Тем временем техдиректор IOAcvice Labs предлагает Microsoft выпустить вредоносные патчи для русских машин
Идея, конечно, забавная и «интересная», но любовь мелкомягких выпускать фиксы для фиксов для фиксов после очередного Patch Tuesday, скорее всего, научила большинство пользователей (тем более корпоративных) максимально откладывать апдейты, так что вряд ли подобные меры возымеют достаточно сильный эффект.
С другой стороны, даже несмотря на то, что пост в целом написан в стиле «плакала половина маршрутки», глубоко неуважаемый Цезарь высказал достаточно логичную мысль: далеко не многие берут в расчет то, что производитель проприетарного софта всегда может включить режим мудака и банально грохнуть пользовательские системы. И хотя сейчас это едва ли может стать для кого-то откровением (спасибо событиям минувших дней), напомним: всегда имейте альтернативы, друзья.
@NeKaspersky
Идея, конечно, забавная и «интересная», но любовь мелкомягких выпускать фиксы для фиксов для фиксов после очередного Patch Tuesday, скорее всего, научила большинство пользователей (тем более корпоративных) максимально откладывать апдейты, так что вряд ли подобные меры возымеют достаточно сильный эффект.
С другой стороны, даже несмотря на то, что пост в целом написан в стиле «плакала половина маршрутки», глубоко неуважаемый Цезарь высказал достаточно логичную мысль: далеко не многие берут в расчет то, что производитель проприетарного софта всегда может включить режим мудака и банально грохнуть пользовательские системы. И хотя сейчас это едва ли может стать для кого-то откровением (спасибо событиям минувших дней), напомним: всегда имейте альтернативы, друзья.
@NeKaspersky
👍16🤮10💩5😁3👎2
Можно долго и упорно работать, помогать компаниям находить уязвимости, которые могли бы нанести им многомиллионный ущерб, но вознаграждение у тебя все равно заберут, потому что ты белорус или россиянин.
HackerOne забрала $25 000 у багхантера из Белоруссии в качестве санкций. Вот такая надежная платформа для Bugbounty.
За короткое время мир перевернулся и для западных компаний стало нормальным нарушать свои обязательства перед людьми из-за их национальной принадлежности.
Можно ли теперь доверять HackerOne?
@NeKaspersky
HackerOne забрала $25 000 у багхантера из Белоруссии в качестве санкций. Вот такая надежная платформа для Bugbounty.
За короткое время мир перевернулся и для западных компаний стало нормальным нарушать свои обязательства перед людьми из-за их национальной принадлежности.
Можно ли теперь доверять HackerOne?
@NeKaspersky
💩47👎6🤮2
С Российского рынка ушли зарубежные ИБ-компании, но это не проблема, когда есть наши компании со своими ИБ-решениями.
@NeKaspersky
@NeKaspersky
👍16👎8💩4🔥1
Крупный производитель автозапчастей пострадал от шифровальщика
DENSO — один из крупнейших в мире производителей автомобильных компонентов, услугами которого пользуются такие бренды, как Toyota, Mercedes-Benz, Ford, Honda, Volvo, Fiat и General Motors — подтвердил, что 10 марта подвергся кибератаке. За атаку ответственна сравнительно новая группировка Pandora, появившаяся на свет в текущем году. Из-за схожести кода и методов упаковки шифровальщиков, некоторые исследователи считают, что Pandora являются ребрендингом Rook.
По словам DENSO, взлому подверглась их корпоративная сеть в Германии. Компания утверждает, что обнаружила злоумышленников и немедленно изолировала их от остальных сетевых устройств, так что данные других подразделений вне опасности. Производство продолжает работать в обычном режиме, так что перебоев с поставками не предвидится, что, несомненно, хорошо, поскольку сбой в цепочке поставок, скорее всего, ударит по отрасли, которая и без того испытывает определенные трудности из-за кризиса полупроводников и закрытия заводов в Украине.
В то время как DENSO заявляет, что кибератака не повлияла на их деятельность, Pandora начала планомерно сливать полученные с серверов компании 1,4 ТБ данных. Доступные на текущий момент сэмплы включают заказы, технические схемы, соглашения о неразглашении и т.п.
