Критическая RCE-уязвимость в корпоративном ПО Zimbra Collaboration Suite, широко распространенном веб-клиенте и почтовом сервере, подвергается активной эксплуатации. При этом доступные исправления для устранения этой проблемы отсутствуют.

0-day отслеживается как CVE-2022-41352 и имеет рейтинг CVSS 9.8.

Согласно Rapid7, ошибка связана с методом (cpio) и позволяет злоумышленникам возможность загружать произвольные файлы через Amavis (система безопасности электронной почты) произвольные файлы и выполнять вредоносные действия на уязвимых установках.

Rapid7 также отметил, что CVE-2022-41352 фактически идентична CVE-2022-30333 — уязвимости обхода пути в Unix-версии утилиты RARlab unRAR, которая была обнаружена ранее в июне этого года.

Компонент cpio имеет недостаток, который позволяет злоумышленнику создавать архивы, которые можно извлечь в любом месте файловой системы, доступной для Zimbra.

Когда электронное письмо отправляется на сервер Zimbra, система безопасности Amavis извлекает архив для проверки его содержимого на наличие вирусов. Однако, если он извлекает специально созданный архив .cpio, .tar или .rpm, содержимое может быть извлечено в веб-корневой каталог Zimbra.

Успешное использование уязвимости позволяет злоумышленнику перезаписать корневой каталог Zimbra, внедрить шелл-код и получить доступ к учетным записям других пользователей.

Согласно сообщениям на форумах Zimbra, уязвимость нашла свое применение уже с начала сентября 2022 года.

После чего 14 сентября Zimbra выпустила рекомендации по безопасности, предупредив системных администраторов о необходимости установить Pax, портативную утилиту для архивирования, и перезапустить свои серверы для замены cpio.

Уязвимость, присутствующая в версиях 8.8.15 и 9.0 ПО, затрагивает несколько дистрибутивов Linux, таких как Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 и CentOS 8, за исключением Ubuntu из-за того, что этот pax уже установлен по умолчанию.

0-day отслеживается как CVE-2022-41352 и за исключением Ubuntu из-за того, что этот pax уже установлен по умолчанию.

Zimbra заявила, что ожидает, что уязвимость будет устранена в следующем программном патче, который исключит cpio, сделав pax обязательным компонентом. Тем не менее, разработчик не представил конкретных сроков исправления.

Еще большую тревогу вызывает то, что Zimbra, как говорят, еще более уязвима для другого 0-day, вызывающего повышение привилегий, который может быть использован с связке уязвимостью cpio для достижения полной удаленной компрометации серверов.

Новый  отчет Rapid7 проливает свет на технические детали и включает PoC, который позволяет злоумышленникам легко создавать вредоносные архивы.

Администраторам следует принять срочные меры для защиты своих ZCS.

Fortinet в частном порядке предупредила клиентов об уязвимости в системе безопасности, затрагивающей брандмауэры FortiGate и веб-прокси FortiProxy.

Критическая уязвимость CVE-2022-40684 имеет оценку CVSS 9,6 и связана с уязвимостью обхода аутентификации, которая может позволить злоумышленнику, не прошедшему проверку подлинности, выполнять произвольные операции в административном интерфейсе с помощью специально созданных запросов HTTP или HTTPS.

Ошибка затрагивает следующие версии FortiOS с 7.0.0 до 7.0.6 и с 7.2.0 до 7.2.1, FortiProxy с 7.0.0 на 7.0.6 и 7.2.0. Fortinet откладывает публичное раскрытие уязвимости и подробности атак с ее использованием до тех пор, пока ее клиенты не применят исправления.

Проблема исправлена в FortiOS 7.0.7 и 7.2.2, а также в версиях FortiProxy 7.0.7 и 7.2.1.

Принимая во внимание возможность удаленной эксплуатации этой проблемы и доступность, согласно поиску Shodan, более 100 000 брандмауэров FortiGate в сети, Fortinet настоятельно рекомендует всем клиентам с уязвимыми версиями выполнить немедленное обновление.

