Правоохранители отчитались об успешном рейде на RaidForums
RaidForums был весьма популярным хакерским форумом и использовался в основном для торговли крадеными бд. Сравнительно давно форум стал необычно себя вести, и вот, опасения его пользователей подтвердились: рейд был закрыт правоохранительными органами США, Соединенного Королевства, Швеции, Португалии и Румынии в ходе операции «TOURNIQUET», координируемой Европолом. Также в их руки попал контроль над тремя доменами: «raidforums[.]com» , «rf[.]ws» и «raid[.]lol».
Носители как черных, так и белых шляп впервые заподозрили неладное еще в феврале, когда при попытке просмотра любой темы начала отображаться (вероятно, фишинговая) страница входа в учетную запись, причем ввод верных креденшлов никак не менял поведение форума. Также 27 февраля 2022 года DNS-серверы raidforums внезапно изменились на «jocelyn[.]ns[.]cloudflare[.]com» и «plato[.]ns[.]cloudflare[.]com», ранее всплывавшие на других захваченных сайтах, что никак не способствовало спаду подозрений.
Администратор и основатель RaidForums, португалец Диого Сантуш Коэлью (aka Omnipotent), с момента ареста 31 января находится под стражей в Британии. На текущий момент решается вопрос о его экстрадиции. Министерство юстиции США сообщили, что Коэльо 21 год, откуда следует, что на момент старта RaidForums в 2015 году ему было всего 14 лет.
Форум монетизировался за счет платного продвижения пользователей и продажи кредитов, которые позволяли участникам получать доступ к привилегированным разделам сайта или украденным данным, размещенным на форуме. Omnipotent также выступал в качестве гаранта между участниками сделок, чтобы обеспечить пользователям уверенность в том, что покупатели и продавцы будут соблюдать свое соглашение.
@NeKaspersky
RaidForums был весьма популярным хакерским форумом и использовался в основном для торговли крадеными бд. Сравнительно давно форум стал необычно себя вести, и вот, опасения его пользователей подтвердились: рейд был закрыт правоохранительными органами США, Соединенного Королевства, Швеции, Португалии и Румынии в ходе операции «TOURNIQUET», координируемой Европолом. Также в их руки попал контроль над тремя доменами: «raidforums[.]com» , «rf[.]ws» и «raid[.]lol».
Носители как черных, так и белых шляп впервые заподозрили неладное еще в феврале, когда при попытке просмотра любой темы начала отображаться (вероятно, фишинговая) страница входа в учетную запись, причем ввод верных креденшлов никак не менял поведение форума. Также 27 февраля 2022 года DNS-серверы raidforums внезапно изменились на «jocelyn[.]ns[.]cloudflare[.]com» и «plato[.]ns[.]cloudflare[.]com», ранее всплывавшие на других захваченных сайтах, что никак не способствовало спаду подозрений.
Администратор и основатель RaidForums, португалец Диого Сантуш Коэлью (aka Omnipotent), с момента ареста 31 января находится под стражей в Британии. На текущий момент решается вопрос о его экстрадиции. Министерство юстиции США сообщили, что Коэльо 21 год, откуда следует, что на момент старта RaidForums в 2015 году ему было всего 14 лет.
Форум монетизировался за счет платного продвижения пользователей и продажи кредитов, которые позволяли участникам получать доступ к привилегированным разделам сайта или украденным данным, размещенным на форуме. Omnipotent также выступал в качестве гаранта между участниками сделок, чтобы обеспечить пользователям уверенность в том, что покупатели и продавцы будут соблюдать свое соглашение.
@NeKaspersky
👍5👎5
ФСТЭК тем временем приостановила и отозвала несколько десятков сертификатов соответствия требованиям безопасности.
Причём, отозвали сертификаты даже у тех компаний, которые успели ответить и поклясться, что все уязвимости будут по-прежнему устранять, и поддержка решений для России сохранится.
Плюсы у этого есть. Меньше ИБ игроков на рынке — меньше конкуренции. Появится своя «большая четверка» в отрасли, а кто-то из ФСТЭК довольно получит конверт наличных или перевод в Monero за содействие в делении рынка.
Конечно, если вы более наивны, можете верить, что ФСТЭК просто усердно отстаивает интересы российской ИБ отрасли.
@NeKaspersky
Причём, отозвали сертификаты даже у тех компаний, которые успели ответить и поклясться, что все уязвимости будут по-прежнему устранять, и поддержка решений для России сохранится.
Плюсы у этого есть. Меньше ИБ игроков на рынке — меньше конкуренции. Появится своя «большая четверка» в отрасли, а кто-то из ФСТЭК довольно получит конверт наличных или перевод в Monero за содействие в делении рынка.
