REvil живее всех живых
Группировка, стоявшая за атакой на Kaseya и рядом ransomware-атак подала признаки жизни.
Сайт группировки появился в сети TOR. Создатели зарегистрировали новое onion-имя и продвигают его на русскоязычном хакерском форуме RuTOR. На площадку можно попасть через редирект с старого сайта утечек. На страницах сайта есть длинный список жертв прошлых атак и две свежие записи.
В январе ФСБ совместно с ФБР задержали 14 предполагаемых хакеров, а первые аресты в Западной Европе были произведены в октябре и ноябре 2021, но, вероятно, после небольшой паузы оставшиеся на свободе участники хакерской группировки возобновили деятельность.
@NeKaspersky
Группировка, стоявшая за атакой на Kaseya и рядом ransomware-атак подала признаки жизни.
Сайт группировки появился в сети TOR. Создатели зарегистрировали новое onion-имя и продвигают его на русскоязычном хакерском форуме RuTOR. На площадку можно попасть через редирект с старого сайта утечек. На страницах сайта есть длинный список жертв прошлых атак и две свежие записи.
В январе ФСБ совместно с ФБР задержали 14 предполагаемых хакеров, а первые аресты в Западной Европе были произведены в октябре и ноябре 2021, но, вероятно, после небольшой паузы оставшиеся на свободе участники хакерской группировки возобновили деятельность.
@NeKaspersky
👍7🔥4
В целых 10 раз выросло количество спам-писем, нацеленных на разные организации
Обнаружен резкий рост спам атак, нацеленных на организации разных стран. Данные спам-письма в основном содержат в себе два банковских трояна, таких как Qbot и Emotet, которые функционируют как часть сетей ботнетов.
За какой-то месяц (с февраля 2022 по март того же года) количество спам-писем с вредоносным содержимым выросло с 3000 писем, до 30000 т.е. в 10 раз. Столь резкий рост довольно сильно удивляет. Вероятно, он связан с растущей активностью Emotet botnet. Вредоносные электронные письма были обнаружены на английском, французском, венгерском, итальянском, норвежском, польском, русском, словенском и испанском языках.
Распространяемые банковские трояны Qbot и Emotet довольно известны. QakBot, также известный как QBot, QuackBot и Pinkslipbot, является банковским трояном, который существует уже более десяти лет. В последние годы стал одним из ведущих банковских троянов по всему миру. Его основная цель – украсть банковские учетные данные (например, логины, пароли и т. д.). Хотя он также приобрел функциональность, позволяющую ему шпионить за финансовыми операциями, распространять себя и устанавливать вымогателей, чтобы максимизировать доход от скомпрометированных организаций. Emotet, в свою очередь, получил известность в 2014 году. Тогда его основной функцией была кража учетных данных пользовательского банкинга. С тех пор вредонос пережил многочисленные преобразования, начал поставлять другие вредоносные программы и, наконец, стал мощным ботнетом. Т.е и QakBot, и Emotet могут украсть данные пользователей, включая данные корпоративной сети, установить трояны на других устройствах. Одной из функций Qbot также является кража доступа к электронной почте.
Кампания по распространению вредоносных программ структурирована следующим образом: киберпреступники перехватывают уже существующую корреспонденцию и отправляют получателям электронное письмо. Цель электронного письма – убедить пользователей либо перейти по ссылке, загрузить архивный документ и открыть его (иногда с помощью пароля, указанного в электронном письме, либо просто открыть вложение электронной почты). Чтобы убедить пользователей открыть или загрузить файл, злоумышленники обычно заявляют, что он содержит некоторую важную информацию, такую как коммерческое предложение.
Будьте бдительны при просмотре писем, приходящих к вам на почту, пользуйтесь антивирусным ПО и старайтесь не переходить по подозрительным ссылкам.
@NeKaspersky
Обнаружен резкий рост спам атак, нацеленных на организации разных стран. Данные спам-письма в основном содержат в себе два банковских трояна, таких как Qbot и Emotet, которые функционируют как часть сетей ботнетов.
