Критическая CVE-2022-44877 с оценкой серьезности 9,8 из 10, недавно исправленная в Control Web Panel (ранее известном как CentOS Web Panel), позволяющая злоумышленнику удаленно выполнять код без аутентификации, активно эксплуатируется в дикой природе.

Веб-панель управления, ранее известная как веб-панель CentOS, является популярным инструментом администрирования серверов для корпоративных систем Linux.

Ошибка затрагивает все версии программного обеспечения до 0.9.8.1147 и была исправлена ее сопровождающими 25 октября 2022 года и позволяет удаленным злоумышленникам выполнять произвольные команды ОС с помощью метасимволов оболочки в параметре входа в систему.

Сообщивший о проблеме в октябре прошлого года, исследователь Нуман Тюрле из Gais Cyber Security 3 января опубликовал экспериментальный эксплойт (PoC) и демонстрационный видеоролик, а три дня спустя исследователи Shadowserver Foundation и GreyNoise заметили, что хакеры принялись к использованию уязвимости.

В Shadowserver заявили, что «эксплуатация тривиальна».

По их данным, злоумышленники находят уязвимые хосты и используют CVE-2022-44877 для создания терминала для взаимодействия с машиной. Другие атаки были направлены на идентификацию уязвимых машин.

GreyNoise заявила, что ими обнаружено четыре уникальных IP-адреса, пытающихся использовать CVE-2022-44877, два из которых - в США и по одному - в Нидерландах и Таиланде.

При этом все попытки эксплуатации основаны на оригинальном общедоступном PoC, который был слегка модифицирован для решения задач злоумышленника.

В связи с активной эксплуатацией в дикой природе пользователям, администраторам рекомендуется принять незамедлительные меры и обновить CWP до последней доступной версии, в настоящее время 0.9.8.1148, выпущенной 1 декабря 2022 года.

Топовый двухдиапазонный игровой маршрутизатор Asus RT-AX82U подвержен трем критическим уязвимостям, которые можно использовать для обхода аутентификации, утечки информации или вызова состояния отказа в обслуживании (DoS).

Маршрутизатор можно настроить через HTTP-сервер, который работает в локальной сети, но также поддерживает удаленное управление и мониторинг.

Техническую информацию об уязвимостях опубликовали исследователи Cisco Talos, где наиболее серьезной является CVE-2022-35401 (оценка CVSS 9,0) - способ обхода аутентификации, который можно использовать с помощью серии созданных HTTP-запросов.

Злоумышленник может воспользоваться этой уязвимостью, чтобы получить полный административный доступ к уязвимому устройству.

Проблема, кроется в функции удаленного администрирования маршрутизатора, которая, по сути, позволяет пользователям управлять им так же, как любым другим устройством IoT.

Эксплуатация возможна в случае если пользователь включить доступ к глобальной сети для HTTPS-сервера и сгенерировал код доступа, который позволяет удаленному веб-сайту подключаться к конечной точке на устройстве с проверкой токена каждые 2 минуты.

Как оказалось, алгоритм генерации токена подвержен атаке грубой силы, так как маршрутизатор поддерживал только 255 возможных кодов и проверка времени создания токена также была ошибочной, поскольку основывалась на времени безотказной работы устройства.

Оставшиеся две серьезные баги CVE-2022-38105 и CVE-2022-38393 представляют собой ошибки, влияющие на функциональность маршрутизатора и позволяющие настроить ячеистую сеть.

CVE-2022-38105 позволяет злоумышленнику отправлять созданные сетевые пакеты, чтобы вызвать повторяющиеся ошибки выхода за пределы и утечку данных, таких как адреса стека потоков.

Вторая проблема, существует из-за отсутствия проверки входных пакетов, что позволяет злоумышленнику вызвать потерю памяти и вызвать сбой в системе.

Три уязвимости были обнаружены в прошивке Asus RT-AX82U версии 3.0.0.4.386_49674-ge182230, о чем поставщику было сообщено еще в августе.

Понимаем, насколько редко доходят руки до установки патчей на маршрутизаторы, пользователям все же настойчиво рекомендуется обновить свои устройства до последней версии прошивки.