В качестве временного обходного пути Fortinet рекомендует пользователям отключить администрирование HTTPS с выходом в Интернет до тех пор, пока не будут установлены обновления, или, в качестве альтернативы, ограничить IP-адреса, которые могут получить доступ к административному интерфейсу с помощью локальной политики.

Недавно сообщалось о взломе ADATA вымогателями RansomHouse, которые угрожали слить украденный ТБ данных.

После собственного расследования тайваньский производитель чипов информацию об инциденте не подтвердил, заявив о публикации RansomHouse на своем DLS файлов, которые были украдены еще в мае в ходе ranosmware-атаки RagnarLocker.

Сравнивая временные метки данных в образцах RansomHouse с данными, украденными RagnarLocker, ресерчеры пришли к выводу, что оба набора массива имеют одинаковые временные метки, а файлы новее мая 2021 года отсутствуют.

Кроме того, компания добавила, что RansomHouse не оставил даже заметки о выкупе. Тем не менее, хакеры продолжают настаивать на том, что они все же взломали ADATA и вели переговоры с компанией по поводу выкупа.

Учитывая богатый опыт и предыдущих жертв RansomHouse, вполне вероятно, что переговоры оказались продуктивными для обеих сторон.

Будем посмотреть.

@Social_engineering — самое крупное Telegram комьюнити, которое объединило в себе всех любителей и экспертов в области информационной безопасности, социальной инженерии и OSINT!

А вот, Intel подтвердила подлинность утечки исходного кода UEFI BIOS процессоров Alder Lake.

Alder Lake — это линейка процессоров Intel Core 12-го поколения, выпущенных в ноябре 2021 года.

В пятницу пользователь Freak в Twitter опубликовал ссылки на исходники прошивки UEFI, которая, как они утверждают, была выпущена 4chan. Весь исходный код был разработан Insyde Software Corp, компанией-разработчиком прошивки для систем UEFI.

Репозиторий GitHub с именем «ICE_TEA_BIOS» был загружен пользователем с именем LCFCASD, который добавил к нему описание «Код BIOS из проекта C970».

Как выяснилось, утечка содержит 5,97 ГБ файлов, включая исходный код, закрытые ключи, журналы изменений и инструменты компиляции, последняя временная метка которых датирована 30 сентября этого года.

Слитые файлы содержат многочисленные ссылки на Lenovo, в том числе код для интеграции с «Lenovo String Service», «Lenovo Secure Suite» и «Lenovo Cloud Service».

Как предполагают в Intel, проприетарный код UEFI, по-видимому, был украден третьей стороной, правда непонятно, был ли исходный код украден во время кибератаки или действовал инсайдер.

Безусловно, Intel пытается преуменьшить риски безопасности, связанные с утечкой исходного кода, который, как они уверяют, включен в BugBounty.

Однако, ресерчеры придерживается иного мнения и предупреждают, что утечка может упростить поиск уязвимостей в коде.

Hardened Vault прямо заявляют, что злоумышленники непременно извлекут огромную выгоду из утечек, даже если утечка OEM-реализации лишь частично используется в производстве.

Ресерчер Марк Ермолов из Positive Technologies также отмечает, что утечка включала закрытый ключ шифрования KeyManifest, закрытый ключ, который используется для защиты платформы Intel Boot Guard.

Если вам "до лампочки" на безопасность, то теперь вполне уместно уточнить до какой лампочки конкретно, так как хакеры способны провести ослепительную атаку в прямом и переносном смысле.

В линейке умных светильников от IKEA были обнаружены две уязвимости, которые позволяют злоумышленнику получить контроль над системой и включать лампочки на полную мощность.

Специалисты из Synopsys продемонстрировали, как злоумышленник может получить контроль над лампочками в интеллектуальной системе освещения Ikea Tradfri.

Для этого достаточно несколько раз отправить один и тот же неправильно сформированный фрейм Zigbee (IEEE 802.15.4), а затем воспользоваться двумя уязвимостями отслеживаемыми как CVE-2022-39064 и CVE-2022-39065 в системе освещения, причем пользователи не могут выключить их через приложение или пульт дистанционного управления.

