Ресерчеры Palo Alto Networks в рамках Coordinated Vulnerability Disclosure (CVD) раскрыли подробности о новой уязвимости, затрагивающей кластеры Service Fabric (SF) Linux (CVE-2022-30137) и получившей наименование FabricScape.
По данным Microsoft, Service Fabric ежедневно размещает более 1 миллиона приложений и запускает миллионы ядер, поддерживая многие продукты Azure, включая Azure Service Fabric, SQL Azure и Azure CosmosDB, а также решения Microsoft, включая Cortana и Microsoft Power BI.
Кластер Service Fabric представляет собой подключенный к сети набор из нескольких узлов (Windows Server или Linux), каждый из которых предназначен для управления и выполнения приложений, состоящих из микрослужб или контейнеров. Уязвимость, обнаруженная Unit 42, находится в компоненте под названием Diagnostics Collection Agent (DCA).
FabricScape позволяет злоумышленнику, имеющему доступ к скомпрометированному контейнеру, повысить привилегии и получить контроль над SF-узлом узла ресурса и всем кластером. Уязвимость может быть использована в контейнерах с настроенным runtime access, который по умолчанию предоставляется каждому контейнеру.
В гипотетическом сценарии атаки злоумышленник, имеющий доступ к скомпрометированной контейнерной рабочей нагрузке, может заменить считываемый агентом файл ProcessContainerLog.txt мошеннической ссылкой, которая затем может быть использована для перезаписи любого произвольного файла, ведь DCA работает от имени пользователя root на узле.
Проблема затрагивает обе платформы операционных систем (ОС), но эксплуатировать ее в ходе атак можно только в Linux. В контейнерах Windows непривилегированные участники не могут создавать символические ссылки в этой среде.
Microsoft полностью решила проблему 14 июня 2022 г., выпустив исправление для Azure Service Fabric, которое еще в конце мая было применено ко всем клиентам с автоматическим обновлением.
Хотя на сегодняшний день нет доказательств того, что эта уязвимость использовалась в реальных атаках, тем не менее клиентам, использующим Azure Service Fabric без автоматического обновления, следует обновить свои кластеры Linux до самого последнего выпуска Service Fabric 9.0 1.0.
По данным Microsoft, Service Fabric ежедневно размещает более 1 миллиона приложений и запускает миллионы ядер, поддерживая многие продукты Azure, включая Azure Service Fabric, SQL Azure и Azure CosmosDB, а также решения Microsoft, включая Cortana и Microsoft Power BI.
Кластер Service Fabric представляет собой подключенный к сети набор из нескольких узлов (Windows Server или Linux), каждый из которых предназначен для управления и выполнения приложений, состоящих из микрослужб или контейнеров. Уязвимость, обнаруженная Unit 42, находится в компоненте под названием Diagnostics Collection Agent (DCA).
FabricScape позволяет злоумышленнику, имеющему доступ к скомпрометированному контейнеру, повысить привилегии и получить контроль над SF-узлом узла ресурса и всем кластером. Уязвимость может быть использована в контейнерах с настроенным runtime access, который по умолчанию предоставляется каждому контейнеру.
В гипотетическом сценарии атаки злоумышленник, имеющий доступ к скомпрометированной контейнерной рабочей нагрузке, может заменить считываемый агентом файл ProcessContainerLog.txt мошеннической ссылкой, которая затем может быть использована для перезаписи любого произвольного файла, ведь DCA работает от имени пользователя root на узле.
Проблема затрагивает обе платформы операционных систем (ОС), но эксплуатировать ее в ходе атак можно только в Linux. В контейнерах Windows непривилегированные участники не могут создавать символические ссылки в этой среде.
Microsoft полностью решила проблему 14 июня 2022 г., выпустив исправление для Azure Service Fabric, которое еще в конце мая было применено ко всем клиентам с автоматическим обновлением.
Хотя на сегодняшний день нет доказательств того, что эта уязвимость использовалась в реальных атаках, тем не менее клиентам, использующим Azure Service Fabric без автоматического обновления, следует обновить свои кластеры Linux до самого последнего выпуска Service Fabric 9.0 1.0.
Unit 42
FabricScape: Escaping Service Fabric and Taking Over the Cluster
FabricScape (CVE-2022-30137) is a privilege escalation vulnerability of important severity in Microsoft's Service Fabric, commonly used with Azure.
Forwarded from SecurityLab.ru
Троица мошенников продала пиратское ПО на сумму более $88 млн
— Министерство юстиции США выдвинуло обвинения в мошенничестве против троих граждан, предположительно продавших пиратское ПО на сумму более $88 млн.
— Как сообщает Минюст США, 46-летний житель Оклахомы Брэд Пирс (Brad Pearce), долгое время работавший в техподдержке Avaya, использовал свой доступ системного администратора для несанкционированного генерирования ключей лицензии на десятки миллионов долларов.
— Троица продавала краденые лицензии по цене ниже рыночной, а все доходы отмывались через PayPal под фальшивыми именами и отправлялись на счета в разных банках.
https://www.securitylab.ru/news/532550.php
— Министерство юстиции США выдвинуло обвинения в мошенничестве против троих граждан, предположительно продавших пиратское ПО на сумму более $88 млн.
— Как сообщает Минюст США, 46-летний житель Оклахомы Брэд Пирс (Brad Pearce), долгое время работавший в техподдержке Avaya, использовал свой доступ системного администратора для несанкционированного генерирования ключей лицензии на десятки миллионов долларов.
— Троица продавала краденые лицензии по цене ниже рыночной, а все доходы отмывались через PayPal под фальшивыми именами и отправлялись на счета в разных банках.
https://www.securitylab.ru/news/532550.php
SecurityLab.ru
Троица мошенников продала пиратское ПО на сумму более $88 млн
Сисадмин компании Avaya долгие годы незаконно генерировал лицензии и продавал их по всему миру.
Mozilla выпустила обновленную версию Firefox 102, исправив 19 уязвимостей, включая четыре ошибки высокой степени серьезности.
Самая серьезная из них CVE-2022-34470, связана с проблемой использования после освобождения в nsSHistory при навигации между XML-документами.
Уязвимость может быть использована для выполнения произвольного выполнения кода, повреждения данных или отказа в обслуживании, в сочетании с другими недостатками привести выходу из песочницы и к полному компрометации системы.
Другая серьезная CVE-2022-34468 может позволить реализовать обход заголовка песочницы CSP без allow-scripts с помощью retargetedjavascript: URI. Ошибка приводит к тому, что пользователь посредством ссылки javascript может инициировать выполнение iframe сценария без авторизации.
В новом выпуске также решена CVE-2022-34479, связанную с Firefox для Linux, которая позволяет вредоносным веб-сайтам создавать всплывающие окна, размер которых может перекрыть адресную строку своим содержимым, потенциально приводя к спуфинговым атакам.
Кроме того, исправлена ошибка безопасности памяти CVE-2022-34484, присущая Firefox 101 и Firefox ESR 91.10, которая при достаточном усилии некоторые из них могли быть использованы для RCE.
Обновленный Firefox 102 также содержит улучшенную защиту конфиденциальности, ограничивая отслеживание параметров запросов при навигации по Интернету с включенным режимом строгой защиты (ETP).
С ее помощью Firefox ограничивает использование файлы cookie сайтами, которые их создали, что предотвращает межсайтовое отслеживание. Новая возможность браузера позволяет блокировать конкретные параметры отслеживания, которые веб-сайты могут использовать для обхода защиты конфиденциальности.
Кроме того, Firefox 102 реализует декодирование звука в рамках отдельного процесса с более эффективной песочницей, улучшая его изоляцию.
Самая серьезная из них CVE-2022-34470, связана с проблемой использования после освобождения в nsSHistory при навигации между XML-документами.
Уязвимость может быть использована для выполнения произвольного выполнения кода, повреждения данных или отказа в обслуживании, в сочетании с другими недостатками привести выходу из песочницы и к полному компрометации системы.
Другая серьезная CVE-2022-34468 может позволить реализовать обход заголовка песочницы CSP без allow-scripts с помощью retargetedjavascript: URI. Ошибка приводит к тому, что пользователь посредством ссылки javascript может инициировать выполнение iframe сценария без авторизации.
В новом выпуске также решена CVE-2022-34479, связанную с Firefox для Linux, которая позволяет вредоносным веб-сайтам создавать всплывающие окна, размер которых может перекрыть адресную строку своим содержимым, потенциально приводя к спуфинговым атакам.
Кроме того, исправлена ошибка безопасности памяти CVE-2022-34484, присущая Firefox 101 и Firefox ESR 91.10, которая при достаточном усилии некоторые из них могли быть использованы для RCE.
Обновленный Firefox 102 также содержит улучшенную защиту конфиденциальности, ограничивая отслеживание параметров запросов при навигации по Интернету с включенным режимом строгой защиты (ETP).
С ее помощью Firefox ограничивает использование файлы cookie сайтами, которые их создали, что предотвращает межсайтовое отслеживание. Новая возможность браузера позволяет блокировать конкретные параметры отслеживания, которые веб-сайты могут использовать для обхода защиты конфиденциальности.
Кроме того, Firefox 102 реализует декодирование звука в рамках отдельного процесса с более эффективной песочницей, улучшая его изоляцию.