Возможно, начальный доступ к сети компании был куплен у других злоумышленников: исследователь, известный под ником [@]radvadva в twitter сообщает, что ранее предупреждал DENSO о наличии именно такого предложения на одном из специализированных форумов. Сама компания на текущий момент на этот счет упорно отмалчивается.
@NeKaspersky
DENSO — один из крупнейших в мире производителей автомобильных компонентов, услугами которого пользуются такие бренды, как Toyota, Mercedes-Benz, Ford, Honda, Volvo, Fiat и General Motors — подтвердил, что 10 марта подвергся кибератаке. За атаку ответственна сравнительно новая группировка Pandora, появившаяся на свет в текущем году. Из-за схожести кода и методов упаковки шифровальщиков, некоторые исследователи считают, что Pandora являются ребрендингом Rook.
По словам DENSO, взлому подверглась их корпоративная сеть в Германии. Компания утверждает, что обнаружила злоумышленников и немедленно изолировала их от остальных сетевых устройств, так что данные других подразделений вне опасности. Производство продолжает работать в обычном режиме, так что перебоев с поставками не предвидится, что, несомненно, хорошо, поскольку сбой в цепочке поставок, скорее всего, ударит по отрасли, которая и без того испытывает определенные трудности из-за кризиса полупроводников и закрытия заводов в Украине.
В то время как DENSO заявляет, что кибератака не повлияла на их деятельность, Pandora начала планомерно сливать полученные с серверов компании 1,4 ТБ данных. Доступные на текущий момент сэмплы включают заказы, технические схемы, соглашения о неразглашении и т.п.
Возможно, начальный доступ к сети компании был куплен у других злоумышленников: исследователь, известный под ником [@]radvadva в twitter сообщает, что ранее предупреждал DENSO о наличии именно такого предложения на одном из специализированных форумов. Сама компания на текущий момент на этот счет упорно отмалчивается.
@NeKaspersky
Вредонос RedLine начал распространяться через YouTube.
Читы на Valorant без смс и регистрации, для всех любителей нечестной игры — примерно так на сегодняшний день продолжает своё существование вредонос RedLine. Корейские аналитики безопасности обнаружили кампанию по распространению вредоносных программ, которая под видом всем известного аимбота (чит-программа, наводящая прицел на голову или тело противника), оставляла ссылку в описании или в закрепленном комментарии на чудесный стиллер.
Давайте вспомним, что вообще представляет из себя RedLine. Впервые он получил известность в марте 2020 года и уже был способен извлекать учетные данные из браузеров, клиентов FTP, электронной почты, мессенджеров и VPN. Кроме того, вредонос может воровать аутентификационные файлы cookie и номера карт, хранящиеся в браузерах, логи чатов, локальные файлы и БД криптовалютных кошельков. Не плохой такой наборчик, при том, что после получения большого количества положительных отзывов на форумах, где он продавался, появилась еще и бесплатная пиратская версия.
Буквально месяц назад Стиллер RedLine распространялся через фейковые обновления Windows. А теперь он передается через YouTube в виде читов, что значительно упростило задачу злоумышленникам. Как-никак и раньше в читы закидывали всевозможные майнеры, баннер-вымогатели, стиллеры. Ведь любителям нечестной игры для установки “помогающего” ПО требуется отключить всевозможные антивирусы, поскольку читы считаются вредоносными программами.
Ссылка, оставленная ютуберами в описании на необходимые файлы, перенаправляет свою жертву на файлообменник AnonFiles с архивным файлом. После скачивания, распаковки и запуска программы вредонос начинает действовать. Собирая всю необходимую информацию, включая данные аккаунтов, и отправляя её на сервер, злоумышленник получает учетные данные и куки из браузеров (Chrome, Edge, Firefox), пароли из клиентов FTP (FileZilla) и VPN, токены Discord, ключи от криптокошельков, данные о сессиях Steam и Telegram. Не будем также забывать и про данные самого аккаунта Valorant, которые в будущем будут перепроданы.
Играйте честно.