Ресерчеры Deep Instinct обнаружили новую компанию с использованием троянов удаленного доступа (RAT) StrRAT и Ratty, операторы которых для ухода от обнаружения применяют файлы MSI/JAR и CAB/JAR.

Polyglot-файлы объединяют два или более форматов таким образом, чтобы их можно было безошибочно интерпретировать и запускать несколькими различными приложениями.

Злоумышленники добиваются уверенных успехов, даже учитывая, насколько стары и хорошо изучены обе RAT.

Уже несколько лет операторы ПО используют файлы-полиглоты, чтобы скрыть вредоносный код и обойти средства защиты. Такая техника применялась в недавнем времени и операторами вредоносной ПО StrelaStealer, нацеленной на учетные записи Outlook и Thunderbird.

И ничего удивительного, Deep Instinct в последней кампании наблюдали объединение форматов JAR и MSI в один файл, что фиксировалось еще в 2018 году.

Файлы JAR — это архивы, идентифицируемые по записи в конце, тогда как в MSI идентификатор типа файла с заголовком в начале файла, поэтому злоумышленники могут легко объединить два формата в один файл.

Двойной формат позволяет им выполняться как MSI в Windows, а также как файл JAR средой выполнения Java.

JAR-файлы не являются исполняемыми файлами, поэтому они не так тщательно проверяются антивирусными инструментами. Это позволяет им скрыть вредоносный код и заставить AV просканировать MSI-часть файла, которая должна пройти проверку.

В новой кампании Deep Instinct заметили комбинации CAB/JAR вместо MSI, также связанные с упомянутыми семействами RAT. CAB-файлы также являются хорошим вариантом для многоязычных комбинаций с JAR, имея необходимый заголовок для интерпретации типа файла.

Polyglot, используемые в кампании, распространяются посредством Sendgrid и сервисов сокращения URL-адресов (Cutt.ly и Rebrand.ly), а извлеченные полезные нагрузки StrRAT и Ratty хранятся в Discord.

Что же касается обнаружения CAB/JAR, то уровень колеблется от 10% до 50% (6 положительных результатов из 59 антивирусных ядер на Virus Total, у варианта с MSI - 30).

Deep Instinct сообщает, что многие из задетектированных Polyglot как для StrRAT, так и для Ratty используют один и тот же C2 и размещаются у одной и той же болгарской хостинговой компании.

Таким образом, вполне, что оба штамма используются в рарках одной кампании, проводимой одним и тем же оператором.

Большинство инсталляций Cacti в Интернете не исправлены и уязвимы для критической RCE-ошибки, которая активно эксплуатируется в ходе реальных атак.

Веб-инструмент для оперативного мониторинга и управления неисправностями с открытым исходным кодом Cacti представляет собой интерфейсное приложение для утилиты регистрации данных RRDtool.

В начале декабря 2022 года сопровождающие инструмента объявили об исправлениях для CVE-2022-46169 c оценкой CVSS 9,8, позволяющей злоумышленникам выполнять код на сервере без аутентификации, на котором работает Cacti.

Ошибка была исправлена 5 декабря, в тот же день, когда она была обнаружена исследователями SonarSource.

Через несколько дней после того, как 3 января SonarSource опубликовала технический анализ CVE-2022-46169 Shadowserver предупредила, что зафиксировала первые попытки эксплуатации для внедрения удаленных команд без аутентификации, нацеленные на уязвимость, включая последующую загрузку вредоносного ПО.

Ресерчеры Censys сообщили, что из 6400 обнаруженных ею хостов Cacti, доступных в Интернете, только на 26 была установлена пропатченная версия инструмента. Большинство уязвимых серверов находятся в Бразилии, Индонезии и США.

Поскольку эксплуатация этой уязвимости продолжается, пользователям рекомендуется как можно скорее обновить Cacti до исправленной версии.

Предлагаем ознакомиться с самыми интересными проектами в Telegram в сфере информационной безопасности:

🤖 Open Source — крупнейший в Telegram агрегатор полезных программ с открытым исходным кодом.

💀 Этичный Хакер - канал c инструкциями по пентесту, OSINT, защите устройств и бесплатными курсами по информационной безопасности.

👨🏻‍💻 Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.

