͏Ведущий поставщик решений для управления идентификацией и доступом (IAM) Okta сообщает о взломе ее репозиториев GitHub.
Согласно просочившемуся в паблик внутрикорпоративному уведомлению, в ходе киберинцидента злоумышленникам удалось выкрасть исходный код Okta.
Как сообщается, ранее в этом месяце GitHub предупреждал Okta о подозрительном доступе к репозиториям кода Okta Workforce Identity Cloud (WIC). При этом продукт Auth0 Customer Identity Cloud не был затронут.
По словам представителей компании, несмотря на кражу исходного кода Okta, злоумышленники не получили несанкционированного доступа к корпоративным или клиентским средам. Инцидент не повлиял на возможности обслуживать клиентов.
После получения информации о возможном подозрительном доступе, Okta оперативно ввела временные ограничения на доступ к репозиториям GitHub и приостановила все интеграции со сторонними приложениями, уведомив также правоохранительные органы.
Кроме того, специалисты проверили все недавние обращения к репозиториям, последние фиксации и целостность кода.
Вообще же черная полоса для Okta началась еще в январе, когда Lapsus$ взломали ее и получили доступ к административным консолям Okta и данным клиентов, после чего последовала серия публикаций украденных данных в Telegram.
Затем в сентябре неизвестным образом были скомпрометированы репозитории исходного кода ее дочерней компании Auth0.
Но самое главное в этой истории то, что она, по всей видимости, на этом не закончится. Будем как обычно посмотреть.
Согласно просочившемуся в паблик внутрикорпоративному уведомлению, в ходе киберинцидента злоумышленникам удалось выкрасть исходный код Okta.
Как сообщается, ранее в этом месяце GitHub предупреждал Okta о подозрительном доступе к репозиториям кода Okta Workforce Identity Cloud (WIC). При этом продукт Auth0 Customer Identity Cloud не был затронут.
По словам представителей компании, несмотря на кражу исходного кода Okta, злоумышленники не получили несанкционированного доступа к корпоративным или клиентским средам. Инцидент не повлиял на возможности обслуживать клиентов.
После получения информации о возможном подозрительном доступе, Okta оперативно ввела временные ограничения на доступ к репозиториям GitHub и приостановила все интеграции со сторонними приложениями, уведомив также правоохранительные органы.
Кроме того, специалисты проверили все недавние обращения к репозиториям, последние фиксации и целостность кода.
Вообще же черная полоса для Okta началась еще в январе, когда Lapsus$ взломали ее и получили доступ к административным консолям Okta и данным клиентов, после чего последовала серия публикаций украденных данных в Telegram.
Затем в сентябре неизвестным образом были скомпрометированы репозитории исходного кода ее дочерней компании Auth0.
Но самое главное в этой истории то, что она, по всей видимости, на этом не закончится. Будем как обычно посмотреть.
Китайская Hikvision исправила критическую уязвимость в линейке своих беспроводных мостов.
Критическая уязвимость CVE-2022-28173 в системе контроля доступа затрагивает два беспроводных моста Hikvision и может привести к удаленному взлому системы видеонаблюдения.
Проблему обнаружили Соувик Кандар и Арко Дхар из индийской CCTV и IoT Redinent Innovations, о чем было сообщено поставщику в сентябре через CERT India.
16 декабря былы выпущены исправления для продуктов DS-3WF0AC-2NT и DS-3WF01C-2N/O.
Согласно бюллетеню Redinent, ошибка вызвана неправильной обработкой параметров веб-интерфейсом управления продуктом.
Злоумышленник может использовать уязвимость, чтобы получить доступ администратора к интерфейсу управления, отправив специально созданный запрос с полезной нагрузкой, не превышающей 200 байт.
После эксплуатации сеанс администрирования сохраняется с полным доступом ко всем функциям интерфейса моста.
Арко Дхар из Redinent сообщил также, что CVE-2022-28173 может быть использована из локальной сети инсайдером или злоумышленником, получившим доступ к сети организации, а также напрямую из Интернета, если уязвимое устройство находится в сети, которых, по данным Shodan и Censys, достаточно много.
После того, как злоумышленник успешно воспользуется уязвимостью, он сможет перехватить сетевой трафик или взломать всю систему видеонаблюдения.
Обычно эти устройства используются для передачи видеопотоков с камер внутри лифта или иного помещения в командный центр или на пульт управления безопасностью.
Злоумышленник может отключить или отключить видеопоток в рамках запланированного преступного инцидента — например, скоординированного ограбления или кражи — или шпионить за людьми.
Критическая уязвимость CVE-2022-28173 в системе контроля доступа затрагивает два беспроводных моста Hikvision и может привести к удаленному взлому системы видеонаблюдения.
Проблему обнаружили Соувик Кандар и Арко Дхар из индийской CCTV и IoT Redinent Innovations, о чем было сообщено поставщику в сентябре через CERT India.
16 декабря былы выпущены исправления для продуктов DS-3WF0AC-2NT и DS-3WF01C-2N/O.
Согласно бюллетеню Redinent, ошибка вызвана неправильной обработкой параметров веб-интерфейсом управления продуктом.
Злоумышленник может использовать уязвимость, чтобы получить доступ администратора к интерфейсу управления, отправив специально созданный запрос с полезной нагрузкой, не превышающей 200 байт.
После эксплуатации сеанс администрирования сохраняется с полным доступом ко всем функциям интерфейса моста.
Арко Дхар из Redinent сообщил также, что CVE-2022-28173 может быть использована из локальной сети инсайдером или злоумышленником, получившим доступ к сети организации, а также напрямую из Интернета, если уязвимое устройство находится в сети, которых, по данным Shodan и Censys, достаточно много.
После того, как злоумышленник успешно воспользуется уязвимостью, он сможет перехватить сетевой трафик или взломать всю систему видеонаблюдения.
Обычно эти устройства используются для передачи видеопотоков с камер внутри лифта или иного помещения в командный центр или на пульт управления безопасностью.
Злоумышленник может отключить или отключить видеопоток в рамках запланированного преступного инцидента — например, скоординированного ограбления или кражи — или шпионить за людьми.
Ресерчеры Trend Micro рассказали, как им удалось проэксплуатировать CVE-2022-22583 и разработать другой вариант обхода защиты целостности системы SIP - CVE-2022-32800 в инфраструктуре PackageKit в macOS.
CVE-2022-22583 была обнаружена исследователями Роном Хассом из Perception Point и Микки Джином из Trend Micro, и исправлена
Apple 26 января 2022 года.
После того, как Perception Point опубликовала в блоге подробности об уязвимости, Trend Micro стало понятно, что в своем исследовании ресерчеры использовали принципиально иной метод эксплуатации, что позволило им также обнаружить новую уязвимость CVE-2022-32800 после более глубокого изучения CVE-2022-22583.
Проблемы безопасности удалось обнаружить с помощью мониторинга процессов, которые были созданы привилегированной службой «system_installd» после установки подписанного Apple файла пакета установки программного обеспечения (PKG) в корневой том.
Поскольку служба «system_installd» имеет специальное право «com.apple.rootless.install.heritable», все сценарии будут выполняться в контексте обхода SIP.
Оба скрипта находятся внутри каталога «/tmp/PKInstallSandbox.l57ygT», который был создан функцией «-[PKInstallSandbox prepareForCommitReturningError:]».
Ей активируется другая функция «-[PKInstallSandbox _createDirectory:uniquifying:error:], которая вызывает API «mkdtemp» для создания папки без каких-либо ограничений, которой можно манипулировать с использованием двух эксплойтов.
Первый использует трюк с монтированием. Компания Perception Point подробно рассказала об этом в своем блоге. Эксплойт Trend Micro использует другой метод: символическую ссылку.
Несмотря на наличие root, создать файл в каталоге с ограниченным доступом «/Library/Apple» невозможно, потому что статус SIP включен.
Но с помощью программы-эксплойта ресерчерам удалось выполнять произвольные команды в контексте обхода SIP и успешно создавать файл в каталоге с ограниченным доступом.
Полное доказательство концепции этого эксплойта выложено на GitHub.
Уязвимость CVE-2022-32800 позволяет злоумышленнику перехватить файл «SandboxState», чтобы получить примитив обхода SIP.
Файл «SandboxState» хранится в «Пути к песочнице», который находится внутри «репозитория песочницы». В обычном сценарии «репозиторий песочницы» ограничен для пакетов, подписанных Apple.
