GitHub представила ИИ-инструмент, который будет искать уязвимости в коде

Разработчики GitHub представили новую ИИ-функцию, позволяющую ускорить исправление уязвимостей во время написания кода. Пока функция представлена в публичной бета-версии и автоматически включается во всех приватных репозиториях для клиентов GitHub Advanced Security (GHAS).

Функция носит название Code Scanning Autofix и работает на базе GitHub Copilot и CodeQL. По словам разработчиков, она помогает справиться с 90% предупреждений в JavaScript, Typescript, Java и Python. А в ближайшие месяцы компания планирует добавление поддержки дополнительных языков, в том числе C# и Go.

После включения новая функция предлагает возможные исправления, которые, по утверждению GitHub, помогут устранить более двух третей найденных уязвимостей, практически без редактирования.

LH | Новости | Курсы | Мемы

Кадровый голод подрывает киберзащиту: 62% российских компаний не хватает специалистов по ИБ

Каждая четвертая российская компания в 2023 году столкнулась с серьезными кибератаками, пишет Forbes со ссылкой на исследование компании МТС Red. Около 17% респондентов сообщили о целенаправленных атаках, нацеленных непосредственно на их бизнес, а 8% рассказали об атаках через подрядчиков. Наиболее распространенными видами угроз стали фишинг, социальная инженерия (45%) и DDoS-атаки (40%).

В опросе приняли участие свыше 100 представителей российских компаний из финансового сектора, промышленности и энергетики, IT, госсектора, сфер телекоммуникаций, здравоохранения, ретейла, HoReCa, строительства и девелопмента.

По данным МТС RED, в прошлом году число инцидентов информационной безопасности выросло на 43% по сравнению с предыдущим годом и превысило 50 000. При этом лишь около 25% (12 000) из них представляли серьезную угрозу для бизнеса, в отличие от 40-45% годом ранее.

62% респондентов указали на дефицит квалифицированных кадров в сфере информационной безопасности как главную проблему. Еще 32% сослались на нехватку у имеющихся специалистов времени для решения существующего объема задач. Таким образом, кадровый голод остается ключевым вызовом для отрасли.

Вторая серьезная проблема - последствия ухода западных разработчиков средств кибербезопасности. 24% опрошенных испытывают трудности из-за нехватки качественных отечественных решений, а 17% не могут продлить лицензии и техническую поддержку зарубежных вендоров. Вопрос закупки аппаратного обеспечения уже не столь актуален - его отметили лишь 8% респондентов. Недостаток бюджета на ИБ беспокоит только 14% компаний.

LH | Новости | Курсы | Мемы

CVE-2024-1212 Unauthenticated Command Injection In Progress Kemp LoadMaster

#cve

LoadMaster — это балансировщик нагрузки и контроллер доставки приложений. Он обеспечивает высокую доступность и надежную производительность веб-серверов и серверов приложений за счет эффективного распределения трафика. LoadMaster можно развернуть в различных средах в соответствии с различными бизнес-потребностями, включая варианты оборудования, виртуальных машин и облачных платформ (AWS и Azure).

Эксплуатация этой уязвимости позволяет выполнять команды на LoadMaster, если у вас есть доступ к веб-интерфейсу пользователя администратора. После того, как команда выполнена, можно повысить привилегии до root от пользователя "bal" администратора по умолчанию, злоупотребляя записями sudo, предоставляя полный контроль над устройством.

Ссылка на статью.

POC:
https://github.com/RhinoSecurityLabs/CVEs/tree/master/CVE-2024-1212
https://github.com/Chocapikk/CVE-2024-1212

LH | Новости | Курсы | Мемы

Власти получат возможность принудительно относить объекты КИИ к значимым

Минцифры России предложило внести ряд изменений в закон о критической информационной инфраструктуре (КИИ). Они позволят властям определять по каждой отрасли типы ИТ-систем, которые необходимо относить к значимым объектам КИИ. Как отмечает ведомство, законопроект в настоящее время уже внесли в Госдуму.

При наделении инфосистем статусом значимого объекта КИИ будут учитываться отраслевые особенности. Таким объектам обозначат сроки перехода на российские продукты, соблюдение которых проконтролируют отраслевые ведомства. При этом будет учитываться готовность отечественных систем.

