Немного «большого брата» вам в ленту.

Пока злоумышленники пытаются присовокупить ваши роутеры, умные чайники и холодильники к IoT-ботнетам и атакам на Пентагон, ваша умная лампа в этот момент хладнокровно отслеживает ваше местоположение.

К таким шокирующим выводам пришел исследователь HaxRob, который обнаружил, что мобильное приложение от поставщика умных ламп производителя Arlec, втайне собирает GPS-координаты своих пользователей. При все при этом приложение было установлено более 500 000 раз.

В свою очередь, исследователи из Pradeo обнаружили в Google Play два вредоносных приложения для управления файлами с общим количеством установок более 1,5 миллиона, которые втайне шпионили за владельцами устройств.

Приложения от одного и того же издателя запускались без какого-либо взаимодействия с пользователем, осуществляя кражу конфиденциальных пользовательских данных и отправляли их на серверы в КНР.

При этом в представленном на Google Play описании разработчики прямо отметили, что приложения не собирают никаких пользовательских данных с устройства, гарантируя безопасность данных.

Приложение File Recovery and Data Recovery (определяется на устройствах как «com.spot.music.filedate») имеет не менее 1 миллиона установок, а другое File Manager (com.file.box.master.gkd) - не менее 500 000.

В результате анализа исследователи выяснили, что приложения извлекают следующие данные: контакты и подключенные аккаунты, изображения, аудио и видео, местоположение в реальном времени, данные провайдеры связи, сведения ОС, марка и модель устройства.

Как видно, излишний функционал явно не предназначен для реализации функций управления файлами или восстановления данных.

Кроме того, приложения также могут злоупотреблять разрешениями, которые пользователь назначает в ходе установки, перезапуская устройство и запуская программу в фоновом режиме.

После обнародования результатов исследования и ряда журналистских запросов, Google удалила приложения со своего маркет-плейса.

А сколько еще не удалено?

В недавнем исследовании команды по реагированию на инциденты Microsoft была раскрыта тревожная статистика и разрушительная сила кибератак, осуществляемых с использованием BlackByte 2.0.

Как выяснили эксперты, злоумышленникам достаточно всего пять дней, чтобы проникнуть в сеть, зашифровать ключевые данные и потребовать выкуп за их возвращение, что создает серьезную проблему для организаций, пытающихся в неравном бою противостоять хакерским устремлениям.

BlackByte используется на заключительной стадии атаки, применяя 8-значный цифровой ключ для шифрования данных, но на раннем этапе злоумышленники используют мощную комбинацию инструментов и приемов, которые позволяют им получить первоначальный доступ к целевым сетям.

Сама же программа-вымогатель применяет стратегии "опустошения" процессов и уклонения от антивирусных средств защиты, что обеспечивает успешное шифрование и сокрытие от обнаружения.

В целях обеспечения удаленного доступа и контроля злоумышленники используют всем известный Cobalt Strike.

Специалисты также выявили ряд других методов, используемых киберпреступниками, таких как LotL (living-off-the-land).

Это атака, при которой злоумышленник использует легитимные программы и функции для выполнения вредоносных действий в целевой системе, в то время как малварь изменяет теневые копии томов на зараженных компьютерах, чтобы предотвратить восстановление данных.

Прогнозы специалистов не радужные и в свете сделанных выводов, Microsoft предлагает ряд заезженных, но практических рекомендаций, связанных с внедрением надежных процедур управления, своевременным применением критических обновлений и включением защиты от несанкционированного доступа, дабы укрепить имеющиеся на вооружении решения безопасности от попыток злоумышленников отключить или обойти их.

Progress предупредила клиентов об очередном исправлении новой критической уязвимости в приложении MOVEit Transfer, ставшим ранее причиной недавней массовой атаки вымогателей Clop на более чем сотню крупных организации по всему миру.

Progress обнаружила в своем продукте несколько проблем с SQL-инъекциями, в том числе критическую, отслеживаемую как CVE-2023-36934, которую можно использовать без аутентификации пользователя и позволяет получить несанкционированный доступ к базе данных MOVEit Transfer.