👾 CyberYozh - подборка бесплатных лекций по анонимности, безопасности, хакингу, мультиаккаунтингу от известных экспертов (КиберДед, Люди PRO, Codeby, BespalePhone, VektorT13 и др.).

🇷🇺 Russian OSINT — хакеры, IT-новости, информационные войны и кибербезопасность.

Juniper Networks выпустила первые рекомендации по безопасности в 2023 году, которые охватывают более 230 уязвимостей, исправленных в линейке решений сетевого гиганта.

Опубликованные компанией 32 рекомендации включают более 230 уязвимостей, около 200 из которых затрагивают сторонние компоненты.

3 бюллетеня имеют общий критический рейтинг серьезности, описывая уязвимости, затрагивающие сторонние компоненты. 12 рекомендаций имеют рейтинг высокой степени серьезности, а девять — средней.

Производитель исправил около 20 уязвимостей в ОС Junos. Все они могут использоваться для атак типа DoS, и большинство из них могут быть использованы злоумышленниками, не прошедшими проверку подлинности и имеющими сетевой доступ к целевому устройству.

Juniper Networks сообщает об отсутствии сведений в отношении эксплуатации какой-либо из этих уязвимостей в реальных атаках. Тем не менее, клиентам и пользователям следует ознакомиться с рекомендациями Juniper и принять необходимые меры.

CircleCi принудительно меняет токены GitHub OAuth для своих клиентов после киберинцидента.

Ранее в этом месяце CircleCi сообщала об инциденте с безопасностью, предупредив клиентов о необходимости ротации токенов.

В новом отчете об инциденте компания сообщает, что один из ее сотрудников стал жертвой целевой атаки с использованием стиллера, благодаря которому был скомпрометирован сеанс инженера с поддержкой 2FA.

Хакеры взломали CircleCi в декабре после того, как инженер заразился вредоносной ПО, которая перехватила файл cookie сеанса единого входа с 2FA, что позволило им в итоге получить доступ к внутренним системам компании.

Специалисты CircleCi впервые узнали о несанкционированном доступе к системам после обращения одного из клиентов, который заявил о компрометации его токен GitHub OAuth.

По состоянию на 4 января в результате расследования было установлено, что 16 декабря инженер был заражен вредоносной программой для кражи информации, которую антивирусное программное обеспечение компании не смогло обнаружить и вовремя нейтрализовать.

После чего украденный файл cookie корпоративного сеанса с пройденной 2FA позволил злоумышленнику войти в качестве целевого сотрудника в удаленном месте, а затем расширить доступ к производственным системам.

По словам CircleCi, используя привилегии инженера, 22 декабря хакер приступил к эксфильтрации данных из некоторых баз данных и хранилищ компании, включая переменные среды, токены и ключи клиентов.

Ему также удалось заполучить ключи шифрования из запущенных процессов, что позволило злоумышленнику расшифровать зашифрованные CircleCi данные.

Изучив все обстоятельства инцидента, компания начала экстренно оповещать клиентов, предупреждая об изменении всех токенов и секретов, начиная с 21 декабря 2022 года по 4 января 2023 года.

К настоящему времени CircleCi сменила все токены, связанные с клиентами, включая Project API, Personal API и GitHub OAuth.

Компания также находилась на контакте с Atlassian и AWS для уведомления клиентов о возможно скомпрометированных токенах Bitbucket и AWS.

CircleCi развернуты дополнительные средства обнаружения вредоносного ПО для кражи информации в используемых антивирусных решениях и системах управления мобильными устройствами MDM.

Кроме того, компания также ограничила доступ к производственным средам, сузив круг допущенных сотрудников и повысив безопасность реализации 2FA.

Инцидент в CircleCi — еще один пример того, как злоумышленники все чаще реализуют успешные тактики обхода MFA: Microsoft, Cisco, Uber, а теперь и CircleCi.

Вдруг, откуда не возьмись, появилось ЦРУ.

Исследователи из команды Netlab китайского инфосек вендора Qihoo 360 на прошлой неделе выпустили отчет в отношении впервые выловленной в дикой природе модификации Hive.