Однако, если местом установки является том DMG (образ диска), «репозиторий песочницы» вообще не ограничен. То же самое верно и для файла «SandboxState».
Существуют разные способы использования проблемы. Полное доказательство концепции этого эксплойта можно найти на GitHub, а видео демонстрации можно посмотреть здесь.
Для успешной защиты систем от уязвимостей пользователи должны регулярно обновлять свои операционные системы.
Что касается обсуждаемых уязвимостей, CVE-2022-22583 была исправлена в январе 2022 года, а CVE-2022-32800 — в июле 2022 года.
CVE-2022-22583 была обнаружена исследователями Роном Хассом из Perception Point и Микки Джином из Trend Micro, и исправлена
Apple 26 января 2022 года.
После того, как Perception Point опубликовала в блоге подробности об уязвимости, Trend Micro стало понятно, что в своем исследовании ресерчеры использовали принципиально иной метод эксплуатации, что позволило им также обнаружить новую уязвимость CVE-2022-32800 после более глубокого изучения CVE-2022-22583.
Проблемы безопасности удалось обнаружить с помощью мониторинга процессов, которые были созданы привилегированной службой «system_installd» после установки подписанного Apple файла пакета установки программного обеспечения (PKG) в корневой том.
Поскольку служба «system_installd» имеет специальное право «com.apple.rootless.install.heritable», все сценарии будут выполняться в контексте обхода SIP.
Оба скрипта находятся внутри каталога «/tmp/PKInstallSandbox.l57ygT», который был создан функцией «-[PKInstallSandbox prepareForCommitReturningError:]».
Ей активируется другая функция «-[PKInstallSandbox _createDirectory:uniquifying:error:], которая вызывает API «mkdtemp» для создания папки без каких-либо ограничений, которой можно манипулировать с использованием двух эксплойтов.
Первый использует трюк с монтированием. Компания Perception Point подробно рассказала об этом в своем блоге. Эксплойт Trend Micro использует другой метод: символическую ссылку.
Несмотря на наличие root, создать файл в каталоге с ограниченным доступом «/Library/Apple» невозможно, потому что статус SIP включен.
Но с помощью программы-эксплойта ресерчерам удалось выполнять произвольные команды в контексте обхода SIP и успешно создавать файл в каталоге с ограниченным доступом.
Полное доказательство концепции этого эксплойта выложено на GitHub.
Уязвимость CVE-2022-32800 позволяет злоумышленнику перехватить файл «SandboxState», чтобы получить примитив обхода SIP.
Файл «SandboxState» хранится в «Пути к песочнице», который находится внутри «репозитория песочницы». В обычном сценарии «репозиторий песочницы» ограничен для пакетов, подписанных Apple.
Однако, если местом установки является том DMG (образ диска), «репозиторий песочницы» вообще не ограничен. То же самое верно и для файла «SandboxState».
Существуют разные способы использования проблемы. Полное доказательство концепции этого эксплойта можно найти на GitHub, а видео демонстрации можно посмотреть здесь.
Для успешной защиты систем от уязвимостей пользователи должны регулярно обновлять свои операционные системы.
Что касается обсуждаемых уязвимостей, CVE-2022-22583 была исправлена в январе 2022 года, а CVE-2022-32800 — в июле 2022 года.
Trend Micro
A Technical Analysis of CVE-2022-22583 and CVE-2022-32800
This blog entry discusses the technical details of how we exploited CVE-2022-22583 using a different method. We also tackle the technical details of CVE-2022-32800, another SIP-bypass that we discovered more recently, in this report.
Ресерчеры швейцарской Modzero обнаружили серьезные уязвимости в менеджере паролей Passwordstate австралийского разработчика Click Studios.
Они могут позволить злоумышленнику, не прошедшему проверку подлинности, извлечь пароли пользователей.
Исследователи обнаружили в Passwordstate семь типов уязвимостей, в том числе проблемы, связанные с обходом аутентификации и авторизации, неправильной защитой паролей, жестко закодированными учетными данными и уязвимостью XSS.
Ошибке обхода аутентификации API, отслеживаемой как CVE-2022-3875, был присвоен критический уровень серьезности.
Другие уязвимости получили средние или низкие оценки серьезности, но тем не менее могут представлять значительный риск в сочетании с другими багами.
Исследователи Modzero также продемонстрировали, как злоумышленник, знающий только имя целевого пользователя, может подделать токен API для этого его имени, просмотреть все списки паролей, добавить полезную нагрузку XSS в учетную запись жертвы с помощью ввода нового пароля, реализовать обратную оболочку и выгрузить сохраненные пароли в скомпрометированном Passwordstate.
Учитывая широкую востребованность продукта, в том числе и компаниями из Fortune 500, Passwordstate достаточно часто попадает под прицел хакеров.
В апреле 2021 года компания производила сброс всех паролей пользователей после того, как в результате атаки на цепочку поставок распространялось вредоносное обновление.
Проблемы были исправлены в начале ноября с выпуском версии 9.6 сборки 9653.
Дополнительные технические подробности доступны в отчете, опубликованном Modzero на этой неделе.
Они могут позволить злоумышленнику, не прошедшему проверку подлинности, извлечь пароли пользователей.
Исследователи обнаружили в Passwordstate семь типов уязвимостей, в том числе проблемы, связанные с обходом аутентификации и авторизации, неправильной защитой паролей, жестко закодированными учетными данными и уязвимостью XSS.
Ошибке обхода аутентификации API, отслеживаемой как CVE-2022-3875, был присвоен критический уровень серьезности.
Другие уязвимости получили средние или низкие оценки серьезности, но тем не менее могут представлять значительный риск в сочетании с другими багами.
Исследователи Modzero также продемонстрировали, как злоумышленник, знающий только имя целевого пользователя, может подделать токен API для этого его имени, просмотреть все списки паролей, добавить полезную нагрузку XSS в учетную запись жертвы с помощью ввода нового пароля, реализовать обратную оболочку и выгрузить сохраненные пароли в скомпрометированном Passwordstate.
Учитывая широкую востребованность продукта, в том числе и компаниями из Fortune 500, Passwordstate достаточно часто попадает под прицел хакеров.
В апреле 2021 года компания производила сброс всех паролей пользователей после того, как в результате атаки на цепочку поставок распространялось вредоносное обновление.
Проблемы были исправлены в начале ноября с выпуском версии 9.6 сборки 9653.
Дополнительные технические подробности доступны в отчете, опубликованном Modzero на этой неделе.
Modzero
Better Make Sure Your Password Manager Is Secure | mod%log
We examined the password management solution Passwordstate of Click Studios and identified multiple high severity vulnerabilities (CVE-2022-3875, CVE-2022-3876, CVE-2022-3877).
Corsair подтвердила ошибку в прошивке клавиатур K100, которая является причиной автоматического ввода ранее введенного текста в приложения спустя несколько дней.
Впервые о странном поведении девайсов упоминалось на форуме Corsair еще в августе 2022 года.
Признание компании последовало после того, как пользователи начала массово жаловаться на K100, ссылаясь на то, что их клавиатуры сами набирают текст в случайные моменты.
Некоторые пользователи даже тестировали свои клавиатуры K100 в безопасном режиме для исключения версии о возможном вредоносном ПО, но все равно сталкивались со случайным вводом слов.
После чего все же было установлено, что источник проблемы находится в самом оборудовании.
Но больше всего пользователей встревожила даже не возможная вредоносная кампания, а наличие незадекларированных функций.
Производитель Corsair в заявлении Ars Technica сразу же поспешил заверить, что их клавиатуры не имеют возможности регистрации ввода данных пользователем.
При этом в качестве причины зафиксированных сбоев компания отметила проблему функции записи макросов, из-за которой она включается по ошибке и начинает записывать нажатия клавиш и движения мыши.
Затем эти макросы затем запускаются позже, в результате чего сохраненный текст вводится снова.
Тем не менее, представитель Corsair продолжают работать над выяснением точной природы проблемы, а последнее обновление прошивки, доступное для устройств K100 (версия 1.11.39) не то, чтобы не решает проблему, а вовсе приводит к случайным зависаниям.
Все, что остается простым пользователям Corsair - периодически сбрасывать девайсы до заводских настроек.
И главное - ожидать когда, ответственные за макрос службы отладят софт и данные будут уходить не на экран, а сразу по нужному адресу в Ленгли, не беспокоя пользователей.