Конечно, если вы более наивны, можете верить, что ФСТЭК просто усердно отстаивает интересы российской ИБ отрасли.
@NeKaspersky
😁7👍5❤2🤬1
Найден вредонос, запускающийся через скрытые задачи в планировщике Windows
Специалисты Microsoft Detection and Response Team (DART), следящие за активностью китайской Hafnium, в сегодняшнем блогпосте сообщили о появлении в арсенале группировки малвари Tarrask, заточенной под избегание обнаружения различными средствами защиты. Вредонос также эксплуатирует несколько непропатченных 0-day, один из которых и позволяет создавать скрытые задачи.
Чтобы понять, что вообще происходит, DART предлагают взглянуть на то, как реализовано создание тасков. Когда пользователь инициирует данную операцию, в реестре создаются ключи, расположенные в
Tarrask создает задачу с названием
Что интересно, злоумышленники могли просто-напросто удалить файлы после запуска задачи, но предпочли этого не делать, вероятно, для сохранения вредоноса после перезагрузки.
@NeKaspersky
Специалисты Microsoft Detection and Response Team (DART), следящие за активностью китайской Hafnium, в сегодняшнем блогпосте сообщили о появлении в арсенале группировки малвари Tarrask, заточенной под избегание обнаружения различными средствами защиты. Вредонос также эксплуатирует несколько непропатченных 0-day, один из которых и позволяет создавать скрытые задачи.
Чтобы понять, что вообще происходит, DART предлагают взглянуть на то, как реализовано создание тасков. Когда пользователь инициирует данную операцию, в реестре создаются ключи, расположенные в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TASK_NAME и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{GUID}. Первый сопоставляет название задачи (TASK_NAME) трем значениям, Id, Index и SD (Id мапится к GUID), в то время как второй хранит информацию о задаче (что делать, когда делать, кто и когда создал задачу и т.п.).Tarrask создает задачу с названием
WinUpdate, которая позволяет ему перезапускаться, когда пропадает соединение с C2-сервером. Однако далее он удаляет ключ SD (расшифровывается как «Security Descriptor»), указывающий, какие пользователи могут запускать конкретный таск, что по какой-то причине прячет задачу от графического Планировщика задач и его консольного аналога schtasks. Что интересно, ключ нельзя просто так взять и удалить даже с правами администратора, для этого нужен доступ уровня SYSTEM. Чтобы исправить это досадное недоразумение, вредонос ворует токены lsass.exe, тем самым получая его привилегии и, как следствие, возможность снести ключ.Что интересно, злоумышленники могли просто-напросто удалить файлы после запуска задачи, но предпочли этого не делать, вероятно, для сохранения вредоноса после перезагрузки.
@NeKaspersky
👍4
Вторник патчей от Microsoft: пофиксили 128 уязвимостей в Windows и в ряде ее компонентов.
PartchTuesday затронул 128 уязвимостей, среди которых 10 были критическими (как минимум две были известны до выхода патчей, и как минимум одна из них уже активно эксплуатировалась неизвестными злоумышленниками), три — червеобразными и позволяли выполнить код без взаимодействия с пользователем.
Рассмотрим, какие уязвимости представляли из себя наибольшую опасность. Самую высокую оценку CVSS:3.1 в целых 9.8 балла присвоили уязвимости CVE-2022-26809. Связана она с библиотекой среды выполнения (Remote Procedure Call Runtime Library) Windows и позволяла злоумышленнику выполнить код с высокими правами. Её и CVE-2022-24491 и CVE-2022-24497 (связанных с протоколом сетевого доступа к файловым системам Windows Network File System) считали червеобразными, то есть они могли быть использованы для самостоятельного распространения эксплойтов по сети.
Далее по оценке, но никак не по значимости идет CVE-2022-24521 с рейтингом CVSS:3.1 в 7.8. Уязвимость стала известна еще до обновлений и активно эксплуатировалась злоумышленниками. Благодаря простоте использования, она считалась довольно опасной для пользователей. Находилась она в драйвере подсистемы CLFS (Common Log File System) Windows и была связана с повышением уровня доступа.
CVE-2022-26904 — уязвимость службы профилей пользователей Windows (Windows User Profile Service), связанная с повышением привилегий. Ей была присвоена оценка в 7.0 балла по шкале CVSS:3.1. Также были известны случаи использования уязвимости задолго до обновлений.
Рекомендуем как можно скорее обновить операционную систему и прочие продукты. В общей сложности патчи затронули Microsoft Windows и его компоненты: Microsoft Defender, Microsoft Dynamics, Microsoft Edge, Exchange Server, Office, SharePoint Server, Windows Hyper-V, DNS-сервер, Skype, .NET, Visual Studio, Windows App Store.
