Тем временем, в результате инцидента MoveIT, число компаний, ставших жертвами вымогателей cl0p достигло - 238, а пострадавших пользователей - 17 750 230.

Критическая уязвимость в децентрализованной платформе с открытым исходным кодом Mastodon с 8,8 миллионами пользователей, получившая название TootRoot, может быть использована для захвата серверов.

Mastodon исправила четыре уязвимости, которые были обнаружены независимыми аудиторами из Cure53 по запросу Mozilla.

Наиболее важной из них является CVE-2023-36460 (оценка CVSS 9,9), представляющая собой проблему с созданием произвольного файла, которая может привести к полной компрометации сервера.

Используя специально созданные медиафайлы, злоумышленники могут заставить код обработки мультимедиа Mastodon создавать произвольные файлы в любом месте.

Это позволяет злоумышленникам создавать и перезаписывать любой файл, к которому у Mastodon есть доступ, получая возможности для DoS и RCE.

Исследователь Кевин Бомонт подчеркнул риски, связанные с TootRoot, заявив, что этот файл можно использовать для установки бэкдоров на серверах, доставляющих контент пользователям Mastodon.

Такая компрометация даст злоумышленникам неограниченный контроль над сервером и управляемыми данными, включая и конфиденциальную информацию пользователей.

Вторая критическая уязвимость CVE-2023-36459 описывается как проблема межсайтового скриптинга (XSS), которая позволяет злоумышленникам обходить очистку HTML с помощью специально созданных данных oEmbed.

Атаки с использованием этой уязвимость могут привести к захвату учетной записи или доступу к конфиденциальным данным.

Две другие исправленные ошибки: CVE-2023-36461 - DoS-уязвимость высокой степени серьезности из-за медленных ответов HTTP, и CVE-2023-36462, также имеющая высокую степень серьезности, которая позволяет злоумышленнику реализовать фишинг с использованием ссылки профиля.

Все уязвимости были устранены с выпуском версий 4.1.3, 4.0.5 и 3.5.9.

Администраторам рекомендуется обновить свои экземпляры Mastodon как можно скорее.

Исследователи SSD Secure Disclosure раскрыли технические детали и представили PoC-эксплойт для недавней уязвимости Ubiquiti EdgeRouter.

Отслеживаемая как CVE-2023-31998 проблема описывается как уязвимость переполнения кучи, которую можно использовать через подключение по локальной сети.

Проблема связана со службой MiniUPnPd в устройствах Ubiquiti EdgeRouter и AirCube.

Злоумышленники локальной сети могут использовать ее для переполнения внутренней кучи и потенциального выполнения произвольного кода.

По данным SSD Secure Disclosure, недостаток в MiniUPnPd был закрыт, для него не был выпущен CVE-идентификатор.

Однако, по всей видимости, уязвимые версии MiniUPnPd могли поставляться и с другими сетевыми устройствами.

В конце июня Ubiquiti выпустила обновления ПО для уязвимых устройств EdgeRouter с поддержкой UPnP (версия прошивки 2.0.9-исправление.7) и AirCube (версия прошивки 2.8.9).

Несмотря на то, что пока нет никаких признаков использования уязвимости в реальных атаках, пользователям Ubiquiti рекомендуется как можно скорее обновить свои устройства.

Видимо, пока инфосек специалисты криптоплатформ отдыхают в отпусках, хакеры усердно работают и зарабатывают на безбедную старость.

Следом за Poly Network под гнетом хакерской атаки пал сервис Multichain, который временно приостановил работу после кражи криптоактивов на сумму более чем в 125 миллионов долларов.

Компания, предоставляющая кросс-чейн услуги, объявила, что некоторые ее активы были переведены на неизвестный адрес.

Пока идет расследование, пользователям рекомендовано прекратить использование услуг Multichain и отозвать все подтверждения контрактов, связанные с платформой.

В Multichain пообещали возместить все потерянные средства пользователей несмотря на то, что в компании столкнулись с рядом технических и административных проблем еще в мае.

Эксперты по безопасности оценили убытки примерно в 126 миллионов долларов, при этом украденные активы включают USDT, ETH, Bitcoin и другие монеты.

