Исследователи бьют тревогу и сообщают о компрометации библиотеки Python ctx и PHP phpass, которую используют более 3 и 2 миллионов пользователей соответственно.
Python является распространенным языком программирования и имеет обширную коллекцию пакетов в Python Package Index (pypi.org), которые позволяют разработчикам удобно создавать свой код. Многие из этих пакетов можно установить и обновить с помощью известной команды «pip install». При этом разработчики почти никогда не проверяют подлинность и достоверность новых версий пакетов, полностью полагаясь на процесс обновления и установки.
Пакет Python ctx был загружен на pypi.org 19 декабря 2014 года и представляет дополнительный класс Ctx, подкласс объекта Python 'dict’. Новый версии ctx 0.1.2, 0.2.2 и 0.2.6 были добавлены 21 мая 2022 года, при том, что согласно авторского репозитория GitHub пакет ctx не получал никаких обновлений.
Как выяснилось, в новые пакеты Python ctx и PHP phpass был добавлен вредоносный код, который собирает и отправляет все переменные среды в приложение heroku (anti-theft-web.herokuapp[.]com), по всей видимости, для извлечения учетных данных AWS.
Такой маневр стал возможен благодаря компрометации исходной учетной записи автора пакетов. Ресерчеры выяснили, что срок действия доменного имени исходного сопровождающего истек, после чего 14 мая 2022 года злоумышленник зарегистрировал имя заново и произвел сброс пароля, получив доступ к учетной записи, что и позволило ему удалить старый пакет и загрузить новые версии с бэкдором.
В случае с PHP phpass, все было намного прозаичнее: после того, как автор пакета «hautelook» удалил свою учетную запись, злоумышленник повторно зарегистрировал аккаунт 9 дней назад.
Безусловно, Python Software Foundation приняли необходимые меры для удаления аккаунта злоумышленника и обеспечению безопасности исходных версий библиотек, но разработчикам было бы полезно предварительно проверять пакеты на предмет имплементации дополнительного функционала.
В целом, это одна из немногих ситуаций, которая подчеркивает важность регулярной проверки исходного кода, библиотек и пакетов на наличие нарушений, соблюдения безопасности инфраструктуры разработки ПО и надлежащего управления конфигурацией.
Python является распространенным языком программирования и имеет обширную коллекцию пакетов в Python Package Index (pypi.org), которые позволяют разработчикам удобно создавать свой код. Многие из этих пакетов можно установить и обновить с помощью известной команды «pip install». При этом разработчики почти никогда не проверяют подлинность и достоверность новых версий пакетов, полностью полагаясь на процесс обновления и установки.
Пакет Python ctx был загружен на pypi.org 19 декабря 2014 года и представляет дополнительный класс Ctx, подкласс объекта Python 'dict’. Новый версии ctx 0.1.2, 0.2.2 и 0.2.6 были добавлены 21 мая 2022 года, при том, что согласно авторского репозитория GitHub пакет ctx не получал никаких обновлений.
Как выяснилось, в новые пакеты Python ctx и PHP phpass был добавлен вредоносный код, который собирает и отправляет все переменные среды в приложение heroku (anti-theft-web.herokuapp[.]com), по всей видимости, для извлечения учетных данных AWS.
Такой маневр стал возможен благодаря компрометации исходной учетной записи автора пакетов. Ресерчеры выяснили, что срок действия доменного имени исходного сопровождающего истек, после чего 14 мая 2022 года злоумышленник зарегистрировал имя заново и произвел сброс пароля, получив доступ к учетной записи, что и позволило ему удалить старый пакет и загрузить новые версии с бэкдором.
В случае с PHP phpass, все было намного прозаичнее: после того, как автор пакета «hautelook» удалил свою учетную запись, злоумышленник повторно зарегистрировал аккаунт 9 дней назад.
Безусловно, Python Software Foundation приняли необходимые меры для удаления аккаунта злоумышленника и обеспечению безопасности исходных версий библиотек, но разработчикам было бы полезно предварительно проверять пакеты на предмет имплементации дополнительного функционала.
В целом, это одна из немногих ситуаций, которая подчеркивает важность регулярной проверки исходного кода, библиотек и пакетов на наличие нарушений, соблюдения безопасности инфраструктуры разработки ПО и надлежащего управления конфигурацией.
SANS Internet Storm Center
ctx Python Library Updated with "Extra" Features - SANS Internet Storm Center
ctx Python Library Updated with "Extra" Features, Author: Yee Ching Tok
Совсем недавно мы высказывали мнение о том, что российские информационные ресурсы стали законной целью для взлома на условном Западе. Ан нет, не только российские. Китайские тоже.
Буквально на наших глазах разворачивается веселая пропагандистская кампания, основанная на данных взлома официального ресурса госоргана КНР.
В качестве иллюстрации приведем материал BBС, которая называет себя одним из автором "расследования". Итак, по легенде, в начале этого года некий хактивист (полагаем его имя Equation, а фамилия - Nsa) взломал и распотрошил несколько серверов полиции Синьцзян-Уйгурского автономного округа Китая. После чего передал их некому Адриану Зенцу, штатному сотруднику американского Фонда жертв коммунизма Мемориал. А тот уже скооперировался с журналистами и организовал расследование.
Этот самый Фонд Мемориал (не знаем, связан ли он с Мемориалом отечественным или нет) создал специальный сайт xinjiangpolicefiles .org, на котором разместил слитые данные в модном дизайнерском оформлении (китайские кибертяньлуны бдят и ресурс уже недоступен, хотя еще с утра работал). Организован Фонд, кстати говоря, под решению американского Сената в 1993 году.
Украденные хакерами данные датируются не позднее конца 2018 года и содержат фотографии уйгуров, фотографии из китайских тюрем (похоже на съемки учений), а также кучу служебных документов, включая списки задержанных.
Не будем вдаваться в подробности и выяснять является ли утечка подлинной, а выводы западных журналистов объективными. Наш, как говорится, concern, заключается в следующем - а что, теперь материалы, полученные в результате взлома, служат основой для масштабной информационной кампании? Так можно было, да? А что же тогда данные WADA, которые Fancy Bear слямзили в 2016 никто рассматривать не стал, а лепетали все про "незаконность получения сведений"?
К чему мы ведем - рамки дозволенного в киберпространстве расширяются, окна Овертона неумолимо разъезжаются в панорамные. В настоящий момент мы находимся на следующих стадиях:
- кибершпионаж плохо, но если в отношении тех, кто с нами не согласен - то хорошо;
- а если в отношении России - то можно и инфраструктуру бахнуть.
Но, думаем, что скоро дойдем и до:
- они не поддерживают наши санкции, давайте взломаем и подымем в воздух пару НПЗ, а еще устроим утеку хлора с химического завода, использующего непропатченные PLC.
Вот увидите, так и будет. Мы с негативными прогнозами еще ни разу не ошибались.
Ну а про то, что традиционно уйгурский вопрос использовался западными режимами для обострения санкционной войны против Китая мы тут рассказывать не будем. Пусть, вон, Вавилов рассказывает.
***Интересно, китайцы нас читают? По долгу службы должны. А как им тогда понравится, что мы их "кибертяньлунами" назначили... но ведь корейцев мы "киберхонгильдонами" называем же...🤔
Буквально на наших глазах разворачивается веселая пропагандистская кампания, основанная на данных взлома официального ресурса госоргана КНР.
В качестве иллюстрации приведем материал BBС, которая называет себя одним из автором "расследования". Итак, по легенде, в начале этого года некий хактивист (полагаем его имя Equation, а фамилия - Nsa) взломал и распотрошил несколько серверов полиции Синьцзян-Уйгурского автономного округа Китая. После чего передал их некому Адриану Зенцу, штатному сотруднику американского Фонда жертв коммунизма Мемориал. А тот уже скооперировался с журналистами и организовал расследование.
Этот самый Фонд Мемориал (не знаем, связан ли он с Мемориалом отечественным или нет) создал специальный сайт xinjiangpolicefiles .org, на котором разместил слитые данные в модном дизайнерском оформлении (китайские кибертяньлуны бдят и ресурс уже недоступен, хотя еще с утра работал). Организован Фонд, кстати говоря, под решению американского Сената в 1993 году.
Украденные хакерами данные датируются не позднее конца 2018 года и содержат фотографии уйгуров, фотографии из китайских тюрем (похоже на съемки учений), а также кучу служебных документов, включая списки задержанных.
Не будем вдаваться в подробности и выяснять является ли утечка подлинной, а выводы западных журналистов объективными. Наш, как говорится, concern, заключается в следующем - а что, теперь материалы, полученные в результате взлома, служат основой для масштабной информационной кампании? Так можно было, да? А что же тогда данные WADA, которые Fancy Bear слямзили в 2016 никто рассматривать не стал, а лепетали все про "незаконность получения сведений"?
К чему мы ведем - рамки дозволенного в киберпространстве расширяются, окна Овертона неумолимо разъезжаются в панорамные. В настоящий момент мы находимся на следующих стадиях:
- кибершпионаж плохо, но если в отношении тех, кто с нами не согласен - то хорошо;
- а если в отношении России - то можно и инфраструктуру бахнуть.
Но, думаем, что скоро дойдем и до:
- они не поддерживают наши санкции, давайте взломаем и подымем в воздух пару НПЗ, а еще устроим утеку хлора с химического завода, использующего непропатченные PLC.
