VMWare исправляет критические уязвимости побега из песочницы в ESXi, Workstation и Fusion
Компания VMware призывает клиентов как можно скорее устранить критические уязвимости, позволяющие обойти защиту и осуществить побег из песочницы во всех версиях VMware ESXi, Workstation, Fusion и Cloud Foundation. Проблемы затрагивают все версии и настолько серьезны, что патчи выпущены даже продуктов, поддержка которых уже была прекращена.
Дело в том, что свежие уязвимости позволяют получить несанкционированный доступ к хост-системе, на которой установлен гипервизор, или получить доступ к другим виртуальным машинам, работающим на том же хосте.
Уязвимости получили идентификаторы CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 и CVE-2024-22255 (от 7,1 до 9,3 балла по шкале CVSS), и все они имеют статус критических.
▪ CVE-2024-22252 и CVE-2024-22253: проблемы типа use-after free в USB-контроллерах XHCI и UHCI. Затрагивают Workstation, Fusion и ESXi. Эксплуатация уязвимостей требует привилегий локального администратора на виртуальной машине и позволяет выполнить код от имени процесса VMX виртуальной машины на хосте. В Workstation и Fusion это может привести к выполнению произвольного кода на хост-машине.
▪ CVE-2024-22254: уязвимость out-of-bounds записи в ESXi, позволяющая злоумышленнику с привилегиями процесса VMX производить запись за пределы заданной области памяти, что может привести к побегу из песочницы.
▪ CVE-2024-22255: баг, связанный с раскрытием информации в USB-контроллере UHCI, затрагивающий ESXi, Workstation и Fusion. Может позволить злоумышленнику с правами администратора на виртуальной машине слить память процесса VMX.
LH | Новости | Курсы | Мемы
Компания VMware призывает клиентов как можно скорее устранить критические уязвимости, позволяющие обойти защиту и осуществить побег из песочницы во всех версиях VMware ESXi, Workstation, Fusion и Cloud Foundation. Проблемы затрагивают все версии и настолько серьезны, что патчи выпущены даже продуктов, поддержка которых уже была прекращена.
Дело в том, что свежие уязвимости позволяют получить несанкционированный доступ к хост-системе, на которой установлен гипервизор, или получить доступ к другим виртуальным машинам, работающим на том же хосте.
Уязвимости получили идентификаторы CVE-2024-22252, CVE-2024-22253, CVE-2024-22254 и CVE-2024-22255 (от 7,1 до 9,3 балла по шкале CVSS), и все они имеют статус критических.
▪ CVE-2024-22252 и CVE-2024-22253: проблемы типа use-after free в USB-контроллерах XHCI и UHCI. Затрагивают Workstation, Fusion и ESXi. Эксплуатация уязвимостей требует привилегий локального администратора на виртуальной машине и позволяет выполнить код от имени процесса VMX виртуальной машины на хосте. В Workstation и Fusion это может привести к выполнению произвольного кода на хост-машине.
▪ CVE-2024-22254: уязвимость out-of-bounds записи в ESXi, позволяющая злоумышленнику с привилегиями процесса VMX производить запись за пределы заданной области памяти, что может привести к побегу из песочницы.
▪ CVE-2024-22255: баг, связанный с раскрытием информации в USB-контроллере UHCI, затрагивающий ESXi, Workstation и Fusion. Может позволить злоумышленнику с правами администратора на виртуальной машине слить память процесса VMX.
LH | Новости | Курсы | Мемы
👍3❤1
RCE in JetBrains TeamCity
Исследователи бьют тревогу, предупреждая о начавшейся массовой эксплуатации критической уязвимости обхода аутентификации в TeamCity On-Premises от JetBrains.
CVE-2024-27198 с CVSS 9,8 из 10 затрагивает все выпуски локальной версии TeamCity до 2023.11.4 и была устранена поставщиком в понедельник, но пользователи не спешат с обновлением.
Согласно статистике, более 1700 серверов TeamCity остаются непропатченными.
Причем большинство уязвимых хостов располагаются в Германии, США и России, за ними следуют Китай, Нидерланды и Франция.
При этом, что важно, из них более 1440 экземпляров, которые уже взломаны хакерами. На них создано от 3 до 300 сотен пользователей, а шаблон наименований включает 8 буквенно-цифровых символов.
Как отмечают специалисты, задетектированные серверы TeamCity представляют собой производственные машины, используемые для создания и развертывания ПО, что знаменует начала масштабной атаки на цепочку поставок.
Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами и является подходящим вектором для атаки на цепочку поставок.
LH | Новости | Курсы | Мемы
Исследователи бьют тревогу, предупреждая о начавшейся массовой эксплуатации критической уязвимости обхода аутентификации в TeamCity On-Premises от JetBrains.
CVE-2024-27198 с CVSS 9,8 из 10 затрагивает все выпуски локальной версии TeamCity до 2023.11.4 и была устранена поставщиком в понедельник, но пользователи не спешат с обновлением.
Согласно статистике, более 1700 серверов TeamCity остаются непропатченными.
Причем большинство уязвимых хостов располагаются в Германии, США и России, за ними следуют Китай, Нидерланды и Франция.
При этом, что важно, из них более 1440 экземпляров, которые уже взломаны хакерами. На них создано от 3 до 300 сотен пользователей, а шаблон наименований включает 8 буквенно-цифровых символов.
Как отмечают специалисты, задетектированные серверы TeamCity представляют собой производственные машины, используемые для создания и развертывания ПО, что знаменует начала масштабной атаки на цепочку поставок.
Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами и является подходящим вектором для атаки на цепочку поставок.
LH | Новости | Курсы | Мемы
👍3
Уязвимость в приложении Tesla позволяет угнать автомобиль с помощью Flipper Zero
Исследователи безопасности продемонстрировали, как они могут провести фишинговую атаку, чтобы скомпрометировать аккаунт владельца Tesla, разблокировать автомобиль и запустить двигатель. Отмечается, что атака актуальна для последней версии приложения Tesla 4.30.6 и прошивки автомобиля версии 11.1 2024.2.7.
