Forwarded from Russian OSINT
🇺🇸Глава АНБ США подтвердил факт проведения наступательных киберопераций против России
Директор NSA и по совместительству глава Кибернетического командования США генерал Пол Накасоне сообщил Sky News, что США провели ряд наступательных, оборонительных и информационных операций против 🇷🇺России:
"We've conducted a series of operations across the full spectrum; offensive, defensive, [and] information operations." - заявил четырёхзвёздочный генерал, выступая на конференции в Киберцентре NATO (CCDCOE).
"US military hackers conducting offensive operations in support of Ukraine, says head of Cyber Command" - пишет SkyNews
Деталей о том как проводились операции директор АНБ решил не раскрывать, но сказал, что они проводились в рамках закона под чутким гражданским контролем и в соответствии с политикой Минобороны США. Генерал также упрекнул Россию в том, что она всегда начинает со лжи, а вот США говорят только правду, и ничего кроме правды. Колина Пауэлла с пробиркой все вспомнили?
👆Удивительный случай, когда генерал США такого высокого ранга открыто заявляет о наступательных операциях против России.
Директор NSA и по совместительству глава Кибернетического командования США генерал Пол Накасоне сообщил Sky News, что США провели ряд наступательных, оборонительных и информационных операций против 🇷🇺России:
"We've conducted a series of operations across the full spectrum; offensive, defensive, [and] information operations." - заявил четырёхзвёздочный генерал, выступая на конференции в Киберцентре NATO (CCDCOE).
"US military hackers conducting offensive operations in support of Ukraine, says head of Cyber Command" - пишет SkyNews
Деталей о том как проводились операции директор АНБ решил не раскрывать, но сказал, что они проводились в рамках закона под чутким гражданским контролем и в соответствии с политикой Минобороны США. Генерал также упрекнул Россию в том, что она всегда начинает со лжи, а вот США говорят только правду, и ничего кроме правды. Колина Пауэлла с пробиркой все вспомнили?
👆Удивительный случай, когда генерал США такого высокого ранга открыто заявляет о наступательных операциях против России.
Sky News
US military hackers conducting offensive operations in support of Ukraine, says head of Cyber Command
In an exclusive interview with Sky News, General Paul Nakasone confirmed for the first time that the US had "conducted a series of operations" in response to Russia's invasion of Ukraine.
͏Foxconn пал после повторной атаки с использованием ransomware.
Если в декабре 2020 года компания стала жертвой DoppelPaymer, то на этот раз удар по инфраструктуре завода Foxconn в Мексике нанесли вымогатели LockBit 2.0.
Foxconn управляет тремя заводами в Мексике, которые производят компьютеры, ЖК-телевизоры, мобильные устройства и телевизионные приставки, ранее использовавшиеся Sony, Motorola и Cisco Systems.
Foxconn Baja California имеет для корпорации стратегическое значение, располагается в городе Тихуана на границе с Калифорнией, специализируется на производстве электронного оборудования в сфере медицины, бытовой электроники и промышленности, в том числе и военной. На предприятии занято более 5000 сотрудников.
В настоящий момент неясно, повлияла ли атака ransomware на операционную деятельность, однако известно, что если жертва не выплатит выкуп, украденные данные будут опубликованы 11 июня.
На этот раз сумма остается не разглашется, но рассчитывать нужно не ниже в размере более 34 миллионов долларов США в биткойнах, которые ранее запрашивали DoppelPaymer.
Учитывая, что прошлая атака стоила компании 100 ГБ украденной информации, около 1400 зашифрованных серверов и до 30 ТБ потертых резервных копий, хакеры вполне могут рассчитывать на успех.
Если в декабре 2020 года компания стала жертвой DoppelPaymer, то на этот раз удар по инфраструктуре завода Foxconn в Мексике нанесли вымогатели LockBit 2.0.
Foxconn управляет тремя заводами в Мексике, которые производят компьютеры, ЖК-телевизоры, мобильные устройства и телевизионные приставки, ранее использовавшиеся Sony, Motorola и Cisco Systems.
Foxconn Baja California имеет для корпорации стратегическое значение, располагается в городе Тихуана на границе с Калифорнией, специализируется на производстве электронного оборудования в сфере медицины, бытовой электроники и промышленности, в том числе и военной. На предприятии занято более 5000 сотрудников.
В настоящий момент неясно, повлияла ли атака ransomware на операционную деятельность, однако известно, что если жертва не выплатит выкуп, украденные данные будут опубликованы 11 июня.
На этот раз сумма остается не разглашется, но рассчитывать нужно не ниже в размере более 34 миллионов долларов США в биткойнах, которые ранее запрашивали DoppelPaymer.
Учитывая, что прошлая атака стоила компании 100 ГБ украденной информации, около 1400 зашифрованных серверов и до 30 ТБ потертых резервных копий, хакеры вполне могут рассчитывать на успех.
Любителям полнотекстовых поисков и решений из коробки стоит быть более внимательным к дефолтным настройкам тех машин, которые смотрят в Интернет.
Как вы наверное уже поняли речь идет об известном поисковом движке Elasticsearch, который к сожалению пользуется популярностью не только у разработчиков, но и у хакеров.
На днях специалисты из Secureworks сообщили о сотнях баз данных Elasticsearch, которые подверглись атакам с целью вымогательства. Со слов специалистов хакерам удалось заменить более 450 индексов с примечаниями о выкупе, требуя по 620 долларов за восстановление содержимого, что в совокупности составляет приличную сумму в 279 000 долларов.
Причем злоумышленники подошли к вопросу изобретательно и, по мнению Secureworks, используют автоматизированный сценарий для поиска и анализа незащищенных баз данных, с последующим стиранием индексом и требованием выкупа. Собственно если вас вдруг настигла такая беда, то это действительно произошло случайно, так что ничего личного.
Возможно из-за автоматизации процесса злоумышленники установили семидневный срок для оплаты вместо стандартных двух. Ставка удваивается в случае неоплаты в первую неделю. Ну, а просрочку более чем 14 дней грозит для жертвы полным факапом. Тем, кто заплатит сумму, обещают ссылку на скачивание дампа их базы данных.
Платить или нет при такой схеме каждый решает сам, но восстановление содержимого базы данных путем оплаты в данном аспекте — маловероятный сценарий, так как для хакера есть определенные практические и финансовые сложности, связанные с хранением данных такого количества баз данных.
Не проверяли, не знаем, но одна транзакция уже прошла.
К сожалению, пока базы данных будут доступны через Интернет без должной защиты, эти атаки неизбежно будут происходить. Причем рост этих атак с каждым годом растет, о чем нам не так давно показали специалисты Group-IB в своем отчете, обнаружив за 2021 год более 100 000 экземпляров Elasticsearch, что составляет около 30% от общего числа в 308 000 открытых баз данных.
Как вы наверное уже поняли речь идет об известном поисковом движке Elasticsearch, который к сожалению пользуется популярностью не только у разработчиков, но и у хакеров.
На днях специалисты из Secureworks сообщили о сотнях баз данных Elasticsearch, которые подверглись атакам с целью вымогательства. Со слов специалистов хакерам удалось заменить более 450 индексов с примечаниями о выкупе, требуя по 620 долларов за восстановление содержимого, что в совокупности составляет приличную сумму в 279 000 долларов.
Причем злоумышленники подошли к вопросу изобретательно и, по мнению Secureworks, используют автоматизированный сценарий для поиска и анализа незащищенных баз данных, с последующим стиранием индексом и требованием выкупа. Собственно если вас вдруг настигла такая беда, то это действительно произошло случайно, так что ничего личного.
Возможно из-за автоматизации процесса злоумышленники установили семидневный срок для оплаты вместо стандартных двух. Ставка удваивается в случае неоплаты в первую неделю. Ну, а просрочку более чем 14 дней грозит для жертвы полным факапом. Тем, кто заплатит сумму, обещают ссылку на скачивание дампа их базы данных.
Платить или нет при такой схеме каждый решает сам, но восстановление содержимого базы данных путем оплаты в данном аспекте — маловероятный сценарий, так как для хакера есть определенные практические и финансовые сложности, связанные с хранением данных такого количества баз данных.
Не проверяли, не знаем, но одна транзакция уже прошла.
К сожалению, пока базы данных будут доступны через Интернет без должной защиты, эти атаки неизбежно будут происходить. Причем рост этих атак с каждым годом растет, о чем нам не так давно показали специалисты Group-IB в своем отчете, обнаружив за 2021 год более 100 000 экземпляров Elasticsearch, что составляет около 30% от общего числа в 308 000 открытых баз данных.
Secureworks
Unsecured elasticsearch data replaced with ransom note
Security controls such as MFA can limit access to internet-facing databases.