В отчете Synopsys пояснили, что искаженный фрейм Zigbee представляет собой широковещательное сообщение, не прошедшее проверку подлинности, что означает об уязвимости всех устройств в пределах радиодиапазона.

Чтобы хоть как-то избежать этой атаки, пользователь должен вручную выключить и снова включить питание, однако злоумышленник может повторно воспроизвести атаку в любое время. Кейс можно смело вписать в мануал "как достать соседа".

Synopsys сообщила Ikea об уязвимостях умного освещения еще в июне 2021 года, а компания выпустила исправление в феврале 2022 года.

Однако со слов исследователей версия V-2.3.091 исправляет проблемы только с некоторыми искаженными кадрами, но не со всеми, и поделились видео с эксплойтом. IKEA пока не дала комментариев по поводу того, когда будет выпущен полный патч.

Октябрьские обновления безопасности для Android содержат исправления более 50 уязвимостей, включая критический недостаток в компоненте Framework.

Критическая как CVE-2022-20419 представляет собой ошибку раскрытия информации и была устранена с помощью уровня исправления безопасности 2022-10-01 вместе с пятью другими уязвимостями в Framework, которые могут привести к несанкционированному получению привилегий. раскрытию информации и отказу в обслуживании (DoS).

Согласно бюллетеню Google, наиболее серьезной из этих проблем - критическая бага в компоненте Framework, которая может привести к локальному повышению привилегий без необходимости дополнительных привилегий на выполнение.

Пакет исправлений 2022-10-01 также устранил девять других уязвимостей безопасности, влияющих на компоненты: Media Framework (две ошибки раскрытия информации) и SYSTEM (три повышения привилегий, три раскрытия информации и одна проблема DoS).

Вторая часть уровень исправлений безопасности 2022-10-05 разрешает в общей сложности 33 проблемы, влияющие на ядро Android, а также на компоненты ядра, Imagination Technologies, MediaTek, UNISOC и Qualcomm. Некоторые из недостатков Qualcomm имеют оценку критических.

Кроме того, Google также анонсировала исправления для девяти уязвимостей в устройствах Pixel и затрагивающих: непосредственно Pixel (4 уязвимости), компоненты Qualcomm (3), а также компоненты Qualcomm с закрытым исходным кодом (2).

Из четырех уязвимостей в компоненте Pixel двум присвоен критический уровень серьезности. Ошибки CVE-2022-20231 и CVE-2022-20364 могут привести к повышению привилегий.

Обновленные до уровня исправлений безопасности от 05.10.2022 устройства Pixel будут содержать исправления для всех перечисленных выше уязвимостей.

Ресерчер Майкл Хайнцл обнаружил в продукте Horner Automation Cscape 7 RCE-уязвимостей высокой степени серьезности (4 - в 2021 году и еще 3 - в 2022 году), которые могут быть использованы с помощью вредоносных файлов шрифтов.

Horner Automation - это американская компания, специализирующаяся на решениях для автоматизации промышленных процессов и зданий. ПО ПЛК Cscape реализует программирование релейных схем и возможности разработки операторского интерфейса.

Что важно, Cscape используется во всем мире, в том числе в критически важных производственных секторах.

Уязвимости связаны с переполнением буфера кучи, чтением/записи за пределами границ, а также проблемами с неинициализированными указателями, вызванными неправильной проверкой данных пользователя, когда приложение анализирует шрифты.

Злоумышленник может использовать недостатки для выполнения произвольного кода в контексте текущего процесса, заставив пользователя открыть специально созданный файл шрифта, поскольку приложение включает в себя специальные функции для работы со шрифтами.

Открытие файла вредоносного шрифта может привести к тому, что код злоумышленника будет выполнен с привилегиями пользователя, запустившего приложение.

Первая группа уязвимостей была раскрыта в мае 2022 года, а рекомендации по второй серии уязвимостей были опубликованы в начале октября.

Кстати, за последние два года именно Хайнцл нашел и раскрыл уязвимости в промышленных продуктах Elcomplus, ПО для программирования ПЛК CX-Programmer от Omron, в Fuji Electric для мониторинга и управления производством Tellus, промышленной системе управления энергопотреблением DIAEnergie от Delta Electronics, а также в myPRO/SCADA.