@NeKaspersky
Читы на Valorant без смс и регистрации, для всех любителей нечестной игры — примерно так на сегодняшний день продолжает своё существование вредонос RedLine. Корейские аналитики безопасности обнаружили кампанию по распространению вредоносных программ, которая под видом всем известного аимбота (чит-программа, наводящая прицел на голову или тело противника), оставляла ссылку в описании или в закрепленном комментарии на чудесный стиллер.
Давайте вспомним, что вообще представляет из себя RedLine. Впервые он получил известность в марте 2020 года и уже был способен извлекать учетные данные из браузеров, клиентов FTP, электронной почты, мессенджеров и VPN. Кроме того, вредонос может воровать аутентификационные файлы cookie и номера карт, хранящиеся в браузерах, логи чатов, локальные файлы и БД криптовалютных кошельков. Не плохой такой наборчик, при том, что после получения большого количества положительных отзывов на форумах, где он продавался, появилась еще и бесплатная пиратская версия.
Буквально месяц назад Стиллер RedLine распространялся через фейковые обновления Windows. А теперь он передается через YouTube в виде читов, что значительно упростило задачу злоумышленникам. Как-никак и раньше в читы закидывали всевозможные майнеры, баннер-вымогатели, стиллеры. Ведь любителям нечестной игры для установки “помогающего” ПО требуется отключить всевозможные антивирусы, поскольку читы считаются вредоносными программами.
Ссылка, оставленная ютуберами в описании на необходимые файлы, перенаправляет свою жертву на файлообменник AnonFiles с архивным файлом. После скачивания, распаковки и запуска программы вредонос начинает действовать. Собирая всю необходимую информацию, включая данные аккаунтов, и отправляя её на сервер, злоумышленник получает учетные данные и куки из браузеров (Chrome, Edge, Firefox), пароли из клиентов FTP (FileZilla) и VPN, токены Discord, ключи от криптокошельков, данные о сессиях Steam и Telegram. Не будем также забывать и про данные самого аккаунта Valorant, которые в будущем будут перепроданы.
Играйте честно.
@NeKaspersky
😱6👍4💩1
VPN продолжают блокировать, а ответсвенности за посты в Instagram для россиян не будет.
Вчера мы дали фальстарт, опубликовав скриншот из декабрьской новости РБК, где говорилось о блокировке VPN Роскомнадзором. Как оказалось, фальстарт не был фальстартом. Вероятно, скриншот из старой новости намеренно распространили в тг-каналах, чтобы подготовить к словам депутата Хинштейна, который сегодня заявил, что Роскомнадзор продолжит блокировать VPN-сервисы. На данный момент заблокировано уже 20 VPN-сервисов.
Кстати, Хинштейн сказал, что отвественности за обход блокировок и посты в Instagram не будет, если содержание постов не противоречит российским законам.
@NeKaspersky
Вчера мы дали фальстарт, опубликовав скриншот из декабрьской новости РБК, где говорилось о блокировке VPN Роскомнадзором. Как оказалось, фальстарт не был фальстартом. Вероятно, скриншот из старой новости намеренно распространили в тг-каналах, чтобы подготовить к словам депутата Хинштейна, который сегодня заявил, что Роскомнадзор продолжит блокировать VPN-сервисы. На данный момент заблокировано уже 20 VPN-сервисов.
Кстати, Хинштейн сказал, что отвественности за обход блокировок и посты в Instagram не будет, если содержание постов не противоречит российским законам.
@NeKaspersky
🤮8👍3💩3👎1
Wildberries не работает уже несколько дней. У пользователей не отображаются оплаченные заказы и даты доставки.
Второй день подряд появляются инсайды от анонимных источников, в которых говорится о взломе компании Бакальчук. Взломали и уничтожили всю инфраструктуру, бэкапы. Данные зашифрованы. Работает только фронтэнд.
Вероятно, Wildberries была взломана иностранной хакерской группировкой OldGremlin.
@NeKaspersky
Второй день подряд появляются инсайды от анонимных источников, в которых говорится о взломе компании Бакальчук. Взломали и уничтожили всю инфраструктуру, бэкапы. Данные зашифрованы. Работает только фронтэнд.