Вторая уязвимость SQL-инъекций идентифицирована как CVE-2023-36932 и получила высокий рейтинг серьезности, поскольку злоумышленник может использовать ее после аутентификации.

Две проблемы безопасности SQL-инъекций затрагивают несколько версий MOVEit Transfer, включая 12.1.10, 13.0.8, 13.1.6, 14.0.6, 14.1.7 и 15.0.3 (и старше для каждой).

Третьей уязвимостью, устраняемой с помощью этого патча, стала CVE-2023-36933, проблема высокой степени серьезности, позволяющая злоумышленникам неожиданно завершать работу программы, которая затрагивает 13.0.8, 13.1.6, 14.0.6, 14.1.7 и 15.0.3 (и старше для каждой).

Пользователям MOVEit Transfer рекомендуется применить доступные обновления и снизить риск потенциальной эксплуатации.

Хотя, как помниться, исправление не всегда спасало клиентов MOVEit, ведь Clop в недавней атаке все же нашли способ эксплуатации пропаренной два года уязвимости.

Вообще же неудивительно, ведь только после инцидента разработчик решил провести аудит и внедрить ежемесячные пакетные обновления безопасности.

͏Однажды когда-то давным-давно известный инфосек вендор Avast накосячил, приторговывая через дочернюю компанию Jumpshot данными пользователей, полученными в ходе работы Avast'овского антивируса на компьютерах этих самых пользователей.

Помимо того, что скандал разразился большой, а Jumpshot пришлось прикрыть и лишиться в моменте почти на 10% ликвидности своих акций, компания подлетела на один из самых крупных штрафов на 13,7 млн евро от испанского Агентства по защите данных.

Но и на этом история не заканчивается! Фонд Consumers United in Court (CUIC) в Нидерландах подал коллективный иск.

CUIC утверждает, что Avast в период с мая 2015 года по январь 2020 года собирала данные о своих клиентах и продавала без ведома и согласия пользователей.

Кто покупал - Google, Microsoft, McKinsey и другие поборники прав человека. Что продавали - поисковые запросы, геолокацию, историю серфинга, просмотры видеохостингов, включая и ресурсы для взрослых.

Как говорится, поделом: а все потому, что нечего в нашу порнуху лазать ☝️

Тем временем, в результате инцидента MoveIT, число компаний, ставших жертвами вымогателей cl0p достигло - 238, а пострадавших пользователей - 17 750 230.

Критическая уязвимость в децентрализованной платформе с открытым исходным кодом Mastodon с 8,8 миллионами пользователей, получившая название TootRoot, может быть использована для захвата серверов.

Mastodon исправила четыре уязвимости, которые были обнаружены независимыми аудиторами из Cure53 по запросу Mozilla.

Наиболее важной из них является CVE-2023-36460 (оценка CVSS 9,9), представляющая собой проблему с созданием произвольного файла, которая может привести к полной компрометации сервера.

Используя специально созданные медиафайлы, злоумышленники могут заставить код обработки мультимедиа Mastodon создавать произвольные файлы в любом месте.

Это позволяет злоумышленникам создавать и перезаписывать любой файл, к которому у Mastodon есть доступ, получая возможности для DoS и RCE.

Исследователь Кевин Бомонт подчеркнул риски, связанные с TootRoot, заявив, что этот файл можно использовать для установки бэкдоров на серверах, доставляющих контент пользователям Mastodon.

Такая компрометация даст злоумышленникам неограниченный контроль над сервером и управляемыми данными, включая и конфиденциальную информацию пользователей.

Вторая критическая уязвимость CVE-2023-36459 описывается как проблема межсайтового скриптинга (XSS), которая позволяет злоумышленникам обходить очистку HTML с помощью специально созданных данных oEmbed.

Атаки с использованием этой уязвимость могут привести к захвату учетной записи или доступу к конфиденциальным данным.

Две другие исправленные ошибки: CVE-2023-36461 - DoS-уязвимость высокой степени серьезности из-за медленных ответов HTTP, и CVE-2023-36462, также имеющая высокую степень серьезности, которая позволяет злоумышленнику реализовать фишинг с использованием ссылки профиля.