Специалисты австрийской инфосек-компании SEC Consult обнаружили бэкдор на серверах промышленных устройств Korenix JetPort, который помимо техподдержки производителя используется хакерами в атаках на промышленные организации.
Еще в 2020 году ресерчеры нашли учетную запись поставщика, которой злоупотребляли, сейчас отслеживается как CVE-2020-12501. В результате долгих переговоров с производителем относительно раскрытия уязвимости стороны не пришли к консенсусу, все стороны остались при своем мнении.
Поставщик настоял на том, что учетная запись не будет удалена, даже несмотря на ее использование для доступа к операционной системе и получение злоумышленниками полного контроля над устройствами. Кроме того, атакующий имеет возможность перенастроить устройство и, предположительно, получить доступ к другим системам, подключенным к серверу.
Проблема касается Korenix JetPort 5601V3, предназначенного для подключения в промышленных условиях. Однако SEC Consult полагает, что и другие продукты, в том числе промышленные устройства под брендами Westermo и Comtrol, также могут быть уязвимы.
Головная компания Beijer Electronics пояснила, что учетная запись бэкдора имеет одинаковый с прошивкой пароль, в случае компрометации которого злоумышленник получает возможность для атаки на все уязвимые устройства. Причем он не может быть изменен пользователем, не хранится в открытом виде. Бэкдор-аккаунт необходим для поддержки клиентов, а его взлом не будет реализован в разумное время.
SEC Consult хоть и не пробовали сходу хакнуть пароль, однако его хэш достаточно легко извлекается из прошивки со всеми вытекающими последствиями.
Вообще конечно существуют и более надежные решения для доступа службы поддержки, которые не требуют использования бэкдоров. И все же производитель не желает изменять своим традициям.
Проблема существует с 2012 года, когда жестко закодированные учетные данные в устройствах JetPort сообщали ICS-CERT, предупредив организации об учетных данных, которые могли быть использованы для доступа администратора, но уязвимость была исправлена обновлением прошивки.
Прошло 10 лет, и опять на те же грабли. Владельцам Korenix на заметку.
Еще в 2020 году ресерчеры нашли учетную запись поставщика, которой злоупотребляли, сейчас отслеживается как CVE-2020-12501. В результате долгих переговоров с производителем относительно раскрытия уязвимости стороны не пришли к консенсусу, все стороны остались при своем мнении.
Поставщик настоял на том, что учетная запись не будет удалена, даже несмотря на ее использование для доступа к операционной системе и получение злоумышленниками полного контроля над устройствами. Кроме того, атакующий имеет возможность перенастроить устройство и, предположительно, получить доступ к другим системам, подключенным к серверу.
Проблема касается Korenix JetPort 5601V3, предназначенного для подключения в промышленных условиях. Однако SEC Consult полагает, что и другие продукты, в том числе промышленные устройства под брендами Westermo и Comtrol, также могут быть уязвимы.
Головная компания Beijer Electronics пояснила, что учетная запись бэкдора имеет одинаковый с прошивкой пароль, в случае компрометации которого злоумышленник получает возможность для атаки на все уязвимые устройства. Причем он не может быть изменен пользователем, не хранится в открытом виде. Бэкдор-аккаунт необходим для поддержки клиентов, а его взлом не будет реализован в разумное время.
SEC Consult хоть и не пробовали сходу хакнуть пароль, однако его хэш достаточно легко извлекается из прошивки со всеми вытекающими последствиями.
Вообще конечно существуют и более надежные решения для доступа службы поддержки, которые не требуют использования бэкдоров. И все же производитель не желает изменять своим традициям.
Проблема существует с 2012 года, когда жестко закодированные учетные данные в устройствах JetPort сообщали ICS-CERT, предупредив организации об учетных данных, которые могли быть использованы для доступа администратора, но уязвимость была исправлена обновлением прошивки.
Прошло 10 лет, и опять на те же грабли. Владельцам Korenix на заметку.
SEC Consult
Backdoor account in Korenix Technology JetPort Series
The device series JetPort from Korenix Technology has a built-in backdoor account. If the corresponding credentials are known to an attacker, he/she can directly access the operating system of the device via the local network (or via NAT). Therefore, an attacker…
Microsoft передает эстафету активно эксплуатирующихся непропатченных 0-day Atlassian.
Volexity сообщает о массовых атаках с использованием CVE-2022-26134, которая используется хакерами для установки веб-оболочек. Согласно бюллетеню Atlassian, она представляет собой не требующую аутентификации уязвимость RCE в Confluence Server и Data Center. Уязвимыми можно считать Confluence Server 7.18.0, Confluence Server и Data Center 7.4.0 и выше. Организации, использующие Atlassian Cloud, не подвержены уязвимости.
Специалисты Volexity рассказали, что уязвимость была обнаружена в выходные в ходе реагировании на возникшие инциденты. После проведения расследования Volexity смогли воспроизвести эксплойт для последней версии Confluence Server, о чем сообщили в Atlassian 31 мая. При этом к настоящему времени злоумышленники активно атакуют именно Confluence Server 7.18.0.
В ходе попавшей в поле зрения ресерчеров атаки злоумышленники установили BEHINDER (веб-оболочки JSP), которая позволяет злоумышленникам удаленно выполнять команды на скомпрометированном сервере. Затем посредством BEHINDER они накатили China Chopper для загрузки файлов в качестве резервных копий.
После чего удалили пользовательские таблицы с сервера Confluence, имплементировали дополнительные веб-оболочки и подчистили журналы доступа, чтобы скрыть следы своего пребывания.
Доступных исправлений нет, Atlassian рекомендует клиентам отключить Confluence Server и Data Center из сети, или же просто физически отключить их. В свою очередь, исследователи Volexity опубликовали список IP-адресов и правила Yara для выявления активности веб-шеллов на серверах Confluence.
К сожалению, кроме рубильника других способов нивелировать уязвимость нет.
Volexity сообщает о массовых атаках с использованием CVE-2022-26134, которая используется хакерами для установки веб-оболочек. Согласно бюллетеню Atlassian, она представляет собой не требующую аутентификации уязвимость RCE в Confluence Server и Data Center. Уязвимыми можно считать Confluence Server 7.18.0, Confluence Server и Data Center 7.4.0 и выше. Организации, использующие Atlassian Cloud, не подвержены уязвимости.
Специалисты Volexity рассказали, что уязвимость была обнаружена в выходные в ходе реагировании на возникшие инциденты. После проведения расследования Volexity смогли воспроизвести эксплойт для последней версии Confluence Server, о чем сообщили в Atlassian 31 мая. При этом к настоящему времени злоумышленники активно атакуют именно Confluence Server 7.18.0.
В ходе попавшей в поле зрения ресерчеров атаки злоумышленники установили BEHINDER (веб-оболочки JSP), которая позволяет злоумышленникам удаленно выполнять команды на скомпрометированном сервере. Затем посредством BEHINDER они накатили China Chopper для загрузки файлов в качестве резервных копий.
После чего удалили пользовательские таблицы с сервера Confluence, имплементировали дополнительные веб-оболочки и подчистили журналы доступа, чтобы скрыть следы своего пребывания.
Доступных исправлений нет, Atlassian рекомендует клиентам отключить Confluence Server и Data Center из сети, или же просто физически отключить их. В свою очередь, исследователи Volexity опубликовали список IP-адресов и правила Yara для выявления активности веб-шеллов на серверах Confluence.
К сожалению, кроме рубильника других способов нивелировать уязвимость нет.
Volexity
Zero-Day Exploitation of Atlassian Confluence
UPDATE: On June 3, 2022, Atlassian updated its security advisory with new information regarding a fix for Confluence Server and Data Center to address CVE-2022-26134. Users are encouraged to update immediately to […]
Миллионы Android-смартфонов на базе чипсетов китайского производителя UNISOC (до 2018 года - Spreadtrum) уязвимы для атак, направленных на блокирование связи.
В ходе анализа реализацию стека протоколов LTE специалисты Check Point обнаружили критическую ошибку переполнения буфера в компоненте, который обрабатывает сообщения Non-Access Stratum (NAS), с оценкой CVSS 9,4, которая отслеживается как CVE-2022-20210.
Чипсеты UNISOC, одного из крупнейших китайских разработчиков чипов для мобильных телефонов, широко используются в бюджетных смартфонах, основная масса которых реализуются в странах Азии и Африки. По данным Counterpoint Research, в 2021 года доля UNISOC на рынке процессоров приложений для смартфонов составляла 11% рынка, это четвертое место после Mediatek, Qualcomm и Apple.