Минцифры России видит проблему в том, что сейчас сам собственник объекта КИИ решает, относить его к значимым или нет. Само собой, ряд компаний стараются пренебречь этим, минимизируя число относящихся к значимым объектам КИИ систем.

Предложенный законопроект установит уникальный перечень объектов для каждой отрасли. Все они в обязательном порядке должны будут использовать российский софт и радиоэлектронную продукцию.

LH | Новости | Курсы | Мемы

CVE-2023-48788 Fortinet FortiClient EMS SQL Injection Vulnerabilitiy

#cve

Исследователи безопасности Horizon3 обнародовали PoC-эксплоит критической уязвимости Fortinet FortiClient EMS, которая в настоящее время активно используется хакерами.

Уязвимость SQL-инъекции CVE-2023-48788 (оценка CVSS: 9.8) содержится в компоненте DB2 Administration Server (DAS) и затрагивает версии FortiClient EMS 7.0 (от 7.0.1 до 7.0.10) и 7.2 (от 7.2.0 до 7.2.2), позволяя неаутентифицированному злоумышленнику осуществлять удаленное выполнение кода (Remote Code Execution, RCE) с правами SYSTEM без взаимодействия с пользователем.

Статья с разбором уязвимости!

Ссылка на PoC-эксплоит

LH | Новости | Курсы | Мемы

Багхантерам обещано до ₽1 млн за уязвимости в MaxPatrol SIEM и VM

Компания Positive Technologies разместила на платформе Standoff 365 Bug Bounty еще одну программу по возмездному поиску уязвимостей — для своих флагманов MaxPatrol SIEM и MaxPatrol VM. За находки участники смогут получить до 1 млн рублей.

По оценке экспертов, последние три года эксплойты приносят успех примерно трети атак на корпоративные сети. Число уязвимостей при этом неуклонно растет, сроки выпуска патчей оставляют желать лучшего, и атакуемым компаниям остается только уповать на надежность защиты.

В новой программе PT смогут принять участие все багхантеры, зарегистрированные на Standoff 365 Bug Bounty. Их число уже превысило 8500. Размеры наград за находки зависят от уровня угрозы:
критический — от 500 тыс. до 1 млн руб.; высокий — 50-500 тыс. руб.; средний — 5-50 тыс. руб.; низкий — до 5 тыс. рублей.

«Для того чтобы обеспечить реальную безопасность, мы постоянно проверяем на защищенность и собственные продукты, — подчеркнул Иван Прохоров, руководитель продукта MaxPatrol SIEM в PT. — Мы хотим сделать их максимально безопасными для клиентов, именно поэтому привлекаем и сторонних исследователей ИБ, объявив программу вознаграждения за найденные уязвимости в MaxPatrol SIEM и MaxPatrol VM».

LH | Новости | Курсы | Мемы

39 тыс. сайтов на WordPress пострадали от вредоносной кампании Sign1

Ранее не встречавшаяся специалистам вредоносная кампания Sign1 за последние полгода успела заразить более 39 тысяч сайтов на WordPress. Посетителям таких ресурсов показывают навязчивую всплывающую рекламу или перенаправляют их на сторонние веб-сайты.

Атакующие внедряют вредоносный код в кастомные HTML-виджеты и легитимные плагины, что позволяет обойтись без модификации «родных» файлов WordPress. Кампанию SIgn1 удалось обнаружить специалистам Sucuri, когда сайт одного из клиентов начал выводить посетителям всплывающие рекламные объявления. Позже выяснилось, что клиента взломали с помощью брутфорса. Исследователи считают, что злоумышленники также могли воспользоваться уязвимостью в одном из установленных на ресурсе плагинов.

После получения доступа операторы Sign1 либо взяли в оборот кастомный HTML-виджет, либо установили легитимный Simple Custom CSS and JS для внедрения вредоносного JavaScript-кода.

