Fortra предупреждает о критической уязвимости жестко запрограммированного пароля в FileCatalyst Workflow, которая позволяет получить несанкционированный доступ к внутренней базе Workflow HyperSQL (HSQLDB), выкрасть данные и получить привилегии администратора.
Кроме того, учетные данные базы данных могут быть использованы для создания новых пользователей-администраторов, открывая доступ на уровне администратора к приложению FileCatalyst Workflow и по факту полный контроль над системой.
Проблема отслеживается как CVE-2024-6633 (CVSS v3.1: 9.8) и затрагивает FileCatalyst Workflow 5.1.6 Build 139 и более ранние выпуски.
Пользователям рекомендуется обновиться до версии 5.1.7 или более поздней.
Fortra отметила в своем бюллетене, что HSQLDB включен только для реализации процесса установки и не предназначен для производственного использования, рекомендуя пользователям настроить альтернативные решения после установки.
Однако пользователи, которые не настроили FileCatalyst Workflow для использования альтернативной базы данных в соответствии с рекомендациями, уязвимы для атак из любого источника, который может достичь HSQLDB.
Методов смягчения или обходных путей не существует, поэтому системным администраторам рекомендуется как можно скорее применить доступные обновления безопасности.
CVE-2024-6633 была обнаружена исследователями Tenable 1 июля 2024 года, когда был найден один и тот же статический пароль GOSENSGO613 во всех развертываниях FileCatalyst Workflow.
Tenable пояснила, что внутренний рабочий процесс HSQLDB доступен удаленно через порт TCP 4406 при настройках продукта по умолчанию, что свидетельствует о критичности уязвимости.
Следует отметить, что конечные пользователи не могут изменить этот пароль обычными способами, поэтому единственным решением является обновление до версии 5.1.7 или более поздней.
Высокий уровень доступа, простота эксплуатации и потенциально значимая эффективность для киберпреступников, использующих CVE-2024-6633, делают эту уязвимость чрезвычайно опасной для пользователей FileCatalyst Workflow.
Ведь как известно, решения Fortra традиционно находятся под прицелом злоумышленников, поскольку критические проблемы в них могут привести к массовым взломам одновременно нескольких важных корпоративных сетей.
Что, по всей видимости, и произойдет в ближайшее время, но будем посмотреть.
Кроме того, учетные данные базы данных могут быть использованы для создания новых пользователей-администраторов, открывая доступ на уровне администратора к приложению FileCatalyst Workflow и по факту полный контроль над системой.
Проблема отслеживается как CVE-2024-6633 (CVSS v3.1: 9.8) и затрагивает FileCatalyst Workflow 5.1.6 Build 139 и более ранние выпуски.
Пользователям рекомендуется обновиться до версии 5.1.7 или более поздней.
Fortra отметила в своем бюллетене, что HSQLDB включен только для реализации процесса установки и не предназначен для производственного использования, рекомендуя пользователям настроить альтернативные решения после установки.
Однако пользователи, которые не настроили FileCatalyst Workflow для использования альтернативной базы данных в соответствии с рекомендациями, уязвимы для атак из любого источника, который может достичь HSQLDB.
Методов смягчения или обходных путей не существует, поэтому системным администраторам рекомендуется как можно скорее применить доступные обновления безопасности.
CVE-2024-6633 была обнаружена исследователями Tenable 1 июля 2024 года, когда был найден один и тот же статический пароль GOSENSGO613 во всех развертываниях FileCatalyst Workflow.
Tenable пояснила, что внутренний рабочий процесс HSQLDB доступен удаленно через порт TCP 4406 при настройках продукта по умолчанию, что свидетельствует о критичности уязвимости.
Следует отметить, что конечные пользователи не могут изменить этот пароль обычными способами, поэтому единственным решением является обновление до версии 5.1.7 или более поздней.
Высокий уровень доступа, простота эксплуатации и потенциально значимая эффективность для киберпреступников, использующих CVE-2024-6633, делают эту уязвимость чрезвычайно опасной для пользователей FileCatalyst Workflow.
Ведь как известно, решения Fortra традиционно находятся под прицелом злоумышленников, поскольку критические проблемы в них могут привести к массовым взломам одновременно нескольких важных корпоративных сетей.
Что, по всей видимости, и произойдет в ближайшее время, но будем посмотреть.
Tenable®
Fortra FileCatalyst Workflow Static HSQLDB Password
Fortra Catalyst Workflow contains a static HSQLDB password that can be used by a remote attacker to access the service with administrative access.A vendor KB article at <https://support.fortra.com/filecatalyst/kb-articles/how-to-access-the-internal-filecatalyst…
Вкратце по другим уязвимостям картина следующая.
Критическая уязвимость CVE-2024-6386 (CVSS: 9,9) в плагине WPML делает сайты WordPress уязвимыми, затрагивая все версии плагина до 4.6.13, выпущенной 20 августа 2024 года.
WPML - популярный плагин, используемый для создания многоязычных сайтов WordPress c миллионом активных установок.
Обнаруживший уязвимость исследователь Stealthcopter отмечает, что проблема заключается в обработке плагином коротких кодов, которые используются для вставки контента постов: аудио, изображения и видео.
Проблема, возникающая из-за отсутствия проверки и очистки входных данных, позволяет аутентифицированным злоумышленникам с доступом уровня Contributor и выше выполнять код на сервере.
Исследователи нашли способ дампа корневого ключа обеспечения (или Fuse Key0) для Intel SGX.
Метод работает только на некоторых сериях процессоров, поддержка которых уже прекращена.
Этот ключ теперь можно использовать для извлечения и расшифровки данных из защищенного режима SGX с помощью собственных ключей Intel - или для размещения данных внутри.
Проблема обусловлена ошибкой в микрокоде Intel. В частности, с невозможностью очистить внутренний буфер, содержащий все значения предохранителей, включая FK0.
Исследователь Маркус Хатчинс представил статью в отношении CVE-2024-38063 (CVSS 9,8), в которой пришел к выводу, что надежных PoC (на данный момент) нет, за исключением этого, который вызывает DoS.
Mobile Security Framework (MobSF) исправила уязвимость в мобильном продукте для пентестинга, которая может быть использована с помощью атак ZIP Slip для удаленного выполнения кода на сервере MobSF.
Ошибка получила оценку CVSS 9,8 и проста в эксплуатации.
RedTeam Pentensting опубликовала отчет по CVE-2024-43425 - уязвимости удаленного выполнения кода, которая была исправлена в системе управления доступом Moodle.
Стал доступен PoC для CVE-2024-38856, RCE до аутентификации в Apache OFBiz, исправленный в начале этого месяца.
Ошибка добавлена в базу активно эксплуатируемых ошибок CISA KEV.
Microsoft исправила возможность атаки, в которой задействовались символы ASCII для кражи данных клиентов из Copilot AI.
Исследовательская группа Trend Micro раскрывает подробности CVE-2024-37079 в VMware vCenter Server, описывая основную причину этой ошибки и показывая, как ее можно использовать для RCE.
Пока не было обнаружено ни одной атаки в дикой природе, при этом эксплуатация не тривиальна.
Критическая уязвимость CVE-2024-6386 (CVSS: 9,9) в плагине WPML делает сайты WordPress уязвимыми, затрагивая все версии плагина до 4.6.13, выпущенной 20 августа 2024 года.
WPML - популярный плагин, используемый для создания многоязычных сайтов WordPress c миллионом активных установок.
Обнаруживший уязвимость исследователь Stealthcopter отмечает, что проблема заключается в обработке плагином коротких кодов, которые используются для вставки контента постов: аудио, изображения и видео.
Проблема, возникающая из-за отсутствия проверки и очистки входных данных, позволяет аутентифицированным злоумышленникам с доступом уровня Contributor и выше выполнять код на сервере.
Исследователи нашли способ дампа корневого ключа обеспечения (или Fuse Key0) для Intel SGX.
Метод работает только на некоторых сериях процессоров, поддержка которых уже прекращена.
Этот ключ теперь можно использовать для извлечения и расшифровки данных из защищенного режима SGX с помощью собственных ключей Intel - или для размещения данных внутри.
Проблема обусловлена ошибкой в микрокоде Intel. В частности, с невозможностью очистить внутренний буфер, содержащий все значения предохранителей, включая FK0.
Исследователь Маркус Хатчинс представил статью в отношении CVE-2024-38063 (CVSS 9,8), в которой пришел к выводу, что надежных PoC (на данный момент) нет, за исключением этого, который вызывает DoS.
Mobile Security Framework (MobSF) исправила уязвимость в мобильном продукте для пентестинга, которая может быть использована с помощью атак ZIP Slip для удаленного выполнения кода на сервере MobSF.
Ошибка получила оценку CVSS 9,8 и проста в эксплуатации.
RedTeam Pentensting опубликовала отчет по CVE-2024-43425 - уязвимости удаленного выполнения кода, которая была исправлена в системе управления доступом Moodle.
Стал доступен PoC для CVE-2024-38856, RCE до аутентификации в Apache OFBiz, исправленный в начале этого месяца.
Ошибка добавлена в базу активно эксплуатируемых ошибок CISA KEV.
Microsoft исправила возможность атаки, в которой задействовались символы ASCII для кражи данных клиентов из Copilot AI.
Исследовательская группа Trend Micro раскрывает подробности CVE-2024-37079 в VMware vCenter Server, описывая основную причину этой ошибки и показывая, как ее можно использовать для RCE.
Пока не было обнаружено ни одной атаки в дикой природе, при этом эксплуатация не тривиальна.
Wordfence
1,000,000 WordPress Sites Protected Against Unique Remote Code Execution Vulnerability in WPML WordPress Plugin
On June 19th, 2024, we received a submission for a Remote Code Execution via Twig Server-Side Template Injection vulnerability in WPML, a WordPress plugin with more than 1,000,000 active installations. This vulnerability can be leveraged to execute code remotely…
Forwarded from Russian OSINT
Pidgin удалил плагин "ScreenShareOTR" из своего официального списка сторонних плагинов после того, как было обнаружено, что он используется для установки
Приветствую всех. С большим сожалением я пишу этот пост. Плагин ss-otr был добавлен в список сторонних плагинов 6 июля. 16 августа мы получили сообщение от 0xFFFC0000 о том, что плагин содержит кейлоггер и делится снимками экрана с нежелательными лицами.
Мы незамедлительно удалили плагин из списка и начали расследование. 22 августа Джонни Хмас смог подтвердить наличие кейлоггера.