Mozilla
Security Vulnerabilities fixed in Firefox 102
Исследователи SonarSource обнаружили новую уязвимость Path Traversal (CVE-2022-30333) в утилите UnRAR от RARlab, которая позволяет удаленно взламывать серверы веб-почты Zimbra.
Корпоративным решением для работы с электронной почтой пользуются более 200 000 предприятиями, в том числе в госсекторе и финансовых учреждениях.
0-day уязвимость в утилите unrar, используемой в Zimbra, в конечном итоге позволяет удаленному злоумышленнику выполнить произвольный код на уязвимом экземпляре, не требуя предварительной аутентификации
CVE-2022-30333 в бинарном файле unrar, разработанном RarLab, представляет собой уязвимость записи файла, которую можно использовать, обманом заставляя жертв извлекать злонамеренно созданные архивы RAR.
Злоумышленник может создавать файлы за пределами целевого каталога извлечения, когда приложение или пользователь извлекает ненадежный архив.
Эксперты отметили, что в случае с Zimbra злоумышленники могут использовать эту проблему для доступа ко всей электронной коррепондеции почтовом сервере.
Злоумышленник может полностью скомпрометировать сервер, установить бэкдор и использовать скомпрометированную машину в качестве опорной точки для нападения на другие системы организации.
Единственным требованием для этой атаки является наличие на сервере unrar.
Проблема связана с атакой по символической ссылке.
Злоумышленник может создать RAR-архив, содержащий символическую ссылку, содержащую прямую и обратную косую черту (например, «..\..\..\tmp/shell»), чтобы обойти текущие проверки и извлечь его за пределы целевого каталога извлечения. Это происходит благодаря функции, которая преобразует обратную косую черту в прямую косую в архивах RAR, созданных в Windows, для извлечения в системах Unix.
Уязвимость таким образом может использоваться для записи произвольных файлов в целевой файловой системе, включая запись оболочки JSP в оболочку веб-каталога в Zimbra.
Учитывая, что потенциальный злоумышленник может добиться реализации RCE различными способами, ресерчеры рекомендуют немедленно обновить unrar, даже если ваш веб-сервер и почтовый сервер не находятся на одной физической машине.
Корпоративным решением для работы с электронной почтой пользуются более 200 000 предприятиями, в том числе в госсекторе и финансовых учреждениях.
0-day уязвимость в утилите unrar, используемой в Zimbra, в конечном итоге позволяет удаленному злоумышленнику выполнить произвольный код на уязвимом экземпляре, не требуя предварительной аутентификации
CVE-2022-30333 в бинарном файле unrar, разработанном RarLab, представляет собой уязвимость записи файла, которую можно использовать, обманом заставляя жертв извлекать злонамеренно созданные архивы RAR.
Злоумышленник может создавать файлы за пределами целевого каталога извлечения, когда приложение или пользователь извлекает ненадежный архив.
Эксперты отметили, что в случае с Zimbra злоумышленники могут использовать эту проблему для доступа ко всей электронной коррепондеции почтовом сервере.
Злоумышленник может полностью скомпрометировать сервер, установить бэкдор и использовать скомпрометированную машину в качестве опорной точки для нападения на другие системы организации.
Единственным требованием для этой атаки является наличие на сервере unrar.
Проблема связана с атакой по символической ссылке.
Злоумышленник может создать RAR-архив, содержащий символическую ссылку, содержащую прямую и обратную косую черту (например, «..\..\..\tmp/shell»), чтобы обойти текущие проверки и извлечь его за пределы целевого каталога извлечения. Это происходит благодаря функции, которая преобразует обратную косую черту в прямую косую в архивах RAR, созданных в Windows, для извлечения в системах Unix.
Уязвимость таким образом может использоваться для записи произвольных файлов в целевой файловой системе, включая запись оболочки JSP в оболочку веб-каталога в Zimbra.
Учитывая, что потенциальный злоумышленник может добиться реализации RCE различными способами, ресерчеры рекомендуют немедленно обновить unrar, даже если ваш веб-сервер и почтовый сервер не находятся на одной физической машине.
Sonarsource
Unrar Path Traversal Vulnerability affects Zimbra Mail
We discovered a vulnerability in Zimbra Enterprise Email that allows an unauthenticated, remote attacker fully take over Zimbra instances via a flaw in unrar.
Если вы вдруг увлекаетесь медиаконтентом, который заливаете на ютубчик и используете в своем творческом начинании пиратский софт BS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Antares Auto-Tune Pro и Filmora, то после прочтения статьи рекомендуем хотябы перелогиниться.
Дело в том, что специалисты из Intezer поведали общественности о новом стилере YTStealer нацеленном исключительно на создателей контента YouTube для кражи пользовательских файлов cookie аутентификации видеохостинга.
Читерам и любителям игр тоже стоит обеспокоится, так как YTStealer может выдавать себя за моды Grand Theft Auto V, читы для Counter-Strike Go, Call of Duty, Valorant, Roblox.
YTStealer максимально хитрая софтина и перед развертыванием на компьютере жертвы с помощью инструмента Chacal сначала проверяет файлы браузера в поисках токенов аутентификации YouTube. Далее чекает их, запуская веб-браузер в автономном режиме и если токен валиден, то стилер собирает информацию о названии канала, статусе, подписчиках, монетизации и т.п.
Потом все это добро шифруется, причем уникальным для каждого образца ключом и отправляется вместе с идентификатором образца на C2.
Ну а после аккаунт либо "отжимается", чтоб хоть как-то монетизировать труды злоумышленников, либо просто сливается в даркнете. Стоимость разумеется зависит от размера и статуса канала.
Самое обидное, что многофакторная аутентификация тут не поможет, так как токены аутентификации могут обойти 2ФА и позволить злоумышленникам получить доступ к аккаунту.
В Intezer отметили, что YTStealer из-за своей узкой направленностью именно на YouTube делает операции по краже токенов аутентификации крайне эффективными.
Из рекомендаций можно посоветовать не использовать пиратский софт и время от времени выходить из аккаунта, чтобы сбросить токены аутентификации, которые могли быть украдены ранее.
Дело в том, что специалисты из Intezer поведали общественности о новом стилере YTStealer нацеленном исключительно на создателей контента YouTube для кражи пользовательских файлов cookie аутентификации видеохостинга.
Читерам и любителям игр тоже стоит обеспокоится, так как YTStealer может выдавать себя за моды Grand Theft Auto V, читы для Counter-Strike Go, Call of Duty, Valorant, Roblox.
YTStealer максимально хитрая софтина и перед развертыванием на компьютере жертвы с помощью инструмента Chacal сначала проверяет файлы браузера в поисках токенов аутентификации YouTube. Далее чекает их, запуская веб-браузер в автономном режиме и если токен валиден, то стилер собирает информацию о названии канала, статусе, подписчиках, монетизации и т.п.
Потом все это добро шифруется, причем уникальным для каждого образца ключом и отправляется вместе с идентификатором образца на C2.
Ну а после аккаунт либо "отжимается", чтоб хоть как-то монетизировать труды злоумышленников, либо просто сливается в даркнете. Стоимость разумеется зависит от размера и статуса канала.
Самое обидное, что многофакторная аутентификация тут не поможет, так как токены аутентификации могут обойти 2ФА и позволить злоумышленникам получить доступ к аккаунту.
В Intezer отметили, что YTStealer из-за своей узкой направленностью именно на YouTube делает операции по краже токенов аутентификации крайне эффективными.
Из рекомендаций можно посоветовать не использовать пиратский софт и время от времени выходить из аккаунта, чтобы сбросить токены аутентификации, которые могли быть украдены ранее.
Intezer
YTStealer Malware: “YouTube Cookies! Om Nom Nom Nom”
The Stage: The Dark Web Market for YouTube Account Access In 2006, the term “data is the new oil” was coined. Ever since then, the value of data has just increased. We live in a world where many corporations collect data on users in an attempt to monetize…
Стали известны подробности произошедшей в выходные разрушительной кибератаки на стратегические объекты металлургии Ирана - Hormozgan Steel, Khouzestan Steel и Mobarakeh Steel, ответственность за которую вязала на себя группа Gonjeshke Darande.
Ресерчерам Check Point удалось обнаружить файлы, связанные с атакой, первоначальный анализ которых указывает, что вредоносное ПО, получившее наименование Chaplin, непосредственным образом также связано с прошлогодними атаками на Иранские железные дороги.
Исполняемый файл Chaplin.exe представляет собой вариант Meteor - вайпера, замеченного в атаках на железные дороги и правительство Ирана. Оба имеют общую кодовую базу, но у Chaplin, в отличие от Meteor и его предыдущих вариантов - Stardust и Comet, отсутствует функция очистки.
Кроме того, Chaplin не содержит журналов отладки, но включает важную информацию о RTTI. Он начинает свое выполнение с отключения сетевых адаптеров, выхода пользователя из системы и выполнения двоичного файла в новом потоке Screen.exe.
Файл принудительно включает дисплей, блокирует взаимодействие пользователя с компьютером и воспроизводит video.wmv с использованием COM-объекта Filter Graph Manager и удаляет раздел реестра "Lsa", препятствуя правильной загрузке системы.
