Уже более часа сбоят крупнейшие сайты и сервисы, среди которых Instagram, Google, WhatsApp, YouTube и другие.
Причиной сбоев могли стать подрывы магистральных связей на дне Красного моря, которые устроили йеменские хуситы. По сообщению гонконгского провайдера HGС, повреждена инфраструктура, пропускающая 25% трафика в Красном море.
LH | Новости | Курсы | Мемы
Причиной сбоев могли стать подрывы магистральных связей на дне Красного моря, которые устроили йеменские хуситы. По сообщению гонконгского провайдера HGС, повреждена инфраструктура, пропускающая 25% трафика в Красном море.
LH | Новости | Курсы | Мемы
👍3🔥2
JetBrains исправляет уязвимости в TeamCity
Критическая уязвимость (CVE-2024-27198) в CI/CD-решении TeamCity позволяет удаленному неаутентифицированному злоумышленнику получить права администратора и контроль над сервером. Так как технические подробности о создании эксплоита уже доступны, администраторам рекомендуется как можно скорее устранить проблему, установив TeamCity 2023.11.4.
Также в новой версии TeamCity была исправлена вторая уязвимость (CVE-2024-27199), позволяющая изменять некоторые системные настройки без аутентификации. Обе проблемы были обнаружены специалистами компании Rapid7 и связаны с веб-компонентом TeamCity, затрагивая все версии локальных установок.
CVE-2024-27198 (9,8 балла по шкале CVSS) представляет собой критическую уязвимость обхода аутентификации в веб-компоненте TeamCity, вызванную проблемой альтернативного пути (alternative path). В свою очередь CVE-2024-27199 (7,3 балла по шкале CVSS), это проблема path traversal в веб-компоненте TeamCity, так же позволяющая обойти аутентификацию.
Исследователи предупреждают, что CVE-2024-27198 может дать злоумышленнику полный контроль над уязвимым сервером TeamCity, в том числе для удаленного выполнения произвольного кода.
LH | Новости | Курсы | Мемы
Критическая уязвимость (CVE-2024-27198) в CI/CD-решении TeamCity позволяет удаленному неаутентифицированному злоумышленнику получить права администратора и контроль над сервером. Так как технические подробности о создании эксплоита уже доступны, администраторам рекомендуется как можно скорее устранить проблему, установив TeamCity 2023.11.4.
Также в новой версии TeamCity была исправлена вторая уязвимость (CVE-2024-27199), позволяющая изменять некоторые системные настройки без аутентификации. Обе проблемы были обнаружены специалистами компании Rapid7 и связаны с веб-компонентом TeamCity, затрагивая все версии локальных установок.
CVE-2024-27198 (9,8 балла по шкале CVSS) представляет собой критическую уязвимость обхода аутентификации в веб-компоненте TeamCity, вызванную проблемой альтернативного пути (alternative path). В свою очередь CVE-2024-27199 (7,3 балла по шкале CVSS), это проблема path traversal в веб-компоненте TeamCity, так же позволяющая обойти аутентификацию.
Исследователи предупреждают, что CVE-2024-27198 может дать злоумышленнику полный контроль над уязвимым сервером TeamCity, в том числе для удаленного выполнения произвольного кода.
LH | Новости | Курсы | Мемы
👍2
WogRAT злоупотребляет сервисом для заметок aNotepad
Новая малварь WogRAT атакует системы под управлением Windows и Linux, используя онлайн-платформу aNotepad для хранения и доставки вредоносного кода.
На платформе для заметок aNotepad малварь размещает .NET-файл в кодировке base64 для Windows, маскируя его продукт компании Adobe. Так как aNotepad является легитимным сервисом, он не вызывает подозрений у защитных решений и не попадает в списки заблокированных, что помогает хакерам сделать цепочку заражения более незаметной.
Дело в том, что когда WogRAT впервые запускается на компьютере жертвы, его вряд ли заметят антивирусы, ведь он не содержит никаких вредоносных функций, лишь зашифрованный загрузчик вредоносного кода, который компилируется и выполняется «на лету». Этот загрузчик извлекает еще один вредоносный бинарник .NET, хранящийся в кодировке base64 в aNotepad, что приводит к загрузке DLL, которая уже и является WogRAT.
Затем WogRAT составляет и отправляет базовый профиль зараженной системы на свой управляющий сервер и в ответ получает команды для выполнения. Так, малварь способна: выполнить конкретную команду, загрузить файл с указанного URL, передать указанный файл на управляющий сервер, подождать какое-то время (в секундах), завершить свою работу.
LH | Новости | Курсы | Мемы
Новая малварь WogRAT атакует системы под управлением Windows и Linux, используя онлайн-платформу aNotepad для хранения и доставки вредоносного кода.
На платформе для заметок aNotepad малварь размещает .NET-файл в кодировке base64 для Windows, маскируя его продукт компании Adobe. Так как aNotepad является легитимным сервисом, он не вызывает подозрений у защитных решений и не попадает в списки заблокированных, что помогает хакерам сделать цепочку заражения более незаметной.
Дело в том, что когда WogRAT впервые запускается на компьютере жертвы, его вряд ли заметят антивирусы, ведь он не содержит никаких вредоносных функций, лишь зашифрованный загрузчик вредоносного кода, который компилируется и выполняется «на лету». Этот загрузчик извлекает еще один вредоносный бинарник .NET, хранящийся в кодировке base64 в aNotepad, что приводит к загрузке DLL, которая уже и является WogRAT.
Затем WogRAT составляет и отправляет базовый профиль зараженной системы на свой управляющий сервер и в ответ получает команды для выполнения. Так, малварь способна: выполнить конкретную команду, загрузить файл с указанного URL, передать указанный файл на управляющий сервер, подождать какое-то время (в секундах), завершить свою работу.
LH | Новости | Курсы | Мемы
👍2
GhostSec и Stormous объединяются для захвата RaaS-отрасли по всему миру
Международная киберпреступная группировка GhostSec, причастная к созданию и распространению шифровальщика под названием GhostLocker, стремительно наращивает обороты своей вредоносной деятельности, охватывая всё больше стран.
В этом году хакеры запустили новую RaaS-программу под названием STMX_GhostLocker.
RaaS-схема распространения позволяет аффилиатам отслеживать свои операции через веб-панель и гибко настраивать поведение шифровальщика в соответствии со своими предпочтениями.
