Немецкий поставщик ПО SAP объявил о выпуске восьми новых и пяти обновленных бюллетеней по безопасности в рамках сентябрьского PatchTuesday.

Самая важная из них касается серьезной уязвимости в Business One, которая может привести к эскалации привилегий. CVE-2022-35292 (с оценкой CVSS 7,8) описывается как уязвимость пути обслуживания без кавычек.

Согласно мнению Onapsis, уязвимость пути службы без кавычек может быть использована для выполнения произвольного двоичного файла при запуске уязвимой службы, что может позволить ей повысить привилегии до SYSTEM.

SAP также устранила уязвимость высокого уровня серьезности в BusinessObjects (CVE-2022-39014, CVSS 7,7), которая могла предоставить злоумышленнику доступ к незашифрованной конфиденциальной информации.

Затрагивающая SAP GRC третья уязвимость высокой степени серьезности может быть использована злоумышленником, прошедшим проверку подлинности, для доступа к сеансу Firefighter даже после того, как он был закрыт в панели входа. Проблема отслеживается как CVE-2022-39801 и имеет оценку CVSS 7,1.

Все пять оставшихся новых примечаний по безопасности имеют рейтинг «средней серьезности» и касаются BusinessObjects, NetWeaver Enterprise Portal, NetWeaver AS ABAP и NetWeaver Application Server ABAP.

В этом месяце SAP также обновила высокоприоритетные примечания, касающиеся уязвимостей в хранилище знаний, SuccessFactors и BusinessObjects.

🔖 S.E. Заметка. OSINT. Идентификация ориентиров.

🖖🏻 Приветствую тебя user_name.

• Если перед нами стоит задача определить местоположение цели по фото или видео, в 99% случаев мы используем различные инструменты и вспомогательные ресурсы. Одним из таких ресурсов является https://geohints.com.

• В качестве примера, можно взять страницу на которой опубликованы снимки светофоров или автомобильных номеров разных стран. Если на фото или видео ты заметил светофор \ номер машины, то сможешь с легкостью определить страну и приступить к более точному анализу материала и определению местоположения цели.

• Данным ресурсом поделился @ohshint_ в своем Twitter. В дополнение можно воспользоваться следующими инструментами: https://landmark.toolpie.com и https://www.brueckenweb.de/2content/suchen/suche.php

Твой S.E. #OSINT

На этой неделе Google объявила о выпуске очередного обновления Chrome 105, которое устраняет 11 уязвимостей, 7 из которых высокой степени серьезности.

Первая бага, связана с возможностью записи за пределами границ в компоненте Chrome Storage.

Еще три недостатка связаны с использованием после освобождения в компоненте PDF, а другой недостаток связан с использованием после освобождения во фреймах, что в реализации загрузчика фреймов в Google Chrome позволяет злоумышленникам, действующим удаленно, вызывать DoS.

Оставшиеся две уязвимости — это переполнение буфера в Internals и недостаточная проверка ненадежного ввода в DevTools.

Google присвоил всем ошибкам идентификаторы CVE и выплатил вознаграждение в размере 18 000 долларов за три ошибки.

Окончательная сумма, вероятно, будет выше, так как еще предстоит определить сумму, которую нужно заплатить остальные баги.

Последнее обновление браузера теперь распространяется для пользователей Mac и Linux, как Chrome 105.0.5195.125, а для пользователи Windows, как Chrome 105.0.5195.125/126/127.

Как и в предыдущих выпусках Chrome, проблемы безопасности памяти представляют собой наиболее распространенный тип уязвимостей, устраняемых в популярном браузере.

Администрация Президента США запустила программу грантов в области информационной безопасности для американских штатов. Всего за 4 года в целях укрепления инфосека, в том числе на объектах критической инфраструктуры, планируется потратить 1 млрд. долларов.

Тут как в старом анекдоте:
- Товарищ Сталин, у маршала Рокоссовского появилась новая любовница, актриса Валентина Серова! Что делать будем?!
- Что будем, что будем... завидовать будем.

Но поскольку США - наши несомненные геополитические противники, то завидовать будем исключительно по-черному.

Система управления резервуарами для воды TMS300 CS производства ирландской Kingspan, используемая по всему миру, имеет непропатченную критическую уязвимость, которую можно эксаплуатировать удаленно.

Kingspan TMS300 CS информирует об уровне в резервуаре через экран, веб-сервер, приложение, онлайн-портал и электронную почту.

