В конце прошлой недели Rapid7 выпустили свежий Metasploit 6.2.0, первый почти за год с предыдущего апдейта в августе 2021 года.

Создатели заявляют о 138 новых модулях, 148 новых функциях и куче исправленных ошибок. Перечислять улучшения не будем - все основное по ссылке.

Добавим лишь два момента.

Во-первых, с точки зрения ежедневного использования Metasploit теряет свои позиции. Хотя бы в пользу модифицированного Cobalt Strike. Либо кастомных сборок.

А во-вторых, количество мамкиных хакеров ожидаемо вырастет. Поэтому в очередной раз напоминаем про необходимость свежих апдейтов всего используемого ПО.

Пентестеры из немецкой SySS в прошлом месяце обнаружили бэкдор в IP-телефонах Mitel, которые очень популярны в бизнес-сообществе.

Уязвимости CVE-2022-29854 и CVE-2022-29855 имеют оценку CVSS 6,8 и связаны с проблемами контроля доступа.

Несмотря на, казалось, не критический характер проблем, в случае успешной эксплуатации они могут позволить злоумышленнику получить привилегии суперпользователя, который обеспечивает полный доступ к конфиденциальной информации и выполнению кода.

Проблема связана с ранее неизвестным сценарием оболочки check_mft.sh в прошивке телефонов, которая предназначена для запуска при загрузке системы. Он находится в каталоге /etc на телефоне и следит за активацией одновременного нажатия клавишзвездочка и решетка в ходе запуска системы.

При запуске сценария телефон устанавливает свой IP-адрес на 10.30.102[.]102 и распаривает сервер Telnet, к которому затем можно подключиться со статическим корневым паролем.

Благодаря незадокументированному бэкдору злоумышленник, имеющий физический доступ к уязвимому настольному телефону, может получить root-доступ, нажав определенные клавиши при загрузке системы, а затем подключиться к предоставленной службе Telnet в качестве пользователя root со всеми дальнейшими вытекающими последствиями.

Уязвимости затрагивают SIP-телефоны серий 6800 и 6900, за исключением модели 6970.

Пользователям затронутых моделей рекомендуется обновиться до последней версии, дабы снизить любой потенциальный риск, связанный с использованием атаки повышения привилегий.

Подобная практика, по всей видимости, является нормой для производителей (или требованием?). Во всяком случае, в декабре прошлого года в VoIP-устройствах Auerswald уже находили аналогичные бэкдоры.

Ловкий прием провернули злоумышленники с пакетами PyPI keep, pyanxdns и api-res-py, в которые посредством атаки на цепочку зависимостей пристроили бэкдор. Причем удалось реализовать аферу без особых усилий, авторы пакетов сами попались из-за банальной опечатки в setup.py.

Лазейка нашлась во встроенном в код модуле Python для выполнения HTTP-запросов. Оригинальный запрос requests был изменен в последних версиях пакетов на equest (без s), который является вредоносным ПО. Библиотеки достаточно востребованы разработчиками, в частности, пакет keep загружается в среднем более 8000 раз в неделю.

Подмена библиотек запросов была замечена мае GitHub-пользователем duxinglin1. Выявленным уязвимостям были присвоены: CVE-2022-30877 (для keep версии 1.2), CVE-2022-30882  (затронута версия 0.2 пакета pyanxdns), CVE-2022-31313 (уязвимая версия 0.1 пакета api-res-py). При этом даже если пакет запроса был удален PyPI, многие зеркальные сайты не удалили этот пакет полностью, поэтому его все еще можно установить.

Строка 57 кода поддельного «запроса» содержит URL-адрес вредоносного ПО check.so в кодировке base64. Аналитики Intel по угрозам Blackorbird также определил и другие URL-адреса, связанные с request: http://dexy[.]top/request/check.so и http://dexy[.]top/x.pyx.

Check.so содержит троян удаленного доступа (RAT), в свою очередь, x.pyx реализует вредоносное ПО для кражи информации, которое крадет файлы cookie и конфиденциальную информацию с Chrome, Firefox, Yandex и Brave, после чего злоумышленники переходят к компрометации других используемых разработчиком аккаунтов и учёток.

