Ничего личного: Cisco не будет исправлять 0-day RCE в VPN-маршрутизаторах с истекшим сроком службы.
Обнаруженная CVE-2022-20825 имеет рейтинг серьезности CVSS 9,8 из 10,0. Она затрагивает модели серии RV для малого бизнеса, включая брандмауэр RV110W Wireless-N VPN, маршрутизаторы RV130 VPN, RV130W Wireless-N и RV215W Wireless-N VPN.
Согласно бюллетеню Cisco, проблема существует из-за недостаточной проверки пользовательского ввода входящих HTTP-пакетов на затронутых устройствах. Злоумышленник может использовать багу, отправив специально созданный запрос в веб-интерфейс управления, что приведет к выполнению команды с привилегиями корневого уровня.
Проблема свойственна только устройствам со включенным веб-интерфейсом удаленного управления через глобальную сеть (отключен по умолчанию). Но несмотря на это, Shodan отображает достаточно значимое количество незащищенных устройств.
Cisco рекомендует владельцам маршрутизаторов перейти на более новые модели, ведь выпускать обновления для устранения CVE-2022-20825 не намерена. При этом кроме отключения удаленного управления на интерфейсе WAN, других обходных путей нет.
Для пользователей из России, прошлогодняя незакрытая уязвимость в UPnP и нынешняя RCE в устаревших маршрутизаторах - отличный повод задуматься и сделать принципиальные выводы, пока окно возможностей обновления и поддержки вовсе не закроется.
Обнаруженная CVE-2022-20825 имеет рейтинг серьезности CVSS 9,8 из 10,0. Она затрагивает модели серии RV для малого бизнеса, включая брандмауэр RV110W Wireless-N VPN, маршрутизаторы RV130 VPN, RV130W Wireless-N и RV215W Wireless-N VPN.
Согласно бюллетеню Cisco, проблема существует из-за недостаточной проверки пользовательского ввода входящих HTTP-пакетов на затронутых устройствах. Злоумышленник может использовать багу, отправив специально созданный запрос в веб-интерфейс управления, что приведет к выполнению команды с привилегиями корневого уровня.
Проблема свойственна только устройствам со включенным веб-интерфейсом удаленного управления через глобальную сеть (отключен по умолчанию). Но несмотря на это, Shodan отображает достаточно значимое количество незащищенных устройств.
Cisco рекомендует владельцам маршрутизаторов перейти на более новые модели, ведь выпускать обновления для устранения CVE-2022-20825 не намерена. При этом кроме отключения удаленного управления на интерфейсе WAN, других обходных путей нет.
Для пользователей из России, прошлогодняя незакрытая уязвимость в UPnP и нынешняя RCE в устаревших маршрутизаторах - отличный повод задуматься и сделать принципиальные выводы, пока окно возможностей обновления и поддержки вовсе не закроется.
Cisco
Cisco Security Advisory: Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Remote Command Execution and Denial of…
A vulnerability in the web-based management interface of Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers could allow an unauthenticated, remote attacker to execute arbitrary code or cause an affected device to restart unexpectedly, resulting…
Claroty раскрыли 15 уязвимостей в системе управления промышленными сетями Siemens.
В отчете исследователи приводят технические подробности ошибок в Siemens SINEC (NMS), некоторые из которых в случае эксплуатации могут вызвать состояние отказа в обслуживании, приводят к утечке учетных данных, а при объединении - созданию условия для удаленного выполнения кода в уязвимых системах.
Рассматриваемые недостатки (CVE-2021-33722 - CVE-2021-33736), были устранены Siemens в рамках выпуска версии V1.0 SP2 Update 1 в составе исправлений, выпущенных 12 октября 2021 г.
Самая серьезная из них может позволить удаленному злоумышленнику, прошедшему проверку подлинности, выполнить произвольный код в системе с системными привилегиями при определенных условиях.
CVE-2021-33723 (с оценкой CVSS: 8,8) позволяет повысить привилегии до учетной записи администратора и может быть объединена с уязвимостью обхода пути CVE-2021-33722 (с оценкой CVSS: 7,2) для выполнения произвольного кода удаленно.
Еще один серьезный недостаток связан с SQL-инъекцией (CVE-2021-33729 с оценкой CVSS: 8,8), которая может быть использована авторизованным злоумышленником для выполнения произвольных команд в локальной базе данных.
Для понимания общей угрозы следует учесть, что SINEC занимает центральное место в топологии сети, поскольку реализует доступ к учетным данным, криптографическим ключам и другой конфиденциальной информации, предоставляющей доступ администратора для управления устройствами.
Таким образом, в случае компрометации SINEC злоумышленник получает ключевые позиции для разведки, бокового перемещения и повышения привилегий.
В отчете исследователи приводят технические подробности ошибок в Siemens SINEC (NMS), некоторые из которых в случае эксплуатации могут вызвать состояние отказа в обслуживании, приводят к утечке учетных данных, а при объединении - созданию условия для удаленного выполнения кода в уязвимых системах.
Рассматриваемые недостатки (CVE-2021-33722 - CVE-2021-33736), были устранены Siemens в рамках выпуска версии V1.0 SP2 Update 1 в составе исправлений, выпущенных 12 октября 2021 г.
Самая серьезная из них может позволить удаленному злоумышленнику, прошедшему проверку подлинности, выполнить произвольный код в системе с системными привилегиями при определенных условиях.
CVE-2021-33723 (с оценкой CVSS: 8,8) позволяет повысить привилегии до учетной записи администратора и может быть объединена с уязвимостью обхода пути CVE-2021-33722 (с оценкой CVSS: 7,2) для выполнения произвольного кода удаленно.
Еще один серьезный недостаток связан с SQL-инъекцией (CVE-2021-33729 с оценкой CVSS: 8,8), которая может быть использована авторизованным злоумышленником для выполнения произвольных команд в локальной базе данных.
Для понимания общей угрозы следует учесть, что SINEC занимает центральное место в топологии сети, поскольку реализует доступ к учетным данным, криптографическим ключам и другой конфиденциальной информации, предоставляющей доступ администратора для управления устройствами.
Таким образом, в случае компрометации SINEC злоумышленник получает ключевые позиции для разведки, бокового перемещения и повышения привилегий.
Claroty
Securing Network Management Systems (Part 3): Siemens SINEC NMS
Uncover the 15 vulnerabilities discovered by Team82 in Siemens' SINEC network management system (NMS). Learn more with Claroty.
Forwarded from SecurityLab.ru
Шпионское ПО Hermit используется правительством Казахстана против своих граждан
— В список высокопоставленных лиц, ставших мишенью, входят руководители предприятий, правозащитники, журналисты, ученые и государственные чиновники.
— Hermit связан с итальянским поставщиком шпионского ПО RCS Lab и его подставной компанией Tykelab.
— Составные модули, а также разрешения, которыми обладают основные приложения, позволяют Hermit записывать аудио, совершать и перенаправлять телефонные звонки, а также собирать данные журнала вызовов, контактов, галереи, SMS-сообщений, а также получать информацию о местоположении устройства
https://www.securitylab.ru/news/532364.php
— В список высокопоставленных лиц, ставших мишенью, входят руководители предприятий, правозащитники, журналисты, ученые и государственные чиновники.
— Hermit связан с итальянским поставщиком шпионского ПО RCS Lab и его подставной компанией Tykelab.
— Составные модули, а также разрешения, которыми обладают основные приложения, позволяют Hermit записывать аудио, совершать и перенаправлять телефонные звонки, а также собирать данные журнала вызовов, контактов, галереи, SMS-сообщений, а также получать информацию о местоположении устройства
https://www.securitylab.ru/news/532364.php
SecurityLab.ru
Шпионское ПО Hermit используется правительством Казахстана против своих граждан
В список высокопоставленных лиц, ставших мишенью, входят руководители предприятий, правозащитники, журналисты, ученые и государственные чиновники.
Последнее время деятельность Microsoft вызывает все больше негодования.
И связано это даже не с тем, что на днях Microsoft без каких-либо комментариев и уведомлений запретили российским пользователям скачивать Windows 10 и 11 (загрузка доступна только через VPN). Вопрос решается и без VPN, привет от Gorskiy (для тех, кто в теме).
Больше вопросов возникает к исправлению недостатков, некоторые из которых приходится почтить чуть ли не каждый месяц, а их признания и подтверждения инфосек-сообществу приходится добиваться через огласку и общественное давление. Follina не даст соврать.
В очередной раз исследователи из CyberArk поделились технической информацией об уязвимости именованного канала RDP в Windows, для закрытия которой Microsoft пришлось выпустить два пакета исправлений.
Первоначально CVE-2022-21893 была решена январским обновлением, но последующий анализ показал, что этого оказалось недостаточно. Ошибку Microsoft удалось добить только в апреле 2022 года.
CVE-2022-21893 представляет собой уязвимость служб удаленных рабочих столов Windows и позволяет непривилегированному пользователю через через RDP получить доступ к файловой системе клиентских машин подключенных пользователей, что может привести к к проблемам с конфиденциальностью данных, боковому перемещению и повышению привилегий
Ошибка связана с тем, что разрешения именованных каналов неправильно обрабатываются в службах RDP, что позволяет пользователю с обычными привилегиями перехватывать виртуальные каналы RDP в других подключенных сеансах.
Первоначальный патч изменил права доступа к каналам, однако создание первого конвейерного сервера позволяло пользователю устанавливать разрешения для последующих экземпляров.