Впервые о странном поведении девайсов упоминалось на форуме Corsair еще в августе 2022 года.
Признание компании последовало после того, как пользователи начала массово жаловаться на K100, ссылаясь на то, что их клавиатуры сами набирают текст в случайные моменты.
Некоторые пользователи даже тестировали свои клавиатуры K100 в безопасном режиме для исключения версии о возможном вредоносном ПО, но все равно сталкивались со случайным вводом слов.
После чего все же было установлено, что источник проблемы находится в самом оборудовании.
Но больше всего пользователей встревожила даже не возможная вредоносная кампания, а наличие незадекларированных функций.
Производитель Corsair в заявлении Ars Technica сразу же поспешил заверить, что их клавиатуры не имеют возможности регистрации ввода данных пользователем.
При этом в качестве причины зафиксированных сбоев компания отметила проблему функции записи макросов, из-за которой она включается по ошибке и начинает записывать нажатия клавиш и движения мыши.
Затем эти макросы затем запускаются позже, в результате чего сохраненный текст вводится снова.
Тем не менее, представитель Corsair продолжают работать над выяснением точной природы проблемы, а последнее обновление прошивки, доступное для устройств K100 (версия 1.11.39) не то, чтобы не решает проблему, а вовсе приводит к случайным зависаниям.
Все, что остается простым пользователям Corsair - периодически сбрасывать девайсы до заводских настроек.
И главное - ожидать когда, ответственные за макрос службы отладят софт и данные будут уходить не на экран, а сразу по нужному адресу в Ленгли, не беспокоя пользователей.
Corsair Community
K100 keyboard randomly starts typing on its own
I have a K100 keyboard which I have plugged into a KVM switch and shared between two computers (one gaming PC, and one work MacBook Pro laptop). Every couple of days, the keyboard has started randomly typing on its own while I am working on the MacBook. It…
Washington Post раскрывает коварное коварство русских экспатов, которые публично отреклись от России и всего с ней связанного, но продолжают в сердце носить красное знамя и грезить захватом Потомака дабы потом ловить в нем налима и стирать портянки.
В этот раз досталось Галицкому и его Almaz Capital, а также Сергею Белоусову с его, как вы догадались, Acronis и Runa Capital.
Что таки Белоусов не делал - сингапурское гражданство получил, имя на Серг Белл поменял, спецоперацию осудил. Все равно в глазах возмущенной либеральной общественности он является тайным проводником намерений Кремля завладеть тайными технологическими секретами просвещенного запада.
Кстати, Белоусов распространяет порочную практику на смену имени и на своих сотрудников, не шутим. Но в конце сказки таких хитровыдуманных персонажей все равно настигает "смерть через мабуту".
Кстати, уважаемой сингапурской инфосек компании Group-IB стоит взять на заметку, поскольку в один прекрасный момент она может превратиться в форпост Мордора в Ривенделле. Хотя у них и в России не очень. По понятным, впрочем, причинам.
Белоусову же можем посоветовать забить на лбу портрет Айн Рэнд и стать королевой гендерквира. Глядишь поможет.
В этот раз досталось Галицкому и его Almaz Capital, а также Сергею Белоусову с его, как вы догадались, Acronis и Runa Capital.
Что таки Белоусов не делал - сингапурское гражданство получил, имя на Серг Белл поменял, спецоперацию осудил. Все равно в глазах возмущенной либеральной общественности он является тайным проводником намерений Кремля завладеть тайными технологическими секретами просвещенного запада.
Кстати, Белоусов распространяет порочную практику на смену имени и на своих сотрудников, не шутим. Но в конце сказки таких хитровыдуманных персонажей все равно настигает "смерть через мабуту".
Кстати, уважаемой сингапурской инфосек компании Group-IB стоит взять на заметку, поскольку в один прекрасный момент она может превратиться в форпост Мордора в Ривенделле. Хотя у них и в России не очень. По понятным, впрочем, причинам.
Белоусову же можем посоветовать забить на лбу портрет Айн Рэнд и стать королевой гендерквира. Глядишь поможет.
Под раздачу ransomware попала одна из самых известных в мире газет The Guardian, которой в результате атаки пришлось отправить своих сотрудников домой.
Инцидент произошел вечером во вторник и затронул часть технологической инфраструктуры компании, в связи с чем сотрудникам было приказано работать из дома до конца недели, так как онлайн-издание газеты, судя по всему не пострадало.
В официальном заявлении генерального директора Guardian Media Group Анны Бейтсон говорится, что за последние 24 часа произошел серьезный инцидент, затронувший ИТ-системы и ряд бизнес-служб.
Пока неясно, какие данные злоумышленники могли получить или украсть, но раскрытие хранящейся конфиденциальной информации, наряду с потенциально раскрытыми источниками, может привести к серьезному нарушению защиты данных.
Издание продолжает публиковать информацию на своем веб-сайте и в приложениях, а уже завтра должны возобновиться публикации в печатном виде.
Технические детали и подробности отсутствуют, так как в настоящее время ведется активная работа над всеми аспектами этого инцидента.
Инцидент произошел вечером во вторник и затронул часть технологической инфраструктуры компании, в связи с чем сотрудникам было приказано работать из дома до конца недели, так как онлайн-издание газеты, судя по всему не пострадало.
В официальном заявлении генерального директора Guardian Media Group Анны Бейтсон говорится, что за последние 24 часа произошел серьезный инцидент, затронувший ИТ-системы и ряд бизнес-служб.
Пока неясно, какие данные злоумышленники могли получить или украсть, но раскрытие хранящейся конфиденциальной информации, наряду с потенциально раскрытыми источниками, может привести к серьезному нарушению защиты данных.
Издание продолжает публиковать информацию на своем веб-сайте и в приложениях, а уже завтра должны возобновиться публикации в печатном виде.
Технические детали и подробности отсутствуют, так как в настоящее время ведется активная работа над всеми аспектами этого инцидента.
Bloomberg.com
Guardian Newspaper Is Hit With Suspected Ransomware Attack
The Guardian news outlet said Wednesday it was hit with a suspected ransomware hack, leading it to tell its staff to work from home for the rest of the week.
Trend Micro сообщают, что за Royal ransomware стоят опытные злоумышленнике, которые раньше входили в команду Conti Team One.
По данным ресечреров, Royal — это модифицированная версия программы-вымогателя Zeon, появившейся ранее в этом году и связанной с Conti Team One, одной из групп, занимающихся распространением Conti ransomware.
В апреле этого года Conti свернули свою активность после большой утечки внутренних данных, которая была инициирована одним из участников на фоне разногласий из-за ситуации на Украине.
Согласно аналитики, представленной исследователем Виталием Кремезом, за Conti стояли три группы хакеров, одна из которых переключилась на Quantum ransomware, другая использовала штаммы программ-вымогателей Black Basta, Karakurt и Blackbyte, а теперь и Royal, и третья развалилась в начале 2022 года.
Как сообщает Trend Micro, программа-вымогатель Royal использовалась в атаках, нацеленных в основном на организации в США и Бразилии. При этом обычно распространялось посредством фишинга для побуждения жертв к установке ПО для удаленного доступа.
Используя вредоносное ПО для удаленного доступа, операторы программы-вымогателя Royal затем загружали в скомпрометированную систему дополнительные инструменты, в том числе QakBot и Cobalt Strike для бокового перемещения, NetScan для идентификации систем, подключенных к сети, и PCHunter, PowerTool, GMER и Process Hacker для отключения продуктов безопасности.
Киберпреступники также использовали RClone для эксфильтрации данных жертв, AdFind для поиска активных каталогов, RDPEnable для подключения к удаленному рабочему столу и PsEXEC для запуска программы-вымогателя.
В ходе атаки Royal удаляет теневые копии в системе, чтобы предотвратить восстановление данных, и увеличивает скорость шифрования, запуская потоки на всех процессорах в системе и используя форму прерывистого шифрования.
После чего ransomware оставляет записку с требованием выкупа в каждом каталоге.
Расследования атак программ-вымогателей Royal показывает, что группа успешно реализует сочетание как старых, так и новых методов, что указывает на то, что бренд - явно не новичок в индустрии программ-вымогателей.
Несмотря на «поздний» выход, в сентябре, группа уже эффективно отработала ряд компаний, а в ближайшее время ожидается, что их активность возрастет в ближайшие месяцы.