Если вы случайно установили этот плагин, немедленно удалите его....В дальнейшем мы будем требовать, чтобы все плагины, на которые мы ссылаемся, имели лицензию OSI Approved Open Source License и чтобы был проведен определенный уровень проверки безопасности плагина для пользователей.
- сообщается в блоге Pidgin.
Несколько дней назад мессенджер Pidgin Instant Messenger опубликовал уведомление о вредоносном плагине (ScreenShareOTR), обнаруженном в списке сторонних плагинов. Компания ESETResearch исследовала эти плагины и подтверждает, что они действительно содержат вредоносный код...
- пишет Eset Research.
По данным ESET, программа установки плагина подписана действительным цифровым сертификатом, выданным INTERREX - SP. Z O.O., легитимной 🇵🇱польской компанией. Загружаемая полезная нагрузка представляет собой скрипты PowerShell, либо вредоносную программу DarkGate, которая также подписана сертификатом Interrex. На том же вредоносном сервере, который уже удален, находились дополнительные плагины под названиями OMEMO, Pidgin Paranoia, Master Password, Window Merge и HTTP File Upload.
Эти плагины почти наверняка также поставлял DarkGate, что указывает на то, что ScreenShareOTR был лишь небольшой частью более масштабной кампании.
- пишет Bleeping.
Pidgin не представил публично статистику загрузок для ss-otr, поэтому точное количество жертв неизвестно. Отныне Pidgin будет одобрять только те сторонние плагины, которые имеют лицензию OSI Approved Open Source License, позволяющую тщательно изучить их код и внутреннюю функциональность.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи Sophos в своем отчете констатируют, что вредоносный драйвер режима ядра Windows PoorTry теперь активно задействуется в атаках по нейтрализации EDR в реальных условиях, о чем предупрежадала Trend Micro еще в мае 2023.
В последнем отчете Sophos изучается июльская атака RansomHub, в ходе которой Poortry был использован для удаления критически важных исполняемых файлов (EXE), динамически подключаемых библиотек (DLL) и других важных компонентов EDR.
Вообще же, PoorTry используется сразу несколькими бандами вымогателей, включая BlackCat, Cuba и LockBit, для отключения EDR, превратившись в полнофункциональный очиститель решений безопасности.
При этом замечены также и другие преступные группы, такие как Scattered Spider, аналогичным образом оперирующие инструментом в своих атаках, нацеленных на кражу учетных данных и подмену SIM-карт.
Эта эволюция PoorTry из деактиватора EDR в очиститель представляет собой очень агрессивную смену тактики со стороны злоумышленников, которые теперь отдают приоритет более глубокой фазе настройки, чтобы обеспечить лучшие результаты на этапе шифрования.
PoorTry, также известный как BurntCigar, был разработан в 2021 году как драйвер режима ядра для отключения EDR и другого ПО безопасности.
Он впервые привлек внимание, когда его разработчики нашли способы подписывать свои вредоносные драйверы с помощью процесса подтверждения подписи Microsoft.
В течение 2022-2023 гг. Poortry продолжал развиваться, оптимизируя свой код и используя инструменты обфускации, такие как VMProtect, Themida и ASMGuard, для упаковки драйвера и загрузчика Stonestop.
В случае наблюдаемой Sophos атаки процесс начинался с компонента пользовательского режима PoorTry, который определял каталоги установки ПО безопасности и критические файлы в них.
Затем он отправлял запросы компоненту режима ядра для систематического завершения процессов, связанных с безопасностью, а затем удалял их важные файлы.
Пути к этим файлам жестко запрограммированы в PoorTry, в то время как компонент пользовательского режима поддерживает удаление как по имени файла, так и по типу, что обеспечивает ему некоторую эксплуатационную гибкость для охвата более широкого спектра EDR.
Вредоносное ПО можно настроить только на удаление файлов, имеющих решающее значение для работы EDR, избегая излишней активности на первых этапах атаки.
Sophos также отмечает, что последние варианты Poortry используют манипуляцию временными метками подписей, чтобы обойти проверки безопасности в Windows, и метаданные из другого ПО, в том числе Internet Download Manager от Tonec Inc.
Злоумышленники, как было замечено, использовали тактику, известную как certificate roullete, развертывая несколько вариантов одной и той же полезной нагрузки, подписанных разными сертификатами, чтобы увеличить свои шансы на успешное выполнение хотя бы одного из них.
Несмотря на попытки отследить эволюцию PoorTry и противодействовать его работе, разработчики инструмента продемонстрировали замечательную способность адаптации к новым мерам защиты.
Функция очистки EDR дает инструменту преимущество перед защитниками, реагирующими на атаки, но также открывает и новые возможности для обнаружения атак на этапе, предшествующем шифрованию.
В последнем отчете Sophos изучается июльская атака RansomHub, в ходе которой Poortry был использован для удаления критически важных исполняемых файлов (EXE), динамически подключаемых библиотек (DLL) и других важных компонентов EDR.
Вообще же, PoorTry используется сразу несколькими бандами вымогателей, включая BlackCat, Cuba и LockBit, для отключения EDR, превратившись в полнофункциональный очиститель решений безопасности.
При этом замечены также и другие преступные группы, такие как Scattered Spider, аналогичным образом оперирующие инструментом в своих атаках, нацеленных на кражу учетных данных и подмену SIM-карт.
Эта эволюция PoorTry из деактиватора EDR в очиститель представляет собой очень агрессивную смену тактики со стороны злоумышленников, которые теперь отдают приоритет более глубокой фазе настройки, чтобы обеспечить лучшие результаты на этапе шифрования.
PoorTry, также известный как BurntCigar, был разработан в 2021 году как драйвер режима ядра для отключения EDR и другого ПО безопасности.
Он впервые привлек внимание, когда его разработчики нашли способы подписывать свои вредоносные драйверы с помощью процесса подтверждения подписи Microsoft.
В течение 2022-2023 гг. Poortry продолжал развиваться, оптимизируя свой код и используя инструменты обфускации, такие как VMProtect, Themida и ASMGuard, для упаковки драйвера и загрузчика Stonestop.
В случае наблюдаемой Sophos атаки процесс начинался с компонента пользовательского режима PoorTry, который определял каталоги установки ПО безопасности и критические файлы в них.
Затем он отправлял запросы компоненту режима ядра для систематического завершения процессов, связанных с безопасностью, а затем удалял их важные файлы.
Пути к этим файлам жестко запрограммированы в PoorTry, в то время как компонент пользовательского режима поддерживает удаление как по имени файла, так и по типу, что обеспечивает ему некоторую эксплуатационную гибкость для охвата более широкого спектра EDR.
Вредоносное ПО можно настроить только на удаление файлов, имеющих решающее значение для работы EDR, избегая излишней активности на первых этапах атаки.
Sophos также отмечает, что последние варианты Poortry используют манипуляцию временными метками подписей, чтобы обойти проверки безопасности в Windows, и метаданные из другого ПО, в том числе Internet Download Manager от Tonec Inc.
Злоумышленники, как было замечено, использовали тактику, известную как certificate roullete, развертывая несколько вариантов одной и той же полезной нагрузки, подписанных разными сертификатами, чтобы увеличить свои шансы на успешное выполнение хотя бы одного из них.
Несмотря на попытки отследить эволюцию PoorTry и противодействовать его работе, разработчики инструмента продемонстрировали замечательную способность адаптации к новым мерам защиты.
Функция очистки EDR дает инструменту преимущество перед защитниками, реагирующими на атаки, но также открывает и новые возможности для обнаружения атак на этапе, предшествующем шифрованию.
Sophos News
Attack tool update impairs Windows computers
An EDR killer Sophos X-Ops has tracked for three years continues to bedevil organizations targeted by ransomware gangs.
BI.ZONE раскрывает новую хакерскую группу Stone Wolf, которая использует коммерческий инфостиллер Meduza для атак на российские организации.
Злоумышленники рассылают фишинговые письма от лица легитимной организации, занимающейся промышленной автоматизацией с целью доставки в корпоративные инфраструктуры Meduza.
Использование известных брендов для фишинговых рассылок - это широко распространенный ход со стороны атакующих.
Причем чем известнее и успешнее компания, тем охотнее злоумышленники используют ее айдентику, ведь это значимо повышает доверие со стороны жертвы, подталкивая открыть письмо.
Бизоны также отмечают, что атакующие продолжают расширять арсенал коммерческим ВПО, что в очередной раз подчеркивает важность регулярного мониторинга теневых ресурсов.
В рамках обнаруженной кампании Stone Wolf распространял архив с именем Dostavka_Promautomatic.zip с тремя файлами под капотом: цифровая подпись (p7s), легитимный документ-приманка (docx), и вредоносная ссылка, замаскированная под PDF-документ (Scan_127-05_24_dostavka_13.05.2024.pdf.url).
После активации вредоносной ссылки происходило обращение к находящемуся на удаленном SMB-сервере файлу для загрузки и запуска, доставляя в конечном итоге - Meduza Stealer.
Стиллер был замечен в киберпольполье в июне 2023 года по цене 199 долларов за месячную подписку (399 долларов - за три месяца) и 1199 долларов - за бессрочную лицензию.
В марте 2024 года стали доступны дополнительные возможности: приобретение загрузчика (вероятно, In2al5d P3in4er), а также выделенного сервера с выбором параметров количества ядер, оперативной памяти и места на диске.
При покупке предоставляется билдер, а также веб‑панель, в которой можно отслеживать собранные данные с устройств жертв.
В исполняемый файл, по заверениям разработчиков, встроен модуль, ограничивающий возможность реализации атак на территории СНГ. В исследуемом образце такая проверка отсутствует.
Стилер собирает системную информацию: версию ОС, имя устройства, время, информацию о процессоре, оперативной памяти и графическом адаптере, разрешении экрана и внешнем IP устройства через обращение к https://api.ipify[.]org.
Кроме того, обладает функционалом для кражи учетных данных из Outlook, браузеров, криптокошельков, сессии Telegram и Steam, токенов Discord, менеджеров паролей, данных из Windows Credential Manager и Windows Vault, а также считывания список активных процессов и установленных приложений.
Собранные данные отправляются на управляющий сервер по протоколу TCP. Если ВПО не может подключиться к С2, работа программы завершается.
Подробности атак, IOCs и MITRE ATT&CK - в отчете.
Злоумышленники рассылают фишинговые письма от лица легитимной организации, занимающейся промышленной автоматизацией с целью доставки в корпоративные инфраструктуры Meduza.
Использование известных брендов для фишинговых рассылок - это широко распространенный ход со стороны атакующих.