На самом деле трюк с библиотекой не новый: в 2020 году Tencent Onion обнаружила вредоносный запрос typosquat, загруженный в PyPI, который выдавал себя за легальную HTTP-библиотеку запросов, но вместо этого грузил вредоносные ПО.

По итогу, ошибки исправлены, а разработчикам - очередное напоминание о необходимости проверки и перепроверки стороннего кода, который, как показывает ситуация, может быть модифицирован непреднамеренно его же авторами.

Drupal опять попал и хакеры снова могут использовать ошибки для удаленного взлома веб-сайтов, работающих на популярной CMS.

Причем к самим разработчикам нет никаких претензий, ибо проблема кроется в серьезных уязвимостях сторонней библиотеки и дабы смягчить возможные последствия и привлечь внимание своих клиентов, команда безопасности выпустила «умеренно критическую» рекомендацию по безопасности.

Уязвимости, отслеживаемые как CVE-2022-31042 и CVE-2022-31043, были обнаружены и исправлены в библиотеке Guzzle, которую Drupal использует для обработки HTTP-запросов и ответов на внешние сервисы.

Как заявляют разработчики, ошибки не влияют на ядро CMS, однако могут повлиять на некоторые проекты или пользовательский код на сайтах Drupal. В свою очередь, разработчики Guzzle оценили эти уязвимости, как "представляющие высокий риск"

Рекомендации по безопасности вышли вне обычного графика выпуска обновлений безопасности, поскольку Guzzle уже опубликовал информацию об уязвимостях, которые могут существовать в пользовательских модулях, используемых Guzzle для исходящих запросов и эксплуатация уязвимостей может позволить удаленному злоумышленнику получить контроль над уязвимым веб-сайтом.

Специалисты по безопасности рекомендует своим пользователям установить самые последние версии (с Drupal 9.2 по Drupal 9.4). Причем, важным замечанием является то, что все версии Drupal 9 до 9.2.x устарели и на них не распространяется защита безопасности.

Команда Unit42 из компании Palo Alto Networks сообщает о новом крайне скрытном RAT под названием PingPull, которым, по мнению исследователей, вооружилась прокитайская АРТ Gallium.

Следы нового ПО обнаружились в Австралии, России, Филиппинах, Бельгии, Вьетнаме, Малайзии, Камбодже и Афганистане, где целями атак АРТ стали финансовые учреждения и госструктуры. Считается, что Gallium ориентированы на в телекоммуникационный, финансовый и государственный сегменты в ходе своих шпионских кампаний.

PingPull предназначен для доставления обратной оболочки на скомпрометированную машину, что позволяет операторам удаленно выполнять команды. Ресерчеры обратили внимание на то, что различные версии ПО используют разные протоколы связи C2, среди которых ICMP, HTTPS и TCP.

Развертывание каждого конкретного варианта зависит от результатов предварительной разведки, что тактически предназначено для более эффективного уклонения от средств обнаружения атак. Во всех случаях вредоносное ПО инсталлируется под видом легальной службы, вводя в заблуждение пользователя.

Малварь собирает сведения о томах, формирует списки содержимого папок, способен считать, записать, удалить файл, создать каталог, а при необходимости преобразовать в шестнадцатеричный вид, скопировать или переместить его, задавая значения времени создания, записи и доступа в соответствии с исходными данными. Кроме того, может выполнить команду через cmd.exe.

Все команды с параметрами отправляются на C2 в зашифрованном с помощью AES формате, который расшифровываются благодаря паре жестко запрограммированных ключей.

Свои выводы о причастности к атак с новым RAT специалисты Unit 42 основывают на сходстве инфраструктуры с прошлыми операциями Gallium. В частности, ими обнаружены более 170 IP-адресов, некоторые из которых относятся к концу 2020 года.

Учитывая, что Gallium не так часто светились в отчетах исследователей, последние из которых в 2019 году готовили Microsoft, соглашаться с безальтернативными выводы Palo Alto мы бы не стали.

Вместе с тем, рекомендуем использовать индикаторы компрометации, представленные в отчете Unit 42 для обнаружения и отсечки потенциальных угроз.