Большинство исправленных уязвимостей имеют экспериментальные эксплойты, которые находятся в общем доступе. Поэтому есть вероятность, что злоумышленники начнут их эксплуатировать.
@NeKaspersky
PartchTuesday затронул 128 уязвимостей, среди которых 10 были критическими (как минимум две были известны до выхода патчей, и как минимум одна из них уже активно эксплуатировалась неизвестными злоумышленниками), три — червеобразными и позволяли выполнить код без взаимодействия с пользователем.
Рассмотрим, какие уязвимости представляли из себя наибольшую опасность. Самую высокую оценку CVSS:3.1 в целых 9.8 балла присвоили уязвимости CVE-2022-26809. Связана она с библиотекой среды выполнения (Remote Procedure Call Runtime Library) Windows и позволяла злоумышленнику выполнить код с высокими правами. Её и CVE-2022-24491 и CVE-2022-24497 (связанных с протоколом сетевого доступа к файловым системам Windows Network File System) считали червеобразными, то есть они могли быть использованы для самостоятельного распространения эксплойтов по сети.
Далее по оценке, но никак не по значимости идет CVE-2022-24521 с рейтингом CVSS:3.1 в 7.8. Уязвимость стала известна еще до обновлений и активно эксплуатировалась злоумышленниками. Благодаря простоте использования, она считалась довольно опасной для пользователей. Находилась она в драйвере подсистемы CLFS (Common Log File System) Windows и была связана с повышением уровня доступа.
CVE-2022-26904 — уязвимость службы профилей пользователей Windows (Windows User Profile Service), связанная с повышением привилегий. Ей была присвоена оценка в 7.0 балла по шкале CVSS:3.1. Также были известны случаи использования уязвимости задолго до обновлений.
Рекомендуем как можно скорее обновить операционную систему и прочие продукты. В общей сложности патчи затронули Microsoft Windows и его компоненты: Microsoft Defender, Microsoft Dynamics, Microsoft Edge, Exchange Server, Office, SharePoint Server, Windows Hyper-V, DNS-сервер, Skype, .NET, Visual Studio, Windows App Store.
Большинство исправленных уязвимостей имеют экспериментальные эксплойты, которые находятся в общем доступе. Поэтому есть вероятность, что злоумышленники начнут их эксплуатировать.
@NeKaspersky
Новый ботнет активно вербует маршрутизаторы и IoT-девайсы в свои ряды
Аналитики угроз из Fortinet обнаружили малварь «в дикой природе», проанализировали ее и опубликовали подробный технический отчет о ее функционале. По их словам, Enemybot построен на базе Mirai и распространяется за счет эксплуатации известных уязвимостей в роутерах и устройствах Интернета Вещей. Злоумышленники, стоящие за ботнетом, специализируется на крипто-майнинге и DDoS-атаках и активно используют ботов для достижения своих целей.
Enemybot использует обфускацию строк, в то время как его C2 прячется в сети Tor, поэтому обезглавить ботнет в настоящее время проблематично. Сразу после заражения очередного девайса вредонос устанавливает соединение с C2 и ожидает поступления команд. Большинство из них связаны с DDoS-атаками, но возможности ботнета этим не ограничиваются. Благодаря косячной конфигурации сервера, с которого качались бинарники Enemybot, исследователям удалось выявить список целевых архитектур: на текущий момент Enemybot собран под x86, x64, i686, darwin, bsd, arm и arm64, ppc, m68k и spc.
Что касается целевых уязвимостей, Fortinet рассказали, что 3 CVE используются всеми сборками вредоноса:
• CVE-2020-17456: RCE в маршрутизаторах Seowon Intech SLC-130 и SLR-120S (CVSS 9.8).
• CVE-2018-10823: RCE в D-Link DWR (CVSS 8.8).
• CVE-2022-27226: инъекция произвольной cronjob (один из никсовых демонов автостарта) в маршрутизаторах iRZ (CVSS 8.8).
Другие эксплуатируются лишь некоторыми версиями вредоноса: CVE-2022-25075-25084 в TOTOLINK, CVE-2021-44228/2021-45046 (Log4Shell), CVE-2021-41773/CVE-2021-42013 в HTTP-серверах Apache, CVE-2018-20062 в ThinkPHP CMS, CVE-2017-18368 в Zyxel P660HN, CVE-2016-6277 в маршрутизаторах NETGEAR, CVE-2015-2051 в маршрутизаторах D-Link и
CVE-2014-9118 в маршрутизаторах Zhone.
