Cisco объявила об исправлениях для серьезной SQL-уязвимости в Unified Communications Manager (CM) и Unified Communications Manager Session Management Edition (CM SME).
Разработанные как корпоративные платформы управления вызовами и сеансами Cisco Unified CM и Unified CM SME обеспечивают совместимость таких приложений, как Webex, Jabber и других, а также обеспечивают их общую доступность и безопасность.
CVE-2023-20010 с оценкой CVSS 8,1 обусловлена тем, что вводимые пользователем данные неправильно проверяются в веб-интерфейсе управления платформами.
Ошибка позволяет удаленному злоумышленнику, прошедшему проверку подлинности, запустить атаку SQL-инъекцией на уязвимую систему.
Злоумышленник может воспользоваться этой уязвимостью, войдя в приложение как пользователь с низким уровнем привилегий и отправив созданные SQL-запросы в уязвимую систему.
Успешный эксплойт может позволить злоумышленнику прочитать или изменить любые данные в базовой базе данных или повысить свои привилегии.
Ошибка влияет на Cisco Unified CM и Unified CM SME версий 11.5(1), 12.5(1) и 14, была устранен в версии 12.5(1)SU7.
Патч также будет включен в версию 14SU3, выпуск которой запланирован на март 2023 года.
Cisco также проинформировала клиентов об уязвимости обхода фильтрации URL-адресов средней степени серьезности в ПО AsyncOS для Email Security Appliance (ESA).
Удаленный злоумышленник, не прошедший проверку подлинности, может использовать ошибку через URL-адреса.
На этой неделе Cisco также объявила об исправлениях трех ошибок средней степени серьезности в Expressway Series и TelePresence Video Communication Server (VCS).
Затрагивая API и веб-интерфейсы управления этих продуктов, уязвимости могут быть использованы удаленным злоумышленником, прошедшим проверку подлинности, для записи файлов или доступа к конфиденциальным данным на уязвимом устройстве.
Уязвимы все выпуски Expressway Series и TelePresence VCS до 14.0.7.
Cisco заявляет, что ей неизвестно об использовании какой-либо из этих уязвимостей в реальных условиях.
Дополнительную информацию о недостатках можно найти в рекомендациях по безопасности.
Разработанные как корпоративные платформы управления вызовами и сеансами Cisco Unified CM и Unified CM SME обеспечивают совместимость таких приложений, как Webex, Jabber и других, а также обеспечивают их общую доступность и безопасность.
CVE-2023-20010 с оценкой CVSS 8,1 обусловлена тем, что вводимые пользователем данные неправильно проверяются в веб-интерфейсе управления платформами.
Ошибка позволяет удаленному злоумышленнику, прошедшему проверку подлинности, запустить атаку SQL-инъекцией на уязвимую систему.
Злоумышленник может воспользоваться этой уязвимостью, войдя в приложение как пользователь с низким уровнем привилегий и отправив созданные SQL-запросы в уязвимую систему.
Успешный эксплойт может позволить злоумышленнику прочитать или изменить любые данные в базовой базе данных или повысить свои привилегии.
Ошибка влияет на Cisco Unified CM и Unified CM SME версий 11.5(1), 12.5(1) и 14, была устранен в версии 12.5(1)SU7.
Патч также будет включен в версию 14SU3, выпуск которой запланирован на март 2023 года.
Cisco также проинформировала клиентов об уязвимости обхода фильтрации URL-адресов средней степени серьезности в ПО AsyncOS для Email Security Appliance (ESA).
Удаленный злоумышленник, не прошедший проверку подлинности, может использовать ошибку через URL-адреса.
На этой неделе Cisco также объявила об исправлениях трех ошибок средней степени серьезности в Expressway Series и TelePresence Video Communication Server (VCS).
Затрагивая API и веб-интерфейсы управления этих продуктов, уязвимости могут быть использованы удаленным злоумышленником, прошедшим проверку подлинности, для записи файлов или доступа к конфиденциальным данным на уязвимом устройстве.
Уязвимы все выпуски Expressway Series и TelePresence VCS до 14.0.7.
Cisco заявляет, что ей неизвестно об использовании какой-либо из этих уязвимостей в реальных условиях.
Дополнительную информацию о недостатках можно найти в рекомендациях по безопасности.
Исследователи Лаборатории Касперского обнаружили обновление Roaming Mantis своего вредоносного ПО для Android, которое теперь включает функцию смены DNS, которая использовалась для проникновения в WiFi-маршрутизаторы и перехвата DNS.
Начиная с сентября 2022 года исследователи наблюдали за кампанией по краже учетных данных и распространению вредоносного ПО Roaming Mantis, в которой в качестве основного использовалось новая версия вредоносного ПО для Android Wroba.o/Agent.eq (также известного как Moqhao, XLoader).
Обновленный вариант обнаруживает уязвимые WiFi-маршрутизаторы на основе их модели, после чего создает HTTP-запрос для взлома настроек DNS, что позволяет перенаправлять подключенные устройства на вредоносные веб-страницы с фишинговыми формами или сбрасывать малвари под Android.
Как отмечают ресерчеры, Roaming Mantis использует перехват DNS как минимум с 2018 года, однако особенностью последней кампании является то, что вредоносное ПО нацелено на конкретные модели маршрутизаторов, используемых преимущественно в Южной Корее.
Предыдущие кампании Roaming Mantis были нацелены на пользователей из Японии, Австрии, Франции, Германии, Турции, Малайзии и Индии.
Указанный подход позволяет злоумышленникам проводить более целевые атаки и компрометировать конкретные сегменты пользователей или регионы, избегая всеобщего обнаружения. Функционал также позволяет старгетироваться и на другие категории.
В последних кампаниях Roaming Mantis используются smishing для привлечения жертв на вредоносный веб-сайт.
Пользователям Android будет предложено установить вредоносный Android APK, представляющий собой вредоносное ПО Wroba.o/XLoader, в то время как владельцы iOS будут перенаправлены на фишинговый ресурс, предназначенный для кражи учетных данных.
После инсталляции на Android-устройстве жертвы вредоносное ПО XLoader получает IP-адрес шлюза по умолчанию подключенного WiFi-маршрутизатора. Затем пытается получить доступ к веб-интерфейсу админки, используя дефолтный пароль.
XLoader имеет 113 жестко закодированных строк, используемых для обнаружения конкретных моделей WiFi-маршрутизаторов, в случае совпадения вредоносная программа выполняет попытку перехвата DNS, изменяя настройки маршрутизатора.
DNS-чейнджер использует учетные данные по умолчанию (admin/admin) для доступа к маршрутизатору, а затем выполняет изменения в настройках, используя разные методы в зависимости от обнаруженной модели.
Задействованный Roaming Mantis DNS-сервер разрешает определенные доменные имена только конкретным целевым страницам при доступе с мобильного устройства, что, вероятно, является тактикой сокрытия от обнаружения.
После изменения настроек DNS маршрутизатора, подключенные к WiFi-сети Android-устройства будут перенаправлены на вредоносную целевую страницу для установки вредоносного ПО.
Указанный механизм создает непрерывный конвейер заражений для последующего взлома уже чистых WiFi-маршрутизаторов в общедоступных сетях, которые обслуживают большое число пользователей в стране, позволяя вредоносным программам распространяться без жесткого контроля.
Что еще больше тревожит экспертов Лаборатории Касперского с учетом того, что DNS-чейнджер может использоваться и в кампаниях, нацеленных на другие регионы, вызывая серьезные последствия.
Начиная с сентября 2022 года исследователи наблюдали за кампанией по краже учетных данных и распространению вредоносного ПО Roaming Mantis, в которой в качестве основного использовалось новая версия вредоносного ПО для Android Wroba.o/Agent.eq (также известного как Moqhao, XLoader).
Обновленный вариант обнаруживает уязвимые WiFi-маршрутизаторы на основе их модели, после чего создает HTTP-запрос для взлома настроек DNS, что позволяет перенаправлять подключенные устройства на вредоносные веб-страницы с фишинговыми формами или сбрасывать малвари под Android.
Как отмечают ресерчеры, Roaming Mantis использует перехват DNS как минимум с 2018 года, однако особенностью последней кампании является то, что вредоносное ПО нацелено на конкретные модели маршрутизаторов, используемых преимущественно в Южной Корее.
Предыдущие кампании Roaming Mantis были нацелены на пользователей из Японии, Австрии, Франции, Германии, Турции, Малайзии и Индии.
Указанный подход позволяет злоумышленникам проводить более целевые атаки и компрометировать конкретные сегменты пользователей или регионы, избегая всеобщего обнаружения. Функционал также позволяет старгетироваться и на другие категории.
В последних кампаниях Roaming Mantis используются smishing для привлечения жертв на вредоносный веб-сайт.
Пользователям Android будет предложено установить вредоносный Android APK, представляющий собой вредоносное ПО Wroba.o/XLoader, в то время как владельцы iOS будут перенаправлены на фишинговый ресурс, предназначенный для кражи учетных данных.
После инсталляции на Android-устройстве жертвы вредоносное ПО XLoader получает IP-адрес шлюза по умолчанию подключенного WiFi-маршрутизатора. Затем пытается получить доступ к веб-интерфейсу админки, используя дефолтный пароль.
XLoader имеет 113 жестко закодированных строк, используемых для обнаружения конкретных моделей WiFi-маршрутизаторов, в случае совпадения вредоносная программа выполняет попытку перехвата DNS, изменяя настройки маршрутизатора.