LH | Новости | Курсы | Мемы

Хакеры сами устраняют уязвимость BIG-IP: борьба за эксклюзивный доступ к зараженным системам

Специалисты Mandiant сообщают, что китайские хакеры UNC5174 эксплуатируют уязвимости в популярных продуктах для распространения вредоносного ПО, способного устанавливать дополнительные бэкдоры на скомпрометированных хостах Linux.

Основным методом первоначального доступа стало использование известных уязвимостей в таких системах, как:

Atlassian Confluence ( CVE-2023-22518, оценка CVSS: 9.8);
ConnectWise ScreenConnect ( CVE-2024-1709, оценка CVSS: 10.0);
F5 BIG-IP ( CVE-2023-46747, оценка CVSS: 9.8);
Linux Kernel ( CVE-2022-0185, оценка CVSS: 8.4);
Zyxel ( CVE-2022-3052, оценка CVSS: 5.4).

После успешного проникновения следовали обширные действия по разведке и сканированию систем с целью выявления уязвимостей безопасности. UNC5174 также создавала учетные записи администраторов для выполнения вредоносных действий с повышенными привилегиями.

Интересным моментом стала попытка хакеров принять меры по смягчению последствий уязвимости CVE-2023-46747, чтобы предотвратить использование этой же лазейки другими злоумышленниками. Такой шаг подчеркивает сложность и многоуровневость кампании, где даже хакеры вынуждены предпринимать шаги для обеспечения «эксклюзивности» доступа к скомпрометированным системам.

LH | Новости | Курсы | Мемы

Рег.ру сообщил, что подвергся хакерской атаке

Представители российского регистратора доменов и хостинг-провайдера Рег.ру (обслуживает 44% доменов в рунете) сообщают, что компания подверглась атаке хакеров. По данным СМИ, они попытались проникнуть на один из серверов виртуального хостинга.

Как сообщили в пресс-службе компании, атака произошла еще 18 марта, и злоумышленники использовали некую уязвимость программного обеспечения на сайте одного из клиентов Рег.ру, благодаря которой смогли дойти до подключения к серверу баз данных. «В этот момент злоумышленники были обнаружены и остановлены», — уверяют в Рег.ру.

После атаки группировка опубликовала ссылку, якобы ведущую на часть выгруженной БД клиентов Рег.ру. Однако представители компании заявляют, что нельзя говорить ни о каком хоть сколько-нибудь значительном повреждении баз Рег.ру или об угрозе для корпоративных клиентов.

Утверждается, что специалисты компании уже закрыли возможности для эксплуатации использованной злоумышленниками уязвимости, а также заменили учетные данные, подверженные утечке.

В Рег.ру прокомментировали, что нападения на крупные хостинговые компании сегодня являются ежедневной рутиной. «Отражать их мы привыкли и умеем», — заключили в компании.

LH | Новости | Курсы | Мемы

Крупные медиакомпании добились блокировки Telegram в Испании

Суд Испании постановил приостановить работу популярного мессенджера Telegram на территории страны в качестве меры обеспечения иска, поданного крупными медиакомпаниями. Решение было вынесено судьей Национальной судебной коллегии Сантьяго Педрасом, сообщает ТАСС.

Поводом для такого судебного распоряжения стали претензии со стороны медиагигантов Mediaset, Atresmedia и Movistar Plus, которые в своем иске обвинили Telegram в несанкционированном использовании аудиовизуального контента, защищенного авторским правом. Судья принял решение в рамках запроса о мерах предосторожности, на которых настаивали компании, чтобы деятельность мессенджера в Испании была парализована на время проведения расследования.

Как сообщает источник ТАСС, Сантьяго Педрас приказал заблокировать Telegram временно, так как не получил ответа от компании на запрошенную информацию.

На данный момент мессенджер продолжает функционировать на территории Испании. Пока неизвестно, когда именно решение о блокировке Telegram вступит в силу.

LH | Новости | Курсы | Мемы

На второй неделе курса "Linux для новичков" мы изучили основные команды для работы с файлами и директориями, команды поиска файлов и содержимого, научились управлять правами доступа, процессами и автоматизированым выполнением задач с помощью cron.