За какой-то месяц (с февраля 2022 по март того же года) количество спам-писем с вредоносным содержимым выросло с 3000 писем, до 30000 т.е. в 10 раз. Столь резкий рост довольно сильно удивляет. Вероятно, он связан с растущей активностью Emotet botnet. Вредоносные электронные письма были обнаружены на английском, французском, венгерском, итальянском, норвежском, польском, русском, словенском и испанском языках.
Распространяемые банковские трояны Qbot и Emotet довольно известны. QakBot, также известный как QBot, QuackBot и Pinkslipbot, является банковским трояном, который существует уже более десяти лет. В последние годы стал одним из ведущих банковских троянов по всему миру. Его основная цель – украсть банковские учетные данные (например, логины, пароли и т. д.). Хотя он также приобрел функциональность, позволяющую ему шпионить за финансовыми операциями, распространять себя и устанавливать вымогателей, чтобы максимизировать доход от скомпрометированных организаций. Emotet, в свою очередь, получил известность в 2014 году. Тогда его основной функцией была кража учетных данных пользовательского банкинга. С тех пор вредонос пережил многочисленные преобразования, начал поставлять другие вредоносные программы и, наконец, стал мощным ботнетом. Т.е и QakBot, и Emotet могут украсть данные пользователей, включая данные корпоративной сети, установить трояны на других устройствах. Одной из функций Qbot также является кража доступа к электронной почте.
Кампания по распространению вредоносных программ структурирована следующим образом: киберпреступники перехватывают уже существующую корреспонденцию и отправляют получателям электронное письмо. Цель электронного письма – убедить пользователей либо перейти по ссылке, загрузить архивный документ и открыть его (иногда с помощью пароля, указанного в электронном письме, либо просто открыть вложение электронной почты). Чтобы убедить пользователей открыть или загрузить файл, злоумышленники обычно заявляют, что он содержит некоторую важную информацию, такую как коммерческое предложение.
Будьте бдительны при просмотре писем, приходящих к вам на почту, пользуйтесь антивирусным ПО и старайтесь не переходить по подозрительным ссылкам.
@NeKaspersky
👍6
В Jira исправили уязвимость, позволявшую обойти аутентификацию
О фиксе рассказали Atlassian, разработчики багтрекера, по словам которых ошибка пряталась в Seraph, фреймворке безопасности, используемом в Jira и Confluence для обработки запросов на вход в и выход из учетки.
Уязвимость получила идентификатор CVE-2022-0540 и некислые 9,9 по CVSS. Затронуты следующие продукты:
Jira Core Server, Software Server и Software Data Center версий < 8.13.18, 8.14 — 8.20.6 и 8.21;
Jira Service Management Server и Management Data Center < 4.13.18, 4.14 — 4.20.6, 4.21.
При этом в опасности только инстансы, сконфигурированные особым образом, а облачные версии вообще не пострадали.
Последствия эксплуатации также могут отличаться в зависимости от используемых приложений: например, некоторые из них делают дополнительные проверки разрешений пользователя, всецело не полагаясь на Seraph. Если в Jira вообще не используются приложения полагающиеся на уязвимый вариант конфигурации, степень опасности снижается до средней.
Наиболее простым способом обезопасить себя, как обычно, являются обновление затронутых продуктов. Если такой возможности нет, Atlassian рекомендует хотя бы обновить уязвимые приложения, если их авторы выпустили фикс, или отказаться от их использования, пока такая возможность не появится.
@NeKaspersky
О фиксе рассказали Atlassian, разработчики багтрекера, по словам которых ошибка пряталась в Seraph, фреймворке безопасности, используемом в Jira и Confluence для обработки запросов на вход в и выход из учетки.
Уязвимость получила идентификатор CVE-2022-0540 и некислые 9,9 по CVSS. Затронуты следующие продукты:
Jira Core Server, Software Server и Software Data Center версий < 8.13.18, 8.14 — 8.20.6 и 8.21;
Jira Service Management Server и Management Data Center < 4.13.18, 4.14 — 4.20.6, 4.21.
При этом в опасности только инстансы, сконфигурированные особым образом, а облачные версии вообще не пострадали.