Он оснащен проводными и беспроводными измерениями уровня, сигналами тревоги и подключением к сети.

Согласно бюллетеню CISA, исследователь Максим Рупп обнаружил критическую CVE-2022-2757 с оценкой CVSS 9,8, обусловленную проблемной реализацией правил контроля доступа, что позволяет злоумышленнику, не прошедшему проверку подлинности, просматривать или изменять настройки устройства.

Злоумышленник может получить доступ к настройкам устройства без аутентификации, просто перейдя по определенным URL-адресам, которые можно установить через веб-интерфейс или с помощью брута.

Ресерчер отметил, что злоумышленник может изменить различные настройки после использования этой уязвимости, в том числе связанные с датчиками, сведениями о резервуаре и пороговыми значениями срабатывания сигнализации, и в конечном итоге вызвать аварийную ситуацию.

Несмотря на то, что уязвимый продукт используется во всем мире в секторе систем водоснабжения и водоотведения, ошибка остается неисправленной.

Сама Kingspan игнорирует проблему и не дает никаких комментариев по этому поводу.

Onekey сообщает, что ряд маршрутизаторов Netgear уязвимы для RCE через FunJSQ, сторонний модуль для ускорения онлайн-игр.

Модуль оптимизации игр, интегрированный в различные маршрутизаторы Netgear и системы Wi-Fi Orbi, разработан китайской компанией Xiamen Xunwang Network Technology.

Onekey обнаружили, что модуль FunJSQ имеет небезопасный процесс обновления: пакеты с сервера не подписываются и проверяются на устройстве с использованием только контрольной суммы хэша.

В модуле не предусмотрена безопасная связь для процесса обновления, что позволяет злоумышленнику подделывать данные, возвращаемые с сервера, а содержимое пакета извлекается в корневую папку с повышенными привилегиями, что позволяет злоумышленнику, контролирующему пакет обновления, перезаписать что-либо на устройство и в совокупности это может привести к RCE из интерфейса WAN.

Согласно бюллетеню Netgear, уязвимость требует, чтобы злоумышленник имел пароль WiFi или Ethernet-соединение с целевым маршрутизатором для использования.

Обнаруженным уязвимостям были присвоены идентификаторы CVE-2022-40619 (внедрение команд без аутентификации) и CVE-2022-40620 (небезопасный механизм обновления). Ни Onekey, ни Netgear не упомянули об использовании каких-либо из этих недостатков в реальных атаках.

Netgear была проинформирована об ошибках в июне и в сентябре выпустила обновления прошивки для систем Orbi WiFi RBR20, RBR50, RBS20 и RBS50, а также для моделей маршрутизаторов R6230, R6260, R7000, R8900, R9000, RAX120, RAX120v2 и XR300.

Netgear отмечает, что обходных путей для этой уязвимости нет, и рекомендует пользователям как можно скорее обновить свои устройства.

Румынская инфосек-компания Bitdefender выпустила дешифратор для LockerGoga.

Инструмент доступен для загрузки с сервера Bitdefender и позволяет восстанавливать зашифрованные файлы, следуя инструкциям в этом руководстве по использованию (PDF).

Ресерчеры Bitdefender сообщают, что дешифратор был разработан в сотрудничестве с правоохранительными органами, включая Европол, прокуратуру и полицию Цюриха, а также при участии NoMoreRansom.

Искать криптографические уязвимости в данном случае не пришлось, поскольку после ареста операторов LockerGoga спецслужбам удалось получить приватные мастер-ключи, используемые в их крипторе.

Инструмент Bitdefender позволяет просканировать всю файловую систему или отдельный каталог, обнаруживая любые зашифрованные файлы и автоматически выполняя их расшифровку.

При этом компьютер должен быть подключен к Интернету, а заметки о выкупе, сгенерированные ransomware во время шифрования, должны соответствовать исходным путям.

Дешифратор может работать как на одной машине, так и в сетях, зашифрованных LockerGoga. Также в расшифровщике по умолчанию реализовано резервирование для исключения повреждения файлов в ходе процесса.

Как известно, операция LockerGoga стартовала в январе 2019 года, вымогатели атаковали достаточно крупные цели, включая французскую Altran Technologies или норвежский Norsk Hydro.

Совместно с Ryuk и MegaCortex, банда принимала участвовала в более чем 1800 атак на организаций в 71 стране с ущербом более 104 млн. долларов США.

Правда в октябре 2021 года двенадцать участников из числа операторов были арестованы в ходе международной правоохранительной операции, после чего злоумышленники отказались от дальнейшего использования LockerGoga, а исходный код ransomware так и не был публикован.