Окончательно решить проблему удалось только путем создания для каналов нового идентификатора GUID и запуска дополнительного элемента управления для проверки текущего идентификатора процесса согласно серверу именованных каналов.
Поэтому, даже если злоумышленник сможет каким-то образом предугадать GUID, атака не сработает, поскольку у него будет другой идентификатор процесса. В этом случае один и тот же процесс создает сервер канала и клиент (дескриптор клиента канала позже возвращается вызывающему процессу).
Впрочем, вы уже знаете все ответы, повторяться не будем.
И связано это даже не с тем, что на днях Microsoft без каких-либо комментариев и уведомлений запретили российским пользователям скачивать Windows 10 и 11 (загрузка доступна только через VPN). Вопрос решается и без VPN, привет от Gorskiy (для тех, кто в теме).
Больше вопросов возникает к исправлению недостатков, некоторые из которых приходится почтить чуть ли не каждый месяц, а их признания и подтверждения инфосек-сообществу приходится добиваться через огласку и общественное давление. Follina не даст соврать.
В очередной раз исследователи из CyberArk поделились технической информацией об уязвимости именованного канала RDP в Windows, для закрытия которой Microsoft пришлось выпустить два пакета исправлений.
Первоначально CVE-2022-21893 была решена январским обновлением, но последующий анализ показал, что этого оказалось недостаточно. Ошибку Microsoft удалось добить только в апреле 2022 года.
CVE-2022-21893 представляет собой уязвимость служб удаленных рабочих столов Windows и позволяет непривилегированному пользователю через через RDP получить доступ к файловой системе клиентских машин подключенных пользователей, что может привести к к проблемам с конфиденциальностью данных, боковому перемещению и повышению привилегий
Ошибка связана с тем, что разрешения именованных каналов неправильно обрабатываются в службах RDP, что позволяет пользователю с обычными привилегиями перехватывать виртуальные каналы RDP в других подключенных сеансах.
Первоначальный патч изменил права доступа к каналам, однако создание первого конвейерного сервера позволяло пользователю устанавливать разрешения для последующих экземпляров.
Окончательно решить проблему удалось только путем создания для каналов нового идентификатора GUID и запуска дополнительного элемента управления для проверки текущего идентификатора процесса согласно серверу именованных каналов.
Поэтому, даже если злоумышленник сможет каким-то образом предугадать GUID, атака не сработает, поскольку у него будет другой идентификатор процесса. В этом случае один и тот же процесс создает сервер канала и клиент (дескриптор клиента канала позже возвращается вызывающему процессу).
Впрочем, вы уже знаете все ответы, повторяться не будем.
Cyberark
That Pipe is Still Leaking: Revisiting the RDP Named Pipe Vulnerability
On January 11, 2022, we published a blog post describing the details of CVE-2022-21893, a Remote Desktop vulnerability that we found and reported to Microsoft. After analyzing the patch that fixed...
AutomationDirect исправили серьезные уязвимости в продуктах PLC и HMI.
Американская компания AutomationDirect специализируется на производстве широкого спектра промышленных систем управления (ICS), реализуя свои устройства в США и Канаде.
Комплексные решения производителя достаточно популярны и в России, в том числе на объектах нефтехимической, нефтегазовой, пищевой, горнодобывающей промышленности, металлургии, энергетики, ЖКХ, а также в целлюлозно-бумажном производстве.
Уязвимости отслеживаются как CVE-2022-2003 - CVE-2022-2006, были обнаружены исследователями Dragos.
Ошибки потенциально могут позволить злоумышленнику нарушить работу и внести несанкционированные изменения в целевые устройства PLC и HMI. Серьезность выявленных проблем подчёркивается американской CISA, опубликовавшей по этому поводу целых 3 бюллетеня (1, 2, 3).
Недостатки промышленных HMI с сенсорным экраном C-more EA9 связаны с уязвимостью перехвата DLL в установщике и проблемами небезопасной передачи учетных данных.
Первые могут могут быть использованы злоумышленником, имеющим доступ к целевой системе для выполнения кода с повышенными привилегиями.
Вторые могут быть использованы злоумышленником для реализации атак «человек посередине» (MitM) и перехвата учетных данных пользователя для веб-сервера HMI и использования их для входа в систему.
Уязвимости были исправлены выпуском обновленной версии прошивки 6.73. Кроме того, риск эксплуатации снижает размещение HMI за VPN и отключение функции веб-сервера.
Тем не менее, Shodan отображает десятки подключенных к Интернету уязвимых HMI, основная часть их которых располагается в США.
Устройства ПЛК DirectLOGIC с коммуникационными модулями Ethernet подвержены двум уязвимостям, которые могут быть реализованы злоумышленником с доступом к контроллеру путем отправки специально созданных пакетов, вызывающих состояние отказа в обслуживании (DoS) или принуждающих контроллер возвращать свой пароль в виде открытого текста для последующей компрометации устройства.
ПЛК с последовательной связью подвержены уязвимости раскрытия пароля.
AutomationDirect выпустила прошивку версии 2.72, предотвращающую утечку пароля устройства. Поставщик также добавил средства защиты от Brute-force атак.
Владельцам устройств рекомендуем ознакомиться с рекомендациями и принять соответствующие меры.
Американская компания AutomationDirect специализируется на производстве широкого спектра промышленных систем управления (ICS), реализуя свои устройства в США и Канаде.
Комплексные решения производителя достаточно популярны и в России, в том числе на объектах нефтехимической, нефтегазовой, пищевой, горнодобывающей промышленности, металлургии, энергетики, ЖКХ, а также в целлюлозно-бумажном производстве.
Уязвимости отслеживаются как CVE-2022-2003 - CVE-2022-2006, были обнаружены исследователями Dragos.
Ошибки потенциально могут позволить злоумышленнику нарушить работу и внести несанкционированные изменения в целевые устройства PLC и HMI. Серьезность выявленных проблем подчёркивается американской CISA, опубликовавшей по этому поводу целых 3 бюллетеня (1, 2, 3).
Недостатки промышленных HMI с сенсорным экраном C-more EA9 связаны с уязвимостью перехвата DLL в установщике и проблемами небезопасной передачи учетных данных.
Первые могут могут быть использованы злоумышленником, имеющим доступ к целевой системе для выполнения кода с повышенными привилегиями.
Вторые могут быть использованы злоумышленником для реализации атак «человек посередине» (MitM) и перехвата учетных данных пользователя для веб-сервера HMI и использования их для входа в систему.
Уязвимости были исправлены выпуском обновленной версии прошивки 6.73. Кроме того, риск эксплуатации снижает размещение HMI за VPN и отключение функции веб-сервера.
Тем не менее, Shodan отображает десятки подключенных к Интернету уязвимых HMI, основная часть их которых располагается в США.
Устройства ПЛК DirectLOGIC с коммуникационными модулями Ethernet подвержены двум уязвимостям, которые могут быть реализованы злоумышленником с доступом к контроллеру путем отправки специально созданных пакетов, вызывающих состояние отказа в обслуживании (DoS) или принуждающих контроллер возвращать свой пароль в виде открытого текста для последующей компрометации устройства.
ПЛК с последовательной связью подвержены уязвимости раскрытия пароля.
AutomationDirect выпустила прошивку версии 2.72, предотвращающую утечку пароля устройства. Поставщик также добавил средства защиты от Brute-force атак.
Владельцам устройств рекомендуем ознакомиться с рекомендациями и принять соответствующие меры.
Сегодня в 09:30 (по Москве) в работе Cloudflare по всему миру произошёл сбой.
В результате инцидента половина Интернета ушла в ошибку, включая использующие технологии Cloudflare сайты и сервисы (API Cloudflare), а также отдельные VPN-приложения и расширения.
Оказались недоступными Minecraft, Steam, Amazon Web Services, Discord, DoorDash, Gitlab, Shopify, Skype, Coinbase и др. популярные ресурсы.
Примечательно, что сервис Downdetector для проверки доступности сайтов также поломался.
К 10:20 разработчикам удалось внести исправления и спустя еще 40 минут полностью реанимировать сервис.
Причины и подробности инцидента не разглашаются. Будем следить за ситуацией.
В результате инцидента половина Интернета ушла в ошибку, включая использующие технологии Cloudflare сайты и сервисы (API Cloudflare), а также отдельные VPN-приложения и расширения.
Оказались недоступными Minecraft, Steam, Amazon Web Services, Discord, DoorDash, Gitlab, Shopify, Skype, Coinbase и др. популярные ресурсы.
Примечательно, что сервис Downdetector для проверки доступности сайтов также поломался.
К 10:20 разработчикам удалось внести исправления и спустя еще 40 минут полностью реанимировать сервис.
Причины и подробности инцидента не разглашаются. Будем следить за ситуацией.
Cloudflarestatus
Cloudflare Service Issues
Cloudflare's Status Page - Cloudflare Service Issues.
Похоже, что еще один АНБшный бэкдор списали в утиль после пятилетней отработки.
Согласно новому отчету Google Project Zero, уязвимость в Apple Safari была первоначально исправлена в 2013 году и позже в декабре 2016 года была возвращена в ходе рефакторинга. Об уязвимости сообщил анонимный исследователь, которому удалось обойти исправление.
И только спустя 5 лет проблема была исправлена в феврале 2022 года как 0-day в Safari, iOS, iPadOS и macOS путем улучшения управления памятью.