Однокадровое видео совпадает с фотографией загруженной хакерами в соцсети, отображая логотипы жертв Predatory Sparrow: Khouzestan Steel Company (KSC), Иранскую нефтяную компанию, Министерство дорог и городского развития, Иранские железные дороги.
Как и в предыдущих инцидентах, хакеры оставили для связи номер телефона, принадлежащий офису верховного лидера Ирана.
В настоящее время неясно, есть ли у Chaplin какие-либо модули, которые позволяли бы ей взаимодействовать с промышленным оборудованием в сети OT компании Khouzestan Steel.
Исследователи Certfa Labs, судя по представленному хакерами видео, предполагают, что взаимодействие с промышленным оборудованием завода могло происходить по другому каналу - через панель управления, принадлежащую Irisa, которая предоставляет сетевые услуги и обеспечивает промышленную инфраструктуру для иранских компаний.
Специалисты при этом не исключают, что Gonjeshke Darande, по-прежнему, могут иметь доступ к сетям других организаций.
Ресерчерам Check Point удалось обнаружить файлы, связанные с атакой, первоначальный анализ которых указывает, что вредоносное ПО, получившее наименование Chaplin, непосредственным образом также связано с прошлогодними атаками на Иранские железные дороги.
Исполняемый файл Chaplin.exe представляет собой вариант Meteor - вайпера, замеченного в атаках на железные дороги и правительство Ирана. Оба имеют общую кодовую базу, но у Chaplin, в отличие от Meteor и его предыдущих вариантов - Stardust и Comet, отсутствует функция очистки.
Кроме того, Chaplin не содержит журналов отладки, но включает важную информацию о RTTI. Он начинает свое выполнение с отключения сетевых адаптеров, выхода пользователя из системы и выполнения двоичного файла в новом потоке Screen.exe.
Файл принудительно включает дисплей, блокирует взаимодействие пользователя с компьютером и воспроизводит video.wmv с использованием COM-объекта Filter Graph Manager и удаляет раздел реестра "Lsa", препятствуя правильной загрузке системы.
Однокадровое видео совпадает с фотографией загруженной хакерами в соцсети, отображая логотипы жертв Predatory Sparrow: Khouzestan Steel Company (KSC), Иранскую нефтяную компанию, Министерство дорог и городского развития, Иранские железные дороги.
Как и в предыдущих инцидентах, хакеры оставили для связи номер телефона, принадлежащий офису верховного лидера Ирана.
В настоящее время неясно, есть ли у Chaplin какие-либо модули, которые позволяли бы ей взаимодействовать с промышленным оборудованием в сети OT компании Khouzestan Steel.
Исследователи Certfa Labs, судя по представленному хакерами видео, предполагают, что взаимодействие с промышленным оборудованием завода могло происходить по другому каналу - через панель управления, принадлежащую Irisa, которая предоставляет сетевые услуги и обеспечивает промышленную инфраструктуру для иранских компаний.
Специалисты при этом не исключают, что Gonjeshke Darande, по-прежнему, могут иметь доступ к сетям других организаций.
X (formerly Twitter)
Check Point Research (@_CPResearch_) on X
#BREAKING We found files related to the attack against the Steel Industry in Iran.
Initial analysis shows that the malware is connected to the attacks against Iran Railways last year, an attack that was thoroughly described in our previous research.
Here's…
Initial analysis shows that the malware is connected to the attacks against Iran Railways last year, an attack that was thoroughly described in our previous research.
Here's…
В деле кражи криптоактивов на 100 миллионов долларов у Harmony Horizon Bridge появился подозреваемый, которого вы уже давно прекрасно знаете - Lazarus Group, ответственные за аналогичную атаку на Ronin Bridge в марте 2022 году.
Напомним, что инцидент, о котором мы сообщали ранее, произошел 23 июня, когда хакерам удалось извлечь токены, хранящиеся в мосту, и впоследствии похитить криптовалюту Ether (ETH), Tether (USDT), Wrapped Bitcoin (WBTC) и BNB.
Аналитическая компания Elliptic смогла отследить движение украденных средств.
Сразу после вывода активов злоумышленники немедленно воспользовались децентрализованной биржей Uniswap (DEX) для конвертации большей части этих активов в общую сумму 85 837 ETH.
Несколько дней спустя, 27 июня, преступники приступили к выводу средства на сумму 39 миллионов долларов через микшер Tornado Cash, однако Elliptic удалось «разделить» транзакции и отследить украденные средства, направленные через сервис на ряд новых кошельков Ethereum.
При этом время совершения транзакций с Tornado cash соответствовало временному поясу Азиатско-Тихоокеанского региона.
В ходе расследования инцидента стало понятно, что кража была совершена путем компрометации криптографических ключей кошелька с мультиподписью — вероятно, посредством социальной инженерии на членов команды Harmony.
Атрибуция атаки к Lazarus Group, по большей части, строится на косвенных совпадениях с прошлыми атаками и таргетингом АРТ, а также совпадении механизма легализации украденных средств.
Тем не менее, Harmony подключила все криптосообщество и силовой блок, а также назначила награду в 10 миллионов долларов за любую информацию, которая приведет к возврату активов. Злоумышленникам на эксклюзивных условиях предложено вернуть похищенные средства до 4 июля 2022 года за минусом 10 процентов от суммы.
Полагаем, что к этому времени ситуация вряд ли разрешится, по крайней мере, на условиях Harmony. Но будем посмотреть.
Напомним, что инцидент, о котором мы сообщали ранее, произошел 23 июня, когда хакерам удалось извлечь токены, хранящиеся в мосту, и впоследствии похитить криптовалюту Ether (ETH), Tether (USDT), Wrapped Bitcoin (WBTC) и BNB.
Аналитическая компания Elliptic смогла отследить движение украденных средств.
Сразу после вывода активов злоумышленники немедленно воспользовались децентрализованной биржей Uniswap (DEX) для конвертации большей части этих активов в общую сумму 85 837 ETH.
Несколько дней спустя, 27 июня, преступники приступили к выводу средства на сумму 39 миллионов долларов через микшер Tornado Cash, однако Elliptic удалось «разделить» транзакции и отследить украденные средства, направленные через сервис на ряд новых кошельков Ethereum.
При этом время совершения транзакций с Tornado cash соответствовало временному поясу Азиатско-Тихоокеанского региона.
В ходе расследования инцидента стало понятно, что кража была совершена путем компрометации криптографических ключей кошелька с мультиподписью — вероятно, посредством социальной инженерии на членов команды Harmony.
Атрибуция атаки к Lazarus Group, по большей части, строится на косвенных совпадениях с прошлыми атаками и таргетингом АРТ, а также совпадении механизма легализации украденных средств.
Тем не менее, Harmony подключила все криптосообщество и силовой блок, а также назначила награду в 10 миллионов долларов за любую информацию, которая приведет к возврату активов. Злоумышленникам на эксклюзивных условиях предложено вернуть похищенные средства до 4 июля 2022 года за минусом 10 процентов от суммы.
Полагаем, что к этому времени ситуация вряд ли разрешится, по крайней мере, на условиях Harmony. Но будем посмотреть.
www.elliptic.co
The $100 million Horizon hack: following the trail through Tornado Cash to North Korea
There are strong indications that North Korea’s Lazarus Group may be responsible for the Horizon hack, according to Elliptic research.
Amazon незаметно пофиксили полгода назад серьезную уязвимость, затрагивающую Android-приложение Amazon Photos. При этом Amazon Photos для Android было загружено более 50 миллионов раз в Google Play, прежде чем был выпущен патч.
Amazon Photos — это приложение для хранения изображений и видео, которое позволяет пользователям беспрепятственно делиться своими снимками с пятью членами семьи, предлагая мощные функции управления и организации.
Исследователи Checkmarx сообщили о найденной проблеме через программу исследования уязвимостей Amazon 7 ноября 2021 года, на следующий день компания подтвердила ошибку, классифицировав ее как уязвимость высокой степени серьезности.
18 декабря 2021 года Amazon уведомила ресерчеров о закрытии недостатка, однако пользователи приложения до настоящего времени не были проинформированы.
Эксплуатация ошибки позволяло вредоносному приложению, установленному на том же устройстве, украсть токены доступа Amazon, используемые для аутентификации Amazon API.
Многие из API содержат личные данные, такие как имена, адреса электронной почты, адреса и многое другое. Некоторые, например Amazon Drive API, предоставляют хакеру полный доступ к файлам человека.
Недостаток, обнаруженный исследователями Checkmarx, заключается в неправильной настройке компонента приложения - com.amazon.gallery.thor.app.activity.ThorViewActivity, в результате чего его файл манифеста становится доступным извне без аутентификации.
При запуске компонент инициирует HTTP-запрос, содержащий заголовок с токеном пользователя. Исследователи Checkmarx обнаружили, что внешнее приложение может легко запустить уязвимую активность и инициировать запрос по желанию, отправив токен на сервер, контролируемый субъектом.
Аналитики апробировали различные сценарии использования полученного токена, такие как выполнение действий с файлами в облачном хранилище Amazon Drive жертвы, стирание истории, чтобы удаленные данные нельзя было восстановить, и многое другое.
Сценарий ransomware был самым вероятным вектором атаки: злоумышленнику необходимо лишь прочитать, зашифровать и перезаписать файлы клиента, стерев их историю.