Последствия эксплуатации также могут отличаться в зависимости от используемых приложений: например, некоторые из них делают дополнительные проверки разрешений пользователя, всецело не полагаясь на Seraph. Если в Jira вообще не используются приложения полагающиеся на уязвимый вариант конфигурации, степень опасности снижается до средней.
Наиболее простым способом обезопасить себя, как обычно, являются обновление затронутых продуктов. Если такой возможности нет, Atlassian рекомендует хотя бы обновить уязвимые приложения, если их авторы выпустили фикс, или отказаться от их использования, пока такая возможность не появится.
@NeKaspersky
👍3
Drupal сообщили о выпуске обновлений безопасности для устранения пары уязвимостей, которые могут привести к обходу проверки прав доступа и перезаписи данных
Первый баг мог вылиться в ситуацию, когда пользователь, имеющий доступ к ревизиям — местной системе, позволяющей отслеживать изменение контента нод — в целом, но не определенных типов контента в частности, обойти упомянутые ограничения. Проблема вызвана неполной интеграцией Entity API с существующей системой прав доступа, присутствует только в Drupal 9.3 и релевантна исключительно для сайтов, использующих ревизии.
Второй обнаружился в core form API и заключается в косячной валидации пользовательского ввода, в результате чего формы, сгенерированные кастомными модулями (в дефолтных такой возможности найдено не было), можно заставить переписать данные сайта путем ввода в норме запрещенных символов. Затронуты все версии до данного апдейта.
Оба бага оценили как «умеренно критические», а пользователям порекомендовали обновиться до последних версий: с 9.3.x до 9.3.12, с 9.2.x до 9.2.18. Версии старше 9.2 мертвы и не получают обновлений.
@NeKaspersky
Первый баг мог вылиться в ситуацию, когда пользователь, имеющий доступ к ревизиям — местной системе, позволяющей отслеживать изменение контента нод — в целом, но не определенных типов контента в частности, обойти упомянутые ограничения. Проблема вызвана неполной интеграцией Entity API с существующей системой прав доступа, присутствует только в Drupal 9.3 и релевантна исключительно для сайтов, использующих ревизии.
Второй обнаружился в core form API и заключается в косячной валидации пользовательского ввода, в результате чего формы, сгенерированные кастомными модулями (в дефолтных такой возможности найдено не было), можно заставить переписать данные сайта путем ввода в норме запрещенных символов. Затронуты все версии до данного апдейта.
Оба бага оценили как «умеренно критические», а пользователям порекомендовали обновиться до последних версий: с 9.3.x до 9.3.12, с 9.2.x до 9.2.18. Версии старше 9.2 мертвы и не получают обновлений.
@NeKaspersky
Drupal.org
Drupal core - Moderately critical - Access bypass - SA-CORE-2022-009
Drupal 9.3 implemented a generic entity access API for entity revisions. However, this API was not completely integrated with existing permissions, resulting in some possible access bypass for users who have access to use revisions of content generally, but…
👍2
This media is not supported in your browser
VIEW IN TELEGRAM
Российские хакеры снова взломали украинское телевидение и написали в бегущей строке «Ваш президент убит, сложите оружие, Киев окружён, слава России»
😁25👎12👍4❤1🤡1
А вот и фото с киберучений Locked Shields, где Кока-кола, судя по всему, является спонсором
Топ 3 неочевидных тендера в сфере ИБ:
Облачная платформа ростовской области, криптографическая защита чувашских судов и Следком
Облачная платформа ростовской области, криптографическая защита чувашских судов и Следком
👍5
В 2021 китайские хакеры были ответственны за эксплуатацию рекордного количества уязвимостей нулевого дня
Раскрытие информации о 0day представляет особый интерес для хакеров, поскольку окно для их эксплуатации значительно шире: сначала фикса просто нет в природе, а после можно таргетить тех, кто по каким-то причинам не обновился.
