Специалисты в области облачной безопасности Wiz, раскрывшие схему глобального шпионажа на основе уязвимостей DNSaaS, на этот раз порадовали новыми результатами исследований, обнаружив критические уязвимости в облачных сервисах Microsoft.
Выявленные баги в совокупности отслеживаются как ExtraReplica (ошибки затрагивают облачные сервисы, идентификаторы CVE не назначались) — название связано с тем, что уязвимости затрагивали функцию репликации базы данных. Они затрагивают базу данных Azure для гибкого сервера PostgreSQL — полностью управляемую базу данных как услугу PostgreSQL.
Используя ошибку с повышенными правами доступа в процессе аутентификации гибкого сервера для пользователя репликации, злоумышленник может использовать неправильно привязанное регулярное выражение для обхода аутентификации и получения доступа к базам данных других клиентов.
Ресерчеры уведомили об уязвимостях Microsoft 11 января 2022 года, в течение 48 часов разработчики исправили проблемы, выплатив 40 000 долларов США специалистам, обнаружившим багу, в качестве вознаграждения.
По результатам собственного расследования, Microsoft не смогли обнаружить злонамеренной эксплуатации уязвимостей в дикой природе, впрочем как понять сколько баз данных было подвержено уязвимостям. По мнению Wiz, клиенты Azure для гибкого сервера PostgreSQL в любом регионе, настроенном на доступ к общедоступной сети, независимо от правил брандмауэра, были уязвимы. При этом ошибка не распространялось на экземпляры с одним сервером или гибкие серверы с явной конфигурацией сети виртуальной сети.
Исследователи выявили две уязвимости: недостаток повышения привилегий и обход аутентификации между учетными записями с использованием поддельного сертификата.
В ходе атаки ExtraReplica злоумышленнику для начала необходимо идентифицировать целевой экземпляр PostgreSQL Flexible Server и получить его общее имя и уникальный идентификатор из служб прозрачности сертификатов. Затем добыть специально созданный сертификат с поддельным общим именем, совпадающим с именем цели.
На следующем этапе злоумышленник должен определить целевой регион Azure, сопоставив IP-адрес домена базы данных с общедоступными диапазонами IP-адресов Azure, и создать базу данных в этом регионе.
Только после этого хакер мог использовать первую уязвимость в своем собственном экземпляре, чтобы повысить привилегии и добиться выполнения произвольного кода, получая возможность сканировать подсеть в поисках целевого экземпляра и эксплуатации уязвимости обхода аутентификации для обеспечения доступа к чтению в целевой базе данных с конфиденциальными данными.
Наглядно атака ExtraReplica представлена в демонстрационном видео.
Выявленные баги в совокупности отслеживаются как ExtraReplica (ошибки затрагивают облачные сервисы, идентификаторы CVE не назначались) — название связано с тем, что уязвимости затрагивали функцию репликации базы данных. Они затрагивают базу данных Azure для гибкого сервера PostgreSQL — полностью управляемую базу данных как услугу PostgreSQL.
Используя ошибку с повышенными правами доступа в процессе аутентификации гибкого сервера для пользователя репликации, злоумышленник может использовать неправильно привязанное регулярное выражение для обхода аутентификации и получения доступа к базам данных других клиентов.
Ресерчеры уведомили об уязвимостях Microsoft 11 января 2022 года, в течение 48 часов разработчики исправили проблемы, выплатив 40 000 долларов США специалистам, обнаружившим багу, в качестве вознаграждения.
По результатам собственного расследования, Microsoft не смогли обнаружить злонамеренной эксплуатации уязвимостей в дикой природе, впрочем как понять сколько баз данных было подвержено уязвимостям. По мнению Wiz, клиенты Azure для гибкого сервера PostgreSQL в любом регионе, настроенном на доступ к общедоступной сети, независимо от правил брандмауэра, были уязвимы. При этом ошибка не распространялось на экземпляры с одним сервером или гибкие серверы с явной конфигурацией сети виртуальной сети.
Исследователи выявили две уязвимости: недостаток повышения привилегий и обход аутентификации между учетными записями с использованием поддельного сертификата.
В ходе атаки ExtraReplica злоумышленнику для начала необходимо идентифицировать целевой экземпляр PostgreSQL Flexible Server и получить его общее имя и уникальный идентификатор из служб прозрачности сертификатов. Затем добыть специально созданный сертификат с поддельным общим именем, совпадающим с именем цели.
На следующем этапе злоумышленник должен определить целевой регион Azure, сопоставив IP-адрес домена базы данных с общедоступными диапазонами IP-адресов Azure, и создать базу данных в этом регионе.
Только после этого хакер мог использовать первую уязвимость в своем собственном экземпляре, чтобы повысить привилегии и добиться выполнения произвольного кода, получая возможность сканировать подсеть в поисках целевого экземпляра и эксплуатации уязвимости обхода аутентификации для обеспечения доступа к чтению в целевой базе данных с конфиденциальными данными.
Наглядно атака ExtraReplica представлена в демонстрационном видео.
wiz.io
Wiz Research discovers "ExtraReplica"— a cross-account database vulnerability in Azure PostgreSQL | Wiz Blog
Wiz Research discovers a chain of critical vulnerabilities in the widely used Azure Database for PostgreSQL Flexible Server.
Synology предупредила клиентов об уязвимости ее сетевых хранилищ NAS перед атаками с использованием критических уязвимостей Netatalk.
Netatalk — это реализация с открытым исходным кодом AFP (сокращение от Apple Filing Protocol), которая позволяет системам с *NIX/*BSD выступать в качестве файловых серверов AppleShare (AFP) для клиентов macOS (т. е. получать доступ к файлам, хранящимся на устройствах Synology NAS).
К настоящему моменту Synology работают над тремя критическими ошибками (CVE-2022-23125, CVE-2022-23122 и CVE-2022-0194), которые также позволяют злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять произвольный код на устройствах.
Ошибки позволяют удаленным злоумышленникам получать конфиденциальную информацию и, потенциально, выполнять произвольный код в Synology DiskStation Manager (DSM) и Synology Router Manager (SRM).
Впервые уязвимостью в системе безопасности CVE-2022-23121 с оценкой серьезности 9,8 воспользовались EDG группы NCC для удаленного выполнения кода без аутентификации на сетевом хранилище Western Digital PR4100 с прошивкой My Cloud OS в рамках Pwn2Own 2021. Спустя три месяца команда разработчиков Netatalk исправила ошибки безопасности, выпустив 22 марта версию 3.1.1.
Однако производители еще не успели выпустить исправления для своих продуктов.
Synology обещают выпустить исправления в срок, не превышающий 90 дней, а для устройств, работающих под управлением DiskStation Manager (DSM) 7.1 или более поздней версии, уязвимости Netatalk уже исправлены.
Куда хуже дела обстоят у QNAP, уязвимости Netatalk затрагивают несколько версий операционной системы QTS и QuTS, а также QuTScloud, оптимизированную для облачных вычислений операционную систему NAS компании.
Специалисты при этом также работают не только над исправлениями Netatalk, но и над Dirty Pipe и уязвимостями OpenSSL.
В виду неизбежности производитель призвал своих клиентов отключить протокол файловой службы AFP своих устройств NAS, пока он не исправит критические недостатки безопасности.
П - поддержка.
Netatalk — это реализация с открытым исходным кодом AFP (сокращение от Apple Filing Protocol), которая позволяет системам с *NIX/*BSD выступать в качестве файловых серверов AppleShare (AFP) для клиентов macOS (т. е. получать доступ к файлам, хранящимся на устройствах Synology NAS).
К настоящему моменту Synology работают над тремя критическими ошибками (CVE-2022-23125, CVE-2022-23122 и CVE-2022-0194), которые также позволяют злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять произвольный код на устройствах.
Ошибки позволяют удаленным злоумышленникам получать конфиденциальную информацию и, потенциально, выполнять произвольный код в Synology DiskStation Manager (DSM) и Synology Router Manager (SRM).
Впервые уязвимостью в системе безопасности CVE-2022-23121 с оценкой серьезности 9,8 воспользовались EDG группы NCC для удаленного выполнения кода без аутентификации на сетевом хранилище Western Digital PR4100 с прошивкой My Cloud OS в рамках Pwn2Own 2021. Спустя три месяца команда разработчиков Netatalk исправила ошибки безопасности, выпустив 22 марта версию 3.1.1.
Однако производители еще не успели выпустить исправления для своих продуктов.
Synology обещают выпустить исправления в срок, не превышающий 90 дней, а для устройств, работающих под управлением DiskStation Manager (DSM) 7.1 или более поздней версии, уязвимости Netatalk уже исправлены.
Куда хуже дела обстоят у QNAP, уязвимости Netatalk затрагивают несколько версий операционной системы QTS и QuTS, а также QuTScloud, оптимизированную для облачных вычислений операционную систему NAS компании.
Специалисты при этом также работают не только над исправлениями Netatalk, но и над Dirty Pipe и уязвимостями OpenSSL.
В виду неизбежности производитель призвал своих клиентов отключить протокол файловой службы AFP своих устройств NAS, пока он не исправит критические недостатки безопасности.
П - поддержка.
Nccgroup
Cyber Security Research
Cutting-edge cyber security research from NCC Group. Find public reports, technical advisories, analyses, & other novel insights from our global experts.
Forwarded from Russian OSINT
🇺🇸👮Подрядчик АНБ и ЦРУ получил престижную награду за технологию мониторинга DarkWeb
Технология CACI Dark Web Analytics компании CACI International Inc получила престижную награду Edison Award Gold за платформу DarkBlue Intelligence Platform - облачную технологию анализа данных, распространяемой по модели Software-as-a-Service («ПО как услуга») и разработанную аналитиками для аналитиков, чтобы помочь агентствам в поиске и анализе критически важных данных в Deep Web, DarkNet и на некоторых OSINT платформах. В CACI работает около 22 000 сотрудников.
Ни для кого не секрет, что система мониторинга 🕷Даркента "DarkBlue" широко используется оборонными предприятиями, спецслужбами и разведкой. Изначально технология была разработана компанией Bluestone Analytics, лидером в области сбора и анализа информации в Дарке, но позже была приобретена компанией CACI в 2021 году.
"Для CACI большая честь получить награду Edison Award за платформу DarkBlue Intelligence Platform для углубленных цифровых расследований и выявления уникальных угроз. Эта награда - дань уважения инновационным сотрудникам CACI, которые разработали эту уникальную технологию для поддержки национальной безопасности". - СEO CACI Джон Менгуччи.
Премия Edison Awards присуждается за инновации, продукты, услуги самого высокого уровня, а также ими награждаются лидеры отрасли. Эти награды являются одними из наиболее высоко ценимых и престижных, ими отмечаются образцовые технологии и инновации. Важно отметить, компания CACI получает награду Edison Award уже в третий раз и второй год подряд.
