Вдруг, откуда не возьмись, появилось ЦРУ.
Исследователи из команды Netlab китайского инфосек вендора Qihoo 360 на прошлой неделе выпустили отчет в отношении впервые выловленной в дикой природе модификации Hive.
Вспомним, что же такое Hive. Если в двух словах - этодемократический кибердилдо на службе у LGBTQ+ хактивистов, который они вставляют в непредназначенное для этого природой отверстие тоталитарных режимов с целью внедрения либерализма и прав меньшинств, разработанная ЦРУ (вероятнее всего его подразделением APT Lamberts) продвинутая вредоносная платформа, предназначенная для управления зараженными системами и безопасной эксфильтрации содержащейся в них информации.
В ноябре 2017 года Wikileaks, вслед за нашумевшей утечкой конфиденциально информации ЦРУ под названием Vault 7, устроили еще одну подобную утечку под логичным названием Vault 8. И в рамках Vault 8 товарищ Ассанж со своей командой опубликовали исходный код проекта Hive и соответствующую документацию.
Примечательно, что одним из поддельных сертификатов, которые ЦРУ генерила для Hive, был сертификат Лаборатории Касперского. Эдакая изощренная месть американского разведсообщества.
Теперь же, по прошествии 5 лет, китайские исследователи обнаружили RAT, который они назвали xdr33 и который был модифицирован из кода Hive, слитого в 2017 году.
При этом Netlab полагают, что выявленный вредонос не принадлежит ЦРУ, в частности по причине невысокой сложности модификации и используемой N-day уязвимости (действительно, когда это американцы разменивались свежими дырками - если 0-day закончатся, то всегда можно свежих понаделать в рамках очередного обновления ПО).
В принципе ничего сверхъестественного в этом нет, просто еще один попавший в паблик приватный хакерский инструмент американцев на службе у коммерческих хакеров.
А так-то да, у них в основном пони с эльфами и Маски с Бринами. Думают как бы еще всех нас осчастливить.
Исследователи из команды Netlab китайского инфосек вендора Qihoo 360 на прошлой неделе выпустили отчет в отношении впервые выловленной в дикой природе модификации Hive.
Вспомним, что же такое Hive. Если в двух словах - это
В ноябре 2017 года Wikileaks, вслед за нашумевшей утечкой конфиденциально информации ЦРУ под названием Vault 7, устроили еще одну подобную утечку под логичным названием Vault 8. И в рамках Vault 8 товарищ Ассанж со своей командой опубликовали исходный код проекта Hive и соответствующую документацию.
Примечательно, что одним из поддельных сертификатов, которые ЦРУ генерила для Hive, был сертификат Лаборатории Касперского. Эдакая изощренная месть американского разведсообщества.
Теперь же, по прошествии 5 лет, китайские исследователи обнаружили RAT, который они назвали xdr33 и который был модифицирован из кода Hive, слитого в 2017 году.
При этом Netlab полагают, что выявленный вредонос не принадлежит ЦРУ, в частности по причине невысокой сложности модификации и используемой N-day уязвимости (действительно, когда это американцы разменивались свежими дырками - если 0-day закончатся, то всегда можно свежих понаделать в рамках очередного обновления ПО).
В принципе ничего сверхъестественного в этом нет, просто еще один попавший в паблик приватный хакерский инструмент американцев на службе у коммерческих хакеров.
А так-то да, у них в основном пони с эльфами и Маски с Бринами. Думают как бы еще всех нас осчастливить.
360 Netlab Blog - Network Security Research Lab at 360
警惕:魔改后的CIA攻击套件Hive进入黑灰产领域
概述
2022年10月21日,360Netlab的蜜罐系统捕获了一个通过F5漏洞传播,VT 0检测的可疑ELF文件ee07a74d12c0bb3594965b51d0e45b6f,流量监控系统提示它和IP45.9.150.144产生了SSL流量,而且双方都使用了伪造的Kaspersky证书,这引起了我们的关注。经过分析,我们确认它由CIA被泄露的Hive项目server源码改编而来。这是我们首次捕获到在野的CIA HIVE攻击套件变种,基于其内嵌Bot端证书的CN=xdr33, 我们内部将其命名为x…
2022年10月21日,360Netlab的蜜罐系统捕获了一个通过F5漏洞传播,VT 0检测的可疑ELF文件ee07a74d12c0bb3594965b51d0e45b6f,流量监控系统提示它和IP45.9.150.144产生了SSL流量,而且双方都使用了伪造的Kaspersky证书,这引起了我们的关注。经过分析,我们确认它由CIA被泄露的Hive项目server源码改编而来。这是我们首次捕获到在野的CIA HIVE攻击套件变种,基于其内嵌Bot端证书的CN=xdr33, 我们内部将其命名为x…
Avast выпустила дешифратор для программы-вымогателя BianLian, которая доступна для публичного скачивания.
BianLian появились в августе 2022 года, выполняя целевые атаки в различных отраслях, прежде всего СМИ, производство и здравоохранение.
Ransomware примечательна тем, что шифрует файлы на высоких скоростях.
BianLian написана на Go и скомпилирована в виде 64-битного исполняемого файла Windows.
В двоичном файле ransomware можно увидеть множество строк, в том числе сведения о структуре каталогов на компьютере автора.
Данные шифруются с помощью AES-256 в режиме CBC. Длина зашифрованных данных достигает до 16 байтов, как того требует шифр AES CBC.
После выполнения BianLian производит поиск всех доступных дисков (от A: до Z:), на которых затем производит поиск и шифрацию всех файлов, расширение которых соответствует одному из 1013 расширений, жестко запрограммированных в бинарном файле программы.
При это ransomware не шифрует файл ни с начала, ни до конца. Вместо этого существует фиксированное смещение файла, жестко закодированное в двоичном файле, из которого происходит шифрование.
Смещение различается в зависимости от выборки, но ни одна из известных выборок не шифрует данные с начала файла.
После шифрования данных программа-вымогатель добавляет расширение bianlian и записку с требованием выкупа Look at this instruction.txt в каждую папку на ПК.
Дешифратор может восстанавливать файлы, зашифрованные лишь известным вариантом BianLian.
Новым жертвам может потребоваться найти на жестком диске двоичный файл программы-вымогателя.
Однако, это будет проблематично, поскольку программа-вымогатель удаляет себя после шифрования.
Согласно телеметрии Avast, распространенные имена файла программы-вымогателя BianLian на компьютере жертвы включают: C:\Windows\TEMP\mativ.exe, C:\Windows\Temp\Areg.exe, C:\Users\%username%\Pictures\windows.exe и anabolic.exe.
При поиске двоичного файла рекомендуется обращать внимание на EXE-файл в папке, которая обычно не содержит исполняемых файлов, таких как %temp%, Documents или Pictures.
Также следует проверить хранилище антивируса. Типичный размер исполняемого файла BianLian составляет около 2 МБ.
Как отмечают Avast, обнаружение новых образцов позволит им соответствующим образом обновить дешифратор.
Инструкции по работе с дешифратором представлены здесь.
BianLian появились в августе 2022 года, выполняя целевые атаки в различных отраслях, прежде всего СМИ, производство и здравоохранение.
Ransomware примечательна тем, что шифрует файлы на высоких скоростях.
BianLian написана на Go и скомпилирована в виде 64-битного исполняемого файла Windows.
В двоичном файле ransomware можно увидеть множество строк, в том числе сведения о структуре каталогов на компьютере автора.
Данные шифруются с помощью AES-256 в режиме CBC. Длина зашифрованных данных достигает до 16 байтов, как того требует шифр AES CBC.
После выполнения BianLian производит поиск всех доступных дисков (от A: до Z:), на которых затем производит поиск и шифрацию всех файлов, расширение которых соответствует одному из 1013 расширений, жестко запрограммированных в бинарном файле программы.
При это ransomware не шифрует файл ни с начала, ни до конца. Вместо этого существует фиксированное смещение файла, жестко закодированное в двоичном файле, из которого происходит шифрование.
Смещение различается в зависимости от выборки, но ни одна из известных выборок не шифрует данные с начала файла.
После шифрования данных программа-вымогатель добавляет расширение bianlian и записку с требованием выкупа Look at this instruction.txt в каждую папку на ПК.
Дешифратор может восстанавливать файлы, зашифрованные лишь известным вариантом BianLian.
Новым жертвам может потребоваться найти на жестком диске двоичный файл программы-вымогателя.
Однако, это будет проблематично, поскольку программа-вымогатель удаляет себя после шифрования.
Согласно телеметрии Avast, распространенные имена файла программы-вымогателя BianLian на компьютере жертвы включают: C:\Windows\TEMP\mativ.exe, C:\Windows\Temp\Areg.exe, C:\Users\%username%\Pictures\windows.exe и anabolic.exe.
При поиске двоичного файла рекомендуется обращать внимание на EXE-файл в папке, которая обычно не содержит исполняемых файлов, таких как %temp%, Documents или Pictures.
Также следует проверить хранилище антивируса. Типичный размер исполняемого файла BianLian составляет около 2 МБ.
Как отмечают Avast, обнаружение новых образцов позволит им соответствующим образом обновить дешифратор.
Инструкции по работе с дешифратором представлены здесь.
Avast Threat Labs
Decrypted: BianLian Ransomware - Avast Threat Labs
The team at Avast has developed a decryptor for the BianLian ransomware and released it for public download. The BianLian ransomware emerged in August 2022, performing targeted attacks in various industries, such as the media and entertainment, manufacturing…
Популярные плагины WordPress уязвимы для серьезных или критических уязвимостей SQL-инъекций, для которых выпущены PoC-эксплойты.
Ошибки были обнаружены ресерчером Джошуа Мартинеллом из Tenable, который сообщил о них WordPress 19 декабря 2022 года вместе с PoC.
Разработчики плагинов выпустили обновления для решения проблем в последующие дни, поэтому все проблемы в последних версиях устранены.
Вчера исследователь раскрыл технические подробности и представил PoC для каждой уязвимости.
Первый подключаемый модуль - это Paid Memberships Pro, инструмент управления членством и подписками, используется более чем на 100 000 веб-сайтах.
Согласно Tenable, Проблема связана с параметром «код» в REST-роуте /pmpro/v1/order перед использованием его в операторе SQL.