Вот увидите, так и будет. Мы с негативными прогнозами еще ни разу не ошибались.
Ну а про то, что традиционно уйгурский вопрос использовался западными режимами для обострения санкционной войны против Китая мы тут рассказывать не будем. Пусть, вон, Вавилов рассказывает.
***Интересно, китайцы нас читают? По долгу службы должны. А как им тогда понравится, что мы их "кибертяньлунами" назначили... но ведь корейцев мы "киберхонгильдонами" называем же...🤔
BBC News
The faces from China’s Uyghur detention camps
Thousands of photos from a data hack of police files, reveal the human cost of China's Uyghur detention system.
Пока в PayPal думают над исправлением уязвимости кардеры уже потирают руки, как будут вбивать старую добрую "палку".
О проблеме, которая позволяет злоумышленникам красть деньги у пользователей, сообщил исследователь безопасности известный под псевдонимом h4x0r_dz. Причем эксперт рапортовал об ошибке в рамках программы PayPal bug bounty еще за семь месяцев до сегодняшнего дня и наглядно продемонстрировал, как можно по легкой срубить бакшиш, используя Clickjacking.
Думаем суть Clickjacking понятна - это тип атаки, когда злоумышленник использует скрытую оверлейную страницу или элемент HTML, отображаемый поверх видимой страницы. Кликая на страницу, пользователи фактически нажимают на элемент, который контролирует хакер перекрывая легитимный контент.
Исследователь обнаружил уязвимость в конечной точке «www.paypal[.]com/agreements/approve», предназначенной для соглашения о выставлении счетов. Конечная точка должна принимать только billingAgreementToken, но эксперт обнаружил, что может передавать другой тип токенов, что собственно и приводит к краже денег со счета PayPal. Стоит жертве кликнуть на странице и она отправит деньги на PayPal злоумышленника.
PoC-эксплойт для этой проблемы уже опубликовали, которая, по словам эксперта еще не исправлена. Так что желающие в обход санкций оплатить себе подписку на Netflix можете поэкспериментировать. Демонстрационный мануал прилагается. Шутим конечно, использовать только в образовательных целях.
О проблеме, которая позволяет злоумышленникам красть деньги у пользователей, сообщил исследователь безопасности известный под псевдонимом h4x0r_dz. Причем эксперт рапортовал об ошибке в рамках программы PayPal bug bounty еще за семь месяцев до сегодняшнего дня и наглядно продемонстрировал, как можно по легкой срубить бакшиш, используя Clickjacking.
Думаем суть Clickjacking понятна - это тип атаки, когда злоумышленник использует скрытую оверлейную страницу или элемент HTML, отображаемый поверх видимой страницы. Кликая на страницу, пользователи фактически нажимают на элемент, который контролирует хакер перекрывая легитимный контент.
Исследователь обнаружил уязвимость в конечной точке «www.paypal[.]com/agreements/approve», предназначенной для соглашения о выставлении счетов. Конечная точка должна принимать только billingAgreementToken, но эксперт обнаружил, что может передавать другой тип токенов, что собственно и приводит к краже денег со счета PayPal. Стоит жертве кликнуть на странице и она отправит деньги на PayPal злоумышленника.
PoC-эксплойт для этой проблемы уже опубликовали, которая, по словам эксперта еще не исправлена. Так что желающие в обход санкций оплатить себе подписку на Netflix можете поэкспериментировать. Демонстрационный мануал прилагается. Шутим конечно, использовать только в образовательных целях.
Medium
Vulnerability In PayPal worth 200000$ bounty, Attacker can Steal Your Balance by One-Click
what if I told you that: A black Hat hacker can steal your money from your bank account & credit card or PayPal balance with one click from…
Cyberint раскрывает набирающую вес на рынке вымогательства группу RansomHouse.
Группировка была образована в декабре 2021 года, а совсем недавно запустила свой DLS, куда загрузила четыре жертвы, угрожая слить или перепродать эксфильтрованные в ходе атак данные в случае отказа выплатить выкуп.
Изучив поведение хакеров, Cyberint пришли к выводу, что за группой стоят профи из числа redteam-пентестеров, которые мотивированные низкими выплатами за обнаружение ошибок, не покрывающими даже 5% их трудозатрат, а также желанием продемонстрировать своими атаками крайне негативную ситуацию в сфере инфосек, связанную с недостаточным вниманием крупных компании к вопросам обеспечения кибербезопаности.
По мнению ресерчеров, именно такая идеологическая основа позволила объединить вокруг платформы RansomHouse различных более мелких участников рынка. Так, ранее RansomHouse использовала инструментарии и упоминалась в заметках о выкупе White Rabbit. Кроме того, Cyberint обнаружили рекламные посты RansomHouse в Telegram на канале нашумевших Lapsus$.
Хакеры прямо заявляют, что в инцидентах «виноваты не те, кто нашел уязвимость или осуществил взлом, а те, кто не позаботился должным образом о безопасности». Помимо прочего RansomHouse выступают за принципы свободы и отказались сотрудничать с радикальными хактивистами или АРТ.
Новая операция ransomware не использует шифрования, а фокусируется исключительно на взломе через предполагаемые уязвимости для кражи данных своих жертв. Для оказания большего давления хакеры привлекают СМИ, придавая большей публичности и резонанса инцидентам.
Исследователи выяснили, что с момента образования группы первой жертвой, предположительно, стало Управлением по продаже спиртных напитков и азартных игр (SLGA), которое теперь красуется на сайте хакеров. Последней из жертв стала служба поддержки немецких авиакомпаний, атакованная на прошлой неделе.
Если выкуп не поступает данные реализуются в даркнете другим заинтересованным группам, а в самом безденежном сценарии украденный набор сведений публикуется на сайте. При этом их коллеги по цеху не испытывают доверия к новой операции, называя их крайне подозрительными.
Cyberint утверждают, что RansomHouse исключительно крадет данные, ведет переговоры или перепродажу информации. Но как ни странно, упоминание «зашифровано» присутствует на сайте RansomHouse Onion, обозначая таким образом, что скомпрометированная инфраструктура подвергалась шифрованию, что достаточно спорно, по мнению аналитиков.
Разделяем выводы Cyberint относительно того, что из RansomHouse вырастит серьезный проект, но напакостить и подзаработать они все же успеют.
Группировка была образована в декабре 2021 года, а совсем недавно запустила свой DLS, куда загрузила четыре жертвы, угрожая слить или перепродать эксфильтрованные в ходе атак данные в случае отказа выплатить выкуп.
Изучив поведение хакеров, Cyberint пришли к выводу, что за группой стоят профи из числа redteam-пентестеров, которые мотивированные низкими выплатами за обнаружение ошибок, не покрывающими даже 5% их трудозатрат, а также желанием продемонстрировать своими атаками крайне негативную ситуацию в сфере инфосек, связанную с недостаточным вниманием крупных компании к вопросам обеспечения кибербезопаности.
По мнению ресерчеров, именно такая идеологическая основа позволила объединить вокруг платформы RansomHouse различных более мелких участников рынка. Так, ранее RansomHouse использовала инструментарии и упоминалась в заметках о выкупе White Rabbit. Кроме того, Cyberint обнаружили рекламные посты RansomHouse в Telegram на канале нашумевших Lapsus$.
Хакеры прямо заявляют, что в инцидентах «виноваты не те, кто нашел уязвимость или осуществил взлом, а те, кто не позаботился должным образом о безопасности». Помимо прочего RansomHouse выступают за принципы свободы и отказались сотрудничать с радикальными хактивистами или АРТ.
Новая операция ransomware не использует шифрования, а фокусируется исключительно на взломе через предполагаемые уязвимости для кражи данных своих жертв. Для оказания большего давления хакеры привлекают СМИ, придавая большей публичности и резонанса инцидентам.
Исследователи выяснили, что с момента образования группы первой жертвой, предположительно, стало Управлением по продаже спиртных напитков и азартных игр (SLGA), которое теперь красуется на сайте хакеров. Последней из жертв стала служба поддержки немецких авиакомпаний, атакованная на прошлой неделе.
Если выкуп не поступает данные реализуются в даркнете другим заинтересованным группам, а в самом безденежном сценарии украденный набор сведений публикуется на сайте. При этом их коллеги по цеху не испытывают доверия к новой операции, называя их крайне подозрительными.
Cyberint утверждают, что RansomHouse исключительно крадет данные, ведет переговоры или перепродажу информации. Но как ни странно, упоминание «зашифровано» присутствует на сайте RansomHouse Onion, обозначая таким образом, что скомпрометированная инфраструктура подвергалась шифрованию, что достаточно спорно, по мнению аналитиков.
Разделяем выводы Cyberint относительно того, что из RansomHouse вырастит серьезный проект, но напакостить и подзаработать они все же успеют.
Cyberint
The New RansomHouse on The Block
RansomHouse, a new group skips the encryption phase, requests payment for stolen data. Once paid, report the victim on their security gaps.
Полтора года назад мы обратили внимание на сомнительную схему монетизации "анонимного" поисковика DuckDuckGo.
Этот проект, популярный в даркнете, очень сильно напоминает нам историю с Tor Project или кейс с криптоплатформой An0m, которая вообще оказалась спецоперацией ФБР чуть более чем полностью.
Вчера появились косвенные доказательства того, что мы таки были правы. Исследователь Зак Эдвардс в ходе аудита выяснил, что новый браузер DuckDuckGo для iOS и Android, анонсированный с помпой в прошлом году, блокирует не только лишь все трекеры, а разрешает работать трекерам Microsoft.