Toyota Motor Corporation раскрывает утечку данных после того, как ключ доступа был опубликован на GitHub.

Компания предупреждает клиентов, что их личная информация могла быть раскрыта, поскольку ключ доступа был общедоступен на протяжении пяти (!) лет.

Toyota T-Connect — это официальное приложение для владельцев автомобилей Toyota, которое позволяет связать смартфон с мультимедиа автомобиля, открывая функции звонков, музыки, навигации, интеграции уведомлений, данных о вождении, состояния двигателя, расхода топлива и др.

Недавно компания обнаружила, что часть исходного кода T-Connect была ошибочно опубликована на GitHub и содержала ключ доступа к серверу данных, что позволило злоумышленникам получить доступ к данным почти 300 тысяч клиентов за последние пять лет.

Лишь 15 сентября 2022 г. доступ к репозиторию GitHub был ограничен, а ключи базы данных были изменены

Обычно GitHub проводит сканирование опубликованного кода на наличие секретов и блокировку коммитов кода, содержащих ключи аутентификации, однако если разработчик использует нестандартные токены, как в случае Toyota, такая возможность отсутствует.

Согласно заявлению Toyota, имена клиентов, данные кредитных карт и номера телефонов не были скомпрометированы, а в отношении других сведений, включая номера и адреса электронной почты, автопроизводитель пояснить ничего не может, как и опровергнуть.

Toyota в связи с этим рекомендует пользователям, «управляя мечтой», проявлять бдительность на предмет возможного фишинга или прочего скама от имени бренда.

В Германии назревает серьезный скандал.

Под ударом находится глава Федерального управления кибербезопасности Германии (BSI) Арне Шенбом, которого обвиняют в связях с российскими спецслужбами.

Поводом для претензий стало расследование вещательной компанией ZDF, обнаружившей потенциальные связи чиновника с Москвой через ассоциацию, в которой он был соучредителем в 2012 году.

Упоминаемая в расследовании ассоциация - Совет по кибербезопасности Германии, ведет консультации бизнеса и госструктур по вопросам ИБ.

Журналистское расследование даже стало причиной отмены совместного выступления Шенбома и министра внутренних дел Нэнси Файзер, посвященного отчету о кибербезопасности Германии в 2022 году, ведь Шенбом теперь стал объектом официальной проверки МВД.

По мнению журналистов, Шенбом до сих пор поддерживает связь с организацией. Сам политик отверг обвинения, указав на их абсурдность.

Однако власти намерены не спускать скандал на тормозах. Себастьян Фидлер, политик из Социал-демократов (СДПГ) канцлера Олафа Шольца, отметил, что обвинения должны быть тщательно расследованы и уже нанесли большой ущерб доверию к BSI.

Все это происходит и на фоне того, что пару дней назад железнодорожная сеть на севере Германии была временно парализована в результате того, что кабели связи были перерезаны на двух участках, а некоторые официальные лица сразу поспешили указывать пальцем на Россию.

В реальности все обвинения в адрес Шенбома строятся на том, что членом упоминаемой ассоциации является немецкая компания, являющаяся дочерней компанией российской инфосек-компании, основанной бывшим сотрудником КГБ.

На текущий момент ни МВД, ни BSI никак не комментируют ситуацию.

Как по нашему мнению, на фоне общего низкого уровня ИБ и в условиях энергокризиса со всеми вытекающими негативными процессами в экономике, власти Германии продолжают оправдывать собственные ошибки, пытаясь искать русский след где только возможно, в том числе и в инфосеке.

Охота на ведьм начинается. Будем посмотреть, кто следующий.

Лаборатория Касперского в своей статье проливает свет на 10 самых загадочных APT-кампаний, оставшихся без атрибуции.

1. Проект TajMahal. Сложный фреймворк для шпионажа, который состоит из двух разных пакетов Tokyo и Yokohama. Может похищать различные данные, используя для этого более 80 различных модулей. TajMahal применялся как минимум 5 лет до обнаружения в единственной атаке на дипломатическую организацию.