Страны-жертвы, которые успели пострадать от совместной деятельности группировок, включают в себя Кубу, Аргентину, Польшу, Китай, Ливан, Израиль, Узбекистан, Индию, Южную Африку, Бразилию, Марокко, Катар, Турцию, Египет, Вьетнам, Таиланд и Индонезию.
Отрасли, наиболее пострадавшие от атак: информационные технологии, образование, производство, государственный сектор, транспорт, энергетику, здравоохранение, недвижимость и телекоммуникации.
Такое многообразие жертв можно легко объяснить именно RaaS-схемой распространения, так как подписку на вредоносный инструментарий могут купить сотни человек из разных стран, а затем бешеными темпами пополнять копилку жертв киберпреступного дуэта GhostSec и Stormous.
Всё это свидетельствует о стремлении GhostSec к расширению и развитию своего арсенала для проведения более сложных атак. А чем больший хакерский арсенал сможет предоставить группировка, тем больше аффилиатов потенциально она сможет привлечь и больше денег заработать.
Пожалуй, стоит напомнить, что группировка GhostSec входит в коалицию «Five Families», сформированную в августе 2023 года. Туда же входит вышеупомянутая Stormous, а также группы ThreatSec, SiegedSec и Blackforums.
LH | Новости | Курсы | Мемы
Международная киберпреступная группировка GhostSec, причастная к созданию и распространению шифровальщика под названием GhostLocker, стремительно наращивает обороты своей вредоносной деятельности, охватывая всё больше стран.
В этом году хакеры запустили новую RaaS-программу под названием STMX_GhostLocker.
RaaS-схема распространения позволяет аффилиатам отслеживать свои операции через веб-панель и гибко настраивать поведение шифровальщика в соответствии со своими предпочтениями.
Страны-жертвы, которые успели пострадать от совместной деятельности группировок, включают в себя Кубу, Аргентину, Польшу, Китай, Ливан, Израиль, Узбекистан, Индию, Южную Африку, Бразилию, Марокко, Катар, Турцию, Египет, Вьетнам, Таиланд и Индонезию.
Отрасли, наиболее пострадавшие от атак: информационные технологии, образование, производство, государственный сектор, транспорт, энергетику, здравоохранение, недвижимость и телекоммуникации.
Такое многообразие жертв можно легко объяснить именно RaaS-схемой распространения, так как подписку на вредоносный инструментарий могут купить сотни человек из разных стран, а затем бешеными темпами пополнять копилку жертв киберпреступного дуэта GhostSec и Stormous.
Всё это свидетельствует о стремлении GhostSec к расширению и развитию своего арсенала для проведения более сложных атак. А чем больший хакерский арсенал сможет предоставить группировка, тем больше аффилиатов потенциально она сможет привлечь и больше денег заработать.
Пожалуй, стоит напомнить, что группировка GhostSec входит в коалицию «Five Families», сформированную в августе 2023 года. Туда же входит вышеупомянутая Stormous, а также группы ThreatSec, SiegedSec и Blackforums.
LH | Новости | Курсы | Мемы
👍3
В даркнете продают более 225 000 учетных данных для ChatGPT
Более 225 000 логов стилеров, содержащих украденные учетные данные для ChatGPT, были доступны в даркнете в период с января по октябрь 2023 года, свидетельствуют данные исследователей Group-IB.
В свежем отчете о киберкриминальных трендах 2023-2024 годов эксперты рассказывают, что учетные данные в основном обнаруживаются в логах таких инфостилеров, как LummaC2, Raccoon и RedLine.
Так, в период с июня по октябрь 2023 года было совершено более 130 000 взломов уникальных хостов с доступом к OpenAI ChatGPT, что на 36% больше, чем за первые пять месяцев 2023 года. Эксперты приводят следующую статистику для трех ведущих семейств стилеров:
LummaC2 — 70 484 хоста;
Raccoon — 22 468 хостов;
RedLine — 15 970 хостов.
По словам исследователей, LLM (такие как ChatGPT) могут использоваться злоумышленниками для разработки новых методов атак, подготовки убедительных мошеннических и фишинговых кампаний, а также для повышения общей операционной эффективности. По мнению Group-IB, ИИ также может помочь хакерам ускорить разведку, создание наборов инструментов для взлома и совершение мошеннических робозвонков.
LH | Новости | Курсы | Мемы
Более 225 000 логов стилеров, содержащих украденные учетные данные для ChatGPT, были доступны в даркнете в период с января по октябрь 2023 года, свидетельствуют данные исследователей Group-IB.
В свежем отчете о киберкриминальных трендах 2023-2024 годов эксперты рассказывают, что учетные данные в основном обнаруживаются в логах таких инфостилеров, как LummaC2, Raccoon и RedLine.
«Количество зараженных устройств немного снизилось в середине и конце лета, но значительно выросло в августе и сентябре», — отмечают в компании.
Так, в период с июня по октябрь 2023 года было совершено более 130 000 взломов уникальных хостов с доступом к OpenAI ChatGPT, что на 36% больше, чем за первые пять месяцев 2023 года. Эксперты приводят следующую статистику для трех ведущих семейств стилеров:
LummaC2 — 70 484 хоста;
Raccoon — 22 468 хостов;
RedLine — 15 970 хостов.
«Резкое увеличение количества продаваемых учетных данных для ChatGPT связано с общим ростом количества зараженных инфостилерами хостов, ведь данные, полученные от них, затем выставляются на продажу», — поясняют специалисты.
По словам исследователей, LLM (такие как ChatGPT) могут использоваться злоумышленниками для разработки новых методов атак, подготовки убедительных мошеннических и фишинговых кампаний, а также для повышения общей операционной эффективности. По мнению Group-IB, ИИ также может помочь хакерам ускорить разведку, создание наборов инструментов для взлома и совершение мошеннических робозвонков.
LH | Новости | Курсы | Мемы
👍3🤔2
В Android закрыли две критические уязвимости (RCE и повышение прав)
На этой неделе Google выпустила очередные патчи для Android, устраняющие в общей сложности 38 брешей. Две уязвимости, затрагивающие компонент System, получили статус критических. Последние проходят под идентификаторами CVE-2024-0039 и CVE-2024-23717. В первую очередь они опасны для пользователей Android 12, 12L, 13 и 14. С помощью CVE-2024-0039 атакующие могут выполнить вредоносный код удалённо, а CVE-2024-23717 позволяет повысить права в операционной системе.