Тот же токен может использоваться другими API-интерфейсами Amazon, такими как Prime Video, Alexa, Kindle и др, поэтому потенциал эксплуатации уязвимости был достаточно велик.
Вместе с тем, Amazon заявляет, что у компании нет доказательств того, что в результате этой проблемы была раскрыта конфиденциальная информация о клиентах. Ещё бы.
Amazon Photos — это приложение для хранения изображений и видео, которое позволяет пользователям беспрепятственно делиться своими снимками с пятью членами семьи, предлагая мощные функции управления и организации.
Исследователи Checkmarx сообщили о найденной проблеме через программу исследования уязвимостей Amazon 7 ноября 2021 года, на следующий день компания подтвердила ошибку, классифицировав ее как уязвимость высокой степени серьезности.
18 декабря 2021 года Amazon уведомила ресерчеров о закрытии недостатка, однако пользователи приложения до настоящего времени не были проинформированы.
Эксплуатация ошибки позволяло вредоносному приложению, установленному на том же устройстве, украсть токены доступа Amazon, используемые для аутентификации Amazon API.
Многие из API содержат личные данные, такие как имена, адреса электронной почты, адреса и многое другое. Некоторые, например Amazon Drive API, предоставляют хакеру полный доступ к файлам человека.
Недостаток, обнаруженный исследователями Checkmarx, заключается в неправильной настройке компонента приложения - com.amazon.gallery.thor.app.activity.ThorViewActivity, в результате чего его файл манифеста становится доступным извне без аутентификации.
При запуске компонент инициирует HTTP-запрос, содержащий заголовок с токеном пользователя. Исследователи Checkmarx обнаружили, что внешнее приложение может легко запустить уязвимую активность и инициировать запрос по желанию, отправив токен на сервер, контролируемый субъектом.
Аналитики апробировали различные сценарии использования полученного токена, такие как выполнение действий с файлами в облачном хранилище Amazon Drive жертвы, стирание истории, чтобы удаленные данные нельзя было восстановить, и многое другое.
Сценарий ransomware был самым вероятным вектором атаки: злоумышленнику необходимо лишь прочитать, зашифровать и перезаписать файлы клиента, стерев их историю.
Тот же токен может использоваться другими API-интерфейсами Amazon, такими как Prime Video, Alexa, Kindle и др, поэтому потенциал эксплуатации уязвимости был достаточно велик.
Вместе с тем, Amazon заявляет, что у компании нет доказательств того, что в результате этой проблемы была раскрыта конфиденциальная информация о клиентах. Ещё бы.
Vimeo
Amazon Photo Vulnerability video.mp4
Demonstration of an Amazon Photo Vulnerability discovered by Checkmarx
͏Вымогатели Yanluowang заявили об атаке на американского ритейлера Walmart, зашифровав тысячи хостов.
В начале недели новоиспеченная банда Yanluowang опубликовала запись на своем сайте DLS с информацией о шифровании от 40 000 до 50 000 устройств в сети Walmart. Хакеры пояснили, что провели атаку более месяца назад и смогли зашифровать устройства, эксфильтрацию при этом им не удалось завершить.
В свою очередь, руководство компании не подтверждает инцидент, уверяя, что их команда ИБ бдит за системами 24/7.
Тем не менее, в качестве доказательств вымогатели опубликовали файлы, которые якобы содержат информацию с домена Windows Walmart, включая сертификат безопасности, список пользователей домена и результаты kerberoasting.
Сумма выкупа составила 55 миллионов долларов, однако официально ритейлер отказался от переговорного процесса.
Собственно, для владельца активов стоимостью более 300 млрд. долларов и не менее внушительным оборотом почти в 500 млрд., сумма выкупа выглядит смешной.
А, учитывая подлинность представленных пруффов, позиция Walmart вряд ли соответствует официально заявленной.
Если Walmart и удалось по-легкому отскочить от атаки с использованием ransomware, то издательскому гиганту Macmillan на этой неделе пришлось отключить всю сеть и закрыть офисы после произошедшего 25 июня киберинцидента, который связан с шифрованием определенных файлов в корпоративной сети.
Сотрудники утратили доступ к своим системам, электронной почте и файлам, о чем уведомили своих контрагентов и клиентов. К настоящему времени Macmillan удалось восстановить часть инфраструктуры, ведутся работы по возобновлению работы офисов.
Кто стоит за нападением и какую информацию удалось выкрасть хакерам пока неизвестно, но виновник не заставит себя ждать. Так что будем посмотреть.
В начале недели новоиспеченная банда Yanluowang опубликовала запись на своем сайте DLS с информацией о шифровании от 40 000 до 50 000 устройств в сети Walmart. Хакеры пояснили, что провели атаку более месяца назад и смогли зашифровать устройства, эксфильтрацию при этом им не удалось завершить.
В свою очередь, руководство компании не подтверждает инцидент, уверяя, что их команда ИБ бдит за системами 24/7.
Тем не менее, в качестве доказательств вымогатели опубликовали файлы, которые якобы содержат информацию с домена Windows Walmart, включая сертификат безопасности, список пользователей домена и результаты kerberoasting.
Сумма выкупа составила 55 миллионов долларов, однако официально ритейлер отказался от переговорного процесса.
Собственно, для владельца активов стоимостью более 300 млрд. долларов и не менее внушительным оборотом почти в 500 млрд., сумма выкупа выглядит смешной.
А, учитывая подлинность представленных пруффов, позиция Walmart вряд ли соответствует официально заявленной.
Если Walmart и удалось по-легкому отскочить от атаки с использованием ransomware, то издательскому гиганту Macmillan на этой неделе пришлось отключить всю сеть и закрыть офисы после произошедшего 25 июня киберинцидента, который связан с шифрованием определенных файлов в корпоративной сети.
Сотрудники утратили доступ к своим системам, электронной почте и файлам, о чем уведомили своих контрагентов и клиентов. К настоящему времени Macmillan удалось восстановить часть инфраструктуры, ведутся работы по возобновлению работы офисов.
Кто стоит за нападением и какую информацию удалось выкрасть хакерам пока неизвестно, но виновник не заставит себя ждать. Так что будем посмотреть.
Broadcom сообщила об уязвимостях в ПО своей дочерней компании Brocade, специализирующейся на сетевом хранении данных. Выявленные уязвимости, в свою очередь, также могут повлиять на решения для хранения данных других крупных компаний.
Речь идет о приложении управления сетью хранения данных (SAN) Brocade SANnav, в котором было обнаружено девять ошибок.
Шесть из них влияют на сторонние компоненты, такие как OpenSSL, Oracle Java и NGINX, им был присвоен рейтинг средней и низкой серьезности. Использование этих недостатков может позволить злоумышленнику, не прошедшему проверку подлинности, манипулировать данными, расшифровывать данные и вызывать состояние отказа в обслуживании (DoS).
Три другие уязвимости в Brocade SANnav получили высокий уровень серьезности, поскольку позволяют злоумышленнику получить пароли коммутатора, сервера из файлов журнала, а также перехватить потенциально конфиденциальную информацию благодаря шифрованию со статическим ключом.
CVE-2022-28167 , CVE-2022-28168 и CVE-2022-28166 были обнаружены специалистами самой компании, конечно же, никаких доказательств их использования в дикой природе нет, а сами баги уже давно исправлены.
Однако зависимые от ПО Brocade решения для хранения данных компаний могут быть также подвержены этим уязвимостям.
На этой неделе HPE проинформировала клиентов о том , что портал управления SANnav серии B содержит названные ошибки, посоветовав установить последние обновления. По мнению производителя, уязвимости могут использоваться локально и удаленно для раскрытия конфиденциальной информации, осуществления несанкционированного доступа и изменения данных, а также для частичного отказа в обслуживании.
NetApp, другой партнер Brocade, опубликовал отдельные рекомендации по специфическим уязвимостям Brocade SANnav. Собственные продукты NetApp, похоже, не затронуты.
Помимо указанных Brocade также имеет партнерские отношения с Dell, Fujitsu, Huawei, IBM и Lenovo. К настоящему времени ни один из OEM-партнеров Brocade, не опубликовал рекомендации по уязвимостям SANnav, поэтому еще неясно, какое ПО также можно считать уязвимым.
Речь идет о приложении управления сетью хранения данных (SAN) Brocade SANnav, в котором было обнаружено девять ошибок.
Шесть из них влияют на сторонние компоненты, такие как OpenSSL, Oracle Java и NGINX, им был присвоен рейтинг средней и низкой серьезности. Использование этих недостатков может позволить злоумышленнику, не прошедшему проверку подлинности, манипулировать данными, расшифровывать данные и вызывать состояние отказа в обслуживании (DoS).
Три другие уязвимости в Brocade SANnav получили высокий уровень серьезности, поскольку позволяют злоумышленнику получить пароли коммутатора, сервера из файлов журнала, а также перехватить потенциально конфиденциальную информацию благодаря шифрованию со статическим ключом.
CVE-2022-28167 , CVE-2022-28168 и CVE-2022-28166 были обнаружены специалистами самой компании, конечно же, никаких доказательств их использования в дикой природе нет, а сами баги уже давно исправлены.
Однако зависимые от ПО Brocade решения для хранения данных компаний могут быть также подвержены этим уязвимостям.
