​​Что-то опять операторы ransomware разбушевались.

Cl0p поломали университеты Колорадо и Майями через дырку в Accellion FTA. Одна из крупнейших американских страховых компаний CNA Financial, имеющая годовой доход в 10 млрд. долларов, пострадала от атаки вымогателя, в результате которой были приостановлены ее бизнес-операции. И даже производитель отказоустойчивых серверов Stratus Technologies словил ransomware и был вынужден отключить часть систем, чтобы предотвратить распространение вредоноса.

Кстати, интересный факт, в своем заявлении Stratus сообщили, что после изолирования зараженного сегмента сети они "приступили к выполнению мероприятий плана по обеспечению непрерывности бизнеса". Это как раз то, про что мы говорили еще в прошлом году - назрела необходимость создания в крупных компаниях отдельного направления в рамках функционала подразделений Business Continuity Management (BCM), которое будет предусматривать отработку процедур восстановления бизнеса в случае атаки вымогателя.

Но круче всех выступил крупный канадский производитель IoT Sierra Wireless (нет, это не те богоспасаемые Sierra Entertainment, которые авторы The Incredible Machine и Phantasmagoria), который ухитрился запустить ransomware в технологический сегмент своей сети, в результате чего встало производство на всех его площадках. При этом еще не понятно, получили ли хакеры доступ к чувствительным данным.

Концепция "ИБ за мелкий прайс" победно шагает по планете с подачи эффективных менеджеров. А то, что потом финансовые прогнозы приходится пересматривать, - так то ерунда. Главное успеть бонус за срезание костов освоить.

New attacks on OAuth: SSRF by design and Session Poisoning by https://twitter.com/artsploit: https://t.co/MCjIDMQg3q?amp=1

CASMM от https://twitter.com/danielmiessler

Если кто-то не успел купить подписку shodan за $1 в чёрную пятницу, появилась новая возможность купить ее за $4(lifetime) https://twitter.com/shodanhq/status/1376610973629493254

"Contextual Content Discovery: You've forgotten about the API endpoints" https://blog.assetnote.io/2021/04/05/contextual-content-discovery/

Коротко о завтрашнем дне 🥲

Microsoft Exchange Server RCE, CVE-2021-28482:

https://gist.github.com/testanull/9ebbd6830f7a501e35e67f2fcaa57bda

И давненько у нас не было хорошей уязвимости в Window. В данном случае уязвимость в HTTP Protocol Stack Windows IIS может быть использована для атак на Windows 10 и Windows Server. Microsoft уже выпустила апдейт в рамках майского апдейта.

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31166

А тут и PoC уже подвезли

https://www.bleepingcomputer.com/news/security/exploit-released-for-wormable-windows-http-vulnerability/

Твит с анонсом обнаружения уязвимости
https://twitter.com/jimdinmn/status/1395071966487269376?s=21

CVE-2021-41773 (Apache server path traversal) POC: /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

Похоже что фикс для CVE-2021-41773 можно обойти с помощью дабл юрл-энкода и Apache выпустили ещё один (CVE-2021-42013)

CVE-2021-40438 Apache SSRF POC:

Если кто-то любит мониторить страницы с обновлениями определенных сервисов (новые фичи=новые баги), я создал список changelog'ов для сайтов/моб приложений с bug bounty https://github.com/w9w/bugbounty_changelogs

Uber Investigating Breach of Its Computer Systems

https://www.nytimes.com/2022/09/15/technology/uber-hacking-breach.html

Here’s my new blog post, “Bugs showcase #1: Chaining a lack of values correlation, linear growth of attempts, and other omissions in OTP implementations to achieve 2 ATOs”.🪲 I hope it’ll be interesting for you!