Что под капотом "DarkBlue"? Платформа предоставляет доступ к более чем 5 миллиардам записей c возможностью высокоэффективного поиска и фильтрации данных. В основе технологии лежит искусственный интеллект (ИИ), способный точечно обнаруживать и отыскивать высокоценную информацию для конкретных задач.
👆Спецслужбы США всё больше ресурсов вкладывают в инструменты киберразведки с использованием ИИ.
Технология CACI Dark Web Analytics компании CACI International Inc получила престижную награду Edison Award Gold за платформу DarkBlue Intelligence Platform - облачную технологию анализа данных, распространяемой по модели Software-as-a-Service («ПО как услуга») и разработанную аналитиками для аналитиков, чтобы помочь агентствам в поиске и анализе критически важных данных в Deep Web, DarkNet и на некоторых OSINT платформах. В CACI работает около 22 000 сотрудников.
Ни для кого не секрет, что система мониторинга 🕷Даркента "DarkBlue" широко используется оборонными предприятиями, спецслужбами и разведкой. Изначально технология была разработана компанией Bluestone Analytics, лидером в области сбора и анализа информации в Дарке, но позже была приобретена компанией CACI в 2021 году.
"Для CACI большая честь получить награду Edison Award за платформу DarkBlue Intelligence Platform для углубленных цифровых расследований и выявления уникальных угроз. Эта награда - дань уважения инновационным сотрудникам CACI, которые разработали эту уникальную технологию для поддержки национальной безопасности". - СEO CACI Джон Менгуччи.
Премия Edison Awards присуждается за инновации, продукты, услуги самого высокого уровня, а также ими награждаются лидеры отрасли. Эти награды являются одними из наиболее высоко ценимых и престижных, ими отмечаются образцовые технологии и инновации. Важно отметить, компания CACI получает награду Edison Award уже в третий раз и второй год подряд.
Что под капотом "DarkBlue"? Платформа предоставляет доступ к более чем 5 миллиардам записей c возможностью высокоэффективного поиска и фильтрации данных. В основе технологии лежит искусственный интеллект (ИИ), способный точечно обнаруживать и отыскивать высокоценную информацию для конкретных задач.
👆Спецслужбы США всё больше ресурсов вкладывают в инструменты киберразведки с использованием ИИ.
͏Cisco выпустила рекомендации по безопасности для Cisco Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) и Firepower Management Center (FMC).
Производитель упоминает в общей сложности 19 уязвимостей в продуктах безопасности Cisco, в том числе 11, которым присвоена «высокая» степень серьезности.
Наиболее серьезная из них CVE-2022-20746 (с оценкой CVSS 8,8) затрагивает безопасность FTD, которая возникает из-за неправильной обработки потоков TCP и может быть использована удаленно без аутентификации, чтобы вызвать состояние DoS. Для этого злоумышленнику необходимо отправить созданный поток TCP-трафика через уязвимое устройство, что позволит перезагрузить устройство и приведет к DoS.
Проблем а решения с выпуском версий FDT 6.6.5.2 и 7.1.0.1. Компания также планирует включение исправлений в выпуски FDT 6.4.0.15 и 7.0.2 в следующем месяце. Несколько других DoS-уязвимостей высокой степени серьезности, которые также влияют на ASA, были устранены в выпусках ASA 9.12.4.38, 9.14.4, 9.15.1.21, 9.16.2.14 и 9.17.1.7.
Другие пропатченные ошибки могут привести к повышению привилегий или к фальсификации данных, передаваемых через VPN-туннель IPsec IKEv2.
Cisco также устранила специфичную для ASA уязвимость, которая позволяет злоумышленнику получить доступ к памяти процесса, содержащей конфиденциальную информацию.
Злоумышленник может воспользоваться этой уязвимостью, загрузив специальный файл на устройство, на котором запущено уязвимое программное обеспечение, что позволит ему сохранить вредоносные файлы на устройстве, к которым он может получить доступ позже для проведения дополнительных атак, включая выполнение произвольного кода на пораженном устройстве с привилегиями root.
На этой неделе также вышли выпуски 6.6.5.2 и 7.1.0.1 Firepower Management Center (FMC), которые устраняют уязвимость обхода системы безопасности, которую можно использовать удаленно.
Бюллетень также подробно описывает исправления для восьми уязвимостей средней степени серьезности в рассмотренных продуктах.
Сложно сказать, насколько актуальны будут все исправления для отечественного сегмента в будущем, но на текущий момент железо пока используется и работает.
Производитель упоминает в общей сложности 19 уязвимостей в продуктах безопасности Cisco, в том числе 11, которым присвоена «высокая» степень серьезности.
Наиболее серьезная из них CVE-2022-20746 (с оценкой CVSS 8,8) затрагивает безопасность FTD, которая возникает из-за неправильной обработки потоков TCP и может быть использована удаленно без аутентификации, чтобы вызвать состояние DoS. Для этого злоумышленнику необходимо отправить созданный поток TCP-трафика через уязвимое устройство, что позволит перезагрузить устройство и приведет к DoS.
Проблем а решения с выпуском версий FDT 6.6.5.2 и 7.1.0.1. Компания также планирует включение исправлений в выпуски FDT 6.4.0.15 и 7.0.2 в следующем месяце. Несколько других DoS-уязвимостей высокой степени серьезности, которые также влияют на ASA, были устранены в выпусках ASA 9.12.4.38, 9.14.4, 9.15.1.21, 9.16.2.14 и 9.17.1.7.
Другие пропатченные ошибки могут привести к повышению привилегий или к фальсификации данных, передаваемых через VPN-туннель IPsec IKEv2.
Cisco также устранила специфичную для ASA уязвимость, которая позволяет злоумышленнику получить доступ к памяти процесса, содержащей конфиденциальную информацию.
Злоумышленник может воспользоваться этой уязвимостью, загрузив специальный файл на устройство, на котором запущено уязвимое программное обеспечение, что позволит ему сохранить вредоносные файлы на устройстве, к которым он может получить доступ позже для проведения дополнительных атак, включая выполнение произвольного кода на пораженном устройстве с привилегиями root.
На этой неделе также вышли выпуски 6.6.5.2 и 7.1.0.1 Firepower Management Center (FMC), которые устраняют уязвимость обхода системы безопасности, которую можно использовать удаленно.
Бюллетень также подробно описывает исправления для восьми уязвимостей средней степени серьезности в рассмотренных продуктах.
Сложно сказать, насколько актуальны будут все исправления для отечественного сегмента в будущем, но на текущий момент железо пока используется и работает.
В дикой природе замечен Bumblebee и к сожалению речь не о трансформере, который защищает человечество от плохих пришельцев, а о новом загрузчике вредоносных программ, используемом далеко не в самых благих намерениях, как вы понимаете.
Кибергруппировки, которые ранее использовали BazaLoader и IcedID в рамках своих кампаний по распространению вредоносных программ, вооружились новой малварью под названием Bumblebee, который сейчас находится в активной разработке.
Как сообщают специалисты из Proofpoint, кампании по распространению нового загрузчика, начались в марте 2022 года, при этом они частично совпадают с действиями банд Conti и Diavol, что вероятно может выступать в качестве предвестника атак программ-вымогателей. Собственно исследователи прямо так и заявили, что «субъекты угроз, использующие Bumblebee, связаны с полезными нагрузками, которые в свою очередь использовались в последующих кампаниях по вымогательству».
Bumblebee написан на C++ и спроектирован так, чтобы действовать как загрузчик для выполнения полезных нагрузок следующего этапа, включая Cobalt Strike, Sliver, Meterpreter и др.
Интересно, что рост числа обнаружений загрузчика в ландшафте угроз соответствует падению числа развертываний BazaLoader с февраля 2022 года, еще одного популярного загрузчика, используемого для доставки программ шифрования файлов и разработанного канувшей в лету бандой TrickBot, которая с тех пор была национализирована Conti.
Вектор атак, распространяющих Bumblebee, реализуется посредством фишинговых приманок электронной почты под брендом DocuSign, включающих вредоносные ссылки или вложения HTML, которые приводили потенциальных жертв к файлу ISO, размещенному на Microsoft OneDrive. Более того, встроенный URL-адрес во вложении HTML использовал систему перенаправления трафика (TDS), известную как Prometheus и доступную для продажи на закрытых хакерских площадках всего за 250 баксов в месяц.
Загрузчик необычен тем, что большая его часть стянута в одну функцию, не смотря на то, что большинство вредоносных программ разбивают инициализацию, отправку запросов и обработку ответов. Кроме того, его конфигурация хранится в виде открытого текста, хотя исследователи Proofpoint предполагают, что в будущем будут использоваться функции обфускации.
Также Bumblebee включает в себя сложные методы, позволяющие избежать обнаружения, и пока находится на активной стадии развития. Так, за последний месяц добавлены такие методы, как проверка против виртуальных машин и песочниц, а совсем недавно добавлен уровень шифрования в собственные процедуры сетевой связи, а также проверки, которые определяют, используются ли инструменты для анализа вредоносных программ в целевой системе или нет.
Малварь довольно сложная и демонстрирует постоянную активную разработку, в которой используются новые методы уклонения от обнаружения. Предполагаем, что очень скоро мы осветим не один incident response с его участием.
Кибергруппировки, которые ранее использовали BazaLoader и IcedID в рамках своих кампаний по распространению вредоносных программ, вооружились новой малварью под названием Bumblebee, который сейчас находится в активной разработке.
Как сообщают специалисты из Proofpoint, кампании по распространению нового загрузчика, начались в марте 2022 года, при этом они частично совпадают с действиями банд Conti и Diavol, что вероятно может выступать в качестве предвестника атак программ-вымогателей. Собственно исследователи прямо так и заявили, что «субъекты угроз, использующие Bumblebee, связаны с полезными нагрузками, которые в свою очередь использовались в последующих кампаниях по вымогательству».
Bumblebee написан на C++ и спроектирован так, чтобы действовать как загрузчик для выполнения полезных нагрузок следующего этапа, включая Cobalt Strike, Sliver, Meterpreter и др.
Интересно, что рост числа обнаружений загрузчика в ландшафте угроз соответствует падению числа развертываний BazaLoader с февраля 2022 года, еще одного популярного загрузчика, используемого для доставки программ шифрования файлов и разработанного канувшей в лету бандой TrickBot, которая с тех пор была национализирована Conti.
Вектор атак, распространяющих Bumblebee, реализуется посредством фишинговых приманок электронной почты под брендом DocuSign, включающих вредоносные ссылки или вложения HTML, которые приводили потенциальных жертв к файлу ISO, размещенному на Microsoft OneDrive. Более того, встроенный URL-адрес во вложении HTML использовал систему перенаправления трафика (TDS), известную как Prometheus и доступную для продажи на закрытых хакерских площадках всего за 250 баксов в месяц.