Звучит как мыс надежды, но появились предположения, что за атакой может стоять всем известный в криптоиндустрии и не только хакер - Белая шляпа, но это мнение остается в разряде неподтвержденных.

Этот инцидент стал последним в серии хакерских атак, нацеленных на кросс-чейн мосты, в результате чего за последние три года было украдено 1,92 миллиарда долларов.

Среди самых громких краж - 600 миллионов долларов у Ronin Network и Poly Network и 320 миллионов долларов у Wormhole Bridge.

Apple выпустила новый Rapid Security Respons (но не надолго) для iOS, iPadOS, macOS и веб-браузера Safari, устранения новой 0-day (уже десятой в этом году), используемой в атаках и затрагивающей полностью исправленные iPhone, Mac и iPad.

Ошибка WebKit, отлеживаемая как CVE-2023-37450, может позволить злоумышленникам выполнять произвольный код при обработке специально созданного веб-контента.

Обнаружение и сообщение об ошибке приписывают анонимному исследователю.

Согласно бюллетеням компании для iOS и macOS с описанием CVE-2023-37450, Apple известно о том, что эта проблема, возможно, активно использовалась.

Как и в большинстве подобных случаев, подробностей о характере и масштабах атак, а также личности стоящего за ними злоумышленника очень мало.

Производитель iPhone заявил, что решил проблему с помощью улучшенных проверок.

Обновления iOS 16.5.1 (a), iPadOS 16.5.1 (a), macOS Ventura 13.4.1 (a) и Safari 16.5.2 были доступны для устройств со следующими версиями операционной системы: iOS 16.5.1 и iPadOS 16.5.1, macOS Вентура 13.4.1 и macOS Big Sur и macOS Monterey.

Однако позже Apple удалила обновление ПО после того, как их установка привела к тому, что некоторые веб-сайты, такие как Facebook, Instagram и Zoom, выдавали ошибку «неподдерживаемый браузер» в Safari.

Ожидаем, что Apple, скорее всего, повторно выпустит RSR, когда разработчики смогут решить проблему.

А их коллеги из Ремонда обычно по этому поводу не заморачиваются, за них микропатчи клепают сторонние поставщики.

Но будем посмотреть.

VMware предупредила клиентов об эксплойте, доступном для критической RCE-ошибки в инструменте анализа VMware Aria Operations for Logs.

CVE-2023-20864 представляет собой уязвимость десериализации, ее успешная эксплуатация позволяет злоумышленникам запускать произвольный код от имени пользователя root в ходе несложных атак, не требующих вмешательства пользователя.

Также в апреле VMware также выпустила обновления для устранения менее серьезной CVE-2023-20865, которая позволяла удаленным злоумышленникам с правами администратора выполнять произвольные команды от имени пользователя root на уязвимых устройствах.

Оба недостатка были исправлены с выпуском VMware Aria Operations for Logs 8.12.

Также недавно VMware выпустила еще одно предупреждение об исправлении критической ошибки (CVE-2023-20887) в VMware Aria Operations for Networks, позволяющей удаленно выполнять команды от имени пользователя root и активно используемой в атаках.

К счастью, в настоящее время нет доказательств, позволяющих полагать использование проблем в реальных атаках.

Тем не менее, администраторам рекомендуется незамедлительно применить исправления для CVE-2023-20864 в качестве меры по снижению риска потенциальных атак.

Инцидент с MOVEit определенно войдет в историю, а Cl0p установит новый рекорд по количеству утечек.

Сегодня список потерпевших пополнили крупные европейские банки Deutsche Bank, ING Bank, Postbank, Comdirect, которые сообщили об утечках данных своих клиентов.

Достоянием злоумышленников стали имена, фамилии и IBAN клиентов, что в умелых руках позволяет списывать средства напрямую.

Однако представитель Deutsche попытался убедить СМИ в обратном, поскольку преступники не смогли получить прямой доступ к счетам.

Сколько клиентов пострадало от утечки пока приходится только предполагать, но всем клиентам рекомендовали быть осторожными, следить за своими транзакциями и обращаться в банк при обнаружении несанкционированных воздействий.