Согласно анализу, проведенному компанией Mandiant, в прошлом году было зарегистрировано 80 случаев использования таких уязвимостях в дикой природе, что на 18 больше, чем в 2020 и 2019 годах вместе взятых, причем большинство из них использовались в операциях по кибершпионажу поддерживаемыми государством группировками. С другой стороны, выросло и количество финансово мотивированных атак: теперь к этой категории отнесли каждую третью эксплуатацию 0day. Что интересно, продуктивнее остальных оказались китайцы, которым приписали использование аж 8 разных 0day, причем за половину из них ответственна одна группировка, Hafnium, таргетившая сервера Microsoft Exchange для доступа к email-ам западных организаций.
Mandiant также зафиксировала повышение популярности нулевок у рансомварщиков, которые, ожидаемо, использовали их для компрометации сетей предприятий. Одним из ярких примеров такой деятельности стали операторы HelloKitty, юзавшие 0day в устройствах SonicWall SMA 100 VPN.
С одной стороны, рост числа атак в прошлом году не внушает особого оптимизма по поводу ситуации в текущем. С другой, как подметили в Google Project Zero, наблюдаемая картина как минимум частично является результатом улучшения средств обнаружения и вовсе не обязательно повышения активности злоумышленников или сложности атак. Более того, согласно их отчету на ту же тему, заметно совершеннее предыдущих стали только 2 из 58 операций, обнаруженных проектом в 21 году.
@NeKaspersky
Раскрытие информации о 0day представляет особый интерес для хакеров, поскольку окно для их эксплуатации значительно шире: сначала фикса просто нет в природе, а после можно таргетить тех, кто по каким-то причинам не обновился.
Согласно анализу, проведенному компанией Mandiant, в прошлом году было зарегистрировано 80 случаев использования таких уязвимостях в дикой природе, что на 18 больше, чем в 2020 и 2019 годах вместе взятых, причем большинство из них использовались в операциях по кибершпионажу поддерживаемыми государством группировками. С другой стороны, выросло и количество финансово мотивированных атак: теперь к этой категории отнесли каждую третью эксплуатацию 0day. Что интересно, продуктивнее остальных оказались китайцы, которым приписали использование аж 8 разных 0day, причем за половину из них ответственна одна группировка, Hafnium, таргетившая сервера Microsoft Exchange для доступа к email-ам западных организаций.
Mandiant также зафиксировала повышение популярности нулевок у рансомварщиков, которые, ожидаемо, использовали их для компрометации сетей предприятий. Одним из ярких примеров такой деятельности стали операторы HelloKitty, юзавшие 0day в устройствах SonicWall SMA 100 VPN.
С одной стороны, рост числа атак в прошлом году не внушает особого оптимизма по поводу ситуации в текущем. С другой, как подметили в Google Project Zero, наблюдаемая картина как минимум частично является результатом улучшения средств обнаружения и вовсе не обязательно повышения активности злоумышленников или сложности атак. Более того, согласно их отчету на ту же тему, заметно совершеннее предыдущих стали только 2 из 58 операций, обнаруженных проектом в 21 году.
@NeKaspersky
👍3
В аудиокодеках MediaTek и Qualcomm нашли RCE
Согласно отчету Check Point Research, реализации декодера ALAC (Apple Lossless Audio Codec, опенсорснутый в 11 году) крупнейших в мире производителей SoC для смартфонов были уязвимы к чтению/записи вне границ допустимого диапазона и неправильной проверке аудиофреймов, передаваемых во время воспроизведения музыки, что в конечном итоге могло использоваться для выполнения произвольного кода на затронутых девайсах. Для эксплуатации, ожидаемо, злоумышленнику нужно создать вредоносный аудиофайл и заставить жертву воспроизвести его, все остальное происходит без взаимодействия с пользователем.
О подробностях атаки, креативно названной «ALHAC», незамедлительно сообщили MediaTek и Qualcomm, и те выпустили фиксы в декабре 2021 года. Широкой публике о подробностях эксплуатации багов, отслеживаемых как CVE-2021-0674 (5,5 CVSS), CVE-2021-0675 (7,8 CVSS) и CVE-2021-30351 (9,8 CVSS), пока не сообщали, однако Check Point пообещали сделать это на предстоящем CanSecWest в мае 2022 года.