По данным ресечреров, Royal — это модифицированная версия программы-вымогателя Zeon, появившейся ранее в этом году и связанной с Conti Team One, одной из групп, занимающихся распространением Conti ransomware.
В апреле этого года Conti свернули свою активность после большой утечки внутренних данных, которая была инициирована одним из участников на фоне разногласий из-за ситуации на Украине.
Согласно аналитики, представленной исследователем Виталием Кремезом, за Conti стояли три группы хакеров, одна из которых переключилась на Quantum ransomware, другая использовала штаммы программ-вымогателей Black Basta, Karakurt и Blackbyte, а теперь и Royal, и третья развалилась в начале 2022 года.
Как сообщает Trend Micro, программа-вымогатель Royal использовалась в атаках, нацеленных в основном на организации в США и Бразилии. При этом обычно распространялось посредством фишинга для побуждения жертв к установке ПО для удаленного доступа.
Используя вредоносное ПО для удаленного доступа, операторы программы-вымогателя Royal затем загружали в скомпрометированную систему дополнительные инструменты, в том числе QakBot и Cobalt Strike для бокового перемещения, NetScan для идентификации систем, подключенных к сети, и PCHunter, PowerTool, GMER и Process Hacker для отключения продуктов безопасности.
Киберпреступники также использовали RClone для эксфильтрации данных жертв, AdFind для поиска активных каталогов, RDPEnable для подключения к удаленному рабочему столу и PsEXEC для запуска программы-вымогателя.
В ходе атаки Royal удаляет теневые копии в системе, чтобы предотвратить восстановление данных, и увеличивает скорость шифрования, запуская потоки на всех процессорах в системе и используя форму прерывистого шифрования.
После чего ransomware оставляет записку с требованием выкупа в каждом каталоге.
Расследования атак программ-вымогателей Royal показывает, что группа успешно реализует сочетание как старых, так и новых методов, что указывает на то, что бренд - явно не новичок в индустрии программ-вымогателей.
Несмотря на «поздний» выход, в сентябре, группа уже эффективно отработала ряд компаний, а в ближайшее время ожидается, что их активность возрастет в ближайшие месяцы.
Trend Micro
Conti Team One Splinter Group Resurfaces as Royal Ransomware with Callback Phishing Attacks
Ресерчеры Cisco Talos обнаружили 12 уязвимостей в OpenImageIO, которые могут привести к раскрытию конфиденциальной информации, DoS, переполнению буфера кучи и RCE.
OpenImageIO — это библиотека обработки изображений, полезная для преобразования и сравнения изображений.
Она используется в ПО для 3D-обработки AliceVision (включая Meshroom), а также Blender для чтения файлов Photoshop psd.
CVE-2022-41794, CVE-2022-38143, CVE-2022-41838, CVE-2022-41837, CVE-2022-41639 и CVE-2022-41981 был присвоен рейтинг CVSS 9.8, в связи с высоким приоритетом рисков выполнения произвольного кода. Уязвимости обусловлены механизмом обработки OpenImageIO файлов tif, psd, dds и др. файлов и типов метаданных.
CVE-2022-43597-CVE-2022-43598 касаются множественных уязвимостей, приводящих к повреждению памяти. Специально созданный объект ImageOutput может привести к RCE.
Также существуют множественные уязвимости выполнения кода, описанные в TALOS-2022-1656 (CVE-2022-43599-CVE-2022-43602). Злоумышленник может ввести вредоносные данные, чтобы активировать эти уязвимости.
Несколько уязвимостей могут вызвать отказ в обслуживании. Злоумышленник может предоставить вредоносные данные или файлы, чтобы активировать эти уязвимости (CVE-2022-41684, CVE-2022-41999, CVE-2022-43593, CVE-2022-43594-CVE-2022-43595, CVE-2022-43603).
Talos также обнаружила уязвимости раскрытия конфиденциальной информации с более низкой оценкой (CVE-2022-41977, CVE-2022-36354, CVE-2022-41649, CVE-2022-41988, CVE-2022-43592, CVE-2022-43596).
Пользователям рекомендуется как можно скорее обновить уязвимые продукты: Project OpenImageIO master-branch-9aeece7a, v2.3.19.0 и v2.4.4.2, ведь, согласно результатам исследований Talos, все предыдущие версии OpenImageIO подвержены уязвимостям.
OpenImageIO — это библиотека обработки изображений, полезная для преобразования и сравнения изображений.
Она используется в ПО для 3D-обработки AliceVision (включая Meshroom), а также Blender для чтения файлов Photoshop psd.
CVE-2022-41794, CVE-2022-38143, CVE-2022-41838, CVE-2022-41837, CVE-2022-41639 и CVE-2022-41981 был присвоен рейтинг CVSS 9.8, в связи с высоким приоритетом рисков выполнения произвольного кода. Уязвимости обусловлены механизмом обработки OpenImageIO файлов tif, psd, dds и др. файлов и типов метаданных.
CVE-2022-43597-CVE-2022-43598 касаются множественных уязвимостей, приводящих к повреждению памяти. Специально созданный объект ImageOutput может привести к RCE.
Также существуют множественные уязвимости выполнения кода, описанные в TALOS-2022-1656 (CVE-2022-43599-CVE-2022-43602). Злоумышленник может ввести вредоносные данные, чтобы активировать эти уязвимости.
Несколько уязвимостей могут вызвать отказ в обслуживании. Злоумышленник может предоставить вредоносные данные или файлы, чтобы активировать эти уязвимости (CVE-2022-41684, CVE-2022-41999, CVE-2022-43593, CVE-2022-43594-CVE-2022-43595, CVE-2022-43603).
Talos также обнаружила уязвимости раскрытия конфиденциальной информации с более низкой оценкой (CVE-2022-41977, CVE-2022-36354, CVE-2022-41649, CVE-2022-41988, CVE-2022-43592, CVE-2022-43596).
Пользователям рекомендуется как можно скорее обновить уязвимые продукты: Project OpenImageIO master-branch-9aeece7a, v2.3.19.0 и v2.4.4.2, ведь, согласно результатам исследований Talos, все предыдущие версии OpenImageIO подвержены уязвимостям.
Cisco Talos Blog
Vulnerability Spotlight: OpenImageIO file processing issues could lead to arbitrary code execution, sensitive information leak…
Cisco Talos recently discovered nineteen vulnerabilities in OpenImageIO, an image processing library, which could lead to sensitive information disclosure, denial of service and heap buffer overflows which could further lead to code execution.
OpenImageIO…
OpenImageIO…
͏Ведущая букмекерская компания BetMGM сообщила об утечке данных после киберинцидента, в ходе которого злоумышленник украл личную информацию клиентов.
Основанный в 2018 году BetMGM со штаб-квартирой в Нью-Джерси является одним из крупнейших операторов ставок на спорт.
Функционирует как совместное предприятие американской развлекательной компании MGM Resorts International и мировым букмекером Entain plc. Под брендом BetMGM также работают Borgata Casino, Party Casino и Party Poker.
Хакеры выкрали широкий спектр данных, включая имена, даты рождения, контактную информацию, номера соцстрахования, сведения об аккаунтах, а также информацию, связанную с транзакциями на платформе BetMGM.
Компания добавила, что обнаружила инцидент в ноябре 2022 года, но считает, что взлом произошел еще в мае 2022 года.
В рамках предварительного расследования BetMGM нет обнаружила доказательств того, что злоумышленниками был получен доступ к паролям клиентов или средствам на счетах.
На онлайн-операции BetMGM инцидент также не повлиял. Компания уведомляет своих клиентов, рекомендуя им следить за возможной подозрительной активностью, связанной с их личной информацией.
Несмотря на то, что букмекерская контора так и не раскрыла обстоятельств инцидента и не называет объем утечки, вероятный злоумышленник под именем etmgmhacked уже продает в даркнете базу данных казино, актуальную по состоянию на ноябрь 2022 года.
База включает всех клиентов казино BetMGM из Мичигана, Нью-Джерси, ON, PV и WV, или 1 569 310 записей о пользователях, сделавших когда-либо ставку на площадке.
Потенциальным заинтересантам предлагается набор записей из числа игроков BetMGM в Нью-Джерси и Пенсильвании, а также массив с информацией о клиентах из всех штатов.
Полагаем, что столь ценный массив сведений в отношении игрозависимых персоналий не залежится долго на прилавке и будет быстро монетизирован, а также непременно уйдет в работу по линии соответствующих служб.
