Ресерчеры Томас Кнудсен и Сэми Юнси из Necrum Security Labs обнаружили две серьезные уязвимости в устройствах беспроводной локальной сети серии Flexlan FX3000 и FX2000 IoT-производителя Contec.

Беспроводные LAN-устройства Flexlan идеально подходят для офисной и промышленной среды, а также используются в самолетах в качестве точек доступа Wi-Fi и подключения к бортовым сервисам.

Одна из уязвимостей CVE-2022-36158 связана со скрытой веб-страницей, которую можно использовать для выполнения команд Linux на устройстве с привилегиями root.

Веб-интерфейс управления устройством не предоставляет ссылку на эту скрытую страницу, однако именно благодаря ей ресерчеры смогли получить доступ ко всем системным файлам, открыть порт telnet, а также получить полный доступ к устройству.

Вторая CVE-2022-36159 обусловлена бэкдорной учетной записью с жестко заданным слабым паролем по умолчанию, применяемую для обслуживания. Пароль хранится в виде хэша, но специалисты быстро взломали его.

Хотя и производители самолетов настаивают на том, что риск невелик, утверждая, что развлекательные системы изолированы от полетных и навигационных систем, тем не менее Юнси отметил, что обнаруженные недостатки могут быть использованы пассажиром.

Злоумышленник в таком случае сможет, например, собрать данные других пассажиров или доставить вредоносное ПО на их устройства. Как это было с исследователем Крисом Робертсом, который, по утверждению ФБР, более десятка раз взламывал развлекательные системы.

Производитель в своем бюллетене также согласился с тем, что существуют возможности кражи данных, подмены трафика и вызова сбоя системы с помощью вредоносных программ, выпустив исправленные версии прошивки 1.16.00 для устройств серии FX3000 и 1.39.00 для серии FX2000.

Пока Google на пару с Microsoft и Meta чистят поле коммерческого шпионажа, их самих тоже неплохо утюжат, причем по схожим вопросам.

На днях служба защиты конфиденциальности Южной Кореи оштрафовала Google и Meta на общую сумму в 72 миллиона долларов за скрытые наблюдение за пользователями без их согласия и использование их данных для целевой рекламы.

По данным комиссии, Google и Meta не информировали пользователей и не получали их согласия, собирая информацию об их действиях в Интернете за пределами своих собственных платформ. Затем данные использовались для анализа их интересов и создания индивидуально настроенной рекламы.

После вызова на ковер представителей гигантов Комиссия по личной информации и защите Южной Кореи пришла к выводу о том, что деловая практика компаний может привести к «серьезным» нарушениям конфиденциальности, поскольку более 82% южнокорейцев используют Google и более 98% - Meta.

После чего обложила их самыми высокими штрафами за всю историю аналогичных разбирательств. Обе компании с решением не согласны. Meta намерена оспорить штраф в суде. Вероятно, и Google поступит аналогичным образом.

Отличный прецедент и хороший пинок «большому брату». Правда, это вряд ли заставит IT-гигантов изменить свои бизнес-принципы.

Ресерчеры Лаборатории Касперского раскрыли новую кампанию с использованием самораспространяющегосяся бандла с кастомизированным стилером.

Как еще ранее отметили ресерчеры в своем отчете о киберугрозах для геймеров, злоумышленники активно охотятся за игровыми аккаунтами и ресурсами игровых компьютеров, а вредоносное ПО, такое как стилеры, распространяется под видом взломанных игр, читов и кряков.

Обнаруженный необычный вредоносный бандл в качестве основной полезной нагрузки включал популярный стилер RedLine, который с момента обнаружения в 2020 года стал одним из самых распространенных троянцев и продается в даркнете всего за несколько сотен долларов.

Но интересно другое, а именно - механизм самораспространения. Функцию реализует несколько файлов, которые получают и размещают на YouTube-каналах зараженных пользователей видеоролики со ссылками на запароленный архив с бандлом в описании.

Ролики рекламируют читы, кряки, инструкции по взлому популярных игр и ПО, включая APB Reloaded, CrossFire, DayZ, Dying Light 2, F1® 22, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Osu!, Point Blank, Project Zomboid, Rust, Sniper Elite, Spider-Man, Stray, Thymesia, VRChat и Walken.

Оригинальный бандл — это самораспаковывающийся RAR-архив, содержащий в себе несколько вредоносных файлов, чистые вспомогательные утилиты и скрипт для автоматического запуска распакованного содержимого.