Загрузчик необычен тем, что большая его часть стянута в одну функцию, не смотря на то, что большинство вредоносных программ разбивают инициализацию, отправку запросов и обработку ответов. Кроме того, его конфигурация хранится в виде открытого текста, хотя исследователи Proofpoint предполагают, что в будущем будут использоваться функции обфускации.
Также Bumblebee включает в себя сложные методы, позволяющие избежать обнаружения, и пока находится на активной стадии развития. Так, за последний месяц добавлены такие методы, как проверка против виртуальных машин и песочниц, а совсем недавно добавлен уровень шифрования в собственные процедуры сетевой связи, а также проверки, которые определяют, используются ли инструменты для анализа вредоносных программ в целевой системе или нет.
Малварь довольно сложная и демонстрирует постоянную активную разработку, в которой используются новые методы уклонения от обнаружения. Предполагаем, что очень скоро мы осветим не один incident response с его участием.
Proofpoint
This isn't Optimus Prime's Bumblebee but it's Still Transforming | Proofpoint US
Key Findings Proofpoint has tracked a new malware loader called Bumblebee used by multiple crimeware threat actors previously observed delivering BazaLoader and IcedID. Several threat
Два года назад мы делали обзор на АРТ TA410, фишинговые кампании которой на поставщиков энергетических услуг по всей территории США в 2019 году попали в поле зрения калифорнийской инфосек компании Proofpoint.
АРТ использовала написанные на высоком уровне трояны удаленного доступа (RAT) LookBack и FlowCloud с серьезным функционалом: доступ к буферу обмена, приложениям, клавиатуре, мыши, изображению экрана, файлам, службам и процессам, а также фильтрация полученной информации по заданным параметрам.
Proofpoint на тот момент увидели сходство по TTPs между TA410 и APT10 aka Stone Panda, н окончательный вывод не смогли сделать, полагаясь на подделку TTPs для указания на ожного исполнителя киберкампании. Позже деятельность АРТ отслеживали под условным наименованием TALONITE ресерчеры Dragos, отметившие склонность злоумышленника смешивать методы и тактики, чтобы обеспечить успешное вторжение.
Наблюдения за АРТ продолжили исследователи ESET, которым удалось выяснить, что TA410 состоит из трех команд: FlowingFrog, LookingFrog и JollyFrog, работающих независимо, но имеющих общую группу доступа, сетевую инфраструктуру, а также стратегию разведки.
TA410 был замечен в атаках на американские организации в сфере коммунальных услуг, дипломатические учреждения на Ближнем Востоке и в Африке, производственную компанию в Японии, горнодобывающий бизнес в Индии и благотворительную организацию в Израиле.
Кроме того, исследователи ESET увидели новую версию FlowCloud, которая позволяет записывать звук с помощью микрофона компьютера, отслеживать события буфера обмена и управлять подключенными камерами для съемки. Помимо фишинга TA410 также сосредоточились на уязвимых интернет-приложениях, прежде всего, Microsoft Exchange, SharePoint и SQL Server, для получения начального доступа.
При этом каждая команда в TA410 использует разные наборы инструментов. JollyFrog полагается на готовые вредоносные программы, такие как QuasarRAT и Korplug (он же PlugX), LookingFrog использует X4, базовый имплантат с функциями удаленного управления, и LookBack.
FlowingFrog применяет загрузчик Tendyron, который доставляется с помощью Royal Road RTF, используя его для загрузки FlowCloud, а также второй бэкдор, основанный на Gh0stRAT (он же Farfli).
По мнению ESET, АРТ TA410 представляет профессиональный хакерский синдикат, реализующий целевые атаки на достаточно высоком уровне координации и оснащения. Опять же все больше доводов о том, что TA410 является самостоятельной АРТ, о чем свидетельствует зонтичная структура. Но утверждать не будем, поглядим.
АРТ использовала написанные на высоком уровне трояны удаленного доступа (RAT) LookBack и FlowCloud с серьезным функционалом: доступ к буферу обмена, приложениям, клавиатуре, мыши, изображению экрана, файлам, службам и процессам, а также фильтрация полученной информации по заданным параметрам.
Proofpoint на тот момент увидели сходство по TTPs между TA410 и APT10 aka Stone Panda, н окончательный вывод не смогли сделать, полагаясь на подделку TTPs для указания на ожного исполнителя киберкампании. Позже деятельность АРТ отслеживали под условным наименованием TALONITE ресерчеры Dragos, отметившие склонность злоумышленника смешивать методы и тактики, чтобы обеспечить успешное вторжение.
Наблюдения за АРТ продолжили исследователи ESET, которым удалось выяснить, что TA410 состоит из трех команд: FlowingFrog, LookingFrog и JollyFrog, работающих независимо, но имеющих общую группу доступа, сетевую инфраструктуру, а также стратегию разведки.
TA410 был замечен в атаках на американские организации в сфере коммунальных услуг, дипломатические учреждения на Ближнем Востоке и в Африке, производственную компанию в Японии, горнодобывающий бизнес в Индии и благотворительную организацию в Израиле.
Кроме того, исследователи ESET увидели новую версию FlowCloud, которая позволяет записывать звук с помощью микрофона компьютера, отслеживать события буфера обмена и управлять подключенными камерами для съемки. Помимо фишинга TA410 также сосредоточились на уязвимых интернет-приложениях, прежде всего, Microsoft Exchange, SharePoint и SQL Server, для получения начального доступа.
При этом каждая команда в TA410 использует разные наборы инструментов. JollyFrog полагается на готовые вредоносные программы, такие как QuasarRAT и Korplug (он же PlugX), LookingFrog использует X4, базовый имплантат с функциями удаленного управления, и LookBack.
FlowingFrog применяет загрузчик Tendyron, который доставляется с помощью Royal Road RTF, используя его для загрузки FlowCloud, а также второй бэкдор, основанный на Gh0stRAT (он же Farfli).
По мнению ESET, АРТ TA410 представляет профессиональный хакерский синдикат, реализующий целевые атаки на достаточно высоком уровне координации и оснащения. Опять же все больше доводов о том, что TA410 является самостоятельной АРТ, о чем свидетельствует зонтичная структура. Но утверждать не будем, поглядим.
WeLiveSecurity
A lookback under the TA410 umbrella: Its cyberespionage TTPs and activity
ESET research reveals a detailed profile of TA410, a cyberespionage umbrella group that we believe consists of three different teams using different toolsets.
Почти всегда уязвимости ассоциируются с атаками или угрозами их совершения. Однако бывают случаи, когда обнаружение баг вызывает беспокойство у самих злоумышленников.
Анализируя штаммы ransomware, исследователь безопасности hyp3rlinx в рамках проекта Malvuln (специализирующемся на поиске уязвимостей в различных вредоносных программах) выяснил, что образцы ПО уязвимы для захвата DLL — метода, который обычно используется злоумышленниками для внедрения вредоносного кода. Примечательно, что ошибки были обнаружены в ПО известных групп: Conti, REvil, Black Basta, LockBit и AvosLocker.
Эксплуатация уязвимости позволяет заблокировать процесс шифрования файлов. Перехват DLL возможен исключительно в системах с ОС на базе Windows и заключается в возможности загрузки DLL из пути за пределами своего каталога для ПО с недостаточной проверкой, повысив привилегии или выполнив нежелательный код.
По каждому штамму ransomware исследователь предоставил отчет, в котором описал тип обнаруженной уязвимости, хэш образца, PoC и демонстрационный ролик. Доступны здесь: Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker.
Рабочий эксплойт позволяет выполнять код, реализующий контроль и прекращение предварительного шифрования. После загрузки DLL процесс ransomware должен завершиться до начала операции шифрования данных.
Код эксплойта необходимо скомпилировать в DLL с определенным именем, чтобы вредоносный код распознал его как свой и подгрузил до начала шифрования данных. При этом DLL желательно разместить там, где хакеры потенциально могут запускать свои ransomware.
Несмотря на блокировку антивирусных решений на скомпрометированной машине, малварь не способен каким-либо образом повлиять на DLL.
Но всегда нужно помнить, что даже при успешном блокировке шифрования, обнаруженная уязвимость не спасет жертву от эксфильтрации. Кроме того, вымогатели уже верстают исправления для своего ПО и будут атаковать обновленным арсеналом уже в ближайшей перспективе.
Анализируя штаммы ransomware, исследователь безопасности hyp3rlinx в рамках проекта Malvuln (специализирующемся на поиске уязвимостей в различных вредоносных программах) выяснил, что образцы ПО уязвимы для захвата DLL — метода, который обычно используется злоумышленниками для внедрения вредоносного кода. Примечательно, что ошибки были обнаружены в ПО известных групп: Conti, REvil, Black Basta, LockBit и AvosLocker.
Эксплуатация уязвимости позволяет заблокировать процесс шифрования файлов. Перехват DLL возможен исключительно в системах с ОС на базе Windows и заключается в возможности загрузки DLL из пути за пределами своего каталога для ПО с недостаточной проверкой, повысив привилегии или выполнив нежелательный код.
По каждому штамму ransomware исследователь предоставил отчет, в котором описал тип обнаруженной уязвимости, хэш образца, PoC и демонстрационный ролик. Доступны здесь: Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker.
Рабочий эксплойт позволяет выполнять код, реализующий контроль и прекращение предварительного шифрования. После загрузки DLL процесс ransomware должен завершиться до начала операции шифрования данных.
Код эксплойта необходимо скомпилировать в DLL с определенным именем, чтобы вредоносный код распознал его как свой и подгрузил до начала шифрования данных. При этом DLL желательно разместить там, где хакеры потенциально могут запускать свои ransomware.
Несмотря на блокировку антивирусных решений на скомпрометированной машине, малварь не способен каким-либо образом повлиять на DLL.
Но всегда нужно помнить, что даже при успешном блокировке шифрования, обнаруженная уязвимость не спасет жертву от эксфильтрации. Кроме того, вымогатели уже верстают исправления для своего ПО и будут атаковать обновленным арсеналом уже в ближайшей перспективе.
X (formerly Twitter)
Malvuln (aka hyp3rlinx) (@malvuln) on X
Powered by malware | Living off malware
Malware vulnerability research
Malware vulnerability research
Национальное агентство по кибербезопасности (NCA) Италии ввело запрет для ведущих российских инфосек-компаний на участие в обеспечении безопасности госсектора страны.
Под санкции итальянского ИБ-регулятора попали Group-IB, Positive Technologies и Лаборатория Касперского.
Собственно о санкционном нагнетании обстановки в отношении отечественных инфосек компаний со стороны стран ЕС мы предупреждали ещё в марте.
Все это является, по большей части, PR-историей для создания медийной картинки неотвратимого давления на российскую IT-отрасль. При всем этом не устанем повторять, что российские инфосек вендоры никогда не давали ни малейшего повода усомниться в их порядочности, в отличие от своих зарубежных конкурентов.
Пожелаем им выдержки.