Все уязвимости были устранены с выпуском версий 4.1.3, 4.0.5 и 3.5.9.

Администраторам рекомендуется обновить свои экземпляры Mastodon как можно скорее.

Исследователи SSD Secure Disclosure раскрыли технические детали и представили PoC-эксплойт для недавней уязвимости Ubiquiti EdgeRouter.

Отслеживаемая как CVE-2023-31998 проблема описывается как уязвимость переполнения кучи, которую можно использовать через подключение по локальной сети.

Проблема связана со службой MiniUPnPd в устройствах Ubiquiti EdgeRouter и AirCube.

Злоумышленники локальной сети могут использовать ее для переполнения внутренней кучи и потенциального выполнения произвольного кода.

По данным SSD Secure Disclosure, недостаток в MiniUPnPd был закрыт, для него не был выпущен CVE-идентификатор.

Однако, по всей видимости, уязвимые версии MiniUPnPd могли поставляться и с другими сетевыми устройствами.

В конце июня Ubiquiti выпустила обновления ПО для уязвимых устройств EdgeRouter с поддержкой UPnP (версия прошивки 2.0.9-исправление.7) и AirCube (версия прошивки 2.8.9).

Несмотря на то, что пока нет никаких признаков использования уязвимости в реальных атаках, пользователям Ubiquiti рекомендуется как можно скорее обновить свои устройства.

Видимо, пока инфосек специалисты криптоплатформ отдыхают в отпусках, хакеры усердно работают и зарабатывают на безбедную старость.

Следом за Poly Network под гнетом хакерской атаки пал сервис Multichain, который временно приостановил работу после кражи криптоактивов на сумму более чем в 125 миллионов долларов.

Компания, предоставляющая кросс-чейн услуги, объявила, что некоторые ее активы были переведены на неизвестный адрес.

Пока идет расследование, пользователям рекомендовано прекратить использование услуг Multichain и отозвать все подтверждения контрактов, связанные с платформой.

В Multichain пообещали возместить все потерянные средства пользователей несмотря на то, что в компании столкнулись с рядом технических и административных проблем еще в мае.

Эксперты по безопасности оценили убытки примерно в 126 миллионов долларов, при этом украденные активы включают USDT, ETH, Bitcoin и другие монеты.

Звучит как мыс надежды, но появились предположения, что за атакой может стоять всем известный в криптоиндустрии и не только хакер - Белая шляпа, но это мнение остается в разряде неподтвержденных.

Этот инцидент стал последним в серии хакерских атак, нацеленных на кросс-чейн мосты, в результате чего за последние три года было украдено 1,92 миллиарда долларов.

Среди самых громких краж - 600 миллионов долларов у Ronin Network и Poly Network и 320 миллионов долларов у Wormhole Bridge.

Apple выпустила новый Rapid Security Respons (но не надолго) для iOS, iPadOS, macOS и веб-браузера Safari, устранения новой 0-day (уже десятой в этом году), используемой в атаках и затрагивающей полностью исправленные iPhone, Mac и iPad.

Ошибка WebKit, отлеживаемая как CVE-2023-37450, может позволить злоумышленникам выполнять произвольный код при обработке специально созданного веб-контента.

Обнаружение и сообщение об ошибке приписывают анонимному исследователю.

Согласно бюллетеням компании для iOS и macOS с описанием CVE-2023-37450, Apple известно о том, что эта проблема, возможно, активно использовалась.

Как и в большинстве подобных случаев, подробностей о характере и масштабах атак, а также личности стоящего за ними злоумышленника очень мало.

Производитель iPhone заявил, что решил проблему с помощью улучшенных проверок.

Обновления iOS 16.5.1 (a), iPadOS 16.5.1 (a), macOS Ventura 13.4.1 (a) и Safari 16.5.2 были доступны для устройств со следующими версиями операционной системы: iOS 16.5.1 и iPadOS 16.5.1, macOS Вентура 13.4.1 и macOS Big Sur и macOS Monterey.

