Исследователи Dragos сообщают об обнаружении эксплойта, который был разработан ненадеванной АРТ для нацеливанная на критически важную инфраструктуру с использованием уязвимостей в продуктах Rockwell Automation.
Согласно бюллетеню, в основе эксплойта - недостатки в коммуникационных модулях ControlLogix EtherNet/IP.
В частности, продукты 1756 EN2 и 1756 EN3 подвержены влиянию CVE-2023-3595 (оценка CVSS: 9,8).
Это критическая уязвимость, которая может позволить злоумышленнику добиться RCE с сохранением в целевой системе с помощью специально созданных сообщений Common Industrial Protocol (CIP).
Злоумышленник может использовать эту уязвимость для изменения, блокировки или кражи данных, проходящих через устройство.
Другая серьезная ошибка отказа в обслуживании CVE-2023-3596 (оценка CVSS: 7,5) затрагивает 1756-EN4, ее также можно использовать с помощью специально созданных CIP-сообщений.
В число уязвимых устройств также входят: 1756-EN2T, 1756-EN2TK, 1756-EN2TXT, 1756-EN2TP, 1756-EN2TPK, 1756-EN2TPXT, 1756-EN2TR, 1756-EN2TRK, 1756-EN2TRXT, 1756-EN2F, 1756-EN2F. К, 1756-EN3TR , 1756-EN3TRK, 1756-EN4TR, 1756-EN4TRK и 1756-EN4TRXT.
Rockwell Automation выпустила исправления встроенного ПО для каждого из продуктов и поделилась потенциальными индикаторами компрометации (IoC), а также правилами обнаружения.
Поставщик заявляет, что ему неизвестно о текущей эксплуатации, а предполагаемая виктимизация остается неясной.
Однако потенциальный риск эксплуатации в реальных атаках на промышленные системы остается достаточно высоким, и в зависимости от конфигурации целевого устройства ControlLogix может привести к различным последствиям (отказу или потере контроля, отказу или потере обзора, краже операционных данных или манипулированию контролем).
Помимо компрометации самого уязвимого модуля, уязвимость также может позволить злоумышленнику повлиять на производственный процесс вместе с базовой критической инфраструктурой, что может привести к возможному нарушению или разрушению.
В связи с чем, к расследованию подключилась и CISA, выпустив отдельный бюллетень с предупреждением организаций об уязвимостях.
В целом же, находка представляет собой редкую возможность для проактивной защиты критически важных промышленных секторов.
Согласно бюллетеню, в основе эксплойта - недостатки в коммуникационных модулях ControlLogix EtherNet/IP.
В частности, продукты 1756 EN2 и 1756 EN3 подвержены влиянию CVE-2023-3595 (оценка CVSS: 9,8).
Это критическая уязвимость, которая может позволить злоумышленнику добиться RCE с сохранением в целевой системе с помощью специально созданных сообщений Common Industrial Protocol (CIP).
Злоумышленник может использовать эту уязвимость для изменения, блокировки или кражи данных, проходящих через устройство.
Другая серьезная ошибка отказа в обслуживании CVE-2023-3596 (оценка CVSS: 7,5) затрагивает 1756-EN4, ее также можно использовать с помощью специально созданных CIP-сообщений.
В число уязвимых устройств также входят: 1756-EN2T, 1756-EN2TK, 1756-EN2TXT, 1756-EN2TP, 1756-EN2TPK, 1756-EN2TPXT, 1756-EN2TR, 1756-EN2TRK, 1756-EN2TRXT, 1756-EN2F, 1756-EN2F. К, 1756-EN3TR , 1756-EN3TRK, 1756-EN4TR, 1756-EN4TRK и 1756-EN4TRXT.
Rockwell Automation выпустила исправления встроенного ПО для каждого из продуктов и поделилась потенциальными индикаторами компрометации (IoC), а также правилами обнаружения.
Поставщик заявляет, что ему неизвестно о текущей эксплуатации, а предполагаемая виктимизация остается неясной.
Однако потенциальный риск эксплуатации в реальных атаках на промышленные системы остается достаточно высоким, и в зависимости от конфигурации целевого устройства ControlLogix может привести к различным последствиям (отказу или потере контроля, отказу или потере обзора, краже операционных данных или манипулированию контролем).
Помимо компрометации самого уязвимого модуля, уязвимость также может позволить злоумышленнику повлиять на производственный процесс вместе с базовой критической инфраструктурой, что может привести к возможному нарушению или разрушению.
В связи с чем, к расследованию подключилась и CISA, выпустив отдельный бюллетень с предупреждением организаций об уязвимостях.
В целом же, находка представляет собой редкую возможность для проактивной защиты критически важных промышленных секторов.
Dragos | Industrial (ICS/OT) Cyber Security
Dragos Enabled Defense Against APT Exploits for Rockwell Automation ControlLogix | Dragos
Review guidance provided by Rockwell Automation and Dragos on how to mitigate vulnerabilities affecting Rockwell Automation ControlLogix firmware.
Исходники буткита BlackLotus для Windows UEFI просочился на GitHub, что вызвало серьезную волну беспокойства в сообществе.
BlackLotus — это ориентированный на Windows буткит UEFI, который обходит безопасную загрузку и антивирусные решения, сохраняется в зараженной системе и выполняет полезные нагрузки с наивысшим уровнем привилегий в ОС.
Его функционал включают нарушение функции защиты данных BitLocker, Microsoft Defender и целостности кода, защищенной гипервизором (HVCI), также известной как функция целостности памяти, которая защищает от попыток использования ядра Windows.
BlackLotus был первым буткитом UEFI, который смог обойти механизм безопасной загрузки и отключить средства защиты на уровне ОС.
Первоначально это достигалось за счет уязвимости Baton Drop (CVE-2022-21894), которую Microsoft исправила в январе 2022 года. Но позже для обновления безопасности были найдены обходные пути.
Это привело к новому обновлению безопасности для CVE-2023-24932 (еще один обход функции безопасности безопасной загрузки).
Однако Microsoft по умолчанию отключила обновление безопасности для CVE-2023-24932, требуя от пользователей Windows выполнить сложную ручную установку для исправления своих систем, что побуждало их отказываться от патча, оставив устройства уязвимыми для атак обхода безопасной загрузки.
Что касается самого зловредна, то изначально BlackLotus продавался на хакерских форумах за 5000 долларов, что позволяло злоумышленникам с любым уровнем подготовки получать доступ к инструментарию, который обычно был в арсенале АРТ. А его исходный код всегда оставался в тайне.
Однако на днях исследователи из Binarly заприметили его на утечку на GitHub, за которой стоял некий Yukari, решивший сделать инструмент широко доступным для всех.
При этом он отметил, что исходный код был модифицирован, из него выпилена Baton Drop и вместо этого положен руткит UEFI bootlicker, который основан на CosmicStrand, MoonBounce и ESPECTRE UEFI APT.
Таким образом, утекший исходный код не является полным и содержит в основном часть руткита и код буткита для обхода Secure Boot.
Утечка позволяет злоумышленникам с легкостью комбинировать буткит с новыми уязвимостями загрузчика, как известными, так и неизвестными.
Так что теперь, когда BlackLotus широко доступен, вполне возможно, что умелые кодеры из даркнета могут создать более мощные варианты зловреда, делая этот конкретный вектор атаки все более изощренным и сложным.
BlackLotus — это ориентированный на Windows буткит UEFI, который обходит безопасную загрузку и антивирусные решения, сохраняется в зараженной системе и выполняет полезные нагрузки с наивысшим уровнем привилегий в ОС.
Его функционал включают нарушение функции защиты данных BitLocker, Microsoft Defender и целостности кода, защищенной гипервизором (HVCI), также известной как функция целостности памяти, которая защищает от попыток использования ядра Windows.
BlackLotus был первым буткитом UEFI, который смог обойти механизм безопасной загрузки и отключить средства защиты на уровне ОС.
Первоначально это достигалось за счет уязвимости Baton Drop (CVE-2022-21894), которую Microsoft исправила в январе 2022 года. Но позже для обновления безопасности были найдены обходные пути.
Это привело к новому обновлению безопасности для CVE-2023-24932 (еще один обход функции безопасности безопасной загрузки).
Однако Microsoft по умолчанию отключила обновление безопасности для CVE-2023-24932, требуя от пользователей Windows выполнить сложную ручную установку для исправления своих систем, что побуждало их отказываться от патча, оставив устройства уязвимыми для атак обхода безопасной загрузки.
Что касается самого зловредна, то изначально BlackLotus продавался на хакерских форумах за 5000 долларов, что позволяло злоумышленникам с любым уровнем подготовки получать доступ к инструментарию, который обычно был в арсенале АРТ. А его исходный код всегда оставался в тайне.
Однако на днях исследователи из Binarly заприметили его на утечку на GitHub, за которой стоял некий Yukari, решивший сделать инструмент широко доступным для всех.
При этом он отметил, что исходный код был модифицирован, из него выпилена Baton Drop и вместо этого положен руткит UEFI bootlicker, который основан на CosmicStrand, MoonBounce и ESPECTRE UEFI APT.
Таким образом, утекший исходный код не является полным и содержит в основном часть руткита и код буткита для обхода Secure Boot.
Утечка позволяет злоумышленникам с легкостью комбинировать буткит с новыми уязвимостями загрузчика, как известными, так и неизвестными.
Так что теперь, когда BlackLotus широко доступен, вполне возможно, что умелые кодеры из даркнета могут создать более мощные варианты зловреда, делая этот конкретный вектор атаки все более изощренным и сложным.
GitHub
GitHub - ldpreload/BlackLotus: BlackLotus UEFI Windows Bootkit
BlackLotus UEFI Windows Bootkit. Contribute to ldpreload/BlackLotus development by creating an account on GitHub.
Специалисты предупреждают пользователей маршрутизаторов DSL Technicolor TG670 об угрозе захвата устройства со стороны злоумышленников, поскольку устройства содержат жестко заданные учетные записи, которые, собственно, могут быть использованы для получения несанкционированного доступа.