При этом разработчик признал эксплуатацию уязвимости в дикой природе.
Ошибка отслеживается как CVE-2022-22620, имеет оценку CVSS: 8,8 и заключается в использования после освобождения в компоненте WebKit.
Уязвимость может быть использована посредством специально созданного вредоносного веб-контента для выполнения произвольного кода.
Обычно, вся проблема заключается в незавершенных патчах: производитель некорректно или не полностью устраняет отрабатываемую уязвимость. Однако в случае с CVE-2022-22620 - она была четко исправлена еще в 2013 году.
Ресерчеры убеждены (или пытаются убедить?!), что ошибки 2013 и 2022 в History API по сути одинаковы, но пути их срабатывания различны.
По мнению исследователя Google Мэдди Стоун, инцидент не уникален для Safari и главная причина связана с некачественным аудитом кода, который и привел к возрождению «зомби 0-day».
Наверно, долго придумывали объяснения, вот их коллеги из Microsoft, к примеру - вообще не заморачиваются по этому поводу.
Согласно новому отчету Google Project Zero, уязвимость в Apple Safari была первоначально исправлена в 2013 году и позже в декабре 2016 года была возвращена в ходе рефакторинга. Об уязвимости сообщил анонимный исследователь, которому удалось обойти исправление.
И только спустя 5 лет проблема была исправлена в феврале 2022 года как 0-day в Safari, iOS, iPadOS и macOS путем улучшения управления памятью.
При этом разработчик признал эксплуатацию уязвимости в дикой природе.
Ошибка отслеживается как CVE-2022-22620, имеет оценку CVSS: 8,8 и заключается в использования после освобождения в компоненте WebKit.
Уязвимость может быть использована посредством специально созданного вредоносного веб-контента для выполнения произвольного кода.
Обычно, вся проблема заключается в незавершенных патчах: производитель некорректно или не полностью устраняет отрабатываемую уязвимость. Однако в случае с CVE-2022-22620 - она была четко исправлена еще в 2013 году.
Ресерчеры убеждены (или пытаются убедить?!), что ошибки 2013 и 2022 в History API по сути одинаковы, но пути их срабатывания различны.
По мнению исследователя Google Мэдди Стоун, инцидент не уникален для Safari и главная причина связана с некачественным аудитом кода, который и привел к возрождению «зомби 0-day».
Наверно, долго придумывали объяснения, вот их коллеги из Microsoft, к примеру - вообще не заморачиваются по этому поводу.
Blogspot
An Autopsy on a Zombie In-the-Wild 0-day
Posted by Maddie Stone, Google Project Zero Whenever there’s a new in-the-wild 0-day disclosed, I’m very interested in understanding t...
- партнёрский пост -
Что сейчас ждёт российские технологии? Будет ли «процессорный локдаун»?
Трезво, без истерик и эмоций разбираемся в ситуации — анализируем данные и собираем для вас обоснованные прогнозы развития отрасли. С нами эксперты-разработчики, которые уже много лет драйвят развитие российской ИТ-инфраструктуры.
Как активный участник разных ИТ-ассоциаций и консорциумов (АРПЭ, АРПП, РосСХД), компания «Аэродиск» вместе с другими игроками рынка доносит свою позицию до государства и прислушивается к своему сообществу.
Присоединяйтесь к нашему каналу, чтобы быть услышанными 👉 Имортозамещение здорового человека.
Что сейчас ждёт российские технологии? Будет ли «процессорный локдаун»?
Трезво, без истерик и эмоций разбираемся в ситуации — анализируем данные и собираем для вас обоснованные прогнозы развития отрасли. С нами эксперты-разработчики, которые уже много лет драйвят развитие российской ИТ-инфраструктуры.
Как активный участник разных ИТ-ассоциаций и консорциумов (АРПЭ, АРПП, РосСХД), компания «Аэродиск» вместе с другими игроками рынка доносит свою позицию до государства и прислушивается к своему сообществу.
Присоединяйтесь к нашему каналу, чтобы быть услышанными 👉 Имортозамещение здорового человека.
В мире промышленных систем управления или в более широком смысле - организаций с системами операционных технологий (OT) провели анализ инцидентов безопасности за 2021 и 2022 год.
Вездесущий Fortinet представил наблюдения в своем отчете о состоянии операционных технологий и кибербезопасности.
В опросе приняли участие более 500 специалистов по ОТ из 28 стран Америки, Западной Европы, Азиатско-Тихоокеанского региона и нескольких стран Африки и Ближнего Востока.
И немного статистики.
Анализ, проведенный компанией, показал, что более 40% глобальных инцидентов кибербезопасности, затрагивающих организации с системами OT, приводили к сбоям, которые подвергали риску физическую безопасность.
93% организаций столкнулись как минимум с одним инцидентом кибербезопасности за последние 12 месяцев и более 3/4 признались, что пострадали по меньшей мере от трех вторжений.
61% респондентов заявили, что инциденты затронули либо OT-системы либо OT и ИТ-системы. Кроме того, почти половина респондентов заявили, что в их организации произошел сбой в работе, который отразился на производительности.
42% инцидентов привели к сбоям в работе, которые поставили под угрозу физическую безопасность, причем этот процент превышает 50% в Латинской Америке.
Примерно 30% респондентов в каждой категории сообщили о сбоях в работе, влияющих на доход, потере важных для бизнеса данных, несоблюдении нормативных требований и негативном влиянии на бренд.
Половина респондентов заявили, что восстановление поврежденных систем заняло у них несколько часов, а 31% заявили, что им потребовалось несколько дней. В некоторых случаях организациям требовались недели и даже месяцы для восстановления служб. Некоторым из более зрелых организаций потребовалось всего несколько минут, чтобы вернуть все системы в оперативный режим.
Примерно четверть респондентов в Северной Америке сообщили, что в прошлом году их атаковали с помощью ransomware, причем треть обеспокоена программами-вымогателями больше, чем другими типами угроз.
Наиболее распространенными типами атак были вредоносное ПО и фишинг.
Что касается общего состояния безопасности, то исследование Fortinet показало качественное улучшение по сравнению с предыдущим периодом.
Во всем мире всего 13% имеют централизованную систему мониторинга всех действий OT и только 52% организаций имеют центры управления безопасностью (SOC). В прочем есть куда расти.
Вездесущий Fortinet представил наблюдения в своем отчете о состоянии операционных технологий и кибербезопасности.
В опросе приняли участие более 500 специалистов по ОТ из 28 стран Америки, Западной Европы, Азиатско-Тихоокеанского региона и нескольких стран Африки и Ближнего Востока.
И немного статистики.
Анализ, проведенный компанией, показал, что более 40% глобальных инцидентов кибербезопасности, затрагивающих организации с системами OT, приводили к сбоям, которые подвергали риску физическую безопасность.
93% организаций столкнулись как минимум с одним инцидентом кибербезопасности за последние 12 месяцев и более 3/4 признались, что пострадали по меньшей мере от трех вторжений.
61% респондентов заявили, что инциденты затронули либо OT-системы либо OT и ИТ-системы. Кроме того, почти половина респондентов заявили, что в их организации произошел сбой в работе, который отразился на производительности.
42% инцидентов привели к сбоям в работе, которые поставили под угрозу физическую безопасность, причем этот процент превышает 50% в Латинской Америке.
Примерно 30% респондентов в каждой категории сообщили о сбоях в работе, влияющих на доход, потере важных для бизнеса данных, несоблюдении нормативных требований и негативном влиянии на бренд.
Половина респондентов заявили, что восстановление поврежденных систем заняло у них несколько часов, а 31% заявили, что им потребовалось несколько дней. В некоторых случаях организациям требовались недели и даже месяцы для восстановления служб. Некоторым из более зрелых организаций потребовалось всего несколько минут, чтобы вернуть все системы в оперативный режим.
Примерно четверть респондентов в Северной Америке сообщили, что в прошлом году их атаковали с помощью ransomware, причем треть обеспокоена программами-вымогателями больше, чем другими типами угроз.
Наиболее распространенными типами атак были вредоносное ПО и фишинг.
Что касается общего состояния безопасности, то исследование Fortinet показало качественное улучшение по сравнению с предыдущим периодом.
Во всем мире всего 13% имеют централизованную систему мониторинга всех действий OT и только 52% организаций имеют центры управления безопасностью (SOC). В прочем есть куда расти.
Fortinet Blog
New Global OT and Cybersecurity Report Outlines Key Challenges for Industrial Organizations | Fortinet Blog
Fortinet recently released the 2022 State of Operational Technology and Cybersecurity Report. The global report highlights the current state of OT security and provides a roadmap to better secure O…
В воскресенье вечером жители израильских городов Иерусалим и Эйлат стали жертвами кибератаки, в результате которой сработали ложные сигналы воздушной тревоги.
По сообщениям местных СМИ, сработавшая без причины система предупреждения население о ракетных обстрелах проработала почти час.
Предварительное расследование инцидента привело израильских военных к выводу о компрометации хакерами муниципальных информационных систем, в том числе и оповещения. Инфраструктура военного ведомства не пострадала.
К расследованию подключили компанию Radiflow, специализирующейся на промышленной кибербезопасности.
Ресерчеры должны будут подтвердить злонамеренное кибервмешательство, а также убедиться в безопасности иных систем и онлайн-сервисов муниципалитета, ведь сбои в их работе могут вызвать серьезные последствия для цепочек поставок и жизнеобеспечения региона.