Уязвимость с CVSSv3 9,8 отслеживается как CVE-2023-23488 и затрагивает все версии плагина старше 2.9.8, устранена 27 декабря 2022 г.
Вторая надстройка WordPress, уязвимая для SQL-инъекций, - Easy Digital Downloads, решение в области электронной коммерции, имеет более чем 50 000 активных установок.
Проблема связана с параметром «s» в «edd_download_search» перед его использованием в операторе SQL.
Уязвимость отслеживается как CVE-2023-23489 и получила рейтинг серьезности CVSSv3 9,8. Она затрагивает все версии ниже 3.1.0.4, выпущенные 5 января 2023 года.
Наконец, Tenable обнаружила серьезную CVE-2023-23490 в Survey Marker, плагине WordPress, используемом на 3000 веб-сайтах для опросов и исследований рынка.
Уязвимость получила оценку CVSS 8,8, поскольку требует аутентификации злоумышленника как минимум в качестве подписчика. Исправление доступно с 21 декабря 2022 г. с версией 3.1.2.
Tenable не сообщает, какое влияние уязвимости могут оказать в случае их эксплуатации в реальных атаках.
Однако, учитывая критичность ошибок, пользователям плагинов рекомендуется обновиться до последней версии.
Ошибки были обнаружены ресерчером Джошуа Мартинеллом из Tenable, который сообщил о них WordPress 19 декабря 2022 года вместе с PoC.
Разработчики плагинов выпустили обновления для решения проблем в последующие дни, поэтому все проблемы в последних версиях устранены.
Вчера исследователь раскрыл технические подробности и представил PoC для каждой уязвимости.
Первый подключаемый модуль - это Paid Memberships Pro, инструмент управления членством и подписками, используется более чем на 100 000 веб-сайтах.
Согласно Tenable, Проблема связана с параметром «код» в REST-роуте /pmpro/v1/order перед использованием его в операторе SQL.
Уязвимость с CVSSv3 9,8 отслеживается как CVE-2023-23488 и затрагивает все версии плагина старше 2.9.8, устранена 27 декабря 2022 г.
Вторая надстройка WordPress, уязвимая для SQL-инъекций, - Easy Digital Downloads, решение в области электронной коммерции, имеет более чем 50 000 активных установок.
Проблема связана с параметром «s» в «edd_download_search» перед его использованием в операторе SQL.
Уязвимость отслеживается как CVE-2023-23489 и получила рейтинг серьезности CVSSv3 9,8. Она затрагивает все версии ниже 3.1.0.4, выпущенные 5 января 2023 года.
Наконец, Tenable обнаружила серьезную CVE-2023-23490 в Survey Marker, плагине WordPress, используемом на 3000 веб-сайтах для опросов и исследований рынка.
Уязвимость получила оценку CVSS 8,8, поскольку требует аутентификации злоумышленника как минимум в качестве подписчика. Исправление доступно с 21 декабря 2022 г. с версией 3.1.2.
Tenable не сообщает, какое влияние уязвимости могут оказать в случае их эксплуатации в реальных атаках.
Однако, учитывая критичность ошибок, пользователям плагинов рекомендуется обновиться до последней версии.
WordPress.org
Paid Memberships Pro – Content Restriction, User Registration, & Paid Subnoscriptions
Build a membership site that grows with you: user registration, member profiles, 28 protected content types, free or paid subnoscriptions.
Израильская компания Cellebrite специализирующая на разработке криминалистических решений, которую также, как и прочие израильские компании часто обвиняют в использовании ее продуктов для слежки за журналистами и правозащитниками, пострадала от утечки данных.
Как известно достоянием общественности стало около 1,7 ТБ, которые были размещены в сети Enlace Hacktivista.
Также утекли еще 103 ГБ данных от шведской криминалистической компании MSAB. Оба архива данных доступны для скачивания как через торренты, так и напрямую с Enlance Hacktivista и DDoSecrets.
Учитывая неоднозначную применимость специализированного оборудования для сбора данных с телефонов, связанную с фактами нарушений прав активистов иных антиправительственных диссидентов обе компании неоднократно были мишенью различных хактивистов и осведомителей.
Cellebrite UFED (Universal Forensics Extraction Device) — один из самых популярных сервисов компании, используемый как правоохранительными органами, так и спецслужбами для разблокировки и доступа к данным с конфискованных мобильных устройств.
Согласно Enlace Hacktivista, 13 января анонимный пользователь отправил им программное обеспечение для телефонной экспертизы и документацию от двух компаний.
Ни Enlace Hacktivistа, ни DDoSecrets не делали никаких заявлений о достоверности и источнике данных, а также о личности осведомителя.
Тем не менее, архив объемом 1,7 ТБ, которым поделился разоблачитель, похоже, содержит весь набор программ Cellebrite, включая знаменитый UFED компании, лицензионные инструменты, Physical Analyzer и Physical Analyzer Ultra, а также Cellebrite Reader.
Кроме того, в архив был включен ряд файлов с техническим руководством и документацией для заказчиков.
Как известно достоянием общественности стало около 1,7 ТБ, которые были размещены в сети Enlace Hacktivista.
Также утекли еще 103 ГБ данных от шведской криминалистической компании MSAB. Оба архива данных доступны для скачивания как через торренты, так и напрямую с Enlance Hacktivista и DDoSecrets.
Учитывая неоднозначную применимость специализированного оборудования для сбора данных с телефонов, связанную с фактами нарушений прав активистов иных антиправительственных диссидентов обе компании неоднократно были мишенью различных хактивистов и осведомителей.
Cellebrite UFED (Universal Forensics Extraction Device) — один из самых популярных сервисов компании, используемый как правоохранительными органами, так и спецслужбами для разблокировки и доступа к данным с конфискованных мобильных устройств.
Согласно Enlace Hacktivista, 13 января анонимный пользователь отправил им программное обеспечение для телефонной экспертизы и документацию от двух компаний.
Ни Enlace Hacktivistа, ни DDoSecrets не делали никаких заявлений о достоверности и источнике данных, а также о личности осведомителя.
Тем не менее, архив объемом 1,7 ТБ, которым поделился разоблачитель, похоже, содержит весь набор программ Cellebrite, включая знаменитый UFED компании, лицензионные инструменты, Physical Analyzer и Physical Analyzer Ultra, а также Cellebrite Reader.
Кроме того, в архив был включен ряд файлов с техническим руководством и документацией для заказчиков.
Более года функция безопасной загрузки на материнских платах MSI имела уязвимость и позволяла запускать вредоносный код.
Ошибку удалось обнаружить ресерчеру из Польши Давиду Потоцкому, который неоднократно предпринимал попытки связаться с разработчиком и так не получил ответа.
Как оказалось, более 290 материнских плат MSI на базе Intel и AMD с последней версией прошивки затрагивает проблема в параметрах настройки безопасной загрузки UEFI по умолчанию, которые позволяют запускать любой образ ОС независимо от того, имеет ли он неправильную или вовсе отсутствующую подпись.
Безопасная загрузка — это функция, встроенная в прошивку материнских плат UEFI, которая гарантирует, что в процессе загрузки может выполняться только доверенное (подписанное) ПО.
Для проверку безопасности загрузчиков, ядер ОС и других важных системных компонентов, функция использует PKI (инфраструктуру открытых ключей), которая аутентифицирует ПО и определяет достоверность при каждой загрузке.
Система безопасности предназначена для предотвращения запуска буткитов/руткитов UEFI на компьютере и для предупреждения пользователей о об изменении ОС.
Ресерчер выяснил, что обновленная версия прошивки MSI 7C02v3C, выпущенная 18 января 2022 года, включала изменения настройки безопасной загрузки по умолчанию на материнских платах MSI таким образом, что система будет загружаться, даже если обнаружит нарушения безопасности.
Параметр «политика выполнения образов» в прошивке переменился на значение «всегда выполнять» по умолчанию, что позволило любому образу загружать устройство в обычном режиме.
Исследователь пояснил, что для устранения угрозы пользователям необходимо установить политику выполнения на «запретить выполнение» для «съемных носителей» и «фиксированных носителей», что позволит разрешать загрузку только подписанного ПО.
При этом, по словам исследователя, MSI никогда не документировала этот маневр, поэтому ему пришлось отследить хронологию введение небезопасного значения по умолчанию с помощью IFR (представление внутренней формы UEFI) для извлечения информации о параметрах конфигурации.
Результаты позволили ему определить, какие материнские платы MSI уязвимы. Полный список составил более 290 материнских плат и доступен на GitHub.
Пользователям перечисленных в списке материнских плат MSI рекомендуется обратиться к настройкам BIOS и убедиться, что для параметра «политика выполнения образов» установлено безопасное значение.
Ошибку удалось обнаружить ресерчеру из Польши Давиду Потоцкому, который неоднократно предпринимал попытки связаться с разработчиком и так не получил ответа.
Как оказалось, более 290 материнских плат MSI на базе Intel и AMD с последней версией прошивки затрагивает проблема в параметрах настройки безопасной загрузки UEFI по умолчанию, которые позволяют запускать любой образ ОС независимо от того, имеет ли он неправильную или вовсе отсутствующую подпись.
Безопасная загрузка — это функция, встроенная в прошивку материнских плат UEFI, которая гарантирует, что в процессе загрузки может выполняться только доверенное (подписанное) ПО.
Для проверку безопасности загрузчиков, ядер ОС и других важных системных компонентов, функция использует PKI (инфраструктуру открытых ключей), которая аутентифицирует ПО и определяет достоверность при каждой загрузке.
Система безопасности предназначена для предотвращения запуска буткитов/руткитов UEFI на компьютере и для предупреждения пользователей о об изменении ОС.
Ресерчер выяснил, что обновленная версия прошивки MSI 7C02v3C, выпущенная 18 января 2022 года, включала изменения настройки безопасной загрузки по умолчанию на материнских платах MSI таким образом, что система будет загружаться, даже если обнаружит нарушения безопасности.
Параметр «политика выполнения образов» в прошивке переменился на значение «всегда выполнять» по умолчанию, что позволило любому образу загружать устройство в обычном режиме.
