Буквально вчера мы рассказывали о 0-day, которая затрагивает открытые в Интернете консоли администрирования GoAnywhere MFT и уже активно эксплуатируется.

А сегодня исследователи выкатили технические подробности и код PoC-эксплойта. Со слов автора Флориана Хаузера из Code White, эксплойт реализует удаленное выполнение кода без проверки подлинности на уязвимых серверах GoAnywhere MFT.

Разработчики приложения из Fortra (ранее известная как HelpSystems и одарившая инфосек своим решением Cobalt Strike) тоже не сидели на месте и успели выпустить экстренное исправление для устранения баги.

Еще на выходных Fortra сообщила, что уязвимость используется в атаках, и предоставила индикаторы компрометации для потенциально затронутых клиентов, включая конкретную трассировку стека, которая будет отображаться в журналах на скомпрометированных системах.

Поставщик решения напоминает, что вектор атаки этого эксплойта требует доступа к административной консоли приложения, которая в большинстве случаев доступна только из сети частной компании, через VPN или по разрешенным IP-адресам.

Тем не менее, сканирование Shodan показывает, что в Интернете открыто около 1000 экземпляров GoAnywhere.

В случае невозможности немедленного экстренного исправления, разработчики GoAnywere MFT предлагают воспользоваться рекомендациями по смягчению последствий, включая разрешение доступа к интерфейсу администратора из надежных источников или отключение службы лицензирования.

Для старейшего почтового оператора Великобритании новый год начался не с потока клиентов, а с инцидента, который привел к приостановке международных отправлений.

Проблемы возникли 10 января и как выяснилось позже Royal Mail Group Limited пострадала от деятельности LockBit.

Изначально группа отрицала причастность к атаке, однако "письма счастья" с требованием выкупа все же дошли до адресата и содержали ссылки на форму переговоров и утечек LockBit в Tor.

Вероятно, злоумышленники подумали, что оператор со штатом в 15 000 офисов королевской почты по всей стране, миллиардными доходами и многовековой историей все же заплатит барыш за пентест компании.

В итоге LockBit подтвердил, что действительно стоял за атакой и развернул полезную нагрузку программы-вымогателя в системах Royal Mail, а также добавил, что предоставит дешифратор и удалят украденные данные, только после выплаты выкупа.

Время на подумать увы не много, так как на сайте утечек LockBit говорится, что данные будут опубликованы 9 февраля.

Зато повезло жертвам Cl0p ransomware, у которой недавно появилась версия, нацеленная на системы Linux.

Некогда Cl0p был одним из самых активных семейств программ-вымогателей за последние несколько лет, жертвами которой становились крупные частные и государственные организации по всему миру в критических областях.

Банду хакеров подкосила операция спецслужб в ноябре 2021 года, в результате которой были арестованы шесть участников. Тем не менее Cl0p продолжает использоваться в атаках. 

Так, в августе 2022 года Cl0p взял на себя ответственность за взлом британской компании водоснабжения, а с декабря стала использоваться Linux-версия Cl0p.

А на днях ресерчеры SentinelOne объявили об обнаружении в алгоритме шифрования Linux-варианте Cl0p уязвимости, связанной с жестко запрограммированным мастер-ключом RC4, что позволяет расшифровать файлы.

Благодаря своему открытию SentinelOne разработали скрипт Python (доступен на GitHub) для помощи жертвам в восстановлении своих данных.

Еще одна история про альтруизм, инфосек и bugbounty за спасибо.

Исследователь Итон Звеаре, по совместительству техдир Grape Intentions, рассказал, как ему удалось за 7 дней обнаружить и сообщить в Toyota о 4 различных проблемах безопасности, все из которых были классифицированы как «критические».

Одна из них могла иметь для компании чрезвычайно серьезные последствия. Благодаря ей Итон хакнул глобальную систему управления проектами Toyota GSPIMS.