Однако позже Apple удалила обновление ПО после того, как их установка привела к тому, что некоторые веб-сайты, такие как Facebook, Instagram и Zoom, выдавали ошибку «неподдерживаемый браузер» в Safari.

Ожидаем, что Apple, скорее всего, повторно выпустит RSR, когда разработчики смогут решить проблему.

А их коллеги из Ремонда обычно по этому поводу не заморачиваются, за них микропатчи клепают сторонние поставщики.

Но будем посмотреть.

VMware предупредила клиентов об эксплойте, доступном для критической RCE-ошибки в инструменте анализа VMware Aria Operations for Logs.

CVE-2023-20864 представляет собой уязвимость десериализации, ее успешная эксплуатация позволяет злоумышленникам запускать произвольный код от имени пользователя root в ходе несложных атак, не требующих вмешательства пользователя.

Также в апреле VMware также выпустила обновления для устранения менее серьезной CVE-2023-20865, которая позволяла удаленным злоумышленникам с правами администратора выполнять произвольные команды от имени пользователя root на уязвимых устройствах.

Оба недостатка были исправлены с выпуском VMware Aria Operations for Logs 8.12.

Также недавно VMware выпустила еще одно предупреждение об исправлении критической ошибки (CVE-2023-20887) в VMware Aria Operations for Networks, позволяющей удаленно выполнять команды от имени пользователя root и активно используемой в атаках.

К счастью, в настоящее время нет доказательств, позволяющих полагать использование проблем в реальных атаках.

Тем не менее, администраторам рекомендуется незамедлительно применить исправления для CVE-2023-20864 в качестве меры по снижению риска потенциальных атак.

Инцидент с MOVEit определенно войдет в историю, а Cl0p установит новый рекорд по количеству утечек.

Сегодня список потерпевших пополнили крупные европейские банки Deutsche Bank, ING Bank, Postbank, Comdirect, которые сообщили об утечках данных своих клиентов.

Достоянием злоумышленников стали имена, фамилии и IBAN клиентов, что в умелых руках позволяет списывать средства напрямую.

Однако представитель Deutsche попытался убедить СМИ в обратном, поскольку преступники не смогли получить прямой доступ к счетам.

Сколько клиентов пострадало от утечки пока приходится только предполагать, но всем клиентам рекомендовали быть осторожными, следить за своими транзакциями и обращаться в банк при обнаружении несанкционированных воздействий.

Следом за банками в Choice Hotels подтвердили взлом системы передачи файлов MOVEit, затронувший Radisson Hotels Americas, который имеет в своем активе около 600 отелей.

Пока Cl0p не опубликовали данные, украденные у Radisson на своем сайте утечек, но расследование продолжается и уже выявлено некоторое количество записей о гостях, к которым злоумышленники получили доступ.

Викторину публичных признаний поддержали Университет Джона Хопкинса (JHU) и система здравоохранения Джона Хопкинса (JHHS), которая состоит из девяти организаций, включая больницу Джона Хопкинса, больницу в Говарде и компанию по медицинскому менеджменту Johns Hopkins Medical Management Corporation.

О масштабе бедствия представители пока не сообщили, да и Cl0p тоже не раскрыл данные, к которым получили доступ и если повезет, то из этических соображений возможно даже не раскроют.

To be continued...

Исследователи Trend Micro расчехлили новую ransomware под названием Big Head, которая распространяется через вредоносную рекламу, продвигающую поддельные обновления Windows и установщики Microsoft Word.

Новое исследование является своего рода продолжением результатов анализа двух образцов вредоносного ПО, к которым в прошлом месяце пришли ресерчеры из Fortinet.

В своем отчете Trend Micro пришли к выводу, что предыдущие оба варианта и вновь обнаруженный третий исходят от одного оператора, который, вероятно, экспериментирует с различными подходами для оптимизации своих атак.

Big Head представляет собой двоичный файл .NET, который устанавливает в целевой системе три файла, зашифрованных с помощью AES: один - для распространения вредоносного ПО, другой - для связи с ботами Telegram, а третий - шифрования файлов и отображения поддельного Центра обновлений Windows.