Исследователь пояснил, что для устранения угрозы пользователям необходимо установить политику выполнения на «запретить выполнение» для «съемных носителей» и «фиксированных носителей», что позволит разрешать загрузку только подписанного ПО.
При этом, по словам исследователя, MSI никогда не документировала этот маневр, поэтому ему пришлось отследить хронологию введение небезопасного значения по умолчанию с помощью IFR (представление внутренней формы UEFI) для извлечения информации о параметрах конфигурации.
Результаты позволили ему определить, какие материнские платы MSI уязвимы. Полный список составил более 290 материнских плат и доступен на GitHub.
Пользователям перечисленных в списке материнских плат MSI рекомендуется обратиться к настройкам BIOS и убедиться, что для параметра «политика выполнения образов» установлено безопасное значение.
Docs
Secure boot
Provides guidance on what an OEM should do to enable Securely booting a device
Специализирующаяся на облачной безопасности Datadog сообщает, что стала условной жертвой недавнего инцидента с CircleCI.
Как полагают в компании, один из ее ключей подписи RPM GPG и парольная фраза были раскрыты.
Несмотря на это, Datadog заявиляет, что не обнаружила никаких признаков того, что ключ действительно был украден или использовался не по назначению. Компания заявляет, что еще предстоит найти доказательства.
Тем не менее, после уведомления CircleCI о получении злоумышленником доступа к переменным средам, токенам и ключам клиентов, Datadog выпустила новую версию RPM Agent 5 для CentOS/RHEL, подписанную новым ключом.
Компания также выпустила новый скрипт установки Linux, который удаляет уязвимый ключ из файла репозитория Datadog и базы данных RPM.
Datadog отмечает, что даже если злоумышленнику удастся украсть ключ подписи и создать вредоносный RPM-пакет, он не сможет использовать его для совершения атак на клиентов, поскольку потребуется доступ к официальным репозиториям пакетов.
В любом случае, в Datadog решили перестраховаться, ведь не менее клиентов CircleCI уже обнаружили несанкционированный доступ к сторонним системам после того, как компания предупредила о необходимости изучить среды на предмет подозрительной активности, начиная с 16 декабря 2022 года.
Как полагают в компании, один из ее ключей подписи RPM GPG и парольная фраза были раскрыты.
Несмотря на это, Datadog заявиляет, что не обнаружила никаких признаков того, что ключ действительно был украден или использовался не по назначению. Компания заявляет, что еще предстоит найти доказательства.
Тем не менее, после уведомления CircleCI о получении злоумышленником доступа к переменным средам, токенам и ключам клиентов, Datadog выпустила новую версию RPM Agent 5 для CentOS/RHEL, подписанную новым ключом.
Компания также выпустила новый скрипт установки Linux, который удаляет уязвимый ключ из файла репозитория Datadog и базы данных RPM.
Datadog отмечает, что даже если злоумышленнику удастся украсть ключ подписи и создать вредоносный RPM-пакет, он не сможет использовать его для совершения атак на клиентов, поскольку потребуется доступ к официальным репозиториям пакетов.
В любом случае, в Datadog решили перестраховаться, ведь не менее клиентов CircleCI уже обнаружили несанкционированный доступ к сторонним системам после того, как компания предупредила о необходимости изучить среды на предмет подозрительной активности, начиная с 16 декабря 2022 года.
Datadog Infrastructure and Application Monitoring
Impact of the CircleCI Security Incident on the Datadog Agent
Datadog, the leading service for cloud-scale monitoring.
This media is not supported in your browser
VIEW IN TELEGRAM
Positive Hack Days 12 пройдет в Парке Горького 19–20 мая
В этом году PHDays станет более масштабным и пройдет под открытым небом. Будет много активностей для всех желающих, но при этом сохранятся все традиционные мероприятия и треки, в том числе соревнования по кибербезопасности.
Прием заявок от спикеров уже начался. PHDays 12 открыт для всех исследователей. Главное — оригинальный взгляд на одну из актуальных проблем защиты информации.
🔥 Подробности на сайте.
PHDays — это культовый форум по кибербезопасности, который в прошлом году посетили более 10 тысяч человек.
В этом году PHDays станет более масштабным и пройдет под открытым небом. Будет много активностей для всех желающих, но при этом сохранятся все традиционные мероприятия и треки, в том числе соревнования по кибербезопасности.
Прием заявок от спикеров уже начался. PHDays 12 открыт для всех исследователей. Главное — оригинальный взгляд на одну из актуальных проблем защиты информации.
🔥 Подробности на сайте.
Серьезная уязвимость в прошивке промышленных маршрутизаторов InRouter от InHand Networks угрожает роботам, счетчикам электроэнергии, медицинским и другим устройствам Интернета вещей.
Исследователи обнаружили критическую уязвимость CVE-2023-22598 с оценкой 10 из 10 в прошивке InRouter, что делает тысячи беспроводных устройств IoT уязвимыми для удаленного выполнения кода.
О проблеме сообщили специалисты из OTORIO, которые специализируются на безопасности сред OT, и почти сразу же CISA также выпустила свои предупреждение об уязвимостях в маршрутизаторах InHand Networks.
В общей сложности команда OTORIO сообщила о пяти уязвимостях в облачной платформе управления InHand Networks и прошивке InRouter.
Баги позволяют злоумышленникам обходить NAT и традиционные уровни безопасности, а также удаленно выполнять неаутентифицированный код от имени пользователя root на устройствах, подключенных к облаку.
Согласно предупреждению CISA ошибке CVE-2023-22598 подвержены модели InRouter302 (все версии до IR302 V3.5.56) и InRouter615 (все версии до InRouter6XX-S-V2.3.0.r5542), которые создают угрозу передачи конфиденциальной информации открытым текстом, внедрения команд ОС, использования одностороннего хэша с предсказуемой солью и обхода контроля доступа.
По умолчанию уязвимые продукты используют незащищенный канал для связи с облачной платформой, где неавторизованный пользователь может перехватывать сообщения и красть конфиденциальную информацию. Например, сведения о конфигурации и учетные данные MQTT.
В умелых руках злоумышленника эти баги могут позволить полностью взять под контроль любое устройство, управляемое облаком InHand Networks.
Специалисты OTORIO предупреждают, что выявленные ошибки представляет серьезную угрозу.
Дело в том, что InRouters используются во многих различных системах ОТ, включая промышленных роботов, буровые установки, лифты, медицинские устройства, зарядные станции для электромобилей, интеллектуальные счетчики и др.
Исследователи обнаружили критическую уязвимость CVE-2023-22598 с оценкой 10 из 10 в прошивке InRouter, что делает тысячи беспроводных устройств IoT уязвимыми для удаленного выполнения кода.
О проблеме сообщили специалисты из OTORIO, которые специализируются на безопасности сред OT, и почти сразу же CISA также выпустила свои предупреждение об уязвимостях в маршрутизаторах InHand Networks.
В общей сложности команда OTORIO сообщила о пяти уязвимостях в облачной платформе управления InHand Networks и прошивке InRouter.
Баги позволяют злоумышленникам обходить NAT и традиционные уровни безопасности, а также удаленно выполнять неаутентифицированный код от имени пользователя root на устройствах, подключенных к облаку.
Согласно предупреждению CISA ошибке CVE-2023-22598 подвержены модели InRouter302 (все версии до IR302 V3.5.56) и InRouter615 (все версии до InRouter6XX-S-V2.3.0.r5542), которые создают угрозу передачи конфиденциальной информации открытым текстом, внедрения команд ОС, использования одностороннего хэша с предсказуемой солью и обхода контроля доступа.
По умолчанию уязвимые продукты используют незащищенный канал для связи с облачной платформой, где неавторизованный пользователь может перехватывать сообщения и красть конфиденциальную информацию. Например, сведения о конфигурации и учетные данные MQTT.
В умелых руках злоумышленника эти баги могут позволить полностью взять под контроль любое устройство, управляемое облаком InHand Networks.
Специалисты OTORIO предупреждают, что выявленные ошибки представляет серьезную угрозу.
Дело в том, что InRouters используются во многих различных системах ОТ, включая промышленных роботов, буровые установки, лифты, медицинские устройства, зарядные станции для электромобилей, интеллектуальные счетчики и др.
www.cybersecurity-help.cz
Multiple vulnerabilities in InHand Networks InRouter302
Multiple vulnerabilities were identified in InRouter302
Ресерчеры Trend Micro выяснили, что общедоступная с ноября 2022 года функция GitHub Codespaces может быть использована для доставки вредоносного ПО.
GitHub Codespaces представляет собой бесплатную облачную интегрированную среду разработки (IDE), которая позволяет разработчикам создавать, редактировать и запускать код в своих браузерах через контейнерную среду, работающую в VM.
Одна из функций, предоставляемых GitHub Codespaces, позволяет разработчикам совместно использовать перенаправленные порты с виртуальной машины как в частном порядке, так и публично, для совместной работы в режиме реального времени.
К частному порту можно получить доступ только через URL-адрес, в то время как к общедоступным портам может получить доступ любой, у кого есть URL-адрес, без какой-либо формы аутентификации.
Согласно Trend Micro, эта функция совместной работы может использоваться злоумышленниками с учетными записями на GitHub для размещения вредоносного сценариев, ransowmare и других типов ВПО.
Исследователи смогли создать HTTP-сервер на основе Python на порту 8080 и публично поделиться переадресованным портом, заметив при этом, что URL-адрес может быть доступен любому, поскольку он не включает файлы cookie для аутентификации.
Перенаправление портов в GitHub Codespaces обычно реализуется через HTTP, но разработчики могут переключиться на HTTPS, что автоматически сделает порт закрытым.
По мнению Trend Micro, злоумышленник может создать простой сценарий для многократного создания пространства кода с общедоступным портом и использовать его для размещения вредоносного контента — по сути, веб-сервера с открытым каталогом, содержащим вредоносное ПО, — и настроить его на автоматическое удаление после того, как был получен доступ к URL-адресу.
Таким образом, злоумышленники могут легко злоупотреблять GitHub Codespaces для быстрой доставки вредоносного кода, публично открывая порты в своих средах codespace.