Следом за банками в Choice Hotels подтвердили взлом системы передачи файлов MOVEit, затронувший Radisson Hotels Americas, который имеет в своем активе около 600 отелей.

Пока Cl0p не опубликовали данные, украденные у Radisson на своем сайте утечек, но расследование продолжается и уже выявлено некоторое количество записей о гостях, к которым злоумышленники получили доступ.

Викторину публичных признаний поддержали Университет Джона Хопкинса (JHU) и система здравоохранения Джона Хопкинса (JHHS), которая состоит из девяти организаций, включая больницу Джона Хопкинса, больницу в Говарде и компанию по медицинскому менеджменту Johns Hopkins Medical Management Corporation.

О масштабе бедствия представители пока не сообщили, да и Cl0p тоже не раскрыл данные, к которым получили доступ и если повезет, то из этических соображений возможно даже не раскроют.

To be continued...

Исследователи Trend Micro расчехлили новую ransomware под названием Big Head, которая распространяется через вредоносную рекламу, продвигающую поддельные обновления Windows и установщики Microsoft Word.

Новое исследование является своего рода продолжением результатов анализа двух образцов вредоносного ПО, к которым в прошлом месяце пришли ресерчеры из Fortinet.

В своем отчете Trend Micro пришли к выводу, что предыдущие оба варианта и вновь обнаруженный третий исходят от одного оператора, который, вероятно, экспериментирует с различными подходами для оптимизации своих атак.

Big Head представляет собой двоичный файл .NET, который устанавливает в целевой системе три файла, зашифрованных с помощью AES: один - для распространения вредоносного ПО, другой - для связи с ботами Telegram, а третий - шифрования файлов и отображения поддельного Центра обновлений Windows.

При выполнении ransomware также реализует: создание ключа автозапуска реестра, перезапись существующих файлов, установку атрибутов системных файлов и отключение диспетчера задач.

Каждой жертве присваивается уникальный идентификатор, который либо извлекается из каталога %appdata%\ID, либо генерируется с использованием случайной строки из 40 символов.

Программа-вымогатель прекращает необходимые для шифрования процессы и удаляет теневые копии, прежде чем шифровать целевые файлы и добавлять расширение «.poop» к их именам.

Перед шифрованием ransomware реализует проверку системного языка, исключая зону СНГ, а также наличие виртуализации. В ходе шифрования программа-вымогатель отображает экран обновления Windows.

По завершении процесса шифрования записка о выкупе сбрасывается в несколько каталогов, после чего меняются обои с отражением предупреждения о компрометации системы.

Ресерчевам Trend Micro также удалось проанализировать еще два образца Big Head и выделить некоторые ключевые отличия от стандартной версии программы-вымогателя.

Второй вариант поддерживает также функционал для кражи с возможностью сбора (включая историю просмотров, список каталогов, установленные драйверы, запущенные процессы, ключ продукта, активные сети, снимки экрана) и удаления конфиденциальных данных из системы-жертвы.

Третий образец идентифицирован как Neshta и может встраивать вредоносный код в исполняемые файлы на взломанной системе. Причем в отличие от предыдущих этот образец содержит иной формат записки о выкупе.

Trend Micro отмечает, что Big Head не является изощренным вымогателем, его методы шифрования довольно стандартны, а его методы уклонения легко обнаружить.

Тем не менее, похоже, что он нацелен на массовку с помощью простых уловок (например, поддельное обновление Windows), а наличие различных версий ПО говорит о том, что создатели Big Head совершенствуют свой продукт и стремятся к повышению его эффективности.

В рамках июльских обновлений Siemens и Schneider Electric устранили 50 уязвимостей в своих промышленных продуктах.

Siemens выпустила пять новых бюллетеней, информировав клиентов об исправлений для более чем 40 уязвимостей. 

Критическая проблема была закрыта в коммуникационной системе Simatic CN 4100, которую можно использовать для получения доступа администратора и полного контроля над устройством.

Другая исправленная серьезная ошибка позволяла злоумышленнику обойти сетевую изоляцию.

В продуктах Ruggedcom ROX устранена 21 уязвимость, в том числе те, которые могут быть использованы для получения информации, RCE, вызова DoS или выполнения произвольных действий посредством CSRF-атак.