Сразу после распаковки запускаются три исполняемых файла: стилер RedLine, майнер, а третий запихивается в автозапуск, запуская BATCH-файлы, которые, в свою очередь, инициируют три других: akiseKurisu.exe, download.exe и upload.exe, отвечающих за самораспространение бандла.

При этом один из BATCH-файлов запускает утилиту nir.exe, которая обеспечивает работу вредоносных исполняемых файлов без отображения окон и иконок на панели задач.

Файл download.exe скачивает видео и описание к нему со ссылками на вредоносный архив для YouTube. Ссылки для скачивания файлов вредонос берет из репозитория на GitHub. В последних модификациях скачивается 7zip-архив с видео и описаниями, разложенными по каталогам. Распаковка архива происходит с помощью консольной версии 7z, которая включена в бандл.

MakiseKurisu.exe — это ПО для кражи паролей, написанная на C# и модифицированная под нужды создателей бандла. Единственная рабочая функция обеспечивает лишь извлечение cookie из браузеров, благодаря чему бандл получает доступ к YouTube-аккаунту зараженного пользователя, куда впоследствии загружает видео.

Upload.exe отвечает за загрузку видео на YouTube, использует Node-библиотеку puppeteer, которая предоставляет высокоуровневый API для управления браузерами Chromе и Microsoft Edge при помощи протокола DevTools.

После успешной загрузки видео на YouTube upload.exe отправляет сообщение в Discord со ссылкой на новое видео.

Учитывая все эти факторы, ресерчеры рекомендуют геймерам с большой осторожностью относиться к нелегальному ПО.

͏Оператор ransomware пытается пробиться в защищаемую ИБ сеть 😂

Uber сообщил о взломе инфраструктуры и начале официального расследования с участием спецслужб и правоохранителей.

Инцидент сразу же попал в заголовки мировых СМИ. Однако, если вы читали наш канал, мы уже предполагали такое развитие событий, буквально пару дней назад.

В результате атаки компания вынуждена была отключить свои внутренние коммуникации и инженерные системы для установления масштабов происшествия и минимизации дальнейшего ущерба.

Об атаке стало известно, когда злоумышленник взломал учетную запись Slack сотрудника и использовал ее для оповещения, в котором упоминается утечка данных, а также прилагаются скрин со списком скомпрометированных баз данных.

Uber пока не раскрывает дополнительных подробностей, но похоже, что хакер, предположительно 18-летний подросток, притворившись корпоративным ИТ-специалистом, с помощью социальной инженерии увел у сотрудника пароль, который использовал для закрепления во внутренней сети.

По данным ресерчеров Acronis, внутри контура злоумышленники отыскали в одной из общих сетевых папок учетные данные с высоким уровнем привилегий, которые обеспечили им доступ ко многим критически важным ИТ-системам Uber, включая производственные системы, корпоративную консоль EDR, контроллер домена Windows и интерфейс управления Uber slack.

Крое того, хакер смог добраться и до консоли Amazon Web Services, виртуальным машинам VMware ESXi, панели администратора электронной почты Google Workspace.

А, со слов ресерчера Сэма Карри Yuga Labs, утечка также затрагивает сведения Uber по программе HackerOne со всеми отчетами об ошибках, в том числе уязвимостях, которые еще не устранены.

Случившееся уже впервые в Uber. Крупная утечка данных произошла в 2016 году и затронула 57 млн. пассажиров и водителей. В конечном итоге Uber выплатил хакерам 100 000 долларов за сокрытие утечки.

Правда, выплата выкупа не помогла замять инцидент, в конце 2017 года информация просочилась, а руководитель службы безопасности Джо Салливан был осужден за сокрытие информации о преступлении и воспрепятстование расследованию.

Текущая ситуация произошла как раз в момент передачи уголовного дела против Салливана в Окружной суд США в Сан-Франциско.

Будем следить за ситуацией.

Серьезная динамика: только за прошедший август появилось 40 новых штаммов ransomware.

Но и существующие операции достаточно активны и разрушительны, особенно, когда бьют по стратегическим и критическим объектам.

Как например, атака LockBit на крупного поставщика и производителя стрелкового оружия DSS в Чехии, чьи вооружения поставляются на Украину, Сомали и Кению. Хакеры традиционно эксфильтровали конфиденциальные данные, в данном случае - более 200 ГБ, включая действующие и потенциальные контракты.