Поскольку каждое созданное кодовое пространство имеет уникальный идентификатор, связанный с ним субдомен также уникален, что дает злоумышленнику достаточно оснований для создания различных экземпляров открытых каталогов.
Пока нет никаких доказательств того, что подобная техника использовалась в дикой природе, но как известно, злоумышленники достаточно часто злоупотребляют бесплатными облачными сервисами и платформами в проведении кампаний.
Для снижения риска выявленных угроз, разработчикам рекомендуется использовать только тот код, которому они могут доверять, убедиться, что они используют только признанные и поддерживаемые образы контейнеров, защитить свои учетные записи GitHub надежными паролями и 2FA.
Кроме того, GitHub планирует добавить пользователям запрос на подтверждение того, что они доверяют владельцу при подключении к кодовому пространству.
Разработчик, в свою очередь, рекомендует пользователям GitHub Codespaces следовать рекомендациям по обеспечению безопасности и минимизации рисков, связанных с их средой разработки.
GitHub Codespaces представляет собой бесплатную облачную интегрированную среду разработки (IDE), которая позволяет разработчикам создавать, редактировать и запускать код в своих браузерах через контейнерную среду, работающую в VM.
Одна из функций, предоставляемых GitHub Codespaces, позволяет разработчикам совместно использовать перенаправленные порты с виртуальной машины как в частном порядке, так и публично, для совместной работы в режиме реального времени.
К частному порту можно получить доступ только через URL-адрес, в то время как к общедоступным портам может получить доступ любой, у кого есть URL-адрес, без какой-либо формы аутентификации.
Согласно Trend Micro, эта функция совместной работы может использоваться злоумышленниками с учетными записями на GitHub для размещения вредоносного сценариев, ransowmare и других типов ВПО.
Исследователи смогли создать HTTP-сервер на основе Python на порту 8080 и публично поделиться переадресованным портом, заметив при этом, что URL-адрес может быть доступен любому, поскольку он не включает файлы cookie для аутентификации.
Перенаправление портов в GitHub Codespaces обычно реализуется через HTTP, но разработчики могут переключиться на HTTPS, что автоматически сделает порт закрытым.
По мнению Trend Micro, злоумышленник может создать простой сценарий для многократного создания пространства кода с общедоступным портом и использовать его для размещения вредоносного контента — по сути, веб-сервера с открытым каталогом, содержащим вредоносное ПО, — и настроить его на автоматическое удаление после того, как был получен доступ к URL-адресу.
Таким образом, злоумышленники могут легко злоупотреблять GitHub Codespaces для быстрой доставки вредоносного кода, публично открывая порты в своих средах codespace.
Поскольку каждое созданное кодовое пространство имеет уникальный идентификатор, связанный с ним субдомен также уникален, что дает злоумышленнику достаточно оснований для создания различных экземпляров открытых каталогов.
Пока нет никаких доказательств того, что подобная техника использовалась в дикой природе, но как известно, злоумышленники достаточно часто злоупотребляют бесплатными облачными сервисами и платформами в проведении кампаний.
Для снижения риска выявленных угроз, разработчикам рекомендуется использовать только тот код, которому они могут доверять, убедиться, что они используют только признанные и поддерживаемые образы контейнеров, защитить свои учетные записи GitHub надежными паролями и 2FA.
Кроме того, GitHub планирует добавить пользователям запрос на подтверждение того, что они доверяют владельцу при подключении к кодовому пространству.
Разработчик, в свою очередь, рекомендует пользователям GitHub Codespaces следовать рекомендациям по обеспечению безопасности и минимизации рисков, связанных с их средой разработки.
Trend Micro
Abusing a GitHub Codespaces Feature For Malware Delivery
Proof of Concept (POC): We investigate one of the GitHub Codespaces’ real-time code development and collaboration features that attackers can abuse for cloud-based trusted malware delivery. Once exploited, malicious actors can abuse legitimate GitHub accounts…
Forwarded from Social Engineering
🔖 Эволюция киберпреступности. Анализ, тренды и прогнозы 2023.
• Напомним, что самыми активными группами в 2022 году были Lockbit, Conti и Hive. В 2023 году в игре останутся только сильнейшие, а мелкие и менее опытные, будут распадаться.
• Количество ресурсов, где злоумышленники публикуют похищенные данные компаний для более эффективного давления на жертву, в 2022 году выросло на 83%, достигнув 44. По информации от Group-IB, ежедневно на таких сайтах оказываются данные 8 жертв, атакованных шифровальщиками, а в общей сложности, в публичном доступе были выложены данные 2894 компаний.
• Как и ранее, большинство атак вымогателей приходилось на компании в США. Однако в прошлом году количество атак с целью выкупа за расшифровку данных на бизнес в RU сегменте увеличилось в три раза. Рекорд по сумме выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей.
• Новым способом получения доступов в инфраструктуру компаний становится использование стиллеров — вредоносных программ для кражи данных с зараженных компьютеров и смартфонов пользователей. Всего Group-IB обнаружила 380 брокеров по продаже доступов к скомпрометированной инфраструктуре компаний, которые опубликовали более 2300 предложений на даркнет форумах. За 2022 год рынок продавцов доступов в даркнете вырос более чем в два раза, при этом средняя цена доступа уменьшилась вдвое. Чаще всего злоумышленники реализуют свой “товар” в виде доступов к VPN и RDP (протокол удаленного рабочего стола).
• В 2022 году данные, украденные с помощью стиллеров, вошли в топ-3 самого продаваемого “товара” в даркнете наряду с продажей доступов и текстовыми данными банковских карт (имя владельца, номер карты, срок истечения, CVV).
• В 2023 году специалисты прогнозируют и рост утечек. Подавляющее большинство баз данных российских компаний выкладывались в 2022 году на андеграундных форумах и тематических Telegram-каналах в публичный доступ бесплатно.
🧷 Полный отчет можно запросить по ссылке: https://www.group-ib.ru/resources/research-hub/hi-tech-crime-trends-2022/. Отчет будет полезен компаниям из разных секторов и поможет создавать действенные ИБ-стратегии.
📌 Благодарность за краткое описание отчета: https://www.anti-malware.ru/
S.E. ▪️ S.E.Relax ▪️ infosec.work
🖖🏻 Приветствую тебя user_name.
• Group-IB опубликовали ежегодный флагманский отчет об актуальных трендах в сфере кибербезопасности и прогнозах эволюции ландшафта угроз. Если коротко, то направление программ-вымогателей сохранит свое лидерство в рейтинге киберугроз для бизнеса.• Напомним, что самыми активными группами в 2022 году были Lockbit, Conti и Hive. В 2023 году в игре останутся только сильнейшие, а мелкие и менее опытные, будут распадаться.
• Количество ресурсов, где злоумышленники публикуют похищенные данные компаний для более эффективного давления на жертву, в 2022 году выросло на 83%, достигнув 44. По информации от Group-IB, ежедневно на таких сайтах оказываются данные 8 жертв, атакованных шифровальщиками, а в общей сложности, в публичном доступе были выложены данные 2894 компаний.
• Как и ранее, большинство атак вымогателей приходилось на компании в США. Однако в прошлом году количество атак с целью выкупа за расшифровку данных на бизнес в RU сегменте увеличилось в три раза. Рекорд по сумме выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей.
• Новым способом получения доступов в инфраструктуру компаний становится использование стиллеров — вредоносных программ для кражи данных с зараженных компьютеров и смартфонов пользователей. Всего Group-IB обнаружила 380 брокеров по продаже доступов к скомпрометированной инфраструктуре компаний, которые опубликовали более 2300 предложений на даркнет форумах. За 2022 год рынок продавцов доступов в даркнете вырос более чем в два раза, при этом средняя цена доступа уменьшилась вдвое. Чаще всего злоумышленники реализуют свой “товар” в виде доступов к VPN и RDP (протокол удаленного рабочего стола).
• В 2022 году данные, украденные с помощью стиллеров, вошли в топ-3 самого продаваемого “товара” в даркнете наряду с продажей доступов и текстовыми данными банковских карт (имя владельца, номер карты, срок истечения, CVV).
• В 2023 году специалисты прогнозируют и рост утечек. Подавляющее большинство баз данных российских компаний выкладывались в 2022 году на андеграундных форумах и тематических Telegram-каналах в публичный доступ бесплатно.
🧷 Полный отчет можно запросить по ссылке: https://www.group-ib.ru/resources/research-hub/hi-tech-crime-trends-2022/. Отчет будет полезен компаниям из разных секторов и поможет создавать действенные ИБ-стратегии.
📌 Благодарность за краткое описание отчета: https://www.anti-malware.ru/
S.E. ▪️ S.E.Relax ▪️ infosec.work
Ресерчеры Horizon3 Attack Team предупреждают, что к концу недели станет доступен PoC для критической RCE-уязвимости, затрагивающей продукты Zoho ManageEngine.
CVE-2022-47966 связана с использованием устаревшей и уязвимой сторонней зависимости Apache Santuario. Ошибка исправлена несколькими патчами, вышедшими начиная с 27 октября 2022 года.
Успешная эксплуатация позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный код от NT AUTHORITY\SYSTEM на серверах ManageEngine, если система единого входа (SSO) на основе SAML включена или была включена хотя бы один раз перед атакой.
Уязвимость не сложна в использовании и позволяет эффективно проводить атаки типа «spray and pray».
К настоящему времени ресерчеры так и не представили технические детали, предоставив лишь общие индикаторы компрометации (IOC). Однако уже к концу недели Horizon3 планируют выпустить свой PoC-эксплойт.
Несмотря на отсутствие информации об атаках с использованием этой уязвимости в дикой природе, по мнению GreyNoise, хакеры, с высокой долей вероятности, быстро перейдут к созданию собственных эксплойтов, как только Horizon3 опубликует PoC.
Учитывая, что предварительные оценки с использованием Shodan, указывают на уязвимость 10% всех открытых продуктов ManageEngine для атак CVE-2022-47966, администраторам следует уделить пристальное внимание вопросам исправлений потенциально уязвимых решений. Ведь в последние годы серверы Zoho ManageEngine подвергались постоянным хакерским нападкам (1, 2).
CVE-2022-47966 связана с использованием устаревшей и уязвимой сторонней зависимости Apache Santuario. Ошибка исправлена несколькими патчами, вышедшими начиная с 27 октября 2022 года.