Хакеры, или военные, могут использовать уязвимость для подавления беспроводной связи в определенном районе или локации, инициировав удаленную атаку типа отказ в обслуживании (DoS) на устройства с помощью специально созданного пакета.
К настоящему времени несколько прошлогодних обновлений Google для Android включали исправления для уязвимостей UNISOC. По сообщению Check Point, Google планирует окончательно устранить уязвимость в грядущем обновлении Android. Поставщик же закрыл ее в мае, в том же месяце, когда стало известно о ее существовании.
Примечательно, что ранее в марте 2022 года Kryptowire обнаружила, что смартфоны с чипами UNISOC также подвержены другой критической уязвимости (CVE-2022-27250), связанной с предустановленным приложением, которое позволяет вредоносному ПО получить контроль над пользовательскими данными и функциями устройства.
Да, что заметили, в отчете явно забыли упомянуть, что вовсе не бага, а вполне себе фитча.
В ходе анализа реализацию стека протоколов LTE специалисты Check Point обнаружили критическую ошибку переполнения буфера в компоненте, который обрабатывает сообщения Non-Access Stratum (NAS), с оценкой CVSS 9,4, которая отслеживается как CVE-2022-20210.
Чипсеты UNISOC, одного из крупнейших китайских разработчиков чипов для мобильных телефонов, широко используются в бюджетных смартфонах, основная масса которых реализуются в странах Азии и Африки. По данным Counterpoint Research, в 2021 года доля UNISOC на рынке процессоров приложений для смартфонов составляла 11% рынка, это четвертое место после Mediatek, Qualcomm и Apple.
Хакеры, или военные, могут использовать уязвимость для подавления беспроводной связи в определенном районе или локации, инициировав удаленную атаку типа отказ в обслуживании (DoS) на устройства с помощью специально созданного пакета.
К настоящему времени несколько прошлогодних обновлений Google для Android включали исправления для уязвимостей UNISOC. По сообщению Check Point, Google планирует окончательно устранить уязвимость в грядущем обновлении Android. Поставщик же закрыл ее в мае, в том же месяце, когда стало известно о ее существовании.
Примечательно, что ранее в марте 2022 года Kryptowire обнаружила, что смартфоны с чипами UNISOC также подвержены другой критической уязвимости (CVE-2022-27250), связанной с предустановленным приложением, которое позволяет вредоносному ПО получить контроль над пользовательскими данными и функциями устройства.
Да, что заметили, в отчете явно забыли упомянуть, что вовсе не бага, а вполне себе фитча.
Check Point Research
Vulnerability within the UNISOC baseband opens mobile phones communications to remote hacker attacks - Check Point Research
Introduction Do you remember push-button telephones? Many of them were based on chips from Spreadtrum Communications Inc., a Chinese chip manufacturer founded in 2001. In 2011, over half of all phones in China were powered by Spreadtrum chips. In 2018, Spreadtrum…
Всегда интересны атаки за которые во многих странах по сути и предъявить то нечего. Хакеры заработали, а проблемы потерпевших юридически не особо то урегулированы.
Речь идет о киберпреступниках, управляющих ботнетом Clipminer, которые на сегодняшний день сколотили состояние не менее 1,7 млн долларов на хищении криптовалютных активов добытых в результате майнинга.
А проблемы майнеров, которые не особо то афишируют свои доходы перед общественностью, на сегодняшний день мало кого интересуют, если только налоговые органы.
Согласно исследованию специалистов по безопасности из Symantec малварь обнаружена примерно в январе 2021 года и распространяется через взломанное или пиратское программное обеспечение с вредоносом на борту.
Причем Clipminer очень похож на троян для криптомайнинга KryptoCibule, что отчасти предполагает эволюцию последнего после того, как KryptoCibule был подробно описан в исследовательском проекте ESET.
Особенностью Clipminer является, то что он управляется через TOR и отслеживает все действия с клавиатурой и мышью на хосте, а также проверяет запущенные процессы для выявления любых инструментов анализа.
Когда на хосте нет активности, предполагается, что пользователь отсутствует и Clipminer запускает майнер XMRig Monero, настроенный на использование всех доступных потоков ЦП. Поскольку машина не контролируется, соответственно нет риска замедления производительности системы, которое могло бы привести к обнаружению.
Но самая фишка это то, что параллельно вредонос постоянно отслеживает буфер обмена на наличие скопированных криптовалютных адресов и на лету заменяет их другими, принадлежащими злоумышленнику.
Исследователи выявили в общей сложности 4375 уникальных криптокошельков во вредоносном ПО, 3677 из которых используются только для трех разных форматов биткойн-адресов.
В общей сложности кошельки злоумышленников пополнились как минимум на 34,3 биткойна и 129,9 эфира, а также некоторые другие средства были переведены через миксеры для сокрытия транзакции.
Так что только от захвата буфера обмена операторы Clipminer заработали под 1,7 миллиона долларов. Как не редко говорят в миру - тупо, но сытно.
Речь идет о киберпреступниках, управляющих ботнетом Clipminer, которые на сегодняшний день сколотили состояние не менее 1,7 млн долларов на хищении криптовалютных активов добытых в результате майнинга.
А проблемы майнеров, которые не особо то афишируют свои доходы перед общественностью, на сегодняшний день мало кого интересуют, если только налоговые органы.
Согласно исследованию специалистов по безопасности из Symantec малварь обнаружена примерно в январе 2021 года и распространяется через взломанное или пиратское программное обеспечение с вредоносом на борту.
Причем Clipminer очень похож на троян для криптомайнинга KryptoCibule, что отчасти предполагает эволюцию последнего после того, как KryptoCibule был подробно описан в исследовательском проекте ESET.
Особенностью Clipminer является, то что он управляется через TOR и отслеживает все действия с клавиатурой и мышью на хосте, а также проверяет запущенные процессы для выявления любых инструментов анализа.
Когда на хосте нет активности, предполагается, что пользователь отсутствует и Clipminer запускает майнер XMRig Monero, настроенный на использование всех доступных потоков ЦП. Поскольку машина не контролируется, соответственно нет риска замедления производительности системы, которое могло бы привести к обнаружению.
Но самая фишка это то, что параллельно вредонос постоянно отслеживает буфер обмена на наличие скопированных криптовалютных адресов и на лету заменяет их другими, принадлежащими злоумышленнику.
Исследователи выявили в общей сложности 4375 уникальных криптокошельков во вредоносном ПО, 3677 из которых используются только для трех разных форматов биткойн-адресов.
В общей сложности кошельки злоумышленников пополнились как минимум на 34,3 биткойна и 129,9 эфира, а также некоторые другие средства были переведены через миксеры для сокрытия транзакции.
Так что только от захвата буфера обмена операторы Clipminer заработали под 1,7 миллиона долларов. Как не редко говорят в миру - тупо, но сытно.
Security
Clipminer Botnet Makes Operators at Least $1.7 Million
Malware used for cryptocurrency mining and clipboard hijacking.
Начнем неделю с плохой и хорошей новости.
Плохая: выпущен PoC-эксплойт для ошибки RCE в Atlassian Confluence, демонстрирующий как создавать новые учетные записи администраторов, принудительно запрашивать DNS, собирать информацию и внедрять обратные оболочки.
CVE-2022-26134 представляет собой критическую уязвимость удаленного выполнения кода без проверки подлинности, которая используется посредством внедрения OGNL и затрагивает все серверы Atlassian Confluence и Data Center 2016 после версии 1.3.0.
Уязвимость была раскрыта на прошлой неделе в ходе расследования компьютерных инцидентов специалистами Volexity, которые в виду отсутствия патча сразу посоветовали пользователям отключить уязвимое оборудование от сети.
Успешная эксплуатация позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, создавать новые учетные записи администраторов, выполнять команды и, в конечном итоге, захватывать сервер.
Хорошая новость: Atlassian выпустила обновления в версиях ПО 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 и 7.18.1, которые содержат исправление для активно эксплуатируемой проблемы. Кроме того, производитель предоставил меры по устранению проблем для Confluence с 7.0.0 до версии 7.18.0.
По данным GreyNoise, на момент выхода патча их специалисты выявили 23 уникальных IP-адреса, использующих уязвимости Atlassian, а к настоящему времени их число увеличилось до 211 уникальных адресов. Так что если вы до сих откладывали обновление своих экземпляров, то вполне можете рассчитывать на тесное знакомство с брокерами первоначального доступа или вымогателями.
Плохая: выпущен PoC-эксплойт для ошибки RCE в Atlassian Confluence, демонстрирующий как создавать новые учетные записи администраторов, принудительно запрашивать DNS, собирать информацию и внедрять обратные оболочки.