@NeKaspersky
Аналитики угроз из Fortinet обнаружили малварь «в дикой природе», проанализировали ее и опубликовали подробный технический отчет о ее функционале. По их словам, Enemybot построен на базе Mirai и распространяется за счет эксплуатации известных уязвимостей в роутерах и устройствах Интернета Вещей. Злоумышленники, стоящие за ботнетом, специализируется на крипто-майнинге и DDoS-атаках и активно используют ботов для достижения своих целей.
Enemybot использует обфускацию строк, в то время как его C2 прячется в сети Tor, поэтому обезглавить ботнет в настоящее время проблематично. Сразу после заражения очередного девайса вредонос устанавливает соединение с C2 и ожидает поступления команд. Большинство из них связаны с DDoS-атаками, но возможности ботнета этим не ограничиваются. Благодаря косячной конфигурации сервера, с которого качались бинарники Enemybot, исследователям удалось выявить список целевых архитектур: на текущий момент Enemybot собран под x86, x64, i686, darwin, bsd, arm и arm64, ppc, m68k и spc.
Что касается целевых уязвимостей, Fortinet рассказали, что 3 CVE используются всеми сборками вредоноса:
• CVE-2020-17456: RCE в маршрутизаторах Seowon Intech SLC-130 и SLR-120S (CVSS 9.8).
• CVE-2018-10823: RCE в D-Link DWR (CVSS 8.8).
• CVE-2022-27226: инъекция произвольной cronjob (один из никсовых демонов автостарта) в маршрутизаторах iRZ (CVSS 8.8).
Другие эксплуатируются лишь некоторыми версиями вредоноса: CVE-2022-25075-25084 в TOTOLINK, CVE-2021-44228/2021-45046 (Log4Shell), CVE-2021-41773/CVE-2021-42013 в HTTP-серверах Apache, CVE-2018-20062 в ThinkPHP CMS, CVE-2017-18368 в Zyxel P660HN, CVE-2016-6277 в маршрутизаторах NETGEAR, CVE-2015-2051 в маршрутизаторах D-Link и
CVE-2014-9118 в маршрутизаторах Zhone.
@NeKaspersky
Сегодня ГК Innostage совместно с Лабораторией Касперского и компанией Indeed проводила семинар по корпоративной Кибербезопасности.
Вот основные тезисы блока по повышению осведомленности сотрудников в области ИБ на объектах критической информационной инфраструктуры. Из выступления консультанта по ИБ ГК Innostage Ильи Колесова:
1. Фишинг занимает подавляющую долю среди способов проникновения в инфраструктуру.
2. Возникают новые способы фишинговых атак в связи с последними событиями в мире.
3. РФ в топе по фишинговым атакам и объекты КИИ больше остальных подвержены атакам.
4. Для предотвращения фишинговых атак не хватает разовых обучений, необходим комплекс мер с процессным подходом - регулярное обучение, тестирование знаний и навыков.
5. Без автоматизации реализовать такой процесс в крупных компаниях нереально.
@NeKaspersky
Вот основные тезисы блока по повышению осведомленности сотрудников в области ИБ на объектах критической информационной инфраструктуры. Из выступления консультанта по ИБ ГК Innostage Ильи Колесова:
1. Фишинг занимает подавляющую долю среди способов проникновения в инфраструктуру.
2. Возникают новые способы фишинговых атак в связи с последними событиями в мире.
3. РФ в топе по фишинговым атакам и объекты КИИ больше остальных подвержены атакам.
4. Для предотвращения фишинговых атак не хватает разовых обучений, необходим комплекс мер с процессным подходом - регулярное обучение, тестирование знаний и навыков.
5. Без автоматизации реализовать такой процесс в крупных компаниях нереально.
@NeKaspersky
👍19
Если Роскомнадзор ругает Лукацкий, а не Климарев, как это обычно бывает, что-то в мире точно изменилось.
https://t.me/alukatsky/5442
https://t.me/alukatsky/5442
Telegram
Пост Лукацкого
Вот же идиоты - Роскомнадзор может заблокировать SpeedTest из-за нарушения закона о персональных данных, так как по мнению РКН SpeedTest собирает данные об IP-адресах российских посетителей и не хранит их в России.
На таком основании можно спокойно запрещать…
На таком основании можно спокойно запрещать…
😁18👍1
Клиент амазоновского AWS VPN мог помочь повысить привилегии до SYSTEM
Баг, получивший идентификатор CVE-2022-25166, нашли исследователи безопасности из Rhino Security labs. Он заключается в том, что AWS VPN Client, работающий с привилегиями системы, является оберткой для OpenVPN, конфиг которого в свою очередь имеет ряд опасных директив, вроде кастомного пути для записи логов. Очевидно, никто не хочет, чтобы привилегированный процесс мог писать в любой файл в системе, поэтому AWS VPN Client пытается проверить конфиг на наличие недопустимых директив.