LH | Новости | Курсы | Мемы
На этой неделе Google выпустила очередные патчи для Android, устраняющие в общей сложности 38 брешей. Две уязвимости, затрагивающие компонент System, получили статус критических. Последние проходят под идентификаторами CVE-2024-0039 и CVE-2024-23717. В первую очередь они опасны для пользователей Android 12, 12L, 13 и 14. С помощью CVE-2024-0039 атакующие могут выполнить вредоносный код удалённо, а CVE-2024-23717 позволяет повысить права в операционной системе.
LH | Новости | Курсы | Мемы
👍3
Фишинг-кит CryptoChameleon ориентирован на пользователей мобильных устройств
Специалисты компании Lookout обнаружили новый фишинговый набор CryptoChameleon, который имитирует страницы логина известных криптовалютных сервисов. Угроза в основном ориентирована на мобильные устройства, и ее жертвами уже стали более 100 пользователей.
Исследователи рассказывают, что CryptoChameleon позволяет злоумышленникам создавать копии страниц single sign-on (SSO), а затем использовать письма, SMS и голосовой фишинг, чтобы обманом вынудить жертву поделиться логинами, паролями, URL для сброса паролей и даже фотографиями своих удостоверений личности.
Целями фишеров уже стали сотрудники Федеральной комиссии по связи США (FCC), Binance, Coinbase, а также пользователи таких криптовалютных платформ, как Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown и Trezor.
При этом фишинговые страницы разработаны таким образом, что фальшивый экран входа в систему отображается только в том случае, если жертва прошла CAPTCHA с помощью hCaptcha, что не позволяет автоматическим инструментам обнаружить эти ресурсы.
В некоторых случаях фишинговые страницы распространяются посредством телефонных звонков и SMS-сообщений, в которых мошенники выдают себя за специалистов службы поддержки и лгут о том, что аккаунт срочно нужно безопасность после якобы произошедшего взлома.
После того как пользователь вводит свои учетные данные, его просят предоставить код двухфакторной аутентификации (2ФА) или просят «подождать», пока проверяется предоставленная информация.
LH | Новости | Курсы | Мемы
Специалисты компании Lookout обнаружили новый фишинговый набор CryptoChameleon, который имитирует страницы логина известных криптовалютных сервисов. Угроза в основном ориентирована на мобильные устройства, и ее жертвами уже стали более 100 пользователей.
Исследователи рассказывают, что CryptoChameleon позволяет злоумышленникам создавать копии страниц single sign-on (SSO), а затем использовать письма, SMS и голосовой фишинг, чтобы обманом вынудить жертву поделиться логинами, паролями, URL для сброса паролей и даже фотографиями своих удостоверений личности.
Целями фишеров уже стали сотрудники Федеральной комиссии по связи США (FCC), Binance, Coinbase, а также пользователи таких криптовалютных платформ, как Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown и Trezor.
При этом фишинговые страницы разработаны таким образом, что фальшивый экран входа в систему отображается только в том случае, если жертва прошла CAPTCHA с помощью hCaptcha, что не позволяет автоматическим инструментам обнаружить эти ресурсы.
В некоторых случаях фишинговые страницы распространяются посредством телефонных звонков и SMS-сообщений, в которых мошенники выдают себя за специалистов службы поддержки и лгут о том, что аккаунт срочно нужно безопасность после якобы произошедшего взлома.
После того как пользователь вводит свои учетные данные, его просят предоставить код двухфакторной аутентификации (2ФА) или просят «подождать», пока проверяется предоставленная информация.
«[В это время] злоумышленник, скорее всего, пытается войти в систему, используя полученные учетные данные, а затем перенаправляет жертву на соответствующую страницу, в зависимости от того, какая дополнительная информация запрашивается службой МФА, к которой пытается получить доступ мошенник», — рассказывают в Lookout.
LH | Новости | Курсы | Мемы
👍2
#обзор
Эксплуатация на максимуме: 8 трендовых уязвимостей, выявленных в феврале
LH | Новости | Курсы | Мемы
Эксплуатация на максимуме: 8 трендовых уязвимостей, выявленных в феврале
LH | Новости | Курсы | Мемы
Telegraph
Эксплуатация на максимуме: 8 трендовых уязвимостей, выявленных в феврале.
Уязвимость, связанная с удаленным выполнением кода, в FortiOS и FortiProxy CVE-2024-21762 ( CVSS — 9,8) По данным Shadowserver, количество устройств, на которых присутствует FortiOS SSL VPN, — более 465 000. В России это ПО выявлено на 2816 узлах. Эксплуатация…
👍2
Код ИБ зовут руководителей по ИБ на интенсив Код ИБ ПРОФИ на Кавказе.
🗓 С 21 по 24 марта 2024
📍 Кавказ (г. Кисловодск)
Только представьте💭: горы, солнце, кавказское гостеприимство и безопасники со всей страны.
Традиционный для ПРОФИ формат: 2 дня учебы и 2 дня приключений, который позволяет и получить новые знания, и при этом немного переключиться и отдохнуть.
Программа строится в концепции ТЕХНОЛОГИИ - ПРОЦЕССЫ - ЛЮДИ и спикерами приглашены:
▪️Всеслав Соленик - Директор по кибербезопасности СберТех
▪️Илья Борисов - Директор департамента методологии ИБ ВКонтакте
▪️Ксения Трохимец - Независимый эксперт в сфере управления человеческим капиталом
▪️Сергей Рысин - Генеральный директор АСИЕ-Групп
▪️Лука Сафонов - Директор Киберполигон
Темы мастер-классов:
▪️Как выстроить стратегию КБ своей компании в части технологий и СЗИ
▪️Как выстроить процессы ИБ и измерить их эффективность
▪️Как выявить личностные компетенции сотрудников при найме и почему это важно
▪️Как выявить личностные компетенции сотрудников при найме и почему это важно
▪️Как составить работающий playbook для кризисных ситуаций в компании
▪️Как грамотно подготовить и провести пентест: взгляд заказчика и исполнителя
Приключения начнутся с джип тура Гижгит и Чегем
Участников ждут водопады, перевалы, горы и сногсшибательные виды на природу Кавказа 💥
В заключительный день все отправятся на пешеходную прогулку в Курортном парке Кисловодска, где сначала поднимемся на канатной дороге и полюбуемся Эльбрусом со смотровой площадки, а потом отправимся по терренкурам маршрутами разной сложности.