Успешная эксплуатация позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный код от NT AUTHORITY\SYSTEM на серверах ManageEngine, если система единого входа (SSO) на основе SAML включена или была включена хотя бы один раз перед атакой.
Уязвимость не сложна в использовании и позволяет эффективно проводить атаки типа «spray and pray».
К настоящему времени ресерчеры так и не представили технические детали, предоставив лишь общие индикаторы компрометации (IOC). Однако уже к концу недели Horizon3 планируют выпустить свой PoC-эксплойт.
Несмотря на отсутствие информации об атаках с использованием этой уязвимости в дикой природе, по мнению GreyNoise, хакеры, с высокой долей вероятности, быстро перейдут к созданию собственных эксплойтов, как только Horizon3 опубликует PoC.
Учитывая, что предварительные оценки с использованием Shodan, указывают на уязвимость 10% всех открытых продуктов ManageEngine для атак CVE-2022-47966, администраторам следует уделить пристальное внимание вопросам исправлений потенциально уязвимых решений. Ведь в последние годы серверы Zoho ManageEngine подвергались постоянным хакерским нападкам (1, 2).
X (formerly Twitter)
Horizon3 Attack Team on X
Reproducing the recent #ManageEngine CVE-2022-47966 pre-auth RCE, which affects nearly all of their products, has definitely been eye-opening about some recent SAML research that flew under our radar. POC and blog to come.
Credit to the original researcher…
Credit to the original researcher…
В результате атаки с использованием ransowmare на поставщика ПО в сфере морских перевозок DNV пострадало более 70 клиентов и около 1000 судов.
Норвежская компания DNV GL является крупнейшим поставщиком ПО в морской отрасли, предоставляет решения и услуги на протяжении всего жизненного цикла любого судна, включая полный комплекс от проектирования до оценки рисков и управления.
В обслуживании компании состоят 13 175 судов и передвижных морских установок (MOU) общим объемом грузоперевозки до 265,4 млн тонн, что составляет 21% всего мирового рынка. Более 300 клиентов, используют программные решения ShipManager и Navigator для управления портами и экипажами.
Инцидент с ransomware произошел 7 января, когда компания была вынуждена отключить ИТ-инфраструктуру для системы ShipManager. Об атаке были уведомлены норвежские власти.
При этом по предварительной оценке, признаков того, что какое-либо другое ПО или данные были затронуты, нет, а пользователи по-прежнему могут полагаться на бортовые и автономные функции ShipManager.
Поставщик ПО приступил к расследованию инцидента с привлечением передовых инфосек-компаний и вовсю работает над восстановлением систем.
Актор не раскрывается, так как на данный момент компания еще не идентифицировала штамм программ-вымогателей, заразивших ее системы. Норвежская фирма DNV GL также не разглашает полный объем ущерба, включая информацию о том, навигация каких типы судов была нарушена и как отразилось на графике грузоперевозок.
Но будем посмотреть.
Норвежская компания DNV GL является крупнейшим поставщиком ПО в морской отрасли, предоставляет решения и услуги на протяжении всего жизненного цикла любого судна, включая полный комплекс от проектирования до оценки рисков и управления.
В обслуживании компании состоят 13 175 судов и передвижных морских установок (MOU) общим объемом грузоперевозки до 265,4 млн тонн, что составляет 21% всего мирового рынка. Более 300 клиентов, используют программные решения ShipManager и Navigator для управления портами и экипажами.
Инцидент с ransomware произошел 7 января, когда компания была вынуждена отключить ИТ-инфраструктуру для системы ShipManager. Об атаке были уведомлены норвежские власти.
При этом по предварительной оценке, признаков того, что какое-либо другое ПО или данные были затронуты, нет, а пользователи по-прежнему могут полагаться на бортовые и автономные функции ShipManager.
Поставщик ПО приступил к расследованию инцидента с привлечением передовых инфосек-компаний и вовсю работает над восстановлением систем.
Актор не раскрывается, так как на данный момент компания еще не идентифицировала штамм программ-вымогателей, заразивших ее системы. Норвежская фирма DNV GL также не разглашает полный объем ущерба, включая информацию о том, навигация каких типы судов была нарушена и как отразилось на графике грузоперевозок.
Но будем посмотреть.
Splash247
Up to 1,000 ships affected by DNV ransomware attack - Splash247
DNV confirmed that around 1,000 vessels have been affected by a recent cybersecurity incident on its ShipManager software which proved to be a result of a ransomware attack. The Norway-based class society said in a statement that the shutdown of ShipManager…
Git исправила две критически уязвимости, которые могут позволить злоумышленникам выполнять RCE после успешного использования уязвимостей переполнения буфера на основе кучи.
Третий характерный для Windows недостаток, влияющий на Git GUI, вызван уязвимостью ненадежного пути поиска и позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять атаки низкой сложности с использованием ненадежного кода.
Исследователи Эрик Сестерхенн и Маркус Вервье из X41, а также Джорн Шнеевайс из GitLab обнаружили их в ходе аудита исходного кода Git по заказу OSTIF.
Первые две уязвимости: одна CVE-2022-41903 - в механизме форматирования коммитов и CVE-2022-23521 - в парсере gitattributes - были исправлены в новых версиях, начиная с 2.30.7.
Третья, отслеживаемая как CVE-2022-41953, все еще ожидает исправления, но пользователи могут обойти проблему, не используя ПО Git GUI для клонирования репозиториев или избегая клонирования из ненадежных источников.
Наиболее серьезная из них позволяет злоумышленнику инициировать повреждение памяти в куче во время клонирования или извлечения, что приводит к RCE, а другая позволяет - во время архивирования, что обычно выполняется подделками Git.
Кроме того, было выявлено достаточно много проблем, связанных с целыми числами, которые могут привести к ситуациям отказа в обслуживании или чтению за пределами границ.
Пользователи, которым не доступна возможность обновления, для защиты от угроз следует отключить «git-архив» в ненадежных репозиториях или избегать запуска команды в ненадежных репозиториях.
Если «git-архив» доступен через «git daemon», необходимо отключить его при работе с ненадежными репозиториями, выполнив команду «git config --global daemon.uploadArch false».
GitLab настаивает на том, что наиболее эффективным способом защиты является скорейшее обновление всех установок до последней версии Git v2.39.1.
Третий характерный для Windows недостаток, влияющий на Git GUI, вызван уязвимостью ненадежного пути поиска и позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять атаки низкой сложности с использованием ненадежного кода.
Исследователи Эрик Сестерхенн и Маркус Вервье из X41, а также Джорн Шнеевайс из GitLab обнаружили их в ходе аудита исходного кода Git по заказу OSTIF.
Первые две уязвимости: одна CVE-2022-41903 - в механизме форматирования коммитов и CVE-2022-23521 - в парсере gitattributes - были исправлены в новых версиях, начиная с 2.30.7.
Третья, отслеживаемая как CVE-2022-41953, все еще ожидает исправления, но пользователи могут обойти проблему, не используя ПО Git GUI для клонирования репозиториев или избегая клонирования из ненадежных источников.
Наиболее серьезная из них позволяет злоумышленнику инициировать повреждение памяти в куче во время клонирования или извлечения, что приводит к RCE, а другая позволяет - во время архивирования, что обычно выполняется подделками Git.
Кроме того, было выявлено достаточно много проблем, связанных с целыми числами, которые могут привести к ситуациям отказа в обслуживании или чтению за пределами границ.
Пользователи, которым не доступна возможность обновления, для защиты от угроз следует отключить «git-архив» в ненадежных репозиториях или избегать запуска команды в ненадежных репозиториях.
Если «git-архив» доступен через «git daemon», необходимо отключить его при работе с ненадежными репозиториями, выполнив команду «git config --global daemon.uploadArch false».
GitLab настаивает на том, что наиболее эффективным способом защиты является скорейшее обновление всех установок до последней версии Git v2.39.1.
X41 D-Sec - Penetration Tests and Source Code Audits
X41 Audited Git
X41 releases the audit report of Git
Orca представила сведения о 4 для атак с подделкой запросов на стороне сервера (SSRF) в службах Microsoft Azure, в том числе о двух ошибках, которые можно было использовать без аутентификации для несанкционированного доступа к облачным ресурсам.
Проблемы безопасности, обнаруженные Orca в период с 8 октября 2022 г. по 2 декабря 2022 г. в Azure API Management, Azure Functions, Azure Machine Learning и Azure Digital Twins, с тех пор были устранены Microsoft, последняя была закрыта 20 декабря.
Среди основных проблем следующие:
- SSRF без проверки подлинности в Azure Digital Twins Explorer из-за уязвимости в конечной точке /proxy/blob, которую можно использовать для получения ответа от любой службы с суффиксом «blob.core.windows[.]net».
- SSRF без проверки подлинности в функциях Azure, которые можно использовать для перечисления локальных портов и доступа к внутренним конечным точкам.
- Аутентифицированный SSRF в службе управления API Azure, который можно использовать для получения списка внутренних портов, включая порт, связанный со службой управления исходным кодом, который затем можно использовать для доступа к конфиденциальным файлам.
- Аутентифицированный SSRF в службе машинного обучения Azure через конечную точку /datacall/streamcontent, которую можно использовать для извлечения содержимого из произвольных конечных точек.
Обнаруженные уязвимости Azure SSRF позволили злоумышленнику сканировать локальные порты, обнаруживать новые службы, конечные точки и конфиденциальные файлы. Указанная информацию в отношении уязвимых серверов и служб представляет высокую ценность при планировании первоначального доступа и последующего целеполагания.
Две уязвимости, влияющие на функции Azure и Azure Digital Twins, могут быть использованы без какой-либо проверки подлинности, что позволяет злоумышленнику захватить контроль над сервером, даже не имея учетной записи Azure.
Атаки SSRF могут иметь серьезные последствия, поскольку они позволяют злоумышленнику считывать или изменять внутренние ресурсы и, что еще хуже, переключаться на другие хосты, взламывать системы для извлечения ценных данных.
Три уязвимости оцениваются как важные по степени серьезности, а уязвимость SSRF, влияющая на машинное обучение Azure, оценивается как низкая. Все слабые места могут быть использованы для манипулирования сервером с целью проведения дальнейших атак против уязвимой цели.