Под санкции итальянского ИБ-регулятора попали Group-IB, Positive Technologies и Лаборатория Касперского.
Собственно о санкционном нагнетании обстановки в отношении отечественных инфосек компаний со стороны стран ЕС мы предупреждали ещё в марте.
Все это является, по большей части, PR-историей для создания медийной картинки неотвратимого давления на российскую IT-отрасль. При всем этом не устанем повторять, что российские инфосек вендоры никогда не давали ни малейшего повода усомниться в их порядочности, в отличие от своих зарубежных конкурентов.
Пожелаем им выдержки.
Telegram
SecAtor
Как мы и ванговали санкции против российских инфосек вендоров продолжают расширяться. Досталось все той же Лаборатории Касперского.
Американская Федеральная комиссия по связи (FCC) в пятницу внесла ЛК в т.н. Covered List - список компаний, представляющих…
Американская Федеральная комиссия по связи (FCC) в пятницу внесла ЛК в т.н. Covered List - список компаний, представляющих…
Обнаружившие уязвимости TLStorm в источниках бесперебойного питания APC ресерчеры Armis обнаружили новую серию критических уязвимостей TLStorm 2.0 в популярных по всему миру коммутаторах Avaya (принадлежащей Extreme Networks) и Aruba (дочерней компанией HPE).
Набор новых уязвимостей относится к тому же классу ошибок, что и неправомерное использование библиотеки NanoSSL TLS в ИБП APC. В случае TLStorm 2.0 проблема связана с тем, что используемый поставщиками код «связующей логики» не соответствует рекомендациям NanoSSL, что приводит к потенциальному RCE. Проблемы не в самой библиотеке, а в том, как ее реализовал поставщик.
Ущерб от успешной атаки может варьироваться от утечки данных и полного захвата устройства до бокового перемещения и преодоления сегментации сети.
В Aruba библиотека NanoSSL применяется для сервера аутентификации Radius и системы Сaptive Portal. Реализация может привести к переполнению кучи данными злоумышленника, отслеживаемому как CVE-2022-23677 и CVE-2022-23676.
В Avaya исполнение библиотеки содержит три ошибки: переполнение кучи повторной сборки TLS (CVE-2022-29860), переполнение стека при синтаксическом анализе заголовков HTTP (CVE-2022-29861) и переполнение при обработке запросов HTTP POST.
Armis предполагают, что атаки с использованием TLStorm 2.0 могут быт проведены по двум сценариям, которые позволяют выйти из захваченного портала или нарушить сегментацию сети, открывая путь для мощных кибератак.
В сценарии Сaptive Portal злоумышленник получает доступ к веб-странице ограниченного сетевого ресурса, требующего аутентификации, оплаты или какой-либо другой формы токена доступа. Используя TLStorm 2.0, злоумышленник может удаленно выполнить код на коммутаторе, обойдя ограничения авторизованного портала или даже полностью отключив его.
В рамках второго сценария злоумышленник также может использовать уязвимости TLStorm 2.0, чтобы получить контроль над основным коммутатором, что позволит им нарушить сегментацию сети и перемещаться по сети в горизонтальном направлении.
Уязвимости затрагивают устройства серии Avaya Ethernet Router Switch (ERS) и семь типов коммутаторов Aruba.
Armis проинформировал Aruba и Avaya о TLStorm 2.0 три месяца назад, попыток эксплуатации уязвимостей в дикой природе не обнаружили. Aruba еще работает над исправлениями, а Avaya уже выпустила обновления прошивки для некоторых продуктов.
Набор новых уязвимостей относится к тому же классу ошибок, что и неправомерное использование библиотеки NanoSSL TLS в ИБП APC. В случае TLStorm 2.0 проблема связана с тем, что используемый поставщиками код «связующей логики» не соответствует рекомендациям NanoSSL, что приводит к потенциальному RCE. Проблемы не в самой библиотеке, а в том, как ее реализовал поставщик.
Ущерб от успешной атаки может варьироваться от утечки данных и полного захвата устройства до бокового перемещения и преодоления сегментации сети.
В Aruba библиотека NanoSSL применяется для сервера аутентификации Radius и системы Сaptive Portal. Реализация может привести к переполнению кучи данными злоумышленника, отслеживаемому как CVE-2022-23677 и CVE-2022-23676.
В Avaya исполнение библиотеки содержит три ошибки: переполнение кучи повторной сборки TLS (CVE-2022-29860), переполнение стека при синтаксическом анализе заголовков HTTP (CVE-2022-29861) и переполнение при обработке запросов HTTP POST.
Armis предполагают, что атаки с использованием TLStorm 2.0 могут быт проведены по двум сценариям, которые позволяют выйти из захваченного портала или нарушить сегментацию сети, открывая путь для мощных кибератак.
В сценарии Сaptive Portal злоумышленник получает доступ к веб-странице ограниченного сетевого ресурса, требующего аутентификации, оплаты или какой-либо другой формы токена доступа. Используя TLStorm 2.0, злоумышленник может удаленно выполнить код на коммутаторе, обойдя ограничения авторизованного портала или даже полностью отключив его.
В рамках второго сценария злоумышленник также может использовать уязвимости TLStorm 2.0, чтобы получить контроль над основным коммутатором, что позволит им нарушить сегментацию сети и перемещаться по сети в горизонтальном направлении.
Уязвимости затрагивают устройства серии Avaya Ethernet Router Switch (ERS) и семь типов коммутаторов Aruba.
Armis проинформировал Aruba и Avaya о TLStorm 2.0 три месяца назад, попыток эксплуатации уязвимостей в дикой природе не обнаружили. Aruba еще работает над исправлениями, а Avaya уже выпустила обновления прошивки для некоторых продуктов.
Armis
TLStorm 2 – NanoSSL TLS Library Misuse Leads to Vulnerabilities in Common Switches
NanoSSL TLS library misuse leads to vulnerabilities in common enterprise switches.
Пока мы отдыхали специалисты из Nozomi Network поработали и обнаружили уязвимость, о которой сообщили в понедельник. Бага затрагивает реализацию DNS во всех версиях uClibc и uClibc-ng - популярной библиотеки на C, которая активно используется во многих известных продуктах IoT.
Со слов специалистов, уязвимость была вызвана предсказуемостью генерируемых библиотекой идентификаторов транзакций, включенных в DNS-запросы, что в свою очередь может позволить злоумышленникам выполнять атаки с отравлением DNS на целевые устройства.
Горизонт угрозы достаточно серьезный, так как под раздачу попали такие поставщики как Linksys, Netgear и Axis, а также некоторые дистрибутивы Linux, например Embedded Gentoo, который также использует uClibc. Как объяснили исследователи, uClibc-ng был разработан специально для OpenWRT - общей ОС для маршрутизаторов, которая в том числе развернута в различных секторах критической инфраструктуры.
Успешная эксплуатация ошибки позволяет злоумышленнику проводить атаки MitM и повреждать кеш DNS, эффективно перенаправляя интернет-трафик на сервер, находящийся под их контролем. Вероятно, представители хакерского андеграунда уже разминают пальцы. Дело в том, что специалист по сопровождению библиотеки не смог разработать исправление и эта уязвимость до сих пор остается неисправленной. Собственно поэтому Nozomi Networks не раскрывает подробности об устройствах, в которых им удалось обнаружить эту багу.
Отсутствие обновлений несомненно является проблемой, но гораздо более серьезная проблема заключается в том, что когда исправление станет доступным, то как быстро его можно будет развернуть на широком спектре устройств IoT.
Со слов специалистов, уязвимость была вызвана предсказуемостью генерируемых библиотекой идентификаторов транзакций, включенных в DNS-запросы, что в свою очередь может позволить злоумышленникам выполнять атаки с отравлением DNS на целевые устройства.
Горизонт угрозы достаточно серьезный, так как под раздачу попали такие поставщики как Linksys, Netgear и Axis, а также некоторые дистрибутивы Linux, например Embedded Gentoo, который также использует uClibc. Как объяснили исследователи, uClibc-ng был разработан специально для OpenWRT - общей ОС для маршрутизаторов, которая в том числе развернута в различных секторах критической инфраструктуры.
Успешная эксплуатация ошибки позволяет злоумышленнику проводить атаки MitM и повреждать кеш DNS, эффективно перенаправляя интернет-трафик на сервер, находящийся под их контролем. Вероятно, представители хакерского андеграунда уже разминают пальцы. Дело в том, что специалист по сопровождению библиотеки не смог разработать исправление и эта уязвимость до сих пор остается неисправленной. Собственно поэтому Nozomi Networks не раскрывает подробности об устройствах, в которых им удалось обнаружить эту багу.
Отсутствие обновлений несомненно является проблемой, но гораздо более серьезная проблема заключается в том, что когда исправление станет доступным, то как быстро его можно будет развернуть на широком спектре устройств IoT.
Исследователи Sentinel Lab представили результаты наблюдения за новой китайской АРТ Moshen Dragon.
Имеющая сходство с RedFoxtrot и Nomad Panda, китайская группа нацелена на азиатские телекоммуникационные компании в Центральной Азии, использу] уже известный набор вредоносных программ ShadowPad и PlugX.
По мнению исследователей Sentinel Labs, Moshen Dragon представляет собой опытную хакерскую группу, способную оперативно корректировать тактику своих атак, в зависимости от поведения жертвы.
В целом замечено, что хакеры активно пытаются загрузить вредоносные DLL-библиотеки Windows в антивирусные решения, выкрасть учетные данные для горизонтального перемещения и, в конечном итоге, эксфильтрации данных с зараженных машин.
До настоящего времени вектор заражения доподлинно неизвестен, однако установлено, что АРТ умело компрометирует продукты TrendMicro, Bitdefender, McAfee, Symantec и Kaspersky. Поскольку антивирусы работают с высокими привилегиями в ОС Windows, загрузка вредоносной DLL в их процесс позволяет хакерам запускать код на машине с небольшими ограничениями и потенциально избежать обнаружения.
Moshen Dragon использует именно этот метод для развертывания Impacket, реализующего боковое перемещение и удаленное выполнение кода с помощью инструментария управления Windows (WMI).Impacket также задействуется в краже учетных данных, записывая сведения о событиях смены пароля в домене в файле «C:\Windows\Temp\Filter.log».
Имея доступ к соседним системам, группа угроз сбрасывает на них пассивный загрузчик, который перед активацией подтверждает, что находится на нужной машине, сравнивая имя хоста с жестко заданным значением. Как предполагают Sentinel Labs, АРТ создает уникальную DLL для каждой из целевых машин, что является еще одним свидетельством изощренности их ТТР.
Загрузчик использует анализатор пакетов WinDivert для перехвата входящего трафика до тех пор, пока он не получит строку, необходимую для саморасшифровки, а затем распаковывает и запускает полезную нагрузку (SNAC.log или bdch.tmp).