Ресерчеры Cybernews пополнили ряды «протекщих» VPN новым сервисом.

В марте 2021 года они обнаружили базы данных на 21 миллион пользователей SuperVPN, GeckoVPN и ChatVPN, которые включали адреса электронной почты и пароли, имена пользователей и платежную информацию.

На этот раз в общем доступе оказалось более 18 ГБ со сведениями о подключениях 25 млн. клиентов BeanVPN. Приложение разработано румынской компанией IMSOFT, офис располагается в Бухаресте. Приложение доступно только в Google Play Store и загружено более 50 тысяч раз. Помимо VPN разработчик реализует прокси-серверы Telefly MTProto для Telegram.

Утекшая база содержит идентификаторы пользовательских устройств и сервисов Play, IP-адреса и временные метки подключений и фактически всю диагностическую информацию, которая в совокупности позволяет деанонить клиентов и определять их приблизительное местоположение по гео-IP.

После обращения ресерчеров в IMSOFT обнаруженный сегмент ElasticSearch перенастроили. Но каким образом в сети оказались журналы подключений и почему они вообще существуют - администрация BeanVPN не смогла пояснить.

Фактически IMSOFT поймали на нарушении собственной же политики конфиденциальности, согласно которой компания собирает только минимальные данные, необходимые для работы VPN-сервиса мирового класса в масштабе и не хранит логи подключений.

В общем, выбирая VPN, забейте и не изучайте политику конфиденциальности, заявленные гарантии анонимности и безопасности, как показывает практика, остаются только коммерческими лозунгами, тем более, если речь идет о бесплатных сервисах.

͏Еще с самого начала всей истории с правозащитниками и NSO Group началась - мы были уверены, что реальным поводом для всех расследований, судебных разбирательств и даже санкций стал глобальный передел рынка технологического шпионажа.

Шпионаж в отношении президента Франции или высокопоставленных польских чиновников - на самом деле мало кого, волновал, кроме самих жертв, куда больший интерес вызывают доходы и, прежде всего, неккомечеркие дивиденды от такого рода деятельности.

Собственно и развязка: L3 Technologies, правительственный подрядчик США, реализующий аэрокосмические и оборонные технологии, стал главным претендентом на роль нового владельца активов NSO Group.

Ранее L3 уже приобрела Azimuth Security и LinchPin Labs, которые специализируются на разработке в интересах правительства инструментов для эксплойтов и кибершпионажа.

Вангуем, что после согласования всех юридических формальностей, NSO Group отделается небольшими штрафами (если не извинениями) за инциденты с Facebook и Apple, а вместо санкции может дотации и субсидий выдадут.

Правозащитники тоже могут спать спокойно, больше никто не будет разоблачать атаки с нулевым щелчком, во всяком случае публично.

Microsoft выпустила очередной PatchTuesday за июнь 2022, исправив в общей сложности 55 уязвимостей, в том числе и для эксплуатируемой вдоль и поперек 0-day Follina.

Среди закрытых: 3 критические ошибки RCE, 51 отмечена - как важная и одна - как умеренная. Кроме того, в браузере Microsoft Edge устранены 5 недостатков безопасности.

Общее распределение исправленных уязвимостей выглядит следующим образом: 12 - повышение привилегий; 1 - обхода безопасности, 27 - RCE, 11 - раскрытие информации, 3 - отказ в обслуживании, 1 - спуфинг. Полный список исправленных недостатков представлен здесь.

Главным достижением в рамках патча стало исправление Follina, которая связана с выполнением вредоносных команд PowerShell посредством Windows Microsoft Diagnostic Tool (MSDT) после открытия документа Word.

Помимо CVE-2022-30190 накопительное обновление также устраняет несколько других RCE в сетевой файловой системе Windows (CVE-2022-30136), Windows Hyper-V (CVE-2022-30163), Windows Lightweight Directory Access Protocol, Microsoft Office, HEVC и Azure RTOS GUIX Studio.