Вероятно, Wildberries была взломана иностранной хакерской группировкой OldGremlin.
@NeKaspersky
😱11
Ну и на десерт. Американцы решили окончательно лишить трафик россиян защиты. У российских предприятий, связанных с оборонкой, отзывают сертификаты ISRG/LetsEncrypt. Они предназначены для TLS шифрования(протокол защиты транспортного уровня, для тех, кто не знает).
Этот протокол шифрования обеспечивает защищённую передачу данных между узлами в интернете. Теперь любой узел в соединении сможет увидеть проходящий через него трафик.
Минцифры уже объявили о том, что готовятся к выдаче бесплатных российских TLS-сертификатов, которые можно будет получить через Госуслуги.
@NeKaspersky
Этот протокол шифрования обеспечивает защищённую передачу данных между узлами в интернете. Теперь любой узел в соединении сможет увидеть проходящий через него трафик.
Минцифры уже объявили о том, что готовятся к выдаче бесплатных российских TLS-сертификатов, которые можно будет получить через Госуслуги.
@NeKaspersky
💩22🔥5😱4🤮4😁3👍2
Появилась новость, что Apple добавили карты МИР как способ оплаты. Проверили. У нас пока не работает. Но на сайте Apple есть заметка о том, что МИР действительно добавили в способы оплаты. Возможно, пока что есть технические проблемы. У вас работает?
@NeKaspersky
@NeKaspersky
🤮13👍5🔥4
Замечена крупномасштабная фишинговая кампания, в которую вовлечены более 500 доменов
На этот раз злоумышленники нацелились на креденшлы для Naver, южнокорейской гуглоподобной онлайн-платформы. Среди предоставляемых ей услуг есть веб-поиск, электронная почта, агрегация новостей и т.п.
Исследователи из Prevailion, обнаружившие кампанию, начинали расследование с одного доменного имени (mailmangecorp[.]us), но в итоге обнаружили целую сеть, включающую 542 уникальных домена, 532 из которых использовались для фишинга на тему Naver. Некоторые домены зарегистрированы совсем недавно, в феврале, в то время как самые старые датируются августом 2021 года.
Также по первоначальному адресу Prevailion смогли найти еще 58 фишинговых доменов, редиректящих на 23.81.246[.]131. Этот IP также использовался несколькими загруженными на VirusTotal сэмплами Cobalt Strike. Сэмплы в свою очередь связали с кампанией по доставки рансомвари Conti, которая стала уже классическим пейлодом для TrickBot.
Возникает резонный вопрос: нафига, а главное — зачем? Чисто теоретически, учетки Naver также могут использоваться для начального доступа в корпоративные сети, поскольку пользователи частенько используют одни и те же креденшлы для разных аккаунтов. С другой стороны, связь фишинговой активности и Conti/TrickBot строится только на совпадении одного IP, которое на деле может быть обусловлено множеством различных причин, так что фишинговая активность, вполне может не являться прямой работой рансомварщиков.
@NeKaspersky
На этот раз злоумышленники нацелились на креденшлы для Naver, южнокорейской гуглоподобной онлайн-платформы. Среди предоставляемых ей услуг есть веб-поиск, электронная почта, агрегация новостей и т.п.
Исследователи из Prevailion, обнаружившие кампанию, начинали расследование с одного доменного имени (mailmangecorp[.]us), но в итоге обнаружили целую сеть, включающую 542 уникальных домена, 532 из которых использовались для фишинга на тему Naver. Некоторые домены зарегистрированы совсем недавно, в феврале, в то время как самые старые датируются августом 2021 года.
Также по первоначальному адресу Prevailion смогли найти еще 58 фишинговых доменов, редиректящих на 23.81.246[.]131. Этот IP также использовался несколькими загруженными на VirusTotal сэмплами Cobalt Strike. Сэмплы в свою очередь связали с кампанией по доставки рансомвари Conti, которая стала уже классическим пейлодом для TrickBot.