Вспомним, что же такое Hive. Если в двух словах - это демократический кибердилдо на службе у LGBTQ+ хактивистов, который они вставляют в непредназначенное для этого природой отверстие тоталитарных режимов с целью внедрения либерализма и прав меньшинств, разработанная ЦРУ (вероятнее всего его подразделением APT Lamberts) продвинутая вредоносная платформа, предназначенная для управления зараженными системами и безопасной эксфильтрации содержащейся в них информации.

В ноябре 2017 года Wikileaks, вслед за нашумевшей утечкой конфиденциально информации ЦРУ под названием Vault 7, устроили еще одну подобную утечку под логичным названием Vault 8. И в рамках Vault 8 товарищ Ассанж со своей командой опубликовали исходный код проекта Hive и соответствующую документацию.

Примечательно, что одним из поддельных сертификатов, которые ЦРУ генерила для Hive, был сертификат Лаборатории Касперского. Эдакая изощренная месть американского разведсообщества.

Теперь же, по прошествии 5 лет, китайские исследователи обнаружили RAT, который они назвали xdr33 и который был модифицирован из кода Hive, слитого в 2017 году.

При этом Netlab полагают, что выявленный вредонос не принадлежит ЦРУ, в частности по причине невысокой сложности модификации и используемой N-day уязвимости (действительно, когда это американцы разменивались свежими дырками - если 0-day закончатся, то всегда можно свежих понаделать в рамках очередного обновления ПО).

В принципе ничего сверхъестественного в этом нет, просто еще один попавший в паблик приватный хакерский инструмент американцев на службе у коммерческих хакеров.

А так-то да, у них в основном пони с эльфами и Маски с Бринами. Думают как бы еще всех нас осчастливить.

Avast выпустила дешифратор для программы-вымогателя BianLian, которая доступна для публичного скачивания.

BianLian появились в августе 2022 года, выполняя целевые атаки в различных отраслях, прежде всего СМИ, производство и здравоохранение.

Ransomware примечательна тем, что шифрует файлы на высоких скоростях.

BianLian написана на Go и скомпилирована в виде 64-битного исполняемого файла Windows.

В двоичном файле ransomware можно увидеть множество строк, в том числе сведения о структуре каталогов на компьютере автора.

Данные шифруются с помощью AES-256 в режиме CBC. Длина зашифрованных данных достигает до 16 байтов, как того требует шифр AES CBC.

После выполнения BianLian производит поиск всех доступных дисков (от A: до Z:), на которых затем производит поиск и шифрацию всех файлов, расширение которых соответствует одному из 1013 расширений, жестко запрограммированных в бинарном файле программы. 

При это ransomware не шифрует файл ни с начала, ни до конца. Вместо этого существует фиксированное смещение файла, жестко закодированное в двоичном файле, из которого происходит шифрование.

Смещение различается в зависимости от выборки, но ни одна из известных выборок не шифрует данные с начала файла.

После шифрования данных программа-вымогатель добавляет расширение bianlian и записку с требованием выкупа Look at this instruction.txt в каждую папку на ПК.

Дешифратор может восстанавливать файлы, зашифрованные лишь известным вариантом BianLian.

Новым жертвам может потребоваться найти на жестком диске двоичный файл программы-вымогателя.

Однако, это будет проблематично, поскольку программа-вымогатель удаляет себя после шифрования.

Согласно телеметрии Avast, распространенные имена файла программы-вымогателя BianLian на компьютере жертвы включают:  C:\Windows\TEMP\mativ.exe, C:\Windows\Temp\Areg.exe, C:\Users\%username%\Pictures\windows.exe и anabolic.exe.

При поиске двоичного файла рекомендуется обращать внимание на EXE-файл в папке, которая обычно не содержит исполняемых файлов, таких как %temp%, Documents или Pictures.

Также следует проверить хранилище антивируса. Типичный размер исполняемого файла BianLian составляет около 2 МБ.

Как отмечают Avast, обнаружение новых образцов позволит им соответствующим образом обновить дешифратор.

Инструкции по работе с дешифратором представлены здесь.

Популярные плагины WordPress уязвимы для серьезных или критических уязвимостей SQL-инъекций, для которых выпущены PoC-эксплойты.