Еще одним закрытым недостатком безопасности является CVE-2022-30147 (с оценкой CVSS 7,8), представляющим собой уязвимость повышения привилегий в установщике Windows и с отметкой Microsoft - «эксплуатация более вероятная».

Однако радоваться сильно не стоит, ведь помниться обновления для диспетчера очереди печати выходил с января 2022 чуть ли не каждый месяц, исключением стал текущий патч, вероятно, добили багу. Но все равно не факт.

В целом, конечно, Microsoft в очередной раз облажались: если исправление заняло 2 недели разработки, тогда возникает вопрос, а почему оно не вышло раньше, ведь об ошибке стало известно еще в апреле. Но ответ вы уже знаете.

Промышленные гиганты Siemens и Schneider Electric выпустили свои бюллетени с не менее гигантским количеством исправлений уязвимостей, затрагивающих их продукты.

Один только Siemens исправил 59 уязвимостей, 30 из которых критические и с рейтингом высокой серьезности, влияющих на SINEMA Remote Connect Server.

Уязвимости затрагивают сторонние компоненты, могут привести к RCE, обходу аутентификации, повышению привилегий, внедрению команд и раскрытию информации.

Например, несколько критических уязвимостей, которые можно использовать без аутентификации, были закрыты в SICAM GridEdge. Решена проблема в Teamcenter, связанная с жестко заданными учетными данными.

Не обошли стороной критические ошибки в компонентах SCALANCE LPE9000. Кроме того, некоторые уязвимости HTTP-сервера Apache также влияли на RUGGEDCOM, SINEC и SINEMA.

Устранены серьезные проблемы были в Spectrum Power, Mendix, EN100, SCALANCE LPE9403, SINUMERIK Edge и Xpedition Designer.

Причем обнаружено, что DoS-уязвимость высокой степени серьезности в OpenSSL затрагивает десятки продуктов Siemens, но исправления для большинства из них еще не выпущены.

Для многих из этих уязвимостей в Siemens пока выпустили только меры по их устранению, но в компании активно работают над исправлениями.

Schneider Electric устранили 24 уязвимостей.

В модуле Data Server для продукта IGSS SCADA исправлено 7 критических RCE-недостатков. В продуктах C-Bus Home Automation были обнаружены 2 критические уязвимости, связанные с аутентификацией. Еще 4 серьезных ошибки пофиксили в StruxureWare Data Center Expert.

Conext ComBox уязвим для кликджекинга, брутфорса и атак CSRF. В EcoStruxure Cybersecurity Admin Expert исправлены 2 серьезные баги, которые могут привести к спуфингу устройств и MITM-атакам.

Умеренные ошибки исправленны в продуктах Geo SCADA Mobile, EcoStruxure Power Commission и CanBRASS.

Компания Schneider выпустила исправления для всех этих уязвимостей.

Однако пользователям Conext ComBox доступны только рекомендации по снижению риска эксплуатации, так как поддержка продукта компания прекратила в январе 2020 года.

Ученые из Техасского университета в Остине, Университета Иллинойса в Урбане-Шампейне и Университета Вашингтона обнаружили новую атака по побочному каналу Hertzbleed, которая затрагивает процессоры Intel и AMD

Hertzbleed, позволяет удаленным злоумышленникам выкрасть полные криптографические ключи с удаленных серверов, наблюдая за изменениями частоты ЦП, которые обеспечивает функция регулирования энергопотребления (DVFS).

На современных процессорах Intel (CVE-2022-24436) и AMD (CVE-2022-23823) x86 динамическое масштабирование частоты зависит от энергопотребления и обрабатываемых данных.

Исследователи полагают, что Hertzbleed представляет собой реальную и практическую угрозу безопасности криптографического программного обеспечения.

Intel заявляет, что уязвимость затрагивает всю линейку процессоров и может быть удаленно реализована в атаках высокой сложности, которые не требуют взаимодействия с пользователем со стороны злоумышленников с низкими привилегиями.

AMD, в свою очередь, также сообщает, что Hertzbleed влияет на некоторые из ее продуктов, включая настольные, мобильные, Chromebook и серверные процессоры, использующие микроархитектуры Zen 2 и Zen 3.