По данным Sentinel Labs, полезная нагрузка включает в себя бэкдоры PlugX и ShadowPad, которые в последние годы использовали несколько известным китайских APT. Конечная цель злоумышленника — извлечь ка можно больше данных из всех доступных систем.
Обнаруженный Sentinel Labs загрузчик между тем попадал в поле зрения исследователей Avast еще в декабре 2021 года, когда был найден в правительственной системе США. Ресерчеры пришли к выводу, что загрузчик применяется и другими китайскими АРТ в целевых системах, учитывая и развертывание схожих полезных нагрузок. Однако не исключают участия Moshen Dragon в других кампаниях наряду с коллегами по цеху.
Как бы то ни было Sentinel Labs внесли весомую лепту в изучение лабиринта китайских АРТ, выпустив достойный внимания инфосека отчет, в отличие от команды Google (TAG) с ее наблюдениями за кибербезопасностью в Восточной Европе в связи со спецоперацией РФ на Украине.
Опуская подробности, сказать чего-то нового в отчете не нашли, а громогласные заключения Google об атаках китайских АРТ на на российские правительственные учреждения больше походит на ангажированную пропаганду.
Имеющая сходство с RedFoxtrot и Nomad Panda, китайская группа нацелена на азиатские телекоммуникационные компании в Центральной Азии, использу] уже известный набор вредоносных программ ShadowPad и PlugX.
По мнению исследователей Sentinel Labs, Moshen Dragon представляет собой опытную хакерскую группу, способную оперативно корректировать тактику своих атак, в зависимости от поведения жертвы.
В целом замечено, что хакеры активно пытаются загрузить вредоносные DLL-библиотеки Windows в антивирусные решения, выкрасть учетные данные для горизонтального перемещения и, в конечном итоге, эксфильтрации данных с зараженных машин.
До настоящего времени вектор заражения доподлинно неизвестен, однако установлено, что АРТ умело компрометирует продукты TrendMicro, Bitdefender, McAfee, Symantec и Kaspersky. Поскольку антивирусы работают с высокими привилегиями в ОС Windows, загрузка вредоносной DLL в их процесс позволяет хакерам запускать код на машине с небольшими ограничениями и потенциально избежать обнаружения.
Moshen Dragon использует именно этот метод для развертывания Impacket, реализующего боковое перемещение и удаленное выполнение кода с помощью инструментария управления Windows (WMI).Impacket также задействуется в краже учетных данных, записывая сведения о событиях смены пароля в домене в файле «C:\Windows\Temp\Filter.log».
Имея доступ к соседним системам, группа угроз сбрасывает на них пассивный загрузчик, который перед активацией подтверждает, что находится на нужной машине, сравнивая имя хоста с жестко заданным значением. Как предполагают Sentinel Labs, АРТ создает уникальную DLL для каждой из целевых машин, что является еще одним свидетельством изощренности их ТТР.
Загрузчик использует анализатор пакетов WinDivert для перехвата входящего трафика до тех пор, пока он не получит строку, необходимую для саморасшифровки, а затем распаковывает и запускает полезную нагрузку (SNAC.log или bdch.tmp).
По данным Sentinel Labs, полезная нагрузка включает в себя бэкдоры PlugX и ShadowPad, которые в последние годы использовали несколько известным китайских APT. Конечная цель злоумышленника — извлечь ка можно больше данных из всех доступных систем.
Обнаруженный Sentinel Labs загрузчик между тем попадал в поле зрения исследователей Avast еще в декабре 2021 года, когда был найден в правительственной системе США. Ресерчеры пришли к выводу, что загрузчик применяется и другими китайскими АРТ в целевых системах, учитывая и развертывание схожих полезных нагрузок. Однако не исключают участия Moshen Dragon в других кампаниях наряду с коллегами по цеху.
Как бы то ни было Sentinel Labs внесли весомую лепту в изучение лабиринта китайских АРТ, выпустив достойный внимания инфосека отчет, в отличие от команды Google (TAG) с ее наблюдениями за кибербезопасностью в Восточной Европе в связи со спецоперацией РФ на Украине.
Опуская подробности, сказать чего-то нового в отчете не нашли, а громогласные заключения Google об атаках китайских АРТ на на российские правительственные учреждения больше походит на ангажированную пропаганду.
SentinelOne
Moshen Dragon’s Triad-and-Error Approach | Abusing Security Software to Sideload PlugX and ShadowPad
Chinese-aligned APT group Moshen Dragon caught sideloading malware through multiple AV products to infect telecoms sector.
͏F5 выпустил ежеквартальное уведомление о безопасности, проинформировав клиентов о более чем 50 уязвимостях.
Наиболее критическая уязвимость CVE-2022-1388 имеет рейтинг серьезности CVSS v3 9,8 и может позволить злоумышленнику, не прошедшему проверку подлинности, с сетевым доступом выполнять произвольные системные команды, действия с файлами и отключать службы в BIG-IP, то есть потенциально может привести к полному захвату системы.
Ошибка кроется в компоненте iControl REST и позволяет злоумышленнику отправлять скрытые запросы для обхода аутентификации iControl REST в BIG-IP. Представители компании также отмечают, что CVE-2022-1388 не влияет на централизованное управление BIG-IQ, F5OS-A, F5OS-C и Traffic SDC.
Из уязвимостей высокой степени опасности трем были присвоены баллы CVSS от 8 до 9. Две из них, CVE-2022-25946 и CVE-2022-27806, затрагивают системы, работающие в «режиме устройства», и позволяют злоумышленнику, прошедшему проверку подлинности, получить права администратора для обхода ограничений, характерных для этого режима.
Третья проблема, CVE-2022-28707, представляет собой уязвимость межсайтового скриптинга (XSS), которая может быть использована для выполнения произвольного кода JavaScript злоумышленником, имеющим доступ к системе как минимум с «гостевыми» привилегиями.
Другие серьезные недостатки могут быть использованы для повышения привилегий, DoS-атак, XSS-атак, обхода механизмов безопасности и выполнения произвольных команд. Многие DoS-уязвимости можно использовать удаленно без аутентификации.
Остальные баги получили оценки «средняя» или «низкая».
F5 представила исправления в v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 и v13.1.5, а тем, кто не может сразу применить обновления представила меры по смягчению, порекомендовав заблокировать любой доступ к интерфейсу iControl REST через собственные IP-адреса, ограничить доступ только доверенным пользователям и устройствам через интерфейс управления или изменение конфигурации httpd BIG-IP.
Поскольку устройства F5 BIG-IP широко используются в критических средах, уязвимость несет значительный риск, потенциально позволяя злоумышленникам получить первоначальный доступ к корпоративным сетям. Согласно Shodan, в настоящее время в Интернете открыто 16 142 устройства F5 BIG-IP, большинство из них находится в США, за ними следуют Китай, Индия, Австралия и Япония.
В связи с серьезностью уязвимости и нацеленностью злоумышленников на продукты BIG-IP, сетевым администраторам необходимо как можно скорее пропатчить эти устройства или, по крайней мере, применить рекомендованные меры защиты. Следующее ежеквартальное уведомление безопасности F5 запланировано на 3 августа.
Наиболее критическая уязвимость CVE-2022-1388 имеет рейтинг серьезности CVSS v3 9,8 и может позволить злоумышленнику, не прошедшему проверку подлинности, с сетевым доступом выполнять произвольные системные команды, действия с файлами и отключать службы в BIG-IP, то есть потенциально может привести к полному захвату системы.
Ошибка кроется в компоненте iControl REST и позволяет злоумышленнику отправлять скрытые запросы для обхода аутентификации iControl REST в BIG-IP. Представители компании также отмечают, что CVE-2022-1388 не влияет на централизованное управление BIG-IQ, F5OS-A, F5OS-C и Traffic SDC.
Из уязвимостей высокой степени опасности трем были присвоены баллы CVSS от 8 до 9. Две из них, CVE-2022-25946 и CVE-2022-27806, затрагивают системы, работающие в «режиме устройства», и позволяют злоумышленнику, прошедшему проверку подлинности, получить права администратора для обхода ограничений, характерных для этого режима.
Третья проблема, CVE-2022-28707, представляет собой уязвимость межсайтового скриптинга (XSS), которая может быть использована для выполнения произвольного кода JavaScript злоумышленником, имеющим доступ к системе как минимум с «гостевыми» привилегиями.
Другие серьезные недостатки могут быть использованы для повышения привилегий, DoS-атак, XSS-атак, обхода механизмов безопасности и выполнения произвольных команд. Многие DoS-уязвимости можно использовать удаленно без аутентификации.
Остальные баги получили оценки «средняя» или «низкая».
F5 представила исправления в v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 и v13.1.5, а тем, кто не может сразу применить обновления представила меры по смягчению, порекомендовав заблокировать любой доступ к интерфейсу iControl REST через собственные IP-адреса, ограничить доступ только доверенным пользователям и устройствам через интерфейс управления или изменение конфигурации httpd BIG-IP.
Поскольку устройства F5 BIG-IP широко используются в критических средах, уязвимость несет значительный риск, потенциально позволяя злоумышленникам получить первоначальный доступ к корпоративным сетям. Согласно Shodan, в настоящее время в Интернете открыто 16 142 устройства F5 BIG-IP, большинство из них находится в США, за ними следуют Китай, Индия, Австралия и Япония.
В связи с серьезностью уязвимости и нацеленностью злоумышленников на продукты BIG-IP, сетевым администраторам необходимо как можно скорее пропатчить эти устройства или, по крайней мере, применить рекомендованные меры защиты. Следующее ежеквартальное уведомление безопасности F5 запланировано на 3 августа.
Первого мая Президент Владимир Путин подписал Указ "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации".
Вроде бы надо радоваться, но что-то не очень.
С одной стороны появление заместителей руководителей по ИБ - это хорошо, как и выделенные инфосек подразделения. Вопрос, правда, где столько профессионалов взять. Потому что без специалистов это все будет профанация.
В своих берлогах с надеждой зашевелились отставники ЦИБ и БСТМ, предчувствуя должности и оклады. А вот это зря, потому что президентский Указ обещает несколько другое - персональную ответственность руководителей организаций за обеспечение ИБ, которая, без сомнения, будет делегирована свежеиспеченным замам. И это не всегда административка, как полагают многие наши инфосек эксперты. В некоторых случаях - это вполне себе ст. 274.1 УК. Или просто 274, без "прим".
С другой стороны ответственными за ИБ органами по-прежнему остаются ФСБ и ФСТЭК. В этом плане ничего не меняется. Что раньше мешало этим двум уважаемым организациям заниматься обеспечением ИБ - вопрос риторический. Видимо, Луна была не в том Доме.
Ну и самое, на наш взгляд, основное. Очень многое зависит от последующих нормативов, которые будут разработаны и введены российским Правительством, на что есть ссылки непосредственно в Указе. И, как нам думается, их разработкой будут заниматься те же люди, которые составляли и текст выпущенного Указа.