Широкополосный роутер достаточно популярен для использования в малых офисов и домашних условиях и позволяет администраторам аутентифицироваться через HTTP, SSH или Telnet. С включенной функцией удаленного управления пользователи получают полный административный контроль над роутером.
Однако, согласно отчету CERT/CC, шлюзовые роутеры Technicolor TG670 DSL, работающие на версии прошивки 10.5.N.9, содержат закодированные служебные учетные записи, которые предоставляют полный административный доступ к устройству через WAN.
Собственно, злоумышленник, зная эти имя пользователя и пароль по умолчанию, может удаленно авторизоваться и изменять любые административные настройки роутера.
Выявленный недостаток получил идентификатор CVE-2023-31808 и специалисты призывают проверить наличие обновлений безопасности, устраняющие эту уязвимость.
Кроме того, помимо прочего рекомендуется отключить удаленное администрирование на своих устройствах, чтобы предотвратить возможные попытки эксплуатации, поскольку Technicolor так и не ответил исследователям, и неясно, были ли выпущены патчи, которые устраняют выявленный баг.
Широкополосный роутер достаточно популярен для использования в малых офисов и домашних условиях и позволяет администраторам аутентифицироваться через HTTP, SSH или Telnet. С включенной функцией удаленного управления пользователи получают полный административный контроль над роутером.
Однако, согласно отчету CERT/CC, шлюзовые роутеры Technicolor TG670 DSL, работающие на версии прошивки 10.5.N.9, содержат закодированные служебные учетные записи, которые предоставляют полный административный доступ к устройству через WAN.
Собственно, злоумышленник, зная эти имя пользователя и пароль по умолчанию, может удаленно авторизоваться и изменять любые административные настройки роутера.
Выявленный недостаток получил идентификатор CVE-2023-31808 и специалисты призывают проверить наличие обновлений безопасности, устраняющие эту уязвимость.
Кроме того, помимо прочего рекомендуется отключить удаленное администрирование на своих устройствах, чтобы предотвратить возможные попытки эксплуатации, поскольку Technicolor так и не ответил исследователям, и неясно, были ли выпущены патчи, которые устраняют выявленный баг.
www.kb.cert.org
CERT/CC Vulnerability Note VU#913565
Hard-coded credentials in Technicolor TG670 DSL gateway router
Используемая более чем 200 000 компаниями в 140 странах Zimbra призывает администраторов срочно исправить вручную 0-day, которая активно эксплуатируется для взлома почтовых серверов Zimbra Collaboration Suite (ZCS).
Уязвимость в системе безопасности Zimbra Collaboration Suite затрагивает версию 8.8.15 и потенциально может повлиять на конфиденциальность и целостность ваших данных.
В настоящее время проблеме не присвоен идентификатор CVE. Недостаток представляет собой отраженный межсайтовый скриптинг (XSS) и был обнаружен исследователем Клементом Лесинем из Google Threat Analysis Group.
Несмотря на то, что Zimbra не признала задействование баги в дикой природе, Мэдди Стоун из Google TAG сообщила сегодня XSS-уязвимость была замечена в целевой атаке.
До тех пор, пока разработчики трудятся над патчем, Zimbra выпустила рекомендации по устранению вектора атаки.
Процедура, необходимая для устранения уязвимости вручную на всех узлах почтовых ящиков, требует от администраторов выполнения следующих шагов:
1. Сделать резервную копию файла /opt/zimbra/jetty/webapps/zimbra/m/momoveto.
2. Отредактировать этот файл и перейти к строке 40
3. Обновить значение параметра до <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>
4. До обновления строка должна отображаться как <input name="st" type="hidden" value="${param.st}"/>
Включение функции escapeXml() теперь будет очищать введенные пользователем данные путем экранирования специальных символов, используемых в разметке XML, для предотвращения недостатков XSS.
Исправление может быть применено незамедлительно, для применения перезапуск службы Zimbra не потребуется.
Администраторам следует уделить первоочередное внимание устранению этой угрозы 0-day с учетом того, что в последние годы было взломано приличное число уязвимых почтовых серверов Zimbra по всему миру.
Так, еще в июне 2022 года ошибки обхода аутентификации Zimbra и удаленного выполнения кода привели к компрометации более 1000 серверов.
А начиная с сентября 2022 года хакеры начали злоупотреблять неисправленной RCE-уязвимостью в Zimbra Collaboration Suite, взломав почти 900 серверов за два месяца.
Уязвимость в системе безопасности Zimbra Collaboration Suite затрагивает версию 8.8.15 и потенциально может повлиять на конфиденциальность и целостность ваших данных.
В настоящее время проблеме не присвоен идентификатор CVE. Недостаток представляет собой отраженный межсайтовый скриптинг (XSS) и был обнаружен исследователем Клементом Лесинем из Google Threat Analysis Group.
Несмотря на то, что Zimbra не признала задействование баги в дикой природе, Мэдди Стоун из Google TAG сообщила сегодня XSS-уязвимость была замечена в целевой атаке.
До тех пор, пока разработчики трудятся над патчем, Zimbra выпустила рекомендации по устранению вектора атаки.
Процедура, необходимая для устранения уязвимости вручную на всех узлах почтовых ящиков, требует от администраторов выполнения следующих шагов:
1. Сделать резервную копию файла /opt/zimbra/jetty/webapps/zimbra/m/momoveto.
2. Отредактировать этот файл и перейти к строке 40
3. Обновить значение параметра до <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>
4. До обновления строка должна отображаться как <input name="st" type="hidden" value="${param.st}"/>
Включение функции escapeXml() теперь будет очищать введенные пользователем данные путем экранирования специальных символов, используемых в разметке XML, для предотвращения недостатков XSS.
Исправление может быть применено незамедлительно, для применения перезапуск службы Zimbra не потребуется.
Администраторам следует уделить первоочередное внимание устранению этой угрозы 0-day с учетом того, что в последние годы было взломано приличное число уязвимых почтовых серверов Zimbra по всему миру.
Так, еще в июне 2022 года ошибки обхода аутентификации Zimbra и удаленного выполнения кода привели к компрометации более 1000 серверов.
А начиная с сентября 2022 года хакеры начали злоупотреблять неисправленной RCE-уязвимостью в Zimbra Collaboration Suite, взломав почти 900 серверов за два месяца.
GitHub
ZBUG-3490: XSS in /m/momoveto via st by miteshsavani810 · Pull Request #827 · Zimbra/zm-web-client
Sanitising st paramater
͏Арестованного в конце марта 20-летнего Конора Фитцпатрика, больше известного под псевдонимом Pompompurin, владельца BreachForum обвинили в числе прочего в хранении порно с участием несовершеннолетних.
Предъявление обвинений Фитцпатрику несколько раз откладывалось, а сам обвиняемый предпринимал попытку самоубийства.
Теперь же после прошедшего 13 июля судебного заседания стали понятны мотивы хакера.
Согласно финальной редакции обвинения, Фицпатрику было предъявлено обвинение в заговоре с целью совершения мошенничества с устройствами доступа, ведущему в том числе к вымогательству, а также хранении детской порнографии.
При этом Pompompurin признал себя виновным по всем трем пунктам, последний из которых вызвал серьезное удивление в профсообществе киберподполья.
Судя по представленным в суде материалам с обыска и по результатам осмотра компьютерной техники обвиняемого, на устройствах хранилось более 600 единиц запрещенного контента.
Суд над Pompompurin назначен на 17 ноября. На данный момент он находится под домашним арестом и выпущен под залог в размере 300 000 долларов.
Теперь вполне понятно, зачем силовики устраивали для Pompompurin теплый прием со спецэффектами.
Предъявление обвинений Фитцпатрику несколько раз откладывалось, а сам обвиняемый предпринимал попытку самоубийства.
Теперь же после прошедшего 13 июля судебного заседания стали понятны мотивы хакера.
Согласно финальной редакции обвинения, Фицпатрику было предъявлено обвинение в заговоре с целью совершения мошенничества с устройствами доступа, ведущему в том числе к вымогательству, а также хранении детской порнографии.
При этом Pompompurin признал себя виновным по всем трем пунктам, последний из которых вызвал серьезное удивление в профсообществе киберподполья.
Судя по представленным в суде материалам с обыска и по результатам осмотра компьютерной техники обвиняемого, на устройствах хранилось более 600 единиц запрещенного контента.
Суд над Pompompurin назначен на 17 ноября. На данный момент он находится под домашним арестом и выпущен под залог в размере 300 000 долларов.
Теперь вполне понятно, зачем силовики устраивали для Pompompurin теплый прием со спецэффектами.
Исследователи Armis обнаружили уязвимости в продуктах распределенной системы управления (DCS) Honeywell, которые могут подвергнуть ICS атакам.
В общей сложности почти год назад ресерчеры Armis смогли расковырять девять новых уязвимостей, в том числе семи из которых был присвоен рейтинг критической серьезности, получивших условное наименование Crit.IX.
Ошибки отслеживаются как CVE-2023-23585, CVE-2023-22435, CVE-2023-24474, CVE-2023-25078, CVE-2023-25178, CVE-2023. -24480, CVE-2023-25948, CVE-2023-25770 и CVE-2023-26597.
После того, как Honeywell устранила все недостатки, Armis приступили к обнародованию своих исследований, представив технический отчет с описанием своих выводов.
Crit.IX затрагивают несколько платформ Honeywell Experion DCS и связанный с ними контроллер C300 DCS.
Затронутые платформы включают Experion Process Knowledge System (EPKS), LX и PlantCruise.
Все указанные решения используются в широком спектре промышленных организаций, включая сельское хозяйство, водоснабжение, фармацевтику и АЭС.
Основной акцент в исследованиях был сделан на протоколе доступа к управляющим данным (CDA), который используется для связи между серверами Experion и контроллерами C300.
Исследователи обнаружили отсутствие шифрования и надлежащих механизмов аутентификации, что позволяет злоумышленнику, имеющему доступ к сети, выдавать себя за серверы и контроллеры.
Crit.IX могут использоваться для проведения атак типа DoS, получения потенциально конфиденциальной информации и RCE на контроллере или сервере.