Основанный в 2018 году BetMGM со штаб-квартирой в Нью-Джерси является одним из крупнейших операторов ставок на спорт.
Функционирует как совместное предприятие американской развлекательной компании MGM Resorts International и мировым букмекером Entain plc. Под брендом BetMGM также работают Borgata Casino, Party Casino и Party Poker.
Хакеры выкрали широкий спектр данных, включая имена, даты рождения, контактную информацию, номера соцстрахования, сведения об аккаунтах, а также информацию, связанную с транзакциями на платформе BetMGM.
Компания добавила, что обнаружила инцидент в ноябре 2022 года, но считает, что взлом произошел еще в мае 2022 года.
В рамках предварительного расследования BetMGM нет обнаружила доказательств того, что злоумышленниками был получен доступ к паролям клиентов или средствам на счетах.
На онлайн-операции BetMGM инцидент также не повлиял. Компания уведомляет своих клиентов, рекомендуя им следить за возможной подозрительной активностью, связанной с их личной информацией.
Несмотря на то, что букмекерская контора так и не раскрыла обстоятельств инцидента и не называет объем утечки, вероятный злоумышленник под именем etmgmhacked уже продает в даркнете базу данных казино, актуальную по состоянию на ноябрь 2022 года.
База включает всех клиентов казино BetMGM из Мичигана, Нью-Джерси, ON, PV и WV, или 1 569 310 записей о пользователях, сделавших когда-либо ставку на площадке.
Потенциальным заинтересантам предлагается набор записей из числа игроков BetMGM в Нью-Джерси и Пенсильвании, а также массив с информацией о клиентах из всех штатов.
Полагаем, что столь ценный массив сведений в отношении игрозависимых персоналий не залежится долго на прилавке и будет быстро монетизирован, а также непременно уйдет в работу по линии соответствующих служб.
Начиная с 19 декабря повалились жалобы от пользователей электронной почты Xfinity, которые начали получать сообщения об обновлении информации об их учетной записи.
При этом доступ к аккаунту был утрачен, так как пароли были изменены.
После восстановления доступа к своим учетным записям пользователи увидели, что их взломали, а в профиль был добавлен дополнительный адрес электронной почты с доменом yopmail[.]com.
Причем, на учетных записях пользователей была установлена двухфакторная аутентификация, но тем не менее злоумышленникам удалось ее обойти.
Волна гневных комментариев от ряда пользователей Xfinity, чьи учетные записи были скомпрометированы уже прошла на Reddit и Twitter, а также затронула и их собственный сайт.
После того, как злоумышленники получали доступ к учетной записи и им необходимо было ввести код двухфакторной аутентификации.
Для этого ими, предположительно, использовался приватный метод OTP-обхода для сайта Xfinity, который позволял им подделывать успешные запросы проверки 2Fa.
После успешного входа злоумышленник сбрасывал пароль, а также менял дополнительный адрес электронной почты для получения писем при последующем восстановлении паролей от других сайтов, преимущественно криптовалютных бирж, таких как Coinbase и Gemini.
Xfinity пока официально никак не комментирует ситуацию, но, со слов одного из клиентов, который описал ситуацию на Reddit, корпорация знает о взломе, ведет расследование для выяснения источника атака и локализации последствий инцидента.
При этом доступ к аккаунту был утрачен, так как пароли были изменены.
После восстановления доступа к своим учетным записям пользователи увидели, что их взломали, а в профиль был добавлен дополнительный адрес электронной почты с доменом yopmail[.]com.
Причем, на учетных записях пользователей была установлена двухфакторная аутентификация, но тем не менее злоумышленникам удалось ее обойти.
Волна гневных комментариев от ряда пользователей Xfinity, чьи учетные записи были скомпрометированы уже прошла на Reddit и Twitter, а также затронула и их собственный сайт.
После того, как злоумышленники получали доступ к учетной записи и им необходимо было ввести код двухфакторной аутентификации.
Для этого ими, предположительно, использовался приватный метод OTP-обхода для сайта Xfinity, который позволял им подделывать успешные запросы проверки 2Fa.
После успешного входа злоумышленник сбрасывал пароль, а также менял дополнительный адрес электронной почты для получения писем при последующем восстановлении паролей от других сайтов, преимущественно криптовалютных бирж, таких как Coinbase и Gemini.
Xfinity пока официально никак не комментирует ситуацию, но, со слов одного из клиентов, который описал ситуацию на Reddit, корпорация знает о взломе, ведет расследование для выяснения источника атака и локализации последствий инцидента.
Reddit
From the Comcast_Xfinity community on Reddit
Explore this post and more from the Comcast_Xfinity community
Forwarded from Russian OSINT
"Берем на себя ответственность за атаку на крупнейшую интегрированную энергетическую компанию США. IP: XX.XX.XX.XX:XXXX - все системы зашифрованы, контроллеры выведены в критическое состояние!" - написали хакеры в своём Telegram-канале.
Please open Telegram to view this post
VIEW IN TELEGRAM
Пострадавшая в результате киберинцидента в августе 2022 года LastPass сообщила о более серьезных последствиях, нежели чем считалось ранее.
Как позже стало известно, злоумышленникам удалось получить доступ к внушительному объему личной информации ее клиентов, включая зашифрованные данные хранилища паролей.
Предварительное расследование указало тогда на компрометацию хакерами исходного кода и технической информации из среды разработки.
В LastPass отметили, что это позволило неустановленному актору скопировать резервную копию данных хранилища клиентов из зашифрованного контейнера хранилища.
Оно реализовано в собственном двоичном формате, в котором содержатся как незашифрованные данные (URL-адреса веб-сайтов), так и полностью зашифрованные поля (имена пользователей и пароли веб-сайтов, защищенные заметки и др).
Зашифрованные поля защищены с помощью 256-битного шифрования AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля пользователя с использованием так называемой архитектуры компании с нулевым разглашением.
По факту была украдена почти вся основная информация об учетной записи клиента и связанные метаданные, включая наименование компаний, имена конечных пользователей, платежные адреса, электронная почта, номера телефонов и IP-адреса доступа к LastPass.
При этом инцидент не затронул незашифрованные финансовые данные, поскольку они архивировались в контейнер облачного хранилища.
LastPass не разглашает общее число пострадавших пользователей, однако отметила об уведомлении менее 3% своих клиентов о необходимости принятия дополнительных мер по обеспечению безопасности своих конфиденциальных данных.
Также компания призывает пользователей избегать повторного использования мастер-паролей на других сайтах.
В целом же, компания ожидает потенциальные атаки на клиентов посредством социнженерии и брута для последующего взлома мастер-пароля и расшифровки копии украденных данных хранилища.
Будем посмотреть.
Как позже стало известно, злоумышленникам удалось получить доступ к внушительному объему личной информации ее клиентов, включая зашифрованные данные хранилища паролей.
Предварительное расследование указало тогда на компрометацию хакерами исходного кода и технической информации из среды разработки.
В LastPass отметили, что это позволило неустановленному актору скопировать резервную копию данных хранилища клиентов из зашифрованного контейнера хранилища.
Оно реализовано в собственном двоичном формате, в котором содержатся как незашифрованные данные (URL-адреса веб-сайтов), так и полностью зашифрованные поля (имена пользователей и пароли веб-сайтов, защищенные заметки и др).
Зашифрованные поля защищены с помощью 256-битного шифрования AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля пользователя с использованием так называемой архитектуры компании с нулевым разглашением.
По факту была украдена почти вся основная информация об учетной записи клиента и связанные метаданные, включая наименование компаний, имена конечных пользователей, платежные адреса, электронная почта, номера телефонов и IP-адреса доступа к LastPass.
При этом инцидент не затронул незашифрованные финансовые данные, поскольку они архивировались в контейнер облачного хранилища.
LastPass не разглашает общее число пострадавших пользователей, однако отметила об уведомлении менее 3% своих клиентов о необходимости принятия дополнительных мер по обеспечению безопасности своих конфиденциальных данных.
Также компания призывает пользователей избегать повторного использования мастер-паролей на других сайтах.
В целом же, компания ожидает потенциальные атаки на клиентов посредством социнженерии и брута для последующего взлома мастер-пароля и расшифровки копии украденных данных хранилища.
Будем посмотреть.
Lastpass
Security Incident December 2022 Update - LastPass - The LastPass Blog
Please refer to the latest article for updated information.nbs[..]