Исследователи не исключают, что подобный инцидент может быть отвлекающим маневром для реализации более сокрушительное кибератаки, как это было в случае с атакой Ирана в 2017 году на компанию Aramco в Саудовской Аравии.
В числе главных подозреваемых Израиль называет, конечно же, иранские АРТ и их кураторов из спецслужб.
Читателей канала вряд ли это удивит, особенно после взаимных атак двух стран на объекты транспорта, ТЭК и телеком. Можно сказать в этом случае все прошло по лайтовому сценарию.
Но, будем посмотреть.
По сообщениям местных СМИ, сработавшая без причины система предупреждения население о ракетных обстрелах проработала почти час.
Предварительное расследование инцидента привело израильских военных к выводу о компрометации хакерами муниципальных информационных систем, в том числе и оповещения. Инфраструктура военного ведомства не пострадала.
К расследованию подключили компанию Radiflow, специализирующейся на промышленной кибербезопасности.
Ресерчеры должны будут подтвердить злонамеренное кибервмешательство, а также убедиться в безопасности иных систем и онлайн-сервисов муниципалитета, ведь сбои в их работе могут вызвать серьезные последствия для цепочек поставок и жизнеобеспечения региона.
Исследователи не исключают, что подобный инцидент может быть отвлекающим маневром для реализации более сокрушительное кибератаки, как это было в случае с атакой Ирана в 2017 году на компанию Aramco в Саудовской Аравии.
В числе главных подозреваемых Израиль называет, конечно же, иранские АРТ и их кураторов из спецслужб.
Читателей канала вряд ли это удивит, особенно после взаимных атак двух стран на объекты транспорта, ТЭК и телеком. Можно сказать в этом случае все прошло по лайтовому сценарию.
Но, будем посмотреть.
The Jerusalem Post
Was Iran behind siren cyberattacks in Jerusalem, Eilat?
A diplomatic source said the hacker identity is uncertain, but suspicions have been raised that the cyberattack was carried out by Iran.
В ответ на планируемую покупку Twitter Илоном Маском империя нанесла ответный удар.
Евгений Валентинович (tm), не особо афишируя, прикупил кусок компании Мотив НТ, совместно с которой занимается разработкой нейроморфного процессора. Это такая сложная хренота, с помощью которой можно невозбранно майнить битки, куда там GPU. А также активно использовать в машинном обучении, но это уже на сдачу после майнинга.
Невооруженным глазом видно, что Лаборатория Касперского активно продвигается за границы традиционного инфосека - операционка, промышленные гейтвеи, МойОфис, Brain4Net, Мотив. Говорят, еще чего-то прикупить собрались.
Таким образом Евгений Валентинович последовательно скупит всю российскую IT-отрасль, после чего останутся только двое. SecAtor и Евгений Валентинович. Мвхахахаха.
Евгений Валентинович (tm), не особо афишируя, прикупил кусок компании Мотив НТ, совместно с которой занимается разработкой нейроморфного процессора. Это такая сложная хренота, с помощью которой можно невозбранно майнить битки, куда там GPU. А также активно использовать в машинном обучении, но это уже на сдачу после майнинга.
Невооруженным глазом видно, что Лаборатория Касперского активно продвигается за границы традиционного инфосека - операционка, промышленные гейтвеи, МойОфис, Brain4Net, Мотив. Говорят, еще чего-то прикупить собрались.
Таким образом Евгений Валентинович последовательно скупит всю российскую IT-отрасль, после чего останутся только двое. SecAtor и Евгений Валентинович. Мвхахахаха.
www.kaspersky.ru
«Лаборатория Касперского» инвестировала в создание первого нейроморфного чипа в России
«Лаборатория Касперского» стала акционером компании «Мотив НТ» с долей участия 15%
Ресерчеры Forescout's Vedere Labs раскрыли 56 уязвимостей в промышленных устройствам десяти ведущих вендоров, которые используются в том числе на объектах критической инфраструктуры.
В совокупности обнаруженная коллекция получила наименование Icefall и затрагивает Honeywell, Motorola, Omron, Siemens, Emerson, JTEKT, Bentley Nevada, Phoenix Contract, ProConOS и Yokogawa.
Выявленные путем тщательного ручного и автоматизированного анализа программного обеспечения, встроенного ПО и аппаратных компонентов Vedere Labs проблемы касаются, в первую очередь, безопасности учетных данных, манипулирования прошивкой и конфигурацией, удаленного выполнения кода, обхода аутентификации, состояния отказа в обслуживании (DoS).
Forescout отмечает в своем отчете, что «многие уязвимости связаны с небезопасным по своей конструкции характером OT, нарушением многих схем аутентификации, что свидетельствует о принятии производителями недостаточных мер безопасности на этапе реализации.
В качестве примера: многие устройства использовали учетные данные в виде открытого текста, слабую криптографию, жестко закодированные ключи и аутентификацию на стороне клиента.
Учитывая, что Icefall влияет на широкий спектр устройств во многих отраслях промышленности, уязвимости обязательно будут реализованы в ходе атак, прежде всего, прогосударственными АРТ.
Среди возможных сценариев таких атак Forescout выделяют: создание ложных тревог, изменение заданных значений потока, нарушение операций SCADA или отключение систем аварийного отключения и пожарной безопасности.
Серьезность своих выводов исследователи продемонстрировали на примере объектов в сфере энергетики, связав различные компоненты из набора Icefall в цепочку для достижения более глубоких уровней компрометации.
При этом аналитики использовали Shodan для сканирования Интернет на наличие уязвимых систем, и результаты оказались весьма неутешительными: 2924 устройств Honeywell Saia Burgess; 1305 контроллеров Omron; 705 устройств Phoenix Contact DDI, а также от 100 до 200 устройств ProConOS SOCOMM, Honeywell Trend Controls, Emerson Fanuc PACSystems в странах Европы, Азии и Северной Америки.
Все уязвимости описаны в более подробном техническом отчете.
В качестве возможных мер безопасности Forescout рекомендует применять последние обновления встроенного ПО от поставщика, сегментировать сеть, отслеживать трафик и активность устройств, а также устанавливать физические коммутаторы.
В совокупности обнаруженная коллекция получила наименование Icefall и затрагивает Honeywell, Motorola, Omron, Siemens, Emerson, JTEKT, Bentley Nevada, Phoenix Contract, ProConOS и Yokogawa.
Выявленные путем тщательного ручного и автоматизированного анализа программного обеспечения, встроенного ПО и аппаратных компонентов Vedere Labs проблемы касаются, в первую очередь, безопасности учетных данных, манипулирования прошивкой и конфигурацией, удаленного выполнения кода, обхода аутентификации, состояния отказа в обслуживании (DoS).
Forescout отмечает в своем отчете, что «многие уязвимости связаны с небезопасным по своей конструкции характером OT, нарушением многих схем аутентификации, что свидетельствует о принятии производителями недостаточных мер безопасности на этапе реализации.
В качестве примера: многие устройства использовали учетные данные в виде открытого текста, слабую криптографию, жестко закодированные ключи и аутентификацию на стороне клиента.
Учитывая, что Icefall влияет на широкий спектр устройств во многих отраслях промышленности, уязвимости обязательно будут реализованы в ходе атак, прежде всего, прогосударственными АРТ.
Среди возможных сценариев таких атак Forescout выделяют: создание ложных тревог, изменение заданных значений потока, нарушение операций SCADA или отключение систем аварийного отключения и пожарной безопасности.
Серьезность своих выводов исследователи продемонстрировали на примере объектов в сфере энергетики, связав различные компоненты из набора Icefall в цепочку для достижения более глубоких уровней компрометации.
При этом аналитики использовали Shodan для сканирования Интернет на наличие уязвимых систем, и результаты оказались весьма неутешительными: 2924 устройств Honeywell Saia Burgess; 1305 контроллеров Omron; 705 устройств Phoenix Contact DDI, а также от 100 до 200 устройств ProConOS SOCOMM, Honeywell Trend Controls, Emerson Fanuc PACSystems в странах Европы, Азии и Северной Америки.
Все уязвимости описаны в более подробном техническом отчете.
В качестве возможных мер безопасности Forescout рекомендует применять последние обновления встроенного ПО от поставщика, сегментировать сеть, отслеживать трафик и активность устройств, а также устанавливать физические коммутаторы.
Forescout
OT:ICEFALL: 56 Vulnerabilities Caused by Insecure-by-Design Practices in OT - Forescout
Forescout’s Vedere Labs has disclosed OT:ICEFALL, a set of 56 vulnerabilities affecting devices from 10 manufacturers caused by insecure-by-design practices in OT. Many of these products have been certified with OT security standards.
7 и 8 июля 2022 пройдёт шестая международная конференция по безопасности платежей #PAYMENTSECURITY - значимое ежегодное событие для профессионалов из инфосек и финтеха.
Организатор конференции - поставщик услуг по ИБ - компания Deiteriy.
#PAYMENTSECURITY проводятся с 2015 года и собирают тысячи участников из разных регионов. Материалы #PAYMENTSECURITY востребованы среди представителей отрасли и за годы проведения конференций образовали внушительную базу знаний в области инфосек.
В этом году мероприятие пройдёт в формате онлайн-трансляции, в ходе которой эксперты обсудят актуальные вопросы информационной безопасности платёжной индустрии, расскажут о произошедших в отрасли изменениях, обсудят будущее международных стандартов, а также поделятся эффективными решениями обеспечения безопасности в условиях импортозамещения и санкционных ограничений.