Исследователи Orca отмечают, что все четыре уязвимости можно использовать через XXE (внешний объект XML), файлы SVG, прокси-сервер, рендеринг PDF или уязвимую строку запроса в URL-адресе.
Для снижения риска угроз, пользователям рекомендуется проверять все входные данные, убедиться, что серверы настроены на разрешение только необходимого входящего и исходящего трафика, избегать неправильных конфигураций и придерживаться принципа наименьших привилегий (PoLP).
Позже и Microsoft опубликовала сообщение в блоге, пояснив, что уязвимости имели низкий рейтинг серьезности, поскольку не позволяли получить доступ к конфиденциальной информации или серверным службам Azure.
Проблемы безопасности, обнаруженные Orca в период с 8 октября 2022 г. по 2 декабря 2022 г. в Azure API Management, Azure Functions, Azure Machine Learning и Azure Digital Twins, с тех пор были устранены Microsoft, последняя была закрыта 20 декабря.
Среди основных проблем следующие:
- SSRF без проверки подлинности в Azure Digital Twins Explorer из-за уязвимости в конечной точке /proxy/blob, которую можно использовать для получения ответа от любой службы с суффиксом «blob.core.windows[.]net».
- SSRF без проверки подлинности в функциях Azure, которые можно использовать для перечисления локальных портов и доступа к внутренним конечным точкам.
- Аутентифицированный SSRF в службе управления API Azure, который можно использовать для получения списка внутренних портов, включая порт, связанный со службой управления исходным кодом, который затем можно использовать для доступа к конфиденциальным файлам.
- Аутентифицированный SSRF в службе машинного обучения Azure через конечную точку /datacall/streamcontent, которую можно использовать для извлечения содержимого из произвольных конечных точек.
Обнаруженные уязвимости Azure SSRF позволили злоумышленнику сканировать локальные порты, обнаруживать новые службы, конечные точки и конфиденциальные файлы. Указанная информацию в отношении уязвимых серверов и служб представляет высокую ценность при планировании первоначального доступа и последующего целеполагания.
Две уязвимости, влияющие на функции Azure и Azure Digital Twins, могут быть использованы без какой-либо проверки подлинности, что позволяет злоумышленнику захватить контроль над сервером, даже не имея учетной записи Azure.
Атаки SSRF могут иметь серьезные последствия, поскольку они позволяют злоумышленнику считывать или изменять внутренние ресурсы и, что еще хуже, переключаться на другие хосты, взламывать системы для извлечения ценных данных.
Три уязвимости оцениваются как важные по степени серьезности, а уязвимость SSRF, влияющая на машинное обучение Azure, оценивается как низкая. Все слабые места могут быть использованы для манипулирования сервером с целью проведения дальнейших атак против уязвимой цели.
Исследователи Orca отмечают, что все четыре уязвимости можно использовать через XXE (внешний объект XML), файлы SVG, прокси-сервер, рендеринг PDF или уязвимую строку запроса в URL-адресе.
Для снижения риска угроз, пользователям рекомендуется проверять все входные данные, убедиться, что серверы настроены на разрешение только необходимого входящего и исходящего трафика, избегать неправильных конфигураций и придерживаться принципа наименьших привилегий (PoLP).
Позже и Microsoft опубликовала сообщение в блоге, пояснив, что уязвимости имели низкий рейтинг серьезности, поскольку не позволяли получить доступ к конфиденциальной информации или серверным службам Azure.
Orca Security
How Orca Found Server-Side Request Forgery (SSRF) Vulnerabilities in Four Different Azure Services
In this blog, we will describe how we found 4 different SSRF vulnerabilities and were able to take advantage of these flaws in some of the Azure Services.
Forwarded from Russian OSINT
Исследователи из Cyberark Эран Шимони и Омер Царфати утверждают, что СhatGPT способен создавать относительно простые полиморфные malware:
ChatGPT может быть легко использован для создания полиморфных вредоносных программ. Расширенные возможности такого вредоносного ПО могут легко обойти продукты безопасности и сделать борьбу с ним крайне сложной, при этом противник не приложит особых усилий или инвестиций. Цель данного сообщения - повысить осведомленность о потенциальных рисках и стимулировать дальнейшие исследования по этой теме.
Концепция создания полиморфных вредоносных программ с помощью ChatGPT может показаться сложной, но на самом деле ее реализация относительно проста. Используя способность ChatGPT генерировать различные техники персистенции, модули Anti-VM и другие вредоносные полезные нагрузки, возможности для разработки вредоносных программ очень широки. Хотя мы не вдавались в подробности связи с C&C-сервером, тем не менее существует несколько способов сделать это незаметно, не вызывая подозрений. В будущем мы будем расширять и углубляться в эту тему, а также планируем выпустить часть исходного кода в исследовательских целях.
Please open Telegram to view this post
VIEW IN TELEGRAM
В современных условиях безопасность информационных систем корпораций и государственных структур приобретает особую значимость, и в 2023-м - ее роль еще более возрастет.
Специалисты DFI (Digital Footprint Intelligence) и DFIR (Digital Forensics and Incident Response) Лаборатории Касперского в рамках Kaspersky Security Bulletin подготовили обзор угроз, которые будут актуальны для этого сегмента в 2023 году:
- Тренд на утечки персональных данных будет продолжать стремительный рост. Только за прошедший год в открытом доступе оказалось более 1,5 млрд записей. Учитывая, что для регистрации на сайтах и в сервисах пользователи используют адреса корпоративной почты поверхность атаки в инфраструктуре компаний увеличивается. Злоумышленники будут не просто «сливать» базы, но и совмещать информацию из различных источников, что вызовет волну более продвинутых, таргетированных схем социальной инженерии и кибершпионажа.
Для снижения риска подобных угроз, ресерчеры рекомендуют контролировать цифровой след компании и ее сотрудников, в том числе с помощью непрерывного мониторинга открытого интернета и даркнета.
- Рынок даркнета станет еще чувствительнее к новостной повестке: события в мире будут влиять на то, какие данные киберпреступники будут выставлять на продажу. За прошедшие два года злоумышленники в совершенстве отточили навыки адаптации и быстрого реагирования на возникающие инфоповоды.
Для защиты от инцидентов, связанных с продажей информации, и от целевых атак на организацию в будущем году нужно не только держать руку на пульсе глобальных событий, но и следить за их последствиями в мире киберпреступников.
- Шантаж в медиа усилится: компании будут узнавать о взломе из публичных постов хакеров c обратным отсчетом до публикации данных. В 2022 году количество публикаций в таких блогах — как на открытых ресурсах, так и в даркнете — заметно выросло: в течение первых 10 месяцев 2021 года - порядка 200–300 постов в месяц, к первой половине 2022-го - уже превышало 500. Вместо попыток связаться с компанией-жертвой вымогатели уже перешли к тому, чтобы сразу размещать сообщения о взломе на DLS с обратным отсчетом до публикации утекших данных и ждут реакции жертвы.
- Киберпреступники будут чаще публиковать фейки о взломах. Информация об утечке, опубликованная в открытых источниках, становится инструментом манипуляции медиа, и даже без реального взлома может нанести вред целевой компании.
Важно своевременно выявлять подобные сообщения и инициировать процесс по реагированию на них, схожий с реагированием на инциденты безопасности. Он включает в себя мониторинг публикаций об утечках или компрометации компании на ресурсах даркнета и теневых сайтах.
- Популярными векторами атак станут облачные технологии и скомпрометированные данные из даркнета. Все больше компаний переносят свои информационные системы в облако, и зачастую используют для этого услуги внешних партнеров, не заботясь должным образом об ИБ. В 2023 году киберпреступники будут чаще покупать в даркнете доступы к уже скомпрометированным сетям разных организаций. Этот тренд опасен тем, что этап компрометации учетных данных пользователей может оставаться незамеченным.
Чтобы добиться лояльности клиентов и партнеров, корпорация должна поддерживать непрерывность бизнеса и внедрять надежную многоуровневую защиту критически важных активов, корпоративных данных и всей IT-инфраструктуры. Но даже она не исключает риск компрометации, поэтому очень важно своевременно и правильно реагировать на инцидент.
- В 2023 году модель Malware-as-a-Service продолжит набирать обороты, в частности среди вымогателей. MaaS снижает порог входа в ряды киберпреступников: любой желающий может организовать кибератаку с использованием шифровальщика, взяв соответствующее вредоносное ПО напрокат. В свою очередь, количество штаммов шифровальщиков будет снижаться, а атаки будут становиться все более однотипными. При этом инструментарий атакующих будет усложняться, и только автоматизированных решений станет недостаточно для построения полноценной защиты.
Специалисты DFI (Digital Footprint Intelligence) и DFIR (Digital Forensics and Incident Response) Лаборатории Касперского в рамках Kaspersky Security Bulletin подготовили обзор угроз, которые будут актуальны для этого сегмента в 2023 году:
- Тренд на утечки персональных данных будет продолжать стремительный рост. Только за прошедший год в открытом доступе оказалось более 1,5 млрд записей. Учитывая, что для регистрации на сайтах и в сервисах пользователи используют адреса корпоративной почты поверхность атаки в инфраструктуре компаний увеличивается. Злоумышленники будут не просто «сливать» базы, но и совмещать информацию из различных источников, что вызовет волну более продвинутых, таргетированных схем социальной инженерии и кибершпионажа.
Для снижения риска подобных угроз, ресерчеры рекомендуют контролировать цифровой след компании и ее сотрудников, в том числе с помощью непрерывного мониторинга открытого интернета и даркнета.
- Рынок даркнета станет еще чувствительнее к новостной повестке: события в мире будут влиять на то, какие данные киберпреступники будут выставлять на продажу. За прошедшие два года злоумышленники в совершенстве отточили навыки адаптации и быстрого реагирования на возникающие инфоповоды.
Для защиты от инцидентов, связанных с продажей информации, и от целевых атак на организацию в будущем году нужно не только держать руку на пульсе глобальных событий, но и следить за их последствиями в мире киберпреступников.