Причем чем известнее и успешнее компания, тем охотнее злоумышленники используют ее айдентику, ведь это значимо повышает доверие со стороны жертвы, подталкивая открыть письмо.
Бизоны также отмечают, что атакующие продолжают расширять арсенал коммерческим ВПО, что в очередной раз подчеркивает важность регулярного мониторинга теневых ресурсов.
В рамках обнаруженной кампании Stone Wolf распространял архив с именем Dostavka_Promautomatic.zip с тремя файлами под капотом: цифровая подпись (p7s), легитимный документ-приманка (docx), и вредоносная ссылка, замаскированная под PDF-документ (Scan_127-05_24_dostavka_13.05.2024.pdf.url).
После активации вредоносной ссылки происходило обращение к находящемуся на удаленном SMB-сервере файлу для загрузки и запуска, доставляя в конечном итоге - Meduza Stealer.
Стиллер был замечен в киберпольполье в июне 2023 года по цене 199 долларов за месячную подписку (399 долларов - за три месяца) и 1199 долларов - за бессрочную лицензию.
В марте 2024 года стали доступны дополнительные возможности: приобретение загрузчика (вероятно, In2al5d P3in4er), а также выделенного сервера с выбором параметров количества ядер, оперативной памяти и места на диске.
При покупке предоставляется билдер, а также веб‑панель, в которой можно отслеживать собранные данные с устройств жертв.
В исполняемый файл, по заверениям разработчиков, встроен модуль, ограничивающий возможность реализации атак на территории СНГ. В исследуемом образце такая проверка отсутствует.
Стилер собирает системную информацию: версию ОС, имя устройства, время, информацию о процессоре, оперативной памяти и графическом адаптере, разрешении экрана и внешнем IP устройства через обращение к https://api.ipify[.]org.
Кроме того, обладает функционалом для кражи учетных данных из Outlook, браузеров, криптокошельков, сессии Telegram и Steam, токенов Discord, менеджеров паролей, данных из Windows Credential Manager и Windows Vault, а также считывания список активных процессов и установленных приложений.
Собранные данные отправляются на управляющий сервер по протоколу TCP. Если ВПО не может подключиться к С2, работа программы завершается.
Подробности атак, IOCs и MITRE ATT&CK - в отчете.
BI.ZONE
Stone Wolf атакует российские компании стилером Meduza
Киберпреступники из нового кластера активности охотятся за учетными и системными данными, используя для фишинга бренд легальной организации
Forwarded from Social Engineering
• Ни для кого не секрет, что каждый профессионал в области информационной безопасности обязан знать Linux! В этом посте я собрал достаточное кол-во бесплатного материала для изучения, который будет полезен не только новичкам, но и опытным специалистам.
• Начнем с того, что эта публикация составлена благодаря новой дорожной карте для изучения linux, которая опубликована в roadmap.sh, обязательно добавляйте в закладки и берите на вооружение. Все этапы кликабельны и описаны в достаточной мере: https://roadmap.sh/linux
• Идем дальше! Курс "Введение в Linux", онлайн-книга «Эффективная консоль» и очень крутая серия статей на хабре "Кунг-фу стиля Linux". Благодаря этим источникам Вы познакомитесь с операционной системой Linux и её базовыми возможностями. А еще есть вот такой материал на хабре: "справочник по «всем-всем» командам Linux" - тут собраны 1110 команд на все случаи жизни. Пригодится и опытным специалистам, и новичкам.
• На очереди два очень полезных и объемных курса по администрированию Linux: первый плейлист содержит в себе 84 урока (на данный момент) и постоянно обновляется, а второй плейлист от VK Team, тут Вы найдете 20 часов лекций по администрированию интернет-сервисов, обеспечению их отказоустойчивости, производительности и безопасности, а также особенности устройства ОС Linux, наиболее широко применяемой в подобных проектах. Рекомендую к изучению после изучения материала выше.
• Еще один курс: основы GNU/Linux и подготовка к RHCSA. Более 800 страниц полезной информации по изучению операционных систем семейства Linux и подготовки к экзамену для сертификации системного администратора по RedHat.
• Далее идет небольшое руководство, которое подсвечивает некоторые слабые места Linux. Основной упор сделан на повышении привилегий и закреплению в системе, а в качестве примера мы будем использовать несколько уязвимых виртуальных машин. Приступайте к изучению если изучили материал выше. Плюс ко всему, еще есть объемная статься с практическими советами по усилению безопасности Linux.
• Учитывайте, что все вышеперечисленные источники я отбирал только на свой взгляд и усмотрение. Данная подборка не претендует на полноту, а в сети есть еще сотни подобных ресурсов, книг и курсов.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Beckhoff Automation сообщает об исправлении уязвимостей в своей операционной системе TwinCAT/BSD для промышленных ПК, которые были найдены исследователями Nozomi Networks.
TwinCAT/BSD объединяет среду выполнения TwinCAT с операционной системой FreeBSD с открытым исходным кодом.
TwinCAT позволяет пользователям преобразовать практически любую систему на базе ПК в контроллер реального времени с возможностями полноценной ПЛК-системы.
По данным Nozomi Networks, веб-компонент управления Device Manager, поставляемый с операционной системой и обеспечивающий удаленный мониторинг и настройку устройств Beckhoff, подвержен четырем уязвимостям.
Две из них, CVE-2024-41173 и CVE-2024-41174, были отнесены к категории высокой степени серьезности и могут быть использованы для обхода аутентификации и проведения XSS-атак соответственно.
По данным Nozomi, злоумышленник с ограниченными полномочиями может использовать уязвимость CVE-2024-41173 для того, чтобы сбросить пароль администратора ПЛК без необходимости в исходном пароле.
Это позволит ему подключиться к ПЛК с административным доступом через стандартные инженерные инструменты и перепрограммировать устройство по своему усмотрению, потенциально нарушая контролируемый промышленный процесс.
Две другие уязвимости, которым присвоен уровень средней степени серьезности, позволяют локальным злоумышленникам вызывать DoS ПЛК.
Злоумышленник с ограниченными полномочиями может сделать так, что устройства перестанут отвечать на запросы (в том числе удаленно через сеть), пока не будет выполнен сброс питания.
Возможности этой уязвимости можно комбинировать с другими атаками на устройство: злоумышленник может выполнить ранее упомянутую манипуляцию программированием ПЛК, чтобы инициировать нарушение производственного процесса.
Впоследствии реализовать сценарий DoS, чтобы предотвратить доступ к устройству, блокируя любую попытку восстановить контроль.
Beckhoff выпустила исправления и меры по устранению уязвимостей, а также рекомендации по каждой уязвимости.
TwinCAT/BSD объединяет среду выполнения TwinCAT с операционной системой FreeBSD с открытым исходным кодом.
TwinCAT позволяет пользователям преобразовать практически любую систему на базе ПК в контроллер реального времени с возможностями полноценной ПЛК-системы.
По данным Nozomi Networks, веб-компонент управления Device Manager, поставляемый с операционной системой и обеспечивающий удаленный мониторинг и настройку устройств Beckhoff, подвержен четырем уязвимостям.
Две из них, CVE-2024-41173 и CVE-2024-41174, были отнесены к категории высокой степени серьезности и могут быть использованы для обхода аутентификации и проведения XSS-атак соответственно.
По данным Nozomi, злоумышленник с ограниченными полномочиями может использовать уязвимость CVE-2024-41173 для того, чтобы сбросить пароль администратора ПЛК без необходимости в исходном пароле.
Это позволит ему подключиться к ПЛК с административным доступом через стандартные инженерные инструменты и перепрограммировать устройство по своему усмотрению, потенциально нарушая контролируемый промышленный процесс.
Две другие уязвимости, которым присвоен уровень средней степени серьезности, позволяют локальным злоумышленникам вызывать DoS ПЛК.
Злоумышленник с ограниченными полномочиями может сделать так, что устройства перестанут отвечать на запросы (в том числе удаленно через сеть), пока не будет выполнен сброс питания.
Возможности этой уязвимости можно комбинировать с другими атаками на устройство: злоумышленник может выполнить ранее упомянутую манипуляцию программированием ПЛК, чтобы инициировать нарушение производственного процесса.
Впоследствии реализовать сценарий DoS, чтобы предотвратить доступ к устройству, блокируя любую попытку восстановить контроль.
Beckhoff выпустила исправления и меры по устранению уязвимостей, а также рекомендации по каждой уязвимости.
Nozominetworks
Four Vulnerabilities in Beckhoff TwinCAT/BSD Could Allow PLC Logic Tampering, DoS
Four vulnerabilities in Beckhoff Automation’s TwinCAT/BSD operating system could leave PLCs vulnerable to logic tampering or DoS attacks, impacting the supervised industrial process.
Используете IP-камеры AVTECH - ошибка, не слышали про вредоносный IoT-ботнет Corona - фатальная ошибка.
Исследователи Akamai сообщают о начавшейся с декабря 2023 активной эксплуатации IoT-ботнетами нуля в камерах видеонаблюдения AVTECH, который позволяет захватывать устройства и запускать DDoS-атаки.
0-day связан с внедрением команд (CVE-2024-7029, оценка CVSS v4: 8,7) в функции, которая предназначена для удаленной регулировки яркости камеры AVTECH.
Уязвимость позволяет неавторизованным злоумышленникам вводить команды по сети с помощью специально созданных запросов.
Она затрагивает все IP-камеры AVTECH AVM1203, работающие на версиях прошивки до Fullmg-1023-1007-1011-1009.
Поскольку затронутые модели больше не поддерживаются тайваньским поставщиком уже с 2019 года, исправлений для устранения уязвимости CVE-2024-7029 нет, и их выпуск не ожидается.
При этом PoC для данной уязвимости был доступен по крайней мере с февраля 2019 года, но CVE был присвоен только в этом месяце, ведь ранее активных эксплуатаций не наблюдалось.
В свою очередь, ботнет Corona, вариант Mirai, теперь реализует распространение через RCE-уязвимость нулевого дня пятилетней давности в IP-камерах, которые которые все еще находятся в эксплуатации, несмотря на EoL.
Первая активная кампания началась 18 марта 2024 года, но анализ показал возможную активность, начавшуюся еще в декабре 2023 года.
Атаки Corona задействуют уязвимость CVE-2024-7029 для загрузки и выполнения файла JavaScript, который, в свою очередь, доставляет основную полезную нагрузку ботнета на устройство.
После внедрения на устройство вредоносная ПО подключается к своим C2 и ожидает инструкций по выполнению распределенных атак типа DDoS.
Среди других уязвимостей, на которые нацеливается Corona:
- CVE-2017-17215: уязвимость в маршрутизаторах Huawei, которая позволяет удаленным злоумышленникам выполнять произвольные команды на уязвимых устройствах посредством эксплуатации ненадлежащей проверки в службе UPnP.
- CVE-2014-8361: RCE в Realtek SDK, которая распространена в маршрутизаторах. Эксплуатация возможна через службу HTTP.
- Hadoop YARN RCE: уязвимости в системе управления ресурсами Hadoop YARN (Yet Another Resource Negotiator), которые могут быть использованы для удаленного выполнения кода в кластерах Hadoop.
Akamai уведомила AVTECH о нуле и замеченных атаках в начале этого года, но разработчик не отреагировал и не выпустил исправления.
Пользователям IP-камер AVTECH AVM1203 рекомендуется немедленно отключить их и заменить более новыми и активно поддерживаемыми моделями.
Исследователи Akamai сообщают о начавшейся с декабря 2023 активной эксплуатации IoT-ботнетами нуля в камерах видеонаблюдения AVTECH, который позволяет захватывать устройства и запускать DDoS-атаки.
0-day связан с внедрением команд (CVE-2024-7029, оценка CVSS v4: 8,7) в функции, которая предназначена для удаленной регулировки яркости камеры AVTECH.
Уязвимость позволяет неавторизованным злоумышленникам вводить команды по сети с помощью специально созданных запросов.
Она затрагивает все IP-камеры AVTECH AVM1203, работающие на версиях прошивки до Fullmg-1023-1007-1011-1009.
Поскольку затронутые модели больше не поддерживаются тайваньским поставщиком уже с 2019 года, исправлений для устранения уязвимости CVE-2024-7029 нет, и их выпуск не ожидается.
При этом PoC для данной уязвимости был доступен по крайней мере с февраля 2019 года, но CVE был присвоен только в этом месяце, ведь ранее активных эксплуатаций не наблюдалось.
В свою очередь, ботнет Corona, вариант Mirai, теперь реализует распространение через RCE-уязвимость нулевого дня пятилетней давности в IP-камерах, которые которые все еще находятся в эксплуатации, несмотря на EoL.
Первая активная кампания началась 18 марта 2024 года, но анализ показал возможную активность, начавшуюся еще в декабре 2023 года.
Атаки Corona задействуют уязвимость CVE-2024-7029 для загрузки и выполнения файла JavaScript, который, в свою очередь, доставляет основную полезную нагрузку ботнета на устройство.
После внедрения на устройство вредоносная ПО подключается к своим C2 и ожидает инструкций по выполнению распределенных атак типа DDoS.
Среди других уязвимостей, на которые нацеливается Corona:
- CVE-2017-17215: уязвимость в маршрутизаторах Huawei, которая позволяет удаленным злоумышленникам выполнять произвольные команды на уязвимых устройствах посредством эксплуатации ненадлежащей проверки в службе UPnP.
- CVE-2014-8361: RCE в Realtek SDK, которая распространена в маршрутизаторах. Эксплуатация возможна через службу HTTP.
- Hadoop YARN RCE: уязвимости в системе управления ресурсами Hadoop YARN (Yet Another Resource Negotiator), которые могут быть использованы для удаленного выполнения кода в кластерах Hadoop.
Akamai уведомила AVTECH о нуле и замеченных атаках в начале этого года, но разработчик не отреагировал и не выпустил исправления.
Пользователям IP-камер AVTECH AVM1203 рекомендуется немедленно отключить их и заменить более новыми и активно поддерживаемыми моделями.
Akamai
Beware the Unpatchable: Corona Mirai Botnet Spreads via Zero-Day | Akamai
The Akamai SIRT discovered a vulnerability in an AVTECH CCTV camera. Read how it is actively being exploited in the wild to spread the Corona Mirai variant.
Исследователи из ESET сообщают об обнаружении кибершпионской кампании южнокорейской APT-C-60, которая использовала 0-day в WPS Office для Windows для развертывания бэкдора SpyGlace на объекты в Восточной Азии.
WPS Office - это пакет офисных приложений, разработанный китайской фирмой Kingsoft, который широко распространен в Азии и насчитывает более 500 миллионов активных пользователей по всему миру.
Обозначенная CVE-2024-7262 использовалась в атаках по крайней мере с конца февраля 2024, но затрагивает лишь версии с 12.2.0.13110 (август 2023) по 12.1.0.16412 (март 2024).
Kingsoft без официальных уведомлений исправила проблему в марте этого года, не сообщая клиентам, что уязвимость активно эксплуатировалась, что вместо нее сделали ESET, обнаружившую как кампанию, так и уязвимость.
Помимо CVE-2024-7262 ESET отыскали и вторую серьезную уязвимость - CVE-2024-7263, которую Kingsoft исправила в конце мая 2024 года в версии 12.2.0.17119.
CVE-2024-7262 связана с тем, как ПО обрабатывает пользовательские обработчики протоколов, в частности «ksoqing://», который позволяет выполнять внешние приложения через специально созданные URL-адреса в документах.
В виду неправильной проверки и очистки этих URL-адресов уязвимость позволяет злоумышленникам создавать вредоносные гиперссылки, которые приводят к выполнению произвольного кода.
Так, APT-C-60 создавала электронные таблицы (файлы MHTML), в которые встраивала вредоносные гиперссылки, скрытые под изображением-приманкой, чтобы заставить жертву щелкнуть по ним и активировать эксплойт.
Обработанные параметры URL включают в себя закодированную в base64 команду для запуска определенного плагина (promecefpluginhost.exe), который пытается загрузить вредоносную DLL (ksojscore.dll), содержащую код злоумышленника.
Эта DLL представляет собой компонент загрузчика APT-C-60, предназначенный для извлечения конечной полезной нагрузки (TaskControler.dll) с сервера злоумышленника, специального бэкдора под названием SpyGlace.
В ходе расследования атак APT-C-60 была установлена вторая упоминавшаяся уязвимость WPS Office, которая явилась следствием недостаточно эффективного исправления CVE-2024-7262.
Первоначальное решение проблемы включало добавление проверки определенных параметров, часть из которых, например, CefPluginPathU8, все еще не были достаточно защищены, что позволило снова указать пути вредоносных DLL через promecefpluginhost.exe.
ESET поясняет, что данную уязвимость можно эксплуатировать локально или через сетевой ресурс с вредоносной DLL, но в реальных условиях эксплуатации не наблюдали.
Полный перечень IoC, связанных с активностью APT-C-60, - в репозитории на GitHub.
WPS Office - это пакет офисных приложений, разработанный китайской фирмой Kingsoft, который широко распространен в Азии и насчитывает более 500 миллионов активных пользователей по всему миру.
Обозначенная CVE-2024-7262 использовалась в атаках по крайней мере с конца февраля 2024, но затрагивает лишь версии с 12.2.0.13110 (август 2023) по 12.1.0.16412 (март 2024).
Kingsoft без официальных уведомлений исправила проблему в марте этого года, не сообщая клиентам, что уязвимость активно эксплуатировалась, что вместо нее сделали ESET, обнаружившую как кампанию, так и уязвимость.
Помимо CVE-2024-7262 ESET отыскали и вторую серьезную уязвимость - CVE-2024-7263, которую Kingsoft исправила в конце мая 2024 года в версии 12.2.0.17119.
CVE-2024-7262 связана с тем, как ПО обрабатывает пользовательские обработчики протоколов, в частности «ksoqing://», который позволяет выполнять внешние приложения через специально созданные URL-адреса в документах.
В виду неправильной проверки и очистки этих URL-адресов уязвимость позволяет злоумышленникам создавать вредоносные гиперссылки, которые приводят к выполнению произвольного кода.
Так, APT-C-60 создавала электронные таблицы (файлы MHTML), в которые встраивала вредоносные гиперссылки, скрытые под изображением-приманкой, чтобы заставить жертву щелкнуть по ним и активировать эксплойт.
Обработанные параметры URL включают в себя закодированную в base64 команду для запуска определенного плагина (promecefpluginhost.exe), который пытается загрузить вредоносную DLL (ksojscore.dll), содержащую код злоумышленника.
Эта DLL представляет собой компонент загрузчика APT-C-60, предназначенный для извлечения конечной полезной нагрузки (TaskControler.dll) с сервера злоумышленника, специального бэкдора под названием SpyGlace.
В ходе расследования атак APT-C-60 была установлена вторая упоминавшаяся уязвимость WPS Office, которая явилась следствием недостаточно эффективного исправления CVE-2024-7262.
Первоначальное решение проблемы включало добавление проверки определенных параметров, часть из которых, например, CefPluginPathU8, все еще не были достаточно защищены, что позволило снова указать пути вредоносных DLL через promecefpluginhost.exe.
ESET поясняет, что данную уязвимость можно эксплуатировать локально или через сетевой ресурс с вредоносной DLL, но в реальных условиях эксплуатации не наблюдали.
Полный перечень IoC, связанных с активностью APT-C-60, - в репозитории на GitHub.
Welivesecurity
Analysis of two arbitrary code execution vulnerabilities affecting WPS Office
ESET research uncovers a vulnerability in WPS Office for Windows (CVE-2024-7262), as it was being exploited by South Korea-aligned cyberespionage group APT-C-60 to target East Asian countries. Analysis of the vendor’s silently released patch led to the discovery…
Исследователи Ян Кэрролл и Сэм Карри обнаружили SQL-уязвимость в FlyCASS, веб-сервисе, который авиакомпании используют для управления программой Known Crewmember (KCM) и системой безопасности доступа в кабину (CASS).
Уязвимость в ключевой системе безопасности воздушного транспорта фактически позволяла неавторизованным злоумышленникам потенциально обходить досмотр в аэропорту и получать доступ к кабинам самолетов.
KCM — это программа Администрации транспортной безопасности (TSA), которая позволяет пилотам и бортпроводникам обходить проверку безопасности, а CASS позволяет уполномоченным пилотам использовать откидные сиденья в кабинах.
Система KCM, которой управляет ARINC (дочерняя компания Collins Aerospace), обеспечивает проверку учетных данных сотрудников авиакомпаний через онлайн-платформу.
Процесс включает сканирование штрихкода KCM или ввод номера сотрудника, а затем перекрестную проверку с базой данных авиакомпании для предоставления доступа без необходимости прохождения проверки безопасности.