@NeKaspersky
Согласно отчету Check Point Research, реализации декодера ALAC (Apple Lossless Audio Codec, опенсорснутый в 11 году) крупнейших в мире производителей SoC для смартфонов были уязвимы к чтению/записи вне границ допустимого диапазона и неправильной проверке аудиофреймов, передаваемых во время воспроизведения музыки, что в конечном итоге могло использоваться для выполнения произвольного кода на затронутых девайсах. Для эксплуатации, ожидаемо, злоумышленнику нужно создать вредоносный аудиофайл и заставить жертву воспроизвести его, все остальное происходит без взаимодействия с пользователем.
О подробностях атаки, креативно названной «ALHAC», незамедлительно сообщили MediaTek и Qualcomm, и те выпустили фиксы в декабре 2021 года. Широкой публике о подробностях эксплуатации багов, отслеживаемых как CVE-2021-0674 (5,5 CVSS), CVE-2021-0675 (7,8 CVSS) и CVE-2021-30351 (9,8 CVSS), пока не сообщали, однако Check Point пообещали сделать это на предстоящем CanSecWest в мае 2022 года.
@NeKaspersky
👍2
Атака Lapsus$ на T-Mobile получила официальное подтверждение
Согласно заявлению самих T-Mobile, в котором утверждается, что банда «несколько недель назад» вломилась в их сеть, используя украденные кредешлы, и получила доступ к внутренним системам. Выносить конфиденциальную информацию криентов, по их словам, не стали за отсутствием оной в скомпрометированной сети. Однако, если верить Брайану Кребсу, впервые сообщившему о взломе после просмотра сообщений в тг-чате группировки, Lapsus$ не стали изменять традициям и стащили проприетарные исходники T-Mobile.
Согласно заявлению самих T-Mobile, в котором утверждается, что банда «несколько недель назад» вломилась в их сеть, используя украденные кредешлы, и получила доступ к внутренним системам. Выносить конфиденциальную информацию криентов, по их словам, не стали за отсутствием оной в скомпрометированной сети. Однако, если верить Брайану Кребсу, впервые сообщившему о взломе после просмотра сообщений в тг-чате группировки, Lapsus$ не стали изменять традициям и стащили проприетарные исходники T-Mobile.
BleepingComputer
T-Mobile confirms Lapsus$ hackers breached internal systems
T-Mobile has confirmed that the Lapsus$ extortion gang breached its network "several weeks ago" using stolen credentials and gained access to internal systems.
App Store удаляет приложения, которые давно не получали обновления. Этим недовольны разработчики. Авторам продуктов без апдейтов дают 30 дней на обновление.
Разработчик Protopop Games Роберт Кабве получил письмо от Apple, где компания предупредила его, что приложение не обновлялось в течении значительного периода времени и будет удалено, если команда не исправит ситуацию. Помимо него об этом сообщали и другие разработчики.
The Verge пишет, что Apple проводила подобные «чистки» еще в 2016 году. Чёткого определения того, какие приложения считаются «устаревшим» компания не даёт.
@NeKaspersky
Разработчик Protopop Games Роберт Кабве получил письмо от Apple, где компания предупредила его, что приложение не обновлялось в течении значительного периода времени и будет удалено, если команда не исправит ситуацию. Помимо него об этом сообщали и другие разработчики.
The Verge пишет, что Apple проводила подобные «чистки» еще в 2016 году. Чёткого определения того, какие приложения считаются «устаревшим» компания не даёт.
@NeKaspersky
👎1
В России создали маркетплейс услуг ИБ
Команда энтузиастов из стартапа «Третья сторона» загорелась амбициозной целью: изменить рынок ИБ-услуг в России и сделать его более прозрачным. Разработчики считают, что длинные цепочки субподрядчиков, грабительские комиссии и непрозрачное ценообразование сильно мешают заказчикам, которые вместо хорошего результата часто получают некачественную работу за большую оплату.
Маркетплейс ИБ услуг «Третья сторона» позволяет работать напрямую с проверенными исполнителями. Есть ощущение, что это не только делает процесс взаимодействия между заказчиками и исполнителями более прозрачным, но и меняет рынок труда в целом. Зачем работать в ИБ-компании за копейки, если можно оформиться самозанятым и делать сразу несколько проектов?