Проблема, однако, заключается в том, что проверка выполняется до запуска OpenVPN, и, как следствие, возникает состояние гонки. Иными словами, если злоумышленнику удастся изменить конфиг после проверки AWS VPN, но до запуска OpenVPN, логи будут записаны в нужный ему файл. Сделать это достаточно просто: исследователи, например, написали Powershell-скрипт, который мониторит доступ к конфигу и после успешной проверки дописывает вредоносную директиву. Также у злоумышленника есть частичный контроль над содержимым логов, что, например, позволяет ему записать свой вредоносный скрипт в папку автозагрузки админа.
@NeKaspersky
Баг, получивший идентификатор CVE-2022-25166, нашли исследователи безопасности из Rhino Security labs. Он заключается в том, что AWS VPN Client, работающий с привилегиями системы, является оберткой для OpenVPN, конфиг которого в свою очередь имеет ряд опасных директив, вроде кастомного пути для записи логов. Очевидно, никто не хочет, чтобы привилегированный процесс мог писать в любой файл в системе, поэтому AWS VPN Client пытается проверить конфиг на наличие недопустимых директив.
Проблема, однако, заключается в том, что проверка выполняется до запуска OpenVPN, и, как следствие, возникает состояние гонки. Иными словами, если злоумышленнику удастся изменить конфиг после проверки AWS VPN, но до запуска OpenVPN, логи будут записаны в нужный ему файл. Сделать это достаточно просто: исследователи, например, написали Powershell-скрипт, который мониторит доступ к конфигу и после успешной проверки дописывает вредоносную директиву. Также у злоумышленника есть частичный контроль над содержимым логов, что, например, позволяет ему записать свой вредоносный скрипт в папку автозагрузки админа.
@NeKaspersky
👍7
GitHub блокирует аккаунты россиян
13 апреля GitHub начал блокировать аккаунты российских компаний и разработчиков. Среди жертв GitHub — аккаунты Сбербанка, Альфа-Банка и др.
Под бульдозер блокировки попали аккаунты Sberbank-Technology, sberbank-ai-lab, alfa-laboratory.
Пользователи, по имеющейся информации, не были предупреждены о блокировке и получали сообщение об этом постфактум.
13 апреля GitHub начал блокировать аккаунты российских компаний и разработчиков. Среди жертв GitHub — аккаунты Сбербанка, Альфа-Банка и др.
Под бульдозер блокировки попали аккаунты Sberbank-Technology, sberbank-ai-lab, alfa-laboratory.
Пользователи, по имеющейся информации, не были предупреждены о блокировке и получали сообщение об этом постфактум.
🤬28👍6❤3👎3😁2😱2🤮2
Софт для видеоконференций может слушать пользователей даже когда микрофон замьючен
С такими неутешительными выводами выступили исследователи из Висконсинского университета в Мадисоне и LUC, проанализировавшие поведение популярных приложений на предмет подслушивания за пользователем. Рассмотрели поведение следующего софта: Zoom, Slack, MS Teams/Skype, Google Meet, Cisco Webex, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet и Discord под windows, macos и linux.
Команда отслеживала обращения приложений к аудиодрайверу ОС и таким образом смогла определить, какие изменения на самом деле (не) происходили, когда пользователь нажимал кнопку «отключить звук». В итоге хуже всех себя повел Webex, продолживший слать на сервера весь аудиофид как ни в чем не бывало. Подавляющее большинство нативных клиентов также временами проверяют состояние микрофона, но не слушают напрямую: вместо этого они читают статус микрофона, т.е. «silent», «data discontinuity» или «timestamp error». Таким образом софт может узнать, говорит ли пользователь с замьюченным микрофоном. Что касается браузерных версий приложений, они пользуются встроенными API, которые, по словам исследователей, не читают аудиофид понапрасну.
Что интересно, исследователи указали, что даже чтение состояния микрофона можно использовать для классификации того, что пользователь делает в 82% случаев, если воспользоваться AI и достаточным количеством блесток. Например, им удалось определить набор текста на клавиатуре, приготовление и прием пищи, прослушивание классической музыки, уборку и собачий лай.
В общем, полагайтесь для мьюта на средства ОС или хардварные возможности микрофона, а не честность используемого софта.
@NeKaspersky
С такими неутешительными выводами выступили исследователи из Висконсинского университета в Мадисоне и LUC, проанализировавшие поведение популярных приложений на предмет подслушивания за пользователем. Рассмотрели поведение следующего софта: Zoom, Slack, MS Teams/Skype, Google Meet, Cisco Webex, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet и Discord под windows, macos и linux.