Возникает резонный вопрос: нафига, а главное — зачем? Чисто теоретически, учетки Naver также могут использоваться для начального доступа в корпоративные сети, поскольку пользователи частенько используют одни и те же креденшлы для разных аккаунтов. С другой стороны, связь фишинговой активности и Conti/TrickBot строится только на совпадении одного IP, которое на деле может быть обусловлено множеством различных причин, так что фишинговая активность, вполне может не являться прямой работой рансомварщиков.
@NeKaspersky
👍5
This media is not supported in your browser
VIEW IN TELEGRAM
Хакеры взломали канал «Украина 24» и пустили бегущую строку с обращением к военным от имени Зеленского с требованием сложить оружие и возвращаться к семьям.
😁17🔥3👍2👎1🤮1
В Google Play Store снова нашли трояны, есть даже долгожитель, с января скрывавшийся от глаз безопасников
Аналитики компании Dr. Web в недавнем докладе отметили всплеск проникновения вредоносных приложений в Google Play Store. Вредоносы, обнаруженные во время исследования, маскируются под самый разный софт: криптовалютные кошельки, газпромовский инвестиционный софт, фоторедакторы и даже лаунчер в стиле iOS 15. Как обычно, большинство обсуждаемых приложений уже удалены из Play Store, но журналистам BleepingComputer удалось найти фигурировавший в докладе Top Navigation, который был установлен более 500,000 раз.
Отзывы на подобный мусор проливают свет на некоторые используемые способы мошенничества: например, приложение Advice Photo Power за авторством некой Tsaregorotseva, загруженное более 100,000 раз, взимает $2 в неделю за отключение рекламных баннеров, но на деле меняется примерно ничего. Другие рассмотренные приложения ходят на сайты партнерских сервисов и подписывают жертву на платные услуги.
Однако наиболее серьезной угрозой были троянизированные версии неофициальных модов WhatsApp — GBWhatsApp, OBWhatsApp и WhatsApp Plus. Из обещанного дополнительного функционала в них есть поддержка арабского языка, виджеты, кастомизируемая нижняя панель, возможность скрыть статус онлайна, блокировка вызовов и автосохранение медиафайлов.
Есть и другой доп. функционал, о котором почему-то предпочитают умалчивать: например, эти моды пытаются перехватить уведомления от приложений, полученных из Google Play и Samsung Galaxy Store, используя библиотеку для сбора статистики «Flurry». OBWhatsApp также качает из сети сторонние apk, замаскированные под обновления мода и настойчиво просит пользователя установить их. Установленное таким образом приложение используется для отображения диалоговых окон с произвольным содержимым и перенаправления пользователей на вредоносные сайты.
@NeKaspersky
Аналитики компании Dr. Web в недавнем докладе отметили всплеск проникновения вредоносных приложений в Google Play Store. Вредоносы, обнаруженные во время исследования, маскируются под самый разный софт: криптовалютные кошельки, газпромовский инвестиционный софт, фоторедакторы и даже лаунчер в стиле iOS 15. Как обычно, большинство обсуждаемых приложений уже удалены из Play Store, но журналистам BleepingComputer удалось найти фигурировавший в докладе Top Navigation, который был установлен более 500,000 раз.
Отзывы на подобный мусор проливают свет на некоторые используемые способы мошенничества: например, приложение Advice Photo Power за авторством некой Tsaregorotseva, загруженное более 100,000 раз, взимает $2 в неделю за отключение рекламных баннеров, но на деле меняется примерно ничего. Другие рассмотренные приложения ходят на сайты партнерских сервисов и подписывают жертву на платные услуги.
Однако наиболее серьезной угрозой были троянизированные версии неофициальных модов WhatsApp — GBWhatsApp, OBWhatsApp и WhatsApp Plus. Из обещанного дополнительного функционала в них есть поддержка арабского языка, виджеты, кастомизируемая нижняя панель, возможность скрыть статус онлайна, блокировка вызовов и автосохранение медиафайлов.