Злоумышленник сможет манипулировать контроллерами и инженерными рабочими станциями, что в итоге приведет к остановке производства или повреждению промоборудования.
Недостатки также могут обеспечить и боковое перемещение внутри целевой организации.
Armis продемонстрировали на конкретных примерах, как Crit.IX приводят к компрометации фармацевтического или химического производственного процесса, а также нарушению распределения электроэнергии в энергосистеме.
В общей сложности почти год назад ресерчеры Armis смогли расковырять девять новых уязвимостей, в том числе семи из которых был присвоен рейтинг критической серьезности, получивших условное наименование Crit.IX.
Ошибки отслеживаются как CVE-2023-23585, CVE-2023-22435, CVE-2023-24474, CVE-2023-25078, CVE-2023-25178, CVE-2023. -24480, CVE-2023-25948, CVE-2023-25770 и CVE-2023-26597.
После того, как Honeywell устранила все недостатки, Armis приступили к обнародованию своих исследований, представив технический отчет с описанием своих выводов.
Crit.IX затрагивают несколько платформ Honeywell Experion DCS и связанный с ними контроллер C300 DCS.
Затронутые платформы включают Experion Process Knowledge System (EPKS), LX и PlantCruise.
Все указанные решения используются в широком спектре промышленных организаций, включая сельское хозяйство, водоснабжение, фармацевтику и АЭС.
Основной акцент в исследованиях был сделан на протоколе доступа к управляющим данным (CDA), который используется для связи между серверами Experion и контроллерами C300.
Исследователи обнаружили отсутствие шифрования и надлежащих механизмов аутентификации, что позволяет злоумышленнику, имеющему доступ к сети, выдавать себя за серверы и контроллеры.
Crit.IX могут использоваться для проведения атак типа DoS, получения потенциально конфиденциальной информации и RCE на контроллере или сервере.
Злоумышленник сможет манипулировать контроллерами и инженерными рабочими станциями, что в итоге приведет к остановке производства или повреждению промоборудования.
Недостатки также могут обеспечить и боковое перемещение внутри целевой организации.
Armis продемонстрировали на конкретных примерах, как Crit.IX приводят к компрометации фармацевтического или химического производственного процесса, а также нарушению распределения электроэнергии в энергосистеме.
Ресерчеры из Black Lotus Labs компании Lumen расчехлили один из крупнейших ботнетов, ориентированных на маршрутизаторы SOHO, обнаруженных за последние годы.
Скрытое вредоносное ПО под названием AVrecon смогло заразить в 20 странах более 70 000 маршрутизаторов SOHO на базе Linux, объединив их в ботнет, который реализует злоумышленнику скрытую прокси-сеть и обеспечивает таким образом инфраструктуру атаки с широким спектром вредоносных действий.
Большинство случаев заражения приходится на Великобританию и США, за которыми следуют Аргентина, Нигерия, Бразилия, Италия, Бангладеш, Вьетнам, Индия, Россия и Южная Африка.
Вредоносной программе в значительной степени удавалось избегать обнаружения на протяжении двух лет с момента, когда она была впервые обнаружена в мае 2021 года ресерчерами Лаборатории Касперского.
Это уже третий штамм, ориентированный на маршрутизаторы SOHO после ZuoRAT и HiatusRAT за последний год.
Вместо того, чтобы пытаться оперативно монетизировать ботнет, операторы придерживались более умеренного подхода, а из-за скрытного характера вредоносного ПО владельцы зараженных машин редко замечали какие-либо сбои или потери пропускной способности.
AVrecon написан на языке программирования C, что позволяет легко адаптировать вредоносное ПО для различных архитектур.
После заражения AVrecon отправляет информацию о скомпрометированном маршрутизаторе на C2. После установления контакта взломанная машина получает команду на установление связи с независимой группой C2 второго уровня.
Исследователям удалось задетектить 15 таких управляющих серверов, работающих как минимум с октября 2021 года, на основе x.509.
Собранные к настоящему времени доказательства указывают на то, что ботнет использовался для продвижения в Facebook и Google, а также для взаимодействия с Microsoft Outlook, что указывает на мошенничество с рекламой и кражу данных.
Серьезность этой угрозы связана с тем, что маршрутизаторы SOHO обычно находятся за пределами обычного периметра безопасности, что значительно снижает способность защитников обнаруживать вредоносные действия.
Скрытое вредоносное ПО под названием AVrecon смогло заразить в 20 странах более 70 000 маршрутизаторов SOHO на базе Linux, объединив их в ботнет, который реализует злоумышленнику скрытую прокси-сеть и обеспечивает таким образом инфраструктуру атаки с широким спектром вредоносных действий.
Большинство случаев заражения приходится на Великобританию и США, за которыми следуют Аргентина, Нигерия, Бразилия, Италия, Бангладеш, Вьетнам, Индия, Россия и Южная Африка.
Вредоносной программе в значительной степени удавалось избегать обнаружения на протяжении двух лет с момента, когда она была впервые обнаружена в мае 2021 года ресерчерами Лаборатории Касперского.
Это уже третий штамм, ориентированный на маршрутизаторы SOHO после ZuoRAT и HiatusRAT за последний год.
Вместо того, чтобы пытаться оперативно монетизировать ботнет, операторы придерживались более умеренного подхода, а из-за скрытного характера вредоносного ПО владельцы зараженных машин редко замечали какие-либо сбои или потери пропускной способности.
AVrecon написан на языке программирования C, что позволяет легко адаптировать вредоносное ПО для различных архитектур.
После заражения AVrecon отправляет информацию о скомпрометированном маршрутизаторе на C2. После установления контакта взломанная машина получает команду на установление связи с независимой группой C2 второго уровня.
Исследователям удалось задетектить 15 таких управляющих серверов, работающих как минимум с октября 2021 года, на основе x.509.
Собранные к настоящему времени доказательства указывают на то, что ботнет использовался для продвижения в Facebook и Google, а также для взаимодействия с Microsoft Outlook, что указывает на мошенничество с рекламой и кражу данных.
Серьезность этой угрозы связана с тем, что маршрутизаторы SOHO обычно находятся за пределами обычного периметра безопасности, что значительно снижает способность защитников обнаруживать вредоносные действия.
Lumen Blog
Routers from the Underground: Exposing AVrecon
Lumen Black Lotus Labs® identified a complex operation that infects small-office/home-office (SOHO) routers we’ve dubbed “AVrecon.”
Поставщик сетевого оборудования Juniper Networks выпустил исправления для серьезных уязвимостей в Junos OS, Junos OS Evolved и Junos Space.
Компания опубликовала 17 бюллетеней, подробно описывающих примерно дюжину дефектов безопасности ОС Junos и почти в три раза больше проблем в сторонних компонентах, используемых в ее продуктах.
Три новых бюллетеня описывают уязвимости высокой степени опасности в Junos OS и Junos OS Evolved, которые могут привести к DoS. Недостатки затрагивают сетевые устройства серий QFX10000, MX и SRX.
Восемь других рекомендаций касаются уязвимостей средней степени серьезности ОС Junos и ОС Junos Evolved, которые также могут быть использованы для создания DoS.
Juniper Networks выпустила обновления ПО для исправления всех 11 уязвимостей, отметив, что ни для одной из этих проблем нет обходных путей.
Компания также объявила об обновлениях ПО для устройств серий SRX и MX, чтобы решить серьезную проблему в системе обнаружения и предотвращения вторжений (IDP), которая может позволить злоумышленнику, не прошедшему проверку подлинности, в сети вызвать состояние DoS.
Компании не известно об использовании какой-либо из этих уязвимостей в атаках.
Последние обновления Junos OS и Junos OS Evolved также включают исправления для 17 ошибок в PHP, Message Queuing Telemetry Transport (MQTT) и NTP, включая некоторые уязвимости, которые были общедоступны в течение многих лет.
Две уязвимости PHP, отслеживаемые как CVE-2021-21708 и CVE-2022-31627, оцениваются как критические. Восемь других недостатков (четыре в PHP, два в MQTT и два в NTP) относятся к дефектам безопасности высокой степени серьезности.
В среду компания выпустила версию Junos Space 23.1R1 с исправлениями для 10 уязвимостей в стороннем ПО, в том числе пяти с рейтингом высокой степени серьезности.
Также была выпущена версия Contrail Cloud 16.3.0 с исправлениями для 10 других недостатков в сторонних компонентах, включая одну критическую ошибку.
Клиентам Juniper Networks рекомендуется установить доступные обновления безопасности как можно скорее.
Дополнительная информация об уязвимостях доступна здесь.
Компания опубликовала 17 бюллетеней, подробно описывающих примерно дюжину дефектов безопасности ОС Junos и почти в три раза больше проблем в сторонних компонентах, используемых в ее продуктах.
Три новых бюллетеня описывают уязвимости высокой степени опасности в Junos OS и Junos OS Evolved, которые могут привести к DoS. Недостатки затрагивают сетевые устройства серий QFX10000, MX и SRX.
Восемь других рекомендаций касаются уязвимостей средней степени серьезности ОС Junos и ОС Junos Evolved, которые также могут быть использованы для создания DoS.
Juniper Networks выпустила обновления ПО для исправления всех 11 уязвимостей, отметив, что ни для одной из этих проблем нет обходных путей.
Компания также объявила об обновлениях ПО для устройств серий SRX и MX, чтобы решить серьезную проблему в системе обнаружения и предотвращения вторжений (IDP), которая может позволить злоумышленнику, не прошедшему проверку подлинности, в сети вызвать состояние DoS.
Компании не известно об использовании какой-либо из этих уязвимостей в атаках.
Последние обновления Junos OS и Junos OS Evolved также включают исправления для 17 ошибок в PHP, Message Queuing Telemetry Transport (MQTT) и NTP, включая некоторые уязвимости, которые были общедоступны в течение многих лет.
Две уязвимости PHP, отслеживаемые как CVE-2021-21708 и CVE-2022-31627, оцениваются как критические. Восемь других недостатков (четыре в PHP, два в MQTT и два в NTP) относятся к дефектам безопасности высокой степени серьезности.