Программный комитет конференции принимает заявки на участие в конкурсе докладов (call for papers, CFP). Лучшие из них на тему безопасности платёжных и финансовых технологий войдут в программу #PAYMENTSECURITY и будут озвучены в эфире трансляции.
Для участия в CFP необходимо прислать заявку по адресу сfp@paymentsecurity.ru до 23 июня 2022 года.
На #PAYMENTSECURITY - запланирован традиционный воркшоп по ИБ Practical Security Village (PSV), в рамках которого пентестеры Deiteriy на примере заданий в воссозданной инфраструктуре поделятся с участниками основами этичного хакинга. Организаторы воркшопа также расскажут о различных видах уязвимостей, способах их эксплуатации и методах их локализации.
Регистрация на воркшоп - на www.practicalsecurityvillage.ru.
В ходе конференции также будет проведён авторский семинар Deiteriy - PCI DSS TRAINING, который поможет слушателям разобраться с требованиями новой версии стандарта и подготовиться к аудитам по PCI DSS v. 4.0.
Несмотря на изменения в отрасли, требования стандартов PCI продолжают быть актуальными и являются обязательными для участников платёжной системы «Мир», знание требований действующей версии стандарта PCI DSS сохраняет свою значимость, а прохождение PCI DSS TRAINING становится дополнительной точкой опоры при подготовке к сертификации.
Всех участников #PAYMENTSECURITY ожидает бесплатный доступ к эссенции профильных знаний, мнений экспертов и новостей в сфере инфосек.
Актуальная информация по конференции - на www.paymentsecurity.ru.
Организатор конференции - поставщик услуг по ИБ - компания Deiteriy.
#PAYMENTSECURITY проводятся с 2015 года и собирают тысячи участников из разных регионов. Материалы #PAYMENTSECURITY востребованы среди представителей отрасли и за годы проведения конференций образовали внушительную базу знаний в области инфосек.
В этом году мероприятие пройдёт в формате онлайн-трансляции, в ходе которой эксперты обсудят актуальные вопросы информационной безопасности платёжной индустрии, расскажут о произошедших в отрасли изменениях, обсудят будущее международных стандартов, а также поделятся эффективными решениями обеспечения безопасности в условиях импортозамещения и санкционных ограничений.
Программный комитет конференции принимает заявки на участие в конкурсе докладов (call for papers, CFP). Лучшие из них на тему безопасности платёжных и финансовых технологий войдут в программу #PAYMENTSECURITY и будут озвучены в эфире трансляции.
Для участия в CFP необходимо прислать заявку по адресу сfp@paymentsecurity.ru до 23 июня 2022 года.
На #PAYMENTSECURITY - запланирован традиционный воркшоп по ИБ Practical Security Village (PSV), в рамках которого пентестеры Deiteriy на примере заданий в воссозданной инфраструктуре поделятся с участниками основами этичного хакинга. Организаторы воркшопа также расскажут о различных видах уязвимостей, способах их эксплуатации и методах их локализации.
Регистрация на воркшоп - на www.practicalsecurityvillage.ru.
В ходе конференции также будет проведён авторский семинар Deiteriy - PCI DSS TRAINING, который поможет слушателям разобраться с требованиями новой версии стандарта и подготовиться к аудитам по PCI DSS v. 4.0.
Несмотря на изменения в отрасли, требования стандартов PCI продолжают быть актуальными и являются обязательными для участников платёжной системы «Мир», знание требований действующей версии стандарта PCI DSS сохраняет свою значимость, а прохождение PCI DSS TRAINING становится дополнительной точкой опоры при подготовке к сертификации.
Всех участников #PAYMENTSECURITY ожидает бесплатный доступ к эссенции профильных знаний, мнений экспертов и новостей в сфере инфосек.
Актуальная информация по конференции - на www.paymentsecurity.ru.
С учетом обстановки в мире оптимизацией своей профессиональной деятельности, также активно занимаются и представители теневого сегмента.
Мошенники, которые использовали RIG Exploit Kit теперь пытаются инсталировать банковский троян Dridex вместо стилера Raccoon.
Тенденцию выявили специалисты из лаборатории Bitdefender Cyber Threat Intelligence Lab. Причем переход на новый троян произошел, когда стало известно, что один из разработчиков Raccoon Stealer был убит во время спецоперации на Украине.
Raccoon был впервые обнаружен в апреле 2019 года и предназначался исключительно для кражи реквизитов банковских карт жертв, учетных данных электронной почты, криптовалютных кошельков и других конфиденциальных сведений.
Стилер написан на C++, продвигался исключительно на русскоязычных хакерских форумах и предлагался к продаже как услуга в виде автоматизированной панели управления, абузоустойчивого хостинга и круглосуточной поддержки клиентов и все это добро всего за 200 баксов в месяц.
Учитывая, что троян больше не работает, злоумышленники в рамках активной кампании по распространению RIG быстро адаптировались и заменили вредоносное ПО Raccoon на Dridex, чтобы максимально использовать текущие возможности.
По факту ситуация демонстрирует эффективность комплекта эксплойтов RIG, который позволяет операторам быстро подменять полезную нагрузку в случае обнаружения или компрометации.
Bitdefender также опубликовал технический документ о вредоносном ПО, в котором содержатся интересные подробности об угрозе.
Мошенники, которые использовали RIG Exploit Kit теперь пытаются инсталировать банковский троян Dridex вместо стилера Raccoon.
Тенденцию выявили специалисты из лаборатории Bitdefender Cyber Threat Intelligence Lab. Причем переход на новый троян произошел, когда стало известно, что один из разработчиков Raccoon Stealer был убит во время спецоперации на Украине.
Raccoon был впервые обнаружен в апреле 2019 года и предназначался исключительно для кражи реквизитов банковских карт жертв, учетных данных электронной почты, криптовалютных кошельков и других конфиденциальных сведений.
Стилер написан на C++, продвигался исключительно на русскоязычных хакерских форумах и предлагался к продаже как услуга в виде автоматизированной панели управления, абузоустойчивого хостинга и круглосуточной поддержки клиентов и все это добро всего за 200 баксов в месяц.
Учитывая, что троян больше не работает, злоумышленники в рамках активной кампании по распространению RIG быстро адаптировались и заменили вредоносное ПО Raccoon на Dridex, чтобы максимально использовать текущие возможности.
По факту ситуация демонстрирует эффективность комплекта эксплойтов RIG, который позволяет операторам быстро подменять полезную нагрузку в случае обнаружения или компрометации.
Bitdefender также опубликовал технический документ о вредоносном ПО, в котором содержатся интересные подробности об угрозе.
На этой неделе Google выпустила стабильную версию Chrome 103,
исправив 14 уязвимостей.
Наиболее серьезной из исправленных ошибок является критическая CVE-2022-2156 в Base, связанная с использованием после освобождения, которая может привести к выполнению произвольного кода, повреждению данных или отказу в обслуживании.
Уязвимость обнаружил Марк Брэнд из Google Project Zero.
В сочетании с другими проблемами в безопасности ошибка может привести к выходу из песочницы браузера или полной компрометации системы.
В новой версии Chrome 103 устранены также три другие уязвимости использования после освобождения, влияющие на компоненты:
- Interest groups (CVE-2022-2157, высокая степень серьезности, об ошибке сообщили Нан Ван и Гуан Гун из 360 Alpha Lab),
- WebApp Provider (CVE-2022-2161, средняя степень серьезности, раскрыл Чжихуа Яо из KunLun Lab),
- Cast UI and Toolbar (CVE-2022-2163, низкий уровень, сообщил Чаоюань Пэн).
Последнее обновление Chrome также устраняет уязвимость, связанную с путаницей типов высокой степени серьезности, в движке V8 JavaScript и WebAssembly - CVE-2022-2158, которую обнаружил Бохан Лю из Tencent Security Xuanwu Lab.
Кроме того, закрыты и другие проблемы средней и низкой степени серьезности, включая недостаточное применение политик в DevTools (CVE-2022-2160), API файловой системы (CVE-2022-2162), недопустимую реализацию в Extensions API (CVE-2022-2164 и недостаточную проверку данных в форматировании URL (CVE-2022-2165).
Google отмечает, что выплатила в общей сложности 44 000 долларов США в качестве вознаграждения за обнаружение ошибок, данными об использовании недостатков в дикой природе не располагает.
Последний выпуск Chrome в настоящее время доступен для Windows, Mac и Linux как версия 103.0.5060.53, так что всем пользователям браузера рекомендуем обновиться.
исправив 14 уязвимостей.
Наиболее серьезной из исправленных ошибок является критическая CVE-2022-2156 в Base, связанная с использованием после освобождения, которая может привести к выполнению произвольного кода, повреждению данных или отказу в обслуживании.
Уязвимость обнаружил Марк Брэнд из Google Project Zero.
В сочетании с другими проблемами в безопасности ошибка может привести к выходу из песочницы браузера или полной компрометации системы.
В новой версии Chrome 103 устранены также три другие уязвимости использования после освобождения, влияющие на компоненты:
- Interest groups (CVE-2022-2157, высокая степень серьезности, об ошибке сообщили Нан Ван и Гуан Гун из 360 Alpha Lab),
- WebApp Provider (CVE-2022-2161, средняя степень серьезности, раскрыл Чжихуа Яо из KunLun Lab),
- Cast UI and Toolbar (CVE-2022-2163, низкий уровень, сообщил Чаоюань Пэн).