Для демонстрации атаки использовался гаджет Flipper Zero, однако её можно провести и с использованием других устройств – компьютера, Raspberry Pi или Android-смартфона.
Атака начинается с развертывания поддельной WiFi-сети с названием «Tesla Guest» на зарядной станции Tesla. Такой SSID обычно встречается в сервисных центрах Tesla и хорошо знаком владельцам автомобилей. Подключившись к поддельной сети, жертва видит фишинговую страницу входа в аккаунт Tesla, куда и вводит свои учетные данные, которые моментально попадают к атакующему.
После получения учетных данных атакующий запрашивает одноразовый пароль для обхода двухфакторной аутентификации (2FA) и получает доступ к приложению Tesla, что позволяет отслеживать местоположение автомобиля в реальном времени.
Получив доступ к аккаунту Tesla, злоумышленник может добавить новый Phone Key. Для этого нужно находиться в непосредственной близости от автомобиля. Phone Key работает через мобильное приложение Tesla и смартфон владельца, обеспечивая возможность автоматического закрытия и открытия автомобиля через безопасное Bluetooth-соединение.
LH | Новости | Курсы | Мемы
Исследователи безопасности продемонстрировали, как они могут провести фишинговую атаку, чтобы скомпрометировать аккаунт владельца Tesla, разблокировать автомобиль и запустить двигатель. Отмечается, что атака актуальна для последней версии приложения Tesla 4.30.6 и прошивки автомобиля версии 11.1 2024.2.7.
Для демонстрации атаки использовался гаджет Flipper Zero, однако её можно провести и с использованием других устройств – компьютера, Raspberry Pi или Android-смартфона.
Атака начинается с развертывания поддельной WiFi-сети с названием «Tesla Guest» на зарядной станции Tesla. Такой SSID обычно встречается в сервисных центрах Tesla и хорошо знаком владельцам автомобилей. Подключившись к поддельной сети, жертва видит фишинговую страницу входа в аккаунт Tesla, куда и вводит свои учетные данные, которые моментально попадают к атакующему.
После получения учетных данных атакующий запрашивает одноразовый пароль для обхода двухфакторной аутентификации (2FA) и получает доступ к приложению Tesla, что позволяет отслеживать местоположение автомобиля в реальном времени.
Получив доступ к аккаунту Tesla, злоумышленник может добавить новый Phone Key. Для этого нужно находиться в непосредственной близости от автомобиля. Phone Key работает через мобильное приложение Tesla и смартфон владельца, обеспечивая возможность автоматического закрытия и открытия автомобиля через безопасное Bluetooth-соединение.
LH | Новости | Курсы | Мемы
👍5😁2
Власти Швейцарии подтвердили кражу 65 000 правительственных документов.
Национальный центр кибербезопасности Швейцарии (NCSC) опубликовал отчет о расследовании утечки данных после кибератаки с использованием программы-вымогателя на компанию Xplain. В результате происшествия были затронуты тысячи конфиденциальных файлов федерального правительства.
Xplain — швейцарский поставщик технологий и программных решений для различных правительственных ведомств, административных подразделений и даже вооруженных сил страны. Атака группировки Play произошла 23 мая 2023 года.
Вымогатели заявили, что украли документы с конфиденциальной информацией и в начале июня опубликовали украденные данные на своем сайте в даркнете. Правительство Швейцарии незамедлительно начало расследование и подтвердило, что среди утекших данных могут быть документы, принадлежащие Федеральной администрации Швейцарии.
7 марта власти объявили, что в результате нарушения утекло 65 000 документов правительства.
LH | Новости | Курсы | Мемы
Национальный центр кибербезопасности Швейцарии (NCSC) опубликовал отчет о расследовании утечки данных после кибератаки с использованием программы-вымогателя на компанию Xplain. В результате происшествия были затронуты тысячи конфиденциальных файлов федерального правительства.
Xplain — швейцарский поставщик технологий и программных решений для различных правительственных ведомств, административных подразделений и даже вооруженных сил страны. Атака группировки Play произошла 23 мая 2023 года.
Вымогатели заявили, что украли документы с конфиденциальной информацией и в начале июня опубликовали украденные данные на своем сайте в даркнете. Правительство Швейцарии незамедлительно начало расследование и подтвердило, что среди утекших данных могут быть документы, принадлежащие Федеральной администрации Швейцарии.
7 марта власти объявили, что в результате нарушения утекло 65 000 документов правительства.
LH | Новости | Курсы | Мемы
👍4
США готовы платить миллионы долларов за поимку охотника на гостайну
Один иранский хакер – угроза для безопасности всей страны.
Министерство юстиции Соединенных Штатов предъявило обвинения иранскому гражданину Алирезе Шафи Насабу . По данным следствия, мужчина на протяжении нескольких лет руководил масштабной кибероперацией, затронувшей сотни тысяч учетных записей и направленной на проникновение в компьютерные системы оборонных подрядчиков США и государственных ведомств.
Согласно обвинительному акту, Насаб и его сообщники действовали под прикрытием выдуманной кибербезопасной компании Mahak Rayan Afraz. Используя фишинговые рассылки, методы социальной инженерии и разработанное на заказ вредоносное ПО, они компрометировали американские цели в период с 2016 по апрель 2021 года.
«Насаб был участником кибероперации, в ходе которой через фишинг и другие хакерские уловки было взломано более 200 000 устройств, многие из которых содержали секретную оборонную информацию», — заявил прокурор Южного округа Нью-Йорка, Дэмиан Уильямс.
Главными мишенями Насаба и его группы были организации, связанные с Пентагоном, однако на их пути оказались и другие жертвы. Среди них: аудиторские фирмы, гостиницы Нью-Йорка, а также Госдепартамент, Министерство финансов США и одно неназванное иностранное государство.
Хотя обвинительный акт не раскрывает, удалось ли хакерам проникнуть в правительственные структуры, известно, что в последние годы Госдеп и Минфин США уже подвергались взломам, ответственность за которые была возложена на Китай и Россию соответственно.
По данным Минюста, члены группировки также прибегали к социальной инженерии, выдавая себя за женщин «для завоевания доверия жертв».