Вы уже представили, как это будет круто?
Приезжайте сами и зовите команду. Я сам не был, но наслышан, поэтому однозначно могу рекомендовать 💪.
Все подробности можно найти на сайте мероприятия, поэтому изучайте и планируйте поездку. Таких мероприятий, как Код ИБ ПРОФИ - единицы, поэтому приезжайте. Это будет незабываемо ❤️
🗓 С 21 по 24 марта 2024
📍 Кавказ (г. Кисловодск)
Только представьте💭: горы, солнце, кавказское гостеприимство и безопасники со всей страны.
Традиционный для ПРОФИ формат: 2 дня учебы и 2 дня приключений, который позволяет и получить новые знания, и при этом немного переключиться и отдохнуть.
Программа строится в концепции ТЕХНОЛОГИИ - ПРОЦЕССЫ - ЛЮДИ и спикерами приглашены:
▪️Всеслав Соленик - Директор по кибербезопасности СберТех
▪️Илья Борисов - Директор департамента методологии ИБ ВКонтакте
▪️Ксения Трохимец - Независимый эксперт в сфере управления человеческим капиталом
▪️Сергей Рысин - Генеральный директор АСИЕ-Групп
▪️Лука Сафонов - Директор Киберполигон
Темы мастер-классов:
▪️Как выстроить стратегию КБ своей компании в части технологий и СЗИ
▪️Как выстроить процессы ИБ и измерить их эффективность
▪️Как выявить личностные компетенции сотрудников при найме и почему это важно
▪️Как выявить личностные компетенции сотрудников при найме и почему это важно
▪️Как составить работающий playbook для кризисных ситуаций в компании
▪️Как грамотно подготовить и провести пентест: взгляд заказчика и исполнителя
Приключения начнутся с джип тура Гижгит и Чегем
Участников ждут водопады, перевалы, горы и сногсшибательные виды на природу Кавказа 💥
В заключительный день все отправятся на пешеходную прогулку в Курортном парке Кисловодска, где сначала поднимемся на канатной дороге и полюбуемся Эльбрусом со смотровой площадки, а потом отправимся по терренкурам маршрутами разной сложности.
Вы уже представили, как это будет круто?
Приезжайте сами и зовите команду. Я сам не был, но наслышан, поэтому однозначно могу рекомендовать 💪.
Все подробности можно найти на сайте мероприятия, поэтому изучайте и планируйте поездку. Таких мероприятий, как Код ИБ ПРОФИ - единицы, поэтому приезжайте. Это будет незабываемо ❤️
Взломанные WordPress-сайты заставляют посетителей брутфорсить другие сайты.
Киберпреступники запустили серию масштабных атак, в ходе которых на страницы WordPress-сайтов внедряются скрипты. Задача таких скриптов — заставить браузеры посетителей брутфорсить пароли к другим ресурсам.
Вредоносный код помещается в HTML-шаблоны. Когда посетитель заходит на ресурс, скрипт подгружается в браузер. Далее интернет-обозреватель подключается к серверу злоумышленников, откуда получает задачу — брутфорсить пароли. Таск приходит в форме JSON-файла, содержащего параметры для брутфорс-атаки: идентификатор, URL сайта, имя аккаунта, около 100 паролей, которые нужно пробовать подобрать. После этого браузер пользователя незаметно загружает файл с помощью интерфейса XMLRPC. Если брутфорс прошёл успешно, сервер уведомит киберпреступников, что пароль найден.
LH | Новости | Курсы | Мемы
Киберпреступники запустили серию масштабных атак, в ходе которых на страницы WordPress-сайтов внедряются скрипты. Задача таких скриптов — заставить браузеры посетителей брутфорсить пароли к другим ресурсам.
Вредоносный код помещается в HTML-шаблоны. Когда посетитель заходит на ресурс, скрипт подгружается в браузер. Далее интернет-обозреватель подключается к серверу злоумышленников, откуда получает задачу — брутфорсить пароли. Таск приходит в форме JSON-файла, содержащего параметры для брутфорс-атаки: идентификатор, URL сайта, имя аккаунта, около 100 паролей, которые нужно пробовать подобрать. После этого браузер пользователя незаметно загружает файл с помощью интерфейса XMLRPC. Если брутфорс прошёл успешно, сервер уведомит киберпреступников, что пароль найден.
LH | Новости | Курсы | Мемы
👍4🤔3
VMWare исправляет критические уязвимости побега из песочницы в ESXi, Workstation и Fusion
Компания VMware призывает клиентов как можно скорее устранить критические уязвимости, позволяющие обойти защиту и осуществить побег из песочницы во всех версиях VMware ESXi, Workstation, Fusion и Cloud Foundation. Проблемы затрагивают все версии и настолько серьезны, что патчи выпущены даже продуктов, поддержка которых уже была прекращена.
Дело в том, что свежие уязвимости позволяют получить несанкционированный доступ к хост-системе, на которой установлен гипервизор, или получить доступ к другим виртуальным машинам, работающим на том же хосте.
Уязвимости получили идентификаторы CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 и CVE-2024-22255 (от 7,1 до 9,3 балла по шкале CVSS), и все они имеют статус критических.
▪ CVE-2024-22252 и CVE-2024-22253: проблемы типа use-after free в USB-контроллерах XHCI и UHCI. Затрагивают Workstation, Fusion и ESXi. Эксплуатация уязвимостей требует привилегий локального администратора на виртуальной машине и позволяет выполнить код от имени процесса VMX виртуальной машины на хосте. В Workstation и Fusion это может привести к выполнению произвольного кода на хост-машине.
▪ CVE-2024-22254: уязвимость out-of-bounds записи в ESXi, позволяющая злоумышленнику с привилегиями процесса VMX производить запись за пределы заданной области памяти, что может привести к побегу из песочницы.
▪ CVE-2024-22255: баг, связанный с раскрытием информации в USB-контроллере UHCI, затрагивающий ESXi, Workstation и Fusion. Может позволить злоумышленнику с правами администратора на виртуальной машине слить память процесса VMX.