Процессоры других производителей с DVFS также могут быть затронуты Hertzbleed, но исследователи еще не подтвердили, применим ли их PoC к этим процессорам.

Вместе с тем, по данным исследовательской группы, Intel и AMD не планируют выпускать патчи для устранения новой группы атак по частотным побочным каналам, поскольку придерживаются мнения, что атака вряд ли может быть осуществлена за пределами лабораторной среды.

Тем не менее, оба поставщика представили рекомендации (1, 2) по защите ПО от раскрытия информации, связанного с регулированием частоты.

AMD при этом делают акцент на сокрытии или смене ключей, а также как одни из вариантов рассматривают возможность отключения функции Turbo Boost, однако это серьезно повлияет на производительность.

Специалисты Intel напротив считают, что атака может произойти независимо от того, включена функция Turbo Boost или нет, предлагая альтернативные рекомендации.

Полные результаты изысканий по Hertzbleed ученные намерены представить на 31-м симпозиуме по безопасности USENIX в городе Бостон, который состоится 10–12 августа 2022 года. Пока же доступно предварительная версия документа (PDF).

͏Комитет по ассигнованиям нижней палаты американского Конгресса запросил увеличение финансирования американского Агентства кибербезопасности и безопасности инфраструктуры (CISA) на 2023 год.

В итоге бюджет CISA в будущем году составит без малого 3 млрд. долларов. Что с учетом штата в 2,5 тыс. человек весьма впечатляет.

Сколько же составляет бюджет российского аналога CISA? А нисколько, в России нет аналогичного государственного органа, который смог бы профессионально регулировать вопросы информационной безопасности!

Парам-парам-пам, фьють!

Крупнейшую сеть супермаркетов в Африке Shoprite зарансомили.

Shoprite Holdings управляет почти тремя тысячами магазинов в двенадцати странах континента.(Южной Африке, Нигерии, Гане, Мадагаскаре, Мозамбике, Намибии, ДРК, Анголе и др) с доходом в 5,8 млрд долларов США и насчитывает штат в 149 000 сотрудников.

В прошлую пятницу компания сообщила об инциденте, предупредив клиентов в Эсватини, Намибии и Замбии, чья личная информация могла быть скомпрометирована из-за атаки банды вымогателей. Эксфильтрованная хакерами информация, согласно заявлению компании, включает имена и идентификационные номера, финансовая и банковская информация не была затронута.

Атаку оперативно купировали, предотвратив дальнейшие потери данных, подключили новые инструменты аутентификации и антифрод-системы. При этом Shoprite не сообщает, были ли ее системы зашифрованы, однако судя по всему, дело ограничилось утечкой.

Ответственность за атаку взяли RansomHouse, опубликовав более 600 ГБ украденных данных на DLS. Помимо прочего, хакеры подвергли в Telegram критике крайне низкий уровень ИБ в Shoprite.

В случае неуплаты, данные клиентов компании будут перепроданы или же вовсе слиты на просторы глобальной сети. Учитывая, что Shoprite уже озаботился предупреждениями, ожидать выкупа не стоит, а вот дальнейшего шквала мошенничеств, фишинга и прочих преступных махинации - определенно да.

Мы уже писали про странное поведение Microsoft в истории с уязвимостью Follina, которую компания сначала не хотела признавать, несмотря на активное использование в дикой природе, а потом еще и закрывала почти три недели уже после того, как технические подробности дырки попали в паблик.

Так не мы одни кипеш поднимаем. Надысь Амит Йоран, CEO инфосек компании Tenable, разразился в LinkedIn длинным постом, в котором мало что не назвал Microsoft долбоклюями.

Подгорело у Йорана от реакции MSRC на две уязвимости в Azure Synapse, которые обнаружила Tenable. В результате рассмотрения Microsoft признала только одну из них, которую решила незаметно исправить, не уведомляя официально пользователей и не присваивая ей CVE. Поведение компании изменилось только после того, как через 89 дней после первоначального уведомления Tenable пригрозили обнародовать технические подробности дырок.