Если вы что-то пропустили и желаете прочитать, то вот список материалов второй недели:

Неделя 2: Работа с файлами и директориями
• Основные команды для работы с файлами и директориями: cp, mv, rm и др.
• Работа с архивами в Linux: создание, разархивирование, просмотр.
• Поиск файлов и содержимого в Linux: команды find и grep.
• Управление правами доступа к файлам и директориям в Linux: chmod и chown.
• Символьные и жесткие ссылки: создание и использование.
• Управление процессами и задачами в Linux: команды ps, top, kill и др.
• Автоматическое выполнение задач с помощью cron.

Не забывайте следить и делиться нашим бесплатным курсом "Linux для новичков"!

Первая серия материалов.

Следующую неделю мы посвятим теме «Управление пользователями и группами».

LH | Новости | Курсы | Мемы

Apple vs. Минюст США: кто победит в битве за свободный рынок?

В Соединенных Штатах против Apple был п одан иск , который больше напоминает пресс-релиз объемом в 88 страниц, предназначенный для чтения в эфире новостных программ на кабельном телевидении.

Иск включает жалобы на действия Apple, которые, по мнению министерства юстиции, ущемляют права пользователей и разработчиков: от усложнения перехода на другие платформы до ограничений на покупку книг в приложении Amazon. Документ также затрагивает проблемы, связанные с обновлением игр и политикой рецензирования в App Store, делая облачные стриминговые приложения малопривлекательными для пользователей iPhone.

Министерство юстиции акцентирует внимание на том, как практики Apple мешают прогрессу и инновациям в технологической отрасли, проводя параллели с историческим делом против Microsoft в конце 1990-х. Через это сравнение министерство подчеркивает, что нынешние достижения Apple, в некоторой степени, являются результатом предыдущих антимонопольных мер, направленных на поддержку инноваций и открытости рынка.

Министерство юстиции США, подавая иск против Apple, стремится не просто обратить внимание на конкретные нарушения компанией антимонопольного законодательства, но и подчеркнуть важность соблюдения правил честной конкуренции для поддержания инновационного потенциала отрасли. В документе акцентируется внимание на том, как практики Apple влияют на возможность пользователей и разработчиков свободно выбирать и использовать продукты и услуги, не ограничиваясь одной экосистемой.

LH | Новости | Курсы | Мемы

Топ популярных постов за прошедшую неделю (сохрани себе и отправь другу):

1. Предыдущий топ статей
2. Подборка полезных инструментов для фишинга
3. Malware Development - Process Diaries
4. Курс «Сетевые протоколы в Linux»
5. 8 популярных инструментов фазинга для разнообразных задач
6. Поднимаем точку доступа ловушку, тестируем сети на проникновение.
7. frp - это быстрый обратный прокси
8. 5 интересных инструментов фишинга
9. Вторая неделя курса "Linux для новичков"

#подборка

LH | Новости | Курсы | Мемы

Срочное обновление Windows Server фиксит проблему прожорливого LSASS

Microsoft выпустила внеплановое обновление для систем Windows Server, устраняющее известную проблему сбоя в работе контроллеров домена, которая возникла после установки мартовского набора патчей.

Системные администраторы начали бить тревогу по поводу новых багов на прошлой неделе. Отмечалось, что свежие апдейты вызывают сбой в работе и перезагрузку ряда контроллеров домена. Тогда причиной проблемы назвали утечку памяти процесса службы ОС Local Security Authority Subsystem Service (LSASS), которая отвечает за аутентификацию пользователя.

Сисадмины назвали номера виновных обновлений: KB5035855 (для Server 2016) и KB5035857 (для Server 2022). Именно они приводили к неадекватному использованию памяти процессом lsass.exe. Microsoft позже признала наличие бага, отметив, что он затрагивает версии Windows Server 2012 R2, 2016, 2019 и 2022.

Корпорация всё же выпустила срочные накопительные обновления, которые должны устранить утечку памяти в LSASS:

KB5037422 (для Windows Server 2022);
KB5037423 (для Windows Server 2016);
KB5037426 (для Windows Server 2012 R2).

LH | Новости | Курсы | Мемы

Киберпреступники наживаются на Рамадане: мошенничество в Саудовской Аравии бьет рекорды

В период Рамадана компания Resecurity зафиксировала значительный рост числа мошеннических действий и афер, совпадающих с увеличением розничных и онлайн-транзакций.