При этом исследователь наглядно продемонстрировал полученный доступ к данным более чем 14 000 корпоративных пользователей, а также проектам, документам, данным поставщиков и многому др., включая таких партенеров, как Michelin, Continental, Stanley Black & Decker, HARMAN, Timken, BOS, Magna.

Проблема затрагивала функцию «действовать от имени» в механизме входа и позволяла авторизовываться в системе под любым корпоративным пользователем или поставщиком Toyota, используя лишь наименование электронной почты.

В конце концов он обнаружил адрес электронной почты системного администратора и смог войти в его учетную запись, которая предоставляла полный контроль над всей системой.

В случае реальной атаки злоумышленник смог бы без труда добавить привилегированную учетную запись и сохранить доступ, скачать и слить все конфиденциальные данные, а также разработать узконаправленную фишинговую кампанию, нацеленную на другие системы Toyota или ее партнеров.

3 ноября 2022 года Итон Звеаре уведомил о проблеме Toyota, которая в течение суток подтвердила отчет и еще через 20 дней исправила багу, заставив createJWT и findByEmail возвращать HTTP-статус 400 — Bad Request во всех случаях.

Несмотря на оперативность и эффективность реакции Toyota, вознаграждение за сообщение о критической ошибке (в числе прочих) составило 0 долларов. Ничего, в следующий раз спонсором выступит какой-нибудь брокер первоначального доступа или уязвимостей.

Разработчики ПО Secure Shell с открытым исходным кодом выпустили очередную версию обновлений для устранения уязвимости предварительной аутентификации в сервере OpenSSH версии 9.1.

Конкретно это версия, выпущенная в октябре 2022 года, оказалась подвержена уязвимости двойного освобождения в стандартной конфигурации сервера OpenSSH (sshd).

Баг отслеживается как CVE-2023-25136 и считается, что его не так уж легко использовать, так как процесс происходит в непривилегированном режиме предварительной аутентификации, а также дополнительно изолирован на большинстве основных платформ.

Потенциально двойное освобождение памяти может привести к условию Write-what-where Condition, что позволит злоумышленнику выполнить произвольный код.

Использование этой проблемы — непростая задача, так как это связано с защитными мерами, принятыми современными распределителями памяти, а также надежным разделением привилегий и песочницей, реализованными в уязвимом процессе sshd.

Тем не менее, пользователям рекомендуется обновиться до OpenSSH 9.2, чтобы снизить потенциальные угрозы безопасности.

͏IP man 👊

Британская инженерная компания Vesuvius со штатом до 10 000 сотрудников по всему миру заявила о киберинциденте, который привел к отключению систем.

Компания известна на рынке металла и керамики. Сейчас активно занимается расследованием и восстановлением систем. Акции Vesuvius упали на 3,8% в начале торгов.

Атака ransomware на южноафриканскую телеком компанию и поставщика облачного хостинга RSAWeb привела к длительному сбою и отключению услуг связи.

Инцидент произошел 1 февраля, и в течении последующей недели специалисты поднимали сеть. Атака затронула веб-сайт, интернет-сеть, мобильные устройства, хостинг, услуги VoIP и АТС.

Свой производственный цикл также был вынужден остановить производитель полупроводникового оборудования MKS Instruments.

Атака произошла на прошлой неделе и затронула производственные системы. Компания приступила к расследованию атаки и подсчету убытков, связанных с инцидентом.

Lockbit продолжают удерживать лидерство с послужным списком в 1364 жертвы. Незадолго до нашумевшей атаки на Royal Mail банда похвасталась новым десятком жертвами, среди которых Turkish Airlines, Airalbania, муниципалитет Медельина.

Кроме того, одной из жертв оказалась огромная продовольственная компания с доходом в 253 миллиона долларов из Румынии. Общий доход всех жертв вместе взятых составляет более 6 миллиардов долларов.

BlackCat успешно похакали швейцарскую управляющую компанию Finaport, которую припугнули небольшой утечкой корпоративной почты для достижения договоренностей по выкупу.

Как сообщает местная пресса, несмотря на сохраненные резервные копии, сайт Finaport по-прежнему недоступен. Да и верить о целостности базы данных клиентов тоже не приходится. Руководство отмалчивается на этот счет.

Тем временем команда Royal добавила еще одну статусную жертву на DLS: американскую технологическую компанию, которая предоставляет интегрированные услуги и решения для правительства США.

Avos Locker атаковали три компании из США и Уругвая. Общий доход всех компаний составляет более 180 миллионов долларов.

͏Давненько мы не касались вопросов инклюзивности нейроразнообразия в инфосек отрасли. Вы наверное соскучились уже? Ну так получите.

Родитель №1 (а также №2) Metasploit, компания Rapid7, с гордостью сообщает, что пятый год подряд включена в Индекс гендерного равенства (GEI), который публичным компаниям раздает Bloomberg. Для этого компании Rapid7 пришлось усердно потрудиться на ниве транспарентности и прочих гендерквиров.

Например, добавили три новые группы защиты сотрудников к предыдущим трем и теперь их (неожиданно!) целых шесть:
- Rapid7 Women - как подсказывает логика, занимается поддержкой и защитой прав женщин, а также людей, идентифицирующих себя как женщин;
- Moose Mosaic - поддержка и защита AAPI-сообщества (американские азиаты и выходцы с островов, гавайцы всякие и прочие таитяне);
- Moose Vets - поддержка ветеранов и выходцев из военного сообщества;
- Rapid7 Diversability and Neurodiversity - защита инвалидов и психопатов (самые эффективные сотрудники, говорят, те, у которых нет полмозга - сидят, мычат, азиатов не обижают);
- Rapid7 Vibranium - поддержка и защита чернокожих и латиноамериканцев;
- и, наконец, Rapid7 Pride - поддержка и защита сообщества LGBTQIA+.

Мы вот долго думали, что за буквы I и A прибавились к аббревиатуре LGBTQ+. Вдумчиво покурили. Оказалось, что I - это интерсекс (гермафродиты по-простому), а A - это асексуалы.

Кто может угнетать и преследовать асексуалов - мы решительно не понимаем. Типа как асексуал ходит по офису и говорит "не хочу сношаться", а за ним толпой ходят харассеры с воплями "ну, потрахайся же"?! Что вообще происходит в этом нашем инфосеке?!!!

Несмотря на множество негативных последствий, которые наступили для IT отрасли в общем и для инфосека в частности после введения рядом западных стран и компаний в 2022 году различного рода санкций и ограничений, есть моменты и положительные.

И, в первую очередь, они касаются вопросов импортозамещения ряда ключевого для информационной безопасности ПО.

Так, к февралю 2022 года около 60% SIEM, стоявших у российских компаний, были иностранного производства. Лидеры - Splunk, IBM, Micro Focus. Однако после начала СВО иностранные вендоры начали постепенно отваливаться, а дополнительный стимул поддал 250-й Указ о допмерах по обеспечению информационной безопасности РФ. Хотя, если честно, тот же Splunk начал выеживаться сильно раньше, году в 2018 еще, если нам склероз не изменяет.

Естественно, что отечественные компании были вынуждены переходить на MaxPatrol, KUMA или RuSIEM.

Из последних больших внедрений - Solar JSOC принял в боевую эксплуатацию Kaspersky Unified Monitoring and Analysis Platform (KUMA). На пилоте, насколько нам известно, стоят и MaxPatrol с RuSIEM. А прикрывает их всех Космос Elastic.

И это хорошо. Ауммммм.

В последнее время в мире вредоносного ПО прослеживается интересная тенденция, когда малварь в корни меняет свое предназначение.

Собственно такой тенденции последовал троян QBot на базе которого обнаружена новая кампания QakNote, использующая вредоносные вложения Microsoft OneNote.