Ошибки были обнаружены ресерчером Джошуа Мартинеллом из Tenable, который сообщил о них WordPress 19 декабря 2022 года вместе с PoC.

Разработчики плагинов выпустили обновления для решения проблем в последующие дни, поэтому все проблемы в последних версиях устранены.

Вчера исследователь раскрыл технические подробности и представил PoC для каждой уязвимости.

Первый подключаемый модуль - это Paid Memberships Pro, инструмент управления членством и подписками, используется более чем на 100 000 веб-сайтах.

Согласно Tenable, Проблема связана с параметром «код» в REST-роуте /pmpro/v1/order перед использованием его в операторе SQL.

Уязвимость с CVSSv3 9,8 отслеживается как CVE-2023-23488 и затрагивает все версии плагина старше 2.9.8, устранена 27 декабря 2022 г.

Вторая надстройка WordPress, уязвимая для SQL-инъекций, - Easy Digital Downloads, решение в области электронной коммерции, имеет более чем 50 000 активных установок.

Проблема связана с параметром «s» в «edd_download_search» перед его использованием в операторе SQL.

Уязвимость отслеживается как CVE-2023-23489 и получила рейтинг серьезности CVSSv3 9,8. Она затрагивает все версии ниже 3.1.0.4, выпущенные 5 января 2023 года.

Наконец, Tenable обнаружила серьезную CVE-2023-23490 в Survey Marker, плагине WordPress, используемом на 3000 веб-сайтах для опросов и исследований рынка.

Уязвимость получила оценку CVSS 8,8, поскольку требует аутентификации злоумышленника как минимум в качестве подписчика. Исправление доступно с 21 декабря 2022 г. с версией 3.1.2.

Tenable не сообщает, какое влияние уязвимости могут оказать в случае их эксплуатации в реальных атаках.

Однако, учитывая критичность ошибок, пользователям плагинов рекомендуется обновиться до последней версии.

Израильская компания Cellebrite специализирующая на разработке криминалистических решений, которую также, как и прочие израильские компании часто обвиняют в использовании ее продуктов для слежки за журналистами и правозащитниками, пострадала от утечки данных.

Как известно достоянием общественности стало около 1,7 ТБ, которые были размещены в сети Enlace Hacktivista.

Также утекли еще 103 ГБ данных от шведской криминалистической компании MSAB. Оба архива данных доступны для скачивания как через торренты, так и напрямую с Enlance Hacktivista и DDoSecrets.

Учитывая неоднозначную применимость специализированного оборудования для сбора данных с телефонов, связанную с фактами нарушений прав активистов иных антиправительственных диссидентов обе компании неоднократно были мишенью различных хактивистов и осведомителей.

Cellebrite UFED (Universal Forensics Extraction Device) — один из самых популярных сервисов компании, используемый как правоохранительными органами, так и спецслужбами для разблокировки и доступа к данным с конфискованных мобильных устройств.

Согласно Enlace Hacktivista, 13 января анонимный пользователь отправил им программное обеспечение для телефонной экспертизы и документацию от двух компаний.

Ни Enlace Hacktivistа, ни DDoSecrets не делали никаких заявлений о достоверности и источнике данных, а также о личности осведомителя.

Тем не менее, архив объемом 1,7 ТБ, которым поделился разоблачитель, похоже, содержит весь набор программ Cellebrite, включая знаменитый UFED компании, лицензионные инструменты, Physical Analyzer и Physical Analyzer Ultra, а также Cellebrite Reader.

Кроме того, в архив был включен ряд файлов с техническим руководством и документацией для заказчиков.

Более года функция безопасной загрузки на материнских платах MSI имела уязвимость и позволяла запускать вредоносный код.

Ошибку удалось обнаружить ресерчеру из Польши Давиду Потоцкому, который неоднократно предпринимал попытки связаться с разработчиком и так не получил ответа.

Как оказалось, более 290 материнских плат MSI на базе Intel и AMD с последней версией прошивки затрагивает проблема в параметрах настройки безопасной загрузки UEFI по умолчанию, которые позволяют запускать любой образ ОС независимо от того, имеет ли он неправильную или вовсе отсутствующую подпись.