Интересно, как на появление этого проекта среагирует индустрия и ИБ-эксперты.
@NeKaspersky
Команда энтузиастов из стартапа «Третья сторона» загорелась амбициозной целью: изменить рынок ИБ-услуг в России и сделать его более прозрачным. Разработчики считают, что длинные цепочки субподрядчиков, грабительские комиссии и непрозрачное ценообразование сильно мешают заказчикам, которые вместо хорошего результата часто получают некачественную работу за большую оплату.
Маркетплейс ИБ услуг «Третья сторона» позволяет работать напрямую с проверенными исполнителями. Есть ощущение, что это не только делает процесс взаимодействия между заказчиками и исполнителями более прозрачным, но и меняет рынок труда в целом. Зачем работать в ИБ-компании за копейки, если можно оформиться самозанятым и делать сразу несколько проектов?
Интересно, как на появление этого проекта среагирует индустрия и ИБ-эксперты.
@NeKaspersky
👍7😱3👎1🔥1
Лукацкий не медля написал пост про риски ИБ/ИТ-аутсорсинга. Выглядит, как попытка защитить консервативное устройство рынка.
Telegram
Пост Лукацкого
Интересный обзор рисков уголовного преследования, с которыми может столкнуться ИТ/ИБ-аутсорсер в России. В условиях все более активного проникновения сервисной модели ИБ в РФ, учитывать эти риски необходимо. Особенно при работе с государственными заказчиками
😁9
Quantum делает ставку на скорость при атаке на сети
По словам исследователей из DFIR, проанализировавших атаку, на полное ее завершение потребовалось всего 3.75 часа с момента первоначального заражения. Таке известно, что для получения первоначального доступа к компьютеру в целевой организации использовался вредонос IcedID, доставленный жертве с помощью спама.
Через два часа после запуска злоумышленники запустили Cobalt Strike, спрятав его в
Если учесть скорость проведения атаки и выбор времени (обычно — поздно ночью или в выходные дни), у администраторов сети практически не было времени на ее предотвращение. К счастью для последних, кампания Quantum не столь активна по сравнению с предыдущими операциями от разработчиков этой малвари, и количество атак в месяц невелико.
@NeKaspersky
По словам исследователей из DFIR, проанализировавших атаку, на полное ее завершение потребовалось всего 3.75 часа с момента первоначального заражения. Таке известно, что для получения первоначального доступа к компьютеру в целевой организации использовался вредонос IcedID, доставленный жертве с помощью спама.
Через два часа после запуска злоумышленники запустили Cobalt Strike, спрятав его в
C:\Windows\SysWOW64\cmd.exe, что позволило им остаться незамеченными. Далее им удалось креденшлы администратора домена, сдампив LSASS, что в свою очередь открыло новые возможности для латерального перемещения по сети. В конце концов, одолжив достаточно данных и захватив доастаточное количество машин, злоумышленники использовали WMI и PsExec для развертывания рансомвари Quantum Locker и шифрования устройств.Если учесть скорость проведения атаки и выбор времени (обычно — поздно ночью или в выходные дни), у администраторов сети практически не было времени на ее предотвращение. К счастью для последних, кампания Quantum не столь активна по сравнению с предыдущими операциями от разработчиков этой малвари, и количество атак в месяц невелико.
@NeKaspersky
👍6
В последнем обновлении Oracle исправили серьезную уязвимость безопасности Java
Только что поступили последние ежеквартальные обновления безопасности Oracle. В рамках обновления была исправлена CVE-2022-21449, уязвимость высокой степени критичности. Она набрала целых 7,5 балла по шкале CVSS. Однако специалист оценил бы опасность проблемы на максимальные 10 баллов «из-за широкого спектра воздействий на различную функциональность в контексте управления доступом».