Есть и другой доп. функционал, о котором почему-то предпочитают умалчивать: например, эти моды пытаются перехватить уведомления от приложений, полученных из Google Play и Samsung Galaxy Store, используя библиотеку для сбора статистики «Flurry». OBWhatsApp также качает из сети сторонние apk, замаскированные под обновления мода и настойчиво просит пользователя установить их. Установленное таким образом приложение используется для отображения диалоговых окон с произвольным содержимым и перенаправления пользователей на вредоносные сайты.
@NeKaspersky
👍10
Новая фишинговая стратегия от mr.d0x позволяет обмануть даже опытных пользователей
Атака, получившая название BITB (браузер в браузере), осуществима за счет достаточно широких возможностей js и того, что на огромном количестве сайтов используется авторизация через Google/Apple/Facebook и т.п.
Алгоритм реализации такой:
1. Злоумышленник воспроизводит страницу логина на интересующие его сервисы, так же силами HTML/CSS рисуется и фейковый url-бар;
2. Полученная страница хостится на подконтрольном ему сервере и через iframe подгружается на сайт, где будет происходить авторизация;
3. js используется для показа упомянутого iframe при клике на соответствующие кнопки;
4. Также через js можно реализовать перемещение «окна» (т.е. нашего iframe-а) с помощью курсора мышки;
5. Для того чтобы сделать страницу еще менее подозрительной, нужно определить, какую темную или светлую тему использует жертва и отображать соответствующие страницы при запросе креденшлов.
Главный плюс этой атаки по сравнению с классическим фишингом очевиден и заключается в том, что пользователь больше не может посмотреть на url-бар, увидеть там нелегитимную ссылку и «сорваться с крючка».
Кстати, PoC лежит в его GitHub-репозитории.
@NeKaspersky
Атака, получившая название BITB (браузер в браузере), осуществима за счет достаточно широких возможностей js и того, что на огромном количестве сайтов используется авторизация через Google/Apple/Facebook и т.п.
Алгоритм реализации такой:
1. Злоумышленник воспроизводит страницу логина на интересующие его сервисы, так же силами HTML/CSS рисуется и фейковый url-бар;
2. Полученная страница хостится на подконтрольном ему сервере и через iframe подгружается на сайт, где будет происходить авторизация;
3. js используется для показа упомянутого iframe при клике на соответствующие кнопки;
4. Также через js можно реализовать перемещение «окна» (т.е. нашего iframe-а) с помощью курсора мышки;
5. Для того чтобы сделать страницу еще менее подозрительной, нужно определить, какую темную или светлую тему использует жертва и отображать соответствующие страницы при запросе креденшлов.
Главный плюс этой атаки по сравнению с классическим фишингом очевиден и заключается в том, что пользователь больше не может посмотреть на url-бар, увидеть там нелегитимную ссылку и «сорваться с крючка».
Кстати, PoC лежит в его GitHub-репозитории.
@NeKaspersky
😱10💩6👍4👎1
Обнаружено семь новых уязвимостей в системе ClickHouse OLAP
Исследователи из израильской софтверной компании JFrog Security, отвечающей за обслуживание программного обеспечения, обнаружили целых семь новых уязвимостей в системе управления базами данных с открытым исходным кодом ClickHouse. Данные уязвимости оцениваются от 6,5 до 8,8 по шкале CVSSv3.1 (открытый стандарт, используемый для расчета количественных оценок уязвимости в безопасности компьютерной системы).
Сама ClickHouse — это колоночная аналитическая СУБД с открытым кодом, позволяющая выполнять аналитические запросы в режиме реального времени на структурированных больших данных, разрабатываемая компанией Яндекс. Чаще всего она используется для получения визуальных отчетов и видеозаписей действий пользователей, а также для отслеживания источников трафика, чтобы помочь оценить эффективность онлайн и офлайн рекламы. Также она известна тем, что в 2019 году российский медицинский онлайн-сервис DOC+ умудрился оставить в открытом доступе базу данных ClickHouse с логами доступа. Кто угодно, зная IP-адрес, мог получить из нее данные.
Но вернемся к нашим уязвимостям. Сами они требуют аутентификации, но могут быть вызваны любым пользователем с разрешением на чтение. То есть, злоумышленник должен определиться с целью и произвести разведку на сервере ClickHouse для получения учетных данных. Причём не важно, насколько высокую привилегию будет иметь полученная учетная запись. Благодаря уязвимостям можно не только взломать сервер ClickHouse, но и произвести удаленное выполнение кода.