Безопасная загрузка — это функция, встроенная в прошивку материнских плат UEFI, которая гарантирует, что в процессе загрузки может выполняться только доверенное (подписанное) ПО.

Для проверку безопасности загрузчиков, ядер ОС и других важных системных компонентов, функция использует PKI (инфраструктуру открытых ключей), которая аутентифицирует ПО и определяет достоверность при каждой загрузке.

Система безопасности предназначена для предотвращения запуска буткитов/руткитов UEFI на компьютере и для предупреждения пользователей о об изменении ОС.

Ресерчер выяснил, что обновленная версия прошивки MSI 7C02v3C, выпущенная 18 января 2022 года, включала изменения настройки безопасной загрузки по умолчанию на материнских платах MSI таким образом, что система будет загружаться, даже если обнаружит нарушения безопасности.

Параметр «политика выполнения образов» в прошивке переменился на значение «всегда выполнять» по умолчанию, что позволило любому образу загружать устройство в обычном режиме.

Исследователь пояснил, что для устранения угрозы пользователям необходимо установить политику выполнения на «запретить выполнение» для «съемных носителей» и «фиксированных носителей», что позволит разрешать загрузку только подписанного ПО.

При этом, по словам исследователя, MSI никогда не документировала этот маневр, поэтому ему пришлось отследить хронологию введение небезопасного значения по умолчанию с помощью IFR (представление внутренней формы UEFI) для извлечения информации о параметрах конфигурации.

Результаты позволили ему определить, какие материнские платы MSI уязвимы. Полный список составил более 290 материнских плат и доступен на GitHub.

Пользователям перечисленных в списке материнских плат MSI рекомендуется обратиться к настройкам BIOS и убедиться, что для параметра «политика выполнения образов» установлено безопасное значение.

Специализирующаяся на облачной безопасности Datadog сообщает, что стала условной жертвой недавнего инцидента с CircleCI.

Как полагают в компании, один из ее ключей подписи RPM GPG и парольная фраза были раскрыты.

Несмотря на это, Datadog заявиляет, что не обнаружила никаких признаков того, что ключ действительно был украден или использовался не по назначению. Компания заявляет, что еще предстоит найти доказательства.

Тем не менее, после уведомления CircleCI о получении злоумышленником доступа к переменным средам, токенам и ключам клиентов, Datadog выпустила новую версию RPM Agent 5 для CentOS/RHEL, подписанную новым ключом.

Компания также выпустила новый скрипт установки Linux, который удаляет уязвимый ключ из файла репозитория Datadog и базы данных RPM.

Datadog отмечает, что даже если злоумышленнику удастся украсть ключ подписи и создать вредоносный RPM-пакет, он не сможет использовать его для совершения атак на клиентов, поскольку потребуется доступ к официальным репозиториям пакетов.

В любом случае, в Datadog решили перестраховаться, ведь не менее клиентов CircleCI уже обнаружили несанкционированный доступ к сторонним системам после того, как компания предупредила о необходимости изучить среды на предмет подозрительной активности, начиная с 16 декабря 2022 года.

Positive Hack Days 12 пройдет в Парке Горького 19–20 мая

В этом году PHDays станет более масштабным и пройдет под открытым небом. Будет много активностей для всех желающих, но при этом сохранятся все традиционные мероприятия и треки, в том числе соревнования по кибербезопасности.

Прием заявок от спикеров уже начался. PHDays 12 открыт для всех исследователей. Главное — оригинальный взгляд на одну из актуальных проблем защиты информации.

🔥 Подробности на сайте.

PHDays — это культовый форум по кибербезопасности, который в прошлом году посетили более 10 тысяч человек.

Серьезная уязвимость в прошивке промышленных маршрутизаторов InRouter от InHand Networks угрожает роботам, счетчикам электроэнергии, медицинским и другим устройствам Интернета вещей.

Исследователи обнаружили критическую уязвимость CVE-2023-22598 с оценкой 10 из 10 в прошивке InRouter, что делает тысячи беспроводных устройств IoT уязвимыми для удаленного выполнения кода.

О проблеме сообщили специалисты из OTORIO, которые специализируются на безопасности сред OT, и почти сразу же CISA также выпустила свои предупреждение об уязвимостях в маршрутизаторах InHand Networks.