В комменты к Эдвардсу пришел генеральный директор поисковика Габриэль Вайнберг и начал доказывать возмущенной публике, что "один раз - не лоботряс" и это лишь отдельное соглашение с Microsoft. Которое касается только браузера, а в самом поисковике ничего такого нет. После чего бугурт в сообществе только усилился.
Вот такой он, наш уютный ламповый цифровой концлагерь. С пледом и латте, но без приватности.
Этот проект, популярный в даркнете, очень сильно напоминает нам историю с Tor Project или кейс с криптоплатформой An0m, которая вообще оказалась спецоперацией ФБР чуть более чем полностью.
Вчера появились косвенные доказательства того, что мы таки были правы. Исследователь Зак Эдвардс в ходе аудита выяснил, что новый браузер DuckDuckGo для iOS и Android, анонсированный с помпой в прошлом году, блокирует не только лишь все трекеры, а разрешает работать трекерам Microsoft.
В комменты к Эдвардсу пришел генеральный директор поисковика Габриэль Вайнберг и начал доказывать возмущенной публике, что "один раз - не лоботряс" и это лишь отдельное соглашение с Microsoft. Которое касается только браузера, а в самом поисковике ничего такого нет. После чего бугурт в сообществе только усилился.
Вот такой он, наш уютный ламповый цифровой концлагерь. С пледом и латте, но без приватности.
͏- Партнёрский пост -
Простота разработки под Android, развитая экосистема и широкое использование как во всём мире, так и в России способствовали появлению миллионов приложений на все случаи жизни. Пользователи Android являются привлекательной целью для злоумышленников, в связи с чем мобильные угрозы постоянно эволюционируют и адаптируются под текущий новостной фон.
Сейчас под прицел попадает безопасность данных пользователей альтернативных магазинов приложений.
Поэтому команды RuStore и «Лаборатории Касперского» объединили усилия, чтобы предоставить максимальную защиту от возможных угроз.
Каким образом? 🧐
👉 Kaspersky Scan Engine поможет выявить различные киберугрозы, включая трояны, фишинг, шпионское и нежелательное ПО. В решении применяются передовые защитные технологии компании, в том числе — на базе машинного обучения. Построенные с использованием многолетней экспертизы, они позволяют с высокой эффективностью обнаруживать как известные, так и неизвестные ранее угрозы.
👉 Kaspersky Sandbox (или «песочница») при необходимости проведёт поведенческий анализ файлов и сможет обнаружить в том числе продвинутые угрозы, опираясь на базу знаний Kaspersky Threat Intelligence о кибератаках, тактиках и техниках злоумышленников.
Больше новостей и интересных материалов из мира инфосека ищите на канале Kaspersky Daily.
Простота разработки под Android, развитая экосистема и широкое использование как во всём мире, так и в России способствовали появлению миллионов приложений на все случаи жизни. Пользователи Android являются привлекательной целью для злоумышленников, в связи с чем мобильные угрозы постоянно эволюционируют и адаптируются под текущий новостной фон.
Сейчас под прицел попадает безопасность данных пользователей альтернативных магазинов приложений.
Поэтому команды RuStore и «Лаборатории Касперского» объединили усилия, чтобы предоставить максимальную защиту от возможных угроз.
Каким образом? 🧐
👉 Kaspersky Scan Engine поможет выявить различные киберугрозы, включая трояны, фишинг, шпионское и нежелательное ПО. В решении применяются передовые защитные технологии компании, в том числе — на базе машинного обучения. Построенные с использованием многолетней экспертизы, они позволяют с высокой эффективностью обнаруживать как известные, так и неизвестные ранее угрозы.
👉 Kaspersky Sandbox (или «песочница») при необходимости проведёт поведенческий анализ файлов и сможет обнаружить в том числе продвинутые угрозы, опираясь на базу знаний Kaspersky Threat Intelligence о кибератаках, тактиках и техниках злоумышленников.
Больше новостей и интересных материалов из мира инфосека ищите на канале Kaspersky Daily.
Состоявшийся несколько дней назад Pwn2Own Vancouver 2022 приносит первые бонусы.
Mozilla выпустила обновления безопасности для нескольких продуктов, устранив продемонстрированные участниками хакерского поединка 0-day уязвимости. После успешной эксплуатации уязвимостей в первый день Pwn2Own их автор, Манфред Пол, заработал 100 000 долларов и набрал 10 баллов в рейтинге Master of Pwn.
Две критические баги позволяют злоумышленнику выполнить код JavaScript на мобильных и настольных устройствах с уязвимыми версиями Firefox 100.0.2, Firefox ESR 91.9.1, Firefox для Android 100.3 и Thunderbird 91.9.1.
Первая уязвимость связана с загрязнением прототипа в реализации Await верхнего уровня (отслеживается как CVE-2022-1802), влияющей на Array в JavaScript, которое приводит к выполнению кода в привилегированном контексте. Вторая CVE-2022-1529 позволяет злоумышленникам злоупотреблять индексированием объектов Java и связана с неправильной проверкой ввода в атаках с внедрением загрязнения прототипа.
Злоумышленник может отправить сообщение родительскому процессу, содержимое которого используется для двойного индексирования в объект JavaScript, что приводит к загрязнению прототипа и, в конечном итоге, к контролируемому злоумышленником выполнению JavaScript в привилегированном родительском процессе. По итогу атакующий может взять под контроль уязвимую систему.
Достаточно оперативно Mozilla исправила уязвимости, сумев разобраться с проблемами через два дня после того, как Манфред Пол представил их на Pwn2Own. Пользователям уязвимых решений рекомендуем держать тот же темп и обновиться до последних версий как можно скорее.
Mozilla выпустила обновления безопасности для нескольких продуктов, устранив продемонстрированные участниками хакерского поединка 0-day уязвимости. После успешной эксплуатации уязвимостей в первый день Pwn2Own их автор, Манфред Пол, заработал 100 000 долларов и набрал 10 баллов в рейтинге Master of Pwn.
Две критические баги позволяют злоумышленнику выполнить код JavaScript на мобильных и настольных устройствах с уязвимыми версиями Firefox 100.0.2, Firefox ESR 91.9.1, Firefox для Android 100.3 и Thunderbird 91.9.1.
Первая уязвимость связана с загрязнением прототипа в реализации Await верхнего уровня (отслеживается как CVE-2022-1802), влияющей на Array в JavaScript, которое приводит к выполнению кода в привилегированном контексте. Вторая CVE-2022-1529 позволяет злоумышленникам злоупотреблять индексированием объектов Java и связана с неправильной проверкой ввода в атаках с внедрением загрязнения прототипа.
Злоумышленник может отправить сообщение родительскому процессу, содержимое которого используется для двойного индексирования в объект JavaScript, что приводит к загрязнению прототипа и, в конечном итоге, к контролируемому злоумышленником выполнению JavaScript в привилегированном родительском процессе. По итогу атакующий может взять под контроль уязвимую систему.
Достаточно оперативно Mozilla исправила уязвимости, сумев разобраться с проблемами через два дня после того, как Манфред Пол представил их на Pwn2Own. Пользователям уязвимых решений рекомендуем держать тот же темп и обновиться до последних версий как можно скорее.
Mozilla
Security Vulnerabilities fixed in Firefox 100.0.2, Firefox for Android 100.3.0, Firefox ESR 91.9.1, Thunderbird 91.9.1
͏Пользователям Zoom рекомендуется обновиться до последней версии. Причем стоит быть крайне внимательным к устанавливаемой версии и позже поясним почему. На сегодняшний день актуальная 5.10.0.
На днях популярный сервис видеоконференций устранил целых четыре уязвимости в системе безопасности, которые могут быть использованы для компрометации пользователя в чате путем отправки специально созданных сообщений Extensible Messaging and Presence Protocol (XMPP) и выполнения вредоносного кода.
Обнаружение и сообщение обо всех четырех недостатках в феврале 2022 года приписывают Ивану Фретрику из Google Project Zero:
⁃ CVE-2022-22784 (оценка CVSS: 8,1) — неправильный анализ XML в клиенте Zoom для совещаний.
⁃ CVE-2022-22785 (оценка CVSS: 5,9) — неправильное ограничение сеансов файлов cookie в клиенте Zoom для совещаний.
⁃ CVE-2022-22786 (оценка CVSS: 7,5) — понижение версии пакета обновлений для Windows
⁃ CVE-2022-22787 (оценка CVSS: 5,9) — недостаточная проверка имени хоста во время переключения сервера в клиенте Zoom для совещаний.
Благодаря функциям чата, построенным на основе стандарта XMPP использование уязвимостей может позволить злоумышленнику замаскировать пользователя Zoom, подключиться к вредоносному серверу и даже загрузить вредоносное обновление, что собственно приведет к возможности выполнения произвольного кода.
Специалист назвал последовательность атак XMPP Stanza Smuggling (что-то типа "контрабанда строф XMPP"), так как один пользователь может подделывать сообщения, как если бы они исходили от другого пользователя, а также отправлять контрольные сообщения, которые будут приняты, как если бы они исходили от сервера.
Собственно на что мы и обращали внимание так это то, что цепочка эксплойтов может быть использована для взлома механизма обновления программного обеспечения путем MITM-атаки дабы заставить клиента подключаться к серверу с менее безопасной версией клиента Zoom.