DNS-чейнджер использует учетные данные по умолчанию (admin/admin) для доступа к маршрутизатору, а затем выполняет изменения в настройках, используя разные методы в зависимости от обнаруженной модели.
Задействованный Roaming Mantis DNS-сервер разрешает определенные доменные имена только конкретным целевым страницам при доступе с мобильного устройства, что, вероятно, является тактикой сокрытия от обнаружения.
После изменения настроек DNS маршрутизатора, подключенные к WiFi-сети Android-устройства будут перенаправлены на вредоносную целевую страницу для установки вредоносного ПО.
Указанный механизм создает непрерывный конвейер заражений для последующего взлома уже чистых WiFi-маршрутизаторов в общедоступных сетях, которые обслуживают большое число пользователей в стране, позволяя вредоносным программам распространяться без жесткого контроля.
Что еще больше тревожит экспертов Лаборатории Касперского с учетом того, что DNS-чейнджер может использоваться и в кампаниях, нацеленных на другие регионы, вызывая серьезные последствия.
Securelist
Roaming Mantis implements new DNS changer in its malicious mobile app in 2022
Roaming Mantis (a.k.a Shaoye) is a long-term cyberattack campaign that uses malicious Android package (APK) files to control infected Android devices and steal data. In 2022, we observed a DNS changer function implemented in its Android malware Wroba.o.
Исследователи Mandiant установили, что недавняя уязвимость Fortinet экспулатировалась как 0-day для доставки вредоносного ПО в октябре 2022 года, почти за два месяца до выпуска исправлений.
Ресерчеры подозревают актора в связях с КНР, полагая, что инцидент продолжает практику китайских АРТ по использованию устройств, подключенных к Интернету, особенно тех, которые применяются для управляемой безопасности (например, брандмауэры, устройства IPS\IDS и т.д.).
Злоумышленник использовал уязвимость в Fortinet FortiOS SSL-VPN в атаках на неназванное европейское госучреждение и MSP-поставщика в Африке.
В ходе нападений актор задействовали сложный бэкдор, получивший наменование BOLDMOVE, версия которого для Linux специально разработана для работы на межсетевых экранах FortiGate.
Рассматриваемый вектор вторжения связан с эксплуатацией уязвимости переполненияем буфера в динамической памяти в FortiOS SSL-VPN (CVE-2022-42475), которая может привести к RCE без проверки подлинности с помощью специально созданных запросов.
Ранее в этом месяце Fortinet также сообщала, что попытках эксплуатации неустановленных АРТ этого недостатка в ходе атак на правительства и другие крупные организации с помощью универсального имплантата Linux, доставляющего дополнительные полезные нагрузки и выполняющего команды с С2.
Последние данные Mandiant показывают, что злоумышленнику удалось использовать уязвимость в качестве 0-day в своих интересах и взломать целевые сети для шпионских операций.
С помощью BOLDMOVE злоумышленники разработали не только эксплойт, но и вредоносное ПО, демонстрирующее глубокое понимание систем, служб, ведения журналов и недокументированных проприетарных форматов.
Утверждается, что вредоносное ПО, написанное на C, имеет варианты как для Windows, так и для Linux, причем последний способен считывать данные из формата файла, принадлежащего Fortinet.
Анализ метаданных версии бэкдора для Windows показывает, что они были скомпилированы еще в 2021 году, хотя образцы в дикой природе не обнаруживались.
BOLDMOVE предназначен для проведения анализа системы и способен получать команды от C2, который, в свою очередь, позволяет злоумышленникам выполнять операции с файлами, запускать удаленную оболочку и ретранслировать трафик через зараженный хост.
Расширенный образец вредоносного ПО для Linux поставляется с дополнительными функциями для отключения и управления функциями ведения журнала в попытке избежать обнаружения, что подтверждает и отчет Fortinet.
Ресерчеры подозревают актора в связях с КНР, полагая, что инцидент продолжает практику китайских АРТ по использованию устройств, подключенных к Интернету, особенно тех, которые применяются для управляемой безопасности (например, брандмауэры, устройства IPS\IDS и т.д.).
Злоумышленник использовал уязвимость в Fortinet FortiOS SSL-VPN в атаках на неназванное европейское госучреждение и MSP-поставщика в Африке.
В ходе нападений актор задействовали сложный бэкдор, получивший наменование BOLDMOVE, версия которого для Linux специально разработана для работы на межсетевых экранах FortiGate.
Рассматриваемый вектор вторжения связан с эксплуатацией уязвимости переполненияем буфера в динамической памяти в FortiOS SSL-VPN (CVE-2022-42475), которая может привести к RCE без проверки подлинности с помощью специально созданных запросов.
Ранее в этом месяце Fortinet также сообщала, что попытках эксплуатации неустановленных АРТ этого недостатка в ходе атак на правительства и другие крупные организации с помощью универсального имплантата Linux, доставляющего дополнительные полезные нагрузки и выполняющего команды с С2.
Последние данные Mandiant показывают, что злоумышленнику удалось использовать уязвимость в качестве 0-day в своих интересах и взломать целевые сети для шпионских операций.
С помощью BOLDMOVE злоумышленники разработали не только эксплойт, но и вредоносное ПО, демонстрирующее глубокое понимание систем, служб, ведения журналов и недокументированных проприетарных форматов.
Утверждается, что вредоносное ПО, написанное на C, имеет варианты как для Windows, так и для Linux, причем последний способен считывать данные из формата файла, принадлежащего Fortinet.
Анализ метаданных версии бэкдора для Windows показывает, что они были скомпилированы еще в 2021 году, хотя образцы в дикой природе не обнаруживались.
BOLDMOVE предназначен для проведения анализа системы и способен получать команды от C2, который, в свою очередь, позволяет злоумышленникам выполнять операции с файлами, запускать удаленную оболочку и ретранслировать трафик через зараженный хост.
Расширенный образец вредоносного ПО для Linux поставляется с дополнительными функциями для отключения и управления функциями ведения журнала в попытке избежать обнаружения, что подтверждает и отчет Fortinet.
Google Cloud Blog
Suspected Chinese Threat Actors Exploiting FortiOS Vulnerability (CVE-2022-42475) | Mandiant | Google Cloud Blog
Новый банковский троян Hook всего за 5000 долларов в месяц открывает злоумышленникам возможности кражи учетных записей из более чем 450 приложений интернет-банкинга и криптокошельков.
Авторы банковских троянов BlackRock и ERMAC выкатили обновленный, а точнее абсолютно новый вредонос, заточенный под атаки на владельцев мобильных устройств на Android.
Малварь оснащена интересными возможностями, позволяющими получать доступ к хранящимся на устройстве файлам, а также удалённо контролировать смартфон жертвы в режиме реального времени, используя VNC.
Находку обнаружили специалисты из ThreatFabric, которые считают, что Hook является форком ERMAC.
В своем отчете исследователи отмечают, что Hook реализует функциональность трояна удалённого доступа и его можно сравнить с такими семействами вредоносного программного обеспечения, как Octo и Hydra. Троян извлекает и передаёт операторам персональные данные пользователей.
Малварь впечатляет обилием банковских приложений, но в основе это кредитные организации США, Испании, Австралии, Польши, Канады, Турции, Великобритании, Франции, Италии и Португалии.
Hook относят к деятельности киберпреступной группы, известной как DukeEugene. Как и другие подобные трояны удаленного доступа, малварь использует специальные возможности системы Android для наложения окон поверх легитимных приложений.
Если уж не повезет с интернет-банкингом, то троян позволяет украсть важные данные с устройства такие как: контакты, записи вызовов, нажатия клавиш, токены двухфакторной аутентификации и даже переписки в WhatsApp.
Помимо вышеперечисленного, вредоносное ПО способно работать в виде файлового менеджера, позволяя злоумышленникам получить список всех файлов, хранящихся на устройстве, и загрузить определенные файлы по своему выбору. Из изюминки Hook способен взаимодействовать с дисплеем устройства
В настоящее время Hook распространяется в виде APK-файла Google Chrome под именами пакетов «com.lojibiwawajinu.guna», «com.damariwonomiwi.docebi», «com.damariwonomiwi.docebi» и «com.yecomevusaso.pisifo», что может измениться в любой момент.
Дабы избежать заражения вредоносным ПО для Android, исследователи рекомендуют устанавливать приложения из Google Play Store, а также официальных и доверенных источников.
Авторы банковских троянов BlackRock и ERMAC выкатили обновленный, а точнее абсолютно новый вредонос, заточенный под атаки на владельцев мобильных устройств на Android.
Малварь оснащена интересными возможностями, позволяющими получать доступ к хранящимся на устройстве файлам, а также удалённо контролировать смартфон жертвы в режиме реального времени, используя VNC.
Находку обнаружили специалисты из ThreatFabric, которые считают, что Hook является форком ERMAC.
В своем отчете исследователи отмечают, что Hook реализует функциональность трояна удалённого доступа и его можно сравнить с такими семействами вредоносного программного обеспечения, как Octo и Hydra. Троян извлекает и передаёт операторам персональные данные пользователей.
Малварь впечатляет обилием банковских приложений, но в основе это кредитные организации США, Испании, Австралии, Польши, Канады, Турции, Великобритании, Франции, Италии и Португалии.
Hook относят к деятельности киберпреступной группы, известной как DukeEugene. Как и другие подобные трояны удаленного доступа, малварь использует специальные возможности системы Android для наложения окон поверх легитимных приложений.
Если уж не повезет с интернет-банкингом, то троян позволяет украсть важные данные с устройства такие как: контакты, записи вызовов, нажатия клавиш, токены двухфакторной аутентификации и даже переписки в WhatsApp.
Помимо вышеперечисленного, вредоносное ПО способно работать в виде файлового менеджера, позволяя злоумышленникам получить список всех файлов, хранящихся на устройстве, и загрузить определенные файлы по своему выбору. Из изюминки Hook способен взаимодействовать с дисплеем устройства
В настоящее время Hook распространяется в виде APK-файла Google Chrome под именами пакетов «com.lojibiwawajinu.guna», «com.damariwonomiwi.docebi», «com.damariwonomiwi.docebi» и «com.yecomevusaso.pisifo», что может измениться в любой момент.
Дабы избежать заражения вредоносным ПО для Android, исследователи рекомендуют устанавливать приложения из Google Play Store, а также официальных и доверенных источников.
ThreatFabric
Hook: a new Ermac fork with RAT capabilities
Hook, the latest project of the criminals behind the Ermac banking malware, adds Remote Access Tool features, allowing this variant to perform On Device Fraud.
Система управления корпоративным контентом (ECM) OpenText подвержена множеству уязвимостей, в том числе и критической RCE без проверки подлинности.
OpenText Extended ECM — это корпоративная платформа CMS, которая реализует управление и интеграцию с ведущими корпоративными приложениями, такими как SAP, Microsoft 365, Salesforce и SAP SuccessFactors.
Уязвимости OpenText Extended ECM были обнаружены исследователем Армином Стоком из Sec Consult.
Проблемы в основном затрагивают Content Server и описываются в трех различных бюллетенях.
По данным Sec Consult, OpenText была проинформирована об уязвимостях в октябре 2022 года, после чего разработчику удалось выпустить в январе 2023 года версию 22.4 с необходимыми исправлениями.
Одна из критических уязвимостей CVE-2022-45923 может позволить злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код с помощью специально созданных запросов.
Вторая критическая CVE-2022-45927 влияет на внешний интерфейс Java компонента OpenText Content Server и может позволить злоумышленнику обойти аутентификацию.
Эксплуатация может в конечном итоге привести к удаленному выполнению кода.
Другие обнаруженные Sec Consult уязвимости (CVE-2022-45922, CVE-2022-45924, CVE-2022-45925, CVE-2022-45926 и CVE-2022-45928) могут быть использованы злоумышленниками, прошедшими проверку подлинности.
Все они оцениваются как серьезные и могут быть использованы для удаления произвольных файлов на сервере, повышения привилегий, получения потенциально ценной информации, запуска атак с подделкой запросов на стороне сервера (SSRF) и выполнения произвольного кода.
PoC доступен для всех проблем, за исключением критических недостатков, чтобы предотвратить их возможное злонамеренное использование.
OpenText Extended ECM — это корпоративная платформа CMS, которая реализует управление и интеграцию с ведущими корпоративными приложениями, такими как SAP, Microsoft 365, Salesforce и SAP SuccessFactors.
Уязвимости OpenText Extended ECM были обнаружены исследователем Армином Стоком из Sec Consult.
Проблемы в основном затрагивают Content Server и описываются в трех различных бюллетенях.
По данным Sec Consult, OpenText была проинформирована об уязвимостях в октябре 2022 года, после чего разработчику удалось выпустить в январе 2023 года версию 22.4 с необходимыми исправлениями.
Одна из критических уязвимостей CVE-2022-45923 может позволить злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код с помощью специально созданных запросов.
Вторая критическая CVE-2022-45927 влияет на внешний интерфейс Java компонента OpenText Content Server и может позволить злоумышленнику обойти аутентификацию.
Эксплуатация может в конечном итоге привести к удаленному выполнению кода.
Другие обнаруженные Sec Consult уязвимости (CVE-2022-45922, CVE-2022-45924, CVE-2022-45925, CVE-2022-45926 и CVE-2022-45928) могут быть использованы злоумышленниками, прошедшими проверку подлинности.
Все они оцениваются как серьезные и могут быть использованы для удаления произвольных файлов на сервере, повышения привилегий, получения потенциально ценной информации, запуска атак с подделкой запросов на стороне сервера (SSRF) и выполнения произвольного кода.
PoC доступен для всех проблем, за исключением критических недостатков, чтобы предотвратить их возможное злонамеренное использование.
SEC Consult
Multiple post-authentication vulnerabilities including RCE (OpenText™ Extended ECM)
The OpenText™ Content Server component of the OpenText™ Extended ECM has multiple vulnerabilities, which allow the execution of own “OScript” code in the worst case. The other vulnerabilities include information disclosure, deletion of arbitrary files on…
NCC Group опубликовала технические подробности и PoC-эксплойт для двух уязвимостей Samsung Galaxy App Store.
Две уязвимости в официальном репозитории Samsung могут позволить злоумышленникам установить любое приложение в Galaxy Store без ведома пользователя или направить жертв на вредоносный веб-сайт.
Проблемы были обнаружены исследователями NCC в период с 23 ноября по 3 декабря 2022 года.
Уже 1 января 2023 года корейский производитель объявил об устранении ошибок, выпустив новую версию для Galaxy App Store (4.5.49.8).
Следует отметить, что атаки с использованием уязвимостей требуют локального доступа, что не является в реальности сложной задачей, особенно для финансово мотивированных акторов, нацеленных на мобильные устройства.
Первая из двух уязвимостей отслеживается как CVE-2023-21433 и связана с проблемами в контроле доступа, который позволяет злоумышленникам устанавливать любые приложения, доступные в Galaxy App Store.
NCC обнаружил, что Galaxy App Store позволяет приложениям на устройстве отправлять произвольные запросы на установку приложений, не обрабатывая их безопасным способом.
PoC, которым поделились аналитики NCC, представляет собой команду Android Debug Bridge, которая указыввает компоненту приложения установить игру Pokemon Go, отправив вызов с указанным целевым приложением в магазин приложений. В нем также может быть задано, следует ли открывать новое приложение после его установки.
Вторая CVE-2023-21434 представляет собой неправильную проверку ввода, которая позволяет злоумышленникам выполнять JavaScript на целевом устройстве.
Исследователи NCC обнаружили, что веб-просмотры в Galaxy App Store содержат фильтр с ограничениями определенных доменов. Однако он не настроен должным образом и позволяет получить доступ к вредоносным доменам.
PoC, представленный в отчете, представляет собой гиперссылку, при переходе по которой из Chrome открывается страница, содержащая вредоносный JavaScript, и код запускается на устройстве.
NCC объясняет, что единственным условием для этой атаки является наличие в домене вредоносного кода части player.glb.samsung-gamelauncher.com. Злоумышленник может зарегистрировать любой домен и добавить эту часть в качестве поддомена.
В зависимости от мотивов злоумышленника атака может привести к взаимодействию с пользовательским интерфейсом приложения, доступу к конфиденциальной информации или сбою приложений.
Установка и последующей автозапуск приложений из Galaxy Store без ведома пользователя может привести к нарушению данных и конфиденциальности, особенно если используется заранее загруженное вредоносное приложение.
Важно отметить, что CVE-2023-21433 нельзя использовать на устройствах Samsung под управлением Android 13, даже если они используют более старую и уязвимую версию Galaxy Store.
Но все устройства Samsung, которые больше не поддерживаются поставщиком и остаются привязанными к более старой версии Galaxy Store, остаются уязвимыми для обнаруженных ошибок.
Две уязвимости в официальном репозитории Samsung могут позволить злоумышленникам установить любое приложение в Galaxy Store без ведома пользователя или направить жертв на вредоносный веб-сайт.
Проблемы были обнаружены исследователями NCC в период с 23 ноября по 3 декабря 2022 года.
Уже 1 января 2023 года корейский производитель объявил об устранении ошибок, выпустив новую версию для Galaxy App Store (4.5.49.8).
Следует отметить, что атаки с использованием уязвимостей требуют локального доступа, что не является в реальности сложной задачей, особенно для финансово мотивированных акторов, нацеленных на мобильные устройства.
Первая из двух уязвимостей отслеживается как CVE-2023-21433 и связана с проблемами в контроле доступа, который позволяет злоумышленникам устанавливать любые приложения, доступные в Galaxy App Store.
NCC обнаружил, что Galaxy App Store позволяет приложениям на устройстве отправлять произвольные запросы на установку приложений, не обрабатывая их безопасным способом.
PoC, которым поделились аналитики NCC, представляет собой команду Android Debug Bridge, которая указыввает компоненту приложения установить игру Pokemon Go, отправив вызов с указанным целевым приложением в магазин приложений. В нем также может быть задано, следует ли открывать новое приложение после его установки.
Вторая CVE-2023-21434 представляет собой неправильную проверку ввода, которая позволяет злоумышленникам выполнять JavaScript на целевом устройстве.
Исследователи NCC обнаружили, что веб-просмотры в Galaxy App Store содержат фильтр с ограничениями определенных доменов. Однако он не настроен должным образом и позволяет получить доступ к вредоносным доменам.
PoC, представленный в отчете, представляет собой гиперссылку, при переходе по которой из Chrome открывается страница, содержащая вредоносный JavaScript, и код запускается на устройстве.
NCC объясняет, что единственным условием для этой атаки является наличие в домене вредоносного кода части player.glb.samsung-gamelauncher.com. Злоумышленник может зарегистрировать любой домен и добавить эту часть в качестве поддомена.
В зависимости от мотивов злоумышленника атака может привести к взаимодействию с пользовательским интерфейсом приложения, доступу к конфиденциальной информации или сбою приложений.
Установка и последующей автозапуск приложений из Galaxy Store без ведома пользователя может привести к нарушению данных и конфиденциальности, особенно если используется заранее загруженное вредоносное приложение.
Важно отметить, что CVE-2023-21433 нельзя использовать на устройствах Samsung под управлением Android 13, даже если они используют более старую и уязвимую версию Galaxy Store.
Но все устройства Samsung, которые больше не поддерживаются поставщиком и остаются привязанными к более старой версии Galaxy Store, остаются уязвимыми для обнаруженных ошибок.
NCC Group Research Blog
Technical Advisory – Multiple Vulnerabilities in the Galaxy App Store (CVE-2023-21433, CVE-2023-21434)
The Galaxy App Store is an alternative application store that comes pre-installed on Samsung Android devices. Several Android applications are available on both the Galaxy App Store and Google App …
Rapid7 сообщает о начале эксплуатации недавно исправленной критической CVE-2022-47966 в Zoho ManageEngine еще до того, как Horizon3.ai выпустила свой PoC-эксплойт.
Проблема, признанная критической, была обнаружена в ноябре 2022 года, когда Zoho объявила о выпуске исправлений для более чем 20 затронутых локальных продуктов.
Однако ранее в этом месяце Horizon3.ai предупредила о наличии в Интернете не менее тысячи уязвимых продуктов ManageEngine для атак типа «spray and pray», и только после неоднократных предупреждений представила PoC.
Как отмечает Rapid7, некоторые из затронутых продуктов, в том числе ADSelfService Plus и ServiceDesk Plus, очень популярны в бизнес-среде.
В связи с этим они не менее популярны и среди хакеров, которые, как это стало известно в ходе расследования одно из инцидентов, эксплуатировали CVE-2022-47966 еще до выхода PoC.
К выводам коллег присоединяются и ресерчеры GreyNoise, которые также начали фиксировать атаки с использованием CVE-2022-47966.
Обе компании рекомендуют использующим любой из уязвимых продуктов ManageEngine организациям немедленно обновить и проверить непропатченные системы на наличие признаков компрометации.
Проблема, признанная критической, была обнаружена в ноябре 2022 года, когда Zoho объявила о выпуске исправлений для более чем 20 затронутых локальных продуктов.
Однако ранее в этом месяце Horizon3.ai предупредила о наличии в Интернете не менее тысячи уязвимых продуктов ManageEngine для атак типа «spray and pray», и только после неоднократных предупреждений представила PoC.
Как отмечает Rapid7, некоторые из затронутых продуктов, в том числе ADSelfService Plus и ServiceDesk Plus, очень популярны в бизнес-среде.
В связи с этим они не менее популярны и среди хакеров, которые, как это стало известно в ходе расследования одно из инцидентов, эксплуатировали CVE-2022-47966 еще до выхода PoC.
К выводам коллег присоединяются и ресерчеры GreyNoise, которые также начали фиксировать атаки с использованием CVE-2022-47966.
Обе компании рекомендуют использующим любой из уязвимых продуктов ManageEngine организациям немедленно обновить и проверить непропатченные системы на наличие признаков компрометации.
Rapid7
CVE-2022-47966: Rapid7 Observed Exploitation of Critical ManageEngine Vulnerability | Rapid7 Blog
Разработчику видеоигр из Лос-Анджелеса не до игр.
Riot Games — американский разработчик видеоигр, издатель и организатор турниров по киберспорту, известный созданием популярных игр League of Legends и Valorant.
Компания заявила о киберинциденте и инициировал расследование после обнаружения компрометации среды разработки.
Злоумышленники использовали социальную инженерию в качестве начального вектора. Как это было в случае с 2K Games, когда в сентябре 2022 года злоумышленники взломали службу поддержки для последующих атак на клиентов с использованием вредоносного ПО.
Несмотря на то, что пока нет никаких признаков кражи данных игроков и их личной информации, нарушение напрямую повлияло на возможность выпуска игрового контента.
Команды разработчиков League of Legends и Teamfight Tactics также подтвердили пятничный инцидент, усердно работая над новыми патчами, которые по всей видимости будут задерживаться, включая обещанный патч 13.2 для LoL.
Аналогичным образом команда TFT добавила, что проблема может повлиять на сроки и объемы выпуску запланированных изменений, но разработчики намерены реализовать наиболее значимые из них с помощью исправления в запланированное время.
Индустрия видеоигр продолжает оставаться в фокусе внимания киберподполья, продолжая попадать в списки резонансных инцидентов, аналогичных Electronic Arts (EA) и Ubisoft.
Riot Games — американский разработчик видеоигр, издатель и организатор турниров по киберспорту, известный созданием популярных игр League of Legends и Valorant.
Компания заявила о киберинциденте и инициировал расследование после обнаружения компрометации среды разработки.
Злоумышленники использовали социальную инженерию в качестве начального вектора. Как это было в случае с 2K Games, когда в сентябре 2022 года злоумышленники взломали службу поддержки для последующих атак на клиентов с использованием вредоносного ПО.
Несмотря на то, что пока нет никаких признаков кражи данных игроков и их личной информации, нарушение напрямую повлияло на возможность выпуска игрового контента.
Команды разработчиков League of Legends и Teamfight Tactics также подтвердили пятничный инцидент, усердно работая над новыми патчами, которые по всей видимости будут задерживаться, включая обещанный патч 13.2 для LoL.
Аналогичным образом команда TFT добавила, что проблема может повлиять на сроки и объемы выпуску запланированных изменений, но разработчики намерены реализовать наиболее значимые из них с помощью исправления в запланированное время.
Индустрия видеоигр продолжает оставаться в фокусе внимания киберподполья, продолжая попадать в списки резонансных инцидентов, аналогичных Electronic Arts (EA) и Ubisoft.
X (formerly Twitter)
Riot Games (@riotgames) on X
Earlier this week, systems in our development environment were compromised via a social engineering attack. We don’t have all the answers right now, but we wanted to communicate early and let you know there is no indication that player data or personal information…
Канадский дистрибьютор спиртных напитков Liquor Control Board of Ontario (LCBO) подвергся атаке Magecart, что привело к компрометации личных данных пользователей.
LCBO является один из крупнейших продавцов спиртных напитков в Канаде и реализует алкогольные напитки по всей провинции Онтарио, управляя более чем 670 магазинами с общим штатом почти 8000 человек.
На прошлой неделе компания внезапно отключила свой интернет-магазин и мобильное приложение, но позже объяснила, что стала жертвой кибератаки, в ходе которой на сайт LCBO.com был внедрен веб-скиммер.
Согласно заявлениям компании, затронуты все лица, предоставившие свою личную информацию на страницах оформления заказа в интернет-магазине и совершившие платежи в период с 5 по 10 января 2023 года.
По словам компании, скомпрометированная личная информация включает имена, адреса, адреса электронной почты, пароли к учетным записям LCBO.com, номера Aeroplan и информацию о кредитных картах.
В качестве первых мер предосторожности в компании отключили доступ клиентов как к интернет-магазину, так и к мобильному приложению, а также принудительно сбросили пароли для всех учетных записей пользователей.
LCBO не поделились информацией о количестве пострадавших клиентов, но заявили, что продолжают расследовать инцидент.
Однако исследователи из Recorded Future сообщили, что за последние три месяца веб-сайт посещали в среднем 3 058 000 человек в месяц, из которых 94% приходилось на Канаду, а 3% — на США.
Исходя из потенциального количества затронутых клиентов данный инцидент попал в пятерку крупнейших ежемесячных электронных скимминговых инфекций в рейтинге Recorded Future за декабрь.
Технических деталей атаки Magecart пока нет, но обычно это является результатом неправильной конфигурации или незакрытых уязвимостей, которые позволяют злоумышленникам внедрять вредоносное ПО для кражи информации.
Известно только то, что хакеры внедрили на веб-сайт JavaScript, что позволило им эксфильтровать данные, украденные со страницы оформления заказа.
Исследователи Recorded Future заявили, что с августа 2020 года они уже видели эту форму взлома на различных ресурсах.
LCBO является один из крупнейших продавцов спиртных напитков в Канаде и реализует алкогольные напитки по всей провинции Онтарио, управляя более чем 670 магазинами с общим штатом почти 8000 человек.
На прошлой неделе компания внезапно отключила свой интернет-магазин и мобильное приложение, но позже объяснила, что стала жертвой кибератаки, в ходе которой на сайт LCBO.com был внедрен веб-скиммер.
Согласно заявлениям компании, затронуты все лица, предоставившие свою личную информацию на страницах оформления заказа в интернет-магазине и совершившие платежи в период с 5 по 10 января 2023 года.
По словам компании, скомпрометированная личная информация включает имена, адреса, адреса электронной почты, пароли к учетным записям LCBO.com, номера Aeroplan и информацию о кредитных картах.
В качестве первых мер предосторожности в компании отключили доступ клиентов как к интернет-магазину, так и к мобильному приложению, а также принудительно сбросили пароли для всех учетных записей пользователей.
LCBO не поделились информацией о количестве пострадавших клиентов, но заявили, что продолжают расследовать инцидент.
Однако исследователи из Recorded Future сообщили, что за последние три месяца веб-сайт посещали в среднем 3 058 000 человек в месяц, из которых 94% приходилось на Канаду, а 3% — на США.
Исходя из потенциального количества затронутых клиентов данный инцидент попал в пятерку крупнейших ежемесячных электронных скимминговых инфекций в рейтинге Recorded Future за декабрь.
Технических деталей атаки Magecart пока нет, но обычно это является результатом неправильной конфигурации или незакрытых уязвимостей, которые позволяют злоумышленникам внедрять вредоносное ПО для кражи информации.
Известно только то, что хакеры внедрили на веб-сайт JavaScript, что позволило им эксфильтровать данные, украденные со страницы оформления заказа.
Исследователи Recorded Future заявили, что с августа 2020 года они уже видели эту форму взлома на различных ресурсах.
Apple выпустила исправления для устранения многочисленных серьезных уязвимостей безопасности для флагманских платформ iOS и macOS.
Наиболее серьезные из задокументированных уязвимостей затрагивают WebKit и могут подвергать устройства iOS и macOS атакам с выполнением кода через вредоносный веб-контент.
Для мобильных устройств Apple выпустила iOS 16.3 и iPadOS 16.3 с исправлениями более дюжины задокументированных дефектов безопасности в ряде компонентов ОС, в том числа трех ошибок в механизме рендеринга WebKit, которые подвергают устройства RCE.
Обновление iOS и iPadOS 16.3 также закрывает уязвимости конфиденциальности и раскрытия данных в AppleMobileFileIntegrity, ImageIO, ядре, Картах, Safari, Screen Time и Weather.
Apple выпустила выпустила исправления дс исправлениями примерно для 25 уязвимостей, некоторые из которых достаточно серьезны, чтобы вызывать атаки с выполнением кода.
При этом проблемы WebKit также затрагивают пользователей операционных систем Apple macOS Ventura, Monterey и Big Sur.
Кроме того, Apple исправила активно эксплуатируемую 0-day в iOS, которую можно использовать удаленно на старых iPhone и iPad.
Обнаруженная Клементом Лесинем из Google TAG CVE-2022-42856 возникает из-за недостатка путаницы типов в механизме просмотра веб-браузера Apple Webkit и позволяет с использованием вредоносных веб-страниц выполнять произвольный код (и, вероятно, получать доступ к конфиденциальной информации) на уязвимых устройствах.
После выполнения произвольного кода злоумышленники могут выполнять команды в базовой ОС, развертывать дополнительные вредоносные или шпионские полезные нагрузки или запускать иные действия.
В опубликованном бюллетене Apple отметила, что ей известны сообщения о том, что эта уязвимость могла быть активно использована. Однако не представила подробности этих атаках.
Компания устранила ошибку, улучшив обработку состояния для: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения).
iOS 16.3 также реализует поддержку аппаратных ключей безопасности для дополнительной защиты от фишинговых атак и неправомерного доступа к устройствам.
Кроме того, Apple исправила десятки других недостатков безопасности в своем веб-браузере Safari и его последних версиях для macOS, iOS и watchOS.
Наиболее серьезные из задокументированных уязвимостей затрагивают WebKit и могут подвергать устройства iOS и macOS атакам с выполнением кода через вредоносный веб-контент.
Для мобильных устройств Apple выпустила iOS 16.3 и iPadOS 16.3 с исправлениями более дюжины задокументированных дефектов безопасности в ряде компонентов ОС, в том числа трех ошибок в механизме рендеринга WebKit, которые подвергают устройства RCE.
Обновление iOS и iPadOS 16.3 также закрывает уязвимости конфиденциальности и раскрытия данных в AppleMobileFileIntegrity, ImageIO, ядре, Картах, Safari, Screen Time и Weather.
Apple выпустила выпустила исправления дс исправлениями примерно для 25 уязвимостей, некоторые из которых достаточно серьезны, чтобы вызывать атаки с выполнением кода.
При этом проблемы WebKit также затрагивают пользователей операционных систем Apple macOS Ventura, Monterey и Big Sur.
Кроме того, Apple исправила активно эксплуатируемую 0-day в iOS, которую можно использовать удаленно на старых iPhone и iPad.
Обнаруженная Клементом Лесинем из Google TAG CVE-2022-42856 возникает из-за недостатка путаницы типов в механизме просмотра веб-браузера Apple Webkit и позволяет с использованием вредоносных веб-страниц выполнять произвольный код (и, вероятно, получать доступ к конфиденциальной информации) на уязвимых устройствах.
После выполнения произвольного кода злоумышленники могут выполнять команды в базовой ОС, развертывать дополнительные вредоносные или шпионские полезные нагрузки или запускать иные действия.
В опубликованном бюллетене Apple отметила, что ей известны сообщения о том, что эта уязвимость могла быть активно использована. Однако не представила подробности этих атаках.
Компания устранила ошибку, улучшив обработку состояния для: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения).
iOS 16.3 также реализует поддержку аппаратных ключей безопасности для дополнительной защиты от фишинговых атак и неправомерного доступа к устройствам.
Кроме того, Apple исправила десятки других недостатков безопасности в своем веб-браузере Safari и его последних версиях для macOS, iOS и watchOS.
Apple Support
Apple security releases
This document lists security updates and Rapid Security Responses for Apple software.
Секретные документы Бюро национальной безопасности Тайваня (NSB) можно приобрести на breached за 150 000 долларов.
Главный разведорган Тайваня расследует возможную утечку, однако до настоящего момента не подтверждает подлинность фигурирующий в даркнете документов.
По информации Liberty Times, утечка засветилась на форуме в начале января. За полный набор в объеме 10 ГБ злоумышленники запросили 150 тысяч долларов, а за 6 ГБ - 100 000.
При этом сообщается, что последняя партия уже продана.
Утечка включает регулярные отчеты, планы военной разведки, а также финансовые и служебные документы подразделений, дислоцированных за границей.
Будем следить за ситуацией.
Главный разведорган Тайваня расследует возможную утечку, однако до настоящего момента не подтверждает подлинность фигурирующий в даркнете документов.
По информации Liberty Times, утечка засветилась на форуме в начале января. За полный набор в объеме 10 ГБ злоумышленники запросили 150 тысяч долларов, а за 6 ГБ - 100 000.
При этом сообщается, что последняя партия уже продана.
Утечка включает регулярные отчеты, планы военной разведки, а также финансовые и служебные документы подразделений, дислоцированных за границей.
Будем следить за ситуацией.
自由時報電子報
獨家》疑似我國情報資料再被公佈 網站宣稱首批資料已售出 - 政治 - 自由時報電子報
有軍事迷在國外網站「breach forums」發現有人兜售台灣的情治機關機密文件,10G資料要價15萬美元,今天凌晨網站公布更多台灣內部文件,此次疑似是我軍情駐外單位與友邦人員往來餐敘丶情報蒐整的定期匯報等資料,駭客並開出6G要價10萬美元,並聲稱首批資料已售出,調查局先前雖強調掌握有關資訊,但仍未公布相關偵辦細節。16日有軍事迷在國外網站發現有人兜售台灣情報機構的機密文件,範例中針對人員家庭背景描述完整,資料10G要價15萬美元,更強調「有足夠的錢,可以提供更多」。資料範例提到一名35歲的台灣人「金…
͏Две новости сделали наш день.
Первая - на неделе в Лас-Вегасе пройдет конференция TaserCon, организованная компанией Axon, на которой последняя озвучит план размещения в американских школах дронов с электрошокерами. К слову, у Axon имеется богатый опыт ушатывания американских граждан в щщи, ведь именно она является разработчиком и производителем полицейских электрошокеров Taser, название которых стало уже нарицательным.
Почему в качестве полигона для новых дронов Axon выбрала школы, а не, например, тюрьмы - неясно. То ли основателя и руководителя компании Рика Смита одноклассники обижали и он таким образом устраивает ревендж в масштабах всей страны, то ли он пересмотрел винрарный боевик Класс 1999.
В качестве официальной причины заявляется противодействие массовым расстрелам. В целом, логика Axon ясна:нет ног - нет варенья нет детей - нет расстрелов.
Американская общественность негодует и заявляет, что применение боевых (фактически) дронов в школах может "дегуманизировать" людей, на которых эти дроны нацелены. В переводе с общечеловеческого это означает "убить".
Новость вторая - Microsoft в рамках второго этапа инвестирования вложит в стартап OpenAI 10 млрд долларов (раньше в 2019 уже дали 1 млрд.). OpenAI - это разработчик нашумевшей ChatGPT. Как говорят мелкомягкие, это приведет к прорывам в области искусственного интеллекта.
Массовый деплой вооруженных дронов, разработка продвинутого искусственного интеллекта... Мы с оптимизмом смотрим в будущее!
Первая - на неделе в Лас-Вегасе пройдет конференция TaserCon, организованная компанией Axon, на которой последняя озвучит план размещения в американских школах дронов с электрошокерами. К слову, у Axon имеется богатый опыт ушатывания американских граждан в щщи, ведь именно она является разработчиком и производителем полицейских электрошокеров Taser, название которых стало уже нарицательным.
Почему в качестве полигона для новых дронов Axon выбрала школы, а не, например, тюрьмы - неясно. То ли основателя и руководителя компании Рика Смита одноклассники обижали и он таким образом устраивает ревендж в масштабах всей страны, то ли он пересмотрел винрарный боевик Класс 1999.