QBot, ранее являвшийся банковским трояном, превратился во вредоносное ПО, которое специализируется на получении первоначального доступа для кражи данных, развертывания программ-вымогателей и других вредоносных действий.

Использование вложений OneNote в фишинговых электронных письмах появились в прошлом месяце как новый вектор атаки для замены вредоносных макросов в документах Office, которые Microsoft отключила еще в июле 2022 года, оставив злоумышленникам меньше возможностей для маневра с исполнением кода на целевых устройствах.

Эти вложения могут содержать файлы практически любого типа, включая вложения VBS или файлы LNK, которые могут выполняться, когда пользователь дважды нажмет на встроенное вложение в OneNote.

Чтобы заразить устройство, злоумышленники используют социальную инженерию, дабы убедить пользователей запустить вложение для просмотра файла.

Сами файлы содержат встроенное HTML-приложение (файл HTA), которое извлекает полезную нагрузку вредоносного ПО QBot.

Скрипт в файле HTA загружает малварь в папку C:\ProgramData и запускает его с помощью Rundll32.exe. Полезная нагрузка внедряется в диспетчер вспомогательных технологий Windows, чтобы избежать обнаружения антивирусными инструментами.

Специалисты из Sophos сообщают, что операторы QBot используют два метода для распространения файлов HTA: через электронные письма со встроенной ссылкой на заряженный файл .one и через потоковые инъекции.

Последний метод представляет собой сложную технику, когда операторы QBot захватывают существующие потоки электронной почты и отправляют сообщение «ответить всем» с вредоносным файлом блокнота OneNote в качестве вложения.

Чтобы сделать эти атаки еще более изощрёнными, злоумышленники используют фальшивую кнопку в файле Notebook, которая якобы загружает документ из облака, но вместо этого запускает встроенное вложение HTA.

В качестве защиты от нового вектора атаки Sophos предлагает блокировать все файлы с расширением .one, поскольку они обычно не отправляются в виде вложений.

Несмотря на то, что запуск вложения приведет к появлению диалогового окна с соответствующим предупреждением, но как показывает практика подобные предупреждения жертвой обычно игнорируются, собственно на то и расчет.

👨🏻‍💻 Веб-маяки на сайтах и в электронной почте.

🖖🏻 Приветствую тебя user_name.

• Ты когда-нибудь задумывался над тем, по какому принципу нам показывают таргетированную рекламу? Почему, даже ничего не лайкая во время сёрфинга ты, возвращаясь в любимую социальную сеть, видишь рекламу, связанную с посещёнными тобой сайтами? И кто заинтересован в том, чтобы отслеживать пользователей?

• Веб маяк («web beacon», или «1x1 pixel image») — это крошечная или прозрачная картинка, которая встраивается в страницу и используется для отслеживания действий пользователей. Такие невидимые маяки могут использоваться не только для веб аналитики, но и для сбора агрегированной информации с целью продажи её сторонним сайтам, для построения социальных графов.

• В этой статье эксперты Лаборатории Касперского расскажут, что такое веб-маяки (web beacons, web bugs, трекинговые пиксели), какие компании, как и для чего используют их на веб-сайтах и в электронной почте.

🧷 Читать статью.

S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #ИБ

Что касается некоторых фактологических ошибок в нашем вчерашнем посте про Solar JSOC.

Мы специально оставили их в тексте, чтобы враг не догадался как наносить ущерб информационной безопасности Российской Федерации. Потому что Solar JSOC - это объект критической информационной инфраструктуры.

Все согласно требованиям Приказа ФСБ № 457.

͏Очередная партия из 15 уязвимостей исправлена в обновленной версии Chrome 110: 110.0.5481.77/.78 для Windows и версии 110.0.5481.77 для Mac и Linux.

Версии браузера для iOS и Android обновлены до 110.0.5481.83 и 110.0.5481.63/.64 соответственно.