Microsoft, как обычно, незаметно исправила важную уязвимость безопасности в службе Azure (ACS) после того, как исследователи из Mnemonic обнаружили, что проблемная функция допускает атаки в обход сети между арендаторами.
Как выяснили ресерчеры, уязвимость позволяет обойти периметр идентификации изолированных от Интернета экземпляров Azure Cognitive Search и предоставляет межклиентский доступ к плоскости данных экземпляров ACS из любого места, включая экземпляры без явного доступа к сети.
Ошибка затронула все экземпляры службы Azure с активированной функцией «разрешить доступ с портала».
Включив эту функцию, клиенты фактически разрешили межклиентский доступ к плоскости данных своих экземпляров ACS из любого места, независимо от фактических сетевых конфигураций последних.
Причем сюда вошли экземпляры, открытые исключительно на частных конечных точках, а также экземпляры без явного доступа к сети, даже без какой-либо частной, служебной или общедоступной конечной точки.
Простым нажатием кнопки клиенты могли включить уязвимую функцию, которая фактически сбрасывала весь сетевой периметр, настроенный вокруг их экземпляров ACS, без предоставления какого-либо реального периметра идентификации, позволяя любому создать действительный токен доступа для ARM.
Microsoft заплатила вознаграждение в размере 10 000 долларов и повысила уровень серьезности баги с умеренного до серьезного из-за простоты эксплуатации и создания риска эксплуатации для множества пользователей.
В какой-то момент в процессе раскрытия информации Microsof заявила, что исправление было отложено, потому что исправление требовало значительного изменения уровня дизайна.
Правда, по словам исследователя Эмильена Сокки, уязвимость, получившая наименование ACSESSED, все же была исправлена Microsoft без официального объявления в конце августа 2022 года, примерно через шесть месяцев после того, как о ней впервые сообщили.
Как выяснили ресерчеры, уязвимость позволяет обойти периметр идентификации изолированных от Интернета экземпляров Azure Cognitive Search и предоставляет межклиентский доступ к плоскости данных экземпляров ACS из любого места, включая экземпляры без явного доступа к сети.
Ошибка затронула все экземпляры службы Azure с активированной функцией «разрешить доступ с портала».
Включив эту функцию, клиенты фактически разрешили межклиентский доступ к плоскости данных своих экземпляров ACS из любого места, независимо от фактических сетевых конфигураций последних.
Причем сюда вошли экземпляры, открытые исключительно на частных конечных точках, а также экземпляры без явного доступа к сети, даже без какой-либо частной, служебной или общедоступной конечной точки.
Простым нажатием кнопки клиенты могли включить уязвимую функцию, которая фактически сбрасывала весь сетевой периметр, настроенный вокруг их экземпляров ACS, без предоставления какого-либо реального периметра идентификации, позволяя любому создать действительный токен доступа для ARM.
Microsoft заплатила вознаграждение в размере 10 000 долларов и повысила уровень серьезности баги с умеренного до серьезного из-за простоты эксплуатации и создания риска эксплуатации для множества пользователей.
В какой-то момент в процессе раскрытия информации Microsof заявила, что исправление было отложено, потому что исправление требовало значительного изменения уровня дизайна.
Правда, по словам исследователя Эмильена Сокки, уязвимость, получившая наименование ACSESSED, все же была исправлена Microsoft без официального объявления в конце августа 2022 года, примерно через шесть месяцев после того, как о ней впервые сообщили.
Mnemonic
ACSESSED: Cross-tenant network bypass in Azure Cognitive Search
How enabling a single vulnerable feature removed the entire network and identity perimeter around internet-isolated Azure Cognitive Search instances.
Эксперты предупреждают о критической уязвимости ядра Linux в 10 баллов по шкале CVSS, которая затрагивает серверы SMB и может привести к RCE.
Критическая уязвимость ядра Linux делает уязвимыми для взлома SMB-серверы с включенным ksmbd (сервер ядра Linux, который реализует протокол SMB3 в пространстве ядра для обмена файлами по сети).
Проблема связана с неправильной обработкой команд SMB2_TREE_DISCONNECT, в виду отсутствия проверки существования объекта перед выполнением операций над объектом.
Удаленный злоумышленник, не прошедший проверку подлинности, может выполнить произвольный код на уязвимых установках ядра Linux.
Для использования этой уязвимости не требуется аутентификация, но уязвимы только системы с включенным ksmbd.
Уязвимость была обнаружена 26 июля 2022 года исследователями Арно Гатиньолом, Квентином Минстером, Флораном Соделем и Гийомом Тесье из команды Thales Group, и была публично раскрыта 22 декабря 2022 года.
Исследователь Шир Тамари из Wiz_IO отметил, что SMB-серверы, использующие Samba, не затронуты, добавив, что SMB-серверы, использующие ksmbd, уязвимы для доступа на чтение, что может привести к утечке памяти сервера (по аналогии с уязвимостью Heartbleed).
В силу новизны ksmbd большинство пользователей по-прежнему используют Samba.
Администраторам, использующим же ksmbd, рекомендуется обновить ядро Linux до выпущенной в августе версии 5.15.61 или более поздней.
Критическая уязвимость ядра Linux делает уязвимыми для взлома SMB-серверы с включенным ksmbd (сервер ядра Linux, который реализует протокол SMB3 в пространстве ядра для обмена файлами по сети).
Проблема связана с неправильной обработкой команд SMB2_TREE_DISCONNECT, в виду отсутствия проверки существования объекта перед выполнением операций над объектом.
Удаленный злоумышленник, не прошедший проверку подлинности, может выполнить произвольный код на уязвимых установках ядра Linux.
Для использования этой уязвимости не требуется аутентификация, но уязвимы только системы с включенным ksmbd.
Уязвимость была обнаружена 26 июля 2022 года исследователями Арно Гатиньолом, Квентином Минстером, Флораном Соделем и Гийомом Тесье из команды Thales Group, и была публично раскрыта 22 декабря 2022 года.
Исследователь Шир Тамари из Wiz_IO отметил, что SMB-серверы, использующие Samba, не затронуты, добавив, что SMB-серверы, использующие ksmbd, уязвимы для доступа на чтение, что может привести к утечке памяти сервера (по аналогии с уязвимостью Heartbleed).
В силу новизны ksmbd большинство пользователей по-прежнему используют Samba.
Администраторам, использующим же ksmbd, рекомендуется обновить ядро Linux до выпущенной в августе версии 5.15.61 или более поздней.
Zerodayinitiative
ZDI-22-1690
Linux Kernel ksmbd Use-After-Free Remote Code Execution Vulnerability
Исследователь ReSolver обнаружил бэкдор в маршрутизаторах ZyXEL LTE3301-M209 LTE.
CVE-2022-40602 связана с жестко закодированными учетными данными по аналогии с аналогичными проблемами в Telnet в D-Link DWR-921. Он проанализировал ELF, сосредоточив внимание на функциях amit, которые содержали лазейку в маршрутизаторах D-Link.
Прошивка в основном представляет собой слияние 3 разделов, раздел LZMA — это ядро, по адресу 0x148CD6 — root-fs, а по адресу 0x90BD36 — содержимое www.
Внутри последних Squashfs есть файл, который содержит по адресу 0x10 целевые байты Zlib. Несмотря на то, что он не нашел учетных данных Telnet, но обнаружил что-то похожее на бэкдор в веб-интерфейсе.
12 сентября 2022 года он уведомил ZyXEL об уязвимости, отправив технические подробности. Через два дня ZyXEL подтвердила проблемы и отметила, что баги затрагивают только модель LTE3301-M209.
19 октября ошибке был присвоен CVE, а 22 ноября был опубликован бюллетень безопасности ZyXEL и выпущено исправление для прошивки.
Zyxel PSIRT решила не раскрывать учетные данные, чтобы предотвратить массовую эксплуатацию в дикой природе.
Владельцам затронутых устройств необходимо как можно скорее обновить их до последней версии прошивки.
CVE-2022-40602 связана с жестко закодированными учетными данными по аналогии с аналогичными проблемами в Telnet в D-Link DWR-921. Он проанализировал ELF, сосредоточив внимание на функциях amit, которые содержали лазейку в маршрутизаторах D-Link.
Прошивка в основном представляет собой слияние 3 разделов, раздел LZMA — это ядро, по адресу 0x148CD6 — root-fs, а по адресу 0x90BD36 — содержимое www.