LH | Новости | Курсы | Мемы
Компания VMware призывает клиентов как можно скорее устранить критические уязвимости, позволяющие обойти защиту и осуществить побег из песочницы во всех версиях VMware ESXi, Workstation, Fusion и Cloud Foundation. Проблемы затрагивают все версии и настолько серьезны, что патчи выпущены даже продуктов, поддержка которых уже была прекращена.
Дело в том, что свежие уязвимости позволяют получить несанкционированный доступ к хост-системе, на которой установлен гипервизор, или получить доступ к другим виртуальным машинам, работающим на том же хосте.
Уязвимости получили идентификаторы CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 и CVE-2024-22255 (от 7,1 до 9,3 балла по шкале CVSS), и все они имеют статус критических.
▪ CVE-2024-22252 и CVE-2024-22253: проблемы типа use-after free в USB-контроллерах XHCI и UHCI. Затрагивают Workstation, Fusion и ESXi. Эксплуатация уязвимостей требует привилегий локального администратора на виртуальной машине и позволяет выполнить код от имени процесса VMX виртуальной машины на хосте. В Workstation и Fusion это может привести к выполнению произвольного кода на хост-машине.
▪ CVE-2024-22254: уязвимость out-of-bounds записи в ESXi, позволяющая злоумышленнику с привилегиями процесса VMX производить запись за пределы заданной области памяти, что может привести к побегу из песочницы.
▪ CVE-2024-22255: баг, связанный с раскрытием информации в USB-контроллере UHCI, затрагивающий ESXi, Workstation и Fusion. Может позволить злоумышленнику с правами администратора на виртуальной машине слить память процесса VMX.
LH | Новости | Курсы | Мемы
👍3❤1
RCE in JetBrains TeamCity
Исследователи бьют тревогу, предупреждая о начавшейся массовой эксплуатации критической уязвимости обхода аутентификации в TeamCity On-Premises от JetBrains.
CVE-2024-27198 с CVSS 9,8 из 10 затрагивает все выпуски локальной версии TeamCity до 2023.11.4 и была устранена поставщиком в понедельник, но пользователи не спешат с обновлением.
Согласно статистике, более 1700 серверов TeamCity остаются непропатченными.
Причем большинство уязвимых хостов располагаются в Германии, США и России, за ними следуют Китай, Нидерланды и Франция.
При этом, что важно, из них более 1440 экземпляров, которые уже взломаны хакерами. На них создано от 3 до 300 сотен пользователей, а шаблон наименований включает 8 буквенно-цифровых символов.
Как отмечают специалисты, задетектированные серверы TeamCity представляют собой производственные машины, используемые для создания и развертывания ПО, что знаменует начала масштабной атаки на цепочку поставок.
Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами и является подходящим вектором для атаки на цепочку поставок.
LH | Новости | Курсы | Мемы
Исследователи бьют тревогу, предупреждая о начавшейся массовой эксплуатации критической уязвимости обхода аутентификации в TeamCity On-Premises от JetBrains.
CVE-2024-27198 с CVSS 9,8 из 10 затрагивает все выпуски локальной версии TeamCity до 2023.11.4 и была устранена поставщиком в понедельник, но пользователи не спешат с обновлением.
Согласно статистике, более 1700 серверов TeamCity остаются непропатченными.
Причем большинство уязвимых хостов располагаются в Германии, США и России, за ними следуют Китай, Нидерланды и Франция.
При этом, что важно, из них более 1440 экземпляров, которые уже взломаны хакерами. На них создано от 3 до 300 сотен пользователей, а шаблон наименований включает 8 буквенно-цифровых символов.
Как отмечают специалисты, задетектированные серверы TeamCity представляют собой производственные машины, используемые для создания и развертывания ПО, что знаменует начала масштабной атаки на цепочку поставок.
Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами и является подходящим вектором для атаки на цепочку поставок.
LH | Новости | Курсы | Мемы
👍3
Уязвимость в приложении Tesla позволяет угнать автомобиль с помощью Flipper Zero
Исследователи безопасности продемонстрировали, как они могут провести фишинговую атаку, чтобы скомпрометировать аккаунт владельца Tesla, разблокировать автомобиль и запустить двигатель. Отмечается, что атака актуальна для последней версии приложения Tesla 4.30.6 и прошивки автомобиля версии 11.1 2024.2.7.
Для демонстрации атаки использовался гаджет Flipper Zero, однако её можно провести и с использованием других устройств – компьютера, Raspberry Pi или Android-смартфона.
Атака начинается с развертывания поддельной WiFi-сети с названием «Tesla Guest» на зарядной станции Tesla. Такой SSID обычно встречается в сервисных центрах Tesla и хорошо знаком владельцам автомобилей. Подключившись к поддельной сети, жертва видит фишинговую страницу входа в аккаунт Tesla, куда и вводит свои учетные данные, которые моментально попадают к атакующему.
После получения учетных данных атакующий запрашивает одноразовый пароль для обхода двухфакторной аутентификации (2FA) и получает доступ к приложению Tesla, что позволяет отслеживать местоположение автомобиля в реальном времени.
Получив доступ к аккаунту Tesla, злоумышленник может добавить новый Phone Key. Для этого нужно находиться в непосредственной близости от автомобиля. Phone Key работает через мобильное приложение Tesla и смартфон владельца, обеспечивая возможность автоматического закрытия и открытия автомобиля через безопасное Bluetooth-соединение.
LH | Новости | Курсы | Мемы
Исследователи безопасности продемонстрировали, как они могут провести фишинговую атаку, чтобы скомпрометировать аккаунт владельца Tesla, разблокировать автомобиль и запустить двигатель. Отмечается, что атака актуальна для последней версии приложения Tesla 4.30.6 и прошивки автомобиля версии 11.1 2024.2.7.
Для демонстрации атаки использовался гаджет Flipper Zero, однако её можно провести и с использованием других устройств – компьютера, Raspberry Pi или Android-смартфона.
Атака начинается с развертывания поддельной WiFi-сети с названием «Tesla Guest» на зарядной станции Tesla. Такой SSID обычно встречается в сервисных центрах Tesla и хорошо знаком владельцам автомобилей. Подключившись к поддельной сети, жертва видит фишинговую страницу входа в аккаунт Tesla, куда и вводит свои учетные данные, которые моментально попадают к атакующему.