Аналогичным образом система CASS проверяет пилотов на предмет доступа к откидному сиденью в кабине, если им нужно добираться на работу или в ходе частных поездок.
Используя найденную уязвимость, исследователи смогли войти в FlyCASS в качестве администратора участвующей авиакомпании Air Transport International и манипулировать данными сотрудников в системе.
В рамках исследования был добавлен фиктивный сотрудник Test TestOnly с предоставлением ему доступа к KCM и CASS, что фактически позволило обойти проверку безопасности и получить доступ в кабины коммерческих авиалайнеров.
Исследователи немедленно приступили к раскрытию информации, связавшись с Министерством внутренней безопасности (DHS) 23 апреля 2024 года, минуя прямой контакт с FlyCASS.
DHS признала серьезность уязвимости, отключив FlyCASS от системы KCM/CASS 7 мая 2024 года в качестве меры предосторожности. Вскоре после этого уязвимость была исправлена.
После чего DHS прекратила контакты с исследователями и попытки дальнейшей координации безопасного раскрытия провалились. Не задался и диалог с TSA.
Уязвимость в ключевой системе безопасности воздушного транспорта фактически позволяла неавторизованным злоумышленникам потенциально обходить досмотр в аэропорту и получать доступ к кабинам самолетов.
KCM — это программа Администрации транспортной безопасности (TSA), которая позволяет пилотам и бортпроводникам обходить проверку безопасности, а CASS позволяет уполномоченным пилотам использовать откидные сиденья в кабинах.
Система KCM, которой управляет ARINC (дочерняя компания Collins Aerospace), обеспечивает проверку учетных данных сотрудников авиакомпаний через онлайн-платформу.
Процесс включает сканирование штрихкода KCM или ввод номера сотрудника, а затем перекрестную проверку с базой данных авиакомпании для предоставления доступа без необходимости прохождения проверки безопасности.
Аналогичным образом система CASS проверяет пилотов на предмет доступа к откидному сиденью в кабине, если им нужно добираться на работу или в ходе частных поездок.
Используя найденную уязвимость, исследователи смогли войти в FlyCASS в качестве администратора участвующей авиакомпании Air Transport International и манипулировать данными сотрудников в системе.
В рамках исследования был добавлен фиктивный сотрудник Test TestOnly с предоставлением ему доступа к KCM и CASS, что фактически позволило обойти проверку безопасности и получить доступ в кабины коммерческих авиалайнеров.
Исследователи немедленно приступили к раскрытию информации, связавшись с Министерством внутренней безопасности (DHS) 23 апреля 2024 года, минуя прямой контакт с FlyCASS.
DHS признала серьезность уязвимости, отключив FlyCASS от системы KCM/CASS 7 мая 2024 года в качестве меры предосторожности. Вскоре после этого уязвимость была исправлена.
После чего DHS прекратила контакты с исследователями и попытки дальнейшей координации безопасного раскрытия провалились. Не задался и диалог с TSA.
Bypassing airport security via SQL injection
We discovered a serious vulnerability in the Known Crewmember (KCM) and Cockpit Access Security System (CASS) programs used by the Transportation Security Administration.
В новом отчете исследователи Proofpoint раскрывают вредоносную кампанию по распространению ранее не документированного бэкдора Voldemort среди организаций по всему миру, действуя под видом налоговых органов США, Европы и Азии.
Кампания активна как минимум с 5 августа 2024 года и насчитывает более 20 000 писем в более чем 70 целевых организаций, а на пике активности число таких писем достигало 6 000 за день.
Более половины всех целевых организаций относятся к страховому, аэрокосмическому, транспортному и образовательному секторам. Как полагают в Proofpoint, наиболее вероятной целью является кибершпионаж.
В рассылаемых письмах утверждается, что имеется обновленная налоговая информация и содержатся ссылки на соответствующие документы.
При нажатии на нее получатели переходят на целевую страницу, размещенную на InfinityFree, которая использует URL-адреса кэша Google AMP для перенаправления жертвы на страницу с кнопкой «нажмите, чтобы просмотреть документ».
При нажатии кнопки страница проверит User Agent браузера и, если он для Windows, перенаправит цель на search-ms URI (протокол поиска Windows), который указывает на туннелируемый TryCloudflare URI.
Пользователи, не являющиеся пользователями Windows, перенаправляются на пустой URL-адрес Google Drive, который не содержит вредоносного контента.
В случае взаимодействия с файлом search-ms, проводник Windows отображает файл LNK или ZIP, замаскированный под PDF.
Такой прием в последнее время стал популярным в фишинге, поскольку файл размещен на внешнем ресурсе WebDAV/SMB, но создает впечатление, что находится локально в папке «Загрузки», чтобы обманом заставить жертву открыть его.
При этом выполняется скрипт Python из другого общего ресурса WebDAV без его загрузки на хост, который собирает системную информацию для профилирования жертвы. Одновременно отображается поддельный PDF-файл.
Скрипт также загружает легитимный исполняемый файл Cisco WebEx (CiscoCollabHost.exe) и вредоносную DLL (CiscoSparkLauncher.dll) для доставки Voldemort с помощью боковой загрузки DLL.
Сам Voldemort - это бэкдор на языке C, который поддерживает широкий спектр команд и действий по управлению файлами, включая эксфильтрацию, внедрение новых полезных нагрузок в систему и удаление файлов.
Примечательной особенностью Voldemort является то, что он использует Google Sheets в качестве C2, отправляя ему запросы на получение новых команд для выполнения на зараженном устройстве, а также в качестве хранилища украденных данных.
Каждая зараженная машина записывает свои данные в определенные ячейки в Google Sheet, которые могут быть обозначены уникальными идентификаторами, такими как UUID, что обеспечивает изоляцию и более четкое управление взломанными системами.
Voldemort использует API Google со встроенным идентификатором клиента, секретом и токеном обновления для взаимодействия с Google Sheets, которые хранятся в его зашифрованной конфигурации.
Такой подход обеспечивает вредоносному ПО надежный и высокодоступный канал C2, а также снижает вероятность того, что сетевое взаимодействие будет отмечено средствами безопасности.
Кампания активна как минимум с 5 августа 2024 года и насчитывает более 20 000 писем в более чем 70 целевых организаций, а на пике активности число таких писем достигало 6 000 за день.
Более половины всех целевых организаций относятся к страховому, аэрокосмическому, транспортному и образовательному секторам. Как полагают в Proofpoint, наиболее вероятной целью является кибершпионаж.
В рассылаемых письмах утверждается, что имеется обновленная налоговая информация и содержатся ссылки на соответствующие документы.
При нажатии на нее получатели переходят на целевую страницу, размещенную на InfinityFree, которая использует URL-адреса кэша Google AMP для перенаправления жертвы на страницу с кнопкой «нажмите, чтобы просмотреть документ».
При нажатии кнопки страница проверит User Agent браузера и, если он для Windows, перенаправит цель на search-ms URI (протокол поиска Windows), который указывает на туннелируемый TryCloudflare URI.
Пользователи, не являющиеся пользователями Windows, перенаправляются на пустой URL-адрес Google Drive, который не содержит вредоносного контента.
В случае взаимодействия с файлом search-ms, проводник Windows отображает файл LNK или ZIP, замаскированный под PDF.
Такой прием в последнее время стал популярным в фишинге, поскольку файл размещен на внешнем ресурсе WebDAV/SMB, но создает впечатление, что находится локально в папке «Загрузки», чтобы обманом заставить жертву открыть его.
При этом выполняется скрипт Python из другого общего ресурса WebDAV без его загрузки на хост, который собирает системную информацию для профилирования жертвы. Одновременно отображается поддельный PDF-файл.
Скрипт также загружает легитимный исполняемый файл Cisco WebEx (CiscoCollabHost.exe) и вредоносную DLL (CiscoSparkLauncher.dll) для доставки Voldemort с помощью боковой загрузки DLL.
Сам Voldemort - это бэкдор на языке C, который поддерживает широкий спектр команд и действий по управлению файлами, включая эксфильтрацию, внедрение новых полезных нагрузок в систему и удаление файлов.
Примечательной особенностью Voldemort является то, что он использует Google Sheets в качестве C2, отправляя ему запросы на получение новых команд для выполнения на зараженном устройстве, а также в качестве хранилища украденных данных.
Каждая зараженная машина записывает свои данные в определенные ячейки в Google Sheet, которые могут быть обозначены уникальными идентификаторами, такими как UUID, что обеспечивает изоляцию и более четкое управление взломанными системами.
Voldemort использует API Google со встроенным идентификатором клиента, секретом и токеном обновления для взаимодействия с Google Sheets, которые хранятся в его зашифрованной конфигурации.
Такой подход обеспечивает вредоносному ПО надежный и высокодоступный канал C2, а также снижает вероятность того, что сетевое взаимодействие будет отмечено средствами безопасности.
Proofpoint
New Voldemort Malware Espionage Campaign | Proofpoint US
Learn how to defend yourself from the Voldemort malware campaign’s espionage with Proofpoint. Protect yourself from Chinese spyware threats.
Исследователи Securonix сообщают о тщательно организованной и сложной атаке SLOW#TEMPEST с задействованием фишинга и Cobalt Strike, нацеленной на китаеязычных пользователей.
В ходе скрытой кампании неустановленным злоумышленникам посредством вредоносных ZIP-файлов удалось реализовать цепочку заражения, которая привела к развертыванию набора инструментов для постэксплуатации.
Затем - осуществить горизонтальное перемещение, закрепиться и оставаться незамеченными в системах более двух недель.
ZIP-архив включал файл ярлыка Windows (LNK), замаскированный под файл Microsoft Word (违规远程控制软件人员名单.docx.lnk), мимикрирующий под официальный документ с указанием списка нарушивших регламент в отношении работы программного обеспечения для дистанционного управления.
В совокупности, задействуемый китайский язык и содержание приманки, указывают на вероятные цели атаки, в числе которых выступают по всей видимости китайские предприятия или госучреждения.
Файл LNK выступает в качестве канала для запуска легитимного двоичного файла Microsoft (LicensingUI.exe), который использует боковую загрузку DLL для выполнения мошеннической dui70.dll.
Оба файла являются частью архива ZIP в каталоге с именем «\其他信息\.__MACOS__\._MACOS_\__MACOSX\_MACOS_».
Эта атака является первым случаем, когда была зарегистрирована сторонняя загрузка DLL через LicensingUI.exe.
Файл DLL представляет собой имплант Cobalt Strike, который обеспечивает постоянный и скрытый доступ к зараженному хосту, одновременно устанавливая связь с удаленным сервером (123.207.74[.]22).