2. DarkUniverse — еще один APT-фреймворк, который использовался с 2009 по 2017 год в ходе атак на 20 гражданских и военных организаций в в разных странах. Распространяется через фишинг и состоит из нескольких модулей для шпионажа.

3. PuzzleMaker. В апреле 2021 года ресерчеры обнаружили несколько целевых атак на основе сложной цепочки из 0-day эксплойтов. Для проникновения в систему использовалась CVE-2021-21224 в Google Chrome в связке с CVE-2021-31955 и CVE-2021-31956. После успешной эксплуатации внедрялся специально разработанный для каждого случая вредоносный пакет PuzzleMaker.

4. ProjectSauron был впервые обнаружен в 2015. Является сложной APT-платформой, используемой для атак на организации в России, Иране, Руанде. В атаках
используются уникальные основные импланты. Группа, стоящая за ProjectSauron, использует сложную С2-инфраструктуру с широким рядом интернет-провайдеров в США и Европе. Злоумышленники, скорее всего, использовали опыт других APT-кампаний, таких как Duqu, Flame, Equation и Regin.

5. USB Thief. В 2016 году ESET обнаружили USB-троянец с хитрым механизмом самозащиты. Зловред состоял из шести файлов, два из которых были конфигурационными, а остальные четыре — исполняемыми. Запускать их можно было только в заданном порядке, а некоторые были зашифрованы по алгоритму AES-128. Ключ шифрования генерировался с использованием уникального идентификатора USB-устройства и определенных свойств диска. Три исполняемых файла — загрузчики, каждый из которых загружает в память файл следующего этапа. Украденные данные которые всегда выгружаются на зараженный USB-диск. Может быть связан с APT-группой Lamberts.

6. TENSHO (White Tur). В начале 2021 года в процессе поиска фишинговых страниц, исследователи из компании PwC наткнулись на страницу, которая использовалась для кражи учетных записей министерства обороны Сербии. Она была создана прежде неизвестной группой TENSHO, или White Tur. Группа активна с 2017 года и использует разнообразные уникальные методы и инструменты, включая и OpenHardwareMonitor, доставляющий зловред TENSHO в форме скрипта PowerShell или исполняемого файла для Windows.

7. PlexingEagle. На конференции HITBSec 2017 в Амстердаме Эммануэль Гадэ (Emmanuel Gadaix) рассказал об обнаружении крайне интересного набора инструментов для кибершпионажа в GSM-сетях.

8. SinSono. В мае 2021 года телекоммуникационная компания Syniverse обнаружила несанкционированный доступ к своим IT-системам. Внутреннее расследование показало, что актор впервые проник в инфраструктуру еще в 2016 году. В течение пяти лет, оставаясь незамеченным, использовал внутренние базы данных и смог украсть учетные данные для входа в среду EDT у 235 клиентов компании. Используя их, злоумышленники могли получить доступ к конфиденциальной информации абонентов, включая записи звонков и тексты смс.

9. MagicScroll - сложный вредоносный фреймворк, впервые обнаруженный в 2019 году Palo Alto. Это многоэтапное вредоносное ПО. Единственная жертва (из России) была атакована в 2017 году. Механизм первичного заражения неизвестен. Первый этап - загрузчик, который был создан как поставщик поддержки безопасности. Его основное предназначение - доставка модуля следующего этапа, который хранится в реестре и использует уязвимость VirtualBox для загрузки вредоносного драйвера в режиме ядра.

10. Metador впервые была описана компанией SentinelLabs в сентябре 2022 года. Атакует провайдеров и университеты в странах Ближнего Востока и Африки. Metador использует две вредоносные платформы: metaMain и Mafalda, которые развертываются исключительно в памяти и обмениваться данными с другими неизвестными имплататами.

Обнаруженная в ноябре 2021 года уязвимость высокой степени серьезности в vCenter Server 8.0 до сих пор не исправлена VMware.