Атака с понижением версии нацелена на версию приложения для Windows, а вот остальные CVE-2022-22784, CVE-2022-22785 и CVE-2022-22787 влияют на Android, iOS, Linux, macOS и Windows.
В настоящее время нет сообщений о том, что недостатки Zoom используются в дикой природе, но это уже не первый раз, когда исследователи Google Project Zero обнаруживают потенциально опасные уязвимости в платформе видеоконференций Zoom.
На днях популярный сервис видеоконференций устранил целых четыре уязвимости в системе безопасности, которые могут быть использованы для компрометации пользователя в чате путем отправки специально созданных сообщений Extensible Messaging and Presence Protocol (XMPP) и выполнения вредоносного кода.
Обнаружение и сообщение обо всех четырех недостатках в феврале 2022 года приписывают Ивану Фретрику из Google Project Zero:
⁃ CVE-2022-22784 (оценка CVSS: 8,1) — неправильный анализ XML в клиенте Zoom для совещаний.
⁃ CVE-2022-22785 (оценка CVSS: 5,9) — неправильное ограничение сеансов файлов cookie в клиенте Zoom для совещаний.
⁃ CVE-2022-22786 (оценка CVSS: 7,5) — понижение версии пакета обновлений для Windows
⁃ CVE-2022-22787 (оценка CVSS: 5,9) — недостаточная проверка имени хоста во время переключения сервера в клиенте Zoom для совещаний.
Благодаря функциям чата, построенным на основе стандарта XMPP использование уязвимостей может позволить злоумышленнику замаскировать пользователя Zoom, подключиться к вредоносному серверу и даже загрузить вредоносное обновление, что собственно приведет к возможности выполнения произвольного кода.
Специалист назвал последовательность атак XMPP Stanza Smuggling (что-то типа "контрабанда строф XMPP"), так как один пользователь может подделывать сообщения, как если бы они исходили от другого пользователя, а также отправлять контрольные сообщения, которые будут приняты, как если бы они исходили от сервера.
Собственно на что мы и обращали внимание так это то, что цепочка эксплойтов может быть использована для взлома механизма обновления программного обеспечения путем MITM-атаки дабы заставить клиента подключаться к серверу с менее безопасной версией клиента Zoom.
Атака с понижением версии нацелена на версию приложения для Windows, а вот остальные CVE-2022-22784, CVE-2022-22785 и CVE-2022-22787 влияют на Android, iOS, Linux, macOS и Windows.
В настоящее время нет сообщений о том, что недостатки Zoom используются в дикой природе, но это уже не первый раз, когда исследователи Google Project Zero обнаруживают потенциально опасные уязвимости в платформе видеоконференций Zoom.
Вслед за Mozilla обновления для флагманского браузера выпустила Google. В вышедшей стабильной версии Chrome 102 исправлено 32 уязвимости, в том числе критическая уязвимость, о которой сообщил анонимный исследователь.
Критическая ошибка CVE-2022-1853 связана с использованием после освобождения и влияет на индексированную базу данных. Google узнал о ней 12 мая и пока не определила награду за уязвимость.
В Chrome 102 также устранены 8 серьезных уязвимостей, обнаруженные сторонними исследователями.
Наиболее серьезной из них является CVE-2022-1854 (использование после освобождения) в компоненте ANGLE веб-браузера. За раскрытие уязвимости исследователь Сонхван Пак получил 10 000 долларов согласно таксам по программе вознаграждения Google.
Ошибку можно использовать для повреждения данных, DoS-атак или выполнения произвольного кода. Кроме того, такой тип ошибки в Chrome может позволить злоумышленнику выйти из песочницы, но для этого ему необходимо будет заручиться и другой уязвимостью.
Среди других уязвимостей высокой степени серьезности, исправленных в Chrome, также присутствуют CVE-2022-1855 (использование после освобождения в Messaging, исследователю выплачено 7500 долларов) и CVE-2022-1856 (использование после освобождения в User Education, исследователю выплачено 3000 долларов).
Оставшимся 15 уязвимостям, выявленным внешними исследователями, был присвоен рейтинг серьезности «средний» или «низкий». За три ошибки средней серьезности было выплачено вознаграждение в размере 5000 долларов США, а за уязвимость низкой степени серьезности — 7000 долларов США.
Сведений об использований уязвимостей в дикой природе Google не раскрывает. До настоящего момента известно лишь о трех уязвимостях Chrome, которые уже использовались в атаках в этом году.
Критическая ошибка CVE-2022-1853 связана с использованием после освобождения и влияет на индексированную базу данных. Google узнал о ней 12 мая и пока не определила награду за уязвимость.
В Chrome 102 также устранены 8 серьезных уязвимостей, обнаруженные сторонними исследователями.
Наиболее серьезной из них является CVE-2022-1854 (использование после освобождения) в компоненте ANGLE веб-браузера. За раскрытие уязвимости исследователь Сонхван Пак получил 10 000 долларов согласно таксам по программе вознаграждения Google.
Ошибку можно использовать для повреждения данных, DoS-атак или выполнения произвольного кода. Кроме того, такой тип ошибки в Chrome может позволить злоумышленнику выйти из песочницы, но для этого ему необходимо будет заручиться и другой уязвимостью.
Среди других уязвимостей высокой степени серьезности, исправленных в Chrome, также присутствуют CVE-2022-1855 (использование после освобождения в Messaging, исследователю выплачено 7500 долларов) и CVE-2022-1856 (использование после освобождения в User Education, исследователю выплачено 3000 долларов).
Оставшимся 15 уязвимостям, выявленным внешними исследователями, был присвоен рейтинг серьезности «средний» или «низкий». За три ошибки средней серьезности было выплачено вознаграждение в размере 5000 долларов США, а за уязвимость низкой степени серьезности — 7000 долларов США.
Сведений об использований уязвимостей в дикой природе Google не раскрывает. До настоящего момента известно лишь о трех уязвимостях Chrome, которые уже использовались в атаках в этом году.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 102 to the stable channel for Windows ( 102.0.5005.61/62/63) , 102.0.5005....
Forwarded from Russian OSINT
📲☕️Новостной дайджест
1️⃣ В РФ разработали комплекс скрытного досмотра людей "Досмотр". Специалисты разработали базовые инструменты профайлинга людей, исходя из их сетевой активности на платформах TikTok, Youtube, "ВКонтакте", Yandex, Facebook (запрещен в РФ; принадлежит корпорации Meta*, которая признана в РФ экстремистской) и других сервисов. Принцип его действия основан на безопасных электромагнитных волнах миллиметрового и терагерцового диапазонов.
2️⃣ Twitter выплатит штраф в размере 150 миллионов долларов по иску о защите данных пользователей. С мая 2013 года по сентябрь 2019 года Twitter собирал номера телефонов и адреса электронной почты пользователей "в целях безопасности", но не раскрывал того факта, что он будет использовать эту информацию для таргетированной рекламы.
3️⃣ Rutube расширит штат по кибербезопасности после кибератаки
4️⃣ Прокуратура привлекла Google к делу The Tor Project. Ведомство просит удалить из Google Play приложение Tor Browser.
5️⃣ Индийская авиакомпания-лоукостер SpiceJet подверглась мощной атаке шифровальщика. Клиенты компании испытают многочисленные трудности с задержками рейсов, не могут дозвониться в компанию, система бронирования недоступна для использования. В компании работает более 14 000 сотрудников, и она занимает около 15% доли местного рынка в Индии.
6️⃣ ProtonMail объединяет свои сервисы: почту, календарь, VPN и облачное хранение под один бренд "Proton"
7️⃣ Пророссийская хакерская группировка "XakNet Team" при помощи DDoS-атаки вывела из строя систему корректировки огня артиллерии Украины
8️⃣ Хакеры из KillNet утверждают, что взломали системы СБУ, включая их сайты. Также взломан Укринформ.
9️⃣ GoodWill ransomware заставляет людей совершать добрые дела в обмен на дешифрование файлов: раздать одежду бездомным или оплатить медицинские счета тем, кто нуждается в срочной медицинской помощи.
🔟 Clearview AI планирует расширить свои услуги по распознаванию лиц для банков и школ
1️⃣ В РФ разработали комплекс скрытного досмотра людей "Досмотр". Специалисты разработали базовые инструменты профайлинга людей, исходя из их сетевой активности на платформах TikTok, Youtube, "ВКонтакте", Yandex, Facebook (запрещен в РФ; принадлежит корпорации Meta*, которая признана в РФ экстремистской) и других сервисов. Принцип его действия основан на безопасных электромагнитных волнах миллиметрового и терагерцового диапазонов.
2️⃣ Twitter выплатит штраф в размере 150 миллионов долларов по иску о защите данных пользователей. С мая 2013 года по сентябрь 2019 года Twitter собирал номера телефонов и адреса электронной почты пользователей "в целях безопасности", но не раскрывал того факта, что он будет использовать эту информацию для таргетированной рекламы.
3️⃣ Rutube расширит штат по кибербезопасности после кибератаки
4️⃣ Прокуратура привлекла Google к делу The Tor Project. Ведомство просит удалить из Google Play приложение Tor Browser.
5️⃣ Индийская авиакомпания-лоукостер SpiceJet подверглась мощной атаке шифровальщика. Клиенты компании испытают многочисленные трудности с задержками рейсов, не могут дозвониться в компанию, система бронирования недоступна для использования. В компании работает более 14 000 сотрудников, и она занимает около 15% доли местного рынка в Индии.
6️⃣ ProtonMail объединяет свои сервисы: почту, календарь, VPN и облачное хранение под один бренд "Proton"
7️⃣ Пророссийская хакерская группировка "XakNet Team" при помощи DDoS-атаки вывела из строя систему корректировки огня артиллерии Украины
8️⃣ Хакеры из KillNet утверждают, что взломали системы СБУ, включая их сайты. Также взломан Укринформ.
9️⃣ GoodWill ransomware заставляет людей совершать добрые дела в обмен на дешифрование файлов: раздать одежду бездомным или оплатить медицинские счета тем, кто нуждается в срочной медицинской помощи.
🔟 Clearview AI планирует расширить свои услуги по распознаванию лиц для банков и школ
͏Однако не все гладко в ситуации с недавним исправлением Mozilla двух критических уязвимостей CVE-2022-1802 и CVE-2022-1529 в браузере Firefox, о которых стало известно в ходе прошедшего накануне Pwn2Own.
Разработчики проекта The Amnesic Incognito Live System (или сокращенно Tails) выпустили предупреждение о том, что входящий в состав ОС Tor Browser как модифицированная версия Firefox небезопасен с точки зрения конфиденциальности. Пользователям рекомендуется временно приостановить использование системы до выхода новой версии 5.1, которая ожидается к 31 мая.
Вместе с тем, браузер Tor с активированным режимом наивысшей безопасности, а также почтовый клиент Thunderbird в операционной системе не подвержены уязвимостям, поскольку в обоих случаях JavaScript по умолчанию отключен.
Как заявляют Tails, ошибки не влияют на анонимность и защиту шифрования, встроенную в Tor Browser, и по мнению разработчиков, пользователи, не работающие с конфиденциальной информацией (пароли, личные сообщения, личная информация и пр.), ничего не рискуют и могут продолжать использовать браузер.
Однако мы не совсем разделяем этот оптимизм.
Ведь, если помните журналисты FLB показывали официальные документы об источниках финансирования НКО The Tor Project, в ведении которой Tor находится с 2006 года.
Если говорить кратко - в период с 2006 по 2018 годы The Tor Project получили от спонсоров в общей сложности 32,5 млн. долларов, из которых 80% составили поступления от американских правительственных учреждений (Госдепартамент, Министерство обороны), их дочерних организаций и фондов.
Безусловно, они контролируют деятельность The Tor Project и могут тем или иным образом влиять на работу Tor.
Предупреждения и обновления - это, конечно же, приветствуется, но кому надо, тот и без JavaScript уже давно наблюдает через ширму вашей анонимности в Tor.
Разработчики проекта The Amnesic Incognito Live System (или сокращенно Tails) выпустили предупреждение о том, что входящий в состав ОС Tor Browser как модифицированная версия Firefox небезопасен с точки зрения конфиденциальности. Пользователям рекомендуется временно приостановить использование системы до выхода новой версии 5.1, которая ожидается к 31 мая.
Вместе с тем, браузер Tor с активированным режимом наивысшей безопасности, а также почтовый клиент Thunderbird в операционной системе не подвержены уязвимостям, поскольку в обоих случаях JavaScript по умолчанию отключен.
Как заявляют Tails, ошибки не влияют на анонимность и защиту шифрования, встроенную в Tor Browser, и по мнению разработчиков, пользователи, не работающие с конфиденциальной информацией (пароли, личные сообщения, личная информация и пр.), ничего не рискуют и могут продолжать использовать браузер.
Однако мы не совсем разделяем этот оптимизм.
Ведь, если помните журналисты FLB показывали официальные документы об источниках финансирования НКО The Tor Project, в ведении которой Tor находится с 2006 года.
Если говорить кратко - в период с 2006 по 2018 годы The Tor Project получили от спонсоров в общей сложности 32,5 млн. долларов, из которых 80% составили поступления от американских правительственных учреждений (Госдепартамент, Министерство обороны), их дочерних организаций и фондов.
Безусловно, они контролируют деятельность The Tor Project и могут тем или иным образом влиять на работу Tor.
Предупреждения и обновления - это, конечно же, приветствуется, но кому надо, тот и без JavaScript уже давно наблюдает через ширму вашей анонимности в Tor.
Forwarded from Social Engineering
⚙️ Инструменты для Red Team. Физическая безопасность.
Red Team — это попытки получить доступ к системе любыми способами, включающими в себя тестирование на проникновение; физический доступ; тестирование линий связи, беспроводных и радиочастотных систем; тестирование сотрудников посредством сценариев социальной инженерии.
• В этом репозитории ты сможешь найти более 60 вспомогательных инструментов, которые используются в реальных сценариях проникновения на территорию какого-либо объекта. Тут есть всё: от фонарика и скрытых камер, до набора отмычек и летающего дрона.
🧷 https://github.com/0xOverflow/RedTeam-Physical-Tools
Твой S.E. #Red_Team
Red Team — это попытки получить доступ к системе любыми способами, включающими в себя тестирование на проникновение; физический доступ; тестирование линий связи, беспроводных и радиочастотных систем; тестирование сотрудников посредством сценариев социальной инженерии.
🖖🏻 Приветствую тебя user_name.
• Мы уже говорили на тему методов проникновения в офисные здания или на территорию определенной организации, но мы не затрагивали тему вспомогательных инструментов, которые помогают социальным инженерам или red team проникнуть на объект и завершить задуманное.• В этом репозитории ты сможешь найти более 60 вспомогательных инструментов, которые используются в реальных сценариях проникновения на территорию какого-либо объекта. Тут есть всё: от фонарика и скрытых камер, до набора отмычек и летающего дрона.
🧷 https://github.com/0xOverflow/RedTeam-Physical-Tools
Твой S.E. #Red_Team
Не самая популярная в наших кругах американская компания Open Automation Software попала в поле зрение специалистов Cisco Talos, которым удалось обнаружить восемь уязвимостей в их платформе.
Компания предоставляет решения для подключения устройств ICS или IoT, но как заявляют представители ее решения используются некоторыми крупнейшими мировыми компаниями в сфере энергетики, обороны, аэрокосмической отрасли, здравоохранении, водном хозяйстве и автомобилестроении. Сама же платформа OAS основана на универсальной интеграции, передачи и визуализации данных для ПЛК от разных поставщиков.
О проблеме сообщил исследователь Джаред Риттл, который обнаружил в платформе OAS восемь багов потенциально позволяющие злоумышленникам использовать их для выполнения произвольного кода, DoS-атак, получения конфиденциальной информации и других целей.
Компания утверждает, что поставщик был проинформирован об уязвимостях в марте и апреле и выпустил соответствующие исправления на прошлой неделе.
Две уязвимости получили критический рейтинг серьезности на основе их оценки CVSS:
⁃ CVE-2022-26082 - уязвимость записи файла, которую можно использовать для удаленного выполнения кода с использованием специально созданных сетевых запросов;
⁃ CVE-2022-26833 - уязвимость, которая позволяет злоумышленнику аутентифицироваться как пользователь по умолчанию с отправленным пустым именем пользователя и паролем.
Пять проблем с высокой степенью серьезности связаны с незашифрованной передачей конфиденциальных данных, раскрытием информации злоумышленникам, не прошедшим проверку подлинности, причем которые могут отправлять специально созданные сетевые запросы приводящие к потере связи, а также возможность создания учетных записей пользователей и настройку безопасности групп.
Технические подробности для каждой из уязвимостей платформы OAS, а также меры по их устранению в Talos скрыли от нашего брата, но те кому интересно найдут способ посмотреть.
Компания предоставляет решения для подключения устройств ICS или IoT, но как заявляют представители ее решения используются некоторыми крупнейшими мировыми компаниями в сфере энергетики, обороны, аэрокосмической отрасли, здравоохранении, водном хозяйстве и автомобилестроении. Сама же платформа OAS основана на универсальной интеграции, передачи и визуализации данных для ПЛК от разных поставщиков.
О проблеме сообщил исследователь Джаред Риттл, который обнаружил в платформе OAS восемь багов потенциально позволяющие злоумышленникам использовать их для выполнения произвольного кода, DoS-атак, получения конфиденциальной информации и других целей.
Компания утверждает, что поставщик был проинформирован об уязвимостях в марте и апреле и выпустил соответствующие исправления на прошлой неделе.
Две уязвимости получили критический рейтинг серьезности на основе их оценки CVSS:
⁃ CVE-2022-26082 - уязвимость записи файла, которую можно использовать для удаленного выполнения кода с использованием специально созданных сетевых запросов;
⁃ CVE-2022-26833 - уязвимость, которая позволяет злоумышленнику аутентифицироваться как пользователь по умолчанию с отправленным пустым именем пользователя и паролем.
Пять проблем с высокой степенью серьезности связаны с незашифрованной передачей конфиденциальных данных, раскрытием информации злоумышленникам, не прошедшим проверку подлинности, причем которые могут отправлять специально созданные сетевые запросы приводящие к потере связи, а также возможность создания учетных записей пользователей и настройку безопасности групп.
Технические подробности для каждой из уязвимостей платформы OAS, а также меры по их устранению в Talos скрыли от нашего брата, но те кому интересно найдут способ посмотреть.