Большинство из них имеют критическую или высокую оценку серьезности, а некоторые из баг влияют на сторонние компоненты.

В оптических считывателях Simatic MV500, в том числе в веб-сервере и сторонних компонентах, устранено более дюжины уязвимостей, в том числе критические и достаточно серьезные.

Эксплуатация может привести к DoS или раскрытию информации.

Также были выпущены патчи для шести серьезных проблем в ПО Tecnomatix Plant Simulation, которые позволяют вывести приложение из строя или потенциально выполнить произвольный код, заставив целевого пользователя открыть специально созданные файлы.

В свою очередь, Schneider Electric анонсировала четыре новых бюллетеня.

Все они охватывают шесть уязвимостей в решениях компании и более дюжины недостатков, затрагивающих сторонний компонент - коммуникационный сервер Codesys Runtime System V3. 

Недостатки Codesys затрагивают контроллеры PacDrive и Modicon, HMI Harmony и SoftSPS, встроенную в EcoStruxure Machine Expert. Их эксплуатация может привести к DoS и, возможно, RCE.

В ПО для мониторинга StruxureWare Data Center Expert (DCE) компания Schneider исправила две проблемы высокой степени серьезности и две проблемы средней, которые могут привести к несанкционированному доступу или RCE.

В приложении Accutech Manager для датчиков исправлена уязвимость высокой степени серьезности, а в продукте EcoStruxure OPC UA Server Expert устранена проблема раскрытия информации средней серьезности.

Подкатил июльский PatchTuesday от Microsoft, а вместе с ним исправления для 132 уязвимостей, в том числе 6 0-day и 13 RCE-ошибок, девять из которых оценены как критические.

Причем один из них остается неисправленным и активно используется в атаках, наблюдаемыми различными инфосек-компаниями.

Среди исправленных проблем 33 связаны с повышением привилегий, 13 - обходом функций безопасности, 37 - RCE, 19 - раскрытием информации, 22 - DoS, 7 - спуфингом.

На этот раз Microsoft не исправила ни одной уязвимости Microsoft Edge.

Из эксплуатируемых 0-day:

CVE-2023-32046 - уязвимость Windows MSHTML, связанная с несанкционированным получением прав, которая использовалась путем открытия специально созданного файла по электронной почте или через вредоносные сайты.

CVE-2023-32049 - уязвимость обхода Windows SmartScreen, которая позволяет не отображать запроса на открытие файлов при загрузке из Интернета и была была обнаружена внутри Microsoft Threat Intelligence Center.

CVE-2023-36874 - уязвимость в службе отчетов об ошибках, связанная с повышением привилегий, позволявшая получить права администратора на устройстве Windows.

Для ее эксплуатации злоумышленник должен иметь локальный доступ к целевой машине. Она была обнаружена Владом Столяровым и Мэдди Стоун из Google TAG.

CVE-2023-36884 - неисправленная уязвимость в Office и Windows, связанная с удаленным выполнением кода HTML благодаря использованию специально созданных документов Microsoft Office.

При этом злоумышленник должен убедить жертву открыть вредоносный файл.

Ошибка была замечена в целевых атаках, которые предпринимались, по данным Microsoft, хакерской группой RomCom, развертывавшей программу-вымогатель Industrial Spy (ныне - Underground), связанную исследователями Palo Alto, в свою очередь, с Cuba ransomware.

Об уязвимости сообщили Microsoft Threat Intelligence, Влад Столяров, Клемент Лесинь и Бахаре Сабури из Google TAG, Пол Расканьерес и Том Ланкастер из Volexity, а также команда безопасности Microsoft Office Product Group.

CVE-2023-35311  - уязвимость обхода предупреждения системы безопасности в Microsoft Outlook. Раскрыта анонимным исследователем.

ADV230001 - Microsoft отозвала сертификаты для подписи кода и учетные записи разработчиков, которые использовали лазейку в политике Windows для установки вредоносных драйверов режима ядра.

По сообщению Cisco Talos, эта лазейка использовалась для подписания вредоносных драйверов и перехвата трафика браузеров, включая Chrome, Edge и Firefox (и еще обширный список браузеров), популярных в Китае.

Причем, согласно бюллетеню, в ходе атак злоумышленник уже получил административные привилегии на скомпрометированных системах до использования драйверов.

Расследование при участии Trend Micro и Cisco было проведено после уведомления Sophos от 9 февраля.

Полный список с описанием устраненных уязвимостей в обновлениях PatchTuesday представлено здесь.

Citrix исправила критическую уязвимость в клиенте Secure Access для Ubuntu, которая могла привести к RCE.

Однако, согласно бюллетеню Citrix, использование CVE-2023-24492 (с оценкой CVSS 9,6) требует взаимодействия с пользователем.

Для этого жертва должна открыть созданную злоумышленником ссылку и принять дальнейшие запросы.

Вместе с тем, Citrix не предоставила технических подробностей для ошибки, но объявила, что версия 23.5.2 клиента Secure Access для Ubuntu содержит необходимые исправления.

Закрыта также серьезная уязвимость повышения привилегий в Secure Access для Windows.

CVE-2023-24491 (оценка CVSS 7,8) позволяет злоумышленнику, имеющему доступ к конечной точке со стандартной учетной записью пользователя и уязвимому клиенту, повысить привилегии до уровня NT Authority\System.

Уязвимость устранена с выпуском клиента Secure Access для Windows версии 23.5.1.3.

При этом оба недостатка были обнаружены Рильке Петроски из F2TC Cyber Security.

Клиентам Citrix рекомендуется обновиться как можно скорее, несмотря на то, что компания не упоминает об использовании каких-либо из этих уязвимостей в атаках.

В свой patch day SAP выпустила 16 новых примечаний по безопасности, в рамках которых, была исправлена самая критическая уязвимость, связанная с инъекцией команд ОС в SAP ECC и S/4HANA (IS-OIL).

Недостаток, отслеживаемый как CVE-2023-36922 (оценка CVSS 9,1) мог позволить злоумышленнику внедрить произвольную команду операционной системы в незащищенный параметр уязвимой транзакции и программы.

Учитывая, что ПО для планирования ресурсов предприятия ECC является ключевым компонентом SAP Business Suite, то выявленный недостаток создает прямую угрозу нарушения конфиденциальности, целостности и доступности системы в целом, считают специалисты Onapsis.

Еще одна важная заметка безопасности обновляет апрельскую аж 2018 года, в которой для SAP Business Client установлена последняя версия Chromium.

Данная заметка, которая в совокупности получила оценку CVSS 10 из 10 исправляет 56 ошибок, включая две ошибки критической серьезности и 35 ошибок высокой серьезности.

SAP также выпустила семь заметок о безопасности высокого приоритета, исправив проблемы, связанные с XSS, в UI5, контрабандой запросов, повреждением памяти, DoS и уязвимостью слепого SSRF без аутентификации.

Оставшиеся девять заметок о безопасности устраняют уязвимости средней степени серьезности в различных продуктах SAP.

Не смотря на то что, у поставщика нет доказательств того, что эти недостатки были использованы в дикой природе, организациям все же рекомендуется применять патчи как можно скорее.

Fortinet обнаружила серьезную уязвимость, влияющую на FortiOS и FortiProxy, позволяющую удаленному злоумышленнику выполнять произвольный код на уязвимых устройствах.

CVE-2023-33308 получила рейтинг CVS v3 9,8 из 10 и была раскрыта исследователями из Watchtowr.

Она описывается как проблема переполнения стека, влияющая на функцию глубокой проверки пакетов SSL в режиме прокси.

Поскольку проблема возникает только в том случае, если включена глубокая проверка политик прокси или политик брандмауэра с режимом прокси, отключение этой функции предотвращает эксплуатацию.

Уязвимость затрагивает FortiOS и FortiProxy версий 7.2.x и 7.0.x и была устранена в FortiOS версий 7.4.0, 7.2.4 и 7.0.11, а также FortiProxy версий 7.2.3 и 7.0.10.

Fortinet пояснила, что проблема была решена в предыдущем выпуске без соответствующего предупреждения.