Таким образом, Bitdefender предоставили реальный шанс восстановить инфраструктуру для жертв, отказавшихся платить выкуп.

͏Пока все обсуждали слив еще не вышедшей шестой части GTA с геймплеями и исходниками, наши подписчики нашептали об уязвимости в приложении Тиньков, которая приводит к раскрытию информации и вовсе может подвести клиента «под статью».

Как оказалось, прогрессивная опция «совместный счет» позволяет злоумышленнику открыть счет на пару с любым клиентом без согласия второй стороны.

Для создания счета требуется лишь указать номер телефона клиента Тиньков, без каких-либо дополнительных сведений о второй стороне. Кроме того, нет и второго фактора для акцепта операции и получения согласия.

Отсутствует какой-либо второй фактор для подтверждения операции и согласия второй стороной (пуш-уведомление или смс). Как например, круговая верификация семейного аккаунта в Яндекс Go, а в Тиньков почему-то решили этим функционалом пренебречь.

Путем несложных манипуляций вас могут наградить «совместным счетом» и даже выпустить виртуальную банковскую карту. При этом сведения о второй стороне будут считаться банковской тайной, поэтому информация о личности своего визави клиенту будет не доступна.

Оказавшись достаточно продвинутым в вопросах OSINT, расследовавший инцидент ресерчер смог идентифицировать своего банковского «напарника» и создателя совместно счета, которым в конкретной ситуации оказался предприимчивый гражданин Украины, что в нынешней ситуации если не нагоняет страх и панику, то сеет легкие переживания из категории "а вдруг что".

Все бы ничего, но после дальнейших манипуляций баги стало понятно, что транзакции и переводы также не требуют каких-либо подтверждений.

Таким образом, открывается широкий простор для всевозможных провокаций и мошеннических махинаций, участниками которых могут стать весьма известные личности из числа клиентов Тиньков, не говоря уже про чиновников, военных или пенсионеров, ведь открыть счет и сделать переводы теперь еще более удобно «благодаря новой опции».

Впрочем, фантазировать можно сколько угодно, но с фактами - не поспоришь.

͏Разработчики решений ИБ демонстрируют, как их продукты останавливают взлом Uber 😂

Лаборатория Касперского готовится к презентации нового решения на базе операционной системы собственной разработки KasperskyOS.

Премьера состоится 21 сентября в рамках международного форума Kazan Digital Week 2022 в Казани на стенде Лаборатории Касперского (место P13).

В этом году команда KasperskyOS совместно с партнерами подготовила насыщенную программу и предоставляет участникам уникальную возможность из первых рук узнать о технологиях Лаборатории Касперского для обеспечения безопасности IT-систем в различных отраслях.

22 сентября в ходе сессии Лаборатории Касперского «Рабочее место 4.0: кибериммунитет как ключевой элемент цифровой трансформации» специалисты расскажут о кибериммунитете и безопасных решениях на базе собственной OC.

Участникам представят реальные кейсы внедрения таких продуктов, включая инфраструктуру автоматизированных рабочих мест, а также поделятся перспективами развития облачных решений и анализом моделей On-Premise и DaaS.

͏Не знал об оптических атаках - ошибка, используешь очки в ходе видеоконференций - фатальная ошибка!

Группа исследователей из Мичиганского университет,а (Анн-Арбор, США) и Колледжа электротехники Чжэцзянского университета (Ханчжоу, Китай) разработала метод реконструкции текста, отображаемого через очки и другие отражающие объекты участников видеоконференций.

Получивший широкое распространение в последние годы, особенно на фоне пандемии Covid-19, формат видеосвязи, к примеру Zoom, может использоваться злоумышленниками для снятия информации с отраженной поверхности.

Используя математическое моделирование и эксперименты на реальных объектах, ресерчеры оценили, как современные веб-камеры могут передавать распознаваемую текстовую и графическую информацию в отражениях.

По мнению исследователей, дальнейшее развитие видеотехнологий может привести к оптическим атакам, основанным на использовании методов многокадрового сверхвысокого разрешения для реконструкции отраженного контента.

Разработанная учеными модель угроз, получившая название атака с просмотром веб-камеры позволяет получить точность в более чем 75% при восстановлении и распознавании текста высотой всего 10 мм, снятого веб-камерой 720p.

Кроме того, по словам ученых, веб-камеры 4k позволят злоумышленникам легко реконструировать большинство текстов заголовков на популярных веб-сайтах.

