Пользователям Zimbra стоит всерьез обеспокоиться, так как специалисты предупреждают о продолжающейся массовой эксплуатации RCE-уязвимости.
Причем CISA уже добавила две уязвимости в свой каталог, ссылаясь на доказательства их активной эксплуатации.
Две проблемы высокой степени серьезности связаны со слабыми местами в Zimbra Collaboration, обе из которых могут быть объединены в общую цепочку для реализации удаленного выполнения кода без проверки подлинности на уязвимых почтовых серверах.
Речь идет об ошибках CVE-2022-27925 (оценка CVSS: 7,2) — RCE через mboximport от аутентифицированного пользователя (обновления выпущены еще в марте) и CVE-2022-37042 — связанной с обходом аутентификации в MailboxImportServlet.
В CISA воздержались от какой-либо информации об атаках с использованием уязвимостей, но инфосек компания Volexity рассказала о массовой эксплуатации экземпляров Zimbra неизвестным злоумышленником.
Впрочем сами разработчики призывали пользователей, которые используют версию старше, чем Zimbra 8.8.15 patch 33 или Zimbra 9.0.0 patch 26, как можно скорее обновиться до последнего патча.
Причем CISA уже добавила две уязвимости в свой каталог, ссылаясь на доказательства их активной эксплуатации.
Две проблемы высокой степени серьезности связаны со слабыми местами в Zimbra Collaboration, обе из которых могут быть объединены в общую цепочку для реализации удаленного выполнения кода без проверки подлинности на уязвимых почтовых серверах.
Речь идет об ошибках CVE-2022-27925 (оценка CVSS: 7,2) — RCE через mboximport от аутентифицированного пользователя (обновления выпущены еще в марте) и CVE-2022-37042 — связанной с обходом аутентификации в MailboxImportServlet.
В CISA воздержались от какой-либо информации об атаках с использованием уязвимостей, но инфосек компания Volexity рассказала о массовой эксплуатации экземпляров Zimbra неизвестным злоумышленником.
Впрочем сами разработчики призывали пользователей, которые используют версию старше, чем Zimbra 8.8.15 patch 33 или Zimbra 9.0.0 patch 26, как можно скорее обновиться до последнего патча.
Volexity
Mass Exploitation of (Un)authenticated Zimbra RCE: CVE-2022-27925
[Note: Volexity has reported all findings in this post to Zimbra. Where an existing contact was known, Volexity has notified local CERTs of compromised Zimbra instances in their constituency. The […]
В платформе управления активами Device42 обнаружены критические уязвимости
Device42 помогает администраторам отслеживать приложения, устройства и оборудование, предоставляя им возможность управлять активами, паролями и службами центра обработки данных, а также функциями обнаружения устройств и маркировки активов.
На этой неделе Bitdefender поделился информацией о трех критических уязвимостях в платформе Device42 и одной в консоли ApplianceManager, предупредив, что злоумышленники могут использовать их для удаленного выполнения кода.
Используя их, злоумышленник может выдавать себя за других пользователей, получить доступ на уровне администратора в приложении (путем утечки сеанса с LFI) или получить полный доступ к файлам и базе данных устройства (через RCE).
Исследователи обнаружили, что, поскольку платформа не проверяла должным образом предоставленные пути, можно было читать конфиденциальные файлы на сервере без аутентификации (CVE-2022-1401).
Поскольку платформа содержала жестко закодированные ключи шифрования Exago (CVE-2022-1400), злоумышленник мог связать две уязвимости.
На выходе получить доступ к файлам, содержащим идентификаторы сеанса, и расшифровать их.
После чего обойти аутентификацию, используя информацию сеанса для доступа к приложению в качестве аутентифицированного пользователя.
Bitdefender также отмечает, что злоумышленник может впоследствии использовать и третью уязвимость CVE-2022-1399 для RCE путем создания задачи автообнаружения (nix/CISCO NX-OS) с созданной полезной нагрузкой RCE в качестве имени пользователя.
Исследователи предупреждают, что манипулирование параметрами команды ssh bash позволит злоумышленнику выполнить код с привилегиями root.
Исследователи также обнаружили RCE-уязвимость в консоли Device42 Appliance Manager, для эксплуатации которой требуются действительные учетные данные.
Однако эти учетные данные можно получить, используя вышеупомянутые ошибки безопасности.
Bitdefender сообщил об уязвимостях команде Device42 в феврале, которая по итогу исправила все недостатки с выпуском версии 18.01.00.
Клиентам рекомендуется как можно скорее обновиться.
Device42 помогает администраторам отслеживать приложения, устройства и оборудование, предоставляя им возможность управлять активами, паролями и службами центра обработки данных, а также функциями обнаружения устройств и маркировки активов.
На этой неделе Bitdefender поделился информацией о трех критических уязвимостях в платформе Device42 и одной в консоли ApplianceManager, предупредив, что злоумышленники могут использовать их для удаленного выполнения кода.
Используя их, злоумышленник может выдавать себя за других пользователей, получить доступ на уровне администратора в приложении (путем утечки сеанса с LFI) или получить полный доступ к файлам и базе данных устройства (через RCE).
Исследователи обнаружили, что, поскольку платформа не проверяла должным образом предоставленные пути, можно было читать конфиденциальные файлы на сервере без аутентификации (CVE-2022-1401).
Поскольку платформа содержала жестко закодированные ключи шифрования Exago (CVE-2022-1400), злоумышленник мог связать две уязвимости.
На выходе получить доступ к файлам, содержащим идентификаторы сеанса, и расшифровать их.
После чего обойти аутентификацию, используя информацию сеанса для доступа к приложению в качестве аутентифицированного пользователя.
Bitdefender также отмечает, что злоумышленник может впоследствии использовать и третью уязвимость CVE-2022-1399 для RCE путем создания задачи автообнаружения (nix/CISCO NX-OS) с созданной полезной нагрузкой RCE в качестве имени пользователя.
Исследователи предупреждают, что манипулирование параметрами команды ssh bash позволит злоумышленнику выполнить код с привилегиями root.
Исследователи также обнаружили RCE-уязвимость в консоли Device42 Appliance Manager, для эксплуатации которой требуются действительные учетные данные.
Однако эти учетные данные можно получить, используя вышеупомянутые ошибки безопасности.
Bitdefender сообщил об уязвимостях команде Device42 в феврале, которая по итогу исправила все недостатки с выпуском версии 18.01.00.
Клиентам рекомендуется как можно скорее обновиться.
Bitdefender Labs
A Red Team Perspective on the Device42 Asset Management Appliance
Modern IT environments rely on automatic discovery, asset management, and
dependency mapping.
dependency mapping.
Forwarded from Russian OSINT
🇸🇦Саудовская Аравия инвестирует огромные средства в 🇮🇱Израильские компании, специализирующиеся на разработке инструментов кибершпионажа - Tasnim News Agency
Саудовские власти считают, что такие технологии могут помочь властям выслеживать диссидентов и противников наследного принца Мухаммеда ибн Салмана, говорится в сообщении Tasnim.
Оппозиционный сайт Saudi Leaks, ссылаясь на информированные источники, попросившие не называть их имен, сообщают, что саудовские чиновники подписали контракты с израильскими фирмами, которые предусматривают ежегодное выделение бюджетов в миллионы долларов на приобретение самых сложных технологий кибершпионажа и наблюдения.
Источники уверяют, что тайные отношения между саудовцами и израильскими компаниями укрепляются в вопросах кибершпионажа и призваны подготовить почву для реализации так называемого плана 🛡"CyberIC", который, направлен на защиту сектора кибербезопасности 👑королевства.
В прошлом месяце газета Haaretz сообщала, что израильская компания продала Саудовской Аравии технологии кибершпионажа, позволяющие королевству выслеживать и прослушивать неугодных лиц и борцов за демократию.
"Саудовская Аравия расширила свои тайные связи с Израилем еще больше. Правитель королевства дал чётко понять, что он и Израиль едины в своем противостоянии присутствию 🇮🇷Ирана на Ближнем Востоке" - дополняют смыслы Tasnim News Agency.
Саудовские власти считают, что такие технологии могут помочь властям выслеживать диссидентов и противников наследного принца Мухаммеда ибн Салмана, говорится в сообщении Tasnim.
Оппозиционный сайт Saudi Leaks, ссылаясь на информированные источники, попросившие не называть их имен, сообщают, что саудовские чиновники подписали контракты с израильскими фирмами, которые предусматривают ежегодное выделение бюджетов в миллионы долларов на приобретение самых сложных технологий кибершпионажа и наблюдения.
Источники уверяют, что тайные отношения между саудовцами и израильскими компаниями укрепляются в вопросах кибершпионажа и призваны подготовить почву для реализации так называемого плана 🛡"CyberIC", который, направлен на защиту сектора кибербезопасности 👑королевства.
В прошлом месяце газета Haaretz сообщала, что израильская компания продала Саудовской Аравии технологии кибершпионажа, позволяющие королевству выслеживать и прослушивать неугодных лиц и борцов за демократию.
"Саудовская Аравия расширила свои тайные связи с Израилем еще больше. Правитель королевства дал чётко понять, что он и Израиль едины в своем противостоянии присутствию 🇮🇷Ирана на Ближнем Востоке" - дополняют смыслы Tasnim News Agency.