В бюллетене Fortinet поясняется, что продукты FortiOS из ветвей выпуска 6.0, 6.2, 6.4, 2.x и 1.x не подвержены влиянию CVE-2023-33308.

Компания также объявила об исправлениях для CVE-2023-28001 средней степени серьезности в FortiOS, которая может позволить злоумышленнику повторно использовать сеанс удаленного пользователя, если злоумышленнику удастся получить токен API.

Уязвимость затрагивает версии FortiOS 7.2.x и 7.0.x и была устранена в версии FortiOS 7.4.0.

Пользователям Fortinet рекомендуется установить исправления как можно скорее.

Уязвимости критического уровня в решениях Fortinet неоднократно использовались в атаках, особенно те, которые не требуют аутентификации, предоставляя первоначальный доступ к корпоративным сетям.

После фиаско с Security Response, разработчики Apple предприняли новую попытку и выкатили патч для устранения проанонсированного 0-day в WebKit.

Первоначальные исправления пришлось сразу же отозвать из-за проблем с просмотром веб-сайтов через браузер Safari, а пользователям откатиться обратно.

Apple в итоге решила не сообщать, почему некоторые сайты не отображались должным образом после установки обновлений iOS 16.5.1 (a), iPadOS 16.5.1 (a) и macOS 13.4.1 (a). Но обещают, что проблема решена.

SonicWall выпустила исправления для критических уязвимостей, влияющих на управление брандмауэром Global Management System (GMS) и ПО для создания сетевых отчетов Analytics.

В общей сложности устранено 15 недостатков, в том числе те, которые могут позволить злоумышленникам получить доступ к уязвимым локальным системам, работающим под управлением GMS 9.3.2-SP1 и Analytics 2.5.0.4-R7 (или более ранней версии).

Четыре критические уязвимости позволяют злоумышленнику обойти аутентификацию и потенциально могут привести к раскрытию конфиденциальной информации неавторизованному субъекту в ходе несложных атак, не требующих взаимодействия с пользователем.

Все они отслеживаются как: CVE-2023-34124 (обход аутентификации веб-сервиса), CVE-2023-34133 (множественные проблемы с SQL-инъекцией без проверки подлинности и обход фильтра безопасности), CVE-2023-34134 (чтение хэша пароля через веб-службу) и CVE-2023-34137 (обход аутентификации CAS).

SonicWall PSIRT утверждает о недоступности PoC и отсутствии их эксплуатации в дикой природе.

Поставщик настоятельно рекомендует организациям, использующим описанную ниже версию GMS/Analytics On-Prem, немедленно выполнить обновление до соответствующей исправленной версии.

Ведь, как известно, устройства уже неоднократно подвергались атакам программ-вымогателей (HelloKitty, FiveHands) и кибершпионажа.

И неудивительно, SonicWall используют более 500 000 бизнес-клиентов в 215 странах, включая государственные учреждения и некоторые из крупнейших компаний по всему миру.

Исследователи Dragos сообщают об обнаружении эксплойта, который был разработан ненадеванной АРТ для нацеливанная на критически важную инфраструктуру с использованием уязвимостей в продуктах Rockwell Automation.

Согласно бюллетеню, в основе эксплойта - недостатки в коммуникационных модулях ControlLogix EtherNet/IP.

В частности, продукты 1756 EN2 и 1756 EN3 подвержены влиянию CVE-2023-3595 (оценка CVSS: 9,8).

Это критическая уязвимость, которая может позволить злоумышленнику добиться RCE с сохранением в целевой системе с помощью специально созданных сообщений Common Industrial Protocol (CIP).

Злоумышленник может использовать эту уязвимость для изменения, блокировки или кражи данных, проходящих через устройство.

Другая серьезная ошибка отказа в обслуживании CVE-2023-3596 (оценка CVSS: 7,5) затрагивает 1756-EN4, ее также можно использовать с помощью специально созданных CIP-сообщений.

В число уязвимых устройств также входят: 1756-EN2T, 1756-EN2TK, 1756-EN2TXT, 1756-EN2TP, 1756-EN2TPK, 1756-EN2TPXT, 1756-EN2TR, 1756-EN2TRK, 1756-EN2TRXT, 1756-EN2F, 1756-EN2F. К, 1756-EN3TR , 1756-EN3TRK, 1756-EN4TR, 1756-EN4TRK и 1756-EN4TRXT.