Для того, чтобы снизить риск таких атак исследователи предлагают использование специализированного ПО, которое реализует размытие области очков в видеопотоке. Причем, некоторый софт для видеоконференций уже включает так опцию.

Производительность атаки с просмотром через веб-камеру можно значительно повысить, если использовать более сложную модель машинного обучения, однако это, по их мнению, вероятно, будет проблематично из-за различных условий личной среды.

Свои выводы и реальные эксперименты исследователи представили в своей статье.

VMware и Microsoft предупреждают об эскалации угрозы, связанной с распространением малвари Chromeloader, которая из условно безобидной рекламной кликалки превратилась в более продвинутое вредоносное ПО, способное увеличить поверхность атаки зараженной системы вплоть до ransomware.

Как сообщили специалисты, ChromeLoader оказался чрезвычайно распространенным и устойчивым вредоносным ПО. Первоначально, он запускается как .iso и может использоваться для кражи учетных данных браузера пользователей, сбора данных о недавней онлайн-активности и перехвата результатов поиска в браузере для показа рекламы.

Команда VMware Carbon Black Managed Detection and Response (MDR) наблюдала за первыми версиями ChromeLoader для Windows в январе 2022 года и версией для macOS в марте 2022 года, а сегодня аналитики опубликовали технический отчет с описанием его различных вариантов, которые использовались уже в августе и сентябре, некоторые из которых содержат гораздо более мощные полезные нагрузки.

Выделено несколько вариантов, включая ChromeBack и Choziosi Loader. Исследователи Unit 42, например, обнаружили доказательства того, что The Real First Windows Variant использует инструмент AHK (AutoHotKey) для компиляции вредоносного исполняемого файла и удаления версии 1.0 вредоносного ПО.

На днях и Microsoft предупредили о продолжающейся широкомасштабной кампании с кликами для монетизации трафика. Атаки приписывают злоумышленнику, отслеживаемому как DEV-0796, который использует Chromeloader для заражения жертв различными вредоносными программами.

Как уже было сказано ChromeLoader поставляется в виде файлов ISO и распространяются через вредоносную рекламу, перенаправление браузера и комментарии к видео на YouTube. Использование злоумышленниками файлов ISO стало популярным способом распространения вредоносных программ с тех пор, как Microsoft по умолчанию начали блокировать макросы Office.

В рамках исследования было протестировано не менее десяти вариаций Chromeloader. Некоторые из низ них имитировали работу полезных утилит типа OpenSubnoscripts - утилиту, помогающую пользователям находить субтитры для фильмов и телепередач.

Другие просто разворачивали ZipBomb на компьютере жертвы, то более тревожным звоночком послужило то, что в последних версиях Chromeloader было замечено развертывание программы-вымогателя Enigma в HTML-файле.

Прекрасный пример когда простенькое вредоносное ПО для рекламы с более мощными полезными нагрузками в руках предприимчивых злоумышленников превращается в более прибыльную альтернативу мошенничеству с кликами.

͏⚡️Наконец-то, обнаружена база всех ransomware. Срочно высылайте спецназ 😂

Вслед за португальской авиакомпанией TAP Air Portugal об утечке данных клиентов сообщила American Airlines.

Инцидент произошел в июле 2022 года и был связан с фишинговой атакой на корпоративную почту компании, содержащую личную информацию некоторых клиентов, включая имя, дата рождения, номер телефона, почтовый адрес, адрес электронной почты, номер водительского удостоверения, паспорта, а также и медицинскую информацию.

Согласно результатам расследования American Airlines, доказательств дальнейшего злонамеренного использования раскрытой личной информации не получено. Добавим, что «пока» не получено.

Другая недавняя крупная утечка затронула финтехкомпанию Revolut, которая подверглась кибератаке, приведшей к компрометации данных ее клиентов.

Revolut охарактеризовала атаку как целенаправленную, использовалась социальная инженерия, в результате которой злоумышленник имел доступ ко внутреннейсети в течение короткого периода времени.

При этом у злоумышленник не смог добраться до управления денежными активами, данным карт, PIN-кодам или паролям. Утекшая информация включает в себя имена, адреса, номера телефонов, адреса электронной почты, частичные данные платежной карты и некоторые данные учетной записи.

Revolut базируется в Великобритании, но имеет специализированную банковскую лицензию из Литвы, где также располагается Revolut Bank UAB.