Серьезная уязвимость, затрагивающая eCos SDK, созданный тайваньской полупроводниковой компанией Realtek, может подвергнуть сетевые устройства многих поставщиков удаленным атакам.
CVE-2022-27255 высокой степени серьезности представляет собой переполнение буфера на основе стека, которое может позволить удаленному злоумышленнику вызвать сбой или выполнить произвольный код на устройствах, использующих SDK.
Атака может быть осуществлена через интерфейс WAN с использованием специально созданных SIP-пакетов.
Realtek eCos SDK используются производителями маршрутизаторов, точек доступа и ретрансляторов на базе SoC семейства RTL819x.
SDK реализует базовые функции маршрутизатора, включая интерфейс веб-администрирования и сетевой стек.
Realtek проинформировал клиентов об уязвимости eCos SDK в марте и объявил о доступности патча.
Обнаружившие уязвимости исследователи Faraday Security отметили, что уязвимость может быть использована удаленно - непосредственно из Интернета - для взлома затронутых маршрутизаторов, работающих с настройками по умолчанию.
Для успешной эксплуатации не требуется взаимодействие с пользователем.
Уязвимый код является частью сетевого стека - если устройство подключено к Интернету, злоумышленнику нужно только отправить пакет, чтобы взять под контроль устройство.
Ресерчеры выделили около 20 поставщиков, которые используют уязвимый SDK для своих продуктов, включая Tenda, Nexxt, Intelbras и D-Link.
Пока не понятно была ли уязвимость использована в дикой природе.
Но точно известно, что согласно
Shodan, более 60 000 уязвимых маршрутизаторов с открытой панелью администрирования находятся в сети.
А ведь известно, что субъекты угроз, как правило, нацелены на уязвимости Realtek SDK в своих атаках: в прошлом году исследователи заметили эксплуатацию дефекта всего через несколько дней после его раскрытия.
CVE-2022-27255 высокой степени серьезности представляет собой переполнение буфера на основе стека, которое может позволить удаленному злоумышленнику вызвать сбой или выполнить произвольный код на устройствах, использующих SDK.
Атака может быть осуществлена через интерфейс WAN с использованием специально созданных SIP-пакетов.
Realtek eCos SDK используются производителями маршрутизаторов, точек доступа и ретрансляторов на базе SoC семейства RTL819x.
SDK реализует базовые функции маршрутизатора, включая интерфейс веб-администрирования и сетевой стек.
Realtek проинформировал клиентов об уязвимости eCos SDK в марте и объявил о доступности патча.
Обнаружившие уязвимости исследователи Faraday Security отметили, что уязвимость может быть использована удаленно - непосредственно из Интернета - для взлома затронутых маршрутизаторов, работающих с настройками по умолчанию.
Для успешной эксплуатации не требуется взаимодействие с пользователем.
Уязвимый код является частью сетевого стека - если устройство подключено к Интернету, злоумышленнику нужно только отправить пакет, чтобы взять под контроль устройство.
Ресерчеры выделили около 20 поставщиков, которые используют уязвимый SDK для своих продуктов, включая Tenda, Nexxt, Intelbras и D-Link.
Пока не понятно была ли уязвимость использована в дикой природе.
Но точно известно, что согласно
Shodan, более 60 000 уязвимых маршрутизаторов с открытой панелью администрирования находятся в сети.
А ведь известно, что субъекты угроз, как правило, нацелены на уязвимости Realtek SDK в своих атаках: в прошлом году исследователи заметили эксплуатацию дефекта всего через несколько дней после его раскрытия.
Исследователи Eclypsium обнаружили уязвимости в трех подписанных сторонних загрузчиках Unified Extensible Firmware Interface (UEFI), которые позволяют обойти функцию безопасной загрузки.
Ошибки могут быть использованы путем установки системного раздела EFI и замены существующего загрузчика на уязвимый или изменения переменной UEFI для загрузки уязвимого погрузчика вместо существующего.
Загрузчики прошивки загружают среду UEFI и передают контроль приложениям UEFI, написанным поставщиком SoC, Microsoft и OEM", - отмечает Microsoft в своей документации.
Среда UEFI запускает диспетчер загрузки Windows, который определяет, следует ли загружаться в режим прошивки образа Full Flash Update (FFU) или сброса устройства, в ОС обновления или в основную ОС.
Среди подписанных и аутентифицированных Microsoft загрузчиков уязвимыми оказались:
загрузчик Eurosoft (CVE-2022-34301); загрузчик Horizon Data Systems Inc (CVE-2022-34302) и загрузчик Crypto Pro (CVE-20220-34303).
Таким образом, успешное использование недостатков, выявленных Eclypsium, может позволить противнику обойти защиту при запуске и выполнить произвольный неподписанный код во время процесса загрузки.
Это может позволить актеру получить укоренившийся доступ и установить устойчивость на хосте, минуя переустановку операционной системы и замену жесткого диска.
CVE-2022-34302, по наблюдениям Eclypsium, гораздо более скрытен, в то время как, уязвимость New Horizon Datasys не только тривиальна для использования в дикой природе, но и может способствовать отключению обработчиков безопасности.
Использование выявленных уязвимостей требует от злоумышленника прав администратора, однако получение локальной эскалации привилегий не считается непреодолимым из-за того, что Microsoft не рассматривает обход контроля учетных записей пользователей (UAC) как угрозу безопасности.
Microsoft работала с двумя последними поставщиками и выпустила обновление безопасности KB5012170 для устранения проблем в предоставленном загрузчике, а также заблокировала все сертификаты.
В тоже время Carnegie Mellon CERT предоставил список с 23 поставщиками загрузчиков UEFI, четкий статус доступен только для трех из них: Microsoft (затронут), Phoenix Technologies (не затронут) и Red Hat (не затронут).
Остальные 20 поставщиков также были проинформированы о проблемах, но в настоящее время неизвестно, затронуты ли их продукты или нет.
Список включает в себя такие наименования, как Acer, AMD, American Megatrends, ASUSTeK, DELL, Google, Hewlett Packard Enterprise, HP, Lenovo, Toshiba и VAIO Corporation.
Исправление этих уязвимостей должно быть доставлено либо производителем оригинального оборудования (OEM), либо поставщиком ОС путем обновления списка отзыва UEFI - Secure Boot Forbidden Signature Database (DBX).
Ошибки могут быть использованы путем установки системного раздела EFI и замены существующего загрузчика на уязвимый или изменения переменной UEFI для загрузки уязвимого погрузчика вместо существующего.
Загрузчики прошивки загружают среду UEFI и передают контроль приложениям UEFI, написанным поставщиком SoC, Microsoft и OEM", - отмечает Microsoft в своей документации.
Среда UEFI запускает диспетчер загрузки Windows, который определяет, следует ли загружаться в режим прошивки образа Full Flash Update (FFU) или сброса устройства, в ОС обновления или в основную ОС.
Среди подписанных и аутентифицированных Microsoft загрузчиков уязвимыми оказались:
загрузчик Eurosoft (CVE-2022-34301); загрузчик Horizon Data Systems Inc (CVE-2022-34302) и загрузчик Crypto Pro (CVE-20220-34303).
Таким образом, успешное использование недостатков, выявленных Eclypsium, может позволить противнику обойти защиту при запуске и выполнить произвольный неподписанный код во время процесса загрузки.
Это может позволить актеру получить укоренившийся доступ и установить устойчивость на хосте, минуя переустановку операционной системы и замену жесткого диска.
CVE-2022-34302, по наблюдениям Eclypsium, гораздо более скрытен, в то время как, уязвимость New Horizon Datasys не только тривиальна для использования в дикой природе, но и может способствовать отключению обработчиков безопасности.
Использование выявленных уязвимостей требует от злоумышленника прав администратора, однако получение локальной эскалации привилегий не считается непреодолимым из-за того, что Microsoft не рассматривает обход контроля учетных записей пользователей (UAC) как угрозу безопасности.
Microsoft работала с двумя последними поставщиками и выпустила обновление безопасности KB5012170 для устранения проблем в предоставленном загрузчике, а также заблокировала все сертификаты.
В тоже время Carnegie Mellon CERT предоставил список с 23 поставщиками загрузчиков UEFI, четкий статус доступен только для трех из них: Microsoft (затронут), Phoenix Technologies (не затронут) и Red Hat (не затронут).
Остальные 20 поставщиков также были проинформированы о проблемах, но в настоящее время неизвестно, затронуты ли их продукты или нет.
Список включает в себя такие наименования, как Acer, AMD, American Megatrends, ASUSTeK, DELL, Google, Hewlett Packard Enterprise, HP, Lenovo, Toshiba и VAIO Corporation.
Исправление этих уязвимостей должно быть доставлено либо производителем оригинального оборудования (OEM), либо поставщиком ОС путем обновления списка отзыва UEFI - Secure Boot Forbidden Signature Database (DBX).