Команда отслеживала обращения приложений к аудиодрайверу ОС и таким образом смогла определить, какие изменения на самом деле (не) происходили, когда пользователь нажимал кнопку «отключить звук». В итоге хуже всех себя повел Webex, продолживший слать на сервера весь аудиофид как ни в чем не бывало. Подавляющее большинство нативных клиентов также временами проверяют состояние микрофона, но не слушают напрямую: вместо этого они читают статус микрофона, т.е. «silent», «data discontinuity» или «timestamp error». Таким образом софт может узнать, говорит ли пользователь с замьюченным микрофоном. Что касается браузерных версий приложений, они пользуются встроенными API, которые, по словам исследователей, не читают аудиофид понапрасну.
Что интересно, исследователи указали, что даже чтение состояния микрофона можно использовать для классификации того, что пользователь делает в 82% случаев, если воспользоваться AI и достаточным количеством блесток. Например, им удалось определить набор текста на клавиатуре, приготовление и прием пищи, прослушивание классической музыки, уборку и собачий лай.
В общем, полагайтесь для мьюта на средства ОС или хардварные возможности микрофона, а не честность используемого софта.
@NeKaspersky
👍3🔥2
Новая уязвимость в девайсах от Cisco позволяет хакерам создавать свои креденшлы (с блек джеком и...)
О баге CVE-2022-20695 в софте контроллера беспроводной локальной сети (WLC), получившем внушительную десятку по CVSS, поведали сами Cisco и, конечно же, посоветовали всем поскорее обновиться. Уязвимость вызвана косяком в реализации алгоритма валидации пароля и позволяет обойти аутентификацию на определенных девайсах с нестандартной конфигурацией, причем созданные креденшлы могут дать различные привилегии, потенциально вплоть до админских.
По словам Cisco, баг затрагивает продукты, работающие под управлением Cisco WLC 8.10.151.0 или 8.10.162.0 в случае, когда параметр «macfilter radius compatibility» установлен в «Other». Хардварно под описание подходят следующие девайсы:
• Wireless Controller 3504, 5520 и 8540
• Mobility Express
• Virtual Wireless Controller (vWLC)
Также опубликован список незатронутых устройств:
• Catalyst 9800 Embedded Wireless Controller for Catalyst 9300, 9400, and 9500 Series Switches
• Catalyst 9800 Series Wireless Controllers
• Catalyst 9800 Wireless Controller for Cloud
• Embedded Wireless Controller on Catalyst Access Points
• Wireless LAN Controller (WLC) AireOS products not listed in the Vulnerable Products section
Обновление до билда 8.10.171.0 или более поздней версии фиксит багу вне зависимости от софтварной конфигурации устройств.
Тем, кто не может обновиться, Cisco предложили сбросить macfilter radius compatibility до значения по умолчанию (выполнив
@NeKaspersky
О баге CVE-2022-20695 в софте контроллера беспроводной локальной сети (WLC), получившем внушительную десятку по CVSS, поведали сами Cisco и, конечно же, посоветовали всем поскорее обновиться. Уязвимость вызвана косяком в реализации алгоритма валидации пароля и позволяет обойти аутентификацию на определенных девайсах с нестандартной конфигурацией, причем созданные креденшлы могут дать различные привилегии, потенциально вплоть до админских.
По словам Cisco, баг затрагивает продукты, работающие под управлением Cisco WLC 8.10.151.0 или 8.10.162.0 в случае, когда параметр «macfilter radius compatibility» установлен в «Other». Хардварно под описание подходят следующие девайсы:
• Wireless Controller 3504, 5520 и 8540
• Mobility Express
• Virtual Wireless Controller (vWLC)
Также опубликован список незатронутых устройств:
• Catalyst 9800 Embedded Wireless Controller for Catalyst 9300, 9400, and 9500 Series Switches
• Catalyst 9800 Series Wireless Controllers
• Catalyst 9800 Wireless Controller for Cloud
• Embedded Wireless Controller on Catalyst Access Points
• Wireless LAN Controller (WLC) AireOS products not listed in the Vulnerable Products section
Обновление до билда 8.10.171.0 или более поздней версии фиксит багу вне зависимости от софтварной конфигурации устройств.
Тем, кто не может обновиться, Cisco предложили сбросить macfilter radius compatibility до значения по умолчанию (выполнив
config macfilter radius-compat cisco) или других безопасных режимов, вроде "free" (config macfilter radius-compat free).@NeKaspersky
👍4
Злоумышленники вламываются в GitHub-аккаунты организаций, используя украденные OAuth-токены
Кампанию обнаружила СБ GitHub 12 апреля, когда злоумышленник использовал скомпрометированный ключ AWS API для получения доступа к продакшн-инфраструктуре npm компании. Злоумышленник, вероятно, нашел ключ в приватных репозиториях npm, доступ к которым был получен с исплоьзованием украденных токенов OAuth.