Cisco Talos Blog
Vulnerability Spotlight: Vulnerabilities in Open Automation Software Platform could lead to information disclosure, denial of service
Jared Rittle of Cisco Talos discovered these vulnerabilities.
Cisco Talos recently discovered eight vulnerabilities in the Open Automation Software Platform that could allow an adversary to carry out a variety of malicious actions, including improperly authenticating…
Cisco Talos recently discovered eight vulnerabilities in the Open Automation Software Platform that could allow an adversary to carry out a variety of malicious actions, including improperly authenticating…
Последнее китайское предупреждение от команды Horizon3 Attack Team.
В ближайшее время исследователи намерены раскрыть технические подробности и выпустить PoC для критической CVE-2022-22972 с оценкой CVSSv3 9,8, которая затрагивает VMware Workspace ONE Access, Identity Manager и vRealize Automation, позволяя злоумышленникам обходить аутентификацию и добраться до пользователей локального домена.
Как мы уже писали, проблема была экстренно устранена VMware в прошлую среду.
В качестве тизера Horizon3 опубликовали снимок экрана с демонстрацией доступа к экземпляру VMware Workspace ONE, при том, что ни один пользователь не вошел в систему через веб-интерфейс входа.
Несмотря на отсутствие официальных отчетов об атаках с использованием уязвимости, исследователи предполагают, что хакеры скорее всего уже располагают эксплойтом и, вероятно, начали его применять на практике.
Что еще хуже, в полку ориентированных на решения VMware ransomware-групп прибавилось. Ряды LockBit и Hive пополнились новой операцией Cheers (или Cheerscrypt). Новый вирус-вымогатель на нацелен на серверы виртуализации VMware ESXi под ОС Linux.
Новый штамм ransomware обнаружили аналитики Trend Micro, отслеживая его с марта 2022 года. Ресерчеры, несмотря на отсутствие образцов, не исключают модификации вируса под ОС Windows.
Малварь срабатывает на этапе компрометации сервера VMware ESXi, автоматически составляя перечень работающих виртуальных машин и отключая их посредством команды esxcli.
В процессе шифрования вирус реализует поиск файлов со расширениями log, vmdk, vmem, vswp и vmsn, связанные с образами ESXi, с файлами журналов, файлами подкачки, и виртуальными дисками, после чего добавляет к наименованию файлов расширение Cheers и кидает в каждую папку записку о выкупе. При этом переименование происходит до шифрования.
Схема шифрования использует пару в виде открытого и закрытого ключей для получения секретного ключа (потоковое шифрование SOSEMANUK) и встраивания его в каждый зашифрованный файл. Закрытый ключ, используемый для создания секретного ключа, после чего стирается, предотвращая восстановление.
Cheers осуществляет эксфильтрацию данных во время атак и использует украденные данные в атаках с двойным вымогательством. Каждая жертва получает уникальный сайт в Tor для ведения переговоров. Кроме того, в записках о выкупе указывается единый для всех жертв URL-адрес DLS, содержащий на данные момент сведения в отношении четырех жертв.
С момента заражения у жертвы Cheers есть три дня для выхода на связь с вымогателями. В случае отказа от уплаты выкупа, украденные сведения реализуются с молотка желающим их приобрести, при отсутствии которых публикуются на сайте утечек на всеобщее обозрение.
Судя по перечисленным жертвам, в приоритете у Cheers - крупный корпоративный сегмент, способный удовлетворить большие аппетиты хакеров.
Всем нежелающим попасть в шорт-лист вымогателей или прочих АРТ рекомендуем внимательно прислушаться к рекомендациям VMware и обновить уязвимые компоненты.
В ближайшее время исследователи намерены раскрыть технические подробности и выпустить PoC для критической CVE-2022-22972 с оценкой CVSSv3 9,8, которая затрагивает VMware Workspace ONE Access, Identity Manager и vRealize Automation, позволяя злоумышленникам обходить аутентификацию и добраться до пользователей локального домена.
Как мы уже писали, проблема была экстренно устранена VMware в прошлую среду.
В качестве тизера Horizon3 опубликовали снимок экрана с демонстрацией доступа к экземпляру VMware Workspace ONE, при том, что ни один пользователь не вошел в систему через веб-интерфейс входа.
Несмотря на отсутствие официальных отчетов об атаках с использованием уязвимости, исследователи предполагают, что хакеры скорее всего уже располагают эксплойтом и, вероятно, начали его применять на практике.
Что еще хуже, в полку ориентированных на решения VMware ransomware-групп прибавилось. Ряды LockBit и Hive пополнились новой операцией Cheers (или Cheerscrypt). Новый вирус-вымогатель на нацелен на серверы виртуализации VMware ESXi под ОС Linux.
Новый штамм ransomware обнаружили аналитики Trend Micro, отслеживая его с марта 2022 года. Ресерчеры, несмотря на отсутствие образцов, не исключают модификации вируса под ОС Windows.
Малварь срабатывает на этапе компрометации сервера VMware ESXi, автоматически составляя перечень работающих виртуальных машин и отключая их посредством команды esxcli.
В процессе шифрования вирус реализует поиск файлов со расширениями log, vmdk, vmem, vswp и vmsn, связанные с образами ESXi, с файлами журналов, файлами подкачки, и виртуальными дисками, после чего добавляет к наименованию файлов расширение Cheers и кидает в каждую папку записку о выкупе. При этом переименование происходит до шифрования.
Схема шифрования использует пару в виде открытого и закрытого ключей для получения секретного ключа (потоковое шифрование SOSEMANUK) и встраивания его в каждый зашифрованный файл. Закрытый ключ, используемый для создания секретного ключа, после чего стирается, предотвращая восстановление.
Cheers осуществляет эксфильтрацию данных во время атак и использует украденные данные в атаках с двойным вымогательством. Каждая жертва получает уникальный сайт в Tor для ведения переговоров. Кроме того, в записках о выкупе указывается единый для всех жертв URL-адрес DLS, содержащий на данные момент сведения в отношении четырех жертв.
С момента заражения у жертвы Cheers есть три дня для выхода на связь с вымогателями. В случае отказа от уплаты выкупа, украденные сведения реализуются с молотка желающим их приобрести, при отсутствии которых публикуются на сайте утечек на всеобщее обозрение.
Судя по перечисленным жертвам, в приоритете у Cheers - крупный корпоративный сегмент, способный удовлетворить большие аппетиты хакеров.
Всем нежелающим попасть в шорт-лист вымогателей или прочих АРТ рекомендуем внимательно прислушаться к рекомендациям VMware и обновить уязвимые компоненты.
Trend Micro
New Linux-Based Ransomware Cheerscrypt Targets ESXi Devices
New findings showed that Cheerscrypt, a new Linux-based ransomware variant that compromises ESXi servers, was derived from the leaked Babuk source code. We discuss our analysis in this report.
День Х настал, и не говорите, что не предупреждали.
Исследователи Horizon3 сегодня опубликовали эксплойт (PoC) и технический анализ критической уязвимости CVE-2022-22972 для обхода аутентификации в vRealize Automation и получения прав администратора в продуктах VMware.
Как вы помните, большинство атак АРТ в 2021 году были связаны отнюдь не с уникальными 0-day, а основывались на эксплуатации общеизвестного набора уязвимостей, который пополнился достаточно простой в эксплуатации и эффективной CVE-2022-22972.
Похоже, что следующие посты по инцидентам с VMware будем начинать с того, что «а ведь мы предупреждали».
Исследователи Horizon3 сегодня опубликовали эксплойт (PoC) и технический анализ критической уязвимости CVE-2022-22972 для обхода аутентификации в vRealize Automation и получения прав администратора в продуктах VMware.
Как вы помните, большинство атак АРТ в 2021 году были связаны отнюдь не с уникальными 0-day, а основывались на эксплуатации общеизвестного набора уязвимостей, который пополнился достаточно простой в эксплуатации и эффективной CVE-2022-22972.
Похоже, что следующие посты по инцидентам с VMware будем начинать с того, что «а ведь мы предупреждали».
Horizon3.ai
VMware Authentication Bypass Vulnerability (CVE-2022-22972) Technical Deep Dive
Technical deep dive into VMware’s recently patched authentication bypass vulnerability allowing an attacker to login as any known local user.
͏Обновления Microsoft Windows - это всегда как сериал. Настоящая Санта-Барбара бесконечной череды исправлений: патчится одно - вылетает другое, а потом сам патч нужно пропатчить. Про Defender даже и вспоминать не будем…
На этот раз накопительные обновления KB5014019 для Windows 11, Windows 10 версии 1809 и Windows Server 2022 вывели из строя решения безопасности Trend Micro, которые реализуют защиту системы, включая и от ransomware.
Проблема затрагивает драйвер User Mode Hooking (UMH) Trend Micro в компонентах Apex One 2019, Worry-Free Business Security Advanced 10.0, Apex One as a Service 2019, Deep Security 20.0, Deep Security 12.0 и Worry-Free Business Security Services 6.7.
Теперь японский разработчик ломает голову над решением проблемы, перед тем, как предварительные исправления не станут частью июньского PatchTuesday.
Конечно же, решение для возникшей проблемки стандартное: просто удалите предварительные обновления, используя команду wusa/uninstall/kb:5014022. К счастью, в отличие от обычных обновлений Windows, предварительные не являются обязательными. Установившие исправление для Windows клиенты Trend Micro могут либо временно удалить это исправление, либо получить в службе поддержки модуль отладки UMH.