Eclypsium | Supply Chain Security for the Modern Enterprise
One Bootloader to Load Them All - Eclypsium | Supply Chain Security for the Modern Enterprise
The Eclypsium Research team has identified three new bootloader vulnerabilities which affect the vast majority of devices released over the past 10 years. These vulnerabilities could be used to easily evade Secure Boot protections and compromise the integrity…
Почти год назад мы писали про то, что мы ещё не раз столкнёмся с ПО SOVA, разработчики которого делились амбициозными планами на его счете.
Так и получилось. Банковский троян SOVA для Android продолжает активно развиваться.
Проследить за эволюцией ПО смогли аналитики Cleafy, которые наблюдали за SOVA с момента объявления проекта в сентябре 2021 года и отметили, что в 2022 году его развитие резко ускорилось.
В марте SOVA выпустила версию 3, добавив перехват 2FA, кражу файлов cookie и новые инъекции для нескольких банков по всему миру.
В июле 2022 года команда разработчиков ПО выпустила версию 4, в которой количество целевых приложений увеличилось до 200, а также были добавлены возможности VNC для мошенничества на устройстве.
Вредоносное ПО отправляет список установленных приложений на C2 и получает XML, содержащий список адресов, указывающих на правильные оверлеи, которые должны загружаться, когда жертва открывает целевое приложение.
Также была добавлена поддержка таких команд, как создание снимков экрана, выполнение щелчков и пролистываний, копирование и вставка файлов, а также отображение наложенных экранов по желанию.
Был проведен внушительный рефакторинг кода в механизме кражи файлов cookie, который теперь ориентирован на Gmail, GPay и Google Password Manager.
SOVA v4 добавила некоторые средства защиты от обнаружения. Версия также была ориентирована на Binance и приложение платформы Trust Wallet с использованием специального модуля, созданного для кражи секретной фразы пользователя.
И совсем недавно Cleafy протестировала SOVA v5, в который были внесены многочисленные улучшения кода и добавлены новые функции, такие как модуль ransomware.
Он использует шифрование AES для блокировки всех файлов на зараженных устройствах и добавления расширения «.enc» к переименованным зашифрованным файлам.
Функция программы-вымогателя весьма интересна, поскольку она до сих пор не распространена среди банковских троянов Android.
Пока что пятая версия еще не получила широкого распространения, а ее модуль VNC отсутствует в ранних образцах, поэтому вполне вероятно, что эта версия все еще находится в стадии разработки.
Но даже в нынешнем незавершенном виде SOVA v5 готова к массовому развертыванию, поэтому всем пользователям Android следует озаботиться вопросами резервного копирования.
Так что, SOVA по праву становится все более опасной угрозой, являясь одним из пионеров все еще недостаточно изученной области мобильных программ-вымогателей.
Так и получилось. Банковский троян SOVA для Android продолжает активно развиваться.
Проследить за эволюцией ПО смогли аналитики Cleafy, которые наблюдали за SOVA с момента объявления проекта в сентябре 2021 года и отметили, что в 2022 году его развитие резко ускорилось.
В марте SOVA выпустила версию 3, добавив перехват 2FA, кражу файлов cookie и новые инъекции для нескольких банков по всему миру.
В июле 2022 года команда разработчиков ПО выпустила версию 4, в которой количество целевых приложений увеличилось до 200, а также были добавлены возможности VNC для мошенничества на устройстве.
Вредоносное ПО отправляет список установленных приложений на C2 и получает XML, содержащий список адресов, указывающих на правильные оверлеи, которые должны загружаться, когда жертва открывает целевое приложение.
Также была добавлена поддержка таких команд, как создание снимков экрана, выполнение щелчков и пролистываний, копирование и вставка файлов, а также отображение наложенных экранов по желанию.
Был проведен внушительный рефакторинг кода в механизме кражи файлов cookie, который теперь ориентирован на Gmail, GPay и Google Password Manager.
SOVA v4 добавила некоторые средства защиты от обнаружения. Версия также была ориентирована на Binance и приложение платформы Trust Wallet с использованием специального модуля, созданного для кражи секретной фразы пользователя.
И совсем недавно Cleafy протестировала SOVA v5, в который были внесены многочисленные улучшения кода и добавлены новые функции, такие как модуль ransomware.
Он использует шифрование AES для блокировки всех файлов на зараженных устройствах и добавления расширения «.enc» к переименованным зашифрованным файлам.
Функция программы-вымогателя весьма интересна, поскольку она до сих пор не распространена среди банковских троянов Android.
Пока что пятая версия еще не получила широкого распространения, а ее модуль VNC отсутствует в ранних образцах, поэтому вполне вероятно, что эта версия все еще находится в стадии разработки.
Но даже в нынешнем незавершенном виде SOVA v5 готова к массовому развертыванию, поэтому всем пользователям Android следует озаботиться вопросами резервного копирования.
Так что, SOVA по праву становится все более опасной угрозой, являясь одним из пионеров все еще недостаточно изученной области мобильных программ-вымогателей.
Telegram
SecAtor
Амбициозные планы выкатили разработчики вредоносного ПО SOVA под устройства Android.
Многофункциональный банковский троянец обещает покорить даркнет, в арсенал малваря будут встроены в дополнение к банковским функциям (кейлогер, мониторинг уведомлений и…
Многофункциональный банковский троянец обещает покорить даркнет, в арсенал малваря будут встроены в дополнение к банковским функциям (кейлогер, мониторинг уведомлений и…
͏Говорят, снаряд не падает в одну воронку дважды. И в AT&T также считают, правда до тех, пор пока их не разоблачают.
Вот и на этот раз оператор отрицает какую-либо связь с базой данных украденной информации, которая включала 23 миллиона уникальных SSN, заявляя, что это может быть связано со взломом кредитного агентства.
4 августа специалисты Hold Security обнаружили сжатый архив объемом 1,6 ГБ на популярном файлообменнике в DarkWeb, который включал файл размером 3,6 гигабайта с именем dbfull. В нем содержалась украденная идентификационная информация, вероятно, принадлежащая клиентам AT&T.
Далее исследователи нашли достаточно много доказательств, связывающих утечку с AT&T, включая адреса электронной почты, оканчивающиеся на «att.net», «SBCGLobal.net» или «Bellsouth.net», а также ссылки на малоизвестный широкополосный сервис AT&T, а также совпадения по местоположениям, соответствующих адресам 21 филиала.
Представители AT&T полагают, что утечка может быть связана с предыдущим инцидентом с данными в другой компании. Отметив также, что пакет данных появлялся несколько раз за эти годы, а результаты расследования указывают на другой источник.
При этом AT&T не уточнила, что они имели в виду и какое кредитное агентство могло быть взломано.
Но, что точно известно: в прошлом году известная хакерская группа ShinyHunters продавала базу данных с конфиденциальной информацией на более чем 70 миллионов клиентов AT&T.
И тогда оператор также отрицал инцидент и его всякую связь со своими клиентами.
Однако база все же была продана с аукциона за 200 000 долларов или по цене немедленной продажи в 1 миллион долларов, а две недели назад хакеров даже за это арестовали.
Имена новых счастливчиков вскоре тоже станут известны, как и результата попадания нового снаряда по подбитой воронке.
Вот и на этот раз оператор отрицает какую-либо связь с базой данных украденной информации, которая включала 23 миллиона уникальных SSN, заявляя, что это может быть связано со взломом кредитного агентства.
4 августа специалисты Hold Security обнаружили сжатый архив объемом 1,6 ГБ на популярном файлообменнике в DarkWeb, который включал файл размером 3,6 гигабайта с именем dbfull. В нем содержалась украденная идентификационная информация, вероятно, принадлежащая клиентам AT&T.
Далее исследователи нашли достаточно много доказательств, связывающих утечку с AT&T, включая адреса электронной почты, оканчивающиеся на «att.net», «SBCGLobal.net» или «Bellsouth.net», а также ссылки на малоизвестный широкополосный сервис AT&T, а также совпадения по местоположениям, соответствующих адресам 21 филиала.
Представители AT&T полагают, что утечка может быть связана с предыдущим инцидентом с данными в другой компании. Отметив также, что пакет данных появлялся несколько раз за эти годы, а результаты расследования указывают на другой источник.
При этом AT&T не уточнила, что они имели в виду и какое кредитное агентство могло быть взломано.
Но, что точно известно: в прошлом году известная хакерская группа ShinyHunters продавала базу данных с конфиденциальной информацией на более чем 70 миллионов клиентов AT&T.
И тогда оператор также отрицал инцидент и его всякую связь со своими клиентами.
Однако база все же была продана с аукциона за 200 000 долларов или по цене немедленной продажи в 1 миллион долларов, а две недели назад хакеров даже за это арестовали.
Имена новых счастливчиков вскоре тоже станут известны, как и результата попадания нового снаряда по подбитой воронке.
Forwarded from SecurityLab.ru
Данные клиентов сайта ShitExpress были украдены с помощью SQL инъекции
— Веб-сервис ShitExpress, который позволяет анонимно отправить ящик с фекалиями вместе с персонализированным сообщением, был взломан после того, как клиент обнаружил уязвимость.
— Сайт ShitExpress посетил пользователь под именем «Pompompurin», владелец хакерского форума Breached.co и известный хакер, который в 2021 году выставил на продажу украденные данные 7 млн. клиентов Robinhood .