В среду компания выпустила версию Junos Space 23.1R1 с исправлениями для 10 уязвимостей в стороннем ПО, в том числе пяти с рейтингом высокой степени серьезности.
Также была выпущена версия Contrail Cloud 16.3.0 с исправлениями для 10 других недостатков в сторонних компонентах, включая одну критическую ошибку.
Клиентам Juniper Networks рекомендуется установить доступные обновления безопасности как можно скорее.
Дополнительная информация об уязвимостях доступна здесь.
Созданный для обеспечения безопасности плагин All-In-One Security (AIOS) для WordPress сам оказался предвестником опасности для своих пользователей.
AIOS был разработан для предотвращения брутфорса, предупреждения при использовании дефолтных кред администратора, пресечения бот-атак и устранения спама в комментариях, но как выяснилось плагин, который используется более чем на миллионе сайтов WordPress, регистрирует пароли в виде открытого текста при попытке входа в базу данных.
О проблеме сообщил бдительный пользователь c0ntr07, который судя по комментариям на форуме был в шоке, что плагин безопасности выдает такую базовую ошибку security 101, не говоря уже о несоответствии целому пулу стандартов NIST 800-63-3, ISO27000, CIS, HIPAA, GDPR.
Уязвимости подвержена версия 5.1.9 AIOS и на этой неделе разработчики из Updraft, поддерживающие плагин, выпустили версии 5.2.0 для устранения проблемы и удаления зарегистрированных паролей из базы данных.
Рекомендуется немедленно обновиться до версии 5.2.0, дабы обезопасить свои ресурсы.
Учитывая, что еще не далее, чем вчера почти никто из пользователей не обновился до последней версии сотни тысяч пользователей находятся под угрозой, а злоумышленники на 99.9% штудируют сеть в поисках учеток скомпрометированных ресурсов.
AIOS был разработан для предотвращения брутфорса, предупреждения при использовании дефолтных кред администратора, пресечения бот-атак и устранения спама в комментариях, но как выяснилось плагин, который используется более чем на миллионе сайтов WordPress, регистрирует пароли в виде открытого текста при попытке входа в базу данных.
О проблеме сообщил бдительный пользователь c0ntr07, который судя по комментариям на форуме был в шоке, что плагин безопасности выдает такую базовую ошибку security 101, не говоря уже о несоответствии целому пулу стандартов NIST 800-63-3, ISO27000, CIS, HIPAA, GDPR.
Уязвимости подвержена версия 5.1.9 AIOS и на этой неделе разработчики из Updraft, поддерживающие плагин, выпустили версии 5.2.0 для устранения проблемы и удаления зарегистрированных паролей из базы данных.
Рекомендуется немедленно обновиться до версии 5.2.0, дабы обезопасить свои ресурсы.
Учитывая, что еще не далее, чем вчера почти никто из пользователей не обновился до последней версии сотни тысяч пользователей находятся под угрозой, а злоумышленники на 99.9% штудируют сеть в поисках учеток скомпрометированных ресурсов.
Techzine Global
WordPress security plugin AIOS saved passwords as plain text
The WordPress security plugin All-In-One Security (AIOS) created a security flaw of its own accord. Because of a bug, the tool collected passwords and
Forwarded from Social Engineering
🖖🏻 Приветствую тебя, user_name.
• Как сообщает новостное издание The Straits Times, 60-летняя женщина увидела наклейку на входной двери в магазин «Bubble Tea», где предлагалось отсканировать QR-код, заполнить анкету на сайте и получить за это «бесплатную чашку чая». Как оказалось позже, данную наклейку налепили на дверь магазина именно злоумышленники, а магазин никогда не проводил такой "щедрой" акции.• Тем не менее, женщина не заподозрила ничего странного в требовании заполнить анкету и без колебаний отсканировала QR-код. Однако она допустила ошибку на следующем этапе. Как выяснилось, QR-код вёл на скачивание стороннего приложения, и «заполнить анкету» нужно было именно в нём. Приложение, разумеется, оказалось полнофункциональным бэкдором с удалённым управлением смартфоном. Женщина не поняла этого и выдала приложению все необходимые разрешения, ведь на кону чашка "бесплатного" чая!
• Так как приложение обладало функционалом записи экрана и удаленным управлением устройством, атакующим удалось подсмотреть пин-код женщины от её банковского приложения, и поздно ночью, когда жертва уже спала, хакеры удалённо разблокировали смартфон и перевели на свой счёт 20 тысяч долларов с банковского счёта женщины. Вот вам и бесплатная чашка чая!
• Давайте теперь рассмотрим такой таргет-фишинг с точки зрения Социальной Инженерии? Как по мне, оффлайн распространение таких кодов будет весьма "перспективным" для фишеров и может затронуть куда больше людей, чем в интернете. Так уж вышло, что люди склонны доверять официальной символике и тексту, в любом объявлении, которое расположено в нужном месте и в нужное время. Тут, как говориться, все зависит от фантазии: кто-то пытается разместить QR-код на самокатах, велосипедах или стоянках, а кто-то распространяет по почтовым ящикам поддельные бланки от ЖКХ или других структур.
S.E. ▪️ infosec.work ▪️ #Новости, #СИ
Please open Telegram to view this post
VIEW IN TELEGRAM
Ресерчеры F.A.C.C.T. продолжают расчехлять новые кампании RedCurl, специализирующейся на коммерческом шпионаже и краже корпоративной документации.
Новые активности обнаружены в рамках реагирования на инцидент еще в ноябре 2022 года и были направлены на один из российских банков, на оторый киберпреступники нацеливались дважды.
Первый раз RedCurl атаковала с помощью таргетированных фишинговых рассылок от имени крупного российского маркетплейса, а затем - через компанию-подрядчика. Причем последняя увенчалась успехом.
RedCurl попала на карандаш еще в конце 2019 года и, предположительно, состояла из русскоговорящих хакеров.
Группа активна, как минимум, с 2018 года и привлекла внимание экспертов тем, что проводила тщательно спланированные атаки на частные компании из различных отраслей, используя уникальный инструментарий.
За последние четыре с половиной года RedCurl провела не менее 34 атак на компании из Великобритании, Германии, Канады, Норвегии, Украины, Австралии.
Больше половины атак - 20: пришлись на Россию.
Среди жертв были строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации.
С момента заражения до кражи данных RedCurl проводит в сети жертвы от 2 до 6 месяцев.
Новое исследование F.A.С.С.T. раскрывает атаки RedCurl, в предпринимавшиеся в ноябре 2022 и в мае 2023 года.
В качестве первоначального вектора проникновения в инфраструктуру использовались фишинговые письма с вредоносным ПО под видом предложений с рекламой корпоративных скидок, но безуспешно благодаря средствам защиты.
Потерпев неудачу RedCurl переключились на подрядчика банка, использовав тактику Supply Chain.
Получив доступ к компьютеру его сотрудника, предположительно, через фишинговую рассылку, хакеры смогли проникнуть на общий сетевой диск с документами клиента, что позволило попасть в инфраструктуру банка.
Из иструментария RedCurl использовался загрузчик для первого этапа заражения под названием RedCurl.SimpleDownloader, специально созданный под новую кампанию с использованием бренда маркетплейса.
По мнению F.A.C.C.T., это новый полноценный инструмент группировки, который будет модифицироваться и применяться в других атаках RedCurl.
На следующем этапе кампании использовался модернизированный загрузчик RedCurl.Downloader для подгрузки RedCurl.Extractor.
Эта ПО предназначена для установки агента RedCurl.FSABIN, который, в свою очередь, предоставляет злоумышленнику удаленный контроль над зараженной машиной.
И без того достаточно уникальное для русскоязычной киберкриминальной среды инструменты и методы RedCurl продолжают развиваться и модернизироваться, образуя единую длинную цепочку, что несет ощутимые риски для компаний.
Полный разбор новых атак, индикаторы компрометации и MITRE ATT&CK - представлены в отчете.
Новые активности обнаружены в рамках реагирования на инцидент еще в ноябре 2022 года и были направлены на один из российских банков, на оторый киберпреступники нацеливались дважды.
Первый раз RedCurl атаковала с помощью таргетированных фишинговых рассылок от имени крупного российского маркетплейса, а затем - через компанию-подрядчика. Причем последняя увенчалась успехом.
RedCurl попала на карандаш еще в конце 2019 года и, предположительно, состояла из русскоговорящих хакеров.
Группа активна, как минимум, с 2018 года и привлекла внимание экспертов тем, что проводила тщательно спланированные атаки на частные компании из различных отраслей, используя уникальный инструментарий.
За последние четыре с половиной года RedCurl провела не менее 34 атак на компании из Великобритании, Германии, Канады, Норвегии, Украины, Австралии.
Больше половины атак - 20: пришлись на Россию.
Среди жертв были строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации.
С момента заражения до кражи данных RedCurl проводит в сети жертвы от 2 до 6 месяцев.
Новое исследование F.A.С.С.T. раскрывает атаки RedCurl, в предпринимавшиеся в ноябре 2022 и в мае 2023 года.
В качестве первоначального вектора проникновения в инфраструктуру использовались фишинговые письма с вредоносным ПО под видом предложений с рекламой корпоративных скидок, но безуспешно благодаря средствам защиты.
Потерпев неудачу RedCurl переключились на подрядчика банка, использовав тактику Supply Chain.
Получив доступ к компьютеру его сотрудника, предположительно, через фишинговую рассылку, хакеры смогли проникнуть на общий сетевой диск с документами клиента, что позволило попасть в инфраструктуру банка.
Из иструментария RedCurl использовался загрузчик для первого этапа заражения под названием RedCurl.SimpleDownloader, специально созданный под новую кампанию с использованием бренда маркетплейса.
По мнению F.A.C.C.T., это новый полноценный инструмент группировки, который будет модифицироваться и применяться в других атаках RedCurl.
На следующем этапе кампании использовался модернизированный загрузчик RedCurl.Downloader для подгрузки RedCurl.Extractor.
Эта ПО предназначена для установки агента RedCurl.FSABIN, который, в свою очередь, предоставляет злоумышленнику удаленный контроль над зараженной машиной.