В качестве официальной причины заявляется противодействие массовым расстрелам. В целом, логика Axon ясна:
Американская общественность негодует и заявляет, что применение боевых (фактически) дронов в школах может "дегуманизировать" людей, на которых эти дроны нацелены. В переводе с общечеловеческого это означает "убить".
Новость вторая - Microsoft в рамках второго этапа инвестирования вложит в стартап OpenAI 10 млрд долларов (раньше в 2019 уже дали 1 млрд.). OpenAI - это разработчик нашумевшей ChatGPT. Как говорят мелкомягкие, это приведет к прорывам в области искусственного интеллекта.
Массовый деплой вооруженных дронов, разработка продвинутого искусственного интеллекта... Мы с оптимизмом смотрим в будущее!
Исследователи Tacito Security выпустили PoC-эксплойт для уязвимости, получившей наименование iTLB multihit.
Ошибка затрагивает достаточно широкую линейку процессоров Intel и связана с буфером ассоциативной трансляции (TLB), специализированным кэшем ЦП, используемым для ускорения трансляции адреса виртуальной памяти в адрес физической памяти.
Ошибка может привести к DoS-атаке, поскольку позволяет коду, работающему на виртуальной машине, вызывать сбой облачных серверов при разбивке больших сегментов памяти.
Исследователи Tacito обнаружили ошибку в 2017 году, но не сообщали о ней в Intel.
Два года спустя производитель неизвестным им образом обнаружил ту же самую проблему, присвоив ей CVE-2018-12207.
Однако специалистам Intel не удалось исправить уязвимость через обновления прошивки.
Вместо этого поставщики ОС и гипервизоров выпустили исправления на уровне ПО, реализовав меры по смягчению.
Тем не менее, ресерчеры Tacito после тестов наиболее популярных решений, пришли к выводу, что большинство поставщиков решили не включать их по умолчанию.
Решение было обусловлено негативным влиянием на производительность и использование памяти и оставило фактически большинство гипервизоров уязвимыми для атаки iTLB multihit.
Ошибка затрагивает достаточно широкую линейку процессоров Intel и связана с буфером ассоциативной трансляции (TLB), специализированным кэшем ЦП, используемым для ускорения трансляции адреса виртуальной памяти в адрес физической памяти.
Ошибка может привести к DoS-атаке, поскольку позволяет коду, работающему на виртуальной машине, вызывать сбой облачных серверов при разбивке больших сегментов памяти.
Исследователи Tacito обнаружили ошибку в 2017 году, но не сообщали о ней в Intel.
Два года спустя производитель неизвестным им образом обнаружил ту же самую проблему, присвоив ей CVE-2018-12207.
Однако специалистам Intel не удалось исправить уязвимость через обновления прошивки.
Вместо этого поставщики ОС и гипервизоров выпустили исправления на уровне ПО, реализовав меры по смягчению.
Тем не менее, ресерчеры Tacito после тестов наиболее популярных решений, пришли к выводу, что большинство поставщиков решили не включать их по умолчанию.
Решение было обусловлено негативным влиянием на производительность и использование памяти и оставило фактически большинство гипервизоров уязвимыми для атаки iTLB multihit.
GitHub
GitHub - ergot86/itlb_poc: iTLB multihit PoC
iTLB multihit PoC. Contribute to ergot86/itlb_poc development by creating an account on GitHub.
В последние годы использование Cobalt Strike и Metasploit в качестве инструментов атак на различные виды систем стали очень популярны среди злоумышленников.
Однако используя эти инструментарии, средства защиты научились обнаруживать и останавливать атаки на основе собираемой информации. Дабы избежать обнаружения EDR и различных антивирусных решений, хакерам пришлось пробовать другие варианты.
Искать долго не пришлось, так как в последнее время специалистами наблюдается всплеск интереса к кроссплатформенному набору с открытым исходным кодом под названием Sliver, появившемуся после Brute Ratel.
Более того, ряд субъектов, представляющих угрозу в национальном масштабе, уже приняли и интегрировали структуру Sliver C2 в свои кампании по вторжению.
Сначала в альтернативу Cobalt Strike злоумышленники переключились на Brute Ratel, инструмент, который имитирует атаки злоумышленников с целью уклонения от продуктов безопасности, но прогресс в разработке таких решений побудил перейти и на Sliver.
Microsoft уже отследили принятие Sliver в качестве инструмента атаки хакерской группировкой DEV-0237 или FIN12, а также несколькими другими операторами ransomware замешанными в деятельности банды, такими как BazarLoader и TrickBot.
Несмотря на то, что инфраструктура Sliver считается новой угрозой, существуют способы обнаружения вредоносной активности.
Чтобы идентифицировать Sliver, Microsoft предоставляет защитникам набор TTP, которые можно использовать для их идентификации.
Например, ненастроенная кодовая база C2, которая содержит официальный и немодифицированный код для обнаружения полезных нагрузок Sliver, поможет обнаружить те самые полезные нагрузки. Также существуют команды, которые можно использовать для внедрения процессов при поиске угроз, такие как: migrate, spawndll, sideload, msf-inject, execute-assembly, getsystem.
С мануалом и набором правил для обнаружения и руководством можно ознакомиться в открытом доступе. В случае с настраиваемым вариантом Sliver, увы, дела обстоят сложнее, но Microsoft и другие специалисты сферы активно работают над поиском решений.
Специалисты из Cybereason считают, что ПО используется в качестве второго этапа для выполнения последующих шагов цепочки атак после того, как компьютер уже был скомпрометирован с использованием одного из первоначальных векторов вторжения - целевого фишинга или неисправленных уязвимостей.
Предполагаемая последовательность атак, подробно описанная израильской компанией, показывает, что Sliver может быть использован для повышения привилегий, за которым последует кража учетных данных и горизонтальное перемещение, чтобы в конечном итоге захватить контроллер домена для кражи конфиденциальных данных.
Со слов исследователей, Sliver и ранее использовалась в качестве оружия такими известными группировками как APT29 (Cozy Bear), Shathak (TA551) и Exotic Lily (Projector Libra), последней из которых приписывается вредоносный загрузчик Bumblebee.
Тем не менее, Sliver — далеко не единственная платформа с открытым исходным кодом, которую можно использовать в злонамеренных целях.
В прошлом месяце Qualys рассказала, как несколько хакерских групп, в том числе Turla, Vice Society и Wizard Spider, использовали Empire для пост-эксплуатации и расширения своих позиций в среде потерпевшей стороны.
Однако используя эти инструментарии, средства защиты научились обнаруживать и останавливать атаки на основе собираемой информации. Дабы избежать обнаружения EDR и различных антивирусных решений, хакерам пришлось пробовать другие варианты.
Искать долго не пришлось, так как в последнее время специалистами наблюдается всплеск интереса к кроссплатформенному набору с открытым исходным кодом под названием Sliver, появившемуся после Brute Ratel.
Более того, ряд субъектов, представляющих угрозу в национальном масштабе, уже приняли и интегрировали структуру Sliver C2 в свои кампании по вторжению.
Сначала в альтернативу Cobalt Strike злоумышленники переключились на Brute Ratel, инструмент, который имитирует атаки злоумышленников с целью уклонения от продуктов безопасности, но прогресс в разработке таких решений побудил перейти и на Sliver.
Microsoft уже отследили принятие Sliver в качестве инструмента атаки хакерской группировкой DEV-0237 или FIN12, а также несколькими другими операторами ransomware замешанными в деятельности банды, такими как BazarLoader и TrickBot.
Несмотря на то, что инфраструктура Sliver считается новой угрозой, существуют способы обнаружения вредоносной активности.
Чтобы идентифицировать Sliver, Microsoft предоставляет защитникам набор TTP, которые можно использовать для их идентификации.
Например, ненастроенная кодовая база C2, которая содержит официальный и немодифицированный код для обнаружения полезных нагрузок Sliver, поможет обнаружить те самые полезные нагрузки. Также существуют команды, которые можно использовать для внедрения процессов при поиске угроз, такие как: migrate, spawndll, sideload, msf-inject, execute-assembly, getsystem.
С мануалом и набором правил для обнаружения и руководством можно ознакомиться в открытом доступе. В случае с настраиваемым вариантом Sliver, увы, дела обстоят сложнее, но Microsoft и другие специалисты сферы активно работают над поиском решений.
Специалисты из Cybereason считают, что ПО используется в качестве второго этапа для выполнения последующих шагов цепочки атак после того, как компьютер уже был скомпрометирован с использованием одного из первоначальных векторов вторжения - целевого фишинга или неисправленных уязвимостей.
Предполагаемая последовательность атак, подробно описанная израильской компанией, показывает, что Sliver может быть использован для повышения привилегий, за которым последует кража учетных данных и горизонтальное перемещение, чтобы в конечном итоге захватить контроллер домена для кражи конфиденциальных данных.
Со слов исследователей, Sliver и ранее использовалась в качестве оружия такими известными группировками как APT29 (Cozy Bear), Shathak (TA551) и Exotic Lily (Projector Libra), последней из которых приписывается вредоносный загрузчик Bumblebee.
Тем не менее, Sliver — далеко не единственная платформа с открытым исходным кодом, которую можно использовать в злонамеренных целях.