После получения учетных данных атакующий запрашивает одноразовый пароль для обхода двухфакторной аутентификации (2FA) и получает доступ к приложению Tesla, что позволяет отслеживать местоположение автомобиля в реальном времени.
Получив доступ к аккаунту Tesla, злоумышленник может добавить новый Phone Key. Для этого нужно находиться в непосредственной близости от автомобиля. Phone Key работает через мобильное приложение Tesla и смартфон владельца, обеспечивая возможность автоматического закрытия и открытия автомобиля через безопасное Bluetooth-соединение.
LH | Новости | Курсы | Мемы
👍5😁2
Власти Швейцарии подтвердили кражу 65 000 правительственных документов.
Национальный центр кибербезопасности Швейцарии (NCSC) опубликовал отчет о расследовании утечки данных после кибератаки с использованием программы-вымогателя на компанию Xplain. В результате происшествия были затронуты тысячи конфиденциальных файлов федерального правительства.
Xplain — швейцарский поставщик технологий и программных решений для различных правительственных ведомств, административных подразделений и даже вооруженных сил страны. Атака группировки Play произошла 23 мая 2023 года.
Вымогатели заявили, что украли документы с конфиденциальной информацией и в начале июня опубликовали украденные данные на своем сайте в даркнете. Правительство Швейцарии незамедлительно начало расследование и подтвердило, что среди утекших данных могут быть документы, принадлежащие Федеральной администрации Швейцарии.
7 марта власти объявили, что в результате нарушения утекло 65 000 документов правительства.
LH | Новости | Курсы | Мемы
Национальный центр кибербезопасности Швейцарии (NCSC) опубликовал отчет о расследовании утечки данных после кибератаки с использованием программы-вымогателя на компанию Xplain. В результате происшествия были затронуты тысячи конфиденциальных файлов федерального правительства.
Xplain — швейцарский поставщик технологий и программных решений для различных правительственных ведомств, административных подразделений и даже вооруженных сил страны. Атака группировки Play произошла 23 мая 2023 года.
Вымогатели заявили, что украли документы с конфиденциальной информацией и в начале июня опубликовали украденные данные на своем сайте в даркнете. Правительство Швейцарии незамедлительно начало расследование и подтвердило, что среди утекших данных могут быть документы, принадлежащие Федеральной администрации Швейцарии.
7 марта власти объявили, что в результате нарушения утекло 65 000 документов правительства.
LH | Новости | Курсы | Мемы
👍4
США готовы платить миллионы долларов за поимку охотника на гостайну
Один иранский хакер – угроза для безопасности всей страны.
Министерство юстиции Соединенных Штатов предъявило обвинения иранскому гражданину Алирезе Шафи Насабу . По данным следствия, мужчина на протяжении нескольких лет руководил масштабной кибероперацией, затронувшей сотни тысяч учетных записей и направленной на проникновение в компьютерные системы оборонных подрядчиков США и государственных ведомств.
Согласно обвинительному акту, Насаб и его сообщники действовали под прикрытием выдуманной кибербезопасной компании Mahak Rayan Afraz. Используя фишинговые рассылки, методы социальной инженерии и разработанное на заказ вредоносное ПО, они компрометировали американские цели в период с 2016 по апрель 2021 года.
«Насаб был участником кибероперации, в ходе которой через фишинг и другие хакерские уловки было взломано более 200 000 устройств, многие из которых содержали секретную оборонную информацию», — заявил прокурор Южного округа Нью-Йорка, Дэмиан Уильямс.
Главными мишенями Насаба и его группы были организации, связанные с Пентагоном, однако на их пути оказались и другие жертвы. Среди них: аудиторские фирмы, гостиницы Нью-Йорка, а также Госдепартамент, Министерство финансов США и одно неназванное иностранное государство.
Хотя обвинительный акт не раскрывает, удалось ли хакерам проникнуть в правительственные структуры, известно, что в последние годы Госдеп и Минфин США уже подвергались взломам, ответственность за которые была возложена на Китай и Россию соответственно.
По данным Минюста, члены группировки также прибегали к социальной инженерии, выдавая себя за женщин «для завоевания доверия жертв».
Деятельность компании Mahak Rayan Afraz ранее уже привлекала внимание экспертов по кибербезопасности.
LH | Новости | Курсы | Мемы
Один иранский хакер – угроза для безопасности всей страны.
Министерство юстиции Соединенных Штатов предъявило обвинения иранскому гражданину Алирезе Шафи Насабу . По данным следствия, мужчина на протяжении нескольких лет руководил масштабной кибероперацией, затронувшей сотни тысяч учетных записей и направленной на проникновение в компьютерные системы оборонных подрядчиков США и государственных ведомств.
Согласно обвинительному акту, Насаб и его сообщники действовали под прикрытием выдуманной кибербезопасной компании Mahak Rayan Afraz. Используя фишинговые рассылки, методы социальной инженерии и разработанное на заказ вредоносное ПО, они компрометировали американские цели в период с 2016 по апрель 2021 года.
«Насаб был участником кибероперации, в ходе которой через фишинг и другие хакерские уловки было взломано более 200 000 устройств, многие из которых содержали секретную оборонную информацию», — заявил прокурор Южного округа Нью-Йорка, Дэмиан Уильямс.
Главными мишенями Насаба и его группы были организации, связанные с Пентагоном, однако на их пути оказались и другие жертвы. Среди них: аудиторские фирмы, гостиницы Нью-Йорка, а также Госдепартамент, Министерство финансов США и одно неназванное иностранное государство.
Хотя обвинительный акт не раскрывает, удалось ли хакерам проникнуть в правительственные структуры, известно, что в последние годы Госдеп и Минфин США уже подвергались взломам, ответственность за которые была возложена на Китай и Россию соответственно.
По данным Минюста, члены группировки также прибегали к социальной инженерии, выдавая себя за женщин «для завоевания доверия жертв».
Деятельность компании Mahak Rayan Afraz ранее уже привлекала внимание экспертов по кибербезопасности.
LH | Новости | Курсы | Мемы
🔥5
Кибербандиты похищают SAML-токены из Cisco Secure Client
CRLF-инъекция может закончиться кражей вашей VPN-сессии.