На этой неделе HPE проинформировала клиентов о том , что портал управления SANnav серии B содержит названные ошибки, посоветовав установить последние обновления. По мнению производителя, уязвимости могут использоваться локально и удаленно для раскрытия конфиденциальной информации, осуществления несанкционированного доступа и изменения данных, а также для частичного отказа в обслуживании.
NetApp, другой партнер Brocade, опубликовал отдельные рекомендации по специфическим уязвимостям Brocade SANnav. Собственные продукты NetApp, похоже, не затронуты.
Помимо указанных Brocade также имеет партнерские отношения с Dell, Fujitsu, Huawei, IBM и Lenovo. К настоящему времени ни один из OEM-партнеров Brocade, не опубликовал рекомендации по уязвимостям SANnav, поэтому еще неясно, какое ПО также можно считать уязвимым.
Hpe
Document Display | HPE Support Center
͏У потерпевших от программы-вымогателя Hive сегодня праздник, так как южнокорейское агентство кибербезопасности KISA выпустило бесплатный дешифратор для версий от v1 до v4.
KISA распространяет интегрированный инструмент восстановления Hive Ransomware, который поможет расшифровать данные, о чем говорится в сообщении, опубликованном агентством.
Инструмент включает в себя исполняемый файл вместе с руководством пользователя, в котором содержится пошаговая инструкции по бесплатному восстановлению зашифрованных данных.
Борьба с вымогателями Hive осуществляется с июня 2021 года и мы не раз писали о "подвигах" группировки. Отягчает обстоятельство то, что банда предоставляет программу-вымогатель как услугу и использует модель двойного вымогательства с угрозой публикации данных, украденных у жертв, на их сайте HiveLeaks.
Еще в апреле 2021 года ФБР выпустило экстренное предупреждение Hive, которое включало технические подробности и индикаторы компрометации, связанные с действиями банды.
И по скромным подсчётам компании Chainalysis, программа-вымогатель Hive входит в десятку самых популярных штаммов программ-вымогателей по доходам за 2021 год. Группа использовала различные методы атак, включая кампании по спам-рассылкам, уязвимым RDP-серверам и скомпрометированным учетным данных VPN.
Хорошая новость не была бы реальностью если бы в феврале группа исследователей из Университета Кукмин (Южная Корея) не обнаружила уязвимость в алгоритме шифрования, используемом вымогателем Hive.
Уязвимость позволила специалистам расшифровывать данные, не зная закрытого ключа, используемого злоумышленниками для шифрования файлов.
Весь цинус был в том, что Hive использует гибридную схему шифрования, но использует собственный симметричный шифр для шифрования файлов. Специалистам удалось восстановить мастер-ключ для создания ключа шифрования файла без личного ключа злоумышленника, используя криптографическую уязвимость, обнаруженную в ходе анализа.
В результате экспериментов зашифрованные файлы были успешно расшифрованы с помощью восстановленного мастер-ключа на основе разработанного механизма.
Низкий поклон исследователям из Университета, так как это первая успешная попытка расшифровки ransomware Hive.
Эксперимент показал, что более 95% ключей, используемых для шифрования, могут быть восстановлены с помощью предложенного метода.
KISA распространяет интегрированный инструмент восстановления Hive Ransomware, который поможет расшифровать данные, о чем говорится в сообщении, опубликованном агентством.
Инструмент включает в себя исполняемый файл вместе с руководством пользователя, в котором содержится пошаговая инструкции по бесплатному восстановлению зашифрованных данных.
Борьба с вымогателями Hive осуществляется с июня 2021 года и мы не раз писали о "подвигах" группировки. Отягчает обстоятельство то, что банда предоставляет программу-вымогатель как услугу и использует модель двойного вымогательства с угрозой публикации данных, украденных у жертв, на их сайте HiveLeaks.
Еще в апреле 2021 года ФБР выпустило экстренное предупреждение Hive, которое включало технические подробности и индикаторы компрометации, связанные с действиями банды.
И по скромным подсчётам компании Chainalysis, программа-вымогатель Hive входит в десятку самых популярных штаммов программ-вымогателей по доходам за 2021 год. Группа использовала различные методы атак, включая кампании по спам-рассылкам, уязвимым RDP-серверам и скомпрометированным учетным данных VPN.
Хорошая новость не была бы реальностью если бы в феврале группа исследователей из Университета Кукмин (Южная Корея) не обнаружила уязвимость в алгоритме шифрования, используемом вымогателем Hive.
Уязвимость позволила специалистам расшифровывать данные, не зная закрытого ключа, используемого злоумышленниками для шифрования файлов.
Весь цинус был в том, что Hive использует гибридную схему шифрования, но использует собственный симметричный шифр для шифрования файлов. Специалистам удалось восстановить мастер-ключ для создания ключа шифрования файла без личного ключа злоумышленника, используя криптографическую уязвимость, обнаруженную в ходе анализа.
В результате экспериментов зашифрованные файлы были успешно расшифрованы с помощью восстановленного мастер-ключа на основе разработанного механизма.
Низкий поклон исследователям из Университета, так как это первая успешная попытка расшифровки ransomware Hive.
Эксперимент показал, что более 95% ключей, используемых для шифрования, могут быть восстановлены с помощью предложенного метода.
Исследователи Лаборатории Касперского расчехлили вредоносное ПО SessionManager, впервые обнаруженное в начале 2022 года и представляющее собой вредоносный модуль с собственным кодом для программного обеспечения веб-сервера Microsoft Internet Information Services (IIS).
Вообще, эксплуатация уязвимостей серверов Exchange с первого квартала 2021 года стала приоритетом для киберпреступников в целевых атаках.
С тех пор специалисты компании внимательно следили за новой возможностью для киберпреступников, развертывающих бэкдор в IIS, которая стала настоящим трендом для тех, кто ранее эксплуатировал ProxyLogon в Microsoft Exchange.
SessionManager был обнаружен как раз в ходе поиска этих бэкдоров в IIS, подобных Owowa, еще одному вредоносному модулю IIS, который злоумышленники развертывали на серверах Microsoft Exchange Outlook Web Access с конца 2020 года для кражи учетных данных Exchange.
Бэкдор позволяет злоумышленникам сохранять постоянный, устойчивый к обновлениям и довольно скрытый доступ к ИТ-инфраструктуре целевой организации.
После развертывания вредоносный модуль IIS позволяет операторам извлекать учетные данные из системной памяти, собирать информацию из сети жертв и зараженных устройств, а также доставлять дополнительные полезные нагрузки (например, рефлективный загрузчик Mimikatz на основе PowerSploit, Mimikatz SSP, ProcDump и инструмент дампа памяти Avast).
Возможности SessionManager включают, среди прочего: удаление и управление произвольными файлами на скомпрометированных серверах; удаленное выполнение команд на устройствах с бэкдором; подключение к конечным точкам в локальной сети жертвы и управление сетевым трафиком.
Отличительной особенностью SessionManager является низкая скорость обнаружения. Малварь использовался в дикой природе без обнаружения по крайней мере с марта 2021 года, сразу после начала прошлогодней массовой волны атак ProxyLogon.
Как отмечают ресерчеры, SessionManager был почти незаметен в течение года и до сих пор используется в дикой природе.
Лаборатория Касперского обнаружила, что большинство выявленных ранее образцов вредоносных программ, по-прежнему развернуты на 34 серверах 24 организаций (по состоянию на июнь 2022 года) Европы, Ближнего Востока, Азии и Африки.
Оператор SessionManager при этом проявляет особый интерес к неправительственным организациям и государственным организациям, но жертвами также становятся медицинские организации, нефтяные компании, транспортные компании и другие.
Основываясь на сходстве виктимологии и использовании распространенного варианта OwlProxy, эксперты Лаборатории Касперского полагают, что бэкдор SessionManager IIS использовался в этих атаках Gelsemium APT в рамках широкомасштабной шпионской кампании.
Группа активна по крайней мере с 2014 года. Gelsemium APT в известна тем, что нацелена на правительства, производителей электроники и университеты из Восточной Азии и Ближнего Востока и по большей части остается достаточно скрытной.
И не удивительно: многие целевые организации до сих пор скомпрометированы.
Вообще, эксплуатация уязвимостей серверов Exchange с первого квартала 2021 года стала приоритетом для киберпреступников в целевых атаках.
С тех пор специалисты компании внимательно следили за новой возможностью для киберпреступников, развертывающих бэкдор в IIS, которая стала настоящим трендом для тех, кто ранее эксплуатировал ProxyLogon в Microsoft Exchange.
SessionManager был обнаружен как раз в ходе поиска этих бэкдоров в IIS, подобных Owowa, еще одному вредоносному модулю IIS, который злоумышленники развертывали на серверах Microsoft Exchange Outlook Web Access с конца 2020 года для кражи учетных данных Exchange.
Бэкдор позволяет злоумышленникам сохранять постоянный, устойчивый к обновлениям и довольно скрытый доступ к ИТ-инфраструктуре целевой организации.
После развертывания вредоносный модуль IIS позволяет операторам извлекать учетные данные из системной памяти, собирать информацию из сети жертв и зараженных устройств, а также доставлять дополнительные полезные нагрузки (например, рефлективный загрузчик Mimikatz на основе PowerSploit, Mimikatz SSP, ProcDump и инструмент дампа памяти Avast).
Возможности SessionManager включают, среди прочего: удаление и управление произвольными файлами на скомпрометированных серверах; удаленное выполнение команд на устройствах с бэкдором; подключение к конечным точкам в локальной сети жертвы и управление сетевым трафиком.
Отличительной особенностью SessionManager является низкая скорость обнаружения. Малварь использовался в дикой природе без обнаружения по крайней мере с марта 2021 года, сразу после начала прошлогодней массовой волны атак ProxyLogon.
Как отмечают ресерчеры, SessionManager был почти незаметен в течение года и до сих пор используется в дикой природе.
Лаборатория Касперского обнаружила, что большинство выявленных ранее образцов вредоносных программ, по-прежнему развернуты на 34 серверах 24 организаций (по состоянию на июнь 2022 года) Европы, Ближнего Востока, Азии и Африки.
Оператор SessionManager при этом проявляет особый интерес к неправительственным организациям и государственным организациям, но жертвами также становятся медицинские организации, нефтяные компании, транспортные компании и другие.
Основываясь на сходстве виктимологии и использовании распространенного варианта OwlProxy, эксперты Лаборатории Касперского полагают, что бэкдор SessionManager IIS использовался в этих атаках Gelsemium APT в рамках широкомасштабной шпионской кампании.
Группа активна по крайней мере с 2014 года. Gelsemium APT в известна тем, что нацелена на правительства, производителей электроники и университеты из Восточной Азии и Ближнего Востока и по большей части остается достаточно скрытной.
И не удивительно: многие целевые организации до сих пор скомпрометированы.
www.kaspersky.com
Kaspersky discovers poorly detected backdoor, targeting governments and NGOs around the globe
Kaspersky experts have brought to light a poorly detected SessionManager backdoor that was set up as a malicious module within the Internet Information Services (IIS), a popular web server edited by Microsoft. Once propagated, SessionManager enables a wide…
Исследователи раскрыли технические подробности и представили PoC для критической RCE-уязвимости с оценкой 9,8 из 10 в Zoho ManageEngine ADAudit Plus, которая злоумышленнику, не прошедшему проверку подлинности, компрометировать учетные записи Active Directory.
CVE-2022-28219 была устранена Zoho в конце марта в ADAudit Plus build 7060 почти сразу после уведомления. Ошибку обнаружил ресерчер Навин Санкавалли из Horizon3.ai.
По факту уязвимость включает в себя три недостатка: ненадежная десериализация Java, обход пути и слепая инъекция внешних сущностей XML (XXE), которые в конечном итоге приводят к удаленному выполнению кода без аутентификации.
Как пояснил исследователь, проблема была обнаружена в ходе анализа конечной точки под управлением сервлета CewolfRenderer, в сторонней библиотеке диаграмм Cewolf.
Оказалось, что уязвимость аналогична CVE-2020-10189, обнаруженной в ManageEngine Desktop Central, которая позволяла удаленным злоумышленникам выполнять произвольный код на уязвимых установках, без аутентификации. Проблема была связана с FileStorage из-за отсутствия надлежащей проверки предоставленных пользователем данных, что приводило к десериализации ненадежных данных.
Проанализировав библиотеку, исследователь обнаружил, что программное обеспечение десериализует ненадежный код и не очищает пути к входным файлам. Эксперт смог использовать параметр img для десериализации полезной нагрузки Java в любом месте на диске.
В этом плане весьма востребованной оказалась функция ADAudit Plus сбора событий безопасности с машин в домене, ведь некоторые из конечных точек, которые используются для загрузки событий в ADAudit Plus, работают без проверки подлинности.
Далее он нашел способ активировать слепую XXE-уязвимость в ProcessTrackingListener, отвечающем за управление событиями с XML-содержимым запланированных задач Windows.
Все получилось благодаря тому, что ADAudit Plus поставлялся со старой средой выполнения Java, которая позволяла передавать файлы и списки каталогов по FTP, а также загружать файлы. По умолчанию в ADAudit Plus используется Java 8u051, а большая часть установок работают под управлением и более старой версии среды выполнения Java.
Расследование также показало, что злоумышленник вполне может собирать и передавать хэши NTLM на компьютерах с Windows независимо от версии среды выполнения Java или уязвимостей XXE, поскольку HTTP-клиент Java реализует аутентификацию через NTLM, в случае подключения к серверу, требующему аутентификации через NTLM.
Злоумышленник, нацеленный на уязвимый ADAudit Plus, также может получить учетные данные для Active Directory и использовать доступ для распространения вредоносного ПО на всех хостах в сети. И несмотря на то, что ADAudit Plus хранит учетные данные в зашифрованном виде, по мнению ресерчера, шифрование можно отменить, чтобы обеспечить к ним доступ в открытом виде.
Как правило, многие пользователи обычно пользуются учетками администратора домена для аудита с помощью ADAudit Plus, в этом случае - актор может перехватить и их. Более безопасно, конечно же, применять отдельные учетные записи служб с ограниченными привилегиями.
Достоверность выводов и образец эксплойта ресерчеры отразили в отчете.
CVE-2022-28219 была устранена Zoho в конце марта в ADAudit Plus build 7060 почти сразу после уведомления. Ошибку обнаружил ресерчер Навин Санкавалли из Horizon3.ai.
По факту уязвимость включает в себя три недостатка: ненадежная десериализация Java, обход пути и слепая инъекция внешних сущностей XML (XXE), которые в конечном итоге приводят к удаленному выполнению кода без аутентификации.
Как пояснил исследователь, проблема была обнаружена в ходе анализа конечной точки под управлением сервлета CewolfRenderer, в сторонней библиотеке диаграмм Cewolf.
Оказалось, что уязвимость аналогична CVE-2020-10189, обнаруженной в ManageEngine Desktop Central, которая позволяла удаленным злоумышленникам выполнять произвольный код на уязвимых установках, без аутентификации. Проблема была связана с FileStorage из-за отсутствия надлежащей проверки предоставленных пользователем данных, что приводило к десериализации ненадежных данных.
Проанализировав библиотеку, исследователь обнаружил, что программное обеспечение десериализует ненадежный код и не очищает пути к входным файлам. Эксперт смог использовать параметр img для десериализации полезной нагрузки Java в любом месте на диске.
В этом плане весьма востребованной оказалась функция ADAudit Plus сбора событий безопасности с машин в домене, ведь некоторые из конечных точек, которые используются для загрузки событий в ADAudit Plus, работают без проверки подлинности.
Далее он нашел способ активировать слепую XXE-уязвимость в ProcessTrackingListener, отвечающем за управление событиями с XML-содержимым запланированных задач Windows.
Все получилось благодаря тому, что ADAudit Plus поставлялся со старой средой выполнения Java, которая позволяла передавать файлы и списки каталогов по FTP, а также загружать файлы. По умолчанию в ADAudit Plus используется Java 8u051, а большая часть установок работают под управлением и более старой версии среды выполнения Java.
Расследование также показало, что злоумышленник вполне может собирать и передавать хэши NTLM на компьютерах с Windows независимо от версии среды выполнения Java или уязвимостей XXE, поскольку HTTP-клиент Java реализует аутентификацию через NTLM, в случае подключения к серверу, требующему аутентификации через NTLM.
Злоумышленник, нацеленный на уязвимый ADAudit Plus, также может получить учетные данные для Active Directory и использовать доступ для распространения вредоносного ПО на всех хостах в сети. И несмотря на то, что ADAudit Plus хранит учетные данные в зашифрованном виде, по мнению ресерчера, шифрование можно отменить, чтобы обеспечить к ним доступ в открытом виде.
Как правило, многие пользователи обычно пользуются учетками администратора домена для аудита с помощью ADAudit Plus, в этом случае - актор может перехватить и их. Более безопасно, конечно же, применять отдельные учетные записи служб с ограниченными привилегиями.
Достоверность выводов и образец эксплойта ресерчеры отразили в отчете.
Horizon3.ai
CVE-2022-28219: Unauthenticated XXE to RCE and Domain Compromise in ManageEngine ADAudit Plus
CVE-2022-28219 is an unauthenticated remote code execution vulnerability affecting Zoho ManageEngine ADAudit Plus, a compliance tool used by enterprises to monitor changes to Active Directory.
Хакеры превратили аккаунты Twitter и YouTube ВС Соединенного Королевства в криптоскам.
В воскресенье наименование аккаунта британской армии в Twitter менялось несколько раз, после чего в ленте были опубликованы посты со ссылками на розыгрыш NFT-токенов.
Поменялся и аватар: сначала - на обезьяну с раскраской, затем - на анимационного робота.
Видеохостинг британской армии также переименовывался под бренд Ark Investment Management LLC. На новом канале хакеры стали крутить интервью с Илоном Маском и другие ролики про криптоинвестиции.
Минобороны Великобритании признало взлом своих учетных записей армии и в настоящий момент ведет расследование, отказываясь от комментариев. Позднее британская армия извинилась за «временный перебой в публикациях».
Представители засветившейся компании Ark Investment также не комментировали инцидент.
В принципе, аватар в Twitter можно было и оставить, как улику на месте происшествия - хотя бы на период расследования.
В воскресенье наименование аккаунта британской армии в Twitter менялось несколько раз, после чего в ленте были опубликованы посты со ссылками на розыгрыш NFT-токенов.