При выполнении ransomware также реализует: создание ключа автозапуска реестра, перезапись существующих файлов, установку атрибутов системных файлов и отключение диспетчера задач.

Каждой жертве присваивается уникальный идентификатор, который либо извлекается из каталога %appdata%\ID, либо генерируется с использованием случайной строки из 40 символов.

Программа-вымогатель прекращает необходимые для шифрования процессы и удаляет теневые копии, прежде чем шифровать целевые файлы и добавлять расширение «.poop» к их именам.

Перед шифрованием ransomware реализует проверку системного языка, исключая зону СНГ, а также наличие виртуализации. В ходе шифрования программа-вымогатель отображает экран обновления Windows.

По завершении процесса шифрования записка о выкупе сбрасывается в несколько каталогов, после чего меняются обои с отражением предупреждения о компрометации системы.

Ресерчевам Trend Micro также удалось проанализировать еще два образца Big Head и выделить некоторые ключевые отличия от стандартной версии программы-вымогателя.

Второй вариант поддерживает также функционал для кражи с возможностью сбора (включая историю просмотров, список каталогов, установленные драйверы, запущенные процессы, ключ продукта, активные сети, снимки экрана) и удаления конфиденциальных данных из системы-жертвы.

Третий образец идентифицирован как Neshta и может встраивать вредоносный код в исполняемые файлы на взломанной системе. Причем в отличие от предыдущих этот образец содержит иной формат записки о выкупе.

Trend Micro отмечает, что Big Head не является изощренным вымогателем, его методы шифрования довольно стандартны, а его методы уклонения легко обнаружить.

Тем не менее, похоже, что он нацелен на массовку с помощью простых уловок (например, поддельное обновление Windows), а наличие различных версий ПО говорит о том, что создатели Big Head совершенствуют свой продукт и стремятся к повышению его эффективности.

В рамках июльских обновлений Siemens и Schneider Electric устранили 50 уязвимостей в своих промышленных продуктах.

Siemens выпустила пять новых бюллетеней, информировав клиентов об исправлений для более чем 40 уязвимостей. 

Критическая проблема была закрыта в коммуникационной системе Simatic CN 4100, которую можно использовать для получения доступа администратора и полного контроля над устройством.

Другая исправленная серьезная ошибка позволяла злоумышленнику обойти сетевую изоляцию.

В продуктах Ruggedcom ROX устранена 21 уязвимость, в том числе те, которые могут быть использованы для получения информации, RCE, вызова DoS или выполнения произвольных действий посредством CSRF-атак.

Большинство из них имеют критическую или высокую оценку серьезности, а некоторые из баг влияют на сторонние компоненты.

В оптических считывателях Simatic MV500, в том числе в веб-сервере и сторонних компонентах, устранено более дюжины уязвимостей, в том числе критические и достаточно серьезные.

Эксплуатация может привести к DoS или раскрытию информации.

Также были выпущены патчи для шести серьезных проблем в ПО Tecnomatix Plant Simulation, которые позволяют вывести приложение из строя или потенциально выполнить произвольный код, заставив целевого пользователя открыть специально созданные файлы.

В свою очередь, Schneider Electric анонсировала четыре новых бюллетеня.

Все они охватывают шесть уязвимостей в решениях компании и более дюжины недостатков, затрагивающих сторонний компонент - коммуникационный сервер Codesys Runtime System V3. 

Недостатки Codesys затрагивают контроллеры PacDrive и Modicon, HMI Harmony и SoftSPS, встроенную в EcoStruxure Machine Expert. Их эксплуатация может привести к DoS и, возможно, RCE.

В ПО для мониторинга StruxureWare Data Center Expert (DCE) компания Schneider исправила две проблемы высокой степени серьезности и две проблемы средней, которые могут привести к несанкционированному доступу или RCE.

В приложении Accutech Manager для датчиков исправлена уязвимость высокой степени серьезности, а в продукте EcoStruxure OPC UA Server Expert устранена проблема раскрытия информации средней серьезности.