Также Йоран указывает на то, что с подобным подходом мелкомягких в последнее время столкнулись Wiz, Positive Technologies, Fortinet и Orca Security. Последние так вообще ждали 3 патча и более 100 дней до устранения выявленных ими уязвимостей.

Ну и в завершении всего представители Microsoft прокомментировали всю ситуацию следующим образом:
"Мы устранили уязвимости, которые обнаружила Tenable. Никаких действий со стороны пользователей не требуется. А мы не присваиваем CVE тем уязвимостям, в отношении которых не требуются действия со стороны пользователей".

Переводим на русский - какие у нас там внутре дырки, вас не стебёт. Сидите, потребляйте и не жужжите. Нам лучше знать, где CVE, а где не CVE. Нам и АНБ.

На сей прекрасной ноте оставим наших героев. Пока.

Порой даже лучшие в своем роде имеют бреши в безопасности и Splunk увы не исключение.

Наикрутейший Splunk, который полюбился и активно используется (несмотря на публичное эмбарго) рядом крупных российских компаний, объявил о выпуске внеплановых исправлений, которые устраняют несколько уязвимостей в Splunk Enterprise, включая критическую проблему, приводящую к выполнению произвольного кода.

Предоставляя возможности мониторинга и анализа больших данных, Splunk использует серверы развертывания Splunk Enterprise для распространения конфигураций и обновлений содержимого на различные экземпляры Enterprise.

Собственно проблема кроется в самих серверах развертывания Splunk Enterprise в версиях до 9.0. Злоумышленник, скомпрометировавший конечную точку Universal Forwarder, может использовать эту уязвимость для выполнения произвольного кода на всех других конечных точках Universal Forwarder, подключенных к серверу развертывания.

Ошибка отслеживается как CVE-2022-32158 и имеет приличную для подобных решений оценку в 9,0 по CVSS.

Разумеется в темпе вальса Splunk устранил эту проблему и выпустил версию 9.0 и рекомендует клиентам обновить свои экземпляры. Также в компании объявили, что устранили нескольких других серьезных ошибок в Splunk Enterprise, в том числе ошибки, из-за которых серверы развертывания в предшествующих версиях позволяли загружать пакеты пересылки без аутентификации (CVE-2022-32157).

Помимо обновления до актуальной версии, разработчик рекомендует настроить аутентификацию для серверов развертывания и клиентов, что будет гарантировать возможность управления только универсальным сервером пересылки версии 9.0 и более поздних версий.

Облачную платформу Splunk (SCP) угроза обошла стороной, так как она не предлагает и не использует серверы развертывания.

Кроме того, были решены несколько проблем с проверкой сертификата TLS, которые могли привести к MITM-атакам или позволить соединениям с одноранговыми узлами или узлами без действительных сертификатов не прерываться по умолчанию.

В компании сообщили, что доказательств об использовании каких-либо из этих уязвимостей в реальных атаках у них нет. Поэтому, обновитесь и спите спокойно, хотя в нынешних условиях ни первое ни второе не так то просто.

​💰 Сколько стоит доступ к инфраструктуре компании?

🖖🏻 Приветствую тебя user_name.

• Сегодня предлагаю ознакомиться с интересным исследованием и узнать, по какой цене киберпреступники продают данные крупных компаний в даркнете — статья-обзор предложений на теневых форумах по категориям. Будет интересно, приятного чтения:

• Основным мотивирующим фактором для злоумышленников были и остаются деньги. К самым распространенным способам монетизации кибератак относятся продажа украденных баз данных и вымогательство денег с помощью программ-шифровальщиков.

• Однако в теневом интернете существует спрос не только на данные, полученные в результате атаки, но и на данные и услуги, необходимые для ее организации (например, для выполнения определенного этапа многоступенчатой атаки).

• В сложных атаках почти всегда можно выделить несколько этапов, таких как разведка, первоначальный доступ к инфраструктуре, получение доступа к целевым системам и/или привилегий и непосредственно вредоносная активность (кража, уничтожение или шифрование данных и т. д.). Это один из примеров разделения атаки на шаги, которые могут выполняться несколькими подрядчиками — хотя бы потому, что для реализации разных шагов требуются разные компетенции и опыт.