— Pompompurin хотел отправить коробку какашек исследователю кибербезопасности Винни Тройе, которые находятся в давней вражде друг с другом из-за того, что Трой сообщил властям о некоторых хакерах форума RaidForums и разоблачил методы их работы в своей книге.
https://www.securitylab.ru/news/533249.php?r=1
— Веб-сервис ShitExpress, который позволяет анонимно отправить ящик с фекалиями вместе с персонализированным сообщением, был взломан после того, как клиент обнаружил уязвимость.
— Сайт ShitExpress посетил пользователь под именем «Pompompurin», владелец хакерского форума Breached.co и известный хакер, который в 2021 году выставил на продажу украденные данные 7 млн. клиентов Robinhood .
— Pompompurin хотел отправить коробку какашек исследователю кибербезопасности Винни Тройе, которые находятся в давней вражде друг с другом из-за того, что Трой сообщил властям о некоторых хакерах форума RaidForums и разоблачил методы их работы в своей книге.
https://www.securitylab.ru/news/533249.php?r=1
SecurityLab.ru
Сервис ShitExpress был взломан клиентом
С помощью SQL-инъекции пользователь получил доступ к базе данных десятков тысяч шутников.
Теперь вместе с индексом пакетов для Python можно установить себе майнер в придачу.
Исследователи Sonatype обнаружили вредоносный пакет в официальном репозитории стороннего программного обеспечения для Python, который развертывает криптомайнеры в системах Linux.
Вредоносный модуль под названием secretslib был включен в индекс пакетов Python (PyPI) 6 августа 2022 и его успели загрузить 93 раза до его удаления.
После установки пакет тайно запускает криптомайнер Monero в оперативной памяти — достаточно популярный метод, в основном используемый бесфайловыми вредоносными программами и шифровальщиками.
Собственно, исследователи и отмечают в своем отчете, что малварь практически не оставляет следов и совершенно "невидима"" с точки зрения судебной экспертизы.
Причем злоумышленник, загрузивший пакет был настолько изощрен и чтобы придать вредоносному ПО достоверности выдал себя за личность легитимного инженера-программиста, трудоустроенного в Аргоннской национальной лаборатории, которая работает в интересах Министерства энергетики США.
Благо, что глобальный замысел не реализовался, но это уже далеко не первая попытка провести атаку на цепочки поставок путем подставки вредоносных пакетов.
Несколько дней назад мы писали, как исследователи Check Point обнаружили еще десять вредоносных пакетов в PyPI, которые позволяли злоумышленникам красть личные данные и аутентификационные сведения пользователей.
Исследователи Sonatype обнаружили вредоносный пакет в официальном репозитории стороннего программного обеспечения для Python, который развертывает криптомайнеры в системах Linux.
Вредоносный модуль под названием secretslib был включен в индекс пакетов Python (PyPI) 6 августа 2022 и его успели загрузить 93 раза до его удаления.
После установки пакет тайно запускает криптомайнер Monero в оперативной памяти — достаточно популярный метод, в основном используемый бесфайловыми вредоносными программами и шифровальщиками.
Собственно, исследователи и отмечают в своем отчете, что малварь практически не оставляет следов и совершенно "невидима"" с точки зрения судебной экспертизы.
Причем злоумышленник, загрузивший пакет был настолько изощрен и чтобы придать вредоносному ПО достоверности выдал себя за личность легитимного инженера-программиста, трудоустроенного в Аргоннской национальной лаборатории, которая работает в интересах Министерства энергетики США.
Благо, что глобальный замысел не реализовался, но это уже далеко не первая попытка провести атаку на цепочки поставок путем подставки вредоносных пакетов.
Несколько дней назад мы писали, как исследователи Check Point обнаружили еще десять вредоносных пакетов в PyPI, которые позволяли злоумышленникам красть личные данные и аутентификационные сведения пользователей.
Sonatype
PyPI package 'secretslib' drops fileless Linux malware to mine monero
Sonatype identified a 'secretslib' PyPI package that covertly installs cryptominers on Linux systems.
Инфраструктура судебной система Аргентины была полностью отключена после инцидента с ransomware, а работники вынуждены были вернуться к бумажному делопроизводству.
Атака произошла в субботу 13 августа. Пострадавшая сторона начала расследование и привлекла к нему специалистов из Microsoft, Cisco и Trend Micro.
Clarín сообщает, что, по словам источников, атака затронула ИТ-системы судебной власти и ее базы данных, что сделало ее самой разрушительной атакой на госучреждения в истории страны.
Как выяснили журналисты, атака связана с программой-вымогателем Play, которая появилась впервые на радаре исследователей инфосек в июне 2022 года.
Как и во всех аналогичных инцидентах, злоумышленники компрометируют сеть и шифруют устройства. При шифровании файлов программа-вымогатель добавляет расширение .PLAY.
Однако, в отличие от большинства операций ransomware, заметки о выкупе Play необычайно просты. Вместо создания примечаний о выкупе в каждой папке, заметка PlayMe.txt создается только в корне жесткого диска (C:\) и содержит лишь слово «PLAY» с контактным адресом электронной почты.
Пока что не понятен механизм взлома Play сети судебного органа. Не зафиксировано публично утечки данных или каких-либо признаков эксфильтрации данных во время атаки.
Как известно, список адресов электронной почты сотрудников уже фигурировал на просторах даркнета после взлома Globant хакерами Lapsus$ в марте этого года. Возможно именно он использоваться злоумышленниками для реализации фишинговой атаки и кражи учетных данных.
К сожалению, это не первый случай, когда правительственное учреждение в Аргентине подвергается атаке ransomware. В сентябре 2020 года банда вымогателей Netwalker уже атаковала Dirección Nacional de Migraciones и выкатила выкуп в размере 4 млн. долларов.
Будем следить за развитием ситуации.
Атака произошла в субботу 13 августа. Пострадавшая сторона начала расследование и привлекла к нему специалистов из Microsoft, Cisco и Trend Micro.
Clarín сообщает, что, по словам источников, атака затронула ИТ-системы судебной власти и ее базы данных, что сделало ее самой разрушительной атакой на госучреждения в истории страны.
Как выяснили журналисты, атака связана с программой-вымогателем Play, которая появилась впервые на радаре исследователей инфосек в июне 2022 года.
Как и во всех аналогичных инцидентах, злоумышленники компрометируют сеть и шифруют устройства. При шифровании файлов программа-вымогатель добавляет расширение .PLAY.
Однако, в отличие от большинства операций ransomware, заметки о выкупе Play необычайно просты. Вместо создания примечаний о выкупе в каждой папке, заметка PlayMe.txt создается только в корне жесткого диска (C:\) и содержит лишь слово «PLAY» с контактным адресом электронной почты.
Пока что не понятен механизм взлома Play сети судебного органа. Не зафиксировано публично утечки данных или каких-либо признаков эксфильтрации данных во время атаки.
Как известно, список адресов электронной почты сотрудников уже фигурировал на просторах даркнета после взлома Globant хакерами Lapsus$ в марте этого года. Возможно именно он использоваться злоумышленниками для реализации фишинговой атаки и кражи учетных данных.
К сожалению, это не первый случай, когда правительственное учреждение в Аргентине подвергается атаке ransomware. В сентябре 2020 года банда вымогателей Netwalker уже атаковала Dirección Nacional de Migraciones и выкатила выкуп в размере 4 млн. долларов.
Будем следить за развитием ситуации.
Clarín
Denuncian que hackearon el Poder Judicial de Córdoba: afecta la página web, los sistemas y la base de datos
Según reportaron medios locales, podría tratarse de uno de los peores ataques informáticos a instituciones públicas. Los especialistas trabajan para recomponer el sistema y se inició una investigación policial.
Нам пташки начирикали, что Лаборатория Касперского продолжает свою экспансию на российский IT-рынок. В этот раз ЛК покупает контрольный пакет компании ForPeople, разрабатывающей ПО для автоматизации HR-процессов.
Последняя успешно замещает в России программное обеспечение Success Factors от богопротивной SAP.
И это есть позитивные новости. Потому что мы-то знаем как оверпрайснутые продукты SAP внедрялись в российскую корпоративную действительность - откаты и большая четверка, специалисты по натягиванию совы на глобус. А российское ПО оказывалось выкинутым на обочину IT-истории.
Если учитывать уже совершенные покупки МойОфис, Brain4Net, Мотив НТ, Polys, можно сказать, что Касперские, похоже, перепрофилируются из чисто инфосек компании в большого профильного венчурного инвестора.
Потенциальный рынок, к слову, не ограничивается только лишь Россией. Думается со временем российское ПО будет активно продвигаться и в странах СНГ, БРИКС, ШОС и прочих.
Мы такие движения, безусловно, приветствуем. Потому что, как вы помните, наш план прост - Евгений Валентинович последовательно скупит всю российскую IT-отрасль. А потом SecAtor купит Евгения Валентиновича.
В связи с этим продадим рекламу. Недорого.
Последняя успешно замещает в России программное обеспечение Success Factors от богопротивной SAP.
И это есть позитивные новости. Потому что мы-то знаем как оверпрайснутые продукты SAP внедрялись в российскую корпоративную действительность - откаты и большая четверка, специалисты по натягиванию совы на глобус. А российское ПО оказывалось выкинутым на обочину IT-истории.