Подкатил июльский PatchTuesday от Microsoft, а вместе с ним исправления для 132 уязвимостей, в том числе 6 0-day и 13 RCE-ошибок, девять из которых оценены как критические.

Причем один из них остается неисправленным и активно используется в атаках, наблюдаемыми различными инфосек-компаниями.

Среди исправленных проблем 33 связаны с повышением привилегий, 13 - обходом функций безопасности, 37 - RCE, 19 - раскрытием информации, 22 - DoS, 7 - спуфингом.

На этот раз Microsoft не исправила ни одной уязвимости Microsoft Edge.

Из эксплуатируемых 0-day:

CVE-2023-32046 - уязвимость Windows MSHTML, связанная с несанкционированным получением прав, которая использовалась путем открытия специально созданного файла по электронной почте или через вредоносные сайты.

CVE-2023-32049 - уязвимость обхода Windows SmartScreen, которая позволяет не отображать запроса на открытие файлов при загрузке из Интернета и была была обнаружена внутри Microsoft Threat Intelligence Center.

CVE-2023-36874 - уязвимость в службе отчетов об ошибках, связанная с повышением привилегий, позволявшая получить права администратора на устройстве Windows.

Для ее эксплуатации злоумышленник должен иметь локальный доступ к целевой машине. Она была обнаружена Владом Столяровым и Мэдди Стоун из Google TAG.

CVE-2023-36884 - неисправленная уязвимость в Office и Windows, связанная с удаленным выполнением кода HTML благодаря использованию специально созданных документов Microsoft Office.

При этом злоумышленник должен убедить жертву открыть вредоносный файл.

Ошибка была замечена в целевых атаках, которые предпринимались, по данным Microsoft, хакерской группой RomCom, развертывавшей программу-вымогатель Industrial Spy (ныне - Underground), связанную исследователями Palo Alto, в свою очередь, с Cuba ransomware.

Об уязвимости сообщили Microsoft Threat Intelligence, Влад Столяров, Клемент Лесинь и Бахаре Сабури из Google TAG, Пол Расканьерес и Том Ланкастер из Volexity, а также команда безопасности Microsoft Office Product Group.

CVE-2023-35311  - уязвимость обхода предупреждения системы безопасности в Microsoft Outlook. Раскрыта анонимным исследователем.

ADV230001 - Microsoft отозвала сертификаты для подписи кода и учетные записи разработчиков, которые использовали лазейку в политике Windows для установки вредоносных драйверов режима ядра.

По сообщению Cisco Talos, эта лазейка использовалась для подписания вредоносных драйверов и перехвата трафика браузеров, включая Chrome, Edge и Firefox (и еще обширный список браузеров), популярных в Китае.

Причем, согласно бюллетеню, в ходе атак злоумышленник уже получил административные привилегии на скомпрометированных системах до использования драйверов.

Расследование при участии Trend Micro и Cisco было проведено после уведомления Sophos от 9 февраля.

Полный список с описанием устраненных уязвимостей в обновлениях PatchTuesday представлено здесь.

Citrix исправила критическую уязвимость в клиенте Secure Access для Ubuntu, которая могла привести к RCE.

Однако, согласно бюллетеню Citrix, использование CVE-2023-24492 (с оценкой CVSS 9,6) требует взаимодействия с пользователем.

Для этого жертва должна открыть созданную злоумышленником ссылку и принять дальнейшие запросы.

Вместе с тем, Citrix не предоставила технических подробностей для ошибки, но объявила, что версия 23.5.2 клиента Secure Access для Ubuntu содержит необходимые исправления.

Закрыта также серьезная уязвимость повышения привилегий в Secure Access для Windows.

CVE-2023-24491 (оценка CVSS 7,8) позволяет злоумышленнику, имеющему доступ к конечной точке со стандартной учетной записью пользователя и уязвимому клиенту, повысить привилегии до уровня NT Authority\System.

Уязвимость устранена с выпуском клиента Secure Access для Windows версии 23.5.1.3.