И совершенно точно, что эти товарищи не имеют к организации мер по обеспечению информационной безопасности никакого отношения. Потому что придумать требование о проведении от и до в течение 1 (ОДНОГО, Карл!) месяца аудита ИБ крупной организации, да еще и силами ограниченного количества специализированных компаний, мог придумать только человек, никогда с этим процессом не сталкивавшийся. Да они тендериться только будут квартал в лучшем случае. А ведь есть еще ФЗ-223 и ФЗ-44, если вы понимаете о чем мы...
И вот это печальнее всего. Что знаковые для инфосек отрасли документы готовят девочки-референты.
Пойдем пить чайный гриб...
Вроде бы надо радоваться, но что-то не очень.
С одной стороны появление заместителей руководителей по ИБ - это хорошо, как и выделенные инфосек подразделения. Вопрос, правда, где столько профессионалов взять. Потому что без специалистов это все будет профанация.
В своих берлогах с надеждой зашевелились отставники ЦИБ и БСТМ, предчувствуя должности и оклады. А вот это зря, потому что президентский Указ обещает несколько другое - персональную ответственность руководителей организаций за обеспечение ИБ, которая, без сомнения, будет делегирована свежеиспеченным замам. И это не всегда административка, как полагают многие наши инфосек эксперты. В некоторых случаях - это вполне себе ст. 274.1 УК. Или просто 274, без "прим".
С другой стороны ответственными за ИБ органами по-прежнему остаются ФСБ и ФСТЭК. В этом плане ничего не меняется. Что раньше мешало этим двум уважаемым организациям заниматься обеспечением ИБ - вопрос риторический. Видимо, Луна была не в том Доме.
Ну и самое, на наш взгляд, основное. Очень многое зависит от последующих нормативов, которые будут разработаны и введены российским Правительством, на что есть ссылки непосредственно в Указе. И, как нам думается, их разработкой будут заниматься те же люди, которые составляли и текст выпущенного Указа.
И совершенно точно, что эти товарищи не имеют к организации мер по обеспечению информационной безопасности никакого отношения. Потому что придумать требование о проведении от и до в течение 1 (ОДНОГО, Карл!) месяца аудита ИБ крупной организации, да еще и силами ограниченного количества специализированных компаний, мог придумать только человек, никогда с этим процессом не сталкивавшийся. Да они тендериться только будут квартал в лучшем случае. А ведь есть еще ФЗ-223 и ФЗ-44, если вы понимаете о чем мы...
И вот это печальнее всего. Что знаковые для инфосек отрасли документы готовят девочки-референты.
Пойдем пить чайный гриб...
publication.pravo.gov.ru
Указ Президента Российской Федерации от 12.04.2021 № 213 ∙ Официальное опубликование правовых актов
Указ Президента Российской Федерации от 12.04.2021 № 213
"Об утверждении Основ государственной политики Российской Федерации в области международной информационной безопасности"
"Об утверждении Основ государственной политики Российской Федерации в области международной информационной безопасности"
@Social_Engineering — Один из самых крупных ресурсов в Telegram, посвященный Информационной Безопасности, ИТ, OSINT и Cоциальной Инженерии.
Cisco вновь устраняет критические баги, которые могут быть использованы злоумышленниками для запуска команд с привилегиями root или для выхода из гостевой виртуальной машины (ВМ) и полной компрометации хостов NFVIS.
Ошибки затрагивают ПО Enterprise NFV Infrastructure Software (NFVIS), реализующее виртуализацию сетевых служб для упрощения управления виртуальными сетевыми функциями (VNF).
Одна из критических баг - CVE-2022-20777 была обнаружена в функции ввода-вывода следующего поколения Cisco Enterprise NFVIS (NGIO).
CVE-2022-20777 вызван недостаточными гостевыми ограничениями и позволяет злоумышленникам, прошедшим проверку подлинности, выйти из гостевой виртуальной машины и получить корневой доступ к хосту в атаках низкой сложности, не требующей вмешательства пользователя.
Злоумышленник может воспользоваться этой уязвимостью, отправив вызов API с виртуальной машины, которая будет выполняться с привилегиями корневого уровня на хосте NFVIS. Успешный эксплойт может позволить злоумышленнику полностью скомпрометировать хост NFVIS.
Другая CVE-2022-20779 представляет собой уязвимость с высокой степенью серьезности, связанную с внедрением команд в процессе регистрации образа Cisco Enterprise NFVIS, возникающую из-за неправильной проверки входных данных.
Злоумышленники, не прошедшие проверку подлинности, могут удаленно использовать его для внедрения команд, которые выполняются с привилегиями root на хосте во время процесса регистрации образа при атаках низкой сложности.
Для этого им необходимо убедить администратора на хост-компьютере установить образ виртуальной машины с созданными метаданными, которые будут выполнять команды с привилегиями корневого уровня во время процесса регистрации виртуальной машины. Успешный эксплойт может позволить злоумышленнику внедрить команды с привилегиями корневого уровня в хост NFVIS.
PSIRT Cisco не обнаружила эксплойта, подтверждающего концепцию, а также никаких попыток эксплуатации в дикой природе. Компания выпустила обновления безопасности, отметил отсутствие обходных путей для устранения уязвимостей.
Ошибки затрагивают ПО Enterprise NFV Infrastructure Software (NFVIS), реализующее виртуализацию сетевых служб для упрощения управления виртуальными сетевыми функциями (VNF).
Одна из критических баг - CVE-2022-20777 была обнаружена в функции ввода-вывода следующего поколения Cisco Enterprise NFVIS (NGIO).
CVE-2022-20777 вызван недостаточными гостевыми ограничениями и позволяет злоумышленникам, прошедшим проверку подлинности, выйти из гостевой виртуальной машины и получить корневой доступ к хосту в атаках низкой сложности, не требующей вмешательства пользователя.
Злоумышленник может воспользоваться этой уязвимостью, отправив вызов API с виртуальной машины, которая будет выполняться с привилегиями корневого уровня на хосте NFVIS. Успешный эксплойт может позволить злоумышленнику полностью скомпрометировать хост NFVIS.
Другая CVE-2022-20779 представляет собой уязвимость с высокой степенью серьезности, связанную с внедрением команд в процессе регистрации образа Cisco Enterprise NFVIS, возникающую из-за неправильной проверки входных данных.
Злоумышленники, не прошедшие проверку подлинности, могут удаленно использовать его для внедрения команд, которые выполняются с привилегиями root на хосте во время процесса регистрации образа при атаках низкой сложности.
Для этого им необходимо убедить администратора на хост-компьютере установить образ виртуальной машины с созданными метаданными, которые будут выполнять команды с привилегиями корневого уровня во время процесса регистрации виртуальной машины. Успешный эксплойт может позволить злоумышленнику внедрить команды с привилегиями корневого уровня в хост NFVIS.
PSIRT Cisco не обнаружила эксплойта, подтверждающего концепцию, а также никаких попыток эксплуатации в дикой природе. Компания выпустила обновления безопасности, отметил отсутствие обходных путей для устранения уязвимостей.
Cisco
Cisco Security Advisory: Cisco Enterprise NFV Infrastructure Software Vulnerabilities
Multiple vulnerabilities in Cisco Enterprise NFV Infrastructure Software (NFVIS) could allow an attacker to escape from the guest virtual machine (VM) to the host machine, inject commands that execute at the root level, or leak system data from the host to…
Принципиально новый метод сокрытия шелл-кода в журналах событий Windows обнаружили специалисты Лаборатории Касперского. Это позволяет скрыть «безфайловый» троянец последней стадии от посторонних глаз в файловой системе.
Группа примечательна и тем, что исправляет встроенные функции API Windows, связанные с отслеживанием событий (ETW) и интерфейсом сканирования на наличие вредоносных программ (AMSI), чтобы обеспечить скрытность заражения.
Отслеживаемые атаки пока не атрибутированы с каким-либо известным кластером угроз, однако ресерчерам удалось установить, что первая фаза вредоносной кампании началась в сентябре 2021 года, когда актор распространял модуль Cobalt Strike, обманным способом заставляя жертву скачать ссылку на .rar на легитимном сайте file.io и запустить его.
Разнообразие приемов и модулей кампании впечатляет: коммерческие наборы для пентестинга, специальные антидетект-обертки вокруг них и трояны последней стадии.
По данным Лаборатории Касперского, актор на основе первоначальной разведки подбирает имя веб-домена C2, имитирующее легитимное, и используемое имя, принадлежащее существующему и используемому жертвой программному обеспечению. Для хостинга используют виртуальные частные серверы на Linode, Namecheap, DreamVPS.
Арсенал средств защиты от обнаружения также впечатляет: MSVC, GCC под MinGW и компилятор Go 1.17.2; средства запуска из белого списка, цифровые сертификаты, дропперы Go для исправления функций API, связанных с ведением журнала, и хранение вредоносного ПО последнего этапа в двоичной части журналов событий, разбитых на блоки по 8 КБ. Во избежание обнаружения злоумышленники также подписывают некоторые вредоносные файлы цифровыми сертификатами, которые, предположительно, ими самими и выпускаются.
В качестве коммерческих инструментов исследователи увидели: Cobalt Strike, NetSPI (часть инфраструктуры SilentBreak), различные пользовательские модули и дополнительный сторонний код.
На последнем этапе троян взаимодействуют с С2 либо по протоколу HTTP с шифрованием RC4 (возможные оригинальные имена: ThrowbackDLL.dll и drxDLL.dll), либо по незашифрованному соединению с именованными каналами (возможные исходные имена: monolithDLL.dll и SlingshotDLL.dll).
Последний способ технически может связываться с любым внешним хостом, видимым в сети, но в Windows именованные каналы построены на протоколе SMB, который едва открывается для внешних сетей. Так что эти модули, скорее всего, служат для бокового перемещения. Мальварь также снимает слепок зараженной системы и отправляет данные на сервер, если первоначальный пинг к серверу прошел успешно.
Вредоносная программа поддерживает команды для снятия отпечатка системы, выполнения полученных команд, загрузки и сохранения полезной нагрузки, составления списка процессов, внедрения кода в целевые процессы, перехода в спящий режим на указанный период времени и завершения сеанса с C2.
Образцы последней стадии выглядят как модульная платформа, возможности которой актер может комбинировать в соответствии со своими текущими потребностями.
Ресерчеры считают код заказным (трояны, обертки), который не имеет сходства с ранее известными кампаниями или ранее зарегистрированными модулями набора инструментов SilentBreak. Техника журналов событий, по мнению Лаборатории, является самой инновационной частью этой кампании, ранее наблюдавшейся. Код достаточно уникален, не имеет ничего общего с известными вредоносными программами.
Группа примечательна и тем, что исправляет встроенные функции API Windows, связанные с отслеживанием событий (ETW) и интерфейсом сканирования на наличие вредоносных программ (AMSI), чтобы обеспечить скрытность заражения.