Самыми серьезными уязвимостями считаются CVE-2021-43304 и CVE-2021-43305, связанные с недостатками переполнения буфера кучи в кодеке сжатия LZ4, которые как раз и могут привести к удаленному выполнению кода. Отправляя запрос на уязвимый сервер ClickHouse, при отладке процесса сервера можно получить сбой, подтверждающий контроль над регистром указателей команд, поскольку код разветвляется на адрес, взятый из регистра RAX.
CVE-2021-42387 и CVE-2021-42388 в свою очередь связаны с ошибкой чтения за пределами кучи в кодеке сжатия LZ4. Они могут дать доступ к памяти за пределами границ буфера, что может привести к получению конфиденциальной информации или, в некоторых случаях, привести к сбою приложения из-за ошибки сегментации.
Оставшиеся уязвимости CVE-2021-42389, CVE-2021-42390 и CVE-2021-42391 — это ошибки деления на ноль в кодеке сжатия Delta, DeltaDouble и Gorilla, которые могут привести к отказу в обслуживании.
Чтобы не стать жертвой данных уязвимостей, советуется обновить ClickHouse до v21.10.2.15 версии или более поздней. Однако если обновление невозможно, стоит добавить правила брандмауэра на сервере, которые ограничат доступ к веб-порту (8123), а также связать порт TCP-сервера (9000) только для определенных клиентов.
@NeKaspersky
Исследователи из израильской софтверной компании JFrog Security, отвечающей за обслуживание программного обеспечения, обнаружили целых семь новых уязвимостей в системе управления базами данных с открытым исходным кодом ClickHouse. Данные уязвимости оцениваются от 6,5 до 8,8 по шкале CVSSv3.1 (открытый стандарт, используемый для расчета количественных оценок уязвимости в безопасности компьютерной системы).
Сама ClickHouse — это колоночная аналитическая СУБД с открытым кодом, позволяющая выполнять аналитические запросы в режиме реального времени на структурированных больших данных, разрабатываемая компанией Яндекс. Чаще всего она используется для получения визуальных отчетов и видеозаписей действий пользователей, а также для отслеживания источников трафика, чтобы помочь оценить эффективность онлайн и офлайн рекламы. Также она известна тем, что в 2019 году российский медицинский онлайн-сервис DOC+ умудрился оставить в открытом доступе базу данных ClickHouse с логами доступа. Кто угодно, зная IP-адрес, мог получить из нее данные.
Но вернемся к нашим уязвимостям. Сами они требуют аутентификации, но могут быть вызваны любым пользователем с разрешением на чтение. То есть, злоумышленник должен определиться с целью и произвести разведку на сервере ClickHouse для получения учетных данных. Причём не важно, насколько высокую привилегию будет иметь полученная учетная запись. Благодаря уязвимостям можно не только взломать сервер ClickHouse, но и произвести удаленное выполнение кода.
Самыми серьезными уязвимостями считаются CVE-2021-43304 и CVE-2021-43305, связанные с недостатками переполнения буфера кучи в кодеке сжатия LZ4, которые как раз и могут привести к удаленному выполнению кода. Отправляя запрос на уязвимый сервер ClickHouse, при отладке процесса сервера можно получить сбой, подтверждающий контроль над регистром указателей команд, поскольку код разветвляется на адрес, взятый из регистра RAX.
CVE-2021-42387 и CVE-2021-42388 в свою очередь связаны с ошибкой чтения за пределами кучи в кодеке сжатия LZ4. Они могут дать доступ к памяти за пределами границ буфера, что может привести к получению конфиденциальной информации или, в некоторых случаях, привести к сбою приложения из-за ошибки сегментации.
Оставшиеся уязвимости CVE-2021-42389, CVE-2021-42390 и CVE-2021-42391 — это ошибки деления на ноль в кодеке сжатия Delta, DeltaDouble и Gorilla, которые могут привести к отказу в обслуживании.