При этом оба недостатка были обнаружены Рильке Петроски из F2TC Cyber Security.

Клиентам Citrix рекомендуется обновиться как можно скорее, несмотря на то, что компания не упоминает об использовании каких-либо из этих уязвимостей в атаках.

В свой patch day SAP выпустила 16 новых примечаний по безопасности, в рамках которых, была исправлена самая критическая уязвимость, связанная с инъекцией команд ОС в SAP ECC и S/4HANA (IS-OIL).

Недостаток, отслеживаемый как CVE-2023-36922 (оценка CVSS 9,1) мог позволить злоумышленнику внедрить произвольную команду операционной системы в незащищенный параметр уязвимой транзакции и программы.

Учитывая, что ПО для планирования ресурсов предприятия ECC является ключевым компонентом SAP Business Suite, то выявленный недостаток создает прямую угрозу нарушения конфиденциальности, целостности и доступности системы в целом, считают специалисты Onapsis.

Еще одна важная заметка безопасности обновляет апрельскую аж 2018 года, в которой для SAP Business Client установлена последняя версия Chromium.

Данная заметка, которая в совокупности получила оценку CVSS 10 из 10 исправляет 56 ошибок, включая две ошибки критической серьезности и 35 ошибок высокой серьезности.

SAP также выпустила семь заметок о безопасности высокого приоритета, исправив проблемы, связанные с XSS, в UI5, контрабандой запросов, повреждением памяти, DoS и уязвимостью слепого SSRF без аутентификации.

Оставшиеся девять заметок о безопасности устраняют уязвимости средней степени серьезности в различных продуктах SAP.

Не смотря на то что, у поставщика нет доказательств того, что эти недостатки были использованы в дикой природе, организациям все же рекомендуется применять патчи как можно скорее.

Fortinet обнаружила серьезную уязвимость, влияющую на FortiOS и FortiProxy, позволяющую удаленному злоумышленнику выполнять произвольный код на уязвимых устройствах.

CVE-2023-33308 получила рейтинг CVS v3 9,8 из 10 и была раскрыта исследователями из Watchtowr.

Она описывается как проблема переполнения стека, влияющая на функцию глубокой проверки пакетов SSL в режиме прокси.

Поскольку проблема возникает только в том случае, если включена глубокая проверка политик прокси или политик брандмауэра с режимом прокси, отключение этой функции предотвращает эксплуатацию.

Уязвимость затрагивает FortiOS и FortiProxy версий 7.2.x и 7.0.x и была устранена в FortiOS версий 7.4.0, 7.2.4 и 7.0.11, а также FortiProxy версий 7.2.3 и 7.0.10.

Fortinet пояснила, что проблема была решена в предыдущем выпуске без соответствующего предупреждения.

В бюллетене Fortinet поясняется, что продукты FortiOS из ветвей выпуска 6.0, 6.2, 6.4, 2.x и 1.x не подвержены влиянию CVE-2023-33308.

Компания также объявила об исправлениях для CVE-2023-28001 средней степени серьезности в FortiOS, которая может позволить злоумышленнику повторно использовать сеанс удаленного пользователя, если злоумышленнику удастся получить токен API.

Уязвимость затрагивает версии FortiOS 7.2.x и 7.0.x и была устранена в версии FortiOS 7.4.0.

Пользователям Fortinet рекомендуется установить исправления как можно скорее.

Уязвимости критического уровня в решениях Fortinet неоднократно использовались в атаках, особенно те, которые не требуют аутентификации, предоставляя первоначальный доступ к корпоративным сетям.

После фиаско с Security Response, разработчики Apple предприняли новую попытку и выкатили патч для устранения проанонсированного 0-day в WebKit.

Первоначальные исправления пришлось сразу же отозвать из-за проблем с просмотром веб-сайтов через браузер Safari, а пользователям откатиться обратно.

Apple в итоге решила не сообщать, почему некоторые сайты не отображались должным образом после установки обновлений iOS 16.5.1 (a), iPadOS 16.5.1 (a) и macOS 13.4.1 (a). Но обещают, что проблема решена.