• Опытные злоумышленники заинтересованы в непрерывном развитии своего бизнеса и постоянно нуждаются в новых данных для первоначального доступа к инфраструктуре организаций. Им выгоднее заплатить за готовый доступ, чем инвестировать свое время в поиск первичных уязвимостей и проникновение внутрь периметра.

🧷 Продолжение: https://securelist.ru/initial-access-data-price-on-the-dark-web/105499/

Твой S.E.

Cisco исправила критическую уязвимость обхода аутентификации, которая позволяла злоумышленникам входить в веб-интерфейс управления шлюзами электронной почты Cisco с конфигурациями, отличными от настроек по умолчанию.

CVE-2022-20798 была обнаружена во внешней функции аутентификации виртуальных и аппаратных устройств Cisco Email Security Appliance (ESA) и устройств Cisco Secure Email и Web Manager. При этом Cisco Secure Web Appliance, ранее известный как Cisco Web Security Appliance (WSA) уязвимости не подвержен.

Ошибка возникает из-за неправильной проверки подлинности на уязвимых устройствах с использованием облегченного протокола доступа к каталогам (LDAP). Эксплуатация реализуется путем ввода определенных данных на странице входа в систему уязвимого устройства.

Проблема обнаружилась в ходе рассмотрения обращения в службу поддержки Cisco TAC, в связи с чем Cisco PSIRT ничего не известно о каких-либо общедоступных эксплойтах для этой ошибки безопасности или злонамеренном использовании уязвимости в дикой природе.

Бага затрагивает только устройства, настроенные на использование внешней аутентификации и LDAP в качестве протокола аутентификации. Положительный момент в том, что функция по умолчанию отключена, то есть уязвимыми остаются только устройства с конфигурацией, отличной от стандартной.

Администраторам рекомендуется установить исправления для CVE-2022-20798, либо применить обходной путь, требующий отключения анонимных привязок на внешнем сервере аутентификации.

Все тайное становится явным, особенно для тех, кто оснастил свой дом или офис комплектом умных домашних устройств Anker Eufy Homebase 2.

Как выяснили исследователи Cisco Talos, центральный концентратор экосистемы Anker уязвим для трех ошибок, одна из которых представляет собой критическую уязвимость RCE.

Homebase 2 — это хранилище видео и сетевой шлюз для всех умных домашних устройств Anker Eufy, включая видеоглазки, камеры наблюдения, интеллектуальные запирающие устройства, системы сигнализации и др.

Homebase выполняет функцию центральной станции для устройств Eufy и синхронизируется с облаком для расширения функциональности компонентов экосистемы, в том числе предоставляя удаленное управление через приложение и пр.

Самая серьезная из угроз CVE-2022-21806 представляет собой критическую (CVSS: 10.0) RCE, инсценируемую отправкой специально созданного набора сетевых пакетов на целевое устройство. Недостаток связан с проблемой после освобождения в функциональности внутреннего сервера, который Homebase использует для получения из сети сообщений в специальном формате, в том числе для сопряжения устройств, настройки и др.

Вторая CVE-2022-26073 имеет высокий уровень серьезности (CVSS: 7.4) и также активируется удаленно путем отправки набора специально созданных сетевых пакетов. Эксплуатация переводит устройство в состояние перезагрузки и последующему отказу в обслуживании. 

Наконец, CVE-2022-25989 - проблема обхода аутентификации высокой степени серьезности (CVSS: 7.1), вызванная специально созданным пакетом DHCP и заставляющая Homebase отправлять трафик на внешний сервер. Злоумышленник может использовать эту уязвимость для получения видеопотока с подключенных камер и шпионить за владельцами.

После уведомления Cisco Talos, производитель исправил уязвимости, выпустив обновленные версии прошивок 3.1.8.7 и 3.1.8.7h.

Пользователям следует как можно скорее обновить свои умные дома, иначе их жизнь может превратиться в аналог известных телешоу, только в качестве гонорара участников ожидает шантаж или прочие неприятности.