Львинную долю критических и серьезных баг обнаружили внешние исследователи по программе bugbounty.

Три уязвимости высокой степени серьезности относятся к ошибкам путаницы типов в движке V8, реализации в полноэкранном режиме и чтения вне границ в WebRTC.

CVE-2023-0696 описывается как повреждение кучи, которое можно использовать удаленно через созданную HTML-страницу. Сообщившему о ней исследователю Хэин Ли из KAIST Hacking Lab выплачено вознаграждение в размере 7000 долларов.

Вторая серьезная CVE-2023-0697 затрагивает Chrome для Android и может позволить удаленному злоумышленнику использовать созданную HTML-страницу для подделки содержимого пользовательского интерфейса безопасности. За труды компания вознаградила исследователя Ахмеда Эль-Масри 4000 долларов.

Другая CVE-2023-0698 может быть использована удаленно через HTML-страницу для выполнения чтения за пределами памяти. Исследователь Кэссиди Ким, сообщивший об ошибке, получил награду в размере 2000 долларов за находку.

Согласно бюллетеню, в Chrome 110 также устранены пять уязвимостей средней степени серьезности: ошибка использования после освобождения в графическом процессоре, проблема ненадлежащей реализации в загрузке, дефект переполнения буфера кучи в веб-интерфейсе и две баги с путаницей типов в передаче данных и инструментах разработчика.

Полный перечень всех изменений доступен в журнале. Google не упоминает об использовании каких-либо из этих уязвимостей в атаках.

Несмотря на выпущенные Siemens январские обновления для различных решении, Automation License Manager (ALM) оставалась уязвимой для двух серьезных недостатков, которые могут привести к взлому ICS.

ALM предназначен для централизованного управления лицензионными ключами ПО Siemens. Большинство программных продуктов используют его по умолчанию.

В связи с чем специалисты из Otorio полагают, что уязвимости затрагивают организации, использующие продукты Siemens, в том числе архиватор Simatic PCS 7, Sicam Device Manager, WinCC, TIA Portal и инженерный инструмент DIGSI.

Первый недостаток отслеживается как CVE-2022-43513 и может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, переименовывать и перемещать файлы лицензий от имени системного пользователя.

Другая проблема (CVE-2022-43514) позволяет удаленному злоумышленнику, также не прошедшему проверку подлинности, выполнять операции с файлами за пределами указанной корневой папки.

При это цепочка из двух уязвимостей может привести к RCE.

Со слов специалистов Otorio, злоумышленник, получивший доступ к сети операционных технологий (OT) целевой организации, даже с ограниченными разрешениями, может использовать уязвимости, чтобы полностью скомпрометировать всю сеть.

Например, PCS 7 Historian, который используется в качестве репозитория данных в промышленных процессах, может использоваться злоумышленником в качестве моста для перемещения из корпоративной сети и проникновения в сеть OT.

Как только злоумышленник взломает сервер Historian, он потенциально может получить доступ к инженерным системам, системам управления и мониторинга.

Также атака возможна посредством любой скомпрометированной станции с минимальными привилегиями, например тонкого клиента, имеющего доступ к одному из серверов Siemens.

Производитель выпустил патч для устранения критических уязвимостей в ALM 6, а для предыдущей версии разработчик предоставил лишь обходные пути и меры по смягчению последствий. Такая вот забота о клиентах.

͏Вслед за Microsoft DTAC новым универсальным набором TTPs, указывающим на принадлежность атакующих к APT России, Китая, Ирана или КНДР, о котором мы недавно писали, оперативно воспользовались чиновники из Великобритании.

Не просто чиновник, а целый член парламента, Стюарт Макдональд, рассказал об инциденте с фишингом, в результате которого была взломана его личная электронная почта.

Как он сам признается, попытки взломать парламентский аккаунт продолжаются и не увенчались успехом, а с личной почтой пришлось попрощаться.