Отслеживаемые атаки пока не атрибутированы с каким-либо известным кластером угроз, однако ресерчерам удалось установить, что первая фаза вредоносной кампании началась в сентябре 2021 года, когда актор распространял модуль Cobalt Strike, обманным способом заставляя жертву скачать ссылку на .rar на легитимном сайте file.io и запустить его.
Разнообразие приемов и модулей кампании впечатляет: коммерческие наборы для пентестинга, специальные антидетект-обертки вокруг них и трояны последней стадии.
По данным Лаборатории Касперского, актор на основе первоначальной разведки подбирает имя веб-домена C2, имитирующее легитимное, и используемое имя, принадлежащее существующему и используемому жертвой программному обеспечению. Для хостинга используют виртуальные частные серверы на Linode, Namecheap, DreamVPS.
Арсенал средств защиты от обнаружения также впечатляет: MSVC, GCC под MinGW и компилятор Go 1.17.2; средства запуска из белого списка, цифровые сертификаты, дропперы Go для исправления функций API, связанных с ведением журнала, и хранение вредоносного ПО последнего этапа в двоичной части журналов событий, разбитых на блоки по 8 КБ. Во избежание обнаружения злоумышленники также подписывают некоторые вредоносные файлы цифровыми сертификатами, которые, предположительно, ими самими и выпускаются.
В качестве коммерческих инструментов исследователи увидели: Cobalt Strike, NetSPI (часть инфраструктуры SilentBreak), различные пользовательские модули и дополнительный сторонний код.
На последнем этапе троян взаимодействуют с С2 либо по протоколу HTTP с шифрованием RC4 (возможные оригинальные имена: ThrowbackDLL.dll и drxDLL.dll), либо по незашифрованному соединению с именованными каналами (возможные исходные имена: monolithDLL.dll и SlingshotDLL.dll).
Последний способ технически может связываться с любым внешним хостом, видимым в сети, но в Windows именованные каналы построены на протоколе SMB, который едва открывается для внешних сетей. Так что эти модули, скорее всего, служат для бокового перемещения. Мальварь также снимает слепок зараженной системы и отправляет данные на сервер, если первоначальный пинг к серверу прошел успешно.
Вредоносная программа поддерживает команды для снятия отпечатка системы, выполнения полученных команд, загрузки и сохранения полезной нагрузки, составления списка процессов, внедрения кода в целевые процессы, перехода в спящий режим на указанный период времени и завершения сеанса с C2.
Образцы последней стадии выглядят как модульная платформа, возможности которой актер может комбинировать в соответствии со своими текущими потребностями.
Ресерчеры считают код заказным (трояны, обертки), который не имеет сходства с ранее известными кампаниями или ранее зарегистрированными модулями набора инструментов SilentBreak. Техника журналов событий, по мнению Лаборатории, является самой инновационной частью этой кампании, ранее наблюдавшейся. Код достаточно уникален, не имеет ничего общего с известными вредоносными программами.
Securelist
A new secret stash for “fileless” malware
We observed the technique of putting the shellcode into Windows event logs for the first time “in the wild” during the malicious campaign.
Если речь идет о краже чертежей истребителя и технологии производства лекарства от диареи в рамках одной кампании по кибершпионажу, то скорее всего вы имеете дело с популярными китайскими хакерами из APT 41 или более известными в миру как Winnti.
В новом отчете Cybereason была раскрыта операция, получившая название Operation CuckooBees, в результате которой сотни гигабайт интеллектуальной собственности и конфиденциальных данных, связанных с технологиями в производственной, фармацевтической и аэрокосмической сфере были благополучно национализированы хакерами из Поднебесной.
По заявлению специалистов под раздачу попало 30 крупных компаний, в основном расположенных в Восточной Азии, Западной Европе и Северной Америке. Разумеется в отчете не раскрывается список затронутых организаций, но исследователи обнаружили, что кампания кибершпионажа проводилась и оставалась незамеченной как минимум с начала 2019 года и сколько за этот период утекло данных доподлинно неизвестно.
Кроме того, злоумышленники собирали информацию, которая может быть использована для будущих атак, в том числе для потенциальных кампаний по вымогательству: например сведения о бизнес-подразделениях целевой компании, сетевой архитектуре, учетных записях и персональных данных пользователей, электронной почте сотрудников и сведения о клиентах. Более, генеральный директор Cybereason Лиор Див сказал, что кампания еще не остановлена и специалисты фиксировали "как они[китайские хакеры] воровали интеллектуальную собственность лекарств, связанных с диабетом, ожирением и депрессией".
Известно, что Winnti, которую также отслеживают под именами APT41, Axiom, Barium и Bronze Atlas, действует как минимум с 2007 года и о деятельности эпатажной группировки мы не однократно писали, что намерение группы преимущественно состоит в краже интеллектуальной собственности у организаций в развитых странах и делается это в государственных интересах Китая для поддержки и принятия решений в ряде секторов китайской экономики о чем отмечают Secureworks в профиле угроз злоумышленника.
Как присуще всем китайским хакерам Winnti использует сложную многоэтапную цепочку заражений с последовательным развертыванием веб-шелла для проведения разведки, горизонтального перемещения и кражи данных. Сбор данных осуществляется с помощью модульного загрузчика Spyder, который используется для расшифровки и загрузки дополнительных полезных нагрузок. Также используются четыре различных малвари — STASHLOG, SPARKLOG, PRIVATELOG и DEPLOYLOG — которые последовательно развертываются для удаления WINNKIT, руткита на уровне ядра.
Фишкой Winnti для сокрытия своего присутствия являлось использование механизма Windows CLFS и манипуляции с NTFS, что позволяло им скрывать свои полезные нагрузки и избегать обнаружений традиционными средствами безопасности. Также, злоумышленники применили крайне деликатный подход «карточного домика», в котором каждый компонент зависит от других для корректного выполнения, что в свою очень затрудняет анализ каждого компонента по отдельности.
Не для кого не секрет, что официальные лица США в течение многих лет обвиняют Китай во взломе и краже коммерческих секретов и приличия ради, прокомментировать отчет Cybereason попросили представителя посольства Китая в Вашингтоне Лю Пэнъюй.
Чиновник с должной ему китайской осмотрительностью достаточно неоднозначно заявил, что Китай "никогда не будет поощрять, поддерживать или потворствовать кибератакам, а организациям, которые действительно заботятся о глобальной кибербезопасности, в первую очередь следует уделять больше внимания кибератакам хакеров, спонсируемых правительством США, на Китай и другие страны". Что-то из категории "В чужом глазу соринку видит, а в своем ..." ну вы поняли.
В новом отчете Cybereason была раскрыта операция, получившая название Operation CuckooBees, в результате которой сотни гигабайт интеллектуальной собственности и конфиденциальных данных, связанных с технологиями в производственной, фармацевтической и аэрокосмической сфере были благополучно национализированы хакерами из Поднебесной.
По заявлению специалистов под раздачу попало 30 крупных компаний, в основном расположенных в Восточной Азии, Западной Европе и Северной Америке. Разумеется в отчете не раскрывается список затронутых организаций, но исследователи обнаружили, что кампания кибершпионажа проводилась и оставалась незамеченной как минимум с начала 2019 года и сколько за этот период утекло данных доподлинно неизвестно.
Кроме того, злоумышленники собирали информацию, которая может быть использована для будущих атак, в том числе для потенциальных кампаний по вымогательству: например сведения о бизнес-подразделениях целевой компании, сетевой архитектуре, учетных записях и персональных данных пользователей, электронной почте сотрудников и сведения о клиентах. Более, генеральный директор Cybereason Лиор Див сказал, что кампания еще не остановлена и специалисты фиксировали "как они[китайские хакеры] воровали интеллектуальную собственность лекарств, связанных с диабетом, ожирением и депрессией".
Известно, что Winnti, которую также отслеживают под именами APT41, Axiom, Barium и Bronze Atlas, действует как минимум с 2007 года и о деятельности эпатажной группировки мы не однократно писали, что намерение группы преимущественно состоит в краже интеллектуальной собственности у организаций в развитых странах и делается это в государственных интересах Китая для поддержки и принятия решений в ряде секторов китайской экономики о чем отмечают Secureworks в профиле угроз злоумышленника.
Как присуще всем китайским хакерам Winnti использует сложную многоэтапную цепочку заражений с последовательным развертыванием веб-шелла для проведения разведки, горизонтального перемещения и кражи данных. Сбор данных осуществляется с помощью модульного загрузчика Spyder, который используется для расшифровки и загрузки дополнительных полезных нагрузок. Также используются четыре различных малвари — STASHLOG, SPARKLOG, PRIVATELOG и DEPLOYLOG — которые последовательно развертываются для удаления WINNKIT, руткита на уровне ядра.
Фишкой Winnti для сокрытия своего присутствия являлось использование механизма Windows CLFS и манипуляции с NTFS, что позволяло им скрывать свои полезные нагрузки и избегать обнаружений традиционными средствами безопасности. Также, злоумышленники применили крайне деликатный подход «карточного домика», в котором каждый компонент зависит от других для корректного выполнения, что в свою очень затрудняет анализ каждого компонента по отдельности.
Не для кого не секрет, что официальные лица США в течение многих лет обвиняют Китай во взломе и краже коммерческих секретов и приличия ради, прокомментировать отчет Cybereason попросили представителя посольства Китая в Вашингтоне Лю Пэнъюй.
Чиновник с должной ему китайской осмотрительностью достаточно неоднозначно заявил, что Китай "никогда не будет поощрять, поддерживать или потворствовать кибератакам, а организациям, которые действительно заботятся о глобальной кибербезопасности, в первую очередь следует уделять больше внимания кибератакам хакеров, спонсируемых правительством США, на Китай и другие страны". Что-то из категории "В чужом глазу соринку видит, а в своем ..." ну вы поняли.
Cybereason
Operation CuckooBees: Cybereason Uncovers Massive Chinese Intellectual Property Theft Operation
Cybereason recently an attack assessed to be the work of Chinese APT Winnti that operated undetected, siphoning intellectual property and sensitive data - the two companion reports examine the tactics and techniques of the overall campaign as well as more…
͏Google выпустила майский патч безопасности для Android, включающего исправление активно эксплуатируемой уязвимости ядра Linux, а также еще 35 уязвимостей различной степени серьезности.
Самая серьезная бага безопасности затрагивает компонент Android Framework и может быть использована для повышения привилегий. Кроме того, во Framework исправлено еще четыре другие уязвимости, включая три ошибки с повышением привилегий высокой степени серьезности и одну проблему раскрытия информации средней степени серьезности.
Патч Android 2022-05-01 помимо указанных закрывает еще восемь уязвимостей в компоненте System. При этом все восемь имеют рейтинг «высокой степени серьезности»: три ошибки приводят к несанкционированному получению привилегий, три - к раскрытию информации, и два - к отказу в обслуживании.