По данным Revolut, инцидент затронул 0,16% ее клиентов, или около 50 150 клиентов по всему миру, в том числе около 20 000 в Европе, которые были предупреждены о повышенном риске мошенничества в результате взлома.

Незадолго до того, как взлом был раскрыт, некоторые клиенты Revolut сообщили о получении непристойных сообщений в чате приложения.

Кроме того, после того, как об инциденте было объявлено, некоторые пользователи сообщили о получении текстовых сообщений, указывающих на фишинговый веб-сайт Revolut. Однако пока неясно, связаны ли эти события с расследуемым нарушением. Будем следить за ситуацией.

В блоках распределения питания Dataprobe iBoot-PDU для ICS и ЦОД обнаружены критические уязвимости.

iBoot-PDU — это блок распределения питания PDU, который предоставляет пользователям возможности мониторинга в режиме реального времени и сложные механизмы оповещения через веб-интерфейс для контроля подачу питания на оборудование в среде OT.

Успешная эксплуатация баг может привести к RCE без проверки подлинности на устройстве. Проблемы выявила Claroty, которая заявила, что ошибки могут быть использованы удаленно либо через прямое веб-соединение с устройством, либо через облако.

Анализ прошивки PDU показал, что продукт обладает множеством от проблем, начиная от внедрения команд и заканчивая недостатками обхода пути, что подвергает клиентов серьезным рискам, особенно если учесть, что две из них имеют оценку CVSS: 9,8.

Из них CVE-2022-3183 связана с внедрением команд из-за отсутствия дезинфекции пользовательского ввода, а CVE-2022-3184 представляет собой уязвимость обхода пути, позволяющая получить доступ к странице PHP без проверки подлинности, которую можно использовать для вставки вредоносного кода.

Другие пять обнаруженных уязвимостей (от CVE-2022-3185 до CVE-2022-3189) могут быть использованы злоумышленником для получения доступа к главной странице управления устройством из облака, что может привести к утечке конфиденциальной информации.

Claroty также отметила способ вычислить все подключенные к облаку устройства iBoot PDU, используя комбинацию действительного файла cookie и идентификатора устройства, тем самым расширить поверхность атаки.

Но печальнее всего то, что в глобальной сети сейчас доступно не менее 2600 PDU, причем на устройства Dataprobe приходится почти треть уязвимых, согласно отчету Censys за 2021 год.

Пользователям Dataprobe iBoot-PDU рекомендуется обновить прошивку до последней версии (1.42.06162022), а также отключить SNMP, Telnet и HTTP, если они не используются, для устранения некоторых из уязвимостей.

Американский издатель видеоигр 2K Games подтвердил инцидент, связанный со взломом его службы поддержки, от имени которой злоумышленники распространяли среди игроков вредоносное ПО через встроенные ссылки.

Компания является издателем множества популярных игровых франшиз, включая NBA 2K, Borderlands, WWE 2K, PGA Tour 2K, Bioshock, Civilization и Xcom.

2K отключила портал поддержки на время расследования и устранения последствий инцидента, намерена выпустить отдельное уведомление игрокам о возобновлении работы службы.

А началось все с того, что клиенты 2K начали получать электронные письма о том, что они открыли запросы в службу поддержки на 2ksupport.zendesk.com, онлайн-системе поддержки 2K. 

Вскоре после этого, последовали электронные письма в ответ на исходный запрос (от предполагаемого представителя службы поддержки 2K по имени «Принц К»), которые также содержали ссылки для загрузки файла с именем 2K Launcher.zip из 2ksupport.zendesk.com.

Согласно VirusTotal и Any.Run, архив содержал исполняемый файл, который на самом деле является известной вредоносной ПО RedLine.

Мальварь, как известно, активно используется киберподпольем для кражи широкого спектра данных после заражения системы, включая историю веб-браузера, файлы cookie, сохраненные пароли браузера, кредитные карты, учетные данные VPN, контент для обмена мгновенными сообщениями, криптовалютные кошельки и др.

К настоящему времени 2K еще не предоставила никакой информации по поводу инцидента. Однако некоторые ресерчеры предполагают взаимосвязь атаки с недавним взломом Rockstar Games.

При этом обе компании являются дочерними компаниями Take-Two Interactive, одного из крупнейших издателей видеоигр в Америке и Европе.

Злоумышленник, стоящий за взломом Rockstar Games, также заявил о недавнем взломе Uber, специалисты которого, в свою очередь, связывают инцидент с активностью Lapsus$.

Но будем посмотреть.