Внутри последних Squashfs есть файл, который содержит по адресу 0x10 целевые байты Zlib. Несмотря на то, что он не нашел учетных данных Telnet, но обнаружил что-то похожее на бэкдор в веб-интерфейсе.
12 сентября 2022 года он уведомил ZyXEL об уязвимости, отправив технические подробности. Через два дня ZyXEL подтвердила проблемы и отметила, что баги затрагивают только модель LTE3301-M209.
19 октября ошибке был присвоен CVE, а 22 ноября был опубликован бюллетень безопасности ZyXEL и выпущено исправление для прошивки.
Zyxel PSIRT решила не раскрывать учетные данные, чтобы предотвратить массовую эксплуатацию в дикой природе.
Владельцам затронутых устройств необходимо как можно скорее обновить их до последней версии прошивки.
Blogspot
[ CVE-2022-40602 ] ZyXEL LTE3301-M209 - "Backdoor" credentials
Hi Folks, as a continuation from the previous post, we're going to take a look at ZyXEL LTE3301-M209. [!] Togheter with Zyxel PSIRT, we deci...
Еще раз вернемся к Zerobot, о котором изначально сообщали Fortinet две недели назад.
Ботнет Интернета вещей (IoT) представляет собой самовоспроизводящееся и самораспространяющеся вредоносное ПО, написанное на языке Golang (Go) и нацеленное более чем на двенадцать архитектур, с широким спектром возможностей распределенной DDoS.
Microsoft опубликовала собственный анализ Zerobot, предупредив, что вредоносное ПО было обновлено с дополнительными возможностями, включая эксплойты для двух уязвимостей в Apache и Apache Spark, отслеживаемых как CVE-2021-42013 и CVE-2022-33891 соответственно.
Известно, что ошибка подделки запросов на стороне сервера (SSRF), исправленная в октябре 2021 года, CVE-2021-42013, также использовалась и в других ботнетах, включая Enemybot DDoS.
В дополнение к ранее обнаруженным эксплойтам, проанализированный Microsoft образец Zerobot также включает эксплойты для CVE-2017-17105 (Zivif PR115-204-P-RS), CVE-2019-10655 (Grandstream), CVE-2020-25223 (Sophos SG UTM), CVE-2022-31137 (Roxy-WI) и ZSL-2022-5717 (MiniDVBLinux).
После выпуска Zerobot 1.1 операторы вредоносных программ исключили CVE-2018-12613, уязвимость phpMyAdmin, которая могла позволить злоумышленникам просматривать или выполнять файлы.
При этом исследователи также обнаружили новые доказательства того, что Zerobot распространяется, компрометируя устройства с известными уязвимостями, которые не включены в двоичный файл вредоносного ПО, такими как CVE-2022-30023, уязвимость внедрения команд в маршрутизаторах Tenda GPON AC1200.
После компрометации устройства Zerobot внедряет сценарий для запуска вредоносного ПО ботнета (или сценарий для определения архитектуры устройства и получения соответствующего двоичного файла), обеспечивая устойчивость.
Угроза не нацелена на компьютеры с Windows, но Microsoft заявляет, что обнаружила образцы Zerobot, которые могут работать в среде Windows.
Обновленный вариант Zerobot содержит несколько новых возможностей для запуска DDoS-атак с использованием протоколов UDP, ICMP, TCP, SYN, ACK и SYN-ACK.
Zerobot также может сканировать Интернет на наличие дополнительных устройств для заражения. Эта функция позволяет ему сканировать наборы случайно сгенерированных IP-адресов, пытаясь идентифицировать IP-адреса приманки.
Microsoft также определила образец, который может работать в Windows на основе кроссплатформенного (Linux, Windows, macOS) средства удаленного администрирования с открытым исходным кодом (RAT) с различными функциями, такими как управление процессами, файловые операции, создание снимков экрана и выполнение команд.
Ботнет Интернета вещей (IoT) представляет собой самовоспроизводящееся и самораспространяющеся вредоносное ПО, написанное на языке Golang (Go) и нацеленное более чем на двенадцать архитектур, с широким спектром возможностей распределенной DDoS.
Microsoft опубликовала собственный анализ Zerobot, предупредив, что вредоносное ПО было обновлено с дополнительными возможностями, включая эксплойты для двух уязвимостей в Apache и Apache Spark, отслеживаемых как CVE-2021-42013 и CVE-2022-33891 соответственно.
Известно, что ошибка подделки запросов на стороне сервера (SSRF), исправленная в октябре 2021 года, CVE-2021-42013, также использовалась и в других ботнетах, включая Enemybot DDoS.
В дополнение к ранее обнаруженным эксплойтам, проанализированный Microsoft образец Zerobot также включает эксплойты для CVE-2017-17105 (Zivif PR115-204-P-RS), CVE-2019-10655 (Grandstream), CVE-2020-25223 (Sophos SG UTM), CVE-2022-31137 (Roxy-WI) и ZSL-2022-5717 (MiniDVBLinux).
После выпуска Zerobot 1.1 операторы вредоносных программ исключили CVE-2018-12613, уязвимость phpMyAdmin, которая могла позволить злоумышленникам просматривать или выполнять файлы.
При этом исследователи также обнаружили новые доказательства того, что Zerobot распространяется, компрометируя устройства с известными уязвимостями, которые не включены в двоичный файл вредоносного ПО, такими как CVE-2022-30023, уязвимость внедрения команд в маршрутизаторах Tenda GPON AC1200.
После компрометации устройства Zerobot внедряет сценарий для запуска вредоносного ПО ботнета (или сценарий для определения архитектуры устройства и получения соответствующего двоичного файла), обеспечивая устойчивость.
Угроза не нацелена на компьютеры с Windows, но Microsoft заявляет, что обнаружила образцы Zerobot, которые могут работать в среде Windows.
Обновленный вариант Zerobot содержит несколько новых возможностей для запуска DDoS-атак с использованием протоколов UDP, ICMP, TCP, SYN, ACK и SYN-ACK.
Zerobot также может сканировать Интернет на наличие дополнительных устройств для заражения. Эта функция позволяет ему сканировать наборы случайно сгенерированных IP-адресов, пытаясь идентифицировать IP-адреса приманки.
Microsoft также определила образец, который может работать в Windows на основе кроссплатформенного (Linux, Windows, macOS) средства удаленного администрирования с открытым исходным кодом (RAT) с различными функциями, такими как управление процессами, файловые операции, создание снимков экрана и выполнение команд.
Telegram
SecAtor
͏Fortinet FortiGuard Labs заметили новый ботнет на основе Go под названием Zerobot, который распространяется в дикой природе, используя почти два десятка уязвимостей в устройствах IoT и другом ПО.
Ботнет включает несколько модулей, поддерживая саморепликацию…
Ботнет включает несколько модулей, поддерживая саморепликацию…
Видимо в канун нового года не до обновлений, особенно когда в Интернет-магазинах на WordPress идет активная продажа подарочных карт через популярный плагин YITH WooCommerce Gift Cards Premium.
Как оказалась, не менее активные продажи и у хакеров, которые штудируют сеть и эксплуатируют критическую уязвимость плагина CVE-2022-45359 с оценкой 9,8 по CVSS, которая позволяет неаутентифицированным пользователям загружать файлы на уязвимые ресурсы, обеспечивая себе полный контроль.
По классике жанра, все что касается WordPress всегда славится масштабом угроз и ошибка в YITH WooCommerce Gift Cards Premium не исключение, так как плагин используется на более чем 50 000 сайтах.
Уязвимость обнаружена 22 ноября и затрагивает все версии плагина вплоть до 3.19.0.
Патч появился еще в составе версии 3.20.0, но с тех пор производитель уже выпустил версию 3.21.0 и теперь настоятельно рекомендует обновляться именно до нее.
Исследователи Wordfence сообщают, что многие сайты, до сих пор используют уязвимую версию плагина, что к сожалению, не осталось без внимания злоумышленников, которые полным ходом эксплуатируют баг для загрузки бэкдоров, RCE и захвата чужих сайтов.
Специалисты разобрали эксплоит, который используют хакеры и выяснили, что корень проблемы заключается в функции import_actions_from_settings_panel, которая связана с хуком admin_init.
Кроме того, эта функция не выполняет проверки CSRF и capability, что в итоге позволяет отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных исполняемых PHP-файлов на сайт. В логах это отображается, как unexpected POST-запросы с неизвестных IP-адресов.