В беседе с журналистами BBC Макдональд сообщил, что получил сообщение в январе 2023 года, которое пришло с реального адреса электронной почты одного из его сотрудников, которая спустя несколько дней была заблокирована из-за подозрительной активности. 

Щелкнув по документу, член парламента был перенаправлен на фишинговую страницу входа, которой надлежащим образом и воспользовался.

Связавшись с Национальным центром кибербезопасности (NCSC) по поводу инцидента, Макдональд сразу раскрыл преступление и пришел к выводу о причастности к нему российских хакеров.

Оперативно отработать кейс ему помог опубликованный NCSC в январе 2023 года бюллетень с указанием TTPs связанных с Россией и Ираном АРТ, которых обвиняли практически во всех фишинговых атаках на британских пользователей.

Налицо и все признаки оказались: 1 - хакеры атаковали цель через Интернет, 2 - в ходе фишинговой атаки они использовали один или несколько подставных ящиков на Outlook и Gmail, 3 - у хакерской атаки были негативные последствия.

Следуя логике документа, если хотя бы один из этих признаков присутствует, то можно с уверенностью говорить, что атакующие работают на правительство одной из указанных стран (а может быть и на все сразу!)

Уровень читерства в Dota 2 дорос до нового уровня, причем кто больше виноват разработчики игры или сервис Steam вопрос философский.

Хакерской смекалки нет предела и очевидно, что злоумышленники фанаты игры.

Собственно, в чем суть: злоумышленники разместили вредоносные моды для Dota в магазине Steam, при использовании которых происходит установка бэкдора на компьютеры геймеров.

Проблему обнаружили исследователи Avast Threat Labs и установили что малварь скрывается под именами Overdog no annoying heroes (id 2776998052), Custom Hero Brawl (id 2780728794) и Overthrow RTZ Edition X10 XP (id 2780559339).

Смекалистый хакер также включил новый файл с именем evil.lua, который использовался для проверки возможностей выполнения Lua на стороне сервера. Этот вредоносный код может использоваться для ведения журнала, выполнения произвольных системных команд, создания сопрограмм и отправки HTTP-запросов GET.

Если в первом моде достаточно легко обнаружить бэкдор, то в трех новых читах выявить двадцать строк вредоносного кода, было гораздо сложнее.

Установленный бэкдор позволял злоумышленнику выполнять команды на зараженных устройствах и использовать иное вредоносное ПО.

В ряде случаев малварь использовалась для загрузки широко используемого эксплойта для Chrome CVE-2021-38003 - серьезной баге в движке Google V8 JavaScript и WebAssembly, которая в свое время использовалась в атаках как 0day и была исправлена в октябре 2021 года.

Avast сообщил о своих выводах разработчику игры, который уже обновил уязвимую версию V8 12 января 2023 года.

До этого Dota 2 вообще использовала версию v8.dll, скомпилированную в декабре 2018 года.

͏Лучшие инфосек-практики на канале Secator

͏Reddit сообщает о кибератаке, которая состоялась в воскресенье вечером и привела к взлому корпоративных систем и краже исходного кода.

Провернуть дело хакерам помог старый добрый фишинг, на который попались некоторые сотрудники Reddit.

В ходе атаки эмулировалась корпоративная страница авторизации, с помощью которой злоумышленники получили от нерадивых сотрудников учетные данные и токены двухфакторной аутентификации.

После чего злоумышленник смог проникнуть во внутреннюю сеть Reddit, получить доступ к информационным панелям и бизнес-системам, а также впоследствии успешно эксфильтровать данные и исходный код.

Предварительное расследование не подтверждает признаков взлома основных рабочих стеков Reddit и баз данных.

В числе скомпрометированных данных значится пока ограниченная контактная информация компании, а также сведения в отношении действующих и бывших сотрудников.

Также, вероятно, украдены сведения о рекламодателях, но более конкретная финансовая информация, статистика рекламных кампаний не пострадали.