Особенно активизировались киберпреступники на Среднем Востоке, особенно, в Королевстве Саудовская Аравия, где потребительские расходы достигли более $16 млрд. и стали лакомым кусочком для мошенников. Оценочный ущерб от деятельности мошенников колеблется между $70 и $100 млн., касаясь как местных жителей, так и иностранных гостей.

Киберпреступники применяют всё более изощрённые методы обмана, обходя стандартные меры безопасности. Особое внимание Resecurity обращает на так называемую Триаду Смишинга – методы, ранее использовавшиеся в США, Великобритании, странах ЕС и ОАЭ, теперь распространяющиеся на и Ближний Восток.

Среди наиболее частых видов мошенничества выделяются аферы, связанные с подарками и пожертвованиями, мошенничеством при трудоустройстве, набором «денежных мулов», фальсификацией пунктов обслуживания и логистических услуг, а также романтическими аферами, фишингом и другими.

LH | Новости | Курсы | Мемы

Mozilla устранила две 0-day в Firefox, показанные на Pwn2Own 2024

Mozilla выпустила патчи для двух уязвимостей нулевого дня (0-day) в браузере Firefox. Эксплуатацию этих брешей исследователи продемонстрировали на хакерском соревновании Pwn2Own 2024 в Ванкувере.

Специалист Манфред Пол получил 100 тысяч долларов и 10 очков Master of Pwn за использование уязвимости, получившей идентификатор CVE-2024-29943.

По словам разработчиков, с помощью CVE-2024-29943 атакующие могут получить доступ к JavaScript-объекту за пределами границ. Mozilla отмечает, что этого можно добиться, обманув функцию устранения проверки границ на основе диапазона.

Вторую уязвимость описывают как возможность привилегированного JavaScript-выполнения через обработчики событий. Эксплуатация позволяет условному злоумышленнику выполнить произвольный код в родительском процессе десктопной версии Firefox.

LH | Новости | Курсы | Мемы

WINELOADER: из погреба хакеров прямиком на компьютеры иностранных депутатов

Эксперты ИБ-компании Mandiant связали недавние кибератаки с использованием бэкдора WINELOADER с деятельностью хакерской группировки APT29.

По данным исследователей, приблизительно 26 февраля этого года группировка провела фишинговую кампанию против немецких политических партий, разослав электронные письма с логотипом Христианско-демократического союза (CDU).

«Это первый случай, когда мы наблюдаем, чтобы APT29 атаковала политические партии, что может указывать на новую область интересов помимо традиционных целей группировки»

Как было отмечено выше, в этой зловредной кампании использовался бэкдор WINELOADER, впервые обнаруженный Zscaler в феврале этого года. Атаки начинались с фишинговых писем на немецком языке, выдаваемых за приглашения на званый ужин. Запуск вложения к письму в формате «.hta» вёл к загрузке и активации дроппера первой стадии под названием ROOTSAW (он же EnvyScout), который действует как канал доставки WINELOADER с удалённого сервера.

LH | Новости | Курсы | Мемы

В Госдуме одобрили проект о легализации деятельности белых хакеров

Комитет ГД по госстроительству рекомендовал Думе принять в первом чтении законопроект, направленный на легализацию деятельности "белых" хакеров в России.
Авторы законопроекта - представители партийного проекта "Цифровая Россия" Антон Немкин, Геннадий Панин, Игорь Марков и комитета Госдумы по информационной политике Вячеслав Петров и Антон Ткачев – предлагают внести ряд поправок в статью 1280 части четвертой Гражданского кодекса РФ.

Согласно законопроекту, "белые" хакеры должны сообщать правообладателю о выявленных уязвимостях в течение пяти рабочих дней со дня их выявления, за исключением случаев, если установить его место нахождения, место жительства или адрес для переписки не удалось.

Принятие законопроекта позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов, отмечается в документах.

Проектом предоставляется право вносить правки без разрешения правообладателя соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов и без вознаграждения ему. То есть, правомерно владея программой, пользователь не только сможет донастраивать продