-2022-29464 поставщик отметил, что временные меры по снижению риска были уже доступны в январе 2022 года, а исправления вышли в феврале. Пользователям платформы WSO2 рекомендуется как можно скорее устранить уязвимость в соответствии с инструкциями, представленными в бюллетене WSO2.

Логическая ошибка в диспетчере пакетов по умолчанию для среды выполнения JavaScript Node.js открывала возможности для злоумышленников, позволявших выдавать мошеннические библиотеки за доверенные, вводя в заблуждение ничего не подозревающих разработчиков.

Основная фитча заключалась в том, что до недавнего времени NPM позволял добавлять любого в качестве сопровождающего пакета без уведомления этих пользователей или получения их согласия. Фактически злоумышленник мог создавать пакеты с вредоносными ПО и назначать авторитетных специалистов на их сопровождение без их ведома. При этом в качестве своего рода «гарантов» для фейковых пакетов выбирались владельцы уже известных и популярных среди разработчиков библиотек NPM.

Обнаружившие багу исследователи из компании Aqua назвали такую угрозу цепочке поставок «подсадкой пакетов».

В добавок к имеющейся, ресерчеры Aqua обнаружила еще две уязвимости в платформе NPM, связанные с двухфакторной аутентификацией (2FA), которыми можно было злоупотреблять для облегчения атак с захватом учетных записей и публикации вредоносных пакетов.

Сведения об ошибках были раскрыты 10 февраля, а 26 апреля NPM устранил причины возникавших проблем. Конечно же, разработчики несут ответственность за то, какие пакеты с открытым исходным кодом они используют при создании приложений.

Вместе с тем, после недавних инцидентов злонамеренной модификации кода со стороны владельцев пакетов, по нашему мнению, ответственность распределяется по всей цепочке зависимостей: доверяя, не забывай проверять.

Google выпустила Chrome 101 с 30 исправлениями безопасности, в том числе для 25 уязвимостей, обнаруженных внешними исследователями безопасности.

Наиболее серьезная проблема, исправленная в новой версии - ошибка CVE-2022-1477, связанная с использованием после освобождения в 3D-графике и вычислении открытого стандарта Vulkan. О ней сообщил SeongHwan Park (SeHwa), который получил за нее вознаграждение в размере 10 000 долларов США.

В Chrome 101 также устранены 6 других серьезных недостатков, четыре из которых представляют собой уязвимости использования после освобождения, которые влияют на модуль 3D-рендеринга SwiftShader, серверную часть Angle WebGL, API устройства и компонент совместного использования.

Google заявляет, что выплатила по 7000 долларов в качестве вознаграждения за каждую уязвимость в SwiftShader и Angle, а также 6000 и 5000 долларов за проблемы, влияющие на Device API и Sharing соответственно.

Две другие серьезные ошибки, исправленные в последнем выпуске Chrome, — это баги неправильной реализации в WebGL и уязвимость переполнения буфера кучи в WebGPU. Об этих проблемах сообщили Кристоф Диль из Microsoft и Марк Бранд из Google Project Zero. 

Компания за 15 из оставшихся проблем, найденных внешними исследователями, выплатила $82 000 в качестве вознаграждения, но окончательная сумма может быть больше, так как вознаграждение за одну уязвимость еще не определено.

Google не сообщает о каких-либо уязвимостях, которые использовались в дикой природе. Последняя версия Chrome теперь доступна для пользователей Windows, macOS и Linux как Chrome 101.0.4951.41.