CVE-2022-26134 представляет собой критическую уязвимость удаленного выполнения кода без проверки подлинности, которая используется посредством внедрения OGNL и затрагивает все серверы Atlassian Confluence и Data Center 2016 после версии 1.3.0.
Уязвимость была раскрыта на прошлой неделе в ходе расследования компьютерных инцидентов специалистами Volexity, которые в виду отсутствия патча сразу посоветовали пользователям отключить уязвимое оборудование от сети.
Успешная эксплуатация позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, создавать новые учетные записи администраторов, выполнять команды и, в конечном итоге, захватывать сервер.
Хорошая новость: Atlassian выпустила обновления в версиях ПО 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 и 7.18.1, которые содержат исправление для активно эксплуатируемой проблемы. Кроме того, производитель предоставил меры по устранению проблем для Confluence с 7.0.0 до версии 7.18.0.
По данным GreyNoise, на момент выхода патча их специалисты выявили 23 уникальных IP-адреса, использующих уязвимости Atlassian, а к настоящему времени их число увеличилось до 211 уникальных адресов. Так что если вы до сих откладывали обновление своих экземпляров, то вполне можете рассчитывать на тесное знакомство с брокерами первоначального доступа или вымогателями.
Twitter
Andrew Morris @ RSA
Widespread Atlassian Confluence CVE-2022-26134 exploitation, specifically that is *confirmed functional*, has just started. 23 unique IPs so far. -Tags available to all @GreyNoiseIO users now - Create an account to deploy a dynamic block list to block it…
GitLab выпустила обновление нескольких версий Community и Enterprise Edition для устранения восьми уязвимостей, одна из которых критическая и позволяет захватить учетную запись владельца репозитория разработчика, и фактически доступ к проектам и исходникам.
Она отслеживается как CVE-2022-1680, имеет оценку 9,9 и затрагивает все версии GitLab Enterprise Edition (EE) с 11.10 по 14.9.4, с 14.10 по 14.10.3 и версию 15.0.
При настройке SAML SSO, функция SCIM позволяет любому владельцу группы Premium приглашать произвольных пользователей, используя имя пользователя и адрес электронной почты, а затем изменять адреса электронной почты этих пользователей через SCIM на адрес электронной почты, подконтрольный злоумышленнику, что в конечном итоге при отсутствии 2FA даёт ему возможность захватить эти учетные записи.
Кроме того, злоумышленник может изменить отображаемое имя и имя пользователя целевой учетной записи.
Проблема устранена с выпуском обновлений безопасности для всех затронутых ветвей. GitLab также устранил семь других уязвимостей, 2 из которых имеют высокий рейтинг, 4 - средний и 1 - низкий уровень серьезности.
Среди серьезных: ошибка межсайтового скриптинга (XSS) в компоненте интеграции Jira, отслеживаемая как CVE-2022-1940 (с рейтингом серьезности 7,7), а также проблема отсутствия проверки ввода, позволяющая внедрять HTML в детали списка контактов и запускать XSS-атаки (CVE-2022-1948 с рейтингом серьезности 8,7).
Всем пользователям GitLab рекомендуется как можно скорее перейти на работу с последними доступными версиями. Инструкции по обновлению доступны на этом портале, пользователям GitLab Runner можно также использовать этот репозиторий.
Она отслеживается как CVE-2022-1680, имеет оценку 9,9 и затрагивает все версии GitLab Enterprise Edition (EE) с 11.10 по 14.9.4, с 14.10 по 14.10.3 и версию 15.0.
При настройке SAML SSO, функция SCIM позволяет любому владельцу группы Premium приглашать произвольных пользователей, используя имя пользователя и адрес электронной почты, а затем изменять адреса электронной почты этих пользователей через SCIM на адрес электронной почты, подконтрольный злоумышленнику, что в конечном итоге при отсутствии 2FA даёт ему возможность захватить эти учетные записи.
Кроме того, злоумышленник может изменить отображаемое имя и имя пользователя целевой учетной записи.
Проблема устранена с выпуском обновлений безопасности для всех затронутых ветвей. GitLab также устранил семь других уязвимостей, 2 из которых имеют высокий рейтинг, 4 - средний и 1 - низкий уровень серьезности.
Среди серьезных: ошибка межсайтового скриптинга (XSS) в компоненте интеграции Jira, отслеживаемая как CVE-2022-1940 (с рейтингом серьезности 7,7), а также проблема отсутствия проверки ввода, позволяющая внедрять HTML в детали списка контактов и запускать XSS-атаки (CVE-2022-1948 с рейтингом серьезности 8,7).
Всем пользователям GitLab рекомендуется как можно скорее перейти на работу с последними доступными версиями. Инструкции по обновлению доступны на этом портале, пользователям GitLab Runner можно также использовать этот репозиторий.
GitLab
GitLab Critical Security Release: 15.0.1, 14.10.4, and 14.9.5
Learn more about GitLab Critical Security Release: 15.0.1, 14.10.4, and 14.9.5 for GitLab Community Edition (CE) and Enterprise Edition (EE).
Гонения на Израиль в киберпространстве не сбавляет своих оборотов. В этот раз в Microsoft заявили, что обнаружили вредоносную инфраструктуру в облаке OneDrive в Ливане, нацеленную на израильские организации.
По мнению технологического гиганта за инфраструктурой стоит, неизвестная ранее кибергруппировка Polonium, которая за последние три месяца совершила атаки на более чем 20 организаций в Израиле, а также на одну межправительственную организацию, действующую в Ливане.
Кроме того, на основе виктимологии и дублировании инструментов и методов специалисты считают, что Polonium прямо или опосредованно сотрудничает с Министерством разведки и безопасности Ирана (MOIS). Такое сотрудничество неудивительно, учитывая, что правительство Ирана в течение нескольких лет использовало третьи стороны для проведения своих киберопераций.
Учитывая сугубо шпионский и враждебный характер деятельности проправительственной кибергруппировки, целевые сектора атак очевидны и включают критически важное производство, оборонную промышленность, продовольствие и сельское хозяйство, финансовые системы, государственные учреждения, здравоохранение, ИТ, транспортные системы и многое другое.
Не так давно Polonium скомпрометировал поставщика облачных услуг и использовал его для атаки на цепочку поставок авиационной компании. Кроме того, по словам Microsoft, многие из целевых производственных компаний сотрудничают с оборонной промышленностью Израиля.
По наблюдениям специалистов, Polonium преимущественно создает и использует OneDrive и Dropbox для управления C2 в своих атаках, а также для развертывания пользовательских имплантатов. Из последнего был обнаружен CreepyDrive, который обеспечивает базовую функциональность, позволяющую злоумышленнику выгружать украденные данные и загружать файлы для установки.
Причем CreepyDrive не имеет идентификатора и, вероятно, злоумышленником используются разные учетные записи OneDrive в качестве C2 для каждой жертвы.
Паралельно с CreepyDrive хакеры используют собственный бэкдор на PowerShell CreepySnail, после развертывания в целевой сети которого малварь пытается пройти аутентификацию с использованием украденных учетных данных и подключиться к C2 для дальнейших действий.
В Microsoft заявили, что пока доподлинно непонятен первоначальный вектор заражения, используемый Polonium. Однако большинство выявленных жертв использовали устройства Fortinet, что предполагает использование злоумышленниками уязвимости CVE-2018-13379 для компрометации.
Судя по совпадению жертв у Microsoft нет никаких сомнений о сотрудничестве Polonium с MOIS, которое могло предоставить хакерам доступ к скомпрометированным сетям. Так, что в ближайшем будущем ожидаем более предметную развязку этого киберпротивостояния.
По мнению технологического гиганта за инфраструктурой стоит, неизвестная ранее кибергруппировка Polonium, которая за последние три месяца совершила атаки на более чем 20 организаций в Израиле, а также на одну межправительственную организацию, действующую в Ливане.
Кроме того, на основе виктимологии и дублировании инструментов и методов специалисты считают, что Polonium прямо или опосредованно сотрудничает с Министерством разведки и безопасности Ирана (MOIS). Такое сотрудничество неудивительно, учитывая, что правительство Ирана в течение нескольких лет использовало третьи стороны для проведения своих киберопераций.
Учитывая сугубо шпионский и враждебный характер деятельности проправительственной кибергруппировки, целевые сектора атак очевидны и включают критически важное производство, оборонную промышленность, продовольствие и сельское хозяйство, финансовые системы, государственные учреждения, здравоохранение, ИТ, транспортные системы и многое другое.
Не так давно Polonium скомпрометировал поставщика облачных услуг и использовал его для атаки на цепочку поставок авиационной компании. Кроме того, по словам Microsoft, многие из целевых производственных компаний сотрудничают с оборонной промышленностью Израиля.