​😾BlackCat/ALPHV ransomware сделали собственный "haveibeenpwned"

Как пишет Threat Analyst из Emsisoft Бретт Кэллоу группировка шифровальщиков BlackCat создала собственный аналог популярного сервиса проверки на утечки "haveibeenpwned". Так сотрудники и клиенты компаний-жертв теперь могут проверить свою личную информацию на предмет утечек на одном из сайтов группировки.

Бретт считает, что полученные email в результате взлома хакеры попробуют использовать для рассылки писем пострадавшим лицам со ссылкой на собственный "haveibeenpwned". По мнению специалиста, данная стратегия уже использовалась другими шифровальщиками ранее.

"This is a new but unsurprising evolution in extortion tactics. Alphv will likely use stolen email addresses to send a link to the site to impacted individuals" - комментирует ситуацию аналитик Emsisoft

Разработчики WordPress обратились к принудительному обновлению в рамках противодействия масштабной кампании, нацеленной на уязвимые версии плагина Ninja Forms, который используют ежедневно более 1 млн. пользователей платформы.

Такое решение было принято после обнаружения ресерчерами Wordfence критической уязвимости RCE в дикой природе. Уязвимость затрагивает несколько выпусков популярного плагина для создания форм, начиная с версии 3.0 и выше.

Злоумышленники, не прошедшие проверку подлинности, могут удаленно использовать ошибку для вызова различных классов форм Ninja, используя ошибку в функции слияния тегов.

Успешная эксплуатация позволяет им полностью захватить неисправленные сайты WordPress с помощью нескольких цепочек эксплуатации, одна из которых приводит к удаленному выполнению кода посредством десериализации для полного захвата целевого веб-сайта.

Таким образом, с момента исправления уязвимости 14 июня без официального уведомления более 730 000 сайтов WordPress были принудительно обновлены в виду ошибки плагина.

Принудительное исправление используется Automattic (обеспечивает работу системы управления контентом WordPress) в очень редких и исключительно серьезных случаях, как это было с случае с ошибкой обработкой кода и проблемой логики аутентификации в Jetpack в 2019 и 2021 году или в феврале 2022 года, когда принудительно было исправлено более 3 млн. веб-сайтов, использующих плагин UpdraftPlus.

Поэтому несмотря на то, что подробности атак не разглашаются, следует все же рассматривать новую RCE серьезной угрозой, а значит, если плагин еще не был автоматически обновлен до версии 3.6.11  - это необходимо сделать вручную.

Несколько недель назад была выпущена новая версия Fastjson (1.2.83) с исправленной уязвимостью, которая может позволить злоумышленнику выполнить код на удаленной машине. Бага связана с обходом механизма «AutoTypeCheck» в Fastjson с последующей возможностью выполнения RCE.

Эта уязвимость Fastjson только недавно получила CVE-идентификатор — CVE-2022-25845 и высокий CVSS — 8.1. Но как говорят эксперты, уязвимость до сих пор окутана тайной, несмотря на то, что транслируется, как RCE с высокой степенью серьезности в вездесущем компоненте.

Напомним, что Fastjson — это пакет Java, который может сериализовать и десериализовывать объекты Java в JSON и обратно. Отсюда и масштаб угроз, так как эта уязвимость затрагивает все приложения Java, которые используют Fastjson версии 1.2.80 или более ранние и передают управляемые пользователем данные в API JSON.parse или JSON.parseObject без указания конкретного класса для десериализации.

То есть если десериализованный JSON контролируется пользователем, его синтаксический анализ с включенным AutoType может привести к проблеме безопасности десериализации, поскольку злоумышленник может создать экземпляр любого класса, доступного в пути к классам и передать его конструктору произвольные аргументы, о чем сообщили специалисты из JFrog, которые обнаружили ошибку.

Пользователям Fastjson рекомендуется обновиться до версии 1.2.83 или включить safeMode, который отключает функцию независимо от используемых чек-листов, эффективно закрывая варианты атаки десериализации.

В сети уже есть общедоступный PoC-эксплойт и потенциальное воздействие очень велико, но условия для атаки нетривиальны, так как требуется исследование для конкретной цели, чтобы найти подходящий класс гаджетов для использования уязвимости.