В общей сложности команда OTORIO сообщила о пяти уязвимостях в облачной платформе управления InHand Networks и прошивке InRouter.

Баги позволяют злоумышленникам обходить NAT и традиционные уровни безопасности, а также удаленно выполнять неаутентифицированный код от имени пользователя root на устройствах, подключенных к облаку.

Согласно предупреждению CISA ошибке CVE-2023-22598 подвержены модели InRouter302 (все версии до IR302 V3.5.56) и InRouter615 (все версии до InRouter6XX-S-V2.3.0.r5542), которые создают угрозу передачи конфиденциальной информации открытым текстом, внедрения команд ОС, использования одностороннего хэша с предсказуемой солью и обхода контроля доступа.

По умолчанию уязвимые продукты используют незащищенный канал для связи с облачной платформой, где неавторизованный пользователь может перехватывать сообщения и красть конфиденциальную информацию. Например, сведения о конфигурации и учетные данные MQTT.

В умелых руках злоумышленника эти баги могут позволить полностью взять под контроль любое устройство, управляемое облаком InHand Networks.

Специалисты OTORIO предупреждают, что выявленные ошибки представляет серьезную угрозу.

Дело в том, что InRouters используются во многих различных системах ОТ, включая промышленных роботов, буровые установки, лифты, медицинские устройства, зарядные станции для электромобилей, интеллектуальные счетчики и др.

Ресерчеры Trend Micro выяснили, что общедоступная с ноября 2022 года функция GitHub Codespaces может быть использована для доставки вредоносного ПО.

GitHub Codespaces представляет собой бесплатную облачную интегрированную среду разработки (IDE), которая позволяет разработчикам создавать, редактировать и запускать код в своих браузерах через контейнерную среду, работающую в VM.

Одна из функций, предоставляемых GitHub Codespaces, позволяет разработчикам совместно использовать перенаправленные порты с виртуальной машины как в частном порядке, так и публично, для совместной работы в режиме реального времени.

К частному порту можно получить доступ только через URL-адрес, в то время как к общедоступным портам может получить доступ любой, у кого есть URL-адрес, без какой-либо формы аутентификации.

Согласно Trend Micro, эта функция совместной работы может использоваться злоумышленниками с учетными записями на GitHub для размещения вредоносного сценариев, ransowmare и других типов ВПО.

Исследователи смогли создать HTTP-сервер на основе Python на порту 8080 и публично поделиться переадресованным портом, заметив при этом, что URL-адрес может быть доступен любому, поскольку он не включает файлы cookie для аутентификации.

Перенаправление портов в GitHub Codespaces обычно реализуется через HTTP, но разработчики могут переключиться на HTTPS, что автоматически сделает порт закрытым.

По мнению Trend Micro, злоумышленник может создать простой сценарий для многократного создания пространства кода с общедоступным портом и использовать его для размещения вредоносного контента — по сути, веб-сервера с открытым каталогом, содержащим вредоносное ПО, — и настроить его на автоматическое удаление после того, как был получен доступ к URL-адресу.

Таким образом, злоумышленники могут легко злоупотреблять GitHub Codespaces для быстрой доставки вредоносного кода, публично открывая порты в своих средах codespace.

Поскольку каждое созданное кодовое пространство имеет уникальный идентификатор, связанный с ним субдомен также уникален, что дает злоумышленнику достаточно оснований для создания различных экземпляров открытых каталогов.

Пока нет никаких доказательств того, что подобная техника использовалась в дикой природе, но как известно, злоумышленники достаточно часто злоупотребляют бесплатными облачными сервисами и платформами в проведении кампаний.

Для снижения риска выявленных угроз, разработчикам рекомендуется использовать только тот код, которому они могут доверять, убедиться, что они используют только признанные и поддерживаемые образы контейнеров, защитить свои учетные записи GitHub надежными паролями и 2FA.

Кроме того, GitHub планирует добавить пользователям запрос на подтверждение того, что они доверяют владельцу при подключении к кодовому пространству.

Разработчик, в свою очередь, рекомендует пользователям GitHub Codespaces следовать рекомендациям по обеспечению безопасности и минимизации рисков, связанных с их средой разработки.