Если учитывать уже совершенные покупки МойОфис, Brain4Net, Мотив НТ, Polys, можно сказать, что Касперские, похоже, перепрофилируются из чисто инфосек компании в большого профильного венчурного инвестора.
Потенциальный рынок, к слову, не ограничивается только лишь Россией. Думается со временем российское ПО будет активно продвигаться и в странах СНГ, БРИКС, ШОС и прочих.
Мы такие движения, безусловно, приветствуем. Потому что, как вы помните, наш план прост - Евгений Валентинович последовательно скупит всю российскую IT-отрасль. А потом SecAtor купит Евгения Валентиновича.
В связи с этим продадим рекламу. Недорого.
Telegram
SecAtor
В ответ на планируемую покупку Twitter Илоном Маском империя нанесла ответный удар.
Евгений Валентинович (tm), не особо афишируя, прикупил кусок компании Мотив НТ, совместно с которой занимается разработкой нейроморфного процессора. Это такая сложная хренота…
Евгений Валентинович (tm), не особо афишируя, прикупил кусок компании Мотив НТ, совместно с которой занимается разработкой нейроморфного процессора. Это такая сложная хренота…
Не для кого не секрет, что ПЛК достаточно заманчивая цель для злоумышленников, особенно когда речь идет о нанесении ущерба или нарушении работы предприятия, а также внесения изменений в процессы, которые они контролируют.
Исследователи из Claroty помимо прочего показали, что ПЛК можно использовать еще и в качестве точки входа в организацию, когда хакеры могут использовать их для взлома инженерных рабочих станций, на которых установлено программное обеспечение нескольких крупных компаний по промышленной автоматизации.
В атаке, названной прочего показали, чтозлоумышленник сначала компрометирует ПЛК, который часто может быть незащищен и открыт для доступа в Интернет, а затем обманом заставляет инженера подключиться к нему с рабочей станции инженера, например, вызвав сбой в ПЛК, который, вероятно, будет исследовать инженер.
В ходе этого исследования были обнаружены уязвимости в ПО инженерных рабочих станций от ABB (B&R Automation Studio), Emerson (PAC Machine Edition), GE (ToolBoxST), Ovarro (TwinSoft), Rockwell Automation (Connected Components Workbench), Schneider Electric (EcoStruxure Control), Expert и Xinje (программный инструмент 😆 PLC).
Уязвимостям присвоено уже около десятка идентификаторов CVE и в течение последних полутора лет затронутые поставщики выпускали рекомендации, чтобы проинформировать своих клиентов о недостатках и соответствующих исправлениях и мерах по их устранению.
По мнению экспертов в большинстве случаев уязвимости существуют из-за того, что программное обеспечение полностью доверяет данным, поступающим от ПЛК, без проведения более предметных проверок безопасности.
Недостатки, обнаруженные Claroty, срабатывают, когда инженер инициирует процедуру загрузки. Сюда входит передача метаданных, конфигураций и текстового кода с ПЛК на рабочую станцию.
В случае атаки Evil PLC данные, передаваемые из PLC, обрабатываются таким образом, что вызывают брешь в системе безопасности и запускают вредоносный код на рабочей станции. После взлома рабочей станции злоумышленник может перейти на другие системы в сети.
Исследователи описали несколько различных теоретических сценариев атаки Evil PLC. Они отметили, что метод можно использовать и против самих злоумышленников путем установки приманки - "заряженного" ПЛК с выходом в Интернет и когда злоумышленник попытается подключиться со своего компьютера его устройство будет скомпрометировано.
Но этот метод можно использовать для обнаружения атак только на ранней стадии, так как он помогает удерживать злоумышленников от атак на ПЛК, поскольку им самим будет необходимо обезопасить себя от цели, которую они планировали атаковать.
Исследователи из Claroty помимо прочего показали, что ПЛК можно использовать еще и в качестве точки входа в организацию, когда хакеры могут использовать их для взлома инженерных рабочих станций, на которых установлено программное обеспечение нескольких крупных компаний по промышленной автоматизации.
В атаке, названной прочего показали, чтозлоумышленник сначала компрометирует ПЛК, который часто может быть незащищен и открыт для доступа в Интернет, а затем обманом заставляет инженера подключиться к нему с рабочей станции инженера, например, вызвав сбой в ПЛК, который, вероятно, будет исследовать инженер.
В ходе этого исследования были обнаружены уязвимости в ПО инженерных рабочих станций от ABB (B&R Automation Studio), Emerson (PAC Machine Edition), GE (ToolBoxST), Ovarro (TwinSoft), Rockwell Automation (Connected Components Workbench), Schneider Electric (EcoStruxure Control), Expert и Xinje (программный инструмент 😆 PLC).
Уязвимостям присвоено уже около десятка идентификаторов CVE и в течение последних полутора лет затронутые поставщики выпускали рекомендации, чтобы проинформировать своих клиентов о недостатках и соответствующих исправлениях и мерах по их устранению.
По мнению экспертов в большинстве случаев уязвимости существуют из-за того, что программное обеспечение полностью доверяет данным, поступающим от ПЛК, без проведения более предметных проверок безопасности.
Недостатки, обнаруженные Claroty, срабатывают, когда инженер инициирует процедуру загрузки. Сюда входит передача метаданных, конфигураций и текстового кода с ПЛК на рабочую станцию.
В случае атаки Evil PLC данные, передаваемые из PLC, обрабатываются таким образом, что вызывают брешь в системе безопасности и запускают вредоносный код на рабочей станции. После взлома рабочей станции злоумышленник может перейти на другие системы в сети.
Исследователи описали несколько различных теоретических сценариев атаки Evil PLC. Они отметили, что метод можно использовать и против самих злоумышленников путем установки приманки - "заряженного" ПЛК с выходом в Интернет и когда злоумышленник попытается подключиться со своего компьютера его устройство будет скомпрометировано.
Но этот метод можно использовать для обнаружения атак только на ранней стадии, так как он помогает удерживать злоумышленников от атак на ПЛК, поскольку им самим будет необходимо обезопасить себя от цели, которую они планировали атаковать.
Claroty
Evil PLC Attack: Hacking PLCs to Attack Engineering Workstations
The Evil PLC Attack uses weaponized PLCs to compromise engineering workstations and move laterally on the OT network to infect other PLCs and systems.
И вновь Microsoft кидает пользователей можно сказать - на вилы.
После обновления Windows KB5012170 Secure Boot DBX, о котором мы писали буквально вчера, пользователи могут столкнуться с ошибкой 0x800f0922 в поддерживаемых в настоящее время ОС для потребителей и версии Server корпоративного класса.
KB5012170 обязано своему выходу на свет уязвимостям, обнаруженным Eclypsium в трех подписанных сторонних загрузчиках, которые можно использовать для обхода функции безопасной загрузки и заражения системы вредоносным кодом (CVE-2022-34302, CVE-2022-34303 и CVE-2022-34301).
Ошибка 0x800f0922 связана исключительно с обновлением безопасности для безопасной загрузки DBX (базы данных запрещенных подписей), репозитория, в котором хранятся отозванные подписи для загрузчиков Unified Extensible Firmware Interface (UEFI).
Microsoft решила эту проблему, добавив сигнатуры загрузчиков выше в DBX Secure Boot, чтобы уязвимые модули UEFI больше не могли загружаться, а также говорит, что в системах с одним из трех отозванных загрузчиков обновление KB5012170 будет генерировать ошибку 0x800f0922, поскольку загрузчик необходим для запуска Windows с безопасной загрузкой.
При этом исследователи из Eclypsium, в свою очередь, сообщают, решить проблему можно, обновив версию UEFI до последней версии от поставщика, предупреждая, что обновление списка отзыва DBX в системах с уязвимыми загрузчиками, где это возможно, приведет к сбою загрузки устройства.
Перед обновлением списка отзыва DBX ресерчеры рекомендуют организациям проверять, не уязвимы ли загрузчики в их системах, прежде чем пытаться обновить. Загрузчики обычно хранятся в системном разделе EFI, который можно смонтировать как в Windows, так и в Linux, чтобы проверить их версию и узнать, уязвимы они или нет.
В общем, как обычно, вместо патча пользователей ждут приключения и танцы с бубнами. Во всяком случае это будет пушим вариантом, нежели ждать новый патч для устранения проблем с предыдущим.
После обновления Windows KB5012170 Secure Boot DBX, о котором мы писали буквально вчера, пользователи могут столкнуться с ошибкой 0x800f0922 в поддерживаемых в настоящее время ОС для потребителей и версии Server корпоративного класса.
KB5012170 обязано своему выходу на свет уязвимостям, обнаруженным Eclypsium в трех подписанных сторонних загрузчиках, которые можно использовать для обхода функции безопасной загрузки и заражения системы вредоносным кодом (CVE-2022-34302, CVE-2022-34303 и CVE-2022-34301).
Ошибка 0x800f0922 связана исключительно с обновлением безопасности для безопасной загрузки DBX (базы данных запрещенных подписей), репозитория, в котором хранятся отозванные подписи для загрузчиков Unified Extensible Firmware Interface (UEFI).