Деятельность компании Mahak Rayan Afraz ранее уже привлекала внимание экспертов по кибербезопасности.
LH | Новости | Курсы | Мемы
Один иранский хакер – угроза для безопасности всей страны.
Министерство юстиции Соединенных Штатов предъявило обвинения иранскому гражданину Алирезе Шафи Насабу . По данным следствия, мужчина на протяжении нескольких лет руководил масштабной кибероперацией, затронувшей сотни тысяч учетных записей и направленной на проникновение в компьютерные системы оборонных подрядчиков США и государственных ведомств.
Согласно обвинительному акту, Насаб и его сообщники действовали под прикрытием выдуманной кибербезопасной компании Mahak Rayan Afraz. Используя фишинговые рассылки, методы социальной инженерии и разработанное на заказ вредоносное ПО, они компрометировали американские цели в период с 2016 по апрель 2021 года.
«Насаб был участником кибероперации, в ходе которой через фишинг и другие хакерские уловки было взломано более 200 000 устройств, многие из которых содержали секретную оборонную информацию», — заявил прокурор Южного округа Нью-Йорка, Дэмиан Уильямс.
Главными мишенями Насаба и его группы были организации, связанные с Пентагоном, однако на их пути оказались и другие жертвы. Среди них: аудиторские фирмы, гостиницы Нью-Йорка, а также Госдепартамент, Министерство финансов США и одно неназванное иностранное государство.
Хотя обвинительный акт не раскрывает, удалось ли хакерам проникнуть в правительственные структуры, известно, что в последние годы Госдеп и Минфин США уже подвергались взломам, ответственность за которые была возложена на Китай и Россию соответственно.
По данным Минюста, члены группировки также прибегали к социальной инженерии, выдавая себя за женщин «для завоевания доверия жертв».
Деятельность компании Mahak Rayan Afraz ранее уже привлекала внимание экспертов по кибербезопасности.
LH | Новости | Курсы | Мемы
🔥5
Кибербандиты похищают SAML-токены из Cisco Secure Client
CRLF-инъекция может закончиться кражей вашей VPN-сессии.
Компания Cisco выпустила обновления для устранения критической уязвимости в своём программном обеспечении Secure Client, которая позволяла злоумышленникам подключаться к VPN-сессиям целевых пользователей.
Уязвимость, получившая обозначение CVE-2024-20337 с оценкой серьёзности 8.2 по шкале CVSS, позволяет неаутентифицированному удалённому злоумышленнику проводить атаки типа «CRLF Injection», благодаря чему хакеры могут заставить своих жертв переходить по специально созданной ссылке во время установления VPN-сессии.
Успешная атака даёт возможность выполнить произвольный скрипт в браузере жертвы или получить доступ к конфиденциальной информации, включая действительный токен SAML, что, в свою очередь, позволяет злоумышленнику устанавливать удалённый доступ к VPN-сессии с правами пострадавшего пользователя.
Уязвимость затрагивает Secure Client для Windows, Linux и macOS, но уже была исправлена компанией в последних релизах ПО. С таблицей безопасных версий можно ознакомиться на этой странице.
Кроме того, Cisco также устранила и другую критическую уязвимость под идентификатором CVE-2024-20338 (7.3 по шкале CVSS) в Secure Client для Linux, которая позволяла атакующему с локальным доступом повышать свои привилегии на устройстве. Эта уязвимость была исправлена в версии 5.1.2.42.
Cisco призывает пользователей немедленно обновить свои системы, чтобы защитить их от возможных атак.
LH | Новости | Курсы | Мемы
CRLF-инъекция может закончиться кражей вашей VPN-сессии.
Компания Cisco выпустила обновления для устранения критической уязвимости в своём программном обеспечении Secure Client, которая позволяла злоумышленникам подключаться к VPN-сессиям целевых пользователей.
Уязвимость, получившая обозначение CVE-2024-20337 с оценкой серьёзности 8.2 по шкале CVSS, позволяет неаутентифицированному удалённому злоумышленнику проводить атаки типа «CRLF Injection», благодаря чему хакеры могут заставить своих жертв переходить по специально созданной ссылке во время установления VPN-сессии.
Успешная атака даёт возможность выполнить произвольный скрипт в браузере жертвы или получить доступ к конфиденциальной информации, включая действительный токен SAML, что, в свою очередь, позволяет злоумышленнику устанавливать удалённый доступ к VPN-сессии с правами пострадавшего пользователя.
Уязвимость затрагивает Secure Client для Windows, Linux и macOS, но уже была исправлена компанией в последних релизах ПО. С таблицей безопасных версий можно ознакомиться на этой странице.
Кроме того, Cisco также устранила и другую критическую уязвимость под идентификатором CVE-2024-20338 (7.3 по шкале CVSS) в Secure Client для Linux, которая позволяла атакующему с локальным доступом повышать свои привилегии на устройстве. Эта уязвимость была исправлена в версии 5.1.2.42.
Cisco призывает пользователей немедленно обновить свои системы, чтобы защитить их от возможных атак.
LH | Новости | Курсы | Мемы
👍4
Хакерский удар по Microsoft: руководители под слежкой, исходный код скомпрометирован
Компания борется с несанкционированным доступом к своим системам.
В результате беспрецедентной кибератаки злоумышленникам удалось проникнуть в критически важные программные системы технологического гиганта Microsoft, о чем впервые стало известно в январе. Однако согласно свежим данным, обнародованным вчера, масштабы этого инцидента оказались гораздо более серьезными и широкомасштабными, чем предполагалось изначально.
Хакерам удалось получить высокоуровневый доступ к ключевым компонентам внутренней инфраструктуры Microsoft, что представляет собой одну из самых разрушительных кибератак за всю историю компании. Это происшествие ставит под угрозу безопасность огромного количества корпоративных и правительственных клиентов, использующих программные продукты Microsoft по всему миру.
По сообщению компании , за последние недели злоумышленники использовали украденную информацию из корпоративных электронных систем Microsoft для доступа к хранилищам исходного кода и внутренним системам. Исходный код особенно ценится в корпоративной среде и среди шпионов, так как содержит секретную "начинку" программного обеспечения, которая обеспечивает его функционирование. Доступ к исходному коду дает возможность проводить последующие атаки на другие системы.