Wordfence выяснили, что на уязвимые сайты хакеры загружали следующие файлы:
• kon.php/1tes.php - загружает в память копию файлового менеджера marijuana shell из удаленного источника (shell.prinsh[.]com);
• b.php — простой файл загрузчика;
• admin.php — защищенный паролем бэкдор.
Аналитики сообщают, что большинство атак произошло в ноябре, прежде чем администраторы успели исправить уязвимость, но второй пик взломов произошел 14 декабря 2022 года.
Атаки продолжаются и до сих пор, в связи с чем необходимо как можно скорее обновить YITH WooCommerce Gift Cards Premium до версии 3.21.
Как оказалась, не менее активные продажи и у хакеров, которые штудируют сеть и эксплуатируют критическую уязвимость плагина CVE-2022-45359 с оценкой 9,8 по CVSS, которая позволяет неаутентифицированным пользователям загружать файлы на уязвимые ресурсы, обеспечивая себе полный контроль.
По классике жанра, все что касается WordPress всегда славится масштабом угроз и ошибка в YITH WooCommerce Gift Cards Premium не исключение, так как плагин используется на более чем 50 000 сайтах.
Уязвимость обнаружена 22 ноября и затрагивает все версии плагина вплоть до 3.19.0.
Патч появился еще в составе версии 3.20.0, но с тех пор производитель уже выпустил версию 3.21.0 и теперь настоятельно рекомендует обновляться именно до нее.
Исследователи Wordfence сообщают, что многие сайты, до сих пор используют уязвимую версию плагина, что к сожалению, не осталось без внимания злоумышленников, которые полным ходом эксплуатируют баг для загрузки бэкдоров, RCE и захвата чужих сайтов.
Специалисты разобрали эксплоит, который используют хакеры и выяснили, что корень проблемы заключается в функции import_actions_from_settings_panel, которая связана с хуком admin_init.
Кроме того, эта функция не выполняет проверки CSRF и capability, что в итоге позволяет отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных исполняемых PHP-файлов на сайт. В логах это отображается, как unexpected POST-запросы с неизвестных IP-адресов.
Wordfence выяснили, что на уязвимые сайты хакеры загружали следующие файлы:
• kon.php/1tes.php - загружает в память копию файлового менеджера marijuana shell из удаленного источника (shell.prinsh[.]com);
• b.php — простой файл загрузчика;
• admin.php — защищенный паролем бэкдор.
Аналитики сообщают, что большинство атак произошло в ноябре, прежде чем администраторы успели исправить уязвимость, но второй пик взломов произошел 14 декабря 2022 года.
Атаки продолжаются и до сих пор, в связи с чем необходимо как можно скорее обновить YITH WooCommerce Gift Cards Premium до версии 3.21.
Wordfence
PSA: YITH WooCommerce Gift Cards Premium Plugin Exploited in the Wild
The Wordfence Threat Intelligence team has been tracking exploits targeting a Critical Severity Arbitrary File Upload vulnerability in YITH WooCommerce Gift Cards Premium, a plugin with over 50,000 installations according to the vendor. The vulnerability…
͏На Breached хакеры выложили на продажу базу данных со сведениями на 400 миллионов уникальных пользователей Twitter.
Селлер по имени Ryushi утверждает, что данные собраны в результате парсинга с использованием уже исправленной уязвимость API, предлагая эксклюзивную продажу за 200 000 долларов.
Ранее в январе 2022 года благодаря этой же уязвимости другим злоумышленникам удалось извлечь информацию на 5,4 миллиона пользователей, а также 17 млн. Однако последняя утечка осталась в привате и не продавалась.
В качестве доказательства причастности базы селлер предоставил образец, включающий порядка 1000 учетных записей, а также конкретные примеры данных 37 знаменитостей, политиков, журналистов, руководителей корпораций и госучреждений, включая Александрию Окасио-Кортес, Дональда Трампа-младшего, Марка Кубу, Кевина О'Лири и Пирса Моргана.
По данным Хадсон Рок, на первый взгляд пруфы кажутся достоверными, однако полностью полагать легитимность всей базы на этом этапе невозможно.
Содержащиеся в базе профили пользователей содержат общедоступные и конфиденциальные данные из Twitter, включая адреса электронной почты пользователей, установочные данные, количество подписчиков, дату создания и номера телефонов.
Продавец сообщил, что сделка покрывается услугой условного депонирования, предлагаемой администраторами форума Breached, в частности, небезызвестным pompompurin.
После продажи хакеры обещают удалить данные. В случае отказа от эксклюзивной покупки, база будет продана копиями нескольким покупателям по 60 000 долларов.
Хакеры обратились к Илону Маску с предложением приобрести данные, прежде чем это приведет к большому штрафу в размере 276 миллионов долларов США в соответствии с европейским законом о конфиденциальности GDPR, а также сослался на сообщение, в котором отражены основные способы дальнейшей компрометации пользовательских сведений в мошеннических целях.
Вместе с тем, как признаются сами хакеры, все попытки выйти на контакт с Twitter провалились. Компания пока никак не комментирует инцидент.
Но будем посмотреть.
Селлер по имени Ryushi утверждает, что данные собраны в результате парсинга с использованием уже исправленной уязвимость API, предлагая эксклюзивную продажу за 200 000 долларов.
Ранее в январе 2022 года благодаря этой же уязвимости другим злоумышленникам удалось извлечь информацию на 5,4 миллиона пользователей, а также 17 млн. Однако последняя утечка осталась в привате и не продавалась.
В качестве доказательства причастности базы селлер предоставил образец, включающий порядка 1000 учетных записей, а также конкретные примеры данных 37 знаменитостей, политиков, журналистов, руководителей корпораций и госучреждений, включая Александрию Окасио-Кортес, Дональда Трампа-младшего, Марка Кубу, Кевина О'Лири и Пирса Моргана.
По данным Хадсон Рок, на первый взгляд пруфы кажутся достоверными, однако полностью полагать легитимность всей базы на этом этапе невозможно.
Содержащиеся в базе профили пользователей содержат общедоступные и конфиденциальные данные из Twitter, включая адреса электронной почты пользователей, установочные данные, количество подписчиков, дату создания и номера телефонов.
Продавец сообщил, что сделка покрывается услугой условного депонирования, предлагаемой администраторами форума Breached, в частности, небезызвестным pompompurin.
После продажи хакеры обещают удалить данные. В случае отказа от эксклюзивной покупки, база будет продана копиями нескольким покупателям по 60 000 долларов.
Хакеры обратились к Илону Маску с предложением приобрести данные, прежде чем это приведет к большому штрафу в размере 276 миллионов долларов США в соответствии с европейским законом о конфиденциальности GDPR, а также сослался на сообщение, в котором отражены основные способы дальнейшей компрометации пользовательских сведений в мошеннических целях.
Вместе с тем, как признаются сами хакеры, все попытки выйти на контакт с Twitter провалились. Компания пока никак не комментирует инцидент.
Но будем посмотреть.
К концу года все стараются подбить все дела, как и вымогатели. Ransom House добавила Республику Вануату (островное государство, расположенное в южной части Тихого океана) в список своих жертв, украв более 3 ТБ данных из правительственной сети.
BlackCat добавила пять новых жертв. Одна из жертв - Empresas Publicas de Medellin EPM с капиталом в 12 миллиардов долларов из Колумбии.
Команда Nokoyawa успешно атаковала поставщика комплексных управляемых ИТ-услуг с доходом в 62 миллиона долларов из Австралии, а Hive положили целый город в Техасе - Хантсвилл.
И похоже, что Monti возрождаются, команда обновила сайт DLS, добавив на него надпись «Мы гордимся вами» (предположительно - своими жертвами).
А имевшая своем счету 21 жертву преимущественно из США Medusa Locker наоборот исчезла, а сайт команды теперь требует авторизации через токен.
BlackCat добавила пять новых жертв. Одна из жертв - Empresas Publicas de Medellin EPM с капиталом в 12 миллиардов долларов из Колумбии.
Команда Nokoyawa успешно атаковала поставщика комплексных управляемых ИТ-услуг с доходом в 62 миллиона долларов из Австралии, а Hive положили целый город в Техасе - Хантсвилл.
И похоже, что Monti возрождаются, команда обновила сайт DLS, добавив на него надпись «Мы гордимся вами» (предположительно - своими жертвами).
А имевшая своем счету 21 жертву преимущественно из США Medusa Locker наоборот исчезла, а сайт команды теперь требует авторизации через токен.