По наблюдениям специалистов, Polonium преимущественно создает и использует OneDrive и Dropbox для управления C2 в своих атаках, а также для развертывания пользовательских имплантатов. Из последнего был обнаружен CreepyDrive, который обеспечивает базовую функциональность, позволяющую злоумышленнику выгружать украденные данные и загружать файлы для установки.
Причем CreepyDrive не имеет идентификатора и, вероятно, злоумышленником используются разные учетные записи OneDrive в качестве C2 для каждой жертвы.
Паралельно с CreepyDrive хакеры используют собственный бэкдор на PowerShell CreepySnail, после развертывания в целевой сети которого малварь пытается пройти аутентификацию с использованием украденных учетных данных и подключиться к C2 для дальнейших действий.
В Microsoft заявили, что пока доподлинно непонятен первоначальный вектор заражения, используемый Polonium. Однако большинство выявленных жертв использовали устройства Fortinet, что предполагает использование злоумышленниками уязвимости CVE-2018-13379 для компрометации.
Судя по совпадению жертв у Microsoft нет никаких сомнений о сотрудничестве Polonium с MOIS, которое могло предоставить хакерам доступ к скомпрометированным сетям. Так, что в ближайшем будущем ожидаем более предметную развязку этого киберпротивостояния.
Microsoft News
Exposing POLONIUM activity and infrastructure targeting Israeli organizations
Microsoft successfully detected and disabled attack activity abusing OneDrive by a previously undocumented Lebanon-based activity group Microsoft Threat Intelligence Center (MSTIC) tracks as POLONIUM.
͏FollinaGate набирает обороты. Как мы и предполагали, ошибкой Microsoft уже воспользовались АРТ для нападения на правительственные учреждения в Европе и США.
Как известно 0-day Follina, реализует схему URI протокола ms-msdt для удаленного управления целевыми устройствами. Разработчик с самого начала пытался замять проблему, однако после общественного резонанса Microsoft пришлось подсуетиться, правда пока только на бумаге, как говориться.
Экстренно ситуацию исправлять пришлось частным специалистам: 0patch выпустила неофициальное исправление для блокировки продолжающихся атак на системы Windows, нацеленных на баги Microsoft Windows Support Diagnostic Tool (MSDT).
О новой компании с использованием уязвимости RCE CVE-2022-30190 (c оценкой по CVSS: 7,8) сообщили ресерчеры Proofpoint, которые обнаружили в ходе мониторинга и заблокировали более 1000 фишинговых сообщений с вложением вредоносного RTF-документа с тематикой повышения зарплаты. При этом экплойт подгружался в качестве полезной нагрузки с 45.76.53[.]253.
Полезная нагрузка реализована в форме сценария PowerShell с кодировкой Base64 и выполняет функцию загрузчка второго сценария PowerShell с удаленного сервера seller-notification[.]live.
Скрипт при этом проверяет наличие виртуализации, крадет информацию из локальных браузеров, почтовых клиентов и файловых служб, проводит разведку машины, а затем архивирует для эксфильтрации по адресу 45.77.156[.]179.
После внимательного изучения поведения широких разведывательных возможностей полезной нагрузки PowerShell второго уровня и анализа специфики таргетинга, Proofpoint пришли к ожидаемому выводу о причастности к кампании прогосударственной АРТ.
Не называя имен, но жирно намекая на понятных исполнителей, статьи о которых спешно печатают западные издания. Хотя нам не до конца понятно, при такой атрибуции.
Как известно 0-day Follina, реализует схему URI протокола ms-msdt для удаленного управления целевыми устройствами. Разработчик с самого начала пытался замять проблему, однако после общественного резонанса Microsoft пришлось подсуетиться, правда пока только на бумаге, как говориться.
Экстренно ситуацию исправлять пришлось частным специалистам: 0patch выпустила неофициальное исправление для блокировки продолжающихся атак на системы Windows, нацеленных на баги Microsoft Windows Support Diagnostic Tool (MSDT).
О новой компании с использованием уязвимости RCE CVE-2022-30190 (c оценкой по CVSS: 7,8) сообщили ресерчеры Proofpoint, которые обнаружили в ходе мониторинга и заблокировали более 1000 фишинговых сообщений с вложением вредоносного RTF-документа с тематикой повышения зарплаты. При этом экплойт подгружался в качестве полезной нагрузки с 45.76.53[.]253.
Полезная нагрузка реализована в форме сценария PowerShell с кодировкой Base64 и выполняет функцию загрузчка второго сценария PowerShell с удаленного сервера seller-notification[.]live.
Скрипт при этом проверяет наличие виртуализации, крадет информацию из локальных браузеров, почтовых клиентов и файловых служб, проводит разведку машины, а затем архивирует для эксфильтрации по адресу 45.77.156[.]179.
После внимательного изучения поведения широких разведывательных возможностей полезной нагрузки PowerShell второго уровня и анализа специфики таргетинга, Proofpoint пришли к ожидаемому выводу о причастности к кампании прогосударственной АРТ.
Не называя имен, но жирно намекая на понятных исполнителей, статьи о которых спешно печатают западные издания. Хотя нам не до конца понятно, при такой атрибуции.
Интересное замечание - Twitter-обзорщики российско-украинского киберпротивостояния обращают внимание на то, что Telegram-канал DumpForums, на котором якобы вещает хакер, ломающий российские государственные ресурсы, был создан 2 января этого года и до вчерашнего дня на нем не было ни одного сообщения.
Напоминаем, что вчера DumpForums отдефейсил(и) сайт Минстроя РФ и якобы зарансомил(и) министерство на 0,5 BTC за то, чтобы не вбрасывать украденные данные.
Полуфабрикаты полезли. Никто ни к чему не готовился, что вы, оно само (сарказм).
Напоминаем, что вчера DumpForums отдефейсил(и) сайт Минстроя РФ и якобы зарансомил(и) министерство на 0,5 BTC за то, чтобы не вбрасывать украденные данные.
Полуфабрикаты полезли. Никто ни к чему не готовился, что вы, оно само (сарказм).
Как бы вульгарно не звучало, но загрузчик операционной системы U-Boot, а если быть более корректным Das U-Boot, ориентированный на встроенные устройства архитектур MIPS, PowerPC, ARM и другие под ОС Linux подвержен двум критическим уязвимостям.
О проблемах сообщили исследователи кибербезопасности из NCC Group, которые обнаружили ошибки в алгоритме дефрагментации IP-адресов, реализованном в U-Boot.
Как говорят специалисты уязвимости могут быть использованы для осуществления произвольной записи за пределами допустимого диапазона (CVE-2022-30790 CVSS: 9,6), что может позволить злоумышленнику получить root права, а также для переполнения буфера (CVE-2022-30552 оценка CVSS: 7,1), приводящего к отказу в обслуживании (DoS).
Масштаб угроз достаточно приличный, так как U-Boot используется в таких системах как ChromeOS, а также в устройствах для чтения электронных книг, например в Amazon Kindle и Kobo eReader. Да, баги могут позволить злоумышленнику получить root-права на устройствах и привести к отказу в обслуживании, создав искаженный пакет. Однако ситуацию смягчает тот факт, что обе уязвимости можно использовать только из локальной сети.
Исправления находятся в разработке, но исследователи решили раскрыть подробности об ошибках до выпуска исправлений, так как процесс раскрытия уязвимостей в U-Boot осуществляется публично через их список рассылки. Ожидается, что недочеты U-boot будут исправлены в грядущем патче, после чего пользователям рекомендуется обновиться до последней версии.
Так что скрестим пальцы в ожидании обновлений и будем надеяться, что до этой поры представители теневого закулисья по быстрому не придумают как использовать эти уязвимости в своих целях.
О проблемах сообщили исследователи кибербезопасности из NCC Group, которые обнаружили ошибки в алгоритме дефрагментации IP-адресов, реализованном в U-Boot.
Как говорят специалисты уязвимости могут быть использованы для осуществления произвольной записи за пределами допустимого диапазона (CVE-2022-30790 CVSS: 9,6), что может позволить злоумышленнику получить root права, а также для переполнения буфера (CVE-2022-30552 оценка CVSS: 7,1), приводящего к отказу в обслуживании (DoS).
Масштаб угроз достаточно приличный, так как U-Boot используется в таких системах как ChromeOS, а также в устройствах для чтения электронных книг, например в Amazon Kindle и Kobo eReader. Да, баги могут позволить злоумышленнику получить root-права на устройствах и привести к отказу в обслуживании, создав искаженный пакет. Однако ситуацию смягчает тот факт, что обе уязвимости можно использовать только из локальной сети.