О нарушении безопасности было объявлено в январе, вскоре после этого другая крупная технологическая компания, Hewlett Packard Enterprise, сообщила о взломе своих облачных электронных систем теми же хакерами. Масштабы атаки и конкретные цели действий хакеров до сих пор не разгаданы, тем не менее эксперты указывают на то, что группа, стоящая за этими атаками, ранее занималась проведением обширных кампаний по сбору разведданных.
Эта группа была вовлечена в знаменитое нарушение безопасности электронной почты нескольких американских агентств через программное обеспечение американского подрядчика SolarWinds, обнаруженное в 2020 году.
LH | Новости | Курсы | Мемы
Компания борется с несанкционированным доступом к своим системам.
В результате беспрецедентной кибератаки злоумышленникам удалось проникнуть в критически важные программные системы технологического гиганта Microsoft, о чем впервые стало известно в январе. Однако согласно свежим данным, обнародованным вчера, масштабы этого инцидента оказались гораздо более серьезными и широкомасштабными, чем предполагалось изначально.
Хакерам удалось получить высокоуровневый доступ к ключевым компонентам внутренней инфраструктуры Microsoft, что представляет собой одну из самых разрушительных кибератак за всю историю компании. Это происшествие ставит под угрозу безопасность огромного количества корпоративных и правительственных клиентов, использующих программные продукты Microsoft по всему миру.
По сообщению компании , за последние недели злоумышленники использовали украденную информацию из корпоративных электронных систем Microsoft для доступа к хранилищам исходного кода и внутренним системам. Исходный код особенно ценится в корпоративной среде и среди шпионов, так как содержит секретную "начинку" программного обеспечения, которая обеспечивает его функционирование. Доступ к исходному коду дает возможность проводить последующие атаки на другие системы.
О нарушении безопасности было объявлено в январе, вскоре после этого другая крупная технологическая компания, Hewlett Packard Enterprise, сообщила о взломе своих облачных электронных систем теми же хакерами. Масштабы атаки и конкретные цели действий хакеров до сих пор не разгаданы, тем не менее эксперты указывают на то, что группа, стоящая за этими атаками, ранее занималась проведением обширных кампаний по сбору разведданных.
Эта группа была вовлечена в знаменитое нарушение безопасности электронной почты нескольких американских агентств через программное обеспечение американского подрядчика SolarWinds, обнаруженное в 2020 году.
LH | Новости | Курсы | Мемы
👍7🔥2
ИИ-оружие массового поражения: ученые создали противоядие
Время контролировать технологии будущего уже наступило.
В последнее время активно развиваются исследования в области искусственного интеллекта (ИИ), которые могут принести как пользу, так и вред. Среди возможных опасностей обсуждаются риски использования больших языковых моделей (LLM) для создания оружия. В ответ на эти опасения эксперты разработали новый инструмент оценки - набор данных под названием "Прокси оружия массового поражения" (Weapons of Mass Destruction Proxy, WMDP), который позволяет определить наличие опасной информации в ИИ-моделях и методы для её удаления, не влияя на общие функциональные возможности моделей.
Исследователи, работая над созданием WMDP, консультировались с экспертами в области биобезопасности, химического оружия и кибербезопасности для составления вопросов, оценивающих знания ИИ по этим темам. Всего было создано 4000 вопросов с выбором ответа, которые не содержат чувствительной информации и могут быть опубликованы.
Этот набор данных предназначен не только для оценки способностей ИИ понимать опасные темы, но и как основа для разработки методов "разучивания" этих знаний моделями. Команда представила новый метод разучивания под названием CUT, который удаляет опасные знания, сохраняя при этом возможности ИИ в других областях.
Важность этой работы подчеркивается на высшем уровне. Многие страны выражают обеспокоенность по поводу возможного использования ИИ для разработки опасного оружия. В октябре 2023 года президент США Джо Байден подписал указ, направленный на обеспечение лидерства США в использовании ИИ, с учетом как его потенциала, так и связанных с ним рисков. В указе изложены восемь принципов ответственного использования ИИ, включая безопасность, конфиденциальность, равенство, защиту прав потребителей и инновации.
LH | Новости | Курсы | Мемы
Время контролировать технологии будущего уже наступило.
В последнее время активно развиваются исследования в области искусственного интеллекта (ИИ), которые могут принести как пользу, так и вред. Среди возможных опасностей обсуждаются риски использования больших языковых моделей (LLM) для создания оружия. В ответ на эти опасения эксперты разработали новый инструмент оценки - набор данных под названием "Прокси оружия массового поражения" (Weapons of Mass Destruction Proxy, WMDP), который позволяет определить наличие опасной информации в ИИ-моделях и методы для её удаления, не влияя на общие функциональные возможности моделей.
Исследователи, работая над созданием WMDP, консультировались с экспертами в области биобезопасности, химического оружия и кибербезопасности для составления вопросов, оценивающих знания ИИ по этим темам. Всего было создано 4000 вопросов с выбором ответа, которые не содержат чувствительной информации и могут быть опубликованы.
Этот набор данных предназначен не только для оценки способностей ИИ понимать опасные темы, но и как основа для разработки методов "разучивания" этих знаний моделями. Команда представила новый метод разучивания под названием CUT, который удаляет опасные знания, сохраняя при этом возможности ИИ в других областях.
Важность этой работы подчеркивается на высшем уровне. Многие страны выражают обеспокоенность по поводу возможного использования ИИ для разработки опасного оружия. В октябре 2023 года президент США Джо Байден подписал указ, направленный на обеспечение лидерства США в использовании ИИ, с учетом как его потенциала, так и связанных с ним рисков. В указе изложены восемь принципов ответственного использования ИИ, включая безопасность, конфиденциальность, равенство, защиту прав потребителей и инновации.
LH | Новости | Курсы | Мемы
🤔3
Forwarded from Life-Hack - Хакер
Топ популярных постов за прошедшую неделю (сохрани себе и отправь другу):
1. Предыдущий топ статей
2. Обратная Сторона Кода: Глубокое Погружение в Мир Вредоносного ПО
3. Установка и настройка tor в Linux Mint
4. BEE·bot — рекурсивный интернет-сканер для хакеров
5. SSH-Snake - это мощный инструмент, предназначенный для автоматического обхода сети с использованием закрытых ключей SSH.
6. Получение мостов tor из GMail с помощью Python
#подборка
LH | Новости | Курсы | Мемы
1. Предыдущий топ статей
2. Обратная Сторона Кода: Глубокое Погружение в Мир Вредоносного ПО
3. Установка и настройка tor в Linux Mint
4. BEE·bot — рекурсивный интернет-сканер для хакеров
5. SSH-Snake - это мощный инструмент, предназначенный для автоматического обхода сети с использованием закрытых ключей SSH.
6. Получение мостов tor из GMail с помощью Python
#подборка
LH | Новости | Курсы | Мемы
👍1
Уязвимые версии по всему миру.
Почти через месяц после того, как Fortinet устранила CVE-2024-21762, The Shadowserver Foundation объявила в четверг, что обнаружила почти 150 000 уязвимых устройств. Сканирование проверяет наличие уязвимых версий, поэтому количество затронутых устройств может быть меньше, если администраторы применяют меры по устранению рисков вместо обновления. Удаленный злоумышленник может использовать уязвимость CVE-2024-21762 (9,8 балла серьезности по данным NIST), отправляя специально созданные HTTP-запросы на уязвимые компьютеры. Больше всего уязвимых устройств — более 24 000 — находятся в США, за ними следуют Индия, Бразилия и Канада.
LH | Новости | Курсы | Мемы
Почти через месяц после того, как Fortinet устранила CVE-2024-21762, The Shadowserver Foundation объявила в четверг, что обнаружила почти 150 000 уязвимых устройств. Сканирование проверяет наличие уязвимых версий, поэтому количество затронутых устройств может быть меньше, если администраторы применяют меры по устранению рисков вместо обновления. Удаленный злоумышленник может использовать уязвимость CVE-2024-21762 (9,8 балла серьезности по данным NIST), отправляя специально созданные HTTP-запросы на уязвимые компьютеры. Больше всего уязвимых устройств — более 24 000 — находятся в США, за ними следуют Индия, Бразилия и Канада.
LH | Новости | Курсы | Мемы
👍3❤2
Прорыв в технологии 6G: маленький чип с большими возможностями.
В новом исследовании представлена технология, способная утроить скорости передачи данных в беспроводных сетях, что может стать значительным шагом в развитии коммуникаций 6G. Исследователи разработали микрочипы, оборудованные трехмерными стопками рефлекторов, которые обещают повышение пропускной способности за счет использования спиральных волноводов.
Текущие технологии беспроводной связи, включая 5G, работают на частотах ниже 6 ГГц. Новая разработка нацелена на использование частот выше 20 ГГц для достижения скоростей передачи данных, превышающих показатели 5G в сто раз. Основная проблема, связанная с высокими частотами 6G – это увеличение потерь сигнала из-за аттенюации, вызванной воздействием окружающей среды. Традиционно для компенсации задержек сигналов используются фазовые сдвигатели, однако они неэффективно работают на широких полосах частот и могут вызывать размытие сигналов.
Новый компонент представляет собой уменьшенный элемент истинной временной задержки размером всего 0,16 квадратных миллиметров, что меньше, чем у фазовых сдвигателей. Этот компонент может равномерно задерживать все частоты в полосе пропускания 14 ГГц, избегая проблем с размытием сигналов. Достижения стали возможны благодаря использованию трехмерных спиралей рефлекторов, которые обеспечивают задержку сигналов благодаря их трехмерному перемещению в стопках.
Использование таких устройств в массивах на полосе пропускания 8 ГГц может обеспечить скорости передачи данных более 33 гигабит в секунду, что в три раза превышает возможности фазовых сдвигателей и на 40% выше, чем у существующих элементов истинной временной задержки. Кроме того, предложенный подход может найти применение в оптических и акустических областях.
LH | Новости | Курсы | Мемы
В новом исследовании представлена технология, способная утроить скорости передачи данных в беспроводных сетях, что может стать значительным шагом в развитии коммуникаций 6G. Исследователи разработали микрочипы, оборудованные трехмерными стопками рефлекторов, которые обещают повышение пропускной способности за счет использования спиральных волноводов.
Текущие технологии беспроводной связи, включая 5G, работают на частотах ниже 6 ГГц. Новая разработка нацелена на использование частот выше 20 ГГц для достижения скоростей передачи данных, превышающих показатели 5G в сто раз. Основная проблема, связанная с высокими частотами 6G – это увеличение потерь сигнала из-за аттенюации, вызванной воздействием окружающей среды. Традиционно для компенсации задержек сигналов используются фазовые сдвигатели, однако они неэффективно работают на широких полосах частот и могут вызывать размытие сигналов.
Новый компонент представляет собой уменьшенный элемент истинной временной задержки размером всего 0,16 квадратных миллиметров, что меньше, чем у фазовых сдвигателей. Этот компонент может равномерно задерживать все частоты в полосе пропускания 14 ГГц, избегая проблем с размытием сигналов. Достижения стали возможны благодаря использованию трехмерных спиралей рефлекторов, которые обеспечивают задержку сигналов благодаря их трехмерному перемещению в стопках.
Использование таких устройств в массивах на полосе пропускания 8 ГГц может обеспечить скорости передачи данных более 33 гигабит в секунду, что в три раза превышает возможности фазовых сдвигателей и на 40% выше, чем у существующих элементов истинной временной задержки. Кроме того, предложенный подход может найти применение в оптических и акустических областях.
LH | Новости | Курсы | Мемы
👍3
Последние обновления macOS сносят КриптоПро CSP и Chromium ГОСТ
Вышедшие на прошлой неделе обновления macOS (Sonoma 14.4, Ventura 13.6.5, Monterey 12.7.4), судя по всему, мешают запуску софта КриптоПро CSP и Chromium ГОСТ. Пока непонятно, баг это или намеренные действия Apple.