Сообщается, что удаленный доступ позволил злоумышленникам провести ряд действий, включая развертывание дополнительных полезных нагрузок для разведки и настройку прокси-соединений.
Цепочка заражения также примечательна тем, что создает запланированную задачу для периодического запуска вредоносного исполняемого файла lld.exe, который может запускать произвольный шелл-код непосредственно в памяти, тем самым оставляя минимальные следы на диске.
Кроме того, задействуемая гостевая учетная запись, обычно отключенная и имеющая минимальные привилегии, преобразуется злоумышленниками в мощную точку доступа путем добавления ее в критическую административную группу.
Это позволяет сохранять доступ к системе с минимальным обнаружением, поскольку задействуемая гостевая учетная запись часто не отслеживается так же пристально, как другие учетные записи пользователей
Горизонтальное перемещение по сети реализуется с использованием RDP и учетных данных, полученных с помощью инструмента Mimikatz, после чего устанавливается удаленные подключения к своему C2 на каждой из машин.
Фаза постэксплуатации характеризуется выполнением нескольких команд сканирования и использования инструмента BloodHound для разведки Active Directory (AD), результаты которой затем извлекаются в виде ZIP-архива.
Связи с Китаем подкрепляются тем фактом, что все C2 размещены в Shenzhen Tencent Computer Systems Company Limited.
Кроме того, большинство артефактов, связанных с кампанией, происходят из Китая.
Каких-либо убедительных доказательств, связывающих эту атаку с какой-либо известной APT-группировкой, не найдено.
Однако можно точно считать, что организована она продвинутым злоумышленником с опытом использования передовых фреймворков и широкого спектра других инструментов постэксплуатации.
В ходе скрытой кампании неустановленным злоумышленникам посредством вредоносных ZIP-файлов удалось реализовать цепочку заражения, которая привела к развертыванию набора инструментов для постэксплуатации.
Затем - осуществить горизонтальное перемещение, закрепиться и оставаться незамеченными в системах более двух недель.
ZIP-архив включал файл ярлыка Windows (LNK), замаскированный под файл Microsoft Word (违规远程控制软件人员名单.docx.lnk), мимикрирующий под официальный документ с указанием списка нарушивших регламент в отношении работы программного обеспечения для дистанционного управления.
В совокупности, задействуемый китайский язык и содержание приманки, указывают на вероятные цели атаки, в числе которых выступают по всей видимости китайские предприятия или госучреждения.
Файл LNK выступает в качестве канала для запуска легитимного двоичного файла Microsoft (LicensingUI.exe), который использует боковую загрузку DLL для выполнения мошеннической dui70.dll.
Оба файла являются частью архива ZIP в каталоге с именем «\其他信息\.__MACOS__\._MACOS_\__MACOSX\_MACOS_».
Эта атака является первым случаем, когда была зарегистрирована сторонняя загрузка DLL через LicensingUI.exe.
Файл DLL представляет собой имплант Cobalt Strike, который обеспечивает постоянный и скрытый доступ к зараженному хосту, одновременно устанавливая связь с удаленным сервером (123.207.74[.]22).
Сообщается, что удаленный доступ позволил злоумышленникам провести ряд действий, включая развертывание дополнительных полезных нагрузок для разведки и настройку прокси-соединений.
Цепочка заражения также примечательна тем, что создает запланированную задачу для периодического запуска вредоносного исполняемого файла lld.exe, который может запускать произвольный шелл-код непосредственно в памяти, тем самым оставляя минимальные следы на диске.
Кроме того, задействуемая гостевая учетная запись, обычно отключенная и имеющая минимальные привилегии, преобразуется злоумышленниками в мощную точку доступа путем добавления ее в критическую административную группу.
Это позволяет сохранять доступ к системе с минимальным обнаружением, поскольку задействуемая гостевая учетная запись часто не отслеживается так же пристально, как другие учетные записи пользователей
Горизонтальное перемещение по сети реализуется с использованием RDP и учетных данных, полученных с помощью инструмента Mimikatz, после чего устанавливается удаленные подключения к своему C2 на каждой из машин.
Фаза постэксплуатации характеризуется выполнением нескольких команд сканирования и использования инструмента BloodHound для разведки Active Directory (AD), результаты которой затем извлекаются в виде ZIP-архива.
Связи с Китаем подкрепляются тем фактом, что все C2 размещены в Shenzhen Tencent Computer Systems Company Limited.
Кроме того, большинство артефактов, связанных с кампанией, происходят из Китая.
Каких-либо убедительных доказательств, связывающих эту атаку с какой-либо известной APT-группировкой, не найдено.
Однако можно точно считать, что организована она продвинутым злоумышленником с опытом использования передовых фреймворков и широкого спектра других инструментов постэксплуатации.
Securonix
From Cobalt Strike to Mimikatz: A Deep Dive into the SLOW#TEMPEST Campaign Targeting Chinese Users
The Securonix Threat Research team has uncovered a covert campaign targeting Chinese-speaking users with Cobalt Strike payloads likely delivered through phishing emails. The attackers managed to move laterally, establish persistence and remain undetected…
Минутка объективной инфосек журналистики на канале SecAtor.
Расовый румынский инфосек журналист Каталин Чимпану докладывает, что российская проправительственная хакерская группа APT 28 aka Fancy Bear яростно напала на Управление воздушным движением Германии (DFS). Затронута административная IT-инфрастуктура, безопасность полетов не затронута.
В качестве пруфа приводятся не данные расследования, не выявленные сходства в TTPs и даже не мнение конкретной инфосек компании или исследователя. Основанием служит публикация в баварском региональном новостном издании BR24. Там прямо так и написано - "по информации BR24, в атаке участвовала группа APT 28" (это законченная сентенция).
В принципе это все, что нужно знать о современной объективной инфосек журналистике.
Намедни газета Ревдинский гудок рассказала, что инфосек журналист Каталин Чимпану подрезал у одинокой пенсионерки Клавдии Федосовны три курицы и одного серого гуся. К ответу негодяя!
Расовый румынский инфосек журналист Каталин Чимпану докладывает, что российская проправительственная хакерская группа APT 28 aka Fancy Bear яростно напала на Управление воздушным движением Германии (DFS). Затронута административная IT-инфрастуктура, безопасность полетов не затронута.
В качестве пруфа приводятся не данные расследования, не выявленные сходства в TTPs и даже не мнение конкретной инфосек компании или исследователя. Основанием служит публикация в баварском региональном новостном издании BR24. Там прямо так и написано - "по информации BR24, в атаке участвовала группа APT 28" (это законченная сентенция).
В принципе это все, что нужно знать о современной объективной инфосек журналистике.
Намедни газета Ревдинский гудок рассказала, что инфосек журналист Каталин Чимпану подрезал у одинокой пенсионерки Клавдии Федосовны три курицы и одного серого гуся. К ответу негодяя!
BR24
Cyber-Attacke auf Deutsche Flugsicherung
Die Deutsche Flugsicherung ist Opfer eines Hacker-Angriffs geworden. Die Flugsicherung sei aber nicht gestört, teilte die Behörde BR24 mit. Ob und wenn ja, auf welche Daten zugegriffen werden konnte, werde noch untersucht.
А теперь минутка демократии на канале SecAtor.
Власти города Колумбус с населением 2 140 000 (штат Огайо) подали иск к исследователю Дэвиду Лерою Россу (aka Connor Goodwolf), обвиняя его в незаконном распространении данных, украденных 18 июля из муниципальной сети бандой вымогателей Rhysida.
Тогда администрация города опровергла шифрование систем, но признала кражу, а ответственность за инцидент спустя день взяла на себя банда Rhysida.
Хакеры заявили о краже 6,5 ТБ баз данных, включая данные сотрудников, дампы серверов, записи с городских видеокамер и другую конфиденциальную информацию.
Так и не договорившись относительно выкупа, они опубликовали 45% украденных данных, включающих 260 000 файлов (3,1 ТБ), раскрыв большую часть заявленной утечки.
Среди них оказались две резервные базы, содержащие большой объем информации местной прокуратуры и полиции, начиная как минимум с 2015 года, включая, среди прочего, личную информацию агентуры правоохранителей среди местного населения.
Вместе с тем, мэр Колумбуса Эндрю Гинтер отрапортовал в СМИ, что раскрытая информация не представляет никакой ценности, а атака была успешно отражена.
В свою очередь, Goodwolf решил все же поспорить и поделился со СМИ информацией о том, что реально содержалось в названной утечке.
Гинтер решил также не отступать и заявил, что раскрытые в утечке данные были зашифрованы или повреждены, и поэтому не должны вызывать особого беспокойства у общественности.
Исследователь же продолжил свою линию и в качестве аргумента своей критики выкатил образцы данных в СМИ, дабы наглядно проиллюстрировать, что среди них имеются незашифрованные и вполне читабельные персданные жителей Колумбуса, в том числе сотрудников полиции, жертв преступлений и пр.
Вместо справедливости исследователь получил иск от властей Колумбуса с требованием запрета на дальнейшее размещение слитых данных и возмещение ущерба в размере 25 000 долл.
Как сообщает NBC4, судья округа Франклин выдал временный приказ, запрещающий распространять украденные данные, а городской прокурор Зак Кляйн заверил об отсутствии основании считать иск посягательством на свободу слова.
Без комментариев.
Власти города Колумбус с населением 2 140 000 (штат Огайо) подали иск к исследователю Дэвиду Лерою Россу (aka Connor Goodwolf), обвиняя его в незаконном распространении данных, украденных 18 июля из муниципальной сети бандой вымогателей Rhysida.
Тогда администрация города опровергла шифрование систем, но признала кражу, а ответственность за инцидент спустя день взяла на себя банда Rhysida.
Хакеры заявили о краже 6,5 ТБ баз данных, включая данные сотрудников, дампы серверов, записи с городских видеокамер и другую конфиденциальную информацию.
Так и не договорившись относительно выкупа, они опубликовали 45% украденных данных, включающих 260 000 файлов (3,1 ТБ), раскрыв большую часть заявленной утечки.
Среди них оказались две резервные базы, содержащие большой объем информации местной прокуратуры и полиции, начиная как минимум с 2015 года, включая, среди прочего, личную информацию агентуры правоохранителей среди местного населения.
Вместе с тем, мэр Колумбуса Эндрю Гинтер отрапортовал в СМИ, что раскрытая информация не представляет никакой ценности, а атака была успешно отражена.