Исправления находятся в разработке, но исследователи решили раскрыть подробности об ошибках до выпуска исправлений, так как процесс раскрытия уязвимостей в U-Boot осуществляется публично через их список рассылки. Ожидается, что недочеты U-boot будут исправлены в грядущем патче, после чего пользователям рекомендуется обновиться до последней версии.
Так что скрестим пальцы в ожидании обновлений и будем надеяться, что до этой поры представители теневого закулисья по быстрому не придумают как использовать эти уязвимости в своих целях.
По поводу взлома Mandiant: не все так однозначно.
Mandiant инициировали собственное расследование возможного инцидента после публикации сведений о компании вымогателями LockBit на сайте DLS в качестве жертвы. Хакеры заявляют о том, что в их распоряжении оказался 356 841 файл, однако список файлов на странице отсутствовал.
В качестве утечки на странице представлен файл с именем mandiantyellowpress.com.7z, который, по-видимому, связан с доменом mandiantyellowpress[.]com (зарегистрированным сегодня). Посещение этой страницы перенаправляет на сайт ninjaflex[.]com.
Если верить заявлениям LockBit, то Mandiant они взломали посредством цепочки поставок, добравшись изначально до Foxconn через Zerologon, а затем через VPN в «самое яблочко».
Ресерчеры заверяют об отсутствии признаков того, что данные компании были украдены. Более того, заявления о взломе появились после того, как Mandiant раскрыли в отчете на прошлой неделе, что группа Evil Corp переключилась на развертывание ransomware LockBit в сетях жертв для ухода из-под санкционного давления со стороны США.
Будем следить, чем закончится батл гигантов.
Mandiant инициировали собственное расследование возможного инцидента после публикации сведений о компании вымогателями LockBit на сайте DLS в качестве жертвы. Хакеры заявляют о том, что в их распоряжении оказался 356 841 файл, однако список файлов на странице отсутствовал.
В качестве утечки на странице представлен файл с именем mandiantyellowpress.com.7z, который, по-видимому, связан с доменом mandiantyellowpress[.]com (зарегистрированным сегодня). Посещение этой страницы перенаправляет на сайт ninjaflex[.]com.
Если верить заявлениям LockBit, то Mandiant они взломали посредством цепочки поставок, добравшись изначально до Foxconn через Zerologon, а затем через VPN в «самое яблочко».
Ресерчеры заверяют об отсутствии признаков того, что данные компании были украдены. Более того, заявления о взломе появились после того, как Mandiant раскрыли в отчете на прошлой неделе, что группа Evil Corp переключилась на развертывание ransomware LockBit в сетях жертв для ухода из-под санкционного давления со стороны США.
Будем следить, чем закончится батл гигантов.
Twitter
CyberKnow
#Mandiant releases a report that #Evilcorp is using #Lockbit #ransomware. Then lockbit posts mandiant as an alleged victim. 🤔🤔🤔 #cybersecurity #infosec #meme
Жители города Палермо опробовали на себе сценарии известного фильма «Крепкий орешек 4.0», вступив в схватку с хакерами, которым удалось успешно атаковать городскую IT-инфраструктуру.
В результате киберинцидента в пятницу прошлой недели итальянский многомиллионник отключил все системы и сети, сделав фактически все цифровые услуги для граждан и туристов недоступными.
На минуту, в Палермо проживает почти 1,3 миллиона человек, занимая пятую строчку по численности населения в Италии. Ежегодно его посещают еще 2,3 миллиона туристов и гостей.
В течение последних дней местные технари и айтишники пытаются восстановить работоспособность систем и сервисов, однако многие общедоступные веб-сайты и онлайн-порталы остаются оффлайн.
Скомпрометированные системы включают в себя управление общественным видеонаблюдением, оперативный центр муниципальной полиции и все службы муниципалитета. Сейчас жителям невозможно ни общаться, ни запрашивать какие-либо цифровые услуги, прибегая к помощи устаревшей факсимильной связи.
Самое печальное, что туристы не могут воспользоваться онлайн-бронированием билетов в музеи и театры (Театр Массимо) или подтвердить бронирование на спортивные объекты, отвалилась даже система пропуска в исторический центр города.
Советник по инновациям муниципалитета Палермо Паоло Петралия Камасса заявил, что все системы были отключены и изолированы от сети, а также предупредил, что отключение может продлиться определенное время.
В целом, все указывает на ransomware, так что будет весьма интересно узнать, кто же смог положить целый мегаполис. Правда, в таком случае, проблемы еще впереди: мегаполис ожидает мегаутечка в качестве аргумента в рамках двойного вымогательства, и мегаштраф после нее за нарушение GDPR.
В результате киберинцидента в пятницу прошлой недели итальянский многомиллионник отключил все системы и сети, сделав фактически все цифровые услуги для граждан и туристов недоступными.
На минуту, в Палермо проживает почти 1,3 миллиона человек, занимая пятую строчку по численности населения в Италии. Ежегодно его посещают еще 2,3 миллиона туристов и гостей.
В течение последних дней местные технари и айтишники пытаются восстановить работоспособность систем и сервисов, однако многие общедоступные веб-сайты и онлайн-порталы остаются оффлайн.
Скомпрометированные системы включают в себя управление общественным видеонаблюдением, оперативный центр муниципальной полиции и все службы муниципалитета. Сейчас жителям невозможно ни общаться, ни запрашивать какие-либо цифровые услуги, прибегая к помощи устаревшей факсимильной связи.
Самое печальное, что туристы не могут воспользоваться онлайн-бронированием билетов в музеи и театры (Театр Массимо) или подтвердить бронирование на спортивные объекты, отвалилась даже система пропуска в исторический центр города.
Советник по инновациям муниципалитета Палермо Паоло Петралия Камасса заявил, что все системы были отключены и изолированы от сети, а также предупредил, что отключение может продлиться определенное время.
В целом, все указывает на ransomware, так что будет весьма интересно узнать, кто же смог положить целый мегаполис. Правда, в таком случае, проблемы еще впереди: мегаполис ожидает мегаутечка в качестве аргумента в рамках двойного вымогательства, и мегаштраф после нее за нарушение GDPR.
Giornale di Sicilia
Attacco hacker al Comune di Palermo, rete ancora in tilt: si comunica coi fax
Continuano i problemi per l’attacco hacker che ha colpito il Comune di Palermo tre giorni fa. Fino a lunedì mattina, infatti, tutti i computer rimarranno spenti...
На фоне последних фейлов западных вендоров, связанных с FollinaGate и обрушением дырявых Confluence под натиском атак с использованием непропатченных 0-day, могла пройти незамеченной серьезная работа отечественных специалистов в сфере инфосек. Но мы это исправим.
Четко сработали специалисты Лаборатории Касперского, которые выявили две критические уязвимости в российском сервисе видеоконференций TrueConf Server. Не менее слаженно отработал сам вендор, который в кратчайшие сроки (для понимания - за сутки!) подтвердил ошибки и выпустил обновления ПО с их исправлением.
TrueConf - полностью отечественная разработка, поддерживает Full HD конференции, умеет их записывать и транслировать, причем на различных доступных пользователям платформах, в том числе с процессорами Эльбрус.
Применяется, как правило, для создания защищенного ВКС-контура в закрытых сетях на объектах ВПК, госсекторе и других сферах, где важна безопасность и не допускается применение зарубежных аппаратных и программных средств.
Согласно отчёту исследователей, TrueConf Server содержал уязвимости, которые могли позволить злоумышленникам без авторизации получить полный доступ к серверу и далее развить атаку внутри организаций, использующих уязвимую версию решения.
Пользователям рекомендуется немедленно обновить ПО до версии 4.7.3.10181 или 5.0.2.10353, при отсутствии такой возможности - использовать компенсирующие меры (ограничить доступ к серверу). В идеале - проверить возможность эксплуатации выявленных баг, сохранив архивную версию директории сервера.
А вообще российские пользователи могут быть спокойны: совместная работа ведущих разработчиков в сферах ВКС и ИБ позволила обеспечить надежную защиту их коммуникации, лишив западные таблоиды очередной возможности позлорадствовать и похрипеть в адрес российского инфосек.
Четко сработали специалисты Лаборатории Касперского, которые выявили две критические уязвимости в российском сервисе видеоконференций TrueConf Server. Не менее слаженно отработал сам вендор, который в кратчайшие сроки (для понимания - за сутки!) подтвердил ошибки и выпустил обновления ПО с их исправлением.
TrueConf - полностью отечественная разработка, поддерживает Full HD конференции, умеет их записывать и транслировать, причем на различных доступных пользователям платформах, в том числе с процессорами Эльбрус.
Применяется, как правило, для создания защищенного ВКС-контура в закрытых сетях на объектах ВПК, госсекторе и других сферах, где важна безопасность и не допускается применение зарубежных аппаратных и программных средств.