- Шантаж в медиа усилится: компании будут узнавать о взломе из публичных постов хакеров c обратным отсчетом до публикации данных. В 2022 году количество публикаций в таких блогах — как на открытых ресурсах, так и в даркнете — заметно выросло: в течение первых 10 месяцев 2021 года - порядка 200–300 постов в месяц, к первой половине 2022-го - уже превышало 500. Вместо попыток связаться с компанией-жертвой вымогатели уже перешли к тому, чтобы сразу размещать сообщения о взломе на DLS с обратным отсчетом до публикации утекших данных и ждут реакции жертвы.
- Киберпреступники будут чаще публиковать фейки о взломах. Информация об утечке, опубликованная в открытых источниках, становится инструментом манипуляции медиа, и даже без реального взлома может нанести вред целевой компании.
Важно своевременно выявлять подобные сообщения и инициировать процесс по реагированию на них, схожий с реагированием на инциденты безопасности. Он включает в себя мониторинг публикаций об утечках или компрометации компании на ресурсах даркнета и теневых сайтах.
- Популярными векторами атак станут облачные технологии и скомпрометированные данные из даркнета. Все больше компаний переносят свои информационные системы в облако, и зачастую используют для этого услуги внешних партнеров, не заботясь должным образом об ИБ. В 2023 году киберпреступники будут чаще покупать в даркнете доступы к уже скомпрометированным сетям разных организаций. Этот тренд опасен тем, что этап компрометации учетных данных пользователей может оставаться незамеченным.
Чтобы добиться лояльности клиентов и партнеров, корпорация должна поддерживать непрерывность бизнеса и внедрять надежную многоуровневую защиту критически важных активов, корпоративных данных и всей IT-инфраструктуры. Но даже она не исключает риск компрометации, поэтому очень важно своевременно и правильно реагировать на инцидент.
- В 2023 году модель Malware-as-a-Service продолжит набирать обороты, в частности среди вымогателей. MaaS снижает порог входа в ряды киберпреступников: любой желающий может организовать кибератаку с использованием шифровальщика, взяв соответствующее вредоносное ПО напрокат. В свою очередь, количество штаммов шифровальщиков будет снижаться, а атаки будут становиться все более однотипными. При этом инструментарий атакующих будет усложняться, и только автоматизированных решений станет недостаточно для построения полноценной защиты.
securelist.ru
Угрозы для корпораций: предсказания на 2023 год
Предсказания «Лаборатории Касперского» об угрозах для корпораций на 2023 год: шантаж в СМИ, фейковые утечки, атаки через облако и усложнение инструментария вымогателей.
В маршрутизаторах TP-Link и NetComm были обнаружены RCE-уязвимости.
CVE-2022-4498 и CVE-2022-4499 затрагивают TP-Link WR710N-V1-151022 и Archer-C5-V2-160201 SOHO.
Они были обнаружены исследователем Microsoft Джеймсу Халлу.
Ошибки позволяют злоумышленникам выполнять код, вызывать сбои в работе устройств или раскрывать учетные данные для входа.
Первая проблема описывается как переполнение кучи, вызванное специально созданными пакетами в режиме базовой аутентификации HTTP.
Злоумышленник может использовать эту ошибку, чтобы вызвать DoS или RCE.
Вторая CVE-2022-4499 связана с тем, что функция HTTPD подвержена атаке по сторонним каналам, которая позволяет злоумышленнику узнать каждый байт строки имени пользователя и пароля.
TP-Link была уведомлена об этих недостатках еще в ноябре 2022 года, но обе проблемы остаются несправленными.
Две уязвимости затрагивают маршрутизаторы NetComm NF20MESH, NF20 и NL1902.
Первая CVE-2022-4873 представляет собой переполнение буфера, которое может привести к сбою приложения.
Вторая - CVE-2022-4874, представляет собой обход аутентификации, ведущий к несанкционированному доступу к контенту.
Объединенные в цепочку уязвимости позволяют удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код.
Злоумышленник может сначала получить несанкционированный доступ к уязвимым устройствам, а затем использовать эти точки входа, чтобы получить доступ к другим сетям или поставить под угрозу доступность, целостность или конфиденциальность данных, передаваемых из внутренней сети.
В декабре 2022 года NetComm выпустила обновления для прошивки, которые устраняют недостатки.
Позже в январе 2023 года обнаруживший их исследователь Брендан Скарвелл опубликовал технические подробности, а также PoC-эксплойт.
CVE-2022-4498 и CVE-2022-4499 затрагивают TP-Link WR710N-V1-151022 и Archer-C5-V2-160201 SOHO.
Они были обнаружены исследователем Microsoft Джеймсу Халлу.
Ошибки позволяют злоумышленникам выполнять код, вызывать сбои в работе устройств или раскрывать учетные данные для входа.
Первая проблема описывается как переполнение кучи, вызванное специально созданными пакетами в режиме базовой аутентификации HTTP.
Злоумышленник может использовать эту ошибку, чтобы вызвать DoS или RCE.
Вторая CVE-2022-4499 связана с тем, что функция HTTPD подвержена атаке по сторонним каналам, которая позволяет злоумышленнику узнать каждый байт строки имени пользователя и пароля.
TP-Link была уведомлена об этих недостатках еще в ноябре 2022 года, но обе проблемы остаются несправленными.
Две уязвимости затрагивают маршрутизаторы NetComm NF20MESH, NF20 и NL1902.
Первая CVE-2022-4873 представляет собой переполнение буфера, которое может привести к сбою приложения.
Вторая - CVE-2022-4874, представляет собой обход аутентификации, ведущий к несанкционированному доступу к контенту.
Объединенные в цепочку уязвимости позволяют удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код.
Злоумышленник может сначала получить несанкционированный доступ к уязвимым устройствам, а затем использовать эти точки входа, чтобы получить доступ к другим сетям или поставить под угрозу доступность, целостность или конфиденциальность данных, передаваемых из внутренней сети.
В декабре 2022 года NetComm выпустила обновления для прошивки, которые устраняют недостатки.
Позже в январе 2023 года обнаруживший их исследователь Брендан Скарвелл опубликовал технические подробности, а также PoC-эксплойт.
kb.cert.org
CERT/CC Vulnerability Note VU#572615
Vulnerabilities in TP-Link routers, WR710N-V1-151022 and Archer C5 V2
Oracle объявила о выпуске первого критического обновления в 2023 году, которое включает 327 новых исправлений безопасности.
При это более 70 исправлений устраняют критические уязвимости, а почти 200 исправлений устраняют ошибки, которые можно использовать удаленно без аутентификации. Некоторые из исправленных недостатков затрагивают не один продукт компании.
Наибольшее количество новых исправлений было выпущено для Oracle Communications — 79. Из них 63 уязвимости можно использовать удаленно без аутентификации, а 19 имеют рейтинг критической степени серьезности.
Патч включает 50 исправлений безопасности, которые устраняют недостатки в ПО Fusion. 39 ошибок могут быть использованы удаленным злоумышленником, не прошедшим проверку подлинности, а 14 из них - оцениваются как критические.
Также было выпущено много исправлений для коммуникационных приложений (39 исправлений, 31 для удаленного использования без аутентификации) и для MySQL (37 исправлений, 8 - для неаутентифицированных, удаленно эксплуатируемых недостатков).
Среди другого пропатченного ПО: приложения для финансовых служб (16 исправлений — 12 удаленно эксплуатируемых проблем без проверки подлинности), E-Business Suite (12–10), PeopleSoft (12–10), Database Server (9–1), приложения для коммунальных служб (7–7), строительства и проектирования (7–4), производства продуктов питания и напитков (7–2), а также инструменты поддержки (6–6) и виртуализация (6–1).
Обновления также включают исправления для Essbase, GoldenGate, TimesTen In-Memory, Commerce, Enterprise Manager, Hyperion, Java SE, JD Edwards, Siebel CRM, приложений для медицины и здравоохранения, гостиничного и страхового бизнеса, розничной торговли.
Технический гигант также объявил, что, хотя для таких приложений, как Big Data Graph, Global Lifecycle Management, Graph Server and Client и Spatial Studio, не было выпущено новых исправлений, для них были доступны обновления для решения сторонних проблем. Oracle выпустила сторонние исправления и для других продуктов.
Oracle рекомендует клиентам как можно скорее установить доступные исправления, подчеркнув, что она располагает сведениями о попытках злоумышленников использовать неисправленные проблемы, для которых доступны исправления.
При это более 70 исправлений устраняют критические уязвимости, а почти 200 исправлений устраняют ошибки, которые можно использовать удаленно без аутентификации. Некоторые из исправленных недостатков затрагивают не один продукт компании.
Наибольшее количество новых исправлений было выпущено для Oracle Communications — 79. Из них 63 уязвимости можно использовать удаленно без аутентификации, а 19 имеют рейтинг критической степени серьезности.
Патч включает 50 исправлений безопасности, которые устраняют недостатки в ПО Fusion. 39 ошибок могут быть использованы удаленным злоумышленником, не прошедшим проверку подлинности, а 14 из них - оцениваются как критические.
Также было выпущено много исправлений для коммуникационных приложений (39 исправлений, 31 для удаленного использования без аутентификации) и для MySQL (37 исправлений, 8 - для неаутентифицированных, удаленно эксплуатируемых недостатков).
Среди другого пропатченного ПО: приложения для финансовых служб (16 исправлений — 12 удаленно эксплуатируемых проблем без проверки подлинности), E-Business Suite (12–10), PeopleSoft (12–10), Database Server (9–1), приложения для коммунальных служб (7–7), строительства и проектирования (7–4), производства продуктов питания и напитков (7–2), а также инструменты поддержки (6–6) и виртуализация (6–1).
Обновления также включают исправления для Essbase, GoldenGate, TimesTen In-Memory, Commerce, Enterprise Manager, Hyperion, Java SE, JD Edwards, Siebel CRM, приложений для медицины и здравоохранения, гостиничного и страхового бизнеса, розничной торговли.
Технический гигант также объявил, что, хотя для таких приложений, как Big Data Graph, Global Lifecycle Management, Graph Server and Client и Spatial Studio, не было выпущено новых исправлений, для них были доступны обновления для решения сторонних проблем. Oracle выпустила сторонние исправления и для других продуктов.