Но радоваться не стоит и уж точно надеятся на PatchTuesday, по крайней мере, на июньский.
На этот раз накопительные обновления KB5014019 для Windows 11, Windows 10 версии 1809 и Windows Server 2022 вывели из строя решения безопасности Trend Micro, которые реализуют защиту системы, включая и от ransomware.
Проблема затрагивает драйвер User Mode Hooking (UMH) Trend Micro в компонентах Apex One 2019, Worry-Free Business Security Advanced 10.0, Apex One as a Service 2019, Deep Security 20.0, Deep Security 12.0 и Worry-Free Business Security Services 6.7.
Теперь японский разработчик ломает голову над решением проблемы, перед тем, как предварительные исправления не станут частью июньского PatchTuesday.
Конечно же, решение для возникшей проблемки стандартное: просто удалите предварительные обновления, используя команду wusa/uninstall/kb:5014022. К счастью, в отличие от обычных обновлений Windows, предварительные не являются обязательными. Установившие исправление для Windows клиенты Trend Micro могут либо временно удалить это исправление, либо получить в службе поддержки модуль отладки UMH.
Но радоваться не стоит и уж точно надеятся на PatchTuesday, по крайней мере, на июньский.
Forwarded from SecurityLab.ru
Спецвыпуск: PHDays 11
На Positive Hack Days 11 презентовали новую платформу Bug Bounty, выступили министр цифрового развития России Максут Шадаев и официальный представитель МИД РФ Мария Захарова, а атакующие на The Standoff реализовали 30 уникальных недопустимых событий. Главред SecurityLab.ru Александр Антипов и его гости рассказывают о самых интересных событиях форума: итогах эпичной кибербитвы и инвестициях в кибербез, докладах и конкурсах, креативных собеседованиях и даже музыкальном соревновании с участием дракона.
https://www.youtube.com/watch?v=cUhhbgUdbj8
На Positive Hack Days 11 презентовали новую платформу Bug Bounty, выступили министр цифрового развития России Максут Шадаев и официальный представитель МИД РФ Мария Захарова, а атакующие на The Standoff реализовали 30 уникальных недопустимых событий. Главред SecurityLab.ru Александр Антипов и его гости рассказывают о самых интересных событиях форума: итогах эпичной кибербитвы и инвестициях в кибербез, докладах и конкурсах, креативных собеседованиях и даже музыкальном соревновании с участием дракона.
https://www.youtube.com/watch?v=cUhhbgUdbj8
YouTube
Спецвыпуск: PHDays 11
Александр Антипов и команда посетили самый большой Форум по практической кибербезопасности PHDays 11
Наш интерактивный годовой отчёт можно посмотреть здесь 👉 https://ar2021.ptsecurity.com
#phdays11 #cybersecurity #кибербезопасность #phdays
Наш интерактивный годовой отчёт можно посмотреть здесь 👉 https://ar2021.ptsecurity.com
#phdays11 #cybersecurity #кибербезопасность #phdays
Неисповедимы горизонты угроз безопасности, особенно когда об уязвимости в серверном оборудовании известно почти 2 года и каждый седьмой сервер на планете принадлежит ее производителю.
Речь идет о серверах, созданных Quanta Cloud Technology (QCT) и подвержены эти сервера уязвимости контроллера управления основной платой (BMC), известной как CVE-2019-6260 или Pantsdown (оценка CVSS: 9,8).
Контроллер управления основной платой — это специализированная система, используемая для удаленного мониторинга и управления серверами, включая управление низкоуровневыми настройками оборудования, а также установку обновлений прошивки и программного обеспечения.
Как говорят специалисты компании Eclypsium злоумышленник, запускающий код на уязвимом сервере QCT, может мигрировать с хоста сервера на BMC и реализовать атаки на сеть управления сервером, а также получить дополнительные разрешения для других BMC в сети и тем самым скомпрометировать доступ к другим серверам. В общем у злоумышленника флеш-рояль по реализациям векторов атаки от банального выключения сервера, до ransomware.
Для проверки концепции в компании разработали эксплойт и наглядно показали, как злоумышленник с удаленным доступом к операционной системе может использовать уязвимость для выполнения произвольного кода в BMC целевого сервера.
Уязвимость, подробности которой были раскрыты еще в начале 2019 года, затрагивает аппаратное и микропрограммное обеспечение ASPEED ast2400 и ast2500 BMC, реализующие мосты Advanced High-performance Bus, которые в свою очередь обеспечивают доступ для чтения и записи к физическому адресному пространству BMC.
Тогда же, несколько крупных производителей выпустили бюллетени для информирования своих клиентов о критической уязвимости, включая Supermicro, IBM, HP и Gigabyte. Но в прошлом году Eclypsium снова сообщила, что серверы QCT по-прежнему подвержены уязвимости Pantsdown, а для справки решения QCT используются в центрах обработки данных таких крупных компаний как Facebook и Rackspace.
Самое интересное, что патч доступен не для всех, так как поставщик сообщил Eclypsium, что новая прошивка, устраняющая эту уязвимость не будет обнародована и будет доступна для клиентов в частном порядке. В данной связи неясно, сколько клиентов на самом деле установили исправления.
Речь идет о серверах, созданных Quanta Cloud Technology (QCT) и подвержены эти сервера уязвимости контроллера управления основной платой (BMC), известной как CVE-2019-6260 или Pantsdown (оценка CVSS: 9,8).
Контроллер управления основной платой — это специализированная система, используемая для удаленного мониторинга и управления серверами, включая управление низкоуровневыми настройками оборудования, а также установку обновлений прошивки и программного обеспечения.
Как говорят специалисты компании Eclypsium злоумышленник, запускающий код на уязвимом сервере QCT, может мигрировать с хоста сервера на BMC и реализовать атаки на сеть управления сервером, а также получить дополнительные разрешения для других BMC в сети и тем самым скомпрометировать доступ к другим серверам. В общем у злоумышленника флеш-рояль по реализациям векторов атаки от банального выключения сервера, до ransomware.
Для проверки концепции в компании разработали эксплойт и наглядно показали, как злоумышленник с удаленным доступом к операционной системе может использовать уязвимость для выполнения произвольного кода в BMC целевого сервера.
Уязвимость, подробности которой были раскрыты еще в начале 2019 года, затрагивает аппаратное и микропрограммное обеспечение ASPEED ast2400 и ast2500 BMC, реализующие мосты Advanced High-performance Bus, которые в свою очередь обеспечивают доступ для чтения и записи к физическому адресному пространству BMC.
Тогда же, несколько крупных производителей выпустили бюллетени для информирования своих клиентов о критической уязвимости, включая Supermicro, IBM, HP и Gigabyte. Но в прошлом году Eclypsium снова сообщила, что серверы QCT по-прежнему подвержены уязвимости Pantsdown, а для справки решения QCT используются в центрах обработки данных таких крупных компаний как Facebook и Rackspace.
Самое интересное, что патч доступен не для всех, так как поставщик сообщил Eclypsium, что новая прошивка, устраняющая эту уязвимость не будет обнародована и будет доступна для клиентов в частном порядке. В данной связи неясно, сколько клиентов на самом деле установили исправления.
Eclypsium | Supply Chain Security for the Modern Enterprise
Quanta Servers (Still) Vulnerable to Pantsdown
Eclypsium research has identified that Quanta Cloud Technology (QCT) server models are vulnerable to the well-known ‘Pantsdown’ BMC vulnerability (CVE-2019-6260). We have developed a proof-of-concept exploit demonstrating how even an unsophisticated attacker…
Интересное продолжение получила описанная нами история с компрометацией популярных библиотек CTX и PHPass, в результате которой пакеты были дополнены вредоносным кодом для кражи учетных данных AWS разработчика через конечную точку Heroku.
Резонансность инцидента заставила актора признаться и пролить свет на причины взлома, заявить о том, что это был этичный хак, без злонамеренного умысла, по факту - проверка концепции (PoC) в расчёте на вознаграждение за обнаруженную ошибку. Актором выступил ресерчер из Стамбула Юнус Айдын, также известный как SockPuppets.
Хакер зарегистрировал аккаунт первоначального сопровождающего библиотеки на свое имя, однако привязанный к аккаунту адрес электронной почты Леджера остался тем же. Кроме того, веб-страница Heroku также вела к исследователю.
Однако не все наблюдавшие за инцидентом поверили в показания ресерчера, ведь, как правило, в большинстве программ PoC и Bug Bounty, нацеленных на библиотеки с открытым исходным кодом, используется упрощенный код, который вместо кражи переменных сред разработчика и учетных данных AWS, выдает сообщение «вас взломали!» в целевой системе или собирает общую инфу о системе, будь то IP-адрес пользователя, имя хоста или рабочий каталог.
Тем не менее, со слов Айдына, в HackerOne был отправлен соответствующий отчет, но он был отклонен.
Настораживает другое: сразу после хака Айдын решил потерпеть следу своего пребывания в сети, прикрыв свой сайт (виден из архива), а также профиль на BugCrowd. Он объяснил это тем, что это бесплатный веб-хостинг с дневным лимитом посещений, поэтому 000webhost закрыл его из-за большого трафика.
Хакер пояснил схему взлома, которая совпала с представленными первоначальными выводами. Исследователь использовал бота для обхода различных реестров с открытым исходным кодом и извлечения адреса электронной почты сопровождающего, указанного для каждого из пакетов в реестрах.