Последнее обновление Chrome также устраняет уязвимость, связанную с путаницей типов высокой степени серьезности, в движке V8 JavaScript и WebAssembly - CVE-2022-2158, которую обнаружил Бохан Лю из Tencent Security Xuanwu Lab.
Кроме того, закрыты и другие проблемы средней и низкой степени серьезности, включая недостаточное применение политик в DevTools (CVE-2022-2160), API файловой системы (CVE-2022-2162), недопустимую реализацию в Extensions API (CVE-2022-2164 и недостаточную проверку данных в форматировании URL (CVE-2022-2165).
Google отмечает, что выплатила в общей сложности 44 000 долларов США в качестве вознаграждения за обнаружение ошибок, данными об использовании недостатков в дикой природе не располагает.
Последний выпуск Chrome в настоящее время доступен для Windows, Mac и Linux как версия 103.0.5060.53, так что всем пользователям браузера рекомендуем обновиться.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 103 to the stable channel for Windows , Mac and Linux. This will roll out o...
Тайваньский производитель QNAP, похоже что, нашел причину новых атак на владельцев своих сетевых хранилищ (NAS). Разработчики сейчас находятся в стадии активного исправления критической уязвимости PHP трехлетней давности, которая приводит к RCE.
Уязвимость затрагивает версии PHP 7.1.x ниже 7.1.33, 7.2.x ниже 7.2.24 и 7.3.x ниже 7.3.11 с кривой конфигурацией nginx (с конфигурациями, отличными от настроек по умолчанию) .
Она отслеживается как CVE-2019-11043 и имеет рейтинг серьезности 9,8 из 10 в системе оценки CVSS. При этом требуется, чтобы Nginx и php-fpm работали на устройствах, использующих следующие версии операционной системы (и выше): QTS 5.0.x; QTS 4.5.x; Hero QuTS h5.0.x; Hero QuTS h4.5.x, а также QuTScloud c5.0.x.
Поскольку в QTS, QuTS hero или QuTScloud по умолчанию не установлен nginx, QNAP NAS не подвержены этой уязвимости в состоянии по умолчанию. Кроме того, проблему уже устранили в версиях ОС QTS 5.0.1.2034 build 20220515 и Hero QuTS h5.0.0.2069 сборка 20220614.
Тем не менее QNAP продолжает тщательное расследование зафиксированной волны атак с использованием ransomware DeadBolt, нацеленных на устройства QNAP NAS, на которых установлены устаревшие версии QTS 4.x.
Однако пока производитель пытается бороться с DeadBolt, владельцев NAS с выходных начали атаковать вымогатели ech0raix, согласно отчетам пользователей и образцам, представленным на платформе ID Ransomware. При этом вектор заражения, используемый в новых кампаниях DeadBolt и ech0raix, остается неизвестным.
До момента выяснения всех обстоятельств QNAP рекомендует клиентам перейти на новейшую версию операционных систем QTS или QuTS hero, а также отключить устройства от Интернет. Если устройства имеют такие подключения, то пользователям следует отключить функцию переадресации портов маршрутизатора и UPnP QNAP NAS.
Будем следить за результатами расследования.
Уязвимость затрагивает версии PHP 7.1.x ниже 7.1.33, 7.2.x ниже 7.2.24 и 7.3.x ниже 7.3.11 с кривой конфигурацией nginx (с конфигурациями, отличными от настроек по умолчанию) .
Она отслеживается как CVE-2019-11043 и имеет рейтинг серьезности 9,8 из 10 в системе оценки CVSS. При этом требуется, чтобы Nginx и php-fpm работали на устройствах, использующих следующие версии операционной системы (и выше): QTS 5.0.x; QTS 4.5.x; Hero QuTS h5.0.x; Hero QuTS h4.5.x, а также QuTScloud c5.0.x.
Поскольку в QTS, QuTS hero или QuTScloud по умолчанию не установлен nginx, QNAP NAS не подвержены этой уязвимости в состоянии по умолчанию. Кроме того, проблему уже устранили в версиях ОС QTS 5.0.1.2034 build 20220515 и Hero QuTS h5.0.0.2069 сборка 20220614.
Тем не менее QNAP продолжает тщательное расследование зафиксированной волны атак с использованием ransomware DeadBolt, нацеленных на устройства QNAP NAS, на которых установлены устаревшие версии QTS 4.x.
Однако пока производитель пытается бороться с DeadBolt, владельцев NAS с выходных начали атаковать вымогатели ech0raix, согласно отчетам пользователей и образцам, представленным на платформе ID Ransomware. При этом вектор заражения, используемый в новых кампаниях DeadBolt и ech0raix, остается неизвестным.
До момента выяснения всех обстоятельств QNAP рекомендует клиентам перейти на новейшую версию операционных систем QTS или QuTS hero, а также отключить устройства от Интернет. Если устройства имеют такие подключения, то пользователям следует отключить функцию переадресации портов маршрутизатора и UPnP QNAP NAS.
Будем следить за результатами расследования.
QNAP Systems, Inc. - Network Attached Storage (NAS)
PHP Vulnerability - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
Специалисты Лаборатории Касперского представили нового серьезного актора ToddyCat.
Более полутора лет ранее неизвестная АРТ нацелена на жертв высокого статуса, включая правительственные организации, военные ведомства и подрядчиков в сфере вооружений.
Операции ToddyCat характеризуются использованием бэкдора Samurai и трояна Ninja, двух ранее неизвестных штаммов вредоносного ПО, которые предоставляют злоумышленникам полный удаленный контроль над зараженными системами.
Первые атаки ToddyCat были зафиксированы в декабре 2020 года и акцентировались на серверах трех организаций Тайваня и Вьетнама с помощью неизвестного эксплойта.
Позже с февраля по май 2021 года АРТ переориентировалась на ряд других целей в Европе и Азии, включая Россию, Индию, Иран и Великобританию, используя на этот раз уязвимости ProxyLogon Microsoft Exchange для первоначального доступа.
На следующем этапе до февраля 2022 года ToddyCat нацелился на тот же кластер стран, добавив в список организации из Индонезии, Узбекистана и Кыргызстана.
Было замечено, что группа применяла уязвимость ProxyLogon для целевых организаций в Афганистане, Индии, Индонезии, Иране, Кыргызстане, Малайзии, Пакистане, России, Словакии, Таиланде, Соединенном Королевстве и Узбекистан. При этом с сентября 2021 года АРТ нацелилась на настольные системы в Центральной Азии с помощью нового набора загрузчиков для трояна Ninja.
На скомпрометированных машинах хакеры разворачивали веб-оболочки China Chopper, которая, в свою очередь, использовалась для запуска многоступенчатой цепочки заражения.
Получая доступ к уязвимым серверам Exchange, ToddyCat применяли пассивный бэкдор Samurai, который обычно работает на портах 80 и 443, поддерживает выполнение произвольного кода и используется с несколькими модулями, позволяющими управлять сервером и перемещаться внутри целевой сети.
Благодаря модульной архитектуре вредоносное ПО позволяло злоумышленникам удаленно управлять зараженной машиной, извлекать файлы, запускать прокси-соединения и проводить боковое перемещение. Бэкдор использует обфускацию и другие методы сокрытия от обнаружения и детектирования.
В некоторых случаях бэкдор использовался для запуска трояна Ninja, который мог быть частью неизвестного эксклюзивного инструментария пост-эксплуатации ToddyCat.
Загружаемая в память вредоносная программа функционирует инструмент совместной работы, который позволяет одновременно нескольким операторам управлять скомпрометированной машиной, обеспечивая поддержку широкого спектра команд.
Малварь также способна управлять запущенными процессами, управлять файловой системой, запускать сеансы обратной оболочки, внедрять код, загружать дополнительные модули, включая прокси.
Ninja поддерживает связь по нескольким протоколам и реализует защиту от обнаружения. Интересной особенностью троянца является функция настройки времени сивей активности, задавая интервалы для предотвращения своего обнаружения.
Ресерчеры не связывают ToddyCat с другими APT-группами, однако выделяют совпадение их таргета с традиционными объектами заинтересованности китайских акторов.
Более того, Лаборатория Касперского обнаружила, что использующая бэкдор FunnyDream прокитайскоязычная APT взломала 3 организации одновременно с ToddyCat, что неудивительно, учитывая высокий статус жертв, которые представляют интерес для многих групп.
ToddyCat - достаточно профессиональная и сложная APT, полную цепочку заражения или более поздние этапы вредоносного ПО выявленных кампаний смогли глубоко изучить в Лаборатории Касперского, в отличие от ESET и вьетнамской GTSC, чьи отчеты ограничиваются вектором заражения и развертыванием первого дроппера.
Все подробности и индикаторы компрометации (IOC) ToddyCat можно найти отчете Лаборатории.
Более полутора лет ранее неизвестная АРТ нацелена на жертв высокого статуса, включая правительственные организации, военные ведомства и подрядчиков в сфере вооружений.
Операции ToddyCat характеризуются использованием бэкдора Samurai и трояна Ninja, двух ранее неизвестных штаммов вредоносного ПО, которые предоставляют злоумышленникам полный удаленный контроль над зараженными системами.