Все (свои) подозрительные токены моментально отозвали и начали расследование, в ходе которого выяснилось, что, хакеры успели украсть данные десятков организаций. На текущий момент в атаках замечены токены следующих приложений:
• Heroku Dashboard (ID: 145909 и 628778)
• Heroku Dashboard – Preview (ID: 313468)
• Heroku Dashboard – Classic (ID: 363831)
• Travis CI (ID: 9216)
Целью, скорее всего, также была кража других токенов или API-ключей, потенциально лежащих в скомпрометированных репах. Те в свою очередь могут использоваться для доступа к инфраструктуре пострадавших организаций и, скажем, проведения supply chain-атак. По словам GitHub, кампания не является следствием компрометации систем самого GitHub, поскольку токены там не хранятся в первоначальном, пригодном для использования виде.
Что касается npm-реп GitHub-а, они, похоже, не пострадали.
@NeKaspersky
Кампанию обнаружила СБ GitHub 12 апреля, когда злоумышленник использовал скомпрометированный ключ AWS API для получения доступа к продакшн-инфраструктуре npm компании. Злоумышленник, вероятно, нашел ключ в приватных репозиториях npm, доступ к которым был получен с исплоьзованием украденных токенов OAuth.
Все (свои) подозрительные токены моментально отозвали и начали расследование, в ходе которого выяснилось, что, хакеры успели украсть данные десятков организаций. На текущий момент в атаках замечены токены следующих приложений:
• Heroku Dashboard (ID: 145909 и 628778)
• Heroku Dashboard – Preview (ID: 313468)
• Heroku Dashboard – Classic (ID: 363831)
• Travis CI (ID: 9216)
Целью, скорее всего, также была кража других токенов или API-ключей, потенциально лежащих в скомпрометированных репах. Те в свою очередь могут использоваться для доступа к инфраструктуре пострадавших организаций и, скажем, проведения supply chain-атак. По словам GitHub, кампания не является следствием компрометации систем самого GitHub, поскольку токены там не хранятся в первоначальном, пригодном для использования виде.
Что касается npm-реп GitHub-а, они, похоже, не пострадали.
@NeKaspersky
👍3
Forwarded from Пост Лукацкого
Мне тут намекнули солидные люди, что я много критикую регулятора, а в нынешнее неспокойное время это неправильно и надо быть конструктивнее. Критикуя, предлагай! А что, и предложу.
Предлагаю одному из наших регуляторов по ИБ убрать со своего сайта символику одной американской компании, деятельность которой то ли признана в России экстремистской, то ли нет (в списке Минюста она отсутствует), но при этом деятельность ее точно запрещена судом. Да и символику другой соцсети, прекратившей свое существование уже 3 года назад, тоже можно убрать. А то как-то некрасиво получается - доступ с зарубежных IP-адресов запрещают, а иконки, ведущие на зарубежные IP-адреса размещают.
Все, предложил. Выдохнул. Теперь можно снова критиковать ;-)
Предлагаю одному из наших регуляторов по ИБ убрать со своего сайта символику одной американской компании, деятельность которой то ли признана в России экстремистской, то ли нет (в списке Минюста она отсутствует), но при этом деятельность ее точно запрещена судом. Да и символику другой соцсети, прекратившей свое существование уже 3 года назад, тоже можно убрать. А то как-то некрасиво получается - доступ с зарубежных IP-адресов запрещают, а иконки, ведущие на зарубежные IP-адреса размещают.
Все, предложил. Выдохнул. Теперь можно снова критиковать ;-)
😁32👍6💩4❤1
KILLNET требуют от властей Польши прекратить поставки оружия на Украину. Судя по всему, хакеры сейчас DDoSят сайты международных аэропортов в Польше.
👍30🤮10😁3💩2
Российский аналог Instagram Грустнограм появился в AppStore и Google Play. Он создан для грустных людей.
Google Play
Грустнограм - Apps on Google Play
Share your real
😁11👎2👍1🔥1
0day в 7zip под windows позволяет повысить привилегии до системы
Если кто не слышал, 7zip является (весьма удобным, надо сказать) FOSS-архиватором, что позволяет без потенциальных проблем с законом использовать его в коммерческих целях совершенно бесплатно.
Баг CVE-2022-29072 вызван неправильной настройкой прав для 7z.dll и переполнением кучи. В опубликованном PoC-видео автор перетаскивает созданный им .7z файл в окно Help → Contents, и архиватор спавнит cmd, запущенный с правами system*. 0day пока не исправлен, так что полный эксплойт в открытый доступ не выложен.