Легко используемая уязвимость позволяет не аутентифицированному злоумышленнику получить доступ к сети через несколько протоколов для компрометации Oracle Java SE, Oracle GraalVM Enterprise Edition. Успешные атаки этой уязвимости могут привести к несанкционированному созданию, удалению или изменению доступа к критическим данным или ко всем доступным данным Oracle Java SE, Oracle GraalVM Enterprise Edition. По сути, это приводит к аннулированию целостности контента, что гарантируется подписями.
Алгоритм проверки подписи использует математическое уравнение, которое состоит из открытого ключа подписавшего, хеша сообщения и двух значений, которые используются в подписях ECDSA r и s. Подпись подтверждается, когда обе стороны уравнения равны. Неисправная реализация, представленная в Java 15, не проверяет, равны ли эти r и s нулю, и именно здесь начинаются проблемы. Если r и s могут быть равными нулю, то это может привести к тому, что обе стороны уравнения, которые используют их для умножения, будут обнулены, создавая тем самым истинное утверждение 0 = 0. В этом случае подпись будет подтверждена, что позволит злоумышленнику с пустой подписью (полной нулей) получить доступ к контенту, который должен быть защищен.
Недоброжелатель, использующий эту уязвимость, может перехватить (прочитать и изменить) зашифрованные сообщения или обойти аутентификацию в некоторых случаях. Более того, в случаях, когда целостность контента проверяется с помощью подписей ECDSA, процесс проверки может быть скомпрометирован.
Чтобы исправить эту уязвимость Java, мы рекомендуем обновить Java до последней версии. Самые последние версии Java: Java 17 (долгосрочная поддержка) а также Java 18, которые обновляются до 17.0.3 а также 18.0.1 соответственно. Более старые, но все еще поддерживаемые версии, которые также были исправлены Java 7, Java 8 а также Java 11, которые обновляются до версии 7u341, версия 8u331 а также 11.0.15 соответственно.
@NeKaspersky
Только что поступили последние ежеквартальные обновления безопасности Oracle. В рамках обновления была исправлена CVE-2022-21449, уязвимость высокой степени критичности. Она набрала целых 7,5 балла по шкале CVSS. Однако специалист оценил бы опасность проблемы на максимальные 10 баллов «из-за широкого спектра воздействий на различную функциональность в контексте управления доступом».
Легко используемая уязвимость позволяет не аутентифицированному злоумышленнику получить доступ к сети через несколько протоколов для компрометации Oracle Java SE, Oracle GraalVM Enterprise Edition. Успешные атаки этой уязвимости могут привести к несанкционированному созданию, удалению или изменению доступа к критическим данным или ко всем доступным данным Oracle Java SE, Oracle GraalVM Enterprise Edition. По сути, это приводит к аннулированию целостности контента, что гарантируется подписями.
Алгоритм проверки подписи использует математическое уравнение, которое состоит из открытого ключа подписавшего, хеша сообщения и двух значений, которые используются в подписях ECDSA r и s. Подпись подтверждается, когда обе стороны уравнения равны. Неисправная реализация, представленная в Java 15, не проверяет, равны ли эти r и s нулю, и именно здесь начинаются проблемы. Если r и s могут быть равными нулю, то это может привести к тому, что обе стороны уравнения, которые используют их для умножения, будут обнулены, создавая тем самым истинное утверждение 0 = 0. В этом случае подпись будет подтверждена, что позволит злоумышленнику с пустой подписью (полной нулей) получить доступ к контенту, который должен быть защищен.
Недоброжелатель, использующий эту уязвимость, может перехватить (прочитать и изменить) зашифрованные сообщения или обойти аутентификацию в некоторых случаях. Более того, в случаях, когда целостность контента проверяется с помощью подписей ECDSA, процесс проверки может быть скомпрометирован.
Чтобы исправить эту уязвимость Java, мы рекомендуем обновить Java до последней версии. Самые последние версии Java: Java 17 (долгосрочная поддержка) а также Java 18, которые обновляются до 17.0.3 а также 18.0.1 соответственно. Более старые, но все еще поддерживаемые версии, которые также были исправлены Java 7, Java 8 а также Java 11, которые обновляются до версии 7u341, версия 8u331 а также 11.0.15 соответственно.
@NeKaspersky
👍2