Первые атаки ToddyCat были зафиксированы в декабре 2020 года и акцентировались на серверах трех организаций Тайваня и Вьетнама с помощью неизвестного эксплойта.
Позже с февраля по май 2021 года АРТ переориентировалась на ряд других целей в Европе и Азии, включая Россию, Индию, Иран и Великобританию, используя на этот раз уязвимости ProxyLogon Microsoft Exchange для первоначального доступа.
На следующем этапе до февраля 2022 года ToddyCat нацелился на тот же кластер стран, добавив в список организации из Индонезии, Узбекистана и Кыргызстана.
Было замечено, что группа применяла уязвимость ProxyLogon для целевых организаций в Афганистане, Индии, Индонезии, Иране, Кыргызстане, Малайзии, Пакистане, России, Словакии, Таиланде, Соединенном Королевстве и Узбекистан. При этом с сентября 2021 года АРТ нацелилась на настольные системы в Центральной Азии с помощью нового набора загрузчиков для трояна Ninja.
На скомпрометированных машинах хакеры разворачивали веб-оболочки China Chopper, которая, в свою очередь, использовалась для запуска многоступенчатой цепочки заражения.
Получая доступ к уязвимым серверам Exchange, ToddyCat применяли пассивный бэкдор Samurai, который обычно работает на портах 80 и 443, поддерживает выполнение произвольного кода и используется с несколькими модулями, позволяющими управлять сервером и перемещаться внутри целевой сети.
Благодаря модульной архитектуре вредоносное ПО позволяло злоумышленникам удаленно управлять зараженной машиной, извлекать файлы, запускать прокси-соединения и проводить боковое перемещение. Бэкдор использует обфускацию и другие методы сокрытия от обнаружения и детектирования.
В некоторых случаях бэкдор использовался для запуска трояна Ninja, который мог быть частью неизвестного эксклюзивного инструментария пост-эксплуатации ToddyCat.
Загружаемая в память вредоносная программа функционирует инструмент совместной работы, который позволяет одновременно нескольким операторам управлять скомпрометированной машиной, обеспечивая поддержку широкого спектра команд.
Малварь также способна управлять запущенными процессами, управлять файловой системой, запускать сеансы обратной оболочки, внедрять код, загружать дополнительные модули, включая прокси.
Ninja поддерживает связь по нескольким протоколам и реализует защиту от обнаружения. Интересной особенностью троянца является функция настройки времени сивей активности, задавая интервалы для предотвращения своего обнаружения.
Ресерчеры не связывают ToddyCat с другими APT-группами, однако выделяют совпадение их таргета с традиционными объектами заинтересованности китайских акторов.
Более того, Лаборатория Касперского обнаружила, что использующая бэкдор FunnyDream прокитайскоязычная APT взломала 3 организации одновременно с ToddyCat, что неудивительно, учитывая высокий статус жертв, которые представляют интерес для многих групп.
ToddyCat - достаточно профессиональная и сложная APT, полную цепочку заражения или более поздние этапы вредоносного ПО выявленных кампаний смогли глубоко изучить в Лаборатории Касперского, в отличие от ESET и вьетнамской GTSC, чьи отчеты ограничиваются вектором заражения и развертыванием первого дроппера.
Все подробности и индикаторы компрометации (IOC) ToddyCat можно найти отчете Лаборатории.
Securelist
ToddyCat: Unveiling an unknown APT actor attacking high-profile entities in Europe and Asia
ToddyCat is a relatively new APT actor, its main distinctive signs are two formerly unknown tools that we call ‘Samurai backdoor’ and ‘Ninja Trojan’.
Forwarded from Russian OSINT
🇷🇺 #ЧтоТамПоХакерам? [23.06.2022]
1️⃣ В центре внимания «KillNet» сейчас 🇱🇹Литва, об этом сообщается в📲Telegram-канале:
👮 Департамент полиции при МВД в Вильнюсе, Литва.
📞 Мобильный провайдер Литвы - Telia
🏦 Авторизация в крупной платёжной системе Литвы - LPB
📧 Литовская электронная почта
👨💻 Госуслуги Литвы
🚇 АО «Литовские железные дороги»
❌🚚 Литва блокировала для России транзит грузов через свою территорию в Калининградскую область из других регионов России.
2️⃣ Хакеры «ЛЕГИОН - КИБЕР СПЕЦНАЗ РФ» также заявили в своём 📲Telegram-канале об атаках на 🇱🇹Литву:
🗺 Логистические ресурсы, Таможня
🏦 Финансовый сектор, Банки
🏭 Энергетический сектор
🕵️ Средства Массовой Информации
👮 Государственные Сайты включая МВД, МИД, Правительство Литвы, сайт Президента Литвы
3️⃣ Хакеры «NoName057(16)» поддержали тренд и всю неделю в Прибалтике было жарко, об этом сообщается в 📲Telegram-канале:
🛳 Cайт литовской компании Baltic shipping, которая занимается морскими перевозками и является одной из ведущих в этой сфере в странах Балтии
✈️ Атаковали сайты литовских международных аэропортов Каунаса, Вильнюса и Паланга
🚢 Досталось и компании «Ферри Букингс» (паромные переправы)
4️⃣ «Народная CyberАрмия» положила с помощью ⚔️DDoS-атак сайт "Украинской бронетехники" и украинский сайт для проведения DDoS-атак против РФ.
*Конструкторско-производственное предприятие "Украинская бронетехника" - это ведущий в Украине производитель бронированной техники и вооружения [написано на сайте компании].
5️⃣ Активности на канале хакеров «XakNet Team» пока не наблюдается, но посты кошерные.
6️⃣ «Немезида» aka RaHDIt дали интервью РИА Новости, где рассказали, что к протестам в Казахстане причастна украинская военная "фабрика троллей"
7️⃣ «Beregini» в традиционном формате подачи контента делятся очень интересными документами
1️⃣ В центре внимания «KillNet» сейчас 🇱🇹Литва, об этом сообщается в📲Telegram-канале:
👮 Департамент полиции при МВД в Вильнюсе, Литва.
📞 Мобильный провайдер Литвы - Telia
🏦 Авторизация в крупной платёжной системе Литвы - LPB
📧 Литовская электронная почта
👨💻 Госуслуги Литвы
🚇 АО «Литовские железные дороги»
❌🚚 Литва блокировала для России транзит грузов через свою территорию в Калининградскую область из других регионов России.
2️⃣ Хакеры «ЛЕГИОН - КИБЕР СПЕЦНАЗ РФ» также заявили в своём 📲Telegram-канале об атаках на 🇱🇹Литву:
🗺 Логистические ресурсы, Таможня
🏦 Финансовый сектор, Банки
🏭 Энергетический сектор
🕵️ Средства Массовой Информации
👮 Государственные Сайты включая МВД, МИД, Правительство Литвы, сайт Президента Литвы
3️⃣ Хакеры «NoName057(16)» поддержали тренд и всю неделю в Прибалтике было жарко, об этом сообщается в 📲Telegram-канале:
🛳 Cайт литовской компании Baltic shipping, которая занимается морскими перевозками и является одной из ведущих в этой сфере в странах Балтии
✈️ Атаковали сайты литовских международных аэропортов Каунаса, Вильнюса и Паланга
🚢 Досталось и компании «Ферри Букингс» (паромные переправы)
4️⃣ «Народная CyberАрмия» положила с помощью ⚔️DDoS-атак сайт "Украинской бронетехники" и украинский сайт для проведения DDoS-атак против РФ.
*Конструкторско-производственное предприятие "Украинская бронетехника" - это ведущий в Украине производитель бронированной техники и вооружения [написано на сайте компании].
5️⃣ Активности на канале хакеров «XakNet Team» пока не наблюдается, но посты кошерные.
6️⃣ «Немезида» aka RaHDIt дали интервью РИА Новости, где рассказали, что к протестам в Казахстане причастна украинская военная "фабрика троллей"
7️⃣ «Beregini» в традиционном формате подачи контента делятся очень интересными документами
Порой от некоторых "решений" фаворитов программного обеспечения из категории массмаркет волосы дыбом встают и созревает больше вопросов, чем ответов.
В этот раз крупным текстом в заголовках засветился, а точнее засветили специалисты из Minerva Labs, известную каждому юзеру ПК популярнейшую читалку Adobe Acrobat Reader, которая по непонятным причинам решила блокировать антивирусные инструменты для мониторинга PDF-файлов.
Как изложили исследователи, продукт Adobe проверяет, загружены ли в его процессы компоненты ряда продуктов безопасности и блокирует их, фактически лишая их возможности отслеживать вредоносную активность.
Наверное многие еще со школы помнят, как раньше файлы PDF активно использовались для запуска вредоносных программ в системе и чтобы инструмент безопасности отработал, ему необходима видимость всех процессов в системе, что достигается за счет внедрения динамически подключаемых библиотек (DLL) в программные продукты, запускаемые на машине.
Поведение, похожее на поведение подозрительных или вредоносных приложений, связано с использованием Acrobat Reader встроенной платформы Chromium Embedded Framework (CEF), которая имеет некоторые проблемы несовместимости с некоторыми продуктами безопасности.
Minerva заявила, что наблюдала постепенный всплеск такого поведения начиная с марта 2022 года, когда была обновлена библиотека libcef.dll — библиотека CEF. Libcef используется многочисленными приложениями и содержит список DLL, о которых известно, что они вызывают конфликты и которые заблокированы.