Согласно отчёту исследователей, TrueConf Server содержал уязвимости, которые могли позволить злоумышленникам без авторизации получить полный доступ к серверу и далее развить атаку внутри организаций, использующих уязвимую версию решения.
Пользователям рекомендуется немедленно обновить ПО до версии 4.7.3.10181 или 5.0.2.10353, при отсутствии такой возможности - использовать компенсирующие меры (ограничить доступ к серверу). В идеале - проверить возможность эксплуатации выявленных баг, сохранив архивную версию директории сервера.
А вообще российские пользователи могут быть спокойны: совместная работа ведущих разработчиков в сферах ВКС и ИБ позволила обеспечить надежную защиту их коммуникации, лишив западные таблоиды очередной возможности позлорадствовать и похрипеть в адрес российского инфосек.
www.kaspersky.ru
«Лаборатория Касперского» обнаружила критические уязвимости в TrueConf Server
Эксперты «Лаборатории Касперского» выявили две критические уязвимости в продукте для видеоконференцсвязи TrueConf Server
͏Google выпустила обновления безопасности за июнь 2022 года для устройств Android с версиями ОС 10, 11 и 12, в которых устранена 41 уязвимость, пять из которых признаны критическими.
Обновление безопасности разделено на два уровня, выпущенных 1 и 5 июня. Первый содержит исправления для компонентов системы и платформы Android, а второй включает обновления для ядра и компонентов с закрытым исходным кодом сторонних поставщиков.
По оценкам разработчиков, самой серьезной из проблем является критическая уязвимость RCE в компоненте System, эксплуатация которой не требует дополнительных прав выполнения. Уязвимость отслеживается как CVE-2022-20127 и затрагивает версии Android 10, 11, 12 и 12L. Эксплуатация может привести к раскрытию информации, компрометации системы высокого уровня и полному захвату устройства.
Две другие критические ошибки были устранены в компоненте System с помощью набора обновлений Android в этом месяце и могут привести к несанкционированному получению прав. Первая из них CVE-2022-20140 - влияет на Android 12 и 12L, вторая CVE-2022-20145 затрагивает Android 11.
Другая критическая уязвимость была обнаружена в Media Framework, отслеживается как CVE-2022-20130 и приводит к RCE на устройствах под управлением Android 10 и новее.
Все четыре уязвимости были устранены в рамках уровня исправления безопасности 2022-06-01, который также включает исправления для пяти ошибок безопасности в Framework и 13 других уязвимостей в компоненте System, все из которых имеют высокий рейтинг серьезности. Их успешное использование может привести к повышению привилегий, раскрытию информации или отказу в обслуживании (DoS).
В дополнение Google выпустила исправления для 18 других ошибок в рамках уровня исправления безопасности 2022-06-05. Ошибки были устранены в компонентах ядра, MediaTek, Unisoc и Qualcomm с закрытым исходным кодом.
Про одну из них мы уже упоминали: CVE-2022-20210 была обнаружена исследователями Check Point и позволяла нейтрализовать радиосвязь устройства с помощью искаженного пакета.
Google также объявил, что около 80 других уязвимостей были исправлены в устройствах Pixel, включая компоненты: Framework (8 уязвимостей), Media Framework (2), System (9), Pixel (35) и Qualcomm (4).
Кроме того, разработчик включил в последнее обновление Pixel исправления безопасности 21 ошибки ядра основной ветки, которые были связаны с долгосрочной поддержкой Linux (LTS) версий 5.4.147 и 5.10.66.
Обновление безопасности разделено на два уровня, выпущенных 1 и 5 июня. Первый содержит исправления для компонентов системы и платформы Android, а второй включает обновления для ядра и компонентов с закрытым исходным кодом сторонних поставщиков.
По оценкам разработчиков, самой серьезной из проблем является критическая уязвимость RCE в компоненте System, эксплуатация которой не требует дополнительных прав выполнения. Уязвимость отслеживается как CVE-2022-20127 и затрагивает версии Android 10, 11, 12 и 12L. Эксплуатация может привести к раскрытию информации, компрометации системы высокого уровня и полному захвату устройства.
Две другие критические ошибки были устранены в компоненте System с помощью набора обновлений Android в этом месяце и могут привести к несанкционированному получению прав. Первая из них CVE-2022-20140 - влияет на Android 12 и 12L, вторая CVE-2022-20145 затрагивает Android 11.
Другая критическая уязвимость была обнаружена в Media Framework, отслеживается как CVE-2022-20130 и приводит к RCE на устройствах под управлением Android 10 и новее.
Все четыре уязвимости были устранены в рамках уровня исправления безопасности 2022-06-01, который также включает исправления для пяти ошибок безопасности в Framework и 13 других уязвимостей в компоненте System, все из которых имеют высокий рейтинг серьезности. Их успешное использование может привести к повышению привилегий, раскрытию информации или отказу в обслуживании (DoS).
В дополнение Google выпустила исправления для 18 других ошибок в рамках уровня исправления безопасности 2022-06-05. Ошибки были устранены в компонентах ядра, MediaTek, Unisoc и Qualcomm с закрытым исходным кодом.
Про одну из них мы уже упоминали: CVE-2022-20210 была обнаружена исследователями Check Point и позволяла нейтрализовать радиосвязь устройства с помощью искаженного пакета.
Google также объявил, что около 80 других уязвимостей были исправлены в устройствах Pixel, включая компоненты: Framework (8 уязвимостей), Media Framework (2), System (9), Pixel (35) и Qualcomm (4).
Кроме того, разработчик включил в последнее обновление Pixel исправления безопасности 21 ошибки ядра основной ветки, которые были связаны с долгосрочной поддержкой Linux (LTS) версий 5.4.147 и 5.10.66.
Горизонт проблем со шпионским ПО Pegasus разрастается все больше и больше и уже сам Испанский судья решил отправиться в Израиль, чтобы взять показания от главы технологической компании NSO - производителя скандального софта, используемого для прослушивания телефонов политиков Испании.
Как мы помним, масло в огонь подлили специалисты из Citizen Lab, которые выявили вредоносные инструменты, продаваемые израильскими фирмами NSO Group и Candiru на устройствах как минимум 65 каталонцев, включая членов Европейского парламента, каталонских президентов, ряда законодателей, юристов и представителей гражданского общества.
Как говорилось в отчете каждый каталонский президент с 2010 года подвергался заражению Pegasus либо во время своего срока, либо до, либо после выхода на пенсию, что откровенно говоря, как-то не особо увязывается с обеспечением безопасности и противодействием терроризма.
На просьбу от Associated Press прокомментировать ситуацию, представитель израильской компании ограничился своей сухой дежурной фразой из разряда, что NSO действует в рамках строгих правовых рамок и уверен, что это будет результатом любого правительственного расследования.
Информация была обнародована после того, как судья снял гриф секретности с дела о взломе мобильных телефонов премьер-министра Испании Педро Санчеса и министров обороны и внутренних дел Испании в мае и июне 2021 года. Причем кибератака совпала с дипломатическим разногласием между Испанией и Марокко.
Официальные лица Марокко от высказываний по этому поводу воздержались, а правительство Испании передало дело в испанский суд с соответствующими пруфами о взломах.
Интересно чем закончится это испанское родео, какие и против кого будут вынесены санкции, но как известно под раздачу уже попала бывшая глава спецслужбы Испании Пас Эстебан. Да, да представьте себе главной Национального разведывательного центра Испании была женщина, по указанию которой промышляли использованием чудо-софта против некоторых каталонских политиков.
Как мы помним, масло в огонь подлили специалисты из Citizen Lab, которые выявили вредоносные инструменты, продаваемые израильскими фирмами NSO Group и Candiru на устройствах как минимум 65 каталонцев, включая членов Европейского парламента, каталонских президентов, ряда законодателей, юристов и представителей гражданского общества.
Как говорилось в отчете каждый каталонский президент с 2010 года подвергался заражению Pegasus либо во время своего срока, либо до, либо после выхода на пенсию, что откровенно говоря, как-то не особо увязывается с обеспечением безопасности и противодействием терроризма.
На просьбу от Associated Press прокомментировать ситуацию, представитель израильской компании ограничился своей сухой дежурной фразой из разряда, что NSO действует в рамках строгих правовых рамок и уверен, что это будет результатом любого правительственного расследования.
Информация была обнародована после того, как судья снял гриф секретности с дела о взломе мобильных телефонов премьер-министра Испании Педро Санчеса и министров обороны и внутренних дел Испании в мае и июне 2021 года. Причем кибератака совпала с дипломатическим разногласием между Испанией и Марокко.