При попытке запустить вышеупомянутые приложения пользователь видит ошибку следующего содержания:
«“Chromium-Ghost“ повредит компьютеру. Переместите приложение в Корзину».
Вероятно, macOS видит в легитимном софте признаки вредоносного — классическое ложноположительное срабатывание. На одном из скриншотов предлагается отправить Apple информацию о «зловреде».
Как пишет телеграм-канал «Об ЭП и УЦ», разработчики проблемных приложений предупреждают пользователей, что перезагрузка устройства приводит к неработоспособности установленного ранее криптопровайдера.
Пока сложно сказать, связана ли эта ситуация с недавним внесением компании КриптоПро в санкционный список США, однако 7 марта Apple заблокировала программы вендора в App Store (коснулось КриптоПро NGate и DSS Client).
LH | Новости | Курсы | Мемы
Вышедшие на прошлой неделе обновления macOS (Sonoma 14.4, Ventura 13.6.5, Monterey 12.7.4), судя по всему, мешают запуску софта КриптоПро CSP и Chromium ГОСТ. Пока непонятно, баг это или намеренные действия Apple.
При попытке запустить вышеупомянутые приложения пользователь видит ошибку следующего содержания:
«“Chromium-Ghost“ повредит компьютеру. Переместите приложение в Корзину».
Вероятно, macOS видит в легитимном софте признаки вредоносного — классическое ложноположительное срабатывание. На одном из скриншотов предлагается отправить Apple информацию о «зловреде».
Как пишет телеграм-канал «Об ЭП и УЦ», разработчики проблемных приложений предупреждают пользователей, что перезагрузка устройства приводит к неработоспособности установленного ранее криптопровайдера.
Пока сложно сказать, связана ли эта ситуация с недавним внесением компании КриптоПро в санкционный список США, однако 7 марта Apple заблокировала программы вендора в App Store (коснулось КриптоПро NGate и DSS Client).
LH | Новости | Курсы | Мемы
👍3🔥2
Microsoft обвиняет российских хакеров в краже исходного кода
По словам Microsoft, связанная с Кремлём кибергруппировка Midnight Blizzard (она же APT29 и Cozy Bear) смогла добраться до ряда репозиториев, где хранился исходный код, а также до внутренних систем корпорации.
Microsoft разместила в блоге запись следующего содержания:
LH | Новости | Курсы | Мемы
По словам Microsoft, связанная с Кремлём кибергруппировка Midnight Blizzard (она же APT29 и Cozy Bear) смогла добраться до ряда репозиториев, где хранился исходный код, а также до внутренних систем корпорации.
Microsoft разместила в блоге запись следующего содержания:
В последние недели мы обнаружили доказательства того, что Midnight Blizzard использует информацию, полученную из наших корпоративных систем электронной почты, для получения или попытки получения несанкционированного доступа. Включая доступ к некоторым репозиториям исходного кода и внутренним системам компании. На данный момент мы не нашли никаких доказательств того, что системы клиентов, размещенные на хостинге Microsoft, были взломаны
LH | Новости | Курсы | Мемы
🤔5🔥3👏3
Сапожник без сапог: хакеры взломали CISA
Как сообщают зарубежные источники, в феврале системы Агентства по кибербезопасности и защите инфраструктуры США (CISA) подверглись атаке хакеров, которые использовали уязвимости в продуктах компании Ivanti.
В ответ на нарушение безопасности агентство было вынуждено отключить две ключевые системы, о чём сообщили представитель CISA и официальные лица США, знакомые с инцидентом.
Взлому подверглась система IP Gateway, предназначенная для обмена инструментами оценки безопасности между федеральными, штатными и местными официальными лицами, а также инструмент оценки химической безопасности (Chemical Security Assessment Tool, CSAT), содержащий информацию о безопасности химических объектов и оценках уязвимости безопасности.
LH | Новости | Курсы | Мемы
Как сообщают зарубежные источники, в феврале системы Агентства по кибербезопасности и защите инфраструктуры США (CISA) подверглись атаке хакеров, которые использовали уязвимости в продуктах компании Ivanti.
В ответ на нарушение безопасности агентство было вынуждено отключить две ключевые системы, о чём сообщили представитель CISA и официальные лица США, знакомые с инцидентом.
Взлому подверглась система IP Gateway, предназначенная для обмена инструментами оценки безопасности между федеральными, штатными и местными официальными лицами, а также инструмент оценки химической безопасности (Chemical Security Assessment Tool, CSAT), содержащий информацию о безопасности химических объектов и оценках уязвимости безопасности.
LH | Новости | Курсы | Мемы
8 марта российский ретейл пережил в 3 раза больше DDoS-атак, чем год назад
В этом году праздник 8 Марта в России ознаменовался рекордным всплеском DDoS-атак в сфере ретейла. Количество таких инцидентов, в три раза превысило показатель, зафиксированный годом ранее. Большинство атак на интернет-магазины в этот день носили хактивистский характер.
Дидосеры пытались нарушить работу торговых точек, чтобы лишить их ожидаемо большой выручки. Свой вклад внесли также недобросовестные продавцы цветов, старавшиеся отбить клиентуру у конкурентов. В итоге больше прочих от DDoS страдали цветочные бутики и салоны (63% атак). На долю магазинов косметики пришлось 18% атак, электроники — 12%, одежды и обуви — 6%.
По мощности DDoS-потоки не превышали 9 Гбит/c и 6,5 тыс. HTTP-запросов в секунду, однако этого было достаточно, чтобы вывести из строя сайт без спецзащиты. В ходе атак засветился ботнет, расположенный в разных странах; около 20% вредоносных запросов подавались из США, порядка 5% — с территории России.
LH | Новости | Курсы | Мемы
В этом году праздник 8 Марта в России ознаменовался рекордным всплеском DDoS-атак в сфере ретейла. Количество таких инцидентов, в три раза превысило показатель, зафиксированный годом ранее. Большинство атак на интернет-магазины в этот день носили хактивистский характер.