Из-за проблем совместимости в Adobe решили выпилить 30 библиотек DLL от различных поставщиков. Среди наиболее популярных — Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft. Тем самым, Acrobat Reader не позволяет продуктам безопасности внедрять библиотеки DLL в процессы AcroCEF.exe и RdrCEF.exe, которые обрабатывают сетевые взаимодействия и некоторые облачные службы документов.
Запрещая продуктам безопасности внедрять свои библиотеки в процессы, Acrobat фактически лишает возможности видеть эти процессы, что создает угрозу безопасности. Например, злоумышленнику достаточно просто добавить команду в раздел «OpenAction» файла PDF и выполнить скрипт на PowerShell, который может загрузить малварь или еще чего.
В общем камень в огород Adobe был брошен по причине того, что они выбрали легкий путь для решения проблемы совместимости, не принимая во внимание последствия такого подхода для безопасности.
В Adobe скромно подтвердили, что им известно об отчете Minerva и что они работают с поставщиками средств защиты для решения проблемы.
Как говорят в подобных случаях: "Бизнес, ничего личного". Либо вовсе есть подозрение, что такие случайности не случайны и сделаны по указанию "Большого брата". Впрочем конспирологию оставим как пищу для размышления, а факты остаются фактами.
В этот раз крупным текстом в заголовках засветился, а точнее засветили специалисты из Minerva Labs, известную каждому юзеру ПК популярнейшую читалку Adobe Acrobat Reader, которая по непонятным причинам решила блокировать антивирусные инструменты для мониторинга PDF-файлов.
Как изложили исследователи, продукт Adobe проверяет, загружены ли в его процессы компоненты ряда продуктов безопасности и блокирует их, фактически лишая их возможности отслеживать вредоносную активность.
Наверное многие еще со школы помнят, как раньше файлы PDF активно использовались для запуска вредоносных программ в системе и чтобы инструмент безопасности отработал, ему необходима видимость всех процессов в системе, что достигается за счет внедрения динамически подключаемых библиотек (DLL) в программные продукты, запускаемые на машине.
Поведение, похожее на поведение подозрительных или вредоносных приложений, связано с использованием Acrobat Reader встроенной платформы Chromium Embedded Framework (CEF), которая имеет некоторые проблемы несовместимости с некоторыми продуктами безопасности.
Minerva заявила, что наблюдала постепенный всплеск такого поведения начиная с марта 2022 года, когда была обновлена библиотека libcef.dll — библиотека CEF. Libcef используется многочисленными приложениями и содержит список DLL, о которых известно, что они вызывают конфликты и которые заблокированы.
Из-за проблем совместимости в Adobe решили выпилить 30 библиотек DLL от различных поставщиков. Среди наиболее популярных — Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft. Тем самым, Acrobat Reader не позволяет продуктам безопасности внедрять библиотеки DLL в процессы AcroCEF.exe и RdrCEF.exe, которые обрабатывают сетевые взаимодействия и некоторые облачные службы документов.
Запрещая продуктам безопасности внедрять свои библиотеки в процессы, Acrobat фактически лишает возможности видеть эти процессы, что создает угрозу безопасности. Например, злоумышленнику достаточно просто добавить команду в раздел «OpenAction» файла PDF и выполнить скрипт на PowerShell, который может загрузить малварь или еще чего.
В общем камень в огород Adobe был брошен по причине того, что они выбрали легкий путь для решения проблемы совместимости, не принимая во внимание последствия такого подхода для безопасности.
В Adobe скромно подтвердили, что им известно об отчете Minerva и что они работают с поставщиками средств защиты для решения проблемы.
Как говорят в подобных случаях: "Бизнес, ничего личного". Либо вовсе есть подозрение, что такие случайности не случайны и сделаны по указанию "Большого брата". Впрочем конспирологию оставим как пищу для размышления, а факты остаются фактами.
Minerva Labs
Does Acrobat Reader Unload Injection of Security Products?
Since March of 2022 we’ve seen a gradual uptick in Adobe Reader processes attempting to query which security product DLLs are loaded into it by acquiring a handle of the DLL. The significant rise over the recent months has caught our attention as it is very…
Как и ожидалось, вопрос урегулирования скандала NSO Group точно не закончится банальным захватом актива фактически за бесценок, о чем мы сообщали совсем недавно.
Это, конечно, хороший бонус всей международной операции американских спецслужб, но стратегическая цель немного другая.
На этой неделе, по информации Politico, израильский поставщик шпионского ПО признал перед Европарламентом нарушения, связанные с применением технологии для наблюдения Pegasus на территории 5 стран союза.
Кроме того, по случаю летней сессии Парламентской ассамблеи Советом Европы был представлен новый доклад о влиянии шпионского ПО Pegasus на права человека.
Орган отметил в отчете, что применение Pegasus не требует сотрудничества с телекоммуникационными компаниями, и он может легко преодолеть шифрование, SSL, проприетарные протоколы и любые препятствия, связанные со сложными коммуникациями по всему миру, что создает серьезные риски для гарантии основных прав и свобод.
Раскрытие информации произошло в результате проведенного созданным в апреле 2022 года специальным следственным комитетом расследования предполагаемых нарушений законодательства ЕС в рамках инцидента с ПО Pegasus, который использовался для контроля устройств ведущих политиков, дипломатов и общественных деятелей.
Ранее еще в феврале этого года Европейский инспектор по защите данных (EDPS) и вовсе призвал запретить разработку и использование коммерческого шпионского ПО.
И это все к чему?
Отвечаем словами самих NSO Group: признав допущенные ошибки, компания подчеркнула необходимость международного стандарта, регулирующего использование правительством шпионского ПО.
Таким образом, Pegasus и другие аналоги, такие как FinFisher и Cytrox, теперь либо ложиться под большого брата, либо объявляются вне закона со всеми вытекающими последствиями.
Вероятно, в ближайшем будущем рынок шпионского ПО полностью ляжет под штаты и их европейских сателлитов, всех несогласных - в «черный» список Минфина США.
Это, конечно, хороший бонус всей международной операции американских спецслужб, но стратегическая цель немного другая.
На этой неделе, по информации Politico, израильский поставщик шпионского ПО признал перед Европарламентом нарушения, связанные с применением технологии для наблюдения Pegasus на территории 5 стран союза.
Кроме того, по случаю летней сессии Парламентской ассамблеи Советом Европы был представлен новый доклад о влиянии шпионского ПО Pegasus на права человека.
Орган отметил в отчете, что применение Pegasus не требует сотрудничества с телекоммуникационными компаниями, и он может легко преодолеть шифрование, SSL, проприетарные протоколы и любые препятствия, связанные со сложными коммуникациями по всему миру, что создает серьезные риски для гарантии основных прав и свобод.
Раскрытие информации произошло в результате проведенного созданным в апреле 2022 года специальным следственным комитетом расследования предполагаемых нарушений законодательства ЕС в рамках инцидента с ПО Pegasus, который использовался для контроля устройств ведущих политиков, дипломатов и общественных деятелей.
Ранее еще в феврале этого года Европейский инспектор по защите данных (EDPS) и вовсе призвал запретить разработку и использование коммерческого шпионского ПО.
И это все к чему?
Отвечаем словами самих NSO Group: признав допущенные ошибки, компания подчеркнула необходимость международного стандарта, регулирующего использование правительством шпионского ПО.
Таким образом, Pegasus и другие аналоги, такие как FinFisher и Cytrox, теперь либо ложиться под большого брата, либо объявляются вне закона со всеми вытекающими последствиями.
Вероятно, в ближайшем будущем рынок шпионского ПО полностью ляжет под штаты и их европейских сателлитов, всех несогласных - в «черный» список Минфина США.
POLITICO
Pegasus used by at least 5 EU countries, NSO Group tells lawmakers
NSO Group ‘made mistakes,’ its chief lawyer says.
͏Пожалуй, все помнят: «Тридцать тысяч просмотров! Наше ограбление порвало интернет!... Блин, нас пристрелят…» (цитата из к/ф «Большой куш»).
Только в реальной жизни киберпреступники провернули делюгу почти на 99 334 302, 58 долларов США (или 85 837,252 Ethereum), которые незаметно стащили у Harmony через экосистему межсетевых переводов.
В результате вредоносной атаки на проприетарный мост Horizon Ethereum хакеры провернули несколько транзакций, которые скомпрометировали мост, а вместе с ним токены 11 транзакций на солидную сумму.
Блестящая афера была раскрыта, но, к несчастью для Harmony, уже после того, как активы утекли, а остался лишь блок на мост, веселые приключения с ФБР США и изрядно подпорченная репутация.
Конечно, остаются надежды на «белую шляпу», но этого, вероятно, ожидать не стоит. В любом случае, будем посмотреть.
Только в реальной жизни киберпреступники провернули делюгу почти на 99 334 302, 58 долларов США (или 85 837,252 Ethereum), которые незаметно стащили у Harmony через экосистему межсетевых переводов.
В результате вредоносной атаки на проприетарный мост Horizon Ethereum хакеры провернули несколько транзакций, которые скомпрометировали мост, а вместе с ним токены 11 транзакций на солидную сумму.
Блестящая афера была раскрыта, но, к несчастью для Harmony, уже после того, как активы утекли, а остался лишь блок на мост, веселые приключения с ФБР США и изрядно подпорченная репутация.
Конечно, остаются надежды на «белую шляпу», но этого, вероятно, ожидать не стоит. В любом случае, будем посмотреть.