В прошлом месяце Qualys рассказала, как несколько хакерских групп, в том числе Turla, Vice Society и Wizard Spider, использовали Empire для пост-эксплуатации и расширения своих позиций в среде потерпевшей стороны.
Cybereason
Sliver C2 Leveraged by Many Threat Actors
Threat Research: Sliver C2 gets more and more traction from Threat Actors, often seen as an alternative from Cobalt Striker.
⚡️BREAKING: Microsoft 365 упал и лежит. Сами подтвердить не можем, потому как их богопротивной продукцией не пользуемся. Но не верить всему Twitter у нас оснований нету.
Forwarded from Russian OSINT
🇹🇷Хакеры из Turk Hack Team взяли ответственность за кибератаку на сайт парламента 🇸🇪Швеции в знак протеста против сожжения Корана, требуя извинений. Судя по твитам, хакеры атакуют все подряд: телеком, банки, сайты медицинских онлайн-журналов и метро.
👆🤔Сумасшедший Расмус Палудан, лидер датской ультраправой политической партии Hard Line, находясь под защитой 👮100 офицеров полиции и🎩 10 сотрудников шведской разведки, сжёг Коран в столице Швеции в субботу.
"О, нет, я не сожалею, я сделал это, потому что я думаю, что были важные политические причины", - прокомментировал свою акцию Палудан.
✋ @Russian_OSINT
👆🤔Сумасшедший Расмус Палудан, лидер датской ультраправой политической партии Hard Line, находясь под защитой 👮100 офицеров полиции и
"О, нет, я не сожалею, я сделал это, потому что я думаю, что были важные политические причины", - прокомментировал свою акцию Палудан.
Please open Telegram to view this post
VIEW IN TELEGRAM
VMware выпустила исправления для устранения уязвимостей vRealize Log Insight, которые могут позволить злоумышленникам получить удаленное выполнение кода на неисправленных устройствах.
vRealize Log Insight (VMware Aria Operations for Logs) — это инструмент для анализа и управления журналами инфраструктуры и приложений в средах VMware.
Первая критическая CVE-2022-31703 описывается как уязвимость обхода каталога, которую злоумышленники могут использовать для внедрения файлов в ОС устройств для RCE.
Вторая CVE-2022-31704 представляет собой уязвимость управления доступом, которой также можно злоупотреблять для удаленного выполнения кода на уязвимых устройствах путем внедрения вредоносных файлов.
Обе уязвимости имеют оценку CVSS 9,8/10 и могут быть использованы злоумышленниками, не прошедшими проверку подлинности, в атаках низкой сложности, не требующих вмешательства пользователя.
VMware также устранила уязвимость десериализации (CVE-2022-31710), которую можно использовать для вызова состояния DoS, а также ошибку раскрытия информации (CVE-2022-31711), которую можно использовать для доступа к конфиденциальной информации о сеансе или приложении.
Ошибки были устранены с выпуском VMware vRealize Log Insight 8.10.2. При этом ни одна из ошибок не была помечена как эксплуатируемая в дикой природе.
Кроме того, VMware предоставила подробные инструкции по обновлению до последней версии vRealize Log Insight (здесь) и поделилась временным исправлением.
Для его применения следует на каждом узле vRealize Log Insight в своем кластере выполнить под root через SSH сценарий (предоставленный VMware здесь), после чего следует убедиться в успешной реализации обходного сценария, регистрируя каждый узел и сообщение о его инсталляции.
vRealize Log Insight (VMware Aria Operations for Logs) — это инструмент для анализа и управления журналами инфраструктуры и приложений в средах VMware.
Первая критическая CVE-2022-31703 описывается как уязвимость обхода каталога, которую злоумышленники могут использовать для внедрения файлов в ОС устройств для RCE.
Вторая CVE-2022-31704 представляет собой уязвимость управления доступом, которой также можно злоупотреблять для удаленного выполнения кода на уязвимых устройствах путем внедрения вредоносных файлов.
Обе уязвимости имеют оценку CVSS 9,8/10 и могут быть использованы злоумышленниками, не прошедшими проверку подлинности, в атаках низкой сложности, не требующих вмешательства пользователя.
VMware также устранила уязвимость десериализации (CVE-2022-31710), которую можно использовать для вызова состояния DoS, а также ошибку раскрытия информации (CVE-2022-31711), которую можно использовать для доступа к конфиденциальной информации о сеансе или приложении.
Ошибки были устранены с выпуском VMware vRealize Log Insight 8.10.2. При этом ни одна из ошибок не была помечена как эксплуатируемая в дикой природе.
Кроме того, VMware предоставила подробные инструкции по обновлению до последней версии vRealize Log Insight (здесь) и поделилась временным исправлением.
Для его применения следует на каждом узле vRealize Log Insight в своем кластере выполнить под root через SSH сценарий (предоставленный VMware здесь), после чего следует убедиться в успешной реализации обходного сценария, регистрируя каждый узел и сообщение о его инсталляции.
Специалистами из Palo Alto Networks зафиксирован всплеск кибератак, нацеленных на RCE-уязвимость в Realtek Jungle SDK.
Речь идет об ошибке CVE-2021-35394, которую обнародовали еще в августе 2021 года.
Бага затрагивает сотни типов устройств, использующих чипы Realtek RTL8xxx, включая маршрутизаторы, домашние шлюзы, IP-камеры и повторители Wi-Fi от 66 различных производителей, среди которых Asus, Belkin, D-Link, Huawei, LG, Logitech, Netgear, ZTE и Zyxel.
Недостаток достаточно серьезный и позволяет злоумышленникам, не прошедшим аутентификацию, выполнять код на уязвимых устройствах, получая над ними полный контроль.
Первые реальные атаки, нацеленные на CVE-2021-35394, наблюдались через несколько дней после того, как подробности об ошибке были обнародованы, и еще тогда атакам подвергалось около миллиона устройств.
В новом отчете Palo Alto Networks предупреждает об очередном увеличении числа атак, пытающихся использовать дефект безопасности.
Только по состоянию на декабрь 2022 года специалисты наблюдали 134 миллиона попыток эксплуатации с использованием этой уязвимости и около 97% этих атак произошли после начала августа 2022 года.
Причем на данный момент атаки до сих пор продолжаются. Анализ наблюдаемых попыток эксплойта показывал, что 30 регионов были источником атак.
США лидировали с 48,3%, за ними следуют Вьетнам с 17,8% и Россия с 14,6%.
Со слов специалистов, в большинстве своем конечной целью злоумышленников было распространение вредоносных ПО, нацеленных на уязвимость в крупномасштабных атаках, направленных на устройства IoT, что, в очередной раз, подчеркивает необходимость для организаций обеспечить надлежащую защиту этих устройств.
Большинство наблюдаемых вредоносных полезных нагрузок представляют собой варианты вредоносных программ Mirai, Gafgyt и Mozi.
Поиск в Shodan, проведенный исследователями, выявил существование более 80 различных моделей устройств IoT от 14 уникальных поставщиков, у которых открыт порт 9034.
Изучая эксплуатацию уязвимостей, исследователи обнаружили, что наибольшей популярностью пользуются устройства D-Link (31 модель), за ними следуют LG, Belkin и Zyxel (по 8, 6 и 6 каждая).
По данным Palo Alto Networks, несмотря на то, что пострадавшие поставщики уже давно выпустили обновления ПО для решения проблемы или рекомендации по ее устранению, многие организации до сих пор продолжают игнорировать угрозу.
Речь идет об ошибке CVE-2021-35394, которую обнародовали еще в августе 2021 года.
Бага затрагивает сотни типов устройств, использующих чипы Realtek RTL8xxx, включая маршрутизаторы, домашние шлюзы, IP-камеры и повторители Wi-Fi от 66 различных производителей, среди которых Asus, Belkin, D-Link, Huawei, LG, Logitech, Netgear, ZTE и Zyxel.
Недостаток достаточно серьезный и позволяет злоумышленникам, не прошедшим аутентификацию, выполнять код на уязвимых устройствах, получая над ними полный контроль.
Первые реальные атаки, нацеленные на CVE-2021-35394, наблюдались через несколько дней после того, как подробности об ошибке были обнародованы, и еще тогда атакам подвергалось около миллиона устройств.
В новом отчете Palo Alto Networks предупреждает об очередном увеличении числа атак, пытающихся использовать дефект безопасности.
Только по состоянию на декабрь 2022 года специалисты наблюдали 134 миллиона попыток эксплуатации с использованием этой уязвимости и около 97% этих атак произошли после начала августа 2022 года.
Причем на данный момент атаки до сих пор продолжаются. Анализ наблюдаемых попыток эксплойта показывал, что 30 регионов были источником атак.
США лидировали с 48,3%, за ними следуют Вьетнам с 17,8% и Россия с 14,6%.
Со слов специалистов, в большинстве своем конечной целью злоумышленников было распространение вредоносных ПО, нацеленных на уязвимость в крупномасштабных атаках, направленных на устройства IoT, что, в очередной раз, подчеркивает необходимость для организаций обеспечить надлежащую защиту этих устройств.
Большинство наблюдаемых вредоносных полезных нагрузок представляют собой варианты вредоносных программ Mirai, Gafgyt и Mozi.
Поиск в Shodan, проведенный исследователями, выявил существование более 80 различных моделей устройств IoT от 14 уникальных поставщиков, у которых открыт порт 9034.