Или инцидент с ransomware, с которым столкнулась Канада.

Hive взяла на себя ответственность за атаку, поразившую системы Bell Technical Solutions (BTS) с выручкой в 2 млрд. долларов, дочерней компании Bell Canada, которая реализует услуги связи в провинциях Онтарио и Квебек.

Вымогатели зашифровали системы BTS почти месяц назад, 20 августа 2022 года, что официально подтвердила и сама компания.

Stormous добавила Hiap Tong Port Services на свой DLS. Хакерам удалось удалось выкрасть 45 ГБ данных и отдефейсить веб-сайт компании.

AvosLocker прошелся по Xybion Digital, основанной в 1977 году и специализирующейся в управлении доклиническими исследованиями и тестированием лекарств для FDA.

BlackCat (ALPHV) нанесла удар по правительству округа Саффолк, а SiegedSec атаковала Налоговое управление Либерии, прихватив 45 документов, 200 тысяч электронных писем и информацию из баз данных, после чего они были пошифрованы.

Немецкий поставщик ПО SAP объявил о выпуске восьми новых и пяти обновленных бюллетеней по безопасности в рамках сентябрьского PatchTuesday.

Самая важная из них касается серьезной уязвимости в Business One, которая может привести к эскалации привилегий. CVE-2022-35292 (с оценкой CVSS 7,8) описывается как уязвимость пути обслуживания без кавычек.

Согласно мнению Onapsis, уязвимость пути службы без кавычек может быть использована для выполнения произвольного двоичного файла при запуске уязвимой службы, что может позволить ей повысить привилегии до SYSTEM.

SAP также устранила уязвимость высокого уровня серьезности в BusinessObjects (CVE-2022-39014, CVSS 7,7), которая могла предоставить злоумышленнику доступ к незашифрованной конфиденциальной информации.

Затрагивающая SAP GRC третья уязвимость высокой степени серьезности может быть использована злоумышленником, прошедшим проверку подлинности, для доступа к сеансу Firefighter даже после того, как он был закрыт в панели входа. Проблема отслеживается как CVE-2022-39801 и имеет оценку CVSS 7,1.

Все пять оставшихся новых примечаний по безопасности имеют рейтинг «средней серьезности» и касаются BusinessObjects, NetWeaver Enterprise Portal, NetWeaver AS ABAP и NetWeaver Application Server ABAP.

В этом месяце SAP также обновила высокоприоритетные примечания, касающиеся уязвимостей в хранилище знаний, SuccessFactors и BusinessObjects.

🔖 S.E. Заметка. OSINT. Идентификация ориентиров.

🖖🏻 Приветствую тебя user_name.

• Если перед нами стоит задача определить местоположение цели по фото или видео, в 99% случаев мы используем различные инструменты и вспомогательные ресурсы. Одним из таких ресурсов является https://geohints.com.

• В качестве примера, можно взять страницу на которой опубликованы снимки светофоров или автомобильных номеров разных стран. Если на фото или видео ты заметил светофор \ номер машины, то сможешь с легкостью определить страну и приступить к более точному анализу материала и определению местоположения цели.

• Данным ресурсом поделился @ohshint_ в своем Twitter. В дополнение можно воспользоваться следующими инструментами: https://landmark.toolpie.com и https://www.brueckenweb.de/2content/suchen/suche.php

Твой S.E. #OSINT

На этой неделе Google объявила о выпуске очередного обновления Chrome 105, которое устраняет 11 уязвимостей, 7 из которых высокой степени серьезности.

Первая бага, связана с возможностью записи за пределами границ в компоненте Chrome Storage.

Еще три недостатка связаны с использованием после освобождения в компоненте PDF, а другой недостаток связан с использованием после освобождения во фреймах, что в реализации загрузчика фреймов в Google Chrome позволяет злоумышленникам, действующим удаленно, вызывать DoS.

Оставшиеся две уязвимости — это переполнение буфера в Internals и недостаточная проверка ненадежного ввода в DevTools.

Google присвоил всем ошибкам идентификаторы CVE и выплатил вознаграждение в размере 18 000 долларов за три ошибки.

Окончательная сумма, вероятно, будет выше, так как еще предстоит определить сумму, которую нужно заплатить остальные баги.

Последнее обновление браузера теперь распространяется для пользователей Mac и Linux, как Chrome 105.0.5195.125, а для пользователи Windows, как Chrome 105.0.5195.125/126/127.