CVE-2021-22048 связана с повышением привилегий и была обнаружен Яроном Зинаром и Саги Шейнфельдом из CrowdStrike в механизме IWA (встроенной проверки подлинности Windows). Ошибка также влияет на развертывание гибридной облачной платформы VMware Cloud Foundation.

VMware заявляет, что эта уязвимость может быть использована лишь злоумышленниками, использующими векторную сеть, прилегающую к целевому серверу, в ходе атак высокой сложности, требующих низких привилегий и без взаимодействия с пользователем.

Однако в пояснении NIST NVD к CVE-2021-22048 указывается немного иначе: ее можно использовать удаленно в рамках атак низкой сложности.

Тем не менее, разработчик оценил ошибку как важную, поскольку ее эксплуатация приводит к полной компрометации конфиденциальности и/или целостности пользовательских данных и/или ресурсов.

VMware все же выпустила для баги исправления в июле 2022 года (vCenter Server 7.0, обновление 3f), однако спустя 11 дней обновление было отозвано, поскольку оказалось некорректным и вызывало сбои.

В ожидании новых исправлений, VMware предлагает обходной путь, позволяющий администраторам исключить вектор атаки.

Компания рекомендует переключиться на Active Directory через аутентификацию LDAP (все инструкции здесь и здесь) или Identity Provider Federation for AD FS (только vSphere 7.0) с интегрированной аутентификации Windows (IWA).

Microsoft выпустила очередной Patch Tuesday, устраненив в общей сложности 84 уязвимостей в Microsoft Windows и компонентах операционной системы и продуктах в экосистеме, включая две 0-day.

В целом исправленные ошибки представлены по категориям: 39 - повышение привилегий, 2 - обход функций безопасности, 20 - RCE, 11 - раскрытие информации, 8 - отказ в обслуживании, 4 - спуфинг. При этом 30 из исправленных в обновлении уязвимостей классифицируются как критические.

Одна из исправленных 0-day активно эксплуатируется в атаках, а другая — публично раскрыта.

Обнародованная уязвимость раскрытия информации Microsoft Office и была обнаружена Коди Томасом из SpecterOps. Злоумышленники могут использовать эту уязвимость для получения доступа к токенам аутентификации пользователей.

CVE-2022-41033 затрагивает системную службу событий Windows COM+ и используется в атаках с целью повышения привилегий.

Проблемы критического уровня затрагивают Active Directory, Azure, Microsoft Office, SharePoint, Hyper-V и протокол туннелирования Windows «точка-точка».

Все бы ничего, да вот только вопрос с ProxyNotShell остается открытым.

Две уязвимости Exchange Server CVE-2022-41040 (проблема подделки запроса на стороне сервера (SSRF), приводящая к повышению привилегий) и CVE-2022-21082 (ошибка RCE) не были исправлены в рамках вышедшего Patch Tuesday.

При этом Редмонд не указал даже срока, когда пользователи Windows могут ожидать исправления Exchange Server.

В тоже время, сама Microsoft утверждает, что ProxyNotShell активно эксплуатировали неназванные АРТ в целевых атаках как минимум на 10 крупных организаций.

Полный перечень с описанием каждой уязвимости и затронутых систем представлен здесь.

Mullvad VPN обнаружили, что Android пропускает трафик каждый раз, когда устройство подключается к сети Wi-Fi, даже если активирована функция блокировки подключения без VPN (Always-on VPN).

При этом за пределы VPN-туннелей попадают: исходные IP-адреса, запросы DNS, трафик HTTPS и, вероятно, также трафик NTP.

Такое поведение встроено в ОС Android еще на этапе разработки, однако разработчики решили особо не распространяться на этот счет и обошлись расплывчатым описанием функций блокировки VPN в документации Android.

К сожалению, функция ограничивается в случаях идентификации порталов авторизации или при использовании функций разделенного туннеля, что приводит к утечку некоторых данных при подключении к новой сети WiFi, влияя таким образом на конфиденциальность пользователей.

Mullvad сообщил о проблеме в Google, отметив необходимость добавления возможности отключения проверки подключения.