Oracle рекомендует клиентам как можно скорее установить доступные исправления, подчеркнув, что она располагает сведениями о попытках злоумышленников использовать неисправленные проблемы, для которых доступны исправления.
Американские силовики задержали основателя зарегистрированной в Гонконге криптовалютной биржи Bitzlato Анатолия Легкодымова, который обвиняет в сотрудничестве с вымогателями и отмывании денег, полученных от незаконного оборота наркотиков.
Легкодымов был арестован во вторник вечером в Майами, и сегодня должен предстать перед судом в Окружном суде США по Южному округу штата Флориды.
Операция проводилась во взаимодействии с Европолом и правоохранителями Франции, Испании, Португалии и Кипра.
Согласно отчету Chainalysis, Bitzlato получила криптовалюту на сумму более 2 млрд. долл. в период с 2019 по 2021 год, из которых более 966 млн. долл. представляли собой незаконные активы.
По их данным, криптобиржа получила 206 млн. долл. с даркнета, 224,5 млн. долл. от мошенничества и 9 млн. долл. от участников рынка ransowmare. Крупнейшим контрагентом Bitzlato в транзакциях с криптой был Hydra Market, прежде чем он был закрыт властями США и Германии в апреле 2022 года.
По данным силовиков, пользователи Hydra Market обменяли более 700 млн. долл. в криптовалюте через Bitzlato напрямую или через посредников, и более 15 миллионов долларов, которые составляли доходы от программ-вымогателей.
По версии Минюста США, руководство Bitzlato знало, что платформа используется в преступной деятельности, а многие пользователи зарегистрировали свои учетные записи, используя поддельные личные данные.
Администрация Bitzlato предупредила своих пользователей о том, что биржа была взломана, и несмотря на инцидент, все средства клиентов в безопасности, в связи с чем были приостановлены выводы и пополнения.
Американские силовики выдвигают обвинения в задействовании биржи, прежде всего, в интересах российских хакерских групп.
Однако анализ трафика платформы позволил выявить более 250 миллионов посещений с IP-адресов США только в июле 2022 года, которые вряд ли ограничивались легальной активностью.
Легкодымов был арестован во вторник вечером в Майами, и сегодня должен предстать перед судом в Окружном суде США по Южному округу штата Флориды.
Операция проводилась во взаимодействии с Европолом и правоохранителями Франции, Испании, Португалии и Кипра.
Согласно отчету Chainalysis, Bitzlato получила криптовалюту на сумму более 2 млрд. долл. в период с 2019 по 2021 год, из которых более 966 млн. долл. представляли собой незаконные активы.
По их данным, криптобиржа получила 206 млн. долл. с даркнета, 224,5 млн. долл. от мошенничества и 9 млн. долл. от участников рынка ransowmare. Крупнейшим контрагентом Bitzlato в транзакциях с криптой был Hydra Market, прежде чем он был закрыт властями США и Германии в апреле 2022 года.
По данным силовиков, пользователи Hydra Market обменяли более 700 млн. долл. в криптовалюте через Bitzlato напрямую или через посредников, и более 15 миллионов долларов, которые составляли доходы от программ-вымогателей.
По версии Минюста США, руководство Bitzlato знало, что платформа используется в преступной деятельности, а многие пользователи зарегистрировали свои учетные записи, используя поддельные личные данные.
Администрация Bitzlato предупредила своих пользователей о том, что биржа была взломана, и несмотря на инцидент, все средства клиентов в безопасности, в связи с чем были приостановлены выводы и пополнения.
Американские силовики выдвигают обвинения в задействовании биржи, прежде всего, в интересах российских хакерских групп.
Однако анализ трафика платформы позволил выявить более 250 миллионов посещений с IP-адресов США только в июле 2022 года, которые вряд ли ограничивались легальной активностью.
Chainalysis
Russian Cybercriminals Drive Significant Ransomware and Cryptocurrency-based Money Laundering Activity
Significant ransomware and crypto-based money laundering comes from Russian cybercriminals. Learn more from the 2022 Crypto Crime Report.
Некоторые вендоры и пользователи Adobe Commerce и Magento решили сделать нелегкий выбор между "безопасно" и "удобно".
Как мы сообщали, февральский патч от Adobe, выпущенный для устранения критической уязвимости почтовых шаблонов CVE-2022-24086 (оценка CVSS 9,8), активно обходился злоумышленниками.
Во второй серии исправлений, с уже новым идентификатором CVE (CVE-2022-24087) разработчики выпустили очередной патч.
Примерно в то же время был выпущен PoC, нацеленный на эту уязвимость.
Так в чем, собственно, вся соль разъяснили специалисты по безопасности электронной коммерции Sansec.
Чтобы устранить уязвимость, Adobe удалила «умные» почтовые шаблоны и заменила старый преобразователь переменных почтового шаблона новым, чтобы предотвратить потенциальные атаки путем внедрения.
Однако этот шаг застал многих поставщиков врасплох, и некоторым из них пришлось вернуться к исходной функциональности.
При этом они подвергли себя критической уязвимости несмотря на то, что применили последнее исправление безопасности.
Специалисты наблюдали, как некоторые поставщики пытались повторно ввести функциональность устаревшего распознавателя в рабочие магазины Magento, либо переопределяя функциональность нового распознавателя, либо копируя код из более старых версий Magento и используя его в качестве предпочтения.
В компании заявили, что ряд вендоров все же пытались снизить риски безопасности, добавляя в системы заказов базовую фильтрацию небезопасных пользовательских данных.
Однако эти шаги не позволили предотвратить эксплуатацию, ведь уязвимость может быть активирована из других подсистем, если они касаются электронной почты.
Как мы сообщали, февральский патч от Adobe, выпущенный для устранения критической уязвимости почтовых шаблонов CVE-2022-24086 (оценка CVSS 9,8), активно обходился злоумышленниками.
Во второй серии исправлений, с уже новым идентификатором CVE (CVE-2022-24087) разработчики выпустили очередной патч.
Примерно в то же время был выпущен PoC, нацеленный на эту уязвимость.
Так в чем, собственно, вся соль разъяснили специалисты по безопасности электронной коммерции Sansec.
Чтобы устранить уязвимость, Adobe удалила «умные» почтовые шаблоны и заменила старый преобразователь переменных почтового шаблона новым, чтобы предотвратить потенциальные атаки путем внедрения.
Однако этот шаг застал многих поставщиков врасплох, и некоторым из них пришлось вернуться к исходной функциональности.
При этом они подвергли себя критической уязвимости несмотря на то, что применили последнее исправление безопасности.
Специалисты наблюдали, как некоторые поставщики пытались повторно ввести функциональность устаревшего распознавателя в рабочие магазины Magento, либо переопределяя функциональность нового распознавателя, либо копируя код из более старых версий Magento и используя его в качестве предпочтения.
В компании заявили, что ряд вендоров все же пытались снизить риски безопасности, добавляя в системы заказов базовую фильтрацию небезопасных пользовательских данных.
Однако эти шаги не позволили предотвратить эксплуатацию, ведь уязвимость может быть активирована из других подсистем, если они касаются электронной почты.
Sansec
Vendors defeat Magento security patch (+ simple check)
Magento and Adobe Commerce stores around the world have been hammered with Trojan Order attacks this winter. And even if you have patched or installed Adobe’...
͏Kraken поглотила даркнет-площадку Solaris после того, как последняя была взломана.
В настоящее время сайт Tor Solaris перенаправляет пользователей на Kraken.
Solaris появилась несколько месяцев назад после падения Hydra в надежде захватить часть ее рынка. Админам удалось завести около 25% клиентов и провернуть более 150 000 000 долларов на сделках.
В начале года в отчете Resecurity в отношении новых рынков незаконного оборота наркотиков утверждалось, что Solaris привлекла до 60 000 новых лидов после закрытия Hydra, в то время как Kraken смогла завести лишь около 10% этого количества.
Как выяснилось, в декабре 2022 года Solaris взламывали и сливали исходный код и базы данных, предположительно, связанную с даркмаркетом.
Тем не менее, в пятницу, 13 января 2023 года, Kraken объявила о захвате инфраструктуры Solaris, репозиториев GitLab и всех исходных кодов проекта благодаря нескольким серьезным ошибкам в коде.
В заявлении Kraken утверждается, что им потребовалось три дня, чтобы украсть пароли и ключи, хранящиеся на серверах Solaris, получить доступ к его инфраструктуре, расположенной в Финляндии, а затем эксфильтровать практически всю информацию.
Кроме того, хакеры заявили, что отключили BTC-сервер Solaris, что подтверждается также наблюдениями Elliptic.
На данный момент никто из основной команды Solaris не делал никаких заявлений о статусе платформы и обоснованности заявлений Kraken, который по итогу смог отжать аудиторию платформы.
Будем посмотреть.
В настоящее время сайт Tor Solaris перенаправляет пользователей на Kraken.
Solaris появилась несколько месяцев назад после падения Hydra в надежде захватить часть ее рынка. Админам удалось завести около 25% клиентов и провернуть более 150 000 000 долларов на сделках.
В начале года в отчете Resecurity в отношении новых рынков незаконного оборота наркотиков утверждалось, что Solaris привлекла до 60 000 новых лидов после закрытия Hydra, в то время как Kraken смогла завести лишь около 10% этого количества.
Как выяснилось, в декабре 2022 года Solaris взламывали и сливали исходный код и базы данных, предположительно, связанную с даркмаркетом.
Тем не менее, в пятницу, 13 января 2023 года, Kraken объявила о захвате инфраструктуры Solaris, репозиториев GitLab и всех исходных кодов проекта благодаря нескольким серьезным ошибкам в коде.
В заявлении Kraken утверждается, что им потребовалось три дня, чтобы украсть пароли и ключи, хранящиеся на серверах Solaris, получить доступ к его инфраструктуре, расположенной в Финляндии, а затем эксфильтровать практически всю информацию.
Кроме того, хакеры заявили, что отключили BTC-сервер Solaris, что подтверждается также наблюдениями Elliptic.
На данный момент никто из основной команды Solaris не делал никаких заявлений о статусе платформы и обоснованности заявлений Kraken, который по итогу смог отжать аудиторию платформы.
Будем посмотреть.