​🔖 Эволюция киберпреступности. Анализ, тренды и прогнозы 2023.

🖖🏻 Приветствую тебя user_name.

• Group-IB опубликовали ежегодный флагманский отчет об актуальных трендах в сфере кибербезопасности и прогнозах эволюции ландшафта угроз. Если коротко, то направление программ-вымогателей сохранит свое лидерство в рейтинге киберугроз для бизнеса.

• Напомним, что самыми активными группами в 2022 году были Lockbit, Conti и Hive. В 2023 году в игре останутся только сильнейшие, а мелкие и менее опытные, будут распадаться.

• Количество ресурсов, где злоумышленники публикуют похищенные данные компаний для более эффективного давления на жертву, в 2022 году выросло на 83%, достигнув 44. По информации от Group-IB, ежедневно на таких сайтах оказываются данные 8 жертв, атакованных шифровальщиками, а в общей сложности, в публичном доступе были выложены данные 2894 компаний.

• Как и ранее, большинство атак вымогателей приходилось на компании в США. Однако в прошлом году количество атак с целью выкупа за расшифровку данных на бизнес в RU сегменте увеличилось в три раза. Рекорд по сумме выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей.

• Новым способом получения доступов в инфраструктуру компаний становится использование стиллеров — вредоносных программ для кражи данных с зараженных компьютеров и смартфонов пользователей. Всего Group-IB обнаружила 380 брокеров по продаже доступов к скомпрометированной инфраструктуре компаний, которые опубликовали более 2300 предложений на даркнет форумах. За 2022 год рынок продавцов доступов в даркнете вырос более чем в два раза, при этом средняя цена доступа уменьшилась вдвое. Чаще всего злоумышленники реализуют свой “товар” в виде доступов к VPN и RDP (протокол удаленного рабочего стола).

• В 2022 году данные, украденные с помощью стиллеров, вошли в топ-3 самого продаваемого “товара” в даркнете наряду с продажей доступов и текстовыми данными банковских карт (имя владельца, номер карты, срок истечения, CVV).

• В 2023 году специалисты прогнозируют и рост утечек. Подавляющее большинство баз данных российских компаний выкладывались в 2022 году на андеграундных форумах и тематических Telegram-каналах в публичный доступ бесплатно.

🧷 Полный отчет можно запросить по ссылке: https://www.group-ib.ru/resources/research-hub/hi-tech-crime-trends-2022/. Отчет будет полезен компаниям из разных секторов и поможет создавать действенные ИБ-стратегии.

📌 Благодарность за краткое описание отчета: https://www.anti-malware.ru/

S.E. ▪️ S.E.Relax ▪️ infosec.work

Ресерчеры Horizon3 Attack Team предупреждают, что к концу недели станет доступен PoC для критической RCE-уязвимости, затрагивающей продукты Zoho ManageEngine.

CVE-2022-47966 связана с использованием устаревшей и уязвимой сторонней зависимости Apache Santuario. Ошибка исправлена несколькими патчами, вышедшими начиная с 27 октября 2022 года.

Успешная эксплуатация позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный код от NT AUTHORITY\SYSTEM на серверах ManageEngine, если система единого входа (SSO) на основе SAML включена или была включена хотя бы один раз перед атакой.

Уязвимость не сложна в использовании и позволяет эффективно проводить атаки типа «spray and pray».

К настоящему времени ресерчеры так и не представили технические детали, предоставив лишь общие индикаторы компрометации (IOC). Однако уже к концу недели Horizon3 планируют выпустить свой PoC-эксплойт.

Несмотря на отсутствие информации об атаках с использованием этой уязвимости в дикой природе, по мнению GreyNoise, хакеры, с высокой долей вероятности, быстро перейдут к созданию собственных эксплойтов, как только Horizon3 опубликует PoC.

Учитывая, что предварительные оценки с использованием Shodan, указывают на уязвимость 10% всех открытых продуктов ManageEngine для атак CVE-2022-47966, администраторам следует уделить пристальное внимание вопросам исправлений потенциально уязвимых решений. Ведь в последние годы серверы Zoho ManageEngine подвергались постоянным хакерским нападкам (1, 2).