Как и в предыдущих выпусках Chrome, проблемы безопасности памяти представляют собой наиболее распространенный тип уязвимостей, устраняемых в популярном браузере.

Администрация Президента США запустила программу грантов в области информационной безопасности для американских штатов. Всего за 4 года в целях укрепления инфосека, в том числе на объектах критической инфраструктуры, планируется потратить 1 млрд. долларов.

Тут как в старом анекдоте:
- Товарищ Сталин, у маршала Рокоссовского появилась новая любовница, актриса Валентина Серова! Что делать будем?!
- Что будем, что будем... завидовать будем.

Но поскольку США - наши несомненные геополитические противники, то завидовать будем исключительно по-черному.

Система управления резервуарами для воды TMS300 CS производства ирландской Kingspan, используемая по всему миру, имеет непропатченную критическую уязвимость, которую можно эксаплуатировать удаленно.

Kingspan TMS300 CS информирует об уровне в резервуаре через экран, веб-сервер, приложение, онлайн-портал и электронную почту.

Он оснащен проводными и беспроводными измерениями уровня, сигналами тревоги и подключением к сети.

Согласно бюллетеню CISA, исследователь Максим Рупп обнаружил критическую CVE-2022-2757 с оценкой CVSS 9,8, обусловленную проблемной реализацией правил контроля доступа, что позволяет злоумышленнику, не прошедшему проверку подлинности, просматривать или изменять настройки устройства.

Злоумышленник может получить доступ к настройкам устройства без аутентификации, просто перейдя по определенным URL-адресам, которые можно установить через веб-интерфейс или с помощью брута.

Ресерчер отметил, что злоумышленник может изменить различные настройки после использования этой уязвимости, в том числе связанные с датчиками, сведениями о резервуаре и пороговыми значениями срабатывания сигнализации, и в конечном итоге вызвать аварийную ситуацию.

Несмотря на то, что уязвимый продукт используется во всем мире в секторе систем водоснабжения и водоотведения, ошибка остается неисправленной.

Сама Kingspan игнорирует проблему и не дает никаких комментариев по этому поводу.

Onekey сообщает, что ряд маршрутизаторов Netgear уязвимы для RCE через FunJSQ, сторонний модуль для ускорения онлайн-игр.

Модуль оптимизации игр, интегрированный в различные маршрутизаторы Netgear и системы Wi-Fi Orbi, разработан китайской компанией Xiamen Xunwang Network Technology.

Onekey обнаружили, что модуль FunJSQ имеет небезопасный процесс обновления: пакеты с сервера не подписываются и проверяются на устройстве с использованием только контрольной суммы хэша.

В модуле не предусмотрена безопасная связь для процесса обновления, что позволяет злоумышленнику подделывать данные, возвращаемые с сервера, а содержимое пакета извлекается в корневую папку с повышенными привилегиями, что позволяет злоумышленнику, контролирующему пакет обновления, перезаписать что-либо на устройство и в совокупности это может привести к RCE из интерфейса WAN.

Согласно бюллетеню Netgear, уязвимость требует, чтобы злоумышленник имел пароль WiFi или Ethernet-соединение с целевым маршрутизатором для использования.

Обнаруженным уязвимостям были присвоены идентификаторы CVE-2022-40619 (внедрение команд без аутентификации) и CVE-2022-40620 (небезопасный механизм обновления). Ни Onekey, ни Netgear не упомянули об использовании каких-либо из этих недостатков в реальных атаках.

Netgear была проинформирована об ошибках в июне и в сентябре выпустила обновления прошивки для систем Orbi WiFi RBR20, RBR50, RBS20 и RBS50, а также для моделей маршрутизаторов R6230, R6260, R7000, R8900, R9000, RAX120, RAX120v2 и XR300.

Netgear отмечает, что обходных путей для этой уязвимости нет, и рекомендует пользователям как можно скорее обновить свои устройства.

Румынская инфосек-компания Bitdefender выпустила дешифратор для LockerGoga.

Инструмент доступен для загрузки с сервера Bitdefender и позволяет восстанавливать зашифрованные файлы, следуя инструкциям в этом руководстве по использованию (PDF).

Ресерчеры Bitdefender сообщают, что дешифратор был разработан в сотрудничестве с правоохранительными органами, включая Европол, прокуратуру и полицию Цюриха, а также при участии NoMoreRansom.