Reddit сообщает, что они узнали о взломе от сотрудника, которого подломили хакеры.

Другие обстоятельства инцидента компания не разглашает, лишь указывая на аналогичную недавнюю атаку в отношении Riot Games.

Резюмируя, не можем не согласиться с vx-undeground относительно того, что инциденты с Reddit, Riot Games, Microsoft, Rockstar Games, NVIDIA, Okta, Uber, Ubisoft и Samsung отражают парадигму современного инфосека, в целом, как-то так 👇

Критическая инфраструктура может оказаться под угрозой из-за новых уязвимостей в беспроводных устройствах IIoT.

В рамах широкого исследования в решениях ведущих поставщиков исследователями израильской Otorio был обнаружен набор из 38 уязвимостей, которые могут стать серьезной поверхностью для атак, нацеленных на среды операционных технологий OT.

Злоумышленники, не прошедшие проверку подлинности, могут использовать уязвимости в беспроводных устройствах IIoT для обхода защиты и получения первоначального доступа к внутренним сетям OT, подвергая серьезному риску критическую инфраструктуру или производство.

Некоторые из выявленных недостатков могут быть объединены в цепочку, которая обеспечит внешнему актору прямой доступ к тысячам внутренних сетей OT через Интернет.

Три уязвимости (CVE-2022-3703, CVE-2022-41607 и CVE-2022-40981) затрагивают сервер удаленного доступа (RAS) ETIC Telecom и могут быть использованы для полного перехвата контроля над уязвимыми устройствами.

Пять других уязвимостей касаются InHand Networks InRouter 302 и InRouter 615, эксплуатация которых может привести к внедрению команд, раскрытию информации и RCE.

Они затрагивают облачную платформу «диспетчер устройств», которая позволяет операторам выполнять удаленные действия (изменение конфигурации и обновление прошивки).

Вмешательство приведет к компрометации каждого управляемого облаком устройства InRouter с привилегиями root.

Две уязвимости выявлены в маршрутизаторе Sierra Wireless AirLink Router (CVE-2022-46649 и CVE-2022-46650).

Баги могут привести к потере конфиденциальной информации и RCE. Остальные недостатки - на стадии раскрытия.

Полученные исследователями результаты показывают, что сети OT могут быть подвержены серьезному риску, если открыть устройства IIoT в Интернет, фактически создав единую точку отказа, которая позволит обойти все средства защиты.

Кроме того, локальные злоумышленники, нацелившись на локальные каналы Wi-Fi или сотовые каналы, могут реализовать сценарии «противник посередине» AitM с неблагоприятным потенциальным воздействием.

Атаки могут варьироваться от нацеливания на слабые схемы шифрования до атак сосуществования, направленных на комбинированные чипы, широко используемые в электронных устройствах.

По мнению Otorio, для их осуществления злоумышленники могут использовать такие платформы, как WiGLE, которая представляет собой базу данных различных беспроводных точек доступа по всему миру, что отлично пригодится для выявления ценных промышленных сред, их местонахождения и эксплуатации точек доступа в непосредственной близости.

В качестве контрмер рекомендуется отключать небезопасные схемы шифрования, скрывать имена сетей Wi-Fi, отключать неиспользуемые облачные службы управления и принимать меры для предотвращения публичного доступа к устройствам.

И снова Google латает дыры от 40 уязвимостей в своей флагманской ОС.

Первая часть обновлений устраняет в общей сложности 17 ошибок безопасности высокой степени серьезности, влияющих на компоненты Framework, Media Framework и System.

Наиболее критичной из проблем является уязвимость в компоненте Framework, которая может привести к локальному повышению привилегий.

Хотя большинство недостатков, могли привести к эскалации привилегий, также были устранены некоторые ошибки, связанные с раскрытием информации и отказом в обслуживании (DoS).

Вторая часть исправлений устраняет 23 дефекта безопасности в компонентах Kernel, MediaTek, Unisoc, Qualcomm и Qualcomm с закрытым исходным кодом.