SonicWall выпустила исправления для критических уязвимостей, влияющих на управление брандмауэром Global Management System (GMS) и ПО для создания сетевых отчетов Analytics.

В общей сложности устранено 15 недостатков, в том числе те, которые могут позволить злоумышленникам получить доступ к уязвимым локальным системам, работающим под управлением GMS 9.3.2-SP1 и Analytics 2.5.0.4-R7 (или более ранней версии).

Четыре критические уязвимости позволяют злоумышленнику обойти аутентификацию и потенциально могут привести к раскрытию конфиденциальной информации неавторизованному субъекту в ходе несложных атак, не требующих взаимодействия с пользователем.

Все они отслеживаются как: CVE-2023-34124 (обход аутентификации веб-сервиса), CVE-2023-34133 (множественные проблемы с SQL-инъекцией без проверки подлинности и обход фильтра безопасности), CVE-2023-34134 (чтение хэша пароля через веб-службу) и CVE-2023-34137 (обход аутентификации CAS).

SonicWall PSIRT утверждает о недоступности PoC и отсутствии их эксплуатации в дикой природе.

Поставщик настоятельно рекомендует организациям, использующим описанную ниже версию GMS/Analytics On-Prem, немедленно выполнить обновление до соответствующей исправленной версии.

Ведь, как известно, устройства уже неоднократно подвергались атакам программ-вымогателей (HelloKitty, FiveHands) и кибершпионажа.

И неудивительно, SonicWall используют более 500 000 бизнес-клиентов в 215 странах, включая государственные учреждения и некоторые из крупнейших компаний по всему миру.

Исследователи Dragos сообщают об обнаружении эксплойта, который был разработан ненадеванной АРТ для нацеливанная на критически важную инфраструктуру с использованием уязвимостей в продуктах Rockwell Automation.

Согласно бюллетеню, в основе эксплойта - недостатки в коммуникационных модулях ControlLogix EtherNet/IP.

В частности, продукты 1756 EN2 и 1756 EN3 подвержены влиянию CVE-2023-3595 (оценка CVSS: 9,8).

Это критическая уязвимость, которая может позволить злоумышленнику добиться RCE с сохранением в целевой системе с помощью специально созданных сообщений Common Industrial Protocol (CIP).

Злоумышленник может использовать эту уязвимость для изменения, блокировки или кражи данных, проходящих через устройство.

Другая серьезная ошибка отказа в обслуживании CVE-2023-3596 (оценка CVSS: 7,5) затрагивает 1756-EN4, ее также можно использовать с помощью специально созданных CIP-сообщений.

В число уязвимых устройств также входят: 1756-EN2T, 1756-EN2TK, 1756-EN2TXT, 1756-EN2TP, 1756-EN2TPK, 1756-EN2TPXT, 1756-EN2TR, 1756-EN2TRK, 1756-EN2TRXT, 1756-EN2F, 1756-EN2F. К, 1756-EN3TR , 1756-EN3TRK, 1756-EN4TR, 1756-EN4TRK и 1756-EN4TRXT.

Rockwell Automation выпустила исправления встроенного ПО для каждого из продуктов и поделилась потенциальными индикаторами компрометации (IoC), а также правилами обнаружения.

Поставщик заявляет, что ему неизвестно о текущей эксплуатации, а предполагаемая виктимизация остается неясной.

Однако потенциальный риск эксплуатации в реальных атаках на промышленные системы остается достаточно высоким, и в зависимости от конфигурации целевого устройства ControlLogix может привести к различным последствиям (отказу или потере контроля, отказу или потере обзора, краже операционных данных или манипулированию контролем).

Помимо компрометации самого уязвимого модуля, уязвимость также может позволить злоумышленнику повлиять на производственный процесс вместе с базовой критической инфраструктурой, что может привести к возможному нарушению или разрушению.

В связи с чем, к расследованию подключилась и CISA, выпустив отдельный бюллетень с предупреждением организаций об уязвимостях.

В целом же, находка представляет собой редкую возможность для проактивной защиты критически важных промышленных секторов.