Дидосеры пытались нарушить работу торговых точек, чтобы лишить их ожидаемо большой выручки. Свой вклад внесли также недобросовестные продавцы цветов, старавшиеся отбить клиентуру у конкурентов. В итоге больше прочих от DDoS страдали цветочные бутики и салоны (63% атак). На долю магазинов косметики пришлось 18% атак, электроники — 12%, одежды и обуви — 6%.
По мощности DDoS-потоки не превышали 9 Гбит/c и 6,5 тыс. HTTP-запросов в секунду, однако этого было достаточно, чтобы вывести из строя сайт без спецзащиты. В ходе атак засветился ботнет, расположенный в разных странах; около 20% вредоносных запросов подавались из США, порядка 5% — с территории России.
LH | Новости | Курсы | Мемы
❤2👍1
QNAP патчит проблему обхода аутентификации в своих NAS
Компания QNAP предупредила об уязвимостях, обнаруженных в составе QTS, QuTS hero, QuTScloud и myQNAPcloud. Эти проблемы позволяли злоумышленникам получить доступ к чужим устройствам.
Производитель исправил сразу три уязвимости, которые могли привести к обходу аутентификации, инъекциям команд и SQL-инъекциям. И если два последних бага требуют, чтобы злоумышленник был аутентифицирован в целевой системе, что значительно снижает риски, то первый баг (CVE-2024-21899) можно эксплуатировать удаленно и без аутентификации.
В QNAP описывают уязвимости так:
— CVE-2024-21899: недостаточные механизмы аутентификации позволяют неавторизованным пользователям удаленно нарушить безопасность системы;
— CVE-2024-21900: аутентифицированные пользователи могут выполнять произвольные команды в системе через сеть, что потенциально может привести к несанкционированному доступу к системе или управлению ею;
— CVE-2024-21901: позволяет аутентифицированным администраторам внедрять вредоносный SQL-код через сеть, что может привести к нарушению целостности БД и манипулированию ее содержимым.
LH | Новости | Курсы | Мемы
Компания QNAP предупредила об уязвимостях, обнаруженных в составе QTS, QuTS hero, QuTScloud и myQNAPcloud. Эти проблемы позволяли злоумышленникам получить доступ к чужим устройствам.
Производитель исправил сразу три уязвимости, которые могли привести к обходу аутентификации, инъекциям команд и SQL-инъекциям. И если два последних бага требуют, чтобы злоумышленник был аутентифицирован в целевой системе, что значительно снижает риски, то первый баг (CVE-2024-21899) можно эксплуатировать удаленно и без аутентификации.
В QNAP описывают уязвимости так:
— CVE-2024-21899: недостаточные механизмы аутентификации позволяют неавторизованным пользователям удаленно нарушить безопасность системы;
— CVE-2024-21900: аутентифицированные пользователи могут выполнять произвольные команды в системе через сеть, что потенциально может привести к несанкционированному доступу к системе или управлению ею;
— CVE-2024-21901: позволяет аутентифицированным администраторам внедрять вредоносный SQL-код через сеть, что может привести к нарушению целостности БД и манипулированию ее содержимым.
LH | Новости | Курсы | Мемы
👍2
Новая малварь нацелена на Docker, Hadoop, Redis и Confluence ради добычи криптовалюты
Хакеры атакуют неправильно настроенные серверы Apache Hadoop YARN, Docker, Confluence и Redis с помощью новой малвари на базе Go, которая автоматизирует обнаружение и компрометацию новых хостов.
Эксперты Cado Security, обнаружившие эту вредоносную кампанию и назвавшие ее Spinning YARN, изучили полезную нагрузку, используемую в атаках, bash-скрипты и бинарные файлы ELF.
Исследователи отмечают, что набор инструментов похож на ранее зафиксированные облачные атаки, некоторые из которых приписывались таким хак-группам, как TeamTNT, WatchDog и Kiss-a-Dog.
Расследование началось после того, как специалисты получили предупреждение о компрометации ханипота Docker Engine API, и на сервере появился новый контейнер на базе Alpine Linux. Затем хакеры, используя многочисленные шелл-скрипты, установили криптовалютный майнер, закрепились в системе и настроили реверс-шелл.
По словам исследователей, атакующие развернули набор из четырех полезных нагрузок, написанных на Go, которые позволяли идентифицировать и эксплуатировать хосты, на которых запущены сервисы для Hadoop YARN (h.sh), Docker (d.sh), Confluence (w.sh) и Redis (c.sh). Названия этих пейлоадов свидетельствовали о неудачных попытках злоумышленников замаскировать бинарники ELF под bash-скрипты.
Исследователи пишут, что хакеры используют перечисленные инструменты для эксплуатации распространенных ошибок конфигурации и N-day уязвимостей, ради последующего проведения RCE-атак и заражения новых хостов.
Хакеры используют свои Golang-инструменты для сканирования сегментов сети в поисках открытых портов 2375, 8088, 8090 или 6379.
LH | Новости | Курсы | Мемы
Хакеры атакуют неправильно настроенные серверы Apache Hadoop YARN, Docker, Confluence и Redis с помощью новой малвари на базе Go, которая автоматизирует обнаружение и компрометацию новых хостов.
Эксперты Cado Security, обнаружившие эту вредоносную кампанию и назвавшие ее Spinning YARN, изучили полезную нагрузку, используемую в атаках, bash-скрипты и бинарные файлы ELF.
Исследователи отмечают, что набор инструментов похож на ранее зафиксированные облачные атаки, некоторые из которых приписывались таким хак-группам, как TeamTNT, WatchDog и Kiss-a-Dog.
Расследование началось после того, как специалисты получили предупреждение о компрометации ханипота Docker Engine API, и на сервере появился новый контейнер на базе Alpine Linux. Затем хакеры, используя многочисленные шелл-скрипты, установили криптовалютный майнер, закрепились в системе и настроили реверс-шелл.
По словам исследователей, атакующие развернули набор из четырех полезных нагрузок, написанных на Go, которые позволяли идентифицировать и эксплуатировать хосты, на которых запущены сервисы для Hadoop YARN (h.sh), Docker (d.sh), Confluence (w.sh) и Redis (c.sh). Названия этих пейлоадов свидетельствовали о неудачных попытках злоумышленников замаскировать бинарники ELF под bash-скрипты.