В свою очередь, Goodwolf решил все же поспорить и поделился со СМИ информацией о том, что реально содержалось в названной утечке.
Гинтер решил также не отступать и заявил, что раскрытые в утечке данные были зашифрованы или повреждены, и поэтому не должны вызывать особого беспокойства у общественности.
Исследователь же продолжил свою линию и в качестве аргумента своей критики выкатил образцы данных в СМИ, дабы наглядно проиллюстрировать, что среди них имеются незашифрованные и вполне читабельные персданные жителей Колумбуса, в том числе сотрудников полиции, жертв преступлений и пр.
Вместо справедливости исследователь получил иск от властей Колумбуса с требованием запрета на дальнейшее размещение слитых данных и возмещение ущерба в размере 25 000 долл.
Как сообщает NBC4, судья округа Франклин выдал временный приказ, запрещающий распространять украденные данные, а городской прокурор Зак Кляйн заверил об отсутствии основании считать иск посягательством на свободу слова.
Без комментариев.
NBC4 WCMH-TV
‘Devastating:’ Stolen Columbus data leaked by ransomware group after auction gets no bids
COLUMBUS, Ohio (WCMH) — Over three terabytes of stolen data, including Columbus employees’ personal files, were dumped on the dark web Thursday morning, after two auctions by the hacker…
Docker-OSX был удален из Docker Hub после того, как Apple подала запрос на удаление в соответствии с DMCA (Законом об авторском праве в цифровую эпоху), утверждая о нарушении ее авторских прав.
Docker-OSX - проект с открытым исходным кодом, созданный исследователем Sick.Codes, который позволяет виртуализировать macOS на оборудовании, отличном от Apple, размещая на любой системе, поддерживающей Docker, включая Linux и Windows.
Проект широко востребован среди разработчиков, которые задействуют его для тестирования ПО на macOS, или исследователей, которые пробуют различные конфигурации для выявления ошибок или аналитики вредоносного ПО.
К настоящему времени Docker-OSX имел 750 000 загрузок и 500 звезд на Docker Hub, а также 40 000 звезд на GitHub.
Однако начиная со среды прошлой недели пользователи Docker-OSX сообщают, что им не удалось загрузить последние образы macOS из репозитория Docker Hub, получая ошибку 404.
Позже после публикации информации об удалении в X компания Docker подтвердила удаление в ответ на получение запроса в соответствии с DMCA от Apple.
В запросе DMCA представляющая интересы Apple юридическая фирма Kilpatrick, Townsend and Stockton LLP, сообщила, что репозиторий docker-osx содержал образы установщика macOS от Apple, которые защищены авторским правом.
В уведомлении указывается, что Docker-OSX воспроизводит контент Apple без разрешения, что является нарушением авторских прав в соответствии с законодательством США, и включает требование к Docker незамедлительно закрыть репозитории.
Дело в том, что Apple обладает исключительными правами на свой установщик и установку macOS. Docker-OSX воспроизводит этот контент без разрешения, а несанкционированное воспроизведение контента Apple является нарушением DMCA.
С юридической точки зрения у Apple в данном случае все ровно, поскольку ее лицензионное соглашение EULA для macOS ограничивает использование ОС только оборудованием под брендом Apple, и компания имеет право обеспечивать соблюдение этих условий лицензирования.
Как отмечают разработчики, Apple, в первую очередь, сама себе противоречит и подрывают интересы исследователей, использующих Docker-OSX для повышения безопасности macOS, в том числе действующих в рамках Apple Bug Bounty.
Сама же Apple никак не комментирует возникшую ситуацию.
Docker-OSX - проект с открытым исходным кодом, созданный исследователем Sick.Codes, который позволяет виртуализировать macOS на оборудовании, отличном от Apple, размещая на любой системе, поддерживающей Docker, включая Linux и Windows.
Проект широко востребован среди разработчиков, которые задействуют его для тестирования ПО на macOS, или исследователей, которые пробуют различные конфигурации для выявления ошибок или аналитики вредоносного ПО.
К настоящему времени Docker-OSX имел 750 000 загрузок и 500 звезд на Docker Hub, а также 40 000 звезд на GitHub.
Однако начиная со среды прошлой недели пользователи Docker-OSX сообщают, что им не удалось загрузить последние образы macOS из репозитория Docker Hub, получая ошибку 404.
Позже после публикации информации об удалении в X компания Docker подтвердила удаление в ответ на получение запроса в соответствии с DMCA от Apple.
В запросе DMCA представляющая интересы Apple юридическая фирма Kilpatrick, Townsend and Stockton LLP, сообщила, что репозиторий docker-osx содержал образы установщика macOS от Apple, которые защищены авторским правом.
В уведомлении указывается, что Docker-OSX воспроизводит контент Apple без разрешения, что является нарушением авторских прав в соответствии с законодательством США, и включает требование к Docker незамедлительно закрыть репозитории.
Дело в том, что Apple обладает исключительными правами на свой установщик и установку macOS. Docker-OSX воспроизводит этот контент без разрешения, а несанкционированное воспроизведение контента Apple является нарушением DMCA.
С юридической точки зрения у Apple в данном случае все ровно, поскольку ее лицензионное соглашение EULA для macOS ограничивает использование ОС только оборудованием под брендом Apple, и компания имеет право обеспечивать соблюдение этих условий лицензирования.
Как отмечают разработчики, Apple, в первую очередь, сама себе противоречит и подрывают интересы исследователей, использующих Docker-OSX для повышения безопасности macOS, в том числе действующих в рамках Apple Bug Bounty.
Сама же Apple никак не комментирует возникшую ситуацию.
GitHub
Docker Image disappeared · Issue #799 · sickcodes/Docker-OSX
docker build -t docker-osx --build-arg SHORTNAME=sonoma . Unable to find image 'sickcodes/docker-osx:sonoma' locally docker: Error response from daemon: pull access denied for sickcodes/doc...
Исследователи из Лаборатории Касперского обнаружила сходство по инструментарию и TTPs между хактивистами BlackJack и Twelve, которые, по все видимости, относятся к единому кластеру активности.
BlackJack - это хактивистская группировка, заявившая о себе в конце 2023 года и нацеленная на компании в России.
В своем Telegram-канале группировка заявляет, что занимается поиском уязвимостей в сетях российских организаций и госучреждений.
По состоянию на июнь 2024 года BlackJack публично взяла на себя ответственность за более чем десяток атак.
При этом в телеметрии ЛК есть информация и о других, непубличных атаках, индикаторы которых указывают на BlackJack.
Группировка использует только свободно распространяемое ПО, в том числе и с открытым исходным кодом, будь то SSH-клиент PuTTY или версию вайпера Shamoon, написанную на Go, код которого уже несколько лет доступен на GitHub.
Помимо вайпера, для нанесения ущерба своим жертвам группировка использует утекшую версию шифровальщика LockBit, а для поддержания постоянного доступа - ngrok.
Для обеспечения удаленного доступа к системе BlackJack устанавливает различные средства удаленного доступа: Radmin, AnyDesk.
Как установили специалисты, описанные выше вредоносные и легитимные инструменты во многом пересекаются с арсеналом хактивистской группы Twelve, которая также полагается на общедоступное ПО и не использует в атаках собственные разработки.
Так, обе группировки используют похожие образцы шифровальщика LockBit, а пути, по которым были обнаружены эти образцы, практически идентичны.
По данным телеметрии Kaspersky Security Network (KSN), конкретный вариант Shamoon, фигурировавший в атаках группировки BlackJack, также был замечен в некоторых атаках Twelve.
Помимо связей, выявленных на основе анализа образцов вредоносного ПО, нам также удалось обнаружить совпадения в командах и утилитах, используемых группировками.
При этом в ходе исследований ресечерам также удалось обнаружить еще одну активность, которая сильно напоминает описанные выше, но имела некоторые отличные артефакты и процедуры.
Точно определить, к какой конкретной группировке относится эта активность, не представилось возможным, однако образцы вредоносного ПО и TTPs явно указывают на то, что источником является исследуемый кластер активности.
Таким образом, исходя из результатов исследований, нельзя быть увереным, что за деятельностью обеих групп стоят одни и те же злоумышленники, однако можно полагать, что BlackJack и Twelve являются частью единого кластера хактивистской активности, нацеленной на организации в России.
Индикаторы компрометации и технический разбор - отчете.
BlackJack - это хактивистская группировка, заявившая о себе в конце 2023 года и нацеленная на компании в России.
В своем Telegram-канале группировка заявляет, что занимается поиском уязвимостей в сетях российских организаций и госучреждений.
По состоянию на июнь 2024 года BlackJack публично взяла на себя ответственность за более чем десяток атак.
При этом в телеметрии ЛК есть информация и о других, непубличных атаках, индикаторы которых указывают на BlackJack.
Группировка использует только свободно распространяемое ПО, в том числе и с открытым исходным кодом, будь то SSH-клиент PuTTY или версию вайпера Shamoon, написанную на Go, код которого уже несколько лет доступен на GitHub.
Помимо вайпера, для нанесения ущерба своим жертвам группировка использует утекшую версию шифровальщика LockBit, а для поддержания постоянного доступа - ngrok.
Для обеспечения удаленного доступа к системе BlackJack устанавливает различные средства удаленного доступа: Radmin, AnyDesk.
Как установили специалисты, описанные выше вредоносные и легитимные инструменты во многом пересекаются с арсеналом хактивистской группы Twelve, которая также полагается на общедоступное ПО и не использует в атаках собственные разработки.
Так, обе группировки используют похожие образцы шифровальщика LockBit, а пути, по которым были обнаружены эти образцы, практически идентичны.
По данным телеметрии Kaspersky Security Network (KSN), конкретный вариант Shamoon, фигурировавший в атаках группировки BlackJack, также был замечен в некоторых атаках Twelve.
Помимо связей, выявленных на основе анализа образцов вредоносного ПО, нам также удалось обнаружить совпадения в командах и утилитах, используемых группировками.
При этом в ходе исследований ресечерам также удалось обнаружить еще одну активность, которая сильно напоминает описанные выше, но имела некоторые отличные артефакты и процедуры.
Точно определить, к какой конкретной группировке относится эта активность, не представилось возможным, однако образцы вредоносного ПО и TTPs явно указывают на то, что источником является исследуемый кластер активности.
Таким образом, исходя из результатов исследований, нельзя быть увереным, что за деятельностью обеих групп стоят одни и те же злоумышленники, однако можно полагать, что BlackJack и Twelve являются частью единого кластера хактивистской активности, нацеленной на организации в России.