23 ошибки были устранены во второй части майского обновления в качестве уровня исправления 2022-05-05 и содержит патчи для всех ранее устраненных дефектов безопасности.
В этом месяце Google включила исправления на уровне патча 2022-05-05 для 4 ошибок в компонентах ядра, 3 проблем - в MediaTek, 5 - в компонентах Qualcomm и 11 - в компонентах Qualcomm с закрытым исходным кодом.
В отдельном бюллетене Google также сообщила об исправлениях для 11 уязвимостей, затрагивающих устройства Pixel, включая две критические ошибки в загрузчике (CVE-2022-20120 — удаленное выполнение кода) и чипе безопасности Titan-M (CVE-2022-20117 — информация раскрытие). Из оставшихся 9 уязвимостей в безопасности 4 имеют рейтинг серьезности «высокий», а остальные пять — «умеренный уровень серьезности».
Отличные новости, если не обращать внимание но то, что уязвимость в ядре Linux CVE-2021-22600 (с оценкой CVSS 7,8) по факту была раскрыта и исправлена еще в январе, а исправления той же баги в Android вышло только в мае. Что мешало сделать это раньше?
Другой не менее интересный момент заключается и в том, что уязвимость, по данным самой же Google, подвергалась ограниченной целенаправленной эксплуатации. При том, что CVE-2021-22600 доступна лишь локальному пользователю, который посредством специально созданных системных вызовов получить повышенные привилегии или вызвать состояние отказа в обслуживании.
В общем, выводы делайте сами.
Самая серьезная бага безопасности затрагивает компонент Android Framework и может быть использована для повышения привилегий. Кроме того, во Framework исправлено еще четыре другие уязвимости, включая три ошибки с повышением привилегий высокой степени серьезности и одну проблему раскрытия информации средней степени серьезности.
Патч Android 2022-05-01 помимо указанных закрывает еще восемь уязвимостей в компоненте System. При этом все восемь имеют рейтинг «высокой степени серьезности»: три ошибки приводят к несанкционированному получению привилегий, три - к раскрытию информации, и два - к отказу в обслуживании.
23 ошибки были устранены во второй части майского обновления в качестве уровня исправления 2022-05-05 и содержит патчи для всех ранее устраненных дефектов безопасности.
В этом месяце Google включила исправления на уровне патча 2022-05-05 для 4 ошибок в компонентах ядра, 3 проблем - в MediaTek, 5 - в компонентах Qualcomm и 11 - в компонентах Qualcomm с закрытым исходным кодом.
В отдельном бюллетене Google также сообщила об исправлениях для 11 уязвимостей, затрагивающих устройства Pixel, включая две критические ошибки в загрузчике (CVE-2022-20120 — удаленное выполнение кода) и чипе безопасности Titan-M (CVE-2022-20117 — информация раскрытие). Из оставшихся 9 уязвимостей в безопасности 4 имеют рейтинг серьезности «высокий», а остальные пять — «умеренный уровень серьезности».
Отличные новости, если не обращать внимание но то, что уязвимость в ядре Linux CVE-2021-22600 (с оценкой CVSS 7,8) по факту была раскрыта и исправлена еще в январе, а исправления той же баги в Android вышло только в мае. Что мешало сделать это раньше?
Другой не менее интересный момент заключается и в том, что уязвимость, по данным самой же Google, подвергалась ограниченной целенаправленной эксплуатации. При том, что CVE-2021-22600 доступна лишь локальному пользователю, который посредством специально созданных системных вызовов получить повышенные привилегии или вызвать состояние отказа в обслуживании.
В общем, выводы делайте сами.
Forwarded from Russian OSINT
🇷🇺 К 2024 году в России планируют открыть 15 киберполигонов
Второй опорный центр Национального киберполигона для отработки сценариев защиты от киберугроз открылся в Приволжском федеральном округе на базе Оренбургского государственного университета. Всего до 2024 года в РФ планируется создать 15 таких центров, сообщили ТАСС в пресс-службе вице-премьера Дмитрия Чернышенко. В 2022 году в опорных центрах Национального киберполигона пройдет более 70 киберучений.
"В текущей ситуации повышается уровень ответственности ведомств и компаний за безопасность государственных, частных и персональных данных, а также информационных систем. Это в свою очередь стимулирует развитие отечественных технологий и компетенций по защите информации" - сообщает вице-премьер
В перечень отраслей, для которых будут отрабатываться сценарии отражения кибератак, планируется включить электроэнергетический, кредитно-финансовый, корпоративный и нефтегазовый сегменты, планируется запустить нефтеперерабатывающий, транспортный, металлургический, горнодобывающий и магистральные сети связи, чтобы закрыть потребности большинства российских организаций и проводить кросс-отраслевые учения в масштабах всей страны.
Второй опорный центр Национального киберполигона для отработки сценариев защиты от киберугроз открылся в Приволжском федеральном округе на базе Оренбургского государственного университета. Всего до 2024 года в РФ планируется создать 15 таких центров, сообщили ТАСС в пресс-службе вице-премьера Дмитрия Чернышенко. В 2022 году в опорных центрах Национального киберполигона пройдет более 70 киберучений.
"В текущей ситуации повышается уровень ответственности ведомств и компаний за безопасность государственных, частных и персональных данных, а также информационных систем. Это в свою очередь стимулирует развитие отечественных технологий и компетенций по защите информации" - сообщает вице-премьер
В перечень отраслей, для которых будут отрабатываться сценарии отражения кибератак, планируется включить электроэнергетический, кредитно-финансовый, корпоративный и нефтегазовый сегменты, планируется запустить нефтеперерабатывающий, транспортный, металлургический, горнодобывающий и магистральные сети связи, чтобы закрыть потребности большинства российских организаций и проводить кросс-отраслевые учения в масштабах всей страны.
SentinelOne расчехлили Avast и AVG, обнаружив две уязвимости CVE-2022-26522 и CVE-2022-26523 в драйвере защиты от руткитов aswArPot.sys их антивирусных решениях, которые могли способствовать атакам на миллионы устройств.
В частности, недостатки затрагивают обработчик подключения к сокету в драйвере ядра, который может привести к повышению привилегий за счет запуска кода в ядре от пользователя, не являющегося администратором, что потенциально может привести к сбою операционной системы.
Об уязвимостях стало известно в декабре, а в феврале они были исправлены в рамках автоматического обновления Avast и AVG до версии 22.1. Был исправлен BSoD драйвера руткита.
SentinelOne присвоила багам высокий уровень серьезности. Эксплуатация позволяет злоумышленнику с ограниченными привилегиями в целевой системе выполнять код в режиме ядра и получать полный контроль над устройством, в том числе перезаписывать системные компоненты, повреждать операционную систему или беспрепятственно выполнять вредоносные операции.
В виду их характера, уязвимости могут быть использованы как часть атаки браузера на втором этапе или для выхода из песочницы, что может привести к далеко идущим последствиям. Среди очевидных злоупотреблений такими уязвимостями является то, что их можно использовать для обхода средств защиты.
Несмотря на то, что SentinelOne и Avast не сообщают о каких-либо атаках с использованием этих уязвимостей, пользователям рекомендуется убедиться и обновить решения до последней версии, поскольку изолированные или локальные установки, которые не обновляются автоматически, все еще могут быть уязвимы.
Напрягает другое, ведь ошибки возникли после выпуска антивируса Avast версии 12.1 еще в январе 2012 года, то есть существовали почти десятилетие, что выглядит как минимум подозрительно, но вполне объяснимо. Но полагаем, что итальянского, да и прочих регуляторов, выгораживающих российские инфосек-бренды и решения, вряд ли будут волновать такие мелочи.
В частности, недостатки затрагивают обработчик подключения к сокету в драйвере ядра, который может привести к повышению привилегий за счет запуска кода в ядре от пользователя, не являющегося администратором, что потенциально может привести к сбою операционной системы.
Об уязвимостях стало известно в декабре, а в феврале они были исправлены в рамках автоматического обновления Avast и AVG до версии 22.1. Был исправлен BSoD драйвера руткита.
SentinelOne присвоила багам высокий уровень серьезности. Эксплуатация позволяет злоумышленнику с ограниченными привилегиями в целевой системе выполнять код в режиме ядра и получать полный контроль над устройством, в том числе перезаписывать системные компоненты, повреждать операционную систему или беспрепятственно выполнять вредоносные операции.
В виду их характера, уязвимости могут быть использованы как часть атаки браузера на втором этапе или для выхода из песочницы, что может привести к далеко идущим последствиям. Среди очевидных злоупотреблений такими уязвимостями является то, что их можно использовать для обхода средств защиты.
Несмотря на то, что SentinelOne и Avast не сообщают о каких-либо атаках с использованием этих уязвимостей, пользователям рекомендуется убедиться и обновить решения до последней версии, поскольку изолированные или локальные установки, которые не обновляются автоматически, все еще могут быть уязвимы.
Напрягает другое, ведь ошибки возникли после выпуска антивируса Avast версии 12.1 еще в январе 2012 года, то есть существовали почти десятилетие, что выглядит как минимум подозрительно, но вполне объяснимо. Но полагаем, что итальянского, да и прочих регуляторов, выгораживающих российские инфосек-бренды и решения, вряд ли будут волновать такие мелочи.
SentinelOne
Vulnerabilities in Avast And AVG Put Millions At Risk
Two high-severity flaws in popular end user security tools allow attackers to elevate privileges and compromise devices.
Forwarded from SecurityLab.ru
Компания Google с 5 мая запретила разработчикам в России загружать и обновлять платные приложения в Google Play
— С 5 мая им запрещено загружать платные приложения в магазин Google Play и обновлять уже добавленные.
— «Вы по-прежнему можете публиковать новые бесплатные приложения и обновлять существующие бесплатные приложения. Обновления платных приложений заблокированы», – говорится на сайте.
— Пользователям с активированными подписками сообщили, что после окончания указанного в личном кабинете периода их подписки отменятся
https://www.securitylab.ru/news/531500.php
— С 5 мая им запрещено загружать платные приложения в магазин Google Play и обновлять уже добавленные.
— «Вы по-прежнему можете публиковать новые бесплатные приложения и обновлять существующие бесплатные приложения. Обновления платных приложений заблокированы», – говорится на сайте.
— Пользователям с активированными подписками сообщили, что после окончания указанного в личном кабинете периода их подписки отменятся
https://www.securitylab.ru/news/531500.php
SecurityLab.ru
Компания Google с 5 мая запретила разработчикам в России загружать и обновлять платные приложения в Google Play
Американская компания Google расширила ограничения для российских пользователей и разработчиков. С 5 мая им запрещено загружать платные приложения в магазин Google Play и обновлять уже добавленные. Такое решение корпорация объясняет проблемами с международными…