И без того достаточно уникальное для русскоязычной киберкриминальной среды инструменты и методы RedCurl продолжают развиваться и модернизироваться, образуя единую длинную цепочку, что несет ощутимые риски для компаний.
Полный разбор новых атак, индикаторы компрометации и MITRE ATT&CK - представлены в отчете.
Trend Micro сообщила, что обнаружила атаку на цепочку поставок, нацеленную на пакистанские правительственные учреждения.
Исследователи задетектили образец бэкдора Shadowpad в приложении E-Office, разработанном правительством для сотрудников.
В поле зрения исследователей бэкдор попал в 2017 году в ходе другой атаки на цепочку поставок и известен прежде всего тем, что исторически используется несколькими китайскими АРТ, такими как APT41, Earth Akhlut или Earth Lusca.
Жертвами наблюдаемой кампании помимо самого правительства стал пакистанский государственный банк и провайдер. Во всех случаях ресерчеры смогли найти различные образцы Shadowpad после установки E-Office. Вектор заражения в случае с провайдером остается непонятным.
Согласно исследованию Trend Micro, в результате анализа установщика Microsoft Windows E-Office найдены три добавленных файла Telerik.Windows.Data.Validation.dll, mscoree.dll и mscoree.dll.dat.
Первый из них - это 64-разрядный исполняемый файл PE, не относящийся к DLL, который оказывается законным файлом applaunch.exe, подписанным Microsoft, а mscoree.dll — это вредоносная DLL, которая расшифровывает и загружает файл mscoree.dll.dat, который является полезной нагрузкой Shadowpad.
Ресерчеры заметили два разных метода запутывания, оба из которых используются в DLL и расшифрованной полезной нагрузке.
Причем схема шифрования этой кампании отличалась от той, что использовалось ранее. Исторически сложилось так, что шифрование конфигурации Shadowpad было настраиваемым алгоритмом, и разные субъекты угроз использовали разные алгоритмы или константы.
В этом случае субъект угрозы шифровал каждый образец конфигурации бэкдора Shadowpad с помощью одного и того же алгоритма.
Всего исследователи обнаружили 11 загрузчиков Shadowpad и 6 полезных нагрузок, связанных с этим злоумышленником. Кроме того, нашил также 25 дополнительных загрузчиков и 5 полезных нагрузок, которые не смогли с уверенностью связать с ним.
Среди этих образцов использовались девять различных ключей шифрования, два из которых были связаны с злоумышленником, в то время как для семи оставшихся надежной атрибуции нет.
Несмотря на то, что Trend Micro не связывает эту атаку с какой-либо конкретной китайской APT, все же заявляет о том, что обнаружила ссылки на прошлые IOC Earth Lusca.
Правда, спустя несколько дней после публикации результатов исследования, Trend Micro решили ее обнулить.
Видимо, по части атрибуции что-то пошло не так.
Исследователи задетектили образец бэкдора Shadowpad в приложении E-Office, разработанном правительством для сотрудников.
В поле зрения исследователей бэкдор попал в 2017 году в ходе другой атаки на цепочку поставок и известен прежде всего тем, что исторически используется несколькими китайскими АРТ, такими как APT41, Earth Akhlut или Earth Lusca.
Жертвами наблюдаемой кампании помимо самого правительства стал пакистанский государственный банк и провайдер. Во всех случаях ресерчеры смогли найти различные образцы Shadowpad после установки E-Office. Вектор заражения в случае с провайдером остается непонятным.
Согласно исследованию Trend Micro, в результате анализа установщика Microsoft Windows E-Office найдены три добавленных файла Telerik.Windows.Data.Validation.dll, mscoree.dll и mscoree.dll.dat.
Первый из них - это 64-разрядный исполняемый файл PE, не относящийся к DLL, который оказывается законным файлом applaunch.exe, подписанным Microsoft, а mscoree.dll — это вредоносная DLL, которая расшифровывает и загружает файл mscoree.dll.dat, который является полезной нагрузкой Shadowpad.
Ресерчеры заметили два разных метода запутывания, оба из которых используются в DLL и расшифрованной полезной нагрузке.
Причем схема шифрования этой кампании отличалась от той, что использовалось ранее. Исторически сложилось так, что шифрование конфигурации Shadowpad было настраиваемым алгоритмом, и разные субъекты угроз использовали разные алгоритмы или константы.
В этом случае субъект угрозы шифровал каждый образец конфигурации бэкдора Shadowpad с помощью одного и того же алгоритма.
Всего исследователи обнаружили 11 загрузчиков Shadowpad и 6 полезных нагрузок, связанных с этим злоумышленником. Кроме того, нашил также 25 дополнительных загрузчиков и 5 полезных нагрузок, которые не смогли с уверенностью связать с ним.
Среди этих образцов использовались девять различных ключей шифрования, два из которых были связаны с злоумышленником, в то время как для семи оставшихся надежной атрибуции нет.
Несмотря на то, что Trend Micro не связывает эту атаку с какой-либо конкретной китайской APT, все же заявляет о том, что обнаружила ссылки на прошлые IOC Earth Lusca.
Правда, спустя несколько дней после публикации результатов исследования, Trend Micro решили ее обнулить.
Видимо, по части атрибуции что-то пошло не так.
archive.li
Supply Chain Attack Targeting Pakistani Government Delivers Shadowpad
archived 14 Jul 2023 15:24:55 UTC
Возможно, в скором времени расследовать компьютерные инциденты придется как на земле, так и за ее пределами.
К такому выводу пришли немецкие ученые, которые обнаружили совсем отставшие от современных реалий практики обеспечения безопасности спутниковых систем.
Тезисы ученых были основаны на анализе прошивок трех низкоорбитальных спутников, в которых методы спутниковой безопасности отстают на десятилетия по сравнению с современными ноутбуками и мобильными устройствами. Дескать спутниковая безопасность 20 века, где отсутствуют базовые функции защиты, такие как шифрование и аутентификация.
Дабы придать антуража для выявленной проблемы, исследователи сообщили, что разработали атаки, которые могут захватывать спутниковые системы, отключать их наземных станций, перемещать спутники в другие районы и даже разбивать их о землю или другие космические объекты.
Благо реальных инцидентов в этой сфере пока не зафиксировано, но представление результаты группой исследователей из Бохума и Саарбрюккена на симпозиуме IEEE по безопасности и конфиденциальности в Сан-Франциско были удостоены награды Distinguished Paper Award.
К такому выводу пришли немецкие ученые, которые обнаружили совсем отставшие от современных реалий практики обеспечения безопасности спутниковых систем.
Тезисы ученых были основаны на анализе прошивок трех низкоорбитальных спутников, в которых методы спутниковой безопасности отстают на десятилетия по сравнению с современными ноутбуками и мобильными устройствами. Дескать спутниковая безопасность 20 века, где отсутствуют базовые функции защиты, такие как шифрование и аутентификация.
Дабы придать антуража для выявленной проблемы, исследователи сообщили, что разработали атаки, которые могут захватывать спутниковые системы, отключать их наземных станций, перемещать спутники в другие районы и даже разбивать их о землю или другие космические объекты.
Благо реальных инцидентов в этой сфере пока не зафиксировано, но представление результаты группой исследователей из Бохума и Саарбрюккена на симпозиуме IEEE по безопасности и конфиденциальности в Сан-Франциско были удостоены награды Distinguished Paper Award.
Группа исследователей обнаружила уязвимость в Echo.ac, популярном ПО в игровой среде Minecraft PvP и Rust, который представляет собой screensharing tool и предназначен для борьбы с читерством.
Уязвимость затрагивает драйвер ядра инструмента и может быть использована злоумышленниками для получения привилегий NT Authority\SYSTEM на ПК с установленной службой Echo.
Как пояснили ресерчеры, клиентское приложение развертывает драйвер ядра с именем echo_driver.sys во вновь созданной папке в формате %TEMP%. Он используется в основном для сканирования и копирования памяти целевых процессов для последующего анализа.
Используя определенную серию кодов IOCTL, исследователи смогли управлять драйвером для чтения и записи памяти в системе. Злоупотребляя этим - считать блок ядра EPROCESS/KPROCESS в памяти, а затем выполнить кражу токена доступа с помощью драйвера, скопировав его во вновь созданную оболочку, которая немедленно повышает его привилегии.
Следуя логики исследования и не принимая во внимание прочие возможные злоупотребления, эксплойт позволяет использовать Echo для читерства, что оказывается уже более года делали многие игроки, еще до выхода публикации об ошибке.
Уязвимый драйвер был внесен в белый список Easy Anti Cheat (EAC) — одного из самых популярных коммерческих поставщиков античит-решений — что позволяет мошенникам тривиально обманывать в играх защищенных им же.
Только вот, за обнаружение и раскрытие исследователей по головке не погладили и спасибо не сказали. Вместо этого, разработчики устроили исследователям травлю, баны и DDoS.
Тем не менее, код проверки концепции уязвимости EchOh-No доступен на GitHub, а неадекватная реакция разработчиков приложения побудила других исследователей более пристально взглянуть на драйвер Echo и найти другие уязвимости.
Уязвимость затрагивает драйвер ядра инструмента и может быть использована злоумышленниками для получения привилегий NT Authority\SYSTEM на ПК с установленной службой Echo.
Как пояснили ресерчеры, клиентское приложение развертывает драйвер ядра с именем echo_driver.sys во вновь созданной папке в формате %TEMP%. Он используется в основном для сканирования и копирования памяти целевых процессов для последующего анализа.
Используя определенную серию кодов IOCTL, исследователи смогли управлять драйвером для чтения и записи памяти в системе. Злоупотребляя этим - считать блок ядра EPROCESS/KPROCESS в памяти, а затем выполнить кражу токена доступа с помощью драйвера, скопировав его во вновь созданную оболочку, которая немедленно повышает его привилегии.
Следуя логики исследования и не принимая во внимание прочие возможные злоупотребления, эксплойт позволяет использовать Echo для читерства, что оказывается уже более года делали многие игроки, еще до выхода публикации об ошибке.