Rockwell Automation выпустила исправления встроенного ПО для каждого из продуктов и поделилась потенциальными индикаторами компрометации (IoC), а также правилами обнаружения.

Поставщик заявляет, что ему неизвестно о текущей эксплуатации, а предполагаемая виктимизация остается неясной.

Однако потенциальный риск эксплуатации в реальных атаках на промышленные системы остается достаточно высоким, и в зависимости от конфигурации целевого устройства ControlLogix может привести к различным последствиям (отказу или потере контроля, отказу или потере обзора, краже операционных данных или манипулированию контролем).

Помимо компрометации самого уязвимого модуля, уязвимость также может позволить злоумышленнику повлиять на производственный процесс вместе с базовой критической инфраструктурой, что может привести к возможному нарушению или разрушению.

В связи с чем, к расследованию подключилась и CISA, выпустив отдельный бюллетень с предупреждением организаций об уязвимостях.

В целом же, находка представляет собой редкую возможность для проактивной защиты критически важных промышленных секторов.

Исходники буткита BlackLotus для Windows UEFI просочился на GitHub, что вызвало серьезную волну беспокойства в сообществе.

BlackLotus — это ориентированный на Windows буткит UEFI, который обходит безопасную загрузку и антивирусные решения, сохраняется в зараженной системе и выполняет полезные нагрузки с наивысшим уровнем привилегий в ОС.

Его функционал включают нарушение функции защиты данных BitLocker, Microsoft Defender и целостности кода, защищенной гипервизором (HVCI), также известной как функция целостности памяти, которая защищает от попыток использования ядра Windows.

BlackLotus был первым буткитом UEFI, который смог обойти механизм безопасной загрузки и отключить средства защиты на уровне ОС.

Первоначально это достигалось за счет уязвимости Baton Drop (CVE-2022-21894), которую Microsoft исправила в январе 2022 года. Но позже для обновления безопасности были найдены обходные пути.

Это привело к новому обновлению безопасности для CVE-2023-24932 (еще один обход функции безопасности безопасной загрузки).

Однако Microsoft по умолчанию отключила обновление безопасности для CVE-2023-24932, требуя от пользователей Windows выполнить сложную ручную установку для исправления своих систем, что побуждало их отказываться от патча, оставив устройства уязвимыми для атак обхода безопасной загрузки.

Что касается самого зловредна, то изначально BlackLotus продавался на хакерских форумах за 5000 долларов, что позволяло злоумышленникам с любым уровнем подготовки получать доступ к инструментарию, который обычно был в арсенале АРТ. А его исходный код всегда оставался в тайне.

Однако на днях исследователи из Binarly заприметили его на утечку на GitHub, за которой стоял некий Yukari, решивший сделать инструмент широко доступным для всех.

При этом он отметил, что исходный код был модифицирован, из него выпилена Baton Drop и вместо этого положен руткит UEFI bootlicker, который основан на CosmicStrand, MoonBounce и ESPECTRE UEFI APT.

Таким образом, утекший исходный код не является полным и содержит в основном часть руткита и код буткита для обхода Secure Boot.

Утечка позволяет злоумышленникам с легкостью комбинировать буткит с новыми уязвимостями загрузчика, как известными, так и неизвестными.

Так что теперь, когда BlackLotus широко доступен, вполне возможно, что умелые кодеры из даркнета могут создать более мощные варианты зловреда, делая этот конкретный вектор атаки все более изощренным и сложным.

Специалисты предупреждают пользователей маршрутизаторов DSL Technicolor TG670 об угрозе захвата устройства со стороны злоумышленников, поскольку устройства содержат жестко заданные учетные записи, которые, собственно, могут быть использованы для получения несанкционированного доступа.

Широкополосный роутер достаточно популярен для использования в малых офисов и домашних условиях и позволяет администраторам аутентифицироваться через HTTP, SSH или Telnet. С включенной функцией удаленного управления пользователи получают полный административный контроль над роутером.