Также Google объявила об исправлении трех уязвимостей в устройствах Pixel и о выпуске одного исправления в рамках обновления Android Automotive OS (AAOS) в этом месяце в дополнение к исправлениям, описанным в бюллетене по безопасности Android за февраль 2023 года.

Традиционно, Google за месяц до публикации уведомил производителей об исправленных проблемах, а также выпустил исправления исходного кода для репозитория Android Open Source Project (AOSP).

Если фанаты Pixel уже могут самостоятельно получить последние исправления безопасности, то пользователям других устройств придется подождать, пока производители их мобильных устройств выпустят необходимые обновления.

OpenSSL обзавелся обновленной версией с исправлением уязвимостей безопасности, в том числе серьезной ошибки в наборе инструментов шифрования с открытым исходным кодом.

Отслеживаемая как CVE-2023-0286 связана с путаницей типов, обусловленная обработкой адреса X.400 внутри X.509 GeneralName.

Ошибка может иметь серьезные последствия, поскольку ее можно использовать для принуждения программы к непреднамеренному поведению, что может привести к сбою или RCE.

Проблема была исправлена в версиях OpenSSL 3.0.8, 1.1.1t и 1.0.2zg.

В числе других в последних обновлениях устраненны следующие ошибки:

- CVE-2022-4203 (переполнение буфера),
- CVE-2022-4304 (синхронизация Oracle в расшифровке RSA),
- CVE-2022-4450 (использование после вызова PEM_read_bio_ex),
- CVE-2023-0215  (использование после освобождения после BIO_new_NDEF),
- CVE-2023-0216 (недопустимое разыменование указателя в функциях d2i_PKCS7),
- CVE-2023-0217 и CVE-2023-0401 (разыменование NULL при проверке открытого ключа DSA или данных PKCS7).

Успешная эксплуатация недостатков может привести к сбою приложения, раскрытию содержимого памяти и даже восстановлению незашифрованных сообщений, отправленных по сети, с использованием побочного канала на основе времени в атаке в стиле Блейхенбахера.

Теперь хакеры могут проворачивать фокусы с пространственно-временным континуумом в системах видеонаблюдения Dahua.

Исследователи из индийской компании Redinent Innovations, занимающиеся кибербезопасностью CCTV и IoT обнаружили уязвимость, которую удаленные злоумышленники могут использовать для подделки временных меток видео, записанных камерами безопасности Dahua.

CVE-2022-30564 была обнаружена еще в прошлом году, но обнародована исследователями и поставщиком только на этой неделе. Баг может быть использован хакерами для изменения системного времени устройства, в результате отправки специально созданного пакета.

Redinent присвоил уязвимости «высокий» рейтинг серьезности, но Dahua посчитал для нее всего 5,3 балла CVSS, так как по словам китайского производителя оборудования, уязвимость затрагивает всего несколько типов используемых камер и видеомагнитофонов, включая продукты IPC, SD, NVR и XVR.

Исследователи же утверждают, что существуют тысячи открытых в Интернете камер, на которые хакеры могут нацеливаться напрямую, а также возможна эксплуатация из локальной сети. Однако Redinent отметила, что злоумышленнику необходимо знать параметры API, чтобы воспользоваться уязвимостью.

Специалисты пояснили, что злоумышленник может изменить временную метку видеопотока, что приведет к несогласованности даты и времени на записанном видео без авторизации на устройстве и окажет прямое влияние на цифровую криминалистику.

Уязвимости устройств Dahua могут стать мишенью для DDoS-ботнетов, но в случае с CVE-2022-30564 они, скорее всего, будут использоваться в целенаправленных атаках, целью которых является фальсификация улик, а не операции киберпреступников.

О проблеме было сообщено поставщику еще осенью 2022 года и Dahua выпустила исправления для каждого из затронутых устройств.