Изучая эксплуатацию уязвимостей, исследователи обнаружили, что наибольшей популярностью пользуются устройства D-Link (31 модель), за ними следуют LG, Belkin и Zyxel (по 8, 6 и 6 каждая).
По данным Palo Alto Networks, несмотря на то, что пострадавшие поставщики уже давно выпустили обновления ПО для решения проблемы или рекомендации по ее устранению, многие организации до сих пор продолжают игнорировать угрозу.
Unit 42
Realtek SDK Vulnerability Attacks Highlight IoT Supply Chain Threats
We observed a recent spate of supply chain attacks attempting to exploit CVE-2021-35394, affecting IoT devices with chipsets made by Realtek.
Опубликованы технические подробности об уязвимости графического процессора Arm Mali, приводящей к RCE в ядре и рутированию устройств Pixel 6 с помощью вредоносного приложения, установленного на целевом устройстве.
Отслеживаемая как CVE-2022-38181 имеет оценку CVSS 8,8 и представляет собой ошибку использования после освобождения, которая влияет на версии драйвера Arm Mali до r40p0 (выпущенной 7 октября 2022 г.).
Проблема, как объясняет исследователь GitHub Security Lab Ман Юэ Мо, связана с особым типом памяти графического процессора: JIT-памятью и специальной функцией для отправки цепочек заданий на графический процессор.
Благодаря CVE-2022-38181 вредоносный код может использоваться для добавления области JIT-памяти в список вытеснения, а затем создавать нехватку памяти, чтобы вызвать уязвимое вытеснение, в результате чего область JIT освобождается без освобождения указателя.
Исследователь обнаружил, что освобожденную область JIT можно заменить поддельным объектом, который можно использовать для потенциального освобождения произвольных страниц, а затем использовать их для получения доступа к произвольной памяти для чтения и записи.
Злоумышленнику потребуется сопоставить код ядра с адресным пространством графического процессора, чтобы получить выполнение произвольного кода ядра, который затем можно использовать для перезаписи учетных данных нашего процесса для получения root и отключения SELinux.
Ман Юэ Мо сообщил об уязвимости команде безопасности Android в июле 2022 года вместе с PoC. Первоначально недостаток был отмечен как имеющий высокую степень серьезности, но затем отчет был перенаправлен команде Arm.
По словам исследователя, после октябрьского патча Arm в 2022 году Google включила исправление этой уязвимости в обновление безопасности для устройств Pixel от января 2023 года, но без упоминания идентификатора CVE или исходных данных об ошибке.
Отслеживаемая как CVE-2022-38181 имеет оценку CVSS 8,8 и представляет собой ошибку использования после освобождения, которая влияет на версии драйвера Arm Mali до r40p0 (выпущенной 7 октября 2022 г.).
Проблема, как объясняет исследователь GitHub Security Lab Ман Юэ Мо, связана с особым типом памяти графического процессора: JIT-памятью и специальной функцией для отправки цепочек заданий на графический процессор.
Благодаря CVE-2022-38181 вредоносный код может использоваться для добавления области JIT-памяти в список вытеснения, а затем создавать нехватку памяти, чтобы вызвать уязвимое вытеснение, в результате чего область JIT освобождается без освобождения указателя.
Исследователь обнаружил, что освобожденную область JIT можно заменить поддельным объектом, который можно использовать для потенциального освобождения произвольных страниц, а затем использовать их для получения доступа к произвольной памяти для чтения и записи.
Злоумышленнику потребуется сопоставить код ядра с адресным пространством графического процессора, чтобы получить выполнение произвольного кода ядра, который затем можно использовать для перезаписи учетных данных нашего процесса для получения root и отключения SELinux.
Ман Юэ Мо сообщил об уязвимости команде безопасности Android в июле 2022 года вместе с PoC. Первоначально недостаток был отмечен как имеющий высокую степень серьезности, но затем отчет был перенаправлен команде Arm.
По словам исследователя, после октябрьского патча Arm в 2022 году Google включила исправление этой уязвимости в обновление безопасности для устройств Pixel от января 2023 года, но без упоминания идентификатора CVE или исходных данных об ошибке.
The GitHub Blog
Pwning the all Google phone with a non-Google bug
It turns out that the first “all Google” phone includes a non-Google bug. Learn about the details of CVE-2022-38181, a vulnerability in the Arm Mali GPU. Join me on my journey through reporting the vulnerability to the Android security team, and the exploit…
Riot Games подтвердили, что хакеры слили исходники для League of Legends и Teamfight Tactics, а также получили письмо с требованием выкупа, в котором злоумышленники угрожали опубликовать исходных код в сети, если разработчик не заплатит.
Еще на прошлой неделе калифорнийский разработчик признал, что взлом повлиял на работу и предстоящие обновления, а сейчас Riot обеспокоен появлением новых читов в результате утечки исходного кода в сеть.
Однако в компании заявили, что не намерены платить выкуп не смотря на то, что атака нарушила среду сборки и может вызвать проблемы в будущем.
В компании по-прежнему, уверены, что никакие данные игроков или личная информация не была скомпрометирована.
В настоящее время Riot активно работает с правоохранителями органами и внешними специалистами для расследовании этого инцидента в намерениях выявить предполагаемых злоумышленников, а также внимательно следит за утечкой исходного кода, если он вдруг все же появится в сети.
Будем посмотреть.
Еще на прошлой неделе калифорнийский разработчик признал, что взлом повлиял на работу и предстоящие обновления, а сейчас Riot обеспокоен появлением новых читов в результате утечки исходного кода в сеть.
Однако в компании заявили, что не намерены платить выкуп не смотря на то, что атака нарушила среду сборки и может вызвать проблемы в будущем.
В компании по-прежнему, уверены, что никакие данные игроков или личная информация не была скомпрометирована.
В настоящее время Riot активно работает с правоохранителями органами и внешними специалистами для расследовании этого инцидента в намерениях выявить предполагаемых злоумышленников, а также внимательно следит за утечкой исходного кода, если он вдруг все же появится в сети.
Будем посмотреть.
Twitter
Today, we received a ransom email. Needless to say, we won’t pay.
While this attack disrupted our build environment and could cause issues in the future, most importantly we remain confident that no player data or player personal information was compromised.…
While this attack disrupted our build environment and could cause issues in the future, most importantly we remain confident that no player data or player personal information was compromised.…
GoTo опубликовала обновленную информацию об инциденте, предупреждая клиентов о том, что злоумышленники, взломавшие его среду разработки в ноябре 2022 года, украли зашифрованные резервные копии, содержащие информацию о клиенте и ключ шифрования для части этих данных.
GoTo предоставляет облачную платформу для удаленной работы, совместной работы и коммуникаций, а также решения для удаленного управления ИТ и техподдержки.
В ноябре 2022 года компания сообщала о нарушении в своей среде разработки и службе облачного хранения, используемой в том числе и дочерней компанией LastPass.
В то время оценить влияние на клиентский кластер оперативно не удалось.
Однако после привлечения к расследованию Mandiant позволило выяснить, что инцидент затронул также и клиентов GoTo.
Согласно уведомлению об инциденте GoTo, в результате атаки актор добрался до резервных копий продуктов Central и Pro, хранящихся в стороннем облачном хранилище, которые включают: имена пользователей для учетных записей, пароли учетных (хешированные), сведения о развертывании и многофакторной аутентификации, сценарии One-to-Many, данные о лицензировании и покупках.
В связи с кражей ключей шифрования, GoTo пришлось сбросить пароли Central и Pro для затронутых клиентов, а также перенести их учетные записи на расширенную платформу управления идентификацией.
Компания не раскрывает тип шифрования, используемый для резервных копий, заверяя также о невозможности проведения MITM-атак на клиентов в силу наличия шифрования TLS 1.2 и использования технологий одноранговой связи.
GoTo отметила, что у нее до сих пор нет доказательств того, что злоумышленники получали доступ к ее производственным системам.
Расследование инцидента все еще продолжается, а GoTo пообещала сообщать все важные выводы.
GoTo предоставляет облачную платформу для удаленной работы, совместной работы и коммуникаций, а также решения для удаленного управления ИТ и техподдержки.
В ноябре 2022 года компания сообщала о нарушении в своей среде разработки и службе облачного хранения, используемой в том числе и дочерней компанией LastPass.
В то время оценить влияние на клиентский кластер оперативно не удалось.
Однако после привлечения к расследованию Mandiant позволило выяснить, что инцидент затронул также и клиентов GoTo.
Согласно уведомлению об инциденте GoTo, в результате атаки актор добрался до резервных копий продуктов Central и Pro, хранящихся в стороннем облачном хранилище, которые включают: имена пользователей для учетных записей, пароли учетных (хешированные), сведения о развертывании и многофакторной аутентификации, сценарии One-to-Many, данные о лицензировании и покупках.
В связи с кражей ключей шифрования, GoTo пришлось сбросить пароли Central и Pro для затронутых клиентов, а также перенести их учетные записи на расширенную платформу управления идентификацией.
Компания не раскрывает тип шифрования, используемый для резервных копий, заверяя также о невозможности проведения MITM-атак на клиентов в силу наличия шифрования TLS 1.2 и использования технологий одноранговой связи.
GoTo отметила, что у нее до сих пор нет доказательств того, что злоумышленники получали доступ к ее производственным системам.
Расследование инцидента все еще продолжается, а GoTo пообещала сообщать все важные выводы.
GoTo.com Blog
Our Response to a Recent Security Incident- GoTo