Пакет ctx изначально был опубликован в реестре PyPI с использованием адреса электронной почты figlief@figlief.com. После регистрации уже доступного доменного имени figlief.com и повторного создания адреса электронной почты сопровождающего исследователь успешно инициировал сброс пароля в PyPI для проекта ctx.
Таким образом, он смог снова войти в учетную запись сопровождающего PyPI для пакета ctx и опубликовать измененные версии. Благодаря этому исследованию, Айдын получил 1000 переменных среды через свое веб-приложение Heroku. Однако большая часть из них была сгенерированными фейками для обвала Heroku хакера.
Как бы ни было на самом деле, проблема скажем так, давно известна. Исследование Microsoft совместно с в 2021 году и исследователями из Университета штата Северная Каролина, показало, что тысячи проектов JavaScript в npm имели «просроченный» адрес почты сопровождающего. Будем полагать, что выводы актуальны и до сих пор.
Резонансность инцидента заставила актора признаться и пролить свет на причины взлома, заявить о том, что это был этичный хак, без злонамеренного умысла, по факту - проверка концепции (PoC) в расчёте на вознаграждение за обнаруженную ошибку. Актором выступил ресерчер из Стамбула Юнус Айдын, также известный как SockPuppets.
Хакер зарегистрировал аккаунт первоначального сопровождающего библиотеки на свое имя, однако привязанный к аккаунту адрес электронной почты Леджера остался тем же. Кроме того, веб-страница Heroku также вела к исследователю.
Однако не все наблюдавшие за инцидентом поверили в показания ресерчера, ведь, как правило, в большинстве программ PoC и Bug Bounty, нацеленных на библиотеки с открытым исходным кодом, используется упрощенный код, который вместо кражи переменных сред разработчика и учетных данных AWS, выдает сообщение «вас взломали!» в целевой системе или собирает общую инфу о системе, будь то IP-адрес пользователя, имя хоста или рабочий каталог.
Тем не менее, со слов Айдына, в HackerOne был отправлен соответствующий отчет, но он был отклонен.
Настораживает другое: сразу после хака Айдын решил потерпеть следу своего пребывания в сети, прикрыв свой сайт (виден из архива), а также профиль на BugCrowd. Он объяснил это тем, что это бесплатный веб-хостинг с дневным лимитом посещений, поэтому 000webhost закрыл его из-за большого трафика.
Хакер пояснил схему взлома, которая совпала с представленными первоначальными выводами. Исследователь использовал бота для обхода различных реестров с открытым исходным кодом и извлечения адреса электронной почты сопровождающего, указанного для каждого из пакетов в реестрах.
Пакет ctx изначально был опубликован в реестре PyPI с использованием адреса электронной почты figlief@figlief.com. После регистрации уже доступного доменного имени figlief.com и повторного создания адреса электронной почты сопровождающего исследователь успешно инициировал сброс пароля в PyPI для проекта ctx.
Таким образом, он смог снова войти в учетную запись сопровождающего PyPI для пакета ctx и опубликовать измененные версии. Благодаря этому исследованию, Айдын получил 1000 переменных среды через свое веб-приложение Heroku. Однако большая часть из них была сгенерированными фейками для обвала Heroku хакера.
Как бы ни было на самом деле, проблема скажем так, давно известна. Исследование Microsoft совместно с в 2021 году и исследователями из Университета штата Северная Каролина, показало, что тысячи проектов JavaScript в npm имели «просроченный» адрес почты сопровождающего. Будем полагать, что выводы актуальны и до сих пор.
Medium
How I hacked CTX and PHPass Modules
Preface
Крупнейший ресурс о кибербезопасности в три раза дешевле: 3000₱ вместо 9900₽ ещё два дня!
XAKEP.RU доверяют 130 000 ИТ-специалистов, и не просто так. В их базе 66 000 обучающих технических материалов! Чтобы быть в курсе и разбираться в теме кибербезопасности, ИТ-спецу просто необходима подписка на XAKEP.RU!
А сейчас у них еще и огромная скидка!
Подробно о подписке: https://xakep.ru/about-magazine/
XAKEP.RU доверяют 130 000 ИТ-специалистов, и не просто так. В их базе 66 000 обучающих технических материалов! Чтобы быть в курсе и разбираться в теме кибербезопасности, ИТ-спецу просто необходима подписка на XAKEP.RU!
А сейчас у них еще и огромная скидка!
Подробно о подписке: https://xakep.ru/about-magazine/
WSL (Windows для Linux) набирает популярность среди хакеров с различным уровнем технических навыков. WSL позволяет запускать двоичные линексовые файлы в среде Windows, эмулирующей ядро Linux.
Black Lotus Labs сообщили о новом типе угроз в сентябре 2021 года, впервые обнаружив вредоносные бинарные файлы Linux для WSL. С тех пор их количество значительно возросло: ресерчерам удалось отследить более 100 таких образцов.
Обнаруженные Black Lotus Labs недавние образцы вредоносных ПО на основе WSL основаны на открытом исходном коде, и несмотря на это имеют низкие показатели обнаружения. Согласно наблюдениям Black Lotus Labs, один из образцов детектировался лишь двумя антивирусными решениями в Virus Total в качестве вредоносного.
Причем более совершенные образцы содержат шпионский функционал, позволяют загружать дополнительные вредоносные модули, реализуют связь через Telegram, предоставляя злоумышленникам удаленный доступ к скомпрометированной системе. По крайней мере, 2 образца могли функционировать как средство удаленного доступа (RAT) или устанавливать reverse shell на зараженном хосте.
Один из выявленных образцов включал инструмент удаленного администрирования Windows через Telegram-бот под названием RAT-via-Telegram-Bot, который имел функционал кражи файлов аутентификации cookie из веб-браузеров Google Chrome и Opera, запуска команд или загрузки файлов. Малварь распространяется с токеном живого бота и идентификатором чата, что указывает на активный характер его использования.
Кроме того, дополнительные функции позволяет оператору создавать снимки экрана, собирать информации о пользователе и системе (имя пользователя, IP-адрес, версия ОС), обеспечивая ему проводить разведку для последующих этапов атаки.
Другой обнаруженный образец вредоносного ПО на основе WSL реализовывал функционал обратной TCP-оболочки на зараженной машине для обеспечения связи с злоумышленником. Малварь использует IP-адрес из Amazon Web Services, принадлежавший нескольким организациям. Главной особенностью этого образца было всплывающее сообщение на турецком языке «Вы облажались, и вы мало что можете сделать».
Глядя на эволюцию вредоносных программ на основе WSL, специалисты Black Lotus Labs отмечает их возросшую эффективность, наличие активной инфраструктуры управления и контроля, а главное крайне низкий уровень обнаружения средствами защиты.
По всей видимости, в ближайшей перспективе WSL станет полигоном для разработки более совершенных штаммов, в том числе в интересах АРТ и более продвинутых преступных кибергрупп.
Black Lotus Labs сообщили о новом типе угроз в сентябре 2021 года, впервые обнаружив вредоносные бинарные файлы Linux для WSL. С тех пор их количество значительно возросло: ресерчерам удалось отследить более 100 таких образцов.
Обнаруженные Black Lotus Labs недавние образцы вредоносных ПО на основе WSL основаны на открытом исходном коде, и несмотря на это имеют низкие показатели обнаружения. Согласно наблюдениям Black Lotus Labs, один из образцов детектировался лишь двумя антивирусными решениями в Virus Total в качестве вредоносного.
Причем более совершенные образцы содержат шпионский функционал, позволяют загружать дополнительные вредоносные модули, реализуют связь через Telegram, предоставляя злоумышленникам удаленный доступ к скомпрометированной системе. По крайней мере, 2 образца могли функционировать как средство удаленного доступа (RAT) или устанавливать reverse shell на зараженном хосте.
Один из выявленных образцов включал инструмент удаленного администрирования Windows через Telegram-бот под названием RAT-via-Telegram-Bot, который имел функционал кражи файлов аутентификации cookie из веб-браузеров Google Chrome и Opera, запуска команд или загрузки файлов. Малварь распространяется с токеном живого бота и идентификатором чата, что указывает на активный характер его использования.
Кроме того, дополнительные функции позволяет оператору создавать снимки экрана, собирать информации о пользователе и системе (имя пользователя, IP-адрес, версия ОС), обеспечивая ему проводить разведку для последующих этапов атаки.
Другой обнаруженный образец вредоносного ПО на основе WSL реализовывал функционал обратной TCP-оболочки на зараженной машине для обеспечения связи с злоумышленником. Малварь использует IP-адрес из Amazon Web Services, принадлежавший нескольким организациям. Главной особенностью этого образца было всплывающее сообщение на турецком языке «Вы облажались, и вы мало что можете сделать».
Глядя на эволюцию вредоносных программ на основе WSL, специалисты Black Lotus Labs отмечает их возросшую эффективность, наличие активной инфраструктуры управления и контроля, а главное крайне низкий уровень обнаружения средствами защиты.
По всей видимости, в ближайшей перспективе WSL станет полигоном для разработки более совершенных штаммов, в том числе в интересах АРТ и более продвинутых преступных кибергрупп.
Lumen Blog
Windows Subsystem for Linux (WSL): Threats Still Lurk Below the (Sub)Surface
Last fall, Black Lotus Labs discovered in the wild what had until then only been theorized: Linux binaries were being used as loaders in WSL.