Индикаторы компрометации и технический разбор - отчете.
securelist.ru
Анализ группировки BlackJack: техники, инструменты и сходство с Twelve
Исследование ПО, TTP и мотивов группировки BlackJack позволило экспертам «Лаборатории Касперского» установить возможную связь с группировкой Twelve.
Forwarded from Russian OSINT
В «Лаборатории Касперского» провели глобальный опрос и выяснили, что 41% компаний в разных странах сталкиваются с нехваткой квалифицированных кадров в сфере ИБ.
*С точки зрения отраслей сильнее всего ощущается нехватка ИБ-специалистов в государственных секторах, где на момент опроса была не закрыта почти половина вакансий (46%)
«Нехватка ИБ-специалистов разной направленности ощущается не только в мире, но и в России. Это обусловлено в том числе продолжающейся цифровизацией в компаниях, растущими потребностями расширяющегося бизнеса, увеличением количества кибератак. Мы видим высокий спрос, в частности, на инженеров внедрения средств защиты информации и SOC-аналитиков, а также специалистов по безопасной разработке. К тому же полагаем, что в ближайшем будущем начнёт расти потребность в экспертах в области безопасности ИИ и нейросетей»
— комментирует Владислав Галимов, руководитель группы подбора персонала по направлению информационной безопасности в «Лаборатории Касперского».
* Исследование было проведено компанией Grand View Research по заказу «Лаборатории Касперского» в 29 странах, в том числе в России. Всего было опрошено 1012 человек: ИТ-директора, руководители центров мониторинга безопасности (SOC), ведущие специалисты, руководители групп и эксперты по информационной безопасности с разным уровнем опыта.
Please open Telegram to view this post
VIEW IN TELEGRAM
Продолжаем следить за уязвимостями и на 3 сентября ситуация выглядит следующим образом.
Двое исследователей из Тель-Авивского университета опубликовали подробности о новой атаке, которая задействует устаревшие криптографические алгоритмы для атаки на протокол Windows Kerberos. PoC также имеется.
ZDI раскрыла подробное описание CVE-2024-37079, критической ошибки в VMWare vCenter, исправленной июне этого года.
Удаленный, неаутентифицированный злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный пакет DCERPC на целевой сервер.
Успешная эксплуатация может привести к переполнению буфера кучи, что может привести к выполнению произвольного кода в контексте уязвимой службы.
Patchstack обнаружила уязвимость SQL-инъекции в плагине Wishlist для WooCommerce, который используется более чем на 100 000 сайтах.
Исследователь, известный как Hypr, выкатил описание четырех различных способов эксплуатации CVE-2024-20017, уязвимости RCE в службе MediaTek WLAN, первоначально исправленной еще в марте 2024.
Исследователь Дивьяншу представил подробный анализ EoP-уязвимости CVE-2023-29360 в службе потоковой передачи Windows, которая эксплуатировалась в дикой природе и была исправлена в июне прошлого года.
Михаил Жмайло из CICADA8 опубликовал исследование, в котором рассматриваются различные уязвимости в формате файлов Microsoft MSI.
Microsoft обнаружила атаки с использованием комбинации нулей в Chrome и Windows, нацеленные на представителей криптосообщества.
Злоумышленники использовали уязвимость нулевого дня Chrome для запуска вредоносного кода и выхода из браузера, а затем в Windows - для повышения привилегий и развертывания руткита FudModule.
Обе 0-day были исправлены в начале августа.
Исследователи связали кампанию с северокорейской APT, которую компания отслеживает как Citrine Sleet.
Двое исследователей из Тель-Авивского университета опубликовали подробности о новой атаке, которая задействует устаревшие криптографические алгоритмы для атаки на протокол Windows Kerberos. PoC также имеется.
ZDI раскрыла подробное описание CVE-2024-37079, критической ошибки в VMWare vCenter, исправленной июне этого года.
Удаленный, неаутентифицированный злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный пакет DCERPC на целевой сервер.
Успешная эксплуатация может привести к переполнению буфера кучи, что может привести к выполнению произвольного кода в контексте уязвимой службы.
Patchstack обнаружила уязвимость SQL-инъекции в плагине Wishlist для WooCommerce, который используется более чем на 100 000 сайтах.
Исследователь, известный как Hypr, выкатил описание четырех различных способов эксплуатации CVE-2024-20017, уязвимости RCE в службе MediaTek WLAN, первоначально исправленной еще в марте 2024.
Исследователь Дивьяншу представил подробный анализ EoP-уязвимости CVE-2023-29360 в службе потоковой передачи Windows, которая эксплуатировалась в дикой природе и была исправлена в июне прошлого года.
Михаил Жмайло из CICADA8 опубликовал исследование, в котором рассматриваются различные уязвимости в формате файлов Microsoft MSI.
Microsoft обнаружила атаки с использованием комбинации нулей в Chrome и Windows, нацеленные на представителей криптосообщества.
Злоумышленники использовали уязвимость нулевого дня Chrome для запуска вредоносного кода и выхода из браузера, а затем в Windows - для повышения привилегий и развертывания руткита FudModule.
Обе 0-day были исправлены в начале августа.
Исследователи связали кампанию с северокорейской APT, которую компания отслеживает как Citrine Sleet.
GitHub
GitHub - MichalSha/KerberosSmartcardPaddingOracleAttack
Contribute to MichalSha/KerberosSmartcardPaddingOracleAttack development by creating an account on GitHub.
Zyxel выпустила обновления для устранения критической уязвимости, затрагивающей несколько моделей маршрутизаторов и потенциально позволяющей неавторизованным злоумышленникам выполнять инъекцию команд ОС.
CVE-2024-7261 имеет оценку CVSS v3 9,8 и представляет собой ошибку проверки входных данных, вызванную неправильной обработкой предоставленных пользователем данных.
Она позволяет удаленным злоумышленникам выполнять произвольные команды в операционной системе хоста путем отправки специально созданного файла cookie на уязвимое устройство
В числе затронутых маршрутизаторов представлены устройства следующих серий: NWA (все версии до 7.00), NWA1123-AC PRO (все версии до 6.28), NWA1123ACv3, WAC500, WAC500H (все версии до 6.28), WAC (все версии до 6.28), WAX (все версии до 7.00) и WBE (все версии до 7.00).
Zyxel сообщает, что уязвимость затрагивает также маршрутизатор безопасности USG LITE 60AX под управлением версии 2.00(ACIP.2), но эта модель автоматически обновляется облаком до версии 2.00(ACIP.3), в которой реализован патч для CVE-2024-7261.
Кроме того, Zyxel выпустила обновления для нескольких серьезных уязвимостей в брандмауэрах APT и USG FLEX, включая CVE-2024-6343, CVE-2024-7203, CVE-2024-42057-CVE-2024-42061.
Наиболее интересной из них является CVE-2024-42057 (CVSS v3: 8.1), которая представляет собой уязвимость внедрения команд в функцию IPSec VPN, которая может быть эксплуатирована удаленно без аутентификации.
Если с Zyxel все более менее понятно, то с D-Link в очередной раз приносит клинетам печальные вести.
D-Link предупредила о четырех RCE-уязвимостях CVE-2024-41622, CVE-2024-44340, CVE-2024-44341 и CVE-2024-44342, влияющих на все версии оборудования и прошивки маршрутизатора DIR-846W, с которыми она не намерена ничего предпринимать.
Все они, три из которых оценены как критические и не требуют аутентификации, были обнаружены исследователем yali-1002, который опубликовал минимальные подробности в своем репозитории на GitHub, воздержавшись пока от выпуска PoC.
D-Link хотя и признала наличие проблем и их серьезность, но в связи с EoL затронутого продукта обновлений безопасности выпускать не будет, рекомендуя прекратить его использование.
Однако операторы Mirai и Moobot, наоборот будут рады взять DIR-846W под свое обслуживание и оказывать необходимую поддержку, значительно расширяя функционал устройств.
CVE-2024-7261 имеет оценку CVSS v3 9,8 и представляет собой ошибку проверки входных данных, вызванную неправильной обработкой предоставленных пользователем данных.
Она позволяет удаленным злоумышленникам выполнять произвольные команды в операционной системе хоста путем отправки специально созданного файла cookie на уязвимое устройство
В числе затронутых маршрутизаторов представлены устройства следующих серий: NWA (все версии до 7.00), NWA1123-AC PRO (все версии до 6.28), NWA1123ACv3, WAC500, WAC500H (все версии до 6.28), WAC (все версии до 6.28), WAX (все версии до 7.00) и WBE (все версии до 7.00).
Zyxel сообщает, что уязвимость затрагивает также маршрутизатор безопасности USG LITE 60AX под управлением версии 2.00(ACIP.2), но эта модель автоматически обновляется облаком до версии 2.00(ACIP.3), в которой реализован патч для CVE-2024-7261.
Кроме того, Zyxel выпустила обновления для нескольких серьезных уязвимостей в брандмауэрах APT и USG FLEX, включая CVE-2024-6343, CVE-2024-7203, CVE-2024-42057-CVE-2024-42061.
Наиболее интересной из них является CVE-2024-42057 (CVSS v3: 8.1), которая представляет собой уязвимость внедрения команд в функцию IPSec VPN, которая может быть эксплуатирована удаленно без аутентификации.
Если с Zyxel все более менее понятно, то с D-Link в очередной раз приносит клинетам печальные вести.
D-Link предупредила о четырех RCE-уязвимостях CVE-2024-41622, CVE-2024-44340, CVE-2024-44341 и CVE-2024-44342, влияющих на все версии оборудования и прошивки маршрутизатора DIR-846W, с которыми она не намерена ничего предпринимать.
Все они, три из которых оценены как критические и не требуют аутентификации, были обнаружены исследователем yali-1002, который опубликовал минимальные подробности в своем репозитории на GitHub, воздержавшись пока от выпуска PoC.
D-Link хотя и признала наличие проблем и их серьезность, но в связи с EoL затронутого продукта обновлений безопасности выпускать не будет, рекомендуя прекратить его использование.
Однако операторы Mirai и Moobot, наоборот будут рады взять DIR-846W под свое обслуживание и оказывать необходимую поддержку, значительно расширяя функционал устройств.
Zyxel
Zyxel security advisory for OS command injection vulnerability in APs and security router devices | Zyxel Networks
CVE: CVE-2024-7261 Summary Zyxel has released patches addressing an operating system (OS) command injection vulnerability in some access point (AP) and security router versions. Users are advised to install the patches for optimal protection. What is the…