Google же ответил, что эта функция не будет исправлена, сославшись на ряд причин:

- многие виртуальные частные сети фактически полагаются на результаты этих проверок подключения;
- проверки не являются ни единственными, ни самыми рискованными исключениями из VPN-соединений;
- влияние на конфиденциальность минимально, поскольку утечка информации уже доступна из соединения L2.

Трафик, который просачивается за пределы VPN-подключения, содержит метаданные, которые можно использовать для анализа и деанонимизации пользователя, что еще более актуально в сочетании с данными расположения точек доступа Wi-Fi.

Аналогичная проблема затрагивает также и iOS. 16 версия ОС взаимодействует со службами Apple за пределами активного туннеля VPN. Происходит утечка DNS-запросов. Службы Apple, которые не используют VPN-подключение, включают Health, Maps, Wallet.

Claroty раскрыли подробности критической уязвимости в программируемых логических контроллерах (ПЛК) Siemens.

CVE-2022-38465 обусловлена тем, что в 2013 году Siemens внедрила асимметричную криптографию в архитектуру безопасности своих процессоров Simatic S7-1200 и S7-1500, чтобы защитить устройства, клиентские программы и процесс обмена данными между устройствами.

Однако из-за отсутствия практических решений для динамического управления ключами для АСУ ТП в качестве защиты был использован встроенный глобальный закрытый ключ.

Siemens подтвердила выводы исследователей Claroty, признав, что криптографический ключ не защищен должным образом. Злоумышленник может запустить офлайн-атаку на один образец ПЛК, получить закрытый ключ и затем использовать его для компрометации всей линейки продуктов.

После чего у злоумышленника появится возможность получить конфиденциальные данные конфигурации или запустить атаки MitM, которые позволяют ему считывать или изменять данные между ПЛК и подключенными к нему HMI и рабочими станциями.

Ресерчеры-2022-38465 осмогли достать закрытый ключ с помощью RCE-уязвимости 2020 года (CVE-2020-15782), которая дала им прямой доступ к памяти.

Таким образом, они наглядно продемонстрировали, как злоумышленник с закрытым ключом может получить полный контроль над ПЛК и проводить атаки MitM.

Siemens не располагает информацией об эксплуатации уязвимости в дикой природе, однако отмечает возрастание риска неправомерного использования глобального закрытого ключа.

В рамках решения проблемы промышленный гигант реализовал защищенную протоколом TLS 1.3 связь и установку уникального пароля для каждого устройства.

Siemens выпустила исправления для уязвимых ПЛК и портала TIA Portal, а также отдельный бюллетень по безопасности.

Google в рамках последнего обновления Chrome исправил шесть уязвимостей высокой степени серьезности, в том числе четыре ошибки использования после освобождения.

Согласно бюллетеню Google, все закрытые уязвимости были обнаружены внешними исследователями, которые получили вознаграждение в размере 38 000 долларов США по BugBounty.

Наиболее серьезным недостатком является CVE-2022-3445, представляющая собой уязвимость использования после освобождения в Skia, в библиотеке 2D-графики с открытым исходным кодом, которая служит графическим движком Chrome.

По 15 000 долларов ушло Нан Вану и Юн Лю из Qihoo 360 за эту ошибку, еще 13 000 долларов были выплачены Кайджи Сюй за CVE-2022-3446 (переполнении буфера кучи в WebSQL).

Кроме того, интернет-гигант заплатил 7500 долларов Нарендре Бхати из Suma Soft, который сообщил о ненадлежащей реализации в пользовательских вкладках (CVE-2022-3447), и 2500 долларов исследователю Kunlun Lab, сообщившему об ошибке использования после освобождения в API разрешений (CVE-2022-3448).

Две другие уязвимости использования после освобождения были устранены в безопасном просмотре (CVE-2022-3449) и одноранговом соединении (CVE-2022-3450), но Google пока не раскрывает сумму вознаграждения за ошибку.

Технические подробности об устраненных проблемах не будут опубликованы до тех пор, пока большинство пользователей Chrome не установят обновление.

Chrome доступна пользователям Windows, Mac и Linux как последняя версия 106.0.5249.119. Google не упоминает о каких-либо недавно устраненных дефектах безопасности, используемых в атаках.