Microsoft решила эту проблему, добавив сигнатуры загрузчиков выше в DBX Secure Boot, чтобы уязвимые модули UEFI больше не могли загружаться, а также говорит, что в системах с одним из трех отозванных загрузчиков обновление KB5012170 будет генерировать ошибку 0x800f0922, поскольку загрузчик необходим для запуска Windows с безопасной загрузкой.
При этом исследователи из Eclypsium, в свою очередь, сообщают, решить проблему можно, обновив версию UEFI до последней версии от поставщика, предупреждая, что обновление списка отзыва DBX в системах с уязвимыми загрузчиками, где это возможно, приведет к сбою загрузки устройства.
Перед обновлением списка отзыва DBX ресерчеры рекомендуют организациям проверять, не уязвимы ли загрузчики в их системах, прежде чем пытаться обновить. Загрузчики обычно хранятся в системном разделе EFI, который можно смонтировать как в Windows, так и в Linux, чтобы проверить их версию и узнать, уязвимы они или нет.
В общем, как обычно, вместо патча пользователей ждут приключения и танцы с бубнами. Во всяком случае это будет пушим вариантом, нежели ждать новый патч для устранения проблем с предыдущим.
cve.mitre.org
CVE -
CVE-2022-34302
CVE-2022-34302
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
Хакеры попытались взяли на понт британского поставщика воды, заявив о взломе его систем.
South Staffordshire Water поставляет 330 млн. литров питьевой воды 1,6 млн. потребителям в сутки. На днях компания опубликовала заявление с подтверждением сбоя, затронувшего ИТ-инфраструктуру после кибератаки.
Системы безопасности и распределения воды продолжают работать, несмотря на вывод из строя ИТ-систем. Клиенты о дочерние компании Cambridge Water и South Staffs Water не испытывают перебоев в поставках воды. Все сервисные команды также работают в штатном режиме.
Между тем, банда вымогателей Clop на своем сайте DLS назначила жертвой атаки Thames Water, утверждая о получении доступа к системам SCADA, которыми хакеры могли манипулировать, меняя качество воды и вызывая перебои водоснабжения для 15 миллионам потребителей.
Thames Water является крупнейшим в Великобритании оператором водных ресурсов, обслуживающим Большой Лондон и районы, прилегающие к реке Темзе.
Хакеры проинформировали Thames Water о пробелах в ИБ и не стали шифровать ее системы, ограничившись ознакомлением с 5ТБ из скомпрометированных систем.
После захода переговоров о выкупе в тупик, злоумышленники опубликовали первую выборку украденных данных, которая включает в себя паспорта, водительские удостоверения, скриншоты из систем очистки воды SCADA и другие сведения.
Thames Water официально опровергла все доводы вымогателей, обвинив Clop в кибермистификации. Ведь среди представленных доказательств взлома Clop представили электронную таблицу с именами пользователей и паролями, которые относятся к South Staff Water и South Staffordshire.
Весьма вероятно, что Clop либо неверно идентифицировали свою жертву, либо решили взять на понт рыбу покрупнее. В условиях возникшего дефицита воды в Лондоне, трюк мог бы и сработать.
Во всяком случае, Thames Water стоит насторожиться, ведь публикация может быть лишь прелюдией к будущему киберинциденту.
South Staffordshire Water поставляет 330 млн. литров питьевой воды 1,6 млн. потребителям в сутки. На днях компания опубликовала заявление с подтверждением сбоя, затронувшего ИТ-инфраструктуру после кибератаки.
Системы безопасности и распределения воды продолжают работать, несмотря на вывод из строя ИТ-систем. Клиенты о дочерние компании Cambridge Water и South Staffs Water не испытывают перебоев в поставках воды. Все сервисные команды также работают в штатном режиме.
Между тем, банда вымогателей Clop на своем сайте DLS назначила жертвой атаки Thames Water, утверждая о получении доступа к системам SCADA, которыми хакеры могли манипулировать, меняя качество воды и вызывая перебои водоснабжения для 15 миллионам потребителей.
Thames Water является крупнейшим в Великобритании оператором водных ресурсов, обслуживающим Большой Лондон и районы, прилегающие к реке Темзе.
Хакеры проинформировали Thames Water о пробелах в ИБ и не стали шифровать ее системы, ограничившись ознакомлением с 5ТБ из скомпрометированных систем.
После захода переговоров о выкупе в тупик, злоумышленники опубликовали первую выборку украденных данных, которая включает в себя паспорта, водительские удостоверения, скриншоты из систем очистки воды SCADA и другие сведения.
Thames Water официально опровергла все доводы вымогателей, обвинив Clop в кибермистификации. Ведь среди представленных доказательств взлома Clop представили электронную таблицу с именами пользователей и паролями, которые относятся к South Staff Water и South Staffordshire.
Весьма вероятно, что Clop либо неверно идентифицировали свою жертву, либо решили взять на понт рыбу покрупнее. В условиях возникшего дефицита воды в Лондоне, трюк мог бы и сработать.
Во всяком случае, Thames Water стоит насторожиться, ведь публикация может быть лишь прелюдией к будущему киберинциденту.
Thames Water
Network latest | Thames Water
View the latest network updates in the Thames Water region, including where there’s currently no water, a burst pipe or low pressure.
Уязвимость внедрения, связанная с тем, как macOS обрабатывает обновления ПО в системе, может позволить хакерам обойти все уровни безопасности и получить доступ ко всем файлам на устройствах Mac.
Багу обнаружил и расчехлил в блоге Sector7 исследователь Mac Патрик Уордл, который в ходе конференции Black Hat в Лас-Вегасе также наглядно продемонстрировал, как злоумышленники могут использовать уязвимость, чтобы завладеть устройством.
После развертывания первоначальной атаки Alkemade смогла выйти из песочницы macOS, а затем обойти защиту целостности системы (SIP), что эффективно позволило реализовать далее RCE.
Исследователь отметил, что впервые обнаружил уязвимость в декабре 2020 года, после чего сообщил о проблеме в Apple в рамках программы BugBounty. Компания устранила большинство из проблем в апреле 2021 года, а один был исправлен в октябре 2021 года.
В бюллетенях обновлений не приводится технических деталей исправленных уязвимостей. Однако Уордл полагает, что в текущей архитектуре безопасности macOS внедрение процессов — мощная техника.
Общую уязвимость внедрения процесса можно использовать для выхода из песочницы, повышения привилегий до root и для обхода ограничений файловой системы SIP. Так, небезопасная десериализация при загрузке сохраненного состояния приложения могла быть использована для внедрения в любой процесс Cocoa. Эта проблема была устранена Apple в обновлении macOS Monterey.
Примечательно, что раскрытие уязвимости и ее исправлений произошло через несколько недель после того, как исследователи ESET обнаружили в macOS бэкдор CloudMensis, который использовался в целевых атаках для кражи конфиденциальной информации у жертв.
Багу обнаружил и расчехлил в блоге Sector7 исследователь Mac Патрик Уордл, который в ходе конференции Black Hat в Лас-Вегасе также наглядно продемонстрировал, как злоумышленники могут использовать уязвимость, чтобы завладеть устройством.
После развертывания первоначальной атаки Alkemade смогла выйти из песочницы macOS, а затем обойти защиту целостности системы (SIP), что эффективно позволило реализовать далее RCE.
Исследователь отметил, что впервые обнаружил уязвимость в декабре 2020 года, после чего сообщил о проблеме в Apple в рамках программы BugBounty. Компания устранила большинство из проблем в апреле 2021 года, а один был исправлен в октябре 2021 года.
В бюллетенях обновлений не приводится технических деталей исправленных уязвимостей. Однако Уордл полагает, что в текущей архитектуре безопасности macOS внедрение процессов — мощная техника.
Общую уязвимость внедрения процесса можно использовать для выхода из песочницы, повышения привилегий до root и для обхода ограничений файловой системы SIP. Так, небезопасная десериализация при загрузке сохраненного состояния приложения могла быть использована для внедрения в любой процесс Cocoa. Эта проблема была устранена Apple в обновлении macOS Monterey.
Примечательно, что раскрытие уязвимости и ее исправлений произошло через несколько недель после того, как исследователи ESET обнаружили в macOS бэкдор CloudMensis, который использовался в целевых атаках для кражи конфиденциальной информации у жертв.
Sector 7
Process injection: breaking all macOS security layers with a single vulnerability
If you have created a new macOS app with Xcode 13.2, you may noticed this new method in the template:
- (BOOL)applicationSupportsSecureRestorableState:(NSApplication *)app { return YES; } This was added to the Xcode template to address a process injection…
- (BOOL)applicationSupportsSecureRestorableState:(NSApplication *)app { return YES; } This was added to the Xcode template to address a process injection…
Опубликован PoC для критической уязвимости, о которой мы писали на прошлой неделе, затрагивающей сетевые устройства с системой Realtek RTL819x на кристалле (SoC), количество которых, по оценкам, исчисляется миллионами.
CVE-2022-27255 — это переполнение буфера на основе стека, которое позволяет удаленным злоумышленникам выполнять код без аутентификации, используя специально созданные SIP-пакеты с вредоносными данными SDP.