Однако, согласно отчету CERT/CC, шлюзовые роутеры Technicolor TG670 DSL, работающие на версии прошивки 10.5.N.9, содержат закодированные служебные учетные записи, которые предоставляют полный административный доступ к устройству через WAN.

Собственно, злоумышленник, зная эти имя пользователя и пароль по умолчанию, может удаленно авторизоваться и изменять любые административные настройки роутера.

Выявленный недостаток получил идентификатор CVE-2023-31808 и специалисты призывают проверить наличие обновлений безопасности, устраняющие эту уязвимость.

Кроме того, помимо прочего рекомендуется отключить удаленное администрирование на своих устройствах, чтобы предотвратить возможные попытки эксплуатации, поскольку Technicolor так и не ответил исследователям, и неясно, были ли выпущены патчи, которые устраняют выявленный баг.

Используемая более чем 200 000 компаниями в 140 странах Zimbra призывает администраторов срочно исправить вручную 0-day, которая активно эксплуатируется для взлома почтовых серверов Zimbra Collaboration Suite (ZCS).

Уязвимость в системе безопасности Zimbra Collaboration Suite затрагивает версию 8.8.15 и потенциально может повлиять на конфиденциальность и целостность ваших  данных.

В настоящее время проблеме не присвоен идентификатор CVE. Недостаток представляет собой отраженный межсайтовый скриптинг (XSS) и был обнаружен исследователем Клементом Лесинем из Google Threat Analysis Group.

Несмотря на то, что Zimbra не признала задействование баги в дикой природе, Мэдди Стоун из Google TAG сообщила сегодня XSS-уязвимость была замечена в целевой атаке.

До тех пор, пока разработчики трудятся над патчем, Zimbra выпустила рекомендации по устранению вектора атаки.

Процедура, необходимая для устранения уязвимости вручную на всех узлах почтовых ящиков, требует от администраторов выполнения следующих шагов:

1. Сделать резервную копию файла /opt/zimbra/jetty/webapps/zimbra/m/momoveto.
2. Отредактировать этот файл и перейти к строке 40
3. Обновить значение параметра до  <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>
4. До обновления строка должна отображаться как  <input name="st" type="hidden" value="${param.st}"/>

Включение функции escapeXml() теперь будет очищать введенные пользователем данные путем экранирования специальных символов, используемых в разметке XML, для предотвращения недостатков XSS.

Исправление может быть применено незамедлительно, для применения перезапуск службы Zimbra не потребуется.

Администраторам следует уделить первоочередное внимание устранению этой угрозы 0-day с учетом того, что в последние годы было взломано приличное число уязвимых почтовых серверов Zimbra по всему миру.

Так, еще в июне 2022 года ошибки обхода аутентификации Zimbra и удаленного выполнения кода привели к компрометации более 1000 серверов.

А начиная с сентября 2022 года хакеры начали злоупотреблять неисправленной RCE-уязвимостью в Zimbra Collaboration Suite, взломав почти 900 серверов за два месяца.

͏Арестованного в конце марта 20-летнего Конора Фитцпатрика, больше известного под псевдонимом Pompompurin, владельца BreachForum обвинили в числе прочего в хранении порно с участием несовершеннолетних.

Предъявление обвинений Фитцпатрику несколько раз откладывалось, а сам обвиняемый предпринимал попытку самоубийства.

Теперь же после прошедшего 13 июля судебного заседания стали понятны мотивы хакера.

Согласно финальной редакции обвинения, Фицпатрику было предъявлено обвинение в заговоре с целью совершения мошенничества с устройствами доступа, ведущему в том числе к вымогательству, а также хранении детской порнографии.

При этом Pompompurin признал себя виновным по всем трем пунктам, последний из которых вызвал серьезное удивление в профсообществе киберподполья.

Судя по представленным в суде материалам с обыска и по результатам осмотра компьютерной техники обвиняемого, на устройствах хранилось более 600 единиц запрещенного контента.

Суд над Pompompurin назначен на 17 ноября. На данный момент он находится под домашним арестом и выпущен под залог в размере 300 000 долларов.

Теперь вполне понятно, зачем силовики устраивали для Pompompurin теплый прием со спецэффектами.