Исследователи пишут, что хакеры используют перечисленные инструменты для эксплуатации распространенных ошибок конфигурации и N-day уязвимостей, ради последующего проведения RCE-атак и заражения новых хостов.
«Интересно, что разработчики вредоносного ПО не позаботились об очистке двоичных файлов, оставив нетронутой отладочную информацию DWARF. Также не было предпринято никаких усилий для обфускации строк и других конфиденциальных данных в двоичных файлах, что сделало реверс инжиниринг легкодоступным», — говорят в Cado Security.
Хакеры используют свои Golang-инструменты для сканирования сегментов сети в поисках открытых портов 2375, 8088, 8090 или 6379.
LH | Новости | Курсы | Мемы
👍2
Специалисты Positive Technologies нашли уязвимость в устройствах Moxa
Эксперт Positive Technologies обнаружил уязвимость в промышленных беспроводных преобразователях Moxa. Из-за бага атакующий мог получить полный доступ к оборудованию и вмешаться в технологический процесс.
Проблема, получившая идентификатор CVE-2024-1220 (BDU:2024-01811) получила оценку 8,2 балла по шкале CVSS. Уязвимость была выявлена в преобразователях NPort W2150a и W2250a.
Эти устройства позволяют подключать к локальной сети Wi-Fi промышленные контроллеры, счетчики и датчики. Беспроводной доступ необходим для контроля за оборудованием, расположенным, например, на движущихся объектах (контейнеры, лифты, роботы) или в агрессивных средах (химическое и металлургическое производство).
Неавторизованные злоумышленники могут выполнить произвольный код и получить полный доступ к устройству, находясь в одной сети с уязвимым преобразователем Moxa NPort W2150a или W2250a.
LH | Новости | Курсы | Мемы
Эксперт Positive Technologies обнаружил уязвимость в промышленных беспроводных преобразователях Moxa. Из-за бага атакующий мог получить полный доступ к оборудованию и вмешаться в технологический процесс.
Проблема, получившая идентификатор CVE-2024-1220 (BDU:2024-01811) получила оценку 8,2 балла по шкале CVSS. Уязвимость была выявлена в преобразователях NPort W2150a и W2250a.
Эти устройства позволяют подключать к локальной сети Wi-Fi промышленные контроллеры, счетчики и датчики. Беспроводной доступ необходим для контроля за оборудованием, расположенным, например, на движущихся объектах (контейнеры, лифты, роботы) или в агрессивных средах (химическое и металлургическое производство).
Неавторизованные злоумышленники могут выполнить произвольный код и получить полный доступ к устройству, находясь в одной сети с уязвимым преобразователем Moxa NPort W2150a или W2250a.
LH | Новости | Курсы | Мемы
👍2
Хакеры атакуют разработчиков: BianLian использует TeamCity для вымогательства
Специалисты зафиксировали цепочку атак, начинающуюся с эксплуатации экземпляра TeamCity через уязвимости CVE-2024-27198 (оценка CVSS: 9.8) или CVE-2023-42793 (оценка CVSS: 9.8), что позволило злоумышленникам получить первоначальный доступ к системе, создать новые аккаунты на сервере сборки и выполнить вредоносные команды для последующего проникновения и перемещения внутри сети. На данный момент неясно, какой из двух недостатков использовался для проникновения.
Особенность атак BianLian заключается в использовании специально разработанного для каждой жертвы бэкдора на языке Go, а также внедрении инструментов удаленного доступа – AnyDesk, Atera, SplashTop и TeamViewer.
LH | Новости | Курсы | Мемы
Специалисты зафиксировали цепочку атак, начинающуюся с эксплуатации экземпляра TeamCity через уязвимости CVE-2024-27198 (оценка CVSS: 9.8) или CVE-2023-42793 (оценка CVSS: 9.8), что позволило злоумышленникам получить первоначальный доступ к системе, создать новые аккаунты на сервере сборки и выполнить вредоносные команды для последующего проникновения и перемещения внутри сети. На данный момент неясно, какой из двух недостатков использовался для проникновения.
Особенность атак BianLian заключается в использовании специально разработанного для каждой жертвы бэкдора на языке Go, а также внедрении инструментов удаленного доступа – AnyDesk, Atera, SplashTop и TeamViewer.
LH | Новости | Курсы | Мемы
👍1
Уязвимость в Ultimate Member угрожает тысячам WordPress-сайтов
Опасная уязвимость в WordPress-плагине Ultimate Member (более 200 тыс. активных установок) может использоваться для внедрения вредоносных скриптов. Брешь получила идентификатор CVE-2024-2123 и является по своей сути XSS.
Злонамеренные скрипты внедряются таким образом, чтобы запускаться при каждой загрузке веб-страницы. Корень уязвимости кроется в некорректной обработке вводимых данных, а также в недостаточном экранировании вывода. Небезопасная имплементация функциональности списка каталога пользователей позволяет не прошедшим аутентификацию злоумышленникам проводить инъекцию скриптов. Поскольку выводимое имя пользователя отображается в шаблонах файлов без экранирования, атакующих может при регистрации указать в поле для имени вредоносный сценарий.
LH | Новости | Курсы | Мемы
Опасная уязвимость в WordPress-плагине Ultimate Member (более 200 тыс. активных установок) может использоваться для внедрения вредоносных скриптов. Брешь получила идентификатор CVE-2024-2123 и является по своей сути XSS.
Злонамеренные скрипты внедряются таким образом, чтобы запускаться при каждой загрузке веб-страницы. Корень уязвимости кроется в некорректной обработке вводимых данных, а также в недостаточном экранировании вывода. Небезопасная имплементация функциональности списка каталога пользователей позволяет не прошедшим аутентификацию злоумышленникам проводить инъекцию скриптов. Поскольку выводимое имя пользователя отображается в шаблонах файлов без экранирования, атакующих может при регистрации указать в поле для имени вредоносный сценарий.
LH | Новости | Курсы | Мемы
👍3