Чтобы не стать жертвой данных уязвимостей, советуется обновить ClickHouse до v21.10.2.15 версии или более поздней. Однако если обновление невозможно, стоит добавить правила брандмауэра на сервере, которые ограничат доступ к веб-порту (8123), а также связать порт TCP-сервера (9000) только для определенных клиентов.
@NeKaspersky
😱6👍4
TrickBot начал использовать скомпрометированные IoT-устройства в качестве прокси для C2
По словам MSTIC (Центра анализа угроз Microsoft), недавно сообщивших об этом нововведении, для этого юзают скомпрометированные роутеры MikroTik. Трафик на такие девайсы идет через нестандартные порты, что позволяет TrickBot избегать обнаружения стандартными системами безопасности.
Компрометация маршрутизаторов происходит с использованием комбинации методов, а именно проверки паролей по умолчанию, банального брутфорса и эксплуатации CVE-2018-14847, исправленной уязвимости в RouterOS. После вредонос меняет пароль доступа к админке для сохранения доступа к взломанным девайсам. Далее вредонос редиректит трафик между 449 и 80 портами, создавая таким образом тоннель связи зараженных девайсов и C2.
Сам TrickBot дебютировал как банковский троян в далеком 2016 году и в дальнейшем благодаря модульной архитектуре, позволяющей адаптироваться к различным сетям/девайсам, превратился в сложный и устойчивый вредонос. Его операторы также продавали доступ к корпоративным сетям и заргузку на зараженные машины различных пейлодов, вроде рансомвари Conti. Что интересно, на текущий момент улучшение функционала ботнета происходят на фоне сообщений о переходе инфраструктуры TrickBot в автономный режим (из-за объединения с Conti).
@NeKaspersky
По словам MSTIC (Центра анализа угроз Microsoft), недавно сообщивших об этом нововведении, для этого юзают скомпрометированные роутеры MikroTik. Трафик на такие девайсы идет через нестандартные порты, что позволяет TrickBot избегать обнаружения стандартными системами безопасности.
Компрометация маршрутизаторов происходит с использованием комбинации методов, а именно проверки паролей по умолчанию, банального брутфорса и эксплуатации CVE-2018-14847, исправленной уязвимости в RouterOS. После вредонос меняет пароль доступа к админке для сохранения доступа к взломанным девайсам. Далее вредонос редиректит трафик между 449 и 80 портами, создавая таким образом тоннель связи зараженных девайсов и C2.
Сам TrickBot дебютировал как банковский троян в далеком 2016 году и в дальнейшем благодаря модульной архитектуре, позволяющей адаптироваться к различным сетям/девайсам, превратился в сложный и устойчивый вредонос. Его операторы также продавали доступ к корпоративным сетям и заргузку на зараженные машины различных пейлодов, вроде рансомвари Conti. Что интересно, на текущий момент улучшение функционала ботнета происходят на фоне сообщений о переходе инфраструктуры TrickBot в автономный режим (из-за объединения с Conti).
@NeKaspersky
👍7
Open source, который мы заслужили
Разработчик из США добавил в популярный open source пакет вредоносный код, который заменяет данные пользователей из России и Белоруссии на эмодзи сердечка.
Код появился в новых версиях библиотеки без предупреждения, из-за чего многие лишились своих проектов.
Теперь к разработчику и комьюнити потеряли доверие. Его мирный протест оказался вредительством.
Кстати, код определяет IP-адрес, но вы же знаете, как его скрыть?
Имя разработчика: Брэндон Нозаки Миллер с ником RIAEvangelist
@NeKaspersky
Разработчик из США добавил в популярный open source пакет вредоносный код, который заменяет данные пользователей из России и Белоруссии на эмодзи сердечка.
Код появился в новых версиях библиотеки без предупреждения, из-за чего многие лишились своих проектов.
Теперь к разработчику и комьюнити потеряли доверие. Его мирный протест оказался вредительством.
Кстати, код определяет IP-адрес, но вы же знаете, как его скрыть?
Имя разработчика: Брэндон Нозаки Миллер с ником RIAEvangelist
@NeKaspersky
💩34👍6🤮3❤1