Поменялся и аватар: сначала - на обезьяну с раскраской, затем - на анимационного робота.
Видеохостинг британской армии также переименовывался под бренд Ark Investment Management LLC. На новом канале хакеры стали крутить интервью с Илоном Маском и другие ролики про криптоинвестиции.
Минобороны Великобритании признало взлом своих учетных записей армии и в настоящий момент ведет расследование, отказываясь от комментариев. Позднее британская армия извинилась за «временный перебой в публикациях».
Представители засветившейся компании Ark Investment также не комментировали инцидент.
В принципе, аватар в Twitter можно было и оставить, как улику на месте происшествия - хотя бы на период расследования.
Twitter
We are aware of a breach of the Army’s Twitter and YouTube accounts and an investigation is underway.
The Army takes information security extremely seriously and is resolving the issue. Until their investigation is complete it would be inappropriate to…
The Army takes information security extremely seriously and is resolving the issue. Until their investigation is complete it would be inappropriate to…
Команда безопасности Jenkins обнаружила 34 уязвимости, затрагивающих 29 плагинов для сервера автоматизации с открытым исходным кодом, большинство из которых еще не исправлены.
Jenkins — достаточно популярная платформа (с поддержкой более 1700 подключаемых модулей), используемая разработчиками по всему миру для создания, тестирования и развертывания ПО, имеет сотни тысяч активных установок и более чем 1 млн. пользователей.
Базовые оценки CVSS выявленных и при этом непропатченных 29 0-day варьируются от низкой до высокой степени серьезности, а, согласно данным Jenkins, уязвимые плагины имеют в общей сложности более 22 000 установок.
Проблемы включает ошибки XSS, Stored XSS, подделки межсайтовых запросов (CSRF), отсутствующие или неправильные проверки разрешений, а также пароли, секреты, ключи API и токены, хранящиеся в формате простого текста.
Большинство из наиболее серьезных 0-day требуют взаимодействия с пользователем для эксплуатации в атаках низкой сложности удаленными злоумышленниками с низкими привилегиями.
Согласно Shodan, в настоящее время в сети доступно более 144 000 серверов Jenkins, которые могут стать потенциальной мишенью для атак при условии наличия непропатченного плагина.
Руки разработчиков добрались лишь до 4 из них, включая GitLab, request-plugin, TestNG Results, XebiaLabs XL Release, оставляя, по-прежнему, длинный список уязвимых плагинов.
Безусловно, ни одна из уязвимостей не даст RCE-возможностей злоумышленникам, однако это не гарантирует вовсе их активного задействования в проведении разведки инфраструктуры целевых компаний через неисправленные серверы Jenkins.
Прецеденты, к слову, уже были, достаточно вспомнить прошлогодний z0Miner.
Jenkins — достаточно популярная платформа (с поддержкой более 1700 подключаемых модулей), используемая разработчиками по всему миру для создания, тестирования и развертывания ПО, имеет сотни тысяч активных установок и более чем 1 млн. пользователей.
Базовые оценки CVSS выявленных и при этом непропатченных 29 0-day варьируются от низкой до высокой степени серьезности, а, согласно данным Jenkins, уязвимые плагины имеют в общей сложности более 22 000 установок.
Проблемы включает ошибки XSS, Stored XSS, подделки межсайтовых запросов (CSRF), отсутствующие или неправильные проверки разрешений, а также пароли, секреты, ключи API и токены, хранящиеся в формате простого текста.
Большинство из наиболее серьезных 0-day требуют взаимодействия с пользователем для эксплуатации в атаках низкой сложности удаленными злоумышленниками с низкими привилегиями.
Согласно Shodan, в настоящее время в сети доступно более 144 000 серверов Jenkins, которые могут стать потенциальной мишенью для атак при условии наличия непропатченного плагина.
Руки разработчиков добрались лишь до 4 из них, включая GitLab, request-plugin, TestNG Results, XebiaLabs XL Release, оставляя, по-прежнему, длинный список уязвимых плагинов.
Безусловно, ни одна из уязвимостей не даст RCE-возможностей злоумышленникам, однако это не гарантирует вовсе их активного задействования в проведении разведки инфраструктуры целевых компаний через неисправленные серверы Jenkins.
Прецеденты, к слову, уже были, достаточно вспомнить прошлогодний z0Miner.
Jenkins Security Advisory 2022-06-30
Jenkins – an open source automation server which enables developers around the world to reliably build, test, and deploy their software
В России и мире постоянно происходят утечки персональных данных. Миллионы записей из различных баз данных всплывают на теневых форумах и площадках даркнета.
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку редакция канала дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.
Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и форумов. Редакция канала пишет только про то, что видела сама!
Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку редакция канала дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!
Telegram
Утечки информации
Знаем про утечки все!
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Рекламы нет. Ничего не продаем, не раздаем, никаких ботов и пробива у нас нет. Вопросы "где взять базу?" и "сколько стоит реклама?" - бан.
Админ: @ashotog
ВК: https://vk.com/dataleakage
Наступать на те же грабли в мире информационной безопасности - нормальная практика, а “латать дыры” порой, стоит более основательно.
Собственно о чем речь, а вот о чем: по результатам анализа Google Project Zero за первую половину 2022 года обнаружено в общей сложности 18 эксплуатируемых уязвимостей нулевого дня, половина из которых существует из-за того, что предыдущие ошибки не были должным образом исправлены.
По словам эксперта Мэдди Стоуна 9 из реальных 0-day, наблюдавшихся до сих пор в этом году, можно было бы предотвратить, если бы организации применяли более комплексные исправления, а 4 ошибки 2022 года являются вариантами нулевых дней 2021 года используемых в дикой природе.
Самая последняя из этих проблем — уязвимость Follina в платформе Windows, отслеживаемая как CVE-2022-30190, по сути вариант нулевого дня MSHTML, отслеживаемый как CVE-2021-40444.
CVE-2022-21882 — это еще одна уязвимость Windows, представляющая собой разновидность уязвимости, которая была неправильно устранена в прошлом году, а именно CVE-2021-1732 .
Ошибка iOS IOMobileFrameBuffer (CVE-2022-22587) и уязвимость, связанная с путаницей типов в движке Chrome V8 (CVE-2022-1096) — это две другие ошибки, которые являются вариантами эксплуатируемых уязвимостей безопасности, обнаруженных в прошлом году — CVE-2021-30983 и CVE-2021-30551 соответственно.
Другими 0-day 2022 года, которые являются вариантами неправильно устраненных дефектов безопасности, являются CVE-2022-1364 (Chrome), CVE-2022-22620 (WebKit), CVE-2021-39793 (Google Pixel), CVE-2022-26134 (Atlassian Confluence) и CVE-2022-26925 (уязвимость Windows известная как PetitPotam).
В общем исправили так, что злоумышленники смогли вернуться и активировать первоначальную уязвимость другим путем либо снова использовать те же ошибки.
Это всегда громко и больно, но отчасти хорошо когда эксплойты 0-day обнаруживаются в дикой природе, так как это неудача для злоумышленников, а для инфосек сообщества это подарок, который позволяет узнать как можно больше и принять соответствующие меры, чтобы гарантировать, что этот вектор нельзя будет использовать в будущем.
Чтобы должным образом устранять уязвимости нулевого дня, исследователи Google рекомендуют специалистам по безопасности, разработчикам платформ и другим независимым исследователям в области безопасности инвестировать в анализ основных причин и вариантов возникновения ошибок, анализ исправлений и анализ методов использования.
Собственно о чем речь, а вот о чем: по результатам анализа Google Project Zero за первую половину 2022 года обнаружено в общей сложности 18 эксплуатируемых уязвимостей нулевого дня, половина из которых существует из-за того, что предыдущие ошибки не были должным образом исправлены.
По словам эксперта Мэдди Стоуна 9 из реальных 0-day, наблюдавшихся до сих пор в этом году, можно было бы предотвратить, если бы организации применяли более комплексные исправления, а 4 ошибки 2022 года являются вариантами нулевых дней 2021 года используемых в дикой природе.
Самая последняя из этих проблем — уязвимость Follina в платформе Windows, отслеживаемая как CVE-2022-30190, по сути вариант нулевого дня MSHTML, отслеживаемый как CVE-2021-40444.
CVE-2022-21882 — это еще одна уязвимость Windows, представляющая собой разновидность уязвимости, которая была неправильно устранена в прошлом году, а именно CVE-2021-1732 .
Ошибка iOS IOMobileFrameBuffer (CVE-2022-22587) и уязвимость, связанная с путаницей типов в движке Chrome V8 (CVE-2022-1096) — это две другие ошибки, которые являются вариантами эксплуатируемых уязвимостей безопасности, обнаруженных в прошлом году — CVE-2021-30983 и CVE-2021-30551 соответственно.
Другими 0-day 2022 года, которые являются вариантами неправильно устраненных дефектов безопасности, являются CVE-2022-1364 (Chrome), CVE-2022-22620 (WebKit), CVE-2021-39793 (Google Pixel), CVE-2022-26134 (Atlassian Confluence) и CVE-2022-26925 (уязвимость Windows известная как PetitPotam).
В общем исправили так, что злоумышленники смогли вернуться и активировать первоначальную уязвимость другим путем либо снова использовать те же ошибки.