Уязвимый драйвер был внесен в белый список Easy Anti Cheat (EAC) — одного из самых популярных коммерческих поставщиков античит-решений — что позволяет мошенникам тривиально обманывать в играх защищенных им же.
Только вот, за обнаружение и раскрытие исследователей по головке не погладили и спасибо не сказали. Вместо этого, разработчики устроили исследователям травлю, баны и DDoS.
Тем не менее, код проверки концепции уязвимости EchOh-No доступен на GitHub, а неадекватная реакция разработчиков приложения побудила других исследователей более пристально взглянуть на драйвер Echo и найти другие уязвимости.
ioctl.fail
EchOh-No! A critical bug in a popular Anticheat tool.
Easy arbitrary Kernel Read/Write by exploiting a gaping hole in the driver of an "Anticheat" tool.
Критические уязвимости ColdFusion активно эксплуатируются для установки веб-шеллов на уязвимые серверы.
Волну атак зафиксировали исследователи Rapid7, полагая, что злоумышленники объединяют эксплойты для двух критических уязвимостей: CVE-2023-29298 и CVE-2023-38203.
11 июля Adobe сообщила об ошибке обхода аутентификации (CVE-2023-29298) в ColdFusion, обнаруженной Rapid7, а также об RCE-баге CVE-2023-29300, которую раскрыла CrowdStrike.
Последняя CVE представляет собой проблему десериализации с критическим с рейтингом серьезности 9,8, поскольку она может использоваться неавторизованными посетителями для удаленного выполнения команд на уязвимых серверах сообщила об ошибке обхода аутентив атаках низкой сложности.
На тот момент уязвимость не эксплатировалась.
Позже 12 июля в блоге Project Discovery были опубликованы технические подробности с PoC для CVE-2023-29300, пост вскоре был удален.
Согласно Project Discovery, уязвимость небезопасной десериализацией затрагивает библиотеку WDDX.
Проблема возникла из-за небезопасного использования Java Reflection API, позволявшего вызывать определенные методы.
Rapid7 сообщила, что Adobe не сможет полностью исправить багу в WDDX, так как это нарушит все, что от нее зависит, поэтому вместо запрета десериализации данных WDDX они реализовали запрещенный список путей к классам Java, которые не могут быть десериализованы
14 июля Adobe выпустила внеплановое обновление безопасности для CVE-2023-38203. Rapid7 при этом полагают, что эта уязвимость позволяет обойти CVE-2023-29300, и исследователи нашли цепочку гаджетов, которую можно использовать для RCE.
Обновление безопасности Adobe OOB еще раз обновляет список, предотвращая доступ гаджета через com.sun.rowset. JdbcRowSetImpl, который использовался в PoC-эксплойте Project Discover.
К сожалению, несмотря на то, что эта уязвимость кажется исправленной, Rapid7 обнаружили, что исправление уязвимости CVE-2023-29298 все еще можно обойти, поэтому в ближайшее время следует ожидать еще один патч от Adobe.
Adobe порекомендовала администраторам заблокировать установки ColdFusion, чтобы повысить безопасность и обеспечить лучшую защиту от атак.
Но исследователи Project Discovery предупредили, что CVE-2023-29300 (и, вероятно, CVE-2023-38203) могут быть связаны с CVE-2023-29298 для обхода режима блокировки.
Для использования уязвимости, как правило, необходим доступ к действующей конечной точке CFC.
Однако, если доступ к конечным точкам CFC до аутентификации по умолчанию невозможен из-за режима блокировки ColdFusion, эту уязвимость можно объединить с CVE-2023-29298.
Комбинация уже позволяет удаленно выполнять код на уязвимом экземпляре ColdFusion, даже если он настроен на заблокированный режим.
Поэтому неудивительно, что Rapid7 уже начали наблюдать атаки с использованием CVE-2023-29298, и нечто, по-видимому, похожее на эксплойт из отчета Project Discovery, причем на следующий день после публикации технического обзора.
Злоумышленники используют эти эксплойты для обхода системы безопасности, установки веб-оболочек на уязвимые серверы и обеспечения удаленного доступа.
Пока патча для полного исправления CVE-2023-29298 нет, однако для эксплойта требуется вторая уязвимость, такая как CVE-2023-38203.
Поэтому установка последней версии ColdFusion станет защитой от цепочки эксплойтов.
Волну атак зафиксировали исследователи Rapid7, полагая, что злоумышленники объединяют эксплойты для двух критических уязвимостей: CVE-2023-29298 и CVE-2023-38203.
11 июля Adobe сообщила об ошибке обхода аутентификации (CVE-2023-29298) в ColdFusion, обнаруженной Rapid7, а также об RCE-баге CVE-2023-29300, которую раскрыла CrowdStrike.
Последняя CVE представляет собой проблему десериализации с критическим с рейтингом серьезности 9,8, поскольку она может использоваться неавторизованными посетителями для удаленного выполнения команд на уязвимых серверах сообщила об ошибке обхода аутентив атаках низкой сложности.
На тот момент уязвимость не эксплатировалась.
Позже 12 июля в блоге Project Discovery были опубликованы технические подробности с PoC для CVE-2023-29300, пост вскоре был удален.
Согласно Project Discovery, уязвимость небезопасной десериализацией затрагивает библиотеку WDDX.
Проблема возникла из-за небезопасного использования Java Reflection API, позволявшего вызывать определенные методы.
Rapid7 сообщила, что Adobe не сможет полностью исправить багу в WDDX, так как это нарушит все, что от нее зависит, поэтому вместо запрета десериализации данных WDDX они реализовали запрещенный список путей к классам Java, которые не могут быть десериализованы
14 июля Adobe выпустила внеплановое обновление безопасности для CVE-2023-38203. Rapid7 при этом полагают, что эта уязвимость позволяет обойти CVE-2023-29300, и исследователи нашли цепочку гаджетов, которую можно использовать для RCE.
Обновление безопасности Adobe OOB еще раз обновляет список, предотвращая доступ гаджета через com.sun.rowset. JdbcRowSetImpl, который использовался в PoC-эксплойте Project Discover.
К сожалению, несмотря на то, что эта уязвимость кажется исправленной, Rapid7 обнаружили, что исправление уязвимости CVE-2023-29298 все еще можно обойти, поэтому в ближайшее время следует ожидать еще один патч от Adobe.
Adobe порекомендовала администраторам заблокировать установки ColdFusion, чтобы повысить безопасность и обеспечить лучшую защиту от атак.
Но исследователи Project Discovery предупредили, что CVE-2023-29300 (и, вероятно, CVE-2023-38203) могут быть связаны с CVE-2023-29298 для обхода режима блокировки.
Для использования уязвимости, как правило, необходим доступ к действующей конечной точке CFC.
Однако, если доступ к конечным точкам CFC до аутентификации по умолчанию невозможен из-за режима блокировки ColdFusion, эту уязвимость можно объединить с CVE-2023-29298.
Комбинация уже позволяет удаленно выполнять код на уязвимом экземпляре ColdFusion, даже если он настроен на заблокированный режим.
Поэтому неудивительно, что Rapid7 уже начали наблюдать атаки с использованием CVE-2023-29298, и нечто, по-видимому, похожее на эксплойт из отчета Project Discovery, причем на следующий день после публикации технического обзора.
Злоумышленники используют эти эксплойты для обхода системы безопасности, установки веб-оболочек на уязвимые серверы и обеспечения удаленного доступа.
Пока патча для полного исправления CVE-2023-29298 нет, однако для эксплойта требуется вторая уязвимость, такая как CVE-2023-38203.
Поэтому установка последней версии ColdFusion станет защитой от цепочки эксплойтов.
Adobe
Adobe Security Bulletin
Security updates available for Adobe ColdFusion | APSB23-40
В своем новом отчете Mandiant сообщает о резком увеличении за последние полгода числа вредоносных ПО, распространяемых через USB-накопители.
Акцент в исследовании сделан на двух кампаниях под названием Sogu, приписываемой кластеру китайских АРТ TEMP.HEX (Camaro Dragon, Earth Preta и Mustang Panda), и другой - Snowydrive, за которой стоит UNC4698.
Ранее в ноябре 2022 года Mandiant уже отслеживала кампанию China-nexus, в которой USB-устройства также использовались для заражения объектов на Филиппинах четырьмя различными штаммами вредоносных ПО.
Позже в январе 2023 года Unit 42 Palo Alto Network обнаружили версию PlugX, функционально способную скрываться на USB-накопителях и заражать хосты Windows, к которым они подключены.
Что же касается Sogu, то в настоящее время это самая агрессивная кампания кибершпионажа с помощью USB, нацеленная на различные отрасли по всему миру.
Жертвы вредоносного ПО Sogu замечены в США, Франции, Великобритании, Италии, Польше, Австрии, Австралии, Швейцарии, Китае, Японии, Украине, Сингапуре, Индонезии и на Филиппинах.
Целевые сектора - фармацевтика, IT, энергетика, связь, здравоохранение и логистика.
Все начинается с вредоносного USB-накопителя, подключенного к компьютеру, что приводит к выполнению PlugX, который затем расшифровывает и запускает бэкдор на основе C под названием SOGU, который извлекает интересующие файлы, фиксирует нажатия клавиш и делает снимки экрана.
Файлы в конечном итоге эксфильтрируются на сервер C2 по TCP или UDP с использованием запросов HTTP или HTTPS. Любые накопители, подключенные к зараженной системе, автоматически получат копию первоначального компрометирующего файла Sogu.
Второй кластер - UNC4698, который нацелен на нефтегазовые организации в Азии для доставки бэкдора SNOWYDRIVE, позволяющего выполнять произвольные полезные нагрузки через командную строку Windows, изменять реестр и выполнять действия с файлами и каталогами.
Бэкдор поддерживает множество команд, позволяющих выполнять операции с файлами, эксфильтрацию данных, обратную оболочку, выполнение команд и разведку. Он также распространяется на другие USB-накопители и по сети.
Для уклонения вредоносная программа использует вредоносную DLL, загруженную из «GUP.exe», законного средства обновления Notepad ++, чтобы скрыть расширения файлов и определенные файлы, помеченные как «системные» или «скрытые».