CVE-2022-27255 (с оценкой серьезности 9,8 из 10) может использоваться для взлома уязвимых устройств от различных производителей оригинального оборудования (OEM): от маршрутизаторов и точек доступа до повторителей сигналов.
Realtek изучила проблему еще в марте, отметив, что она затрагивает серии rtl819x-eCos-v0.x и rtl819x-eCos-v1.x, а ее эксплуатация возможна через интерфейс WAN.
Ошибка представляет собой уязвимость с нулевым кликом: ее эксплуатация не требует взаимодействия с пользователем.
Злоумышленнику, использующему уязвимость, для успешной атаки потребуется лишь знать внешний IP-адрес уязвимого устройства.
Исследователи Faraday Security из Аргентины (Октавио Джанатиемпо, Октавио Галланд, Эмилио Коуто, Хавьер Агинага) обнаружили уязвимость в SDK Realtek для операционной системы eCos с открытым исходным кодом и раскрыли технические подробности на прошлой неделе на DEFCON.
Они же разработали и представили PoC для CVE-2022-27255, который работает на маршрутизаторах Nexxt Nebula 300 Plus, а также поделились демонстрационным видео.
Ресерчеры предупреждают, что если эксплойт для CVE-2022-27255 превратится в червя, он может распространиться по Интернету за считанные минуты.
Несмотря на то, что исправление доступно с марта, что уязвимость все еще затрагивает миллионы устройств, на которые исправление будет доставлено еще не скоро.
Неясно, сколько конкретно сетевых устройств используют чипы RTL819x, но версия SoC RTL819xD присутствовала в продуктах более чем 60 поставщиков. Среди них ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet и Zyxel.
Пользователям следует проверить, не уязвимо ли их сетевое оборудование, установить обновление прошивки от производителя, выпущенное после марта, если оно доступно.
Помимо этого, организациям рекомендуется блокировать нежелательные запросы UDP.
Материалы презентации с DEFCON вместе с эксплойтами и скриптом обнаружения CVE-2022-27255 доступны в репозитории GitHub.
CVE-2022-27255 — это переполнение буфера на основе стека, которое позволяет удаленным злоумышленникам выполнять код без аутентификации, используя специально созданные SIP-пакеты с вредоносными данными SDP.
CVE-2022-27255 (с оценкой серьезности 9,8 из 10) может использоваться для взлома уязвимых устройств от различных производителей оригинального оборудования (OEM): от маршрутизаторов и точек доступа до повторителей сигналов.
Realtek изучила проблему еще в марте, отметив, что она затрагивает серии rtl819x-eCos-v0.x и rtl819x-eCos-v1.x, а ее эксплуатация возможна через интерфейс WAN.
Ошибка представляет собой уязвимость с нулевым кликом: ее эксплуатация не требует взаимодействия с пользователем.
Злоумышленнику, использующему уязвимость, для успешной атаки потребуется лишь знать внешний IP-адрес уязвимого устройства.
Исследователи Faraday Security из Аргентины (Октавио Джанатиемпо, Октавио Галланд, Эмилио Коуто, Хавьер Агинага) обнаружили уязвимость в SDK Realtek для операционной системы eCos с открытым исходным кодом и раскрыли технические подробности на прошлой неделе на DEFCON.
Они же разработали и представили PoC для CVE-2022-27255, который работает на маршрутизаторах Nexxt Nebula 300 Plus, а также поделились демонстрационным видео.
Ресерчеры предупреждают, что если эксплойт для CVE-2022-27255 превратится в червя, он может распространиться по Интернету за считанные минуты.
Несмотря на то, что исправление доступно с марта, что уязвимость все еще затрагивает миллионы устройств, на которые исправление будет доставлено еще не скоро.
Неясно, сколько конкретно сетевых устройств используют чипы RTL819x, но версия SoC RTL819xD присутствовала в продуктах более чем 60 поставщиков. Среди них ASUSTek, Belkin, Buffalo, D-Link, Edimax, TRENDnet и Zyxel.
Пользователям следует проверить, не уязвимо ли их сетевое оборудование, установить обновление прошивки от производителя, выпущенное после марта, если оно доступно.
Помимо этого, организациям рекомендуется блокировать нежелательные запросы UDP.
Материалы презентации с DEFCON вместе с эксплойтами и скриптом обнаружения CVE-2022-27255 доступны в репозитории GitHub.
Еще два пакета Python пополнили библиотеку вредоносного ПО в репозитории Python Package Index (PyPI).
Сразу после того, как исследователи из Check Point раскрыли 10 таких пакетов, ресерчеры Лаборатории Касперского поспешили дополнить результаты еще двумя, которые маскировались под один из самых популярных пакетов с открытым исходным кодом в PyPI.
Атакующий использовал описание легитимного пакета requests, чтобы обманом заставить жертву установить вредоносный пакет.
Кроме того, описание содержало фальшивую статистику, предполагающую, что пакет был установлен 230 миллионов раз в месяц и получил более 48 000 «звезд» на GitHub.
В описании проекта также упоминаются веб-страницы оригинального requests, а также электронная почта автора, однако все упоминания имени легитимного пакета заменены именем вредоносного.
Код вредоносных пакетов также был очень cхож c оригинальным кодом requests, за исключением одного файла с именем exception.py.
Модифицированная версия скрипта, появившаяся от 30 июля, отвечала за доставку вредоносной полезной нагрузки.
Сценарий записывает еще один однострочный скрипт Python во временный файл, а затем запускает этот файл с помощью функции system.start(), после чего загружает скрипт следующего этапа.
Далее посредством загрузчика, замаскированного с помощью Hyperion, развертывается полезная нагрузка последнего этапа со сценарием, позволяющим добиться сохранения на зараженной машине.
Реализуемая в виде W4SP Stealer, полезная нагрузка последнего этапа представляет собой троян, написанный на Python и запутанный тем же обфускатором, что и загрузчик.
Вредоносное ПО позволяет красть IP-адреса и работать с криптографией для расшифровки файлов cookie и паролей браузеров.
После первоначального заражения троянец начинает собирать токены Discord, сохраненные файлы cookie и пароли от браузеров в отдельных потоках.
Внедренный скрипт отслеживает действия жертвы, такие как изменение адреса электронной почты, пароля или платежной информации. Обновленная информация также отправляется на Discord.
Ресерчеры уведомили команду безопасности PyPI о двух вредоносных пакетах, а также маякнули в Snyk.
Сразу после того, как исследователи из Check Point раскрыли 10 таких пакетов, ресерчеры Лаборатории Касперского поспешили дополнить результаты еще двумя, которые маскировались под один из самых популярных пакетов с открытым исходным кодом в PyPI.
Атакующий использовал описание легитимного пакета requests, чтобы обманом заставить жертву установить вредоносный пакет.
Кроме того, описание содержало фальшивую статистику, предполагающую, что пакет был установлен 230 миллионов раз в месяц и получил более 48 000 «звезд» на GitHub.
В описании проекта также упоминаются веб-страницы оригинального requests, а также электронная почта автора, однако все упоминания имени легитимного пакета заменены именем вредоносного.
Код вредоносных пакетов также был очень cхож c оригинальным кодом requests, за исключением одного файла с именем exception.py.
Модифицированная версия скрипта, появившаяся от 30 июля, отвечала за доставку вредоносной полезной нагрузки.
Сценарий записывает еще один однострочный скрипт Python во временный файл, а затем запускает этот файл с помощью функции system.start(), после чего загружает скрипт следующего этапа.
Далее посредством загрузчика, замаскированного с помощью Hyperion, развертывается полезная нагрузка последнего этапа со сценарием, позволяющим добиться сохранения на зараженной машине.
Реализуемая в виде W4SP Stealer, полезная нагрузка последнего этапа представляет собой троян, написанный на Python и запутанный тем же обфускатором, что и загрузчик.
Вредоносное ПО позволяет красть IP-адреса и работать с криптографией для расшифровки файлов cookie и паролей браузеров.
После первоначального заражения троянец начинает собирать токены Discord, сохраненные файлы cookie и пароли от браузеров в отдельных потоках.
Внедренный скрипт отслеживает действия жертвы, такие как изменение адреса электронной почты, пароля или платежной информации. Обновленная информация также отправляется на Discord.
Ресерчеры уведомили команду безопасности PyPI о двух вредоносных пакетах, а также маякнули в Snyk.
Securelist
Two more malicious Python packages in the PyPI
We used our internal automated system for monitoring open-source repositories and discovered two other malicious Python packages in the PyPI.
Стартовавшее прошлой зимой отраслевое издание The Record, принадлежащее неплохой, в принципе, американской инфосек компании Recorded Future, с первых дней своего существования взяло достаточно высокую планку и, по нашему скромному мнению, на недолгий период стало возможно новостным ресурсом №1 в области информационной безопасности.
Удачно нахантили одного из лучших в мире инфосек журналистов Каталина Чимпану, подтянули в качестве интервьюера бывшего российского кардера Дмитрия Смилянца (ныне работающего на американские спецслужбы, что не сделало статьи за его авторством менее интересными), грамотно выбирали материалы, не гонясь за количеством, а стремясь к интересному контенту. А потом покатились по наклонной.