Официальные лица Марокко от высказываний по этому поводу воздержались, а правительство Испании передало дело в испанский суд с соответствующими пруфами о взломах.
Интересно чем закончится это испанское родео, какие и против кого будут вынесены санкции, но как известно под раздачу уже попала бывшая глава спецслужбы Испании Пас Эстебан. Да, да представьте себе главной Национального разведывательного центра Испании была женщина, по указанию которой промышляли использованием чудо-софта против некоторых каталонских политиков.
euronews
Spanish court calls CEO of Israel's NSO to testify in spying case
MADRID -Spain’s High Court on Tuesday called the chief executive
Аналитики HP сообщают о новой фишинговой кампании, особенностью которой является ранее неизвестный загрузчик вредоносного ПО под названием SVCReady.
Мальварь реализует необычный способ доставки на целевые ПК - с помощью шелл-кода, скрытого в свойствах документов Microsoft Office.
SVCReady находится в стадии активной разработки, разработчики выпустили несколько обновлений в мае 2022 года. Первые признаки активности были зафиксированы 22 апреля 2022 года.
Цепочки заражения включают в себя отправку по электронной почте вложений документов Microsoft Word, которые содержат макросы VBA для развертывания вредоносных полезных нагрузок. Однако вместо использования PowerShell или MSHTA для извлечения исполняемых файлов следующего этапа с удаленного сервера макрос запускает шелл-код, хранящийся в свойствах документа, который впоследствии удаляет вредоносное ПО SVCReady.
Отделяя макросы от кода вредоносной оболочки, злоумышленники пытаются обойти программное обеспечение безопасности, которое обычно может их обнаружить.
Помимо сохранения на зараженном узле с помощью запланированного задания, вредоносная программа обладает функционалом для сбора системной информации, создания снимков экрана, запуска команд оболочки, а также загрузки и выполнения произвольных файлов.
В частности, в некоторых случаях в качестве дополнительной полезной нагрузки доставлялся RedLine Stealer, что впервые было обнаружено 26 апреля 2022 года после компрометации с помощью SVCReady одной из жертв.
Связь с C2 шифруется с помощью ключа RC4. Причем аналитики HP отмечают, что эта функция была добавлена в мае во время одного из обновлений зловреда.
Вредоносная программа также делает два запроса WMI на хосте, чтобы выяснить, работает ли он в виртуализированной среде. SVCReady подключается к C2 каждые пять минут, чтобы сообщить о своем статусе, получить новые задачи, отправить украденную информацию или проверить домен.
В ходе анализа используемых для распространения SVCReady документов-приманок и изображений, ресерчеры HP нашли сходство с аналогичными файлами, за которыми стояла TA551 (также известной как Hive0106 или Shathak). Ранее фишинговая группировка использовала эти домены для размещения полезных нагрузок Ursnif и IcedID.
Однако исследователи больше склоняются к к тому, что обнаруженные артефакты оставлены двумя разными акторами, которые используют одни и те же аналогичные шаблоны и потенциально конструкторы документов. Будем следить за развитием штамма.
Мальварь реализует необычный способ доставки на целевые ПК - с помощью шелл-кода, скрытого в свойствах документов Microsoft Office.
SVCReady находится в стадии активной разработки, разработчики выпустили несколько обновлений в мае 2022 года. Первые признаки активности были зафиксированы 22 апреля 2022 года.
Цепочки заражения включают в себя отправку по электронной почте вложений документов Microsoft Word, которые содержат макросы VBA для развертывания вредоносных полезных нагрузок. Однако вместо использования PowerShell или MSHTA для извлечения исполняемых файлов следующего этапа с удаленного сервера макрос запускает шелл-код, хранящийся в свойствах документа, который впоследствии удаляет вредоносное ПО SVCReady.
Отделяя макросы от кода вредоносной оболочки, злоумышленники пытаются обойти программное обеспечение безопасности, которое обычно может их обнаружить.
Помимо сохранения на зараженном узле с помощью запланированного задания, вредоносная программа обладает функционалом для сбора системной информации, создания снимков экрана, запуска команд оболочки, а также загрузки и выполнения произвольных файлов.
В частности, в некоторых случаях в качестве дополнительной полезной нагрузки доставлялся RedLine Stealer, что впервые было обнаружено 26 апреля 2022 года после компрометации с помощью SVCReady одной из жертв.
Связь с C2 шифруется с помощью ключа RC4. Причем аналитики HP отмечают, что эта функция была добавлена в мае во время одного из обновлений зловреда.
Вредоносная программа также делает два запроса WMI на хосте, чтобы выяснить, работает ли он в виртуализированной среде. SVCReady подключается к C2 каждые пять минут, чтобы сообщить о своем статусе, получить новые задачи, отправить украденную информацию или проверить домен.
В ходе анализа используемых для распространения SVCReady документов-приманок и изображений, ресерчеры HP нашли сходство с аналогичными файлами, за которыми стояла TA551 (также известной как Hive0106 или Shathak). Ранее фишинговая группировка использовала эти домены для размещения полезных нагрузок Ursnif и IcedID.
Однако исследователи больше склоняются к к тому, что обнаруженные артефакты оставлены двумя разными акторами, которые используют одни и те же аналогичные шаблоны и потенциально конструкторы документов. Будем следить за развитием штамма.
HP Wolf Security
SVCReady: A New Loader Gets Ready | HP Wolf Security
Don’t let cyber threats get the best of you. Read our post, SVCReady: A New Loader Gets Ready, to learn more about cyber threats and cyber security.
Forwarded from Social Engineering
👾 Awesome CVE PoC.
• Сегодня, я поделюсь с тобой крутым репозиторием, который включает в себя почти все CVE, начиная с 1999 года. Но для начала, немного теории.
• Раньше в различных сервисах для указания одних и тех же уязвимостей использовались разные названия. Для устранения путаницы с названием уязвимостей, компания MITRE предложила решение, независимое от различных производителей средств поиска уязвимостей. Это решение было реализовано в виде базы данных уязвимостей CVE Common Vulnerabilities and Exposures (Общие уязвимости и воздействия). Это решение позволило всем специалистам и производителям разговаривать на одном языке. В данной базе для каждой уязвимости используется следующий атрибут записи
• Если у тебя возник вопрос "А откуда берутся эти ваши CVE?" то вот ответ: Представим, что ты нашел очередную уязвимость и хочешь рассказать о ней всему миру. Для этого тебе требуется заполнить определенную форму на сайте mitre. И, по сути, это всё))
* Весь процесс описан тут: https://www.cve.org/ResourcesSupport/FAQs
• Теперь перейдем к репозиторию о котором я говорил в самом начале. Делюсь ссылкой: https://github.com/trickest/cve, тут собраны почти все CVE, начиная с 1999 года, присутствует удобная сортировка (по годам) и есть ежедневные обновления. Надеюсь, что данная информация будет полезной каждому из Вас.
Твой S.E. #CVE
🖖🏻 Приветствую тебя user_name.• Каждый день появляются новые уязвимости, которые затрагивают различный софт, сервисы и ОС. Думаю ты помнишь, крайнюю новость о Confluence Server и Data Center и их критической уязвимости (CVE-2022-26134), о которой писали 99% всех новостных ресурсов, освещающих тему #ИБ.
• Сегодня, я поделюсь с тобой крутым репозиторием, который включает в себя почти все CVE, начиная с 1999 года. Но для начала, немного теории.
• Раньше в различных сервисах для указания одних и тех же уязвимостей использовались разные названия. Для устранения путаницы с названием уязвимостей, компания MITRE предложила решение, независимое от различных производителей средств поиска уязвимостей. Это решение было реализовано в виде базы данных уязвимостей CVE Common Vulnerabilities and Exposures (Общие уязвимости и воздействия). Это решение позволило всем специалистам и производителям разговаривать на одном языке. В данной базе для каждой уязвимости используется следующий атрибут записи
CVE- YYYY-NNNN, где YYYY — это год обнаружения уязвимости, а NNNN — ее порядковый номер.• Если у тебя возник вопрос "А откуда берутся эти ваши CVE?" то вот ответ: Представим, что ты нашел очередную уязвимость и хочешь рассказать о ней всему миру. Для этого тебе требуется заполнить определенную форму на сайте mitre. И, по сути, это всё))
* Весь процесс описан тут: https://www.cve.org/ResourcesSupport/FAQs
• Теперь перейдем к репозиторию о котором я говорил в самом начале. Делюсь ссылкой: https://github.com/trickest/cve, тут собраны почти все CVE, начиная с 1999 года, присутствует удобная сортировка (по годам) и есть ежедневные обновления. Надеюсь, что данная информация будет полезной каждому из Вас.
Твой S.E. #CVE