Как сообщает Mandiant, несмотря на то, что USB-атаки требуют физического доступа к целевым компьютерам, они обладают уникальными преимуществами, которые делают их актуальными даже в 2023 году.
Среди них: обход механизмов безопасности, скрытность, первоначальный доступ к корпоративным сетям и возможность заражения систем с воздушным зазором.
Акцент в исследовании сделан на двух кампаниях под названием Sogu, приписываемой кластеру китайских АРТ TEMP.HEX (Camaro Dragon, Earth Preta и Mustang Panda), и другой - Snowydrive, за которой стоит UNC4698.
Ранее в ноябре 2022 года Mandiant уже отслеживала кампанию China-nexus, в которой USB-устройства также использовались для заражения объектов на Филиппинах четырьмя различными штаммами вредоносных ПО.
Позже в январе 2023 года Unit 42 Palo Alto Network обнаружили версию PlugX, функционально способную скрываться на USB-накопителях и заражать хосты Windows, к которым они подключены.
Что же касается Sogu, то в настоящее время это самая агрессивная кампания кибершпионажа с помощью USB, нацеленная на различные отрасли по всему миру.
Жертвы вредоносного ПО Sogu замечены в США, Франции, Великобритании, Италии, Польше, Австрии, Австралии, Швейцарии, Китае, Японии, Украине, Сингапуре, Индонезии и на Филиппинах.
Целевые сектора - фармацевтика, IT, энергетика, связь, здравоохранение и логистика.
Все начинается с вредоносного USB-накопителя, подключенного к компьютеру, что приводит к выполнению PlugX, который затем расшифровывает и запускает бэкдор на основе C под названием SOGU, который извлекает интересующие файлы, фиксирует нажатия клавиш и делает снимки экрана.
Файлы в конечном итоге эксфильтрируются на сервер C2 по TCP или UDP с использованием запросов HTTP или HTTPS. Любые накопители, подключенные к зараженной системе, автоматически получат копию первоначального компрометирующего файла Sogu.
Второй кластер - UNC4698, который нацелен на нефтегазовые организации в Азии для доставки бэкдора SNOWYDRIVE, позволяющего выполнять произвольные полезные нагрузки через командную строку Windows, изменять реестр и выполнять действия с файлами и каталогами.
Бэкдор поддерживает множество команд, позволяющих выполнять операции с файлами, эксфильтрацию данных, обратную оболочку, выполнение команд и разведку. Он также распространяется на другие USB-накопители и по сети.
Для уклонения вредоносная программа использует вредоносную DLL, загруженную из «GUP.exe», законного средства обновления Notepad ++, чтобы скрыть расширения файлов и определенные файлы, помеченные как «системные» или «скрытые».
Как сообщает Mandiant, несмотря на то, что USB-атаки требуют физического доступа к целевым компьютерам, они обладают уникальными преимуществами, которые делают их актуальными даже в 2023 году.
Среди них: обход механизмов безопасности, скрытность, первоначальный доступ к корпоративным сетям и возможность заражения систем с воздушным зазором.
Google Cloud Blog
The Spies Who Loved You: Infected USB Drives to Steal Secrets | Mandiant | Google Cloud Blog
Positive Technologies выкатили отчет, пролив свет на новые масштабные атаки на Россию, за которыми стоит отлеживаемая исследователями с 2022 года группировка Space Pirates.
Основная цель группы - шпионаж и кража конфиденциальной информации. Наблюдение за Space Pirates указывает на расширение географии их атак и сферы интересов. За последний год стали по меньшей мере 16 организаций в России.
Среди новых жертв удалось выявить государственные и образовательные учреждения, предприятия авиационной, ракетно-космической и сельскохозяйственной промышленности, военно-промышленного и топливно-энергетического комплекса и инфосек-компании. Кроме того, было атаковано министерство в Сербии.
На одном из управляющих серверов был обнаружен сканер Acunetix. Это говорит о вероятном векторе атаки через эксплуатацию уязвимостей, который раньше не наблюдался.
Целью группы среди прочего стали и почтовые архивы PST. Так, ошибка в конфигурации управляющего сервера Space Pirates позволила ресерчерам изучить его содержимое и обнаружить два почтовых архива одного из министерств Сербии.
Помимо украденных данных на сервере обнаружены веб-шелл Godzilla и обфусцированный туннель Neo-reGeorg. Группировка также начала использовать ВПО ShadowPad.
Практически в каждом расследовании находились следы задействования Deed RAT, что говорит о прекращении использования группой других бэкдоров. Причем Deed RAT продолжает разрабатываться. При расследовании инцидента на одном из зараженных устройств нашлась 64-битная версия этого ВПО, которая почти не отличается от 32-битной.
В новых версиях несколько изменился алгоритм расшифрования строк. Если раньше указывалась длина каждой строки, то теперь этого нет, а строки завершаются нулевым байтом.
На зараженных Deed RAT компьютерах удалось обнаружить два новых плагина. Первый называется Disk и используется для работы с дисками. Его особенностью является то, что он, по сути, является оберткой над Windows API. Disk поддерживает десять сетевых команд.
Второй плагин называется Portmap, в основе которой была положена утилита ZXPortMap. Плагин применяется для перенаправления портов (port forwarding) и поддерживает три сетевые команды, каждая из которых является режимом работы.
Помимо прочего выявлена интересная особенность — в конфигурации постоянно фигурирует число 4: четыре дня, в которые бэкдору запрещено работать, четыре ссылки на C2-серверы, четыре ссылки на прокси-серверы, четыре процесса для инжекта, четыре DNS-сервера, четыре адреса DoH.
Дело в том, что в китайском языке иероглиф, обозначающий цифру 4, произносится так же, как и иероглиф, обозначающий смерть, только с другой интонацией, — потому число считается несчастливым, что дает все основания полагать о наличии у группировки китайских корней.
В ходе одного из расследований в поле зрения попал и неизвестный ранее образец ВПО, отличающийся своей функциональностью. Вредонос по всей видимости был доставлен через уже установленный на компьютере Deed RAT получил название Voidoor.
Он скомпилирован в конце 2022 года, представляет собой 32-битный файл формата EXE. Большинство строк внутри зашифрованы XOR на 0x22. Жизненный цикл этого ВПО включал взаимодействие через GitHub и форум voidtools.
Последний построен на движке phpBB и стал для нас кладезем полезной информации, который в совокупности с анализом репозиториев GitHub привел исследователей в блог хакера на Chinese Software Developer Network.
Сопоставив факты, Positive Technologies с определенной долей уверенности предполагает, что автор является одним из разработчиков (если не единственным) вредоноса.
Таким образом, как видим, Space Pirates не прекращает наращивать свою активность в отношении российских компаний: количество атак выросло в несколько раз.
Злоумышленники разрабатывают новое ВПО, реализующее нестандартные техники (как, Voidoor), и модифицируют уже существующее.
Основная цель группы - шпионаж и кража конфиденциальной информации. Наблюдение за Space Pirates указывает на расширение географии их атак и сферы интересов. За последний год стали по меньшей мере 16 организаций в России.
Среди новых жертв удалось выявить государственные и образовательные учреждения, предприятия авиационной, ракетно-космической и сельскохозяйственной промышленности, военно-промышленного и топливно-энергетического комплекса и инфосек-компании. Кроме того, было атаковано министерство в Сербии.
На одном из управляющих серверов был обнаружен сканер Acunetix. Это говорит о вероятном векторе атаки через эксплуатацию уязвимостей, который раньше не наблюдался.
Целью группы среди прочего стали и почтовые архивы PST. Так, ошибка в конфигурации управляющего сервера Space Pirates позволила ресерчерам изучить его содержимое и обнаружить два почтовых архива одного из министерств Сербии.
Помимо украденных данных на сервере обнаружены веб-шелл Godzilla и обфусцированный туннель Neo-reGeorg. Группировка также начала использовать ВПО ShadowPad.
Практически в каждом расследовании находились следы задействования Deed RAT, что говорит о прекращении использования группой других бэкдоров. Причем Deed RAT продолжает разрабатываться. При расследовании инцидента на одном из зараженных устройств нашлась 64-битная версия этого ВПО, которая почти не отличается от 32-битной.
В новых версиях несколько изменился алгоритм расшифрования строк. Если раньше указывалась длина каждой строки, то теперь этого нет, а строки завершаются нулевым байтом.
На зараженных Deed RAT компьютерах удалось обнаружить два новых плагина. Первый называется Disk и используется для работы с дисками. Его особенностью является то, что он, по сути, является оберткой над Windows API. Disk поддерживает десять сетевых команд.
Второй плагин называется Portmap, в основе которой была положена утилита ZXPortMap. Плагин применяется для перенаправления портов (port forwarding) и поддерживает три сетевые команды, каждая из которых является режимом работы.
Помимо прочего выявлена интересная особенность — в конфигурации постоянно фигурирует число 4: четыре дня, в которые бэкдору запрещено работать, четыре ссылки на C2-серверы, четыре ссылки на прокси-серверы, четыре процесса для инжекта, четыре DNS-сервера, четыре адреса DoH.
Дело в том, что в китайском языке иероглиф, обозначающий цифру 4, произносится так же, как и иероглиф, обозначающий смерть, только с другой интонацией, — потому число считается несчастливым, что дает все основания полагать о наличии у группировки китайских корней.
В ходе одного из расследований в поле зрения попал и неизвестный ранее образец ВПО, отличающийся своей функциональностью. Вредонос по всей видимости был доставлен через уже установленный на компьютере Deed RAT получил название Voidoor.
Он скомпилирован в конце 2022 года, представляет собой 32-битный файл формата EXE. Большинство строк внутри зашифрованы XOR на 0x22. Жизненный цикл этого ВПО включал взаимодействие через GitHub и форум voidtools.
Последний построен на движке phpBB и стал для нас кладезем полезной информации, который в совокупности с анализом репозиториев GitHub привел исследователей в блог хакера на Chinese Software Developer Network.
Сопоставив факты, Positive Technologies с определенной долей уверенности предполагает, что автор является одним из разработчиков (если не единственным) вредоноса.