Искать криптографические уязвимости в данном случае не пришлось, поскольку после ареста операторов LockerGoga спецслужбам удалось получить приватные мастер-ключи, используемые в их крипторе.

Инструмент Bitdefender позволяет просканировать всю файловую систему или отдельный каталог, обнаруживая любые зашифрованные файлы и автоматически выполняя их расшифровку.

При этом компьютер должен быть подключен к Интернету, а заметки о выкупе, сгенерированные ransomware во время шифрования, должны соответствовать исходным путям.

Дешифратор может работать как на одной машине, так и в сетях, зашифрованных LockerGoga. Также в расшифровщике по умолчанию реализовано резервирование для исключения повреждения файлов в ходе процесса.

Как известно, операция LockerGoga стартовала в январе 2019 года, вымогатели атаковали достаточно крупные цели, включая французскую Altran Technologies или норвежский Norsk Hydro.

Совместно с Ryuk и MegaCortex, банда принимала участвовала в более чем 1800 атак на организаций в 71 стране с ущербом более 104 млн. долларов США.

Правда в октябре 2021 года двенадцать участников из числа операторов были арестованы в ходе международной правоохранительной операции, после чего злоумышленники отказались от дальнейшего использования LockerGoga, а исходный код ransomware так и не был публикован.

Таким образом, Bitdefender предоставили реальный шанс восстановить инфраструктуру для жертв, отказавшихся платить выкуп.

͏Пока все обсуждали слив еще не вышедшей шестой части GTA с геймплеями и исходниками, наши подписчики нашептали об уязвимости в приложении Тиньков, которая приводит к раскрытию информации и вовсе может подвести клиента «под статью».

Как оказалось, прогрессивная опция «совместный счет» позволяет злоумышленнику открыть счет на пару с любым клиентом без согласия второй стороны.

Для создания счета требуется лишь указать номер телефона клиента Тиньков, без каких-либо дополнительных сведений о второй стороне. Кроме того, нет и второго фактора для акцепта операции и получения согласия.

Отсутствует какой-либо второй фактор для подтверждения операции и согласия второй стороной (пуш-уведомление или смс). Как например, круговая верификация семейного аккаунта в Яндекс Go, а в Тиньков почему-то решили этим функционалом пренебречь.

Путем несложных манипуляций вас могут наградить «совместным счетом» и даже выпустить виртуальную банковскую карту. При этом сведения о второй стороне будут считаться банковской тайной, поэтому информация о личности своего визави клиенту будет не доступна.

Оказавшись достаточно продвинутым в вопросах OSINT, расследовавший инцидент ресерчер смог идентифицировать своего банковского «напарника» и создателя совместно счета, которым в конкретной ситуации оказался предприимчивый гражданин Украины, что в нынешней ситуации если не нагоняет страх и панику, то сеет легкие переживания из категории "а вдруг что".

Все бы ничего, но после дальнейших манипуляций баги стало понятно, что транзакции и переводы также не требуют каких-либо подтверждений.

Таким образом, открывается широкий простор для всевозможных провокаций и мошеннических махинаций, участниками которых могут стать весьма известные личности из числа клиентов Тиньков, не говоря уже про чиновников, военных или пенсионеров, ведь открыть счет и сделать переводы теперь еще более удобно «благодаря новой опции».

Впрочем, фантазировать можно сколько угодно, но с фактами - не поспоришь.

͏Разработчики решений ИБ демонстрируют, как их продукты останавливают взлом Uber 😂

Лаборатория Касперского готовится к презентации нового решения на базе операционной системы собственной разработки KasperskyOS.

Премьера состоится 21 сентября в рамках международного форума Kazan Digital Week 2022 в Казани на стенде Лаборатории Касперского (место P13).

В этом году команда KasperskyOS совместно с партнерами подготовила насыщенную программу и предоставляет участникам уникальную возможность из первых рук узнать о технологиях Лаборатории Касперского для обеспечения безопасности IT-систем в различных отраслях.

22 сентября в ходе сессии Лаборатории Касперского «Рабочее место 4.0: кибериммунитет как ключевой элемент цифровой трансформации» специалисты расскажут о кибериммунитете и безопасных решениях на базе собственной OC.

Участникам представят реальные кейсы внедрения таких продуктов, включая инфраструктуру автоматизированных рабочих мест, а также поделятся перспективами развития облачных решений и анализом моделей On-Premise и DaaS.