Это всегда громко и больно, но отчасти хорошо когда эксплойты 0-day обнаруживаются в дикой природе, так как это неудача для злоумышленников, а для инфосек сообщества это подарок, который позволяет узнать как можно больше и принять соответствующие меры, чтобы гарантировать, что этот вектор нельзя будет использовать в будущем.
Чтобы должным образом устранять уязвимости нулевого дня, исследователи Google рекомендуют специалистам по безопасности, разработчикам платформ и другим независимым исследователям в области безопасности инвестировать в анализ основных причин и вариантов возникновения ошибок, анализ исправлений и анализ методов использования.
Blogspot
2022 0-day In-the-Wild Exploitation…so far
Posted by Maddie Stone, Google Project Zero This blog post is an overview of a talk, “ 0-day In-the-Wild Exploitation in 2022…so far”,...
Google экстренно исправляет четвертый за текущий год 0-day в браузере Chrome.
Обновленная версия 103.0.5060.114 для пользователей Windows уже доступна в канале Stable Desktop и содержит исправление для CVE-2022-2294, которая активно используется в дикой природе.
Спешно закрытая ошибка представляет собой серьезную уязвимость переполнения буфера на основе кучи в компоненте WebRTC, о которой 01 июля сообщил Ян Войтесек из команды Avast Threat Intelligence. Последствия успешной эксплуатации варьироваться от RCE до обхода решений безопасности.
Кроме того, в дополнение к CVE-2022-2294 последнее обновление Chrome устраняет также две другие серьезные проблемы: CVE-2022-2295, путаницу типов в движке V8, и CVE-2022-2296, использование после освобождения в компоненте оболочки Chrome OS.
В ближайшие несколько дней исправление Chrome 103 (103.0.5060.71) для Android скоро будет доступно и на Google Play.
Доступ к сведениям об ошибке и подробностям зафиксированных атак органичен до тех, пор пока большинство пользователей не накатят исправления, с чем мы также не рекомендуем затягивать.
Обновленная версия 103.0.5060.114 для пользователей Windows уже доступна в канале Stable Desktop и содержит исправление для CVE-2022-2294, которая активно используется в дикой природе.
Спешно закрытая ошибка представляет собой серьезную уязвимость переполнения буфера на основе кучи в компоненте WebRTC, о которой 01 июля сообщил Ян Войтесек из команды Avast Threat Intelligence. Последствия успешной эксплуатации варьироваться от RCE до обхода решений безопасности.
Кроме того, в дополнение к CVE-2022-2294 последнее обновление Chrome устраняет также две другие серьезные проблемы: CVE-2022-2295, путаницу типов в движке V8, и CVE-2022-2296, использование после освобождения в компоненте оболочки Chrome OS.
В ближайшие несколько дней исправление Chrome 103 (103.0.5060.71) для Android скоро будет доступно и на Google Play.
Доступ к сведениям об ошибке и подробностям зафиксированных атак органичен до тех, пор пока большинство пользователей не накатят исправления, с чем мы также не рекомендуем затягивать.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 103.0.5060.114 for Windows. which will roll out over the coming days/weeks. A full list of changes i...
Команда Django Software Foundation исправила серьезную уязвимость SQL-инъекции в новых выпусках Django 4.0.6 и Django 3.2.14.
Высокоуровневый веб-фреймворк с открытым исходным кодом на основе Python считается лучшим в своем роде. В настоящее время сообщество Django включает более 11 тыс. разработчиков из 166 стран мира.
По некоторым оценкам, десятки тысяч владельцев веб-сайтов выбирают2.14.
Высокв качестве своего фреймворка Model-Template-View. Django используется на сайтах Instagram, Disqus, Mozilla, The Washington Times, Pinterest, YouTube, Google и др.
Отслеживаемая как CVE-2022-34265 представляет собой уязвимость SQL Injection и существует в основной ветке Django, а также в версиях 4.1 (в настоящее время в бета-версии), 4.0 и 3.2. О проблеме сообщил исследователь Такуто Йошикай из Aeye Security Lab.
Ошибка позволяет злоумышленнику атаковать веб-приложения Django с помощью аргументов, переданных посредством функций Trunc (kind) и Extract (lookup_name).
Вместе с тем, приложение не является уязвимым, если оно выполняет какую-либо очистку ввода или экранирование перед передачей этих аргументов в Trunc и Extract.
Django Software Foundation рекомендует разработчикам как можно скорее переходить на исправленную версию Django 4.0.6 или 3.2.14, либо воспользоваться доступными исправления, которые можно применить к существующим уязвимым версиям: main branch, 4.1 release branch, 4.0 release branch или 3.2 release branch.
Высокоуровневый веб-фреймворк с открытым исходным кодом на основе Python считается лучшим в своем роде. В настоящее время сообщество Django включает более 11 тыс. разработчиков из 166 стран мира.
По некоторым оценкам, десятки тысяч владельцев веб-сайтов выбирают2.14.
Высокв качестве своего фреймворка Model-Template-View. Django используется на сайтах Instagram, Disqus, Mozilla, The Washington Times, Pinterest, YouTube, Google и др.
Отслеживаемая как CVE-2022-34265 представляет собой уязвимость SQL Injection и существует в основной ветке Django, а также в версиях 4.1 (в настоящее время в бета-версии), 4.0 и 3.2. О проблеме сообщил исследователь Такуто Йошикай из Aeye Security Lab.
Ошибка позволяет злоумышленнику атаковать веб-приложения Django с помощью аргументов, переданных посредством функций Trunc (kind) и Extract (lookup_name).
Вместе с тем, приложение не является уязвимым, если оно выполняет какую-либо очистку ввода или экранирование перед передачей этих аргументов в Trunc и Extract.
Django Software Foundation рекомендует разработчикам как можно скорее переходить на исправленную версию Django 4.0.6 или 3.2.14, либо воспользоваться доступными исправления, которые можно применить к существующим уязвимым версиям: main branch, 4.1 release branch, 4.0 release branch или 3.2 release branch.
GitHub
Fixed CVE-2022-34265 -- Protected Trunc(kind)/Extract(lookup_name) ag… · django/django@54eb8a3
…ainst SQL injection.
Thanks Takuto Yoshikai (Aeye Security Lab) for the report.
Thanks Takuto Yoshikai (Aeye Security Lab) for the report.
Операторы программы-вымогателя AstraLocker совершили акт доброй воли и выложили дешифратор. Представители банды публично сообщили, что сворачивают деятельность и планируют заниматься относительно безобидным использованием чужих устройств для добычи криптовалюты, ну или как говорят в народе - криптоджекингом.
Разработчик отправил ZIP-архив с дешифраторами AstraLocker на платформу анализа вредоносных программ VirusTotal, а BleepingComputer загрузил и подтвердил, после того как протестировали на одной из жертв зашифрованных в недавней кампании AstroLocker, что дешифраторы легитимны и работают.
Вряд ли злоумышленников замучила совесть и они решили обелиться перед общественностью. Вероятно настоящей причиной прекращения деятельности стало давление со стороны правоохранительных структур в ответ на их недавние нападения.
Как известно AstraLocker основан на исходном коде программы-вымогателя Babuk Locker (Babyk), которая просочилась в сеть в июне 2021 года и, по мнению экспертов из ReversingLabs за нынешней вредоносной программой стоят злоумышленники, которые имеют относительно низкий уровень навыков и беспорядочность действий относительно своих коллег по цеху - методичных и взвешенных операторов Babuk.
Кроме того, эксперты заметили, что адрес кошелька Monero, используемый группой для выкупа, связан с группой Chaos Ransomware.
Данные факты создают определенный риск для банд-вымогателей после утечек кода, так как количество мотивированных мамкиных хацкеров растет, которые активно используют утечку в своих собственных атаках. Дабы отсечь от котлеты школоту и не нервировать правоохранителей своей вездесущностью, операторы решили опубликовать дешифратор и публично сообщить, что отошли от дел.
Разработчик отправил ZIP-архив с дешифраторами AstraLocker на платформу анализа вредоносных программ VirusTotal, а BleepingComputer загрузил и подтвердил, после того как протестировали на одной из жертв зашифрованных в недавней кампании AstroLocker, что дешифраторы легитимны и работают.
Вряд ли злоумышленников замучила совесть и они решили обелиться перед общественностью. Вероятно настоящей причиной прекращения деятельности стало давление со стороны правоохранительных структур в ответ на их недавние нападения.
Как известно AstraLocker основан на исходном коде программы-вымогателя Babuk Locker (Babyk), которая просочилась в сеть в июне 2021 года и, по мнению экспертов из ReversingLabs за нынешней вредоносной программой стоят злоумышленники, которые имеют относительно низкий уровень навыков и беспорядочность действий относительно своих коллег по цеху - методичных и взвешенных операторов Babuk.
Кроме того, эксперты заметили, что адрес кошелька Monero, используемый группой для выкупа, связан с группой Chaos Ransomware.
Данные факты создают определенный риск для банд-вымогателей после утечек кода, так как количество мотивированных мамкиных хацкеров растет, которые активно используют утечку в своих собственных атаках. Дабы отсечь от котлеты школоту и не нервировать правоохранителей своей вездесущностью, операторы решили опубликовать дешифратор и публично сообщить, что отошли от дел.