Таким образом, как видим, Space Pirates не прекращает наращивать свою активность в отношении российских компаний: количество атак выросло в несколько раз.
Злоумышленники разрабатывают новое ВПО, реализующее нестандартные техники (как, Voidoor), и модифицируют уже существующее.
ptsecurity.com
Блог PT ESC Threat Intelligence
В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах
Незамеченной прошла любопытная информация от исследователей из Cybernews касаемо банды вымогателей Cl0p.
Это именно те ребята, который через дырку в MOVEit стырили данные у нескольких сотен крупных компаний, среди которых Deutsche Bank, Siemens Energy, BBC, Shell и даже Gen. А до этого Cl0p ломали жертвы через другиt файлообменники -Skype Accellion FTA и GoAnywhere. Некоторые же ресерчеры полагают, что Cl0p эксплуатировали уязвимость в MOVEit целых два года.
На протяжении долгого времени западными исследователями утверждалось, что Cl0p - группа, несомненно, русская. Ну просто потому что все зло в мире от русских происходит, это любой западный инфосек эксперт подтвердит. Кроме того зла, которое от китайцев, иранцев и Ким Чен Ына. Русские привыкли и не особо обращают на это внимание.
Не повлияло на этот дискурс и задержание в 2021 году украинскими правоохранителями шестерых членов Cl0p, после чего группировке на некоторое время изрядно похеровело.
Теперь же Cybernews внесли сумятицу в информационный фон - они утверждают, что, по данным доверенного исследователя, имени которого они не называют из соображений конспирации, ему удалось сдеанонить через дырку в неназванной коммуникационной платформе IP-адрес одного из разработчиков Cl0p. Оказалось, что тот невозбранно сидит в городе Краматорске, с 2014 года контролируемом Киевом.
"Связанная с Россией банда по-прежнему действует из Украины" - делятся с нами своей шизофазией журналисты Cybernews. Срочно три галоперидола господам за крайним столиком!
Неудобно получилось, да.
Это именно те ребята, который через дырку в MOVEit стырили данные у нескольких сотен крупных компаний, среди которых Deutsche Bank, Siemens Energy, BBC, Shell и даже Gen. А до этого Cl0p ломали жертвы через другиt файлообменники -
На протяжении долгого времени западными исследователями утверждалось, что Cl0p - группа, несомненно, русская. Ну просто потому что все зло в мире от русских происходит, это любой западный инфосек эксперт подтвердит. Кроме того зла, которое от китайцев, иранцев и Ким Чен Ына. Русские привыкли и не особо обращают на это внимание.
Не повлияло на этот дискурс и задержание в 2021 году украинскими правоохранителями шестерых членов Cl0p, после чего группировке на некоторое время изрядно похеровело.
Теперь же Cybernews внесли сумятицу в информационный фон - они утверждают, что, по данным доверенного исследователя, имени которого они не называют из соображений конспирации, ему удалось сдеанонить через дырку в неназванной коммуникационной платформе IP-адрес одного из разработчиков Cl0p. Оказалось, что тот невозбранно сидит в городе Краматорске, с 2014 года контролируемом Киевом.
"Связанная с Россией банда по-прежнему действует из Украины" - делятся с нами своей шизофазией журналисты Cybernews. Срочно три галоперидола господам за крайним столиком!
Неудобно получилось, да.
Cybernews
Cl0p hacker operating from Russia-Ukraine war front line – exclusive
As Cl0p continues to sow anxiety worldwide, affecting companies like Deutsche Bank, at least one of the gang’s masterminds is still residing in Ukraine.
Данный пост написан в знак нашего протеста против катастрофического падения уровня материалов, публикуемых ведущими мировыми инфосек компаниями.
Avast - Хуяст
Mandiant - Хуйдиянт
Proofpoint - Хуйвпойнт
Sentinel Labs - Хуйнтинел Хуябс
Palo Alto - Хуяло Хуяльто
Claroty - Хуяроти
ESET - Хуйсет
Cisco Talos - Хуиско Хуялос
Trend Micro - Хуенд Хуикро
Sophos - Хуефос
Recorded Future - Хуердед Хуючо
Symantec - Хуентек
Zscaler - ЗетХуялер
Cyfirma - Хуяйхуирма
Cyble - Хуяйбл
Malwarebytes - Хуйвэрхуяйтс
Sekoia - Хуйоя
SecAtor -молодцы Хуятор
Avast - Хуяст
Mandiant - Хуйдиянт
Proofpoint - Хуйвпойнт
Sentinel Labs - Хуйнтинел Хуябс
Palo Alto - Хуяло Хуяльто
Claroty - Хуяроти
ESET - Хуйсет
Cisco Talos - Хуиско Хуялос
Trend Micro - Хуенд Хуикро
Sophos - Хуефос
Recorded Future - Хуердед Хуючо
Symantec - Хуентек
Zscaler - ЗетХуялер
Cyfirma - Хуяйхуирма
Cyble - Хуяйбл
Malwarebytes - Хуйвэрхуяйтс
Sekoia - Хуйоя
SecAtor -
Один из лидеров мирового рынка CMS Drupal устранила критическую уязвимость двухфакторной аутентификации.
В Drupal CMS была исправлена уязвимость, затрагивающая модуль двухфакторной аутентификации, который позволяет разработчикам разрешать или требовать второй метод аутентификации в дополнение к паролю, дабы снизить риск несанкционированного доступа, в случае если даже пароль был скомпрометированы.
Но, как выяснили исследователи Бенджи Фишер из Drupal и Лара Конрад из DM13 Security LLC, это требование не всегда соблюдается, уязвимость позволяет его обходить.
Безусловно, уязвимость смягчается тем, что злоумышленник должен сначала получить учетные данные первого фактора для входа в систему.
Но, если вы используете модуль двухфакторной аутентификации (TFA) для Drupal 8/9 - обновите его до TFA 8.x-1.1. Убедитесь, что все дополнительные внешние формы аутентификации, такие как REST, отключены.
В Drupal CMS была исправлена уязвимость, затрагивающая модуль двухфакторной аутентификации, который позволяет разработчикам разрешать или требовать второй метод аутентификации в дополнение к паролю, дабы снизить риск несанкционированного доступа, в случае если даже пароль был скомпрометированы.
Но, как выяснили исследователи Бенджи Фишер из Drupal и Лара Конрад из DM13 Security LLC, это требование не всегда соблюдается, уязвимость позволяет его обходить.
Безусловно, уязвимость смягчается тем, что злоумышленник должен сначала получить учетные данные первого фактора для входа в систему.
Но, если вы используете модуль двухфакторной аутентификации (TFA) для Drupal 8/9 - обновите его до TFA 8.x-1.1. Убедитесь, что все дополнительные внешние формы аутентификации, такие как REST, отключены.
Drupal.org
Two-factor Authentication (TFA) - Critical - Access bypass - SA-CONTRIB-2023-030
This module enables you to allow and/or require users to use a second authentication method in addition to password authentication. The module doesn't sufficiently ensure all core login routes, including the password reset page, require a second factor credential.…
По всей видимости, схему с рейдерским захватом NSO решили провернуть с другими серьезными игроками рынка spyware - Cytrox и Intellexa.
Две иностранные компании попали под санкции правительства США за «торговлю кибер-эксплойтами, используемыми для получения доступа к информационным системам».
В новом объявлении (PDF) Министерства торговли администрации Байдена говориться, что указанные поставщики шпионского ПО представляют угрозу конфиденциальности и безопасности отдельных лиц и организаций во всем мире.
Официальным рестрикциям предшествовали расследования ведущих инфосек-компаний, действовавших, вероятно, по команде своих кураторов из спецслужб.
Cytrox была связана с вредоносной ПО Predator, нацеленной на устройства iPhone и попавшейся на инциденте с европейским законодателем и египетскими чиновниками.
Как тогда стало широко известно, Predator был способен компрометировать самую последнюю на тот момент версию iOS с помощью ссылок в один клик, отправленных в WhatsApp.
Кейсом занимались Citizen Lab совместно с группой разведки угроз материнской компании Meta (признана в РФ экстремистской), которые громогласно расчехлили кампании Cytrox и впридачу парочку других PSOA.
Как и Cytrox, Intellexa также была публично представлена как частная разведкомпания, реализующая услуги по взлому iOS и Android на миллионы долларов.
Вполне допускаем, что финальная итерация через санкции уже привела или совсем скоро приведет к контролю нужных людей за технологиями, кадрами и текущими портфелями заказов, как это было в случае с NSO.
И все это красиво заворачивается и подается, как отметили представители правительства США, под соусом усилий администрации Байдена по продвижению прав человека во внешней политике штатов.
Две иностранные компании попали под санкции правительства США за «торговлю кибер-эксплойтами, используемыми для получения доступа к информационным системам».
В новом объявлении (PDF) Министерства торговли администрации Байдена говориться, что указанные поставщики шпионского ПО представляют угрозу конфиденциальности и безопасности отдельных лиц и организаций во всем мире.
Официальным рестрикциям предшествовали расследования ведущих инфосек-компаний, действовавших, вероятно, по команде своих кураторов из спецслужб.
Cytrox была связана с вредоносной ПО Predator, нацеленной на устройства iPhone и попавшейся на инциденте с европейским законодателем и египетскими чиновниками.
Как тогда стало широко известно, Predator был способен компрометировать самую последнюю на тот момент версию iOS с помощью ссылок в один клик, отправленных в WhatsApp.
Кейсом занимались Citizen Lab совместно с группой разведки угроз материнской компании Meta (признана в РФ экстремистской), которые громогласно расчехлили кампании Cytrox и впридачу парочку других PSOA.
Как и Cytrox, Intellexa также была публично представлена как частная разведкомпания, реализующая услуги по взлому iOS и Android на миллионы долларов.
Вполне допускаем, что финальная итерация через санкции уже привела или совсем скоро приведет к контролю нужных людей за технологиями, кадрами и текущими портфелями заказов, как это было в случае с NSO.
И все это красиво заворачивается и подается, как отметили представители правительства США, под соусом усилий администрации Байдена по продвижению прав человека во внешней политике штатов.