Компания Cisco выпустила обновления для устранения критической уязвимости в своём программном обеспечении Secure Client, которая позволяла злоумышленникам подключаться к VPN-сессиям целевых пользователей.
Уязвимость, получившая обозначение CVE-2024-20337 с оценкой серьёзности 8.2 по шкале CVSS, позволяет неаутентифицированному удалённому злоумышленнику проводить атаки типа «CRLF Injection», благодаря чему хакеры могут заставить своих жертв переходить по специально созданной ссылке во время установления VPN-сессии.
Успешная атака даёт возможность выполнить произвольный скрипт в браузере жертвы или получить доступ к конфиденциальной информации, включая действительный токен SAML, что, в свою очередь, позволяет злоумышленнику устанавливать удалённый доступ к VPN-сессии с правами пострадавшего пользователя.
Уязвимость затрагивает Secure Client для Windows, Linux и macOS, но уже была исправлена компанией в последних релизах ПО. С таблицей безопасных версий можно ознакомиться на этой странице.
Кроме того, Cisco также устранила и другую критическую уязвимость под идентификатором CVE-2024-20338 (7.3 по шкале CVSS) в Secure Client для Linux, которая позволяла атакующему с локальным доступом повышать свои привилегии на устройстве. Эта уязвимость была исправлена в версии 5.1.2.42.
Cisco призывает пользователей немедленно обновить свои системы, чтобы защитить их от возможных атак.
LH | Новости | Курсы | Мемы
CRLF-инъекция может закончиться кражей вашей VPN-сессии.
Компания Cisco выпустила обновления для устранения критической уязвимости в своём программном обеспечении Secure Client, которая позволяла злоумышленникам подключаться к VPN-сессиям целевых пользователей.
Уязвимость, получившая обозначение CVE-2024-20337 с оценкой серьёзности 8.2 по шкале CVSS, позволяет неаутентифицированному удалённому злоумышленнику проводить атаки типа «CRLF Injection», благодаря чему хакеры могут заставить своих жертв переходить по специально созданной ссылке во время установления VPN-сессии.
Успешная атака даёт возможность выполнить произвольный скрипт в браузере жертвы или получить доступ к конфиденциальной информации, включая действительный токен SAML, что, в свою очередь, позволяет злоумышленнику устанавливать удалённый доступ к VPN-сессии с правами пострадавшего пользователя.
Уязвимость затрагивает Secure Client для Windows, Linux и macOS, но уже была исправлена компанией в последних релизах ПО. С таблицей безопасных версий можно ознакомиться на этой странице.
Кроме того, Cisco также устранила и другую критическую уязвимость под идентификатором CVE-2024-20338 (7.3 по шкале CVSS) в Secure Client для Linux, которая позволяла атакующему с локальным доступом повышать свои привилегии на устройстве. Эта уязвимость была исправлена в версии 5.1.2.42.
Cisco призывает пользователей немедленно обновить свои системы, чтобы защитить их от возможных атак.
LH | Новости | Курсы | Мемы
👍4
Хакерский удар по Microsoft: руководители под слежкой, исходный код скомпрометирован
Компания борется с несанкционированным доступом к своим системам.
В результате беспрецедентной кибератаки злоумышленникам удалось проникнуть в критически важные программные системы технологического гиганта Microsoft, о чем впервые стало известно в январе. Однако согласно свежим данным, обнародованным вчера, масштабы этого инцидента оказались гораздо более серьезными и широкомасштабными, чем предполагалось изначально.
Хакерам удалось получить высокоуровневый доступ к ключевым компонентам внутренней инфраструктуры Microsoft, что представляет собой одну из самых разрушительных кибератак за всю историю компании. Это происшествие ставит под угрозу безопасность огромного количества корпоративных и правительственных клиентов, использующих программные продукты Microsoft по всему миру.
По сообщению компании , за последние недели злоумышленники использовали украденную информацию из корпоративных электронных систем Microsoft для доступа к хранилищам исходного кода и внутренним системам. Исходный код особенно ценится в корпоративной среде и среди шпионов, так как содержит секретную "начинку" программного обеспечения, которая обеспечивает его функционирование. Доступ к исходному коду дает возможность проводить последующие атаки на другие системы.
О нарушении безопасности было объявлено в январе, вскоре после этого другая крупная технологическая компания, Hewlett Packard Enterprise, сообщила о взломе своих облачных электронных систем теми же хакерами. Масштабы атаки и конкретные цели действий хакеров до сих пор не разгаданы, тем не менее эксперты указывают на то, что группа, стоящая за этими атаками, ранее занималась проведением обширных кампаний по сбору разведданных.
Эта группа была вовлечена в знаменитое нарушение безопасности электронной почты нескольких американских агентств через программное обеспечение американского подрядчика SolarWinds, обнаруженное в 2020 году.
LH | Новости | Курсы | Мемы
Компания борется с несанкционированным доступом к своим системам.
В результате беспрецедентной кибератаки злоумышленникам удалось проникнуть в критически важные программные системы технологического гиганта Microsoft, о чем впервые стало известно в январе. Однако согласно свежим данным, обнародованным вчера, масштабы этого инцидента оказались гораздо более серьезными и широкомасштабными, чем предполагалось изначально.
Хакерам удалось получить высокоуровневый доступ к ключевым компонентам внутренней инфраструктуры Microsoft, что представляет собой одну из самых разрушительных кибератак за всю историю компании. Это происшествие ставит под угрозу безопасность огромного количества корпоративных и правительственных клиентов, использующих программные продукты Microsoft по всему миру.
По сообщению компании , за последние недели злоумышленники использовали украденную информацию из корпоративных электронных систем Microsoft для доступа к хранилищам исходного кода и внутренним системам. Исходный код особенно ценится в корпоративной среде и среди шпионов, так как содержит секретную "начинку" программного обеспечения, которая обеспечивает его функционирование. Доступ к исходному коду дает возможность проводить последующие атаки на другие системы.
О нарушении безопасности было объявлено в январе, вскоре после этого другая крупная технологическая компания, Hewlett Packard Enterprise, сообщила о взломе своих облачных электронных систем теми же хакерами. Масштабы атаки и конкретные цели действий хакеров до сих пор не разгаданы, тем не менее эксперты указывают на то, что группа, стоящая за этими атаками, ранее занималась проведением обширных кампаний по сбору разведданных.