Расовый румын Чимпану ушел на вольные хлеба, потерялся Смилянец, а в новостную ленту все больше стала вмешиваться повесточка, которая приобрела решающий вес со времени начала спецоперации на Украине. Получился эдакий инфосек агитлисток.
А сегодня в качестве главного новостного материала на TheRecord вышла статья "Санкции разрушают российскую экономику", в которой экономисты из Йельского университета на голубом глазу утверждают, что полторы тысячи ушедших из России международных компаний формировали 40% российского ВВП и минимум 12% рабочих мест.
Мы даже не про то, что принадлежащее солидной инфосек компании издание постит новости санкционных войн, а про то, какого качества дичь оно размещает.
Помните об этом, когда увидите бездумно распространяемые крупными новостными ресурсами, в том числе российскими, отчеты за авторством западных инфосек фирм, согласно которым тысячи русских хакеров грабят, убивают и сношают гусей. И без малейших признаков TTPs.
Удачно нахантили одного из лучших в мире инфосек журналистов Каталина Чимпану, подтянули в качестве интервьюера бывшего российского кардера Дмитрия Смилянца (ныне работающего на американские спецслужбы, что не сделало статьи за его авторством менее интересными), грамотно выбирали материалы, не гонясь за количеством, а стремясь к интересному контенту. А потом покатились по наклонной.
Расовый румын Чимпану ушел на вольные хлеба, потерялся Смилянец, а в новостную ленту все больше стала вмешиваться повесточка, которая приобрела решающий вес со времени начала спецоперации на Украине. Получился эдакий инфосек агитлисток.
А сегодня в качестве главного новостного материала на TheRecord вышла статья "Санкции разрушают российскую экономику", в которой экономисты из Йельского университета на голубом глазу утверждают, что полторы тысячи ушедших из России международных компаний формировали 40% российского ВВП и минимум 12% рабочих мест.
Мы даже не про то, что принадлежащее солидной инфосек компании издание постит новости санкционных войн, а про то, какого качества дичь оно размещает.
Помните об этом, когда увидите бездумно распространяемые крупными новостными ресурсами, в том числе российскими, отчеты за авторством западных инфосек фирм, согласно которым тысячи русских хакеров грабят, убивают и сношают гусей. И без малейших признаков TTPs.
therecord.media
Report: Sanctions Devastating Russian Economy
We first spoke with Russian business owner Stanislav back in early March, shortly after Russia’s invasion of Ukraine. Almost six months later, we check back in with him to see how he’s doing, and look at a new report that suggests the Russian economy is cratering.…
Специалистам из Quarkslab видимо нечего было делать и они решили заняться фаззингом чипа Google Titan M, который устанавливается на борту девайсов Pixel.
Исследование специалистов таки увенчалось успехом и они опубликовали подробную информацию о найденной критической уязвимости в кристале, предназначенном для обеспечения повышенной безопасности устройств Pixel, включая безопасную загрузку.
Бага отслеживается как CVE-2022-20233 и была устранена в рамках исправлений безопасности Android в июне 2022 года, когда Google описал ее как критическую ошибку повышения привилегий.
Ошибка связана с записью за границами буфера, которая появилась из-за некорректной проверки границ.
Причем использование ошибки для локального повышения привилегий не требует взаимодействия с пользователем.
Исследователи даже написали эксплойт, который позволял им считывать произвольную память на чипе и получать любой ключ, защищенный StrongBox, тем самым обходя самый высокий уровень защиты Keystore на Android.
Об уязвимости сообщили в марте этого года, а в июне Google выпустил патч.
Изначально IT-гигант присудил вознаграждение в размере 10 000 долларов за ошибку, но после предоставления рабочего эксплойта, компания оценила выплату более достойно и увеличила гонорар до 75 000 долларов.
Исследование специалистов таки увенчалось успехом и они опубликовали подробную информацию о найденной критической уязвимости в кристале, предназначенном для обеспечения повышенной безопасности устройств Pixel, включая безопасную загрузку.
Бага отслеживается как CVE-2022-20233 и была устранена в рамках исправлений безопасности Android в июне 2022 года, когда Google описал ее как критическую ошибку повышения привилегий.
Ошибка связана с записью за границами буфера, которая появилась из-за некорректной проверки границ.
Причем использование ошибки для локального повышения привилегий не требует взаимодействия с пользователем.
Исследователи даже написали эксплойт, который позволял им считывать произвольную память на чипе и получать любой ключ, защищенный StrongBox, тем самым обходя самый высокий уровень защиты Keystore на Android.
Об уязвимости сообщили в марте этого года, а в июне Google выпустил патч.
Изначально IT-гигант присудил вознаграждение в размере 10 000 долларов за ошибку, но после предоставления рабочего эксплойта, компания оценила выплату более достойно и увеличила гонорар до 75 000 долларов.
Quarkslab
Attacking Titan M with Only One Byte - Quarkslab's blog
Following our presentation at Black Hat USA, in this blog post we provide some details on CVE-2022-20233, the latest vulnerability we found on Titan M, and how we exploited it to obtain code execution on the chip.
Apple выпустила экстренные исправления (macOS Monterey 12.5.1, iOS 15.6.1 и iPadOS 15.6.1) для активно эксплуатируемых 0-day в своих флагманских ОС.
Ошибки выполнения кода аналогичны для всех трех операционных систем.
Первая отслеживается как CVE-2022-32894. Ошибка представляет собой уязвимость записи за пределы в ядре операционной системы. Проблема устранена путем улучшенной проверки границ.
Приложение, например вредоносное ПО, может использовать эту уязвимость для RCE с привилегиями ядра. Поскольку это самый высокий уровень привилегий, процесс может выполнять любую команду на устройстве, фактически получая над ним полный контроль.
Вторая 0-day - CVE-2022-32893, представляет собой уязвимость записи за пределы допустимого диапазона в WebKit, движке веб-браузера, используемом Safari и другими приложениями с выходом в Интернет. Проблема также устранена путем улучшенной проверки границ.
Apple заявляет, что последняя уязвимость позволит злоумышленнику выполнить произвольный код и может быть реализована удаленно в ходе посещения вредоносного веб-сайта.
Об ошибках сообщили анонимные исследователи. Apple не обнародовала никаких подробностей об эксплуатации в реальном времени или каких-либо признаков компрометации.
Вероятно, 0-day использовались в целевых атаках, но все же настоятельно рекомендуется установить сегодняшние обновления безопасности как можно скорее.
Кстати, для тех, кто использует Splunk (а мы знаем, что вы его используете), сообщаем о выпуске нового набора ежеквартальных исправлений, устранивших достаточно большое количество уязвимостей и проблем.
Самая важная из них CVE-2022-37437 - это проблема проверки сертификата TLS с высокой степенью серьезности в пользовательском интерфейсе Ingest Actions.
Другая CVE-2022-37439 средней степени серьезности может привести к сбою при индексации вредоносного ZIP-файла с использованием входных данных мониторинга файлов. Приложение будет аварийно завершать работу даже после перезагрузки, требуя ручного удаления вредоносного файла.
Кроме того, Splunk анонсировала исправления ряда других уязвимостей сторонних компонентов в Splunk Enterprise и Universal Forwarders.
Ошибки выполнения кода аналогичны для всех трех операционных систем.
Первая отслеживается как CVE-2022-32894. Ошибка представляет собой уязвимость записи за пределы в ядре операционной системы. Проблема устранена путем улучшенной проверки границ.
Приложение, например вредоносное ПО, может использовать эту уязвимость для RCE с привилегиями ядра. Поскольку это самый высокий уровень привилегий, процесс может выполнять любую команду на устройстве, фактически получая над ним полный контроль.
Вторая 0-day - CVE-2022-32893, представляет собой уязвимость записи за пределы допустимого диапазона в WebKit, движке веб-браузера, используемом Safari и другими приложениями с выходом в Интернет. Проблема также устранена путем улучшенной проверки границ.
Apple заявляет, что последняя уязвимость позволит злоумышленнику выполнить произвольный код и может быть реализована удаленно в ходе посещения вредоносного веб-сайта.
Об ошибках сообщили анонимные исследователи. Apple не обнародовала никаких подробностей об эксплуатации в реальном времени или каких-либо признаков компрометации.
Вероятно, 0-day использовались в целевых атаках, но все же настоятельно рекомендуется установить сегодняшние обновления безопасности как можно скорее.
Кстати, для тех, кто использует Splunk (а мы знаем, что вы его используете), сообщаем о выпуске нового набора ежеквартальных исправлений, устранивших достаточно большое количество уязвимостей и проблем.
Самая важная из них CVE-2022-37437 - это проблема проверки сертификата TLS с высокой степенью серьезности в пользовательском интерфейсе Ingest Actions.
Другая CVE-2022-37439 средней степени серьезности может привести к сбою при индексации вредоносного ZIP-файла с использованием входных данных мониторинга файлов. Приложение будет аварийно завершать работу даже после перезагрузки, требуя ручного удаления вредоносного файла.
Кроме того, Splunk анонсировала исправления ряда других уязвимостей сторонних компонентов в Splunk Enterprise и Universal Forwarders.
Splunk Vulnerability Disclosure
Ingest Actions UI in Splunk Enterprise 9.0.0 disabled TLS certificate validation