Разработчики 7-zip считают, что баг вызван майкрософтовским
На случай, если разработчики 7zip откажутся фиксить багу, исправить ее можно, например, удалив
*От админа до системы вполне легально повысились с помощью утилиты Sysinternals
Если кто не слышал, 7zip является (весьма удобным, надо сказать) FOSS-архиватором, что позволяет без потенциальных проблем с законом использовать его в коммерческих целях совершенно бесплатно.
Баг CVE-2022-29072 вызван неправильной настройкой прав для 7z.dll и переполнением кучи. В опубликованном PoC-видео автор перетаскивает созданный им .7z файл в окно Help → Contents, и архиватор спавнит cmd, запущенный с правами system*. 0day пока не исправлен, так что полный эксплойт в открытый доступ не выложен.
Разработчики 7-zip считают, что баг вызван майкрософтовским
hh.exe (который отображает окно справки): в софт, использующиий этот механизм, и раньше находили уязвимым к command injection (например, было с WinRAR). С другой стороны, если бы это было так, cmd был бы дочерним процессом hh.exe, а не архиватора. Также в описании уязвимости говорится, что внедренный код запускается от админа именно благодаря переполнению кучи в 7zFM.exe.На случай, если разработчики 7zip откажутся фиксить багу, исправить ее можно, например, удалив
7-zip.chm.*От админа до системы вполне легально повысились с помощью утилиты Sysinternals
psexec.
@NeKaspersky👍13😱3👎1😁1🤬1
NSO заметили за использованием нового zero-click эксплойта для ios
За обнаружение уязвимости, получившей название «HOMAGE», благодарить стоит экспертов из Citizen Lab, по словам которых проблема кроется в iMessage. Баг использовался для доставкиПринцессы Селестии Pegasus на айфоны под управлением iOS <13.2. Судя по тому, что заражений на версиях включая и выше 13.2 не наблюдается, Apple могли (случайно или намеренно) исправить уязвимость.
Среди жертв этих нападений Citizen Lab назвала каталонских членов Европейского парламента, каждого президента Каталонии с 2010 года, а также каталонских законодателей, юристов, журналистов и членов организаций гражданского общества и их семей. Исследователи не нашли достаточно доказательств, чтобы приписать атаки конкретному правительству, однако ряд косвенных улик указывает на тесную связь с одной или несколькими организациями в правительстве (кто бы мог подумать) Испании.
HOMAGE использовался в конце 2019 года и запускал инстанс WebKit в
В дальнейшем производилось определение модели телефона с помощью получения информации о разрешении экрана (в пикселях) и сравнение ее с забитыми в код значениями для различных моделей iPhone. Если совпадений несколько (например, расширения для X и Xs совпадают, если на последнем включен display zoom), вредонос измерял время, нужное для AES-шифрования буффера на 2^28 байт в CBC режиме. На Xs и дальше на операцию требуется менее 560ms.
Более подробной инфой об эксплойте (вместе с релевантными следами вредоноса) поделились с Apple.
@NeKaspersky
За обнаружение уязвимости, получившей название «HOMAGE», благодарить стоит экспертов из Citizen Lab, по словам которых проблема кроется в iMessage. Баг использовался для доставки
Среди жертв этих нападений Citizen Lab назвала каталонских членов Европейского парламента, каждого президента Каталонии с 2010 года, а также каталонских законодателей, юристов, журналистов и членов организаций гражданского общества и их семей. Исследователи не нашли достаточно доказательств, чтобы приписать атаки конкретному правительству, однако ряд косвенных улик указывает на тесную связь с одной или несколькими организациями в правительстве (кто бы мог подумать) Испании.
HOMAGE использовался в конце 2019 года и запускал инстанс WebKit в
com.apple.mediastream.mstreamd, далее эксплойт искал email Pegasus с помощью com.apple.private.alloy.photostream. Инстанс WebKit-а в дальшейшем использовался для получения вредоносного JavaScript (его исследователям удалось восстановить с одной из пострадавших звонилок). JS в свою очередь проводил ряд тестов и, в случае успеха, запускал эксплойт уже для WebKit.В дальнейшем производилось определение модели телефона с помощью получения информации о разрешении экрана (в пикселях) и сравнение ее с забитыми в код значениями для различных моделей iPhone. Если совпадений несколько (например, расширения для X и Xs совпадают, если на последнем включен display zoom), вредонос измерял время, нужное для AES-шифрования буффера на 2^28 байт в CBC режиме. На Xs и дальше на операцию требуется менее 560ms.
Более подробной инфой об эксплойте (вместе с релевантными следами вредоноса) поделились с Apple.
@NeKaspersky
🇷🇺🇦🇲Правительства России и Армении подписали соглашение о сотрудничестве в области обеспечения информационной безопасности
👍21💩7