Эта группа была вовлечена в знаменитое нарушение безопасности электронной почты нескольких американских агентств через программное обеспечение американского подрядчика SolarWinds, обнаруженное в 2020 году.
LH | Новости | Курсы | Мемы
👍7🔥2
ИИ-оружие массового поражения: ученые создали противоядие
Время контролировать технологии будущего уже наступило.
В последнее время активно развиваются исследования в области искусственного интеллекта (ИИ), которые могут принести как пользу, так и вред. Среди возможных опасностей обсуждаются риски использования больших языковых моделей (LLM) для создания оружия. В ответ на эти опасения эксперты разработали новый инструмент оценки - набор данных под названием "Прокси оружия массового поражения" (Weapons of Mass Destruction Proxy, WMDP), который позволяет определить наличие опасной информации в ИИ-моделях и методы для её удаления, не влияя на общие функциональные возможности моделей.
Исследователи, работая над созданием WMDP, консультировались с экспертами в области биобезопасности, химического оружия и кибербезопасности для составления вопросов, оценивающих знания ИИ по этим темам. Всего было создано 4000 вопросов с выбором ответа, которые не содержат чувствительной информации и могут быть опубликованы.
Этот набор данных предназначен не только для оценки способностей ИИ понимать опасные темы, но и как основа для разработки методов "разучивания" этих знаний моделями. Команда представила новый метод разучивания под названием CUT, который удаляет опасные знания, сохраняя при этом возможности ИИ в других областях.
Важность этой работы подчеркивается на высшем уровне. Многие страны выражают обеспокоенность по поводу возможного использования ИИ для разработки опасного оружия. В октябре 2023 года президент США Джо Байден подписал указ, направленный на обеспечение лидерства США в использовании ИИ, с учетом как его потенциала, так и связанных с ним рисков. В указе изложены восемь принципов ответственного использования ИИ, включая безопасность, конфиденциальность, равенство, защиту прав потребителей и инновации.
LH | Новости | Курсы | Мемы
Время контролировать технологии будущего уже наступило.
В последнее время активно развиваются исследования в области искусственного интеллекта (ИИ), которые могут принести как пользу, так и вред. Среди возможных опасностей обсуждаются риски использования больших языковых моделей (LLM) для создания оружия. В ответ на эти опасения эксперты разработали новый инструмент оценки - набор данных под названием "Прокси оружия массового поражения" (Weapons of Mass Destruction Proxy, WMDP), который позволяет определить наличие опасной информации в ИИ-моделях и методы для её удаления, не влияя на общие функциональные возможности моделей.
Исследователи, работая над созданием WMDP, консультировались с экспертами в области биобезопасности, химического оружия и кибербезопасности для составления вопросов, оценивающих знания ИИ по этим темам. Всего было создано 4000 вопросов с выбором ответа, которые не содержат чувствительной информации и могут быть опубликованы.
Этот набор данных предназначен не только для оценки способностей ИИ понимать опасные темы, но и как основа для разработки методов "разучивания" этих знаний моделями. Команда представила новый метод разучивания под названием CUT, который удаляет опасные знания, сохраняя при этом возможности ИИ в других областях.
Важность этой работы подчеркивается на высшем уровне. Многие страны выражают обеспокоенность по поводу возможного использования ИИ для разработки опасного оружия. В октябре 2023 года президент США Джо Байден подписал указ, направленный на обеспечение лидерства США в использовании ИИ, с учетом как его потенциала, так и связанных с ним рисков. В указе изложены восемь принципов ответственного использования ИИ, включая безопасность, конфиденциальность, равенство, защиту прав потребителей и инновации.
LH | Новости | Курсы | Мемы
🤔3
Forwarded from Life-Hack - Хакер
Топ популярных постов за прошедшую неделю (сохрани себе и отправь другу):
1. Предыдущий топ статей
2. Обратная Сторона Кода: Глубокое Погружение в Мир Вредоносного ПО
3. Установка и настройка tor в Linux Mint
4. BEE·bot — рекурсивный интернет-сканер для хакеров
5. SSH-Snake - это мощный инструмент, предназначенный для автоматического обхода сети с использованием закрытых ключей SSH.
6. Получение мостов tor из GMail с помощью Python
#подборка
LH | Новости | Курсы | Мемы
1. Предыдущий топ статей
2. Обратная Сторона Кода: Глубокое Погружение в Мир Вредоносного ПО
3. Установка и настройка tor в Linux Mint
4. BEE·bot — рекурсивный интернет-сканер для хакеров
5. SSH-Snake - это мощный инструмент, предназначенный для автоматического обхода сети с использованием закрытых ключей SSH.
6. Получение мостов tor из GMail с помощью Python
#подборка
LH | Новости | Курсы | Мемы
👍1
Уязвимые версии по всему миру.
Почти через месяц после того, как Fortinet устранила CVE-2024-21762, The Shadowserver Foundation объявила в четверг, что обнаружила почти 150 000 уязвимых устройств. Сканирование проверяет наличие уязвимых версий, поэтому количество затронутых устройств может быть меньше, если администраторы применяют меры по устранению рисков вместо обновления. Удаленный злоумышленник может использовать уязвимость CVE-2024-21762 (9,8 балла серьезности по данным NIST), отправляя специально созданные HTTP-запросы на уязвимые компьютеры. Больше всего уязвимых устройств — более 24 000 — находятся в США, за ними следуют Индия, Бразилия и Канада.
LH | Новости | Курсы | Мемы
Почти через месяц после того, как Fortinet устранила CVE-2024-21762, The Shadowserver Foundation объявила в четверг, что обнаружила почти 150 000 уязвимых устройств. Сканирование проверяет наличие уязвимых версий, поэтому количество затронутых устройств может быть меньше, если администраторы применяют меры по устранению рисков вместо обновления. Удаленный злоумышленник может использовать уязвимость CVE-2024-21762 (9,8 балла серьезности по данным NIST), отправляя специально созданные HTTP-запросы на уязвимые компьютеры. Больше всего уязвимых устройств — более 24 000 — находятся в США, за ними следуют Индия, Бразилия и Канада.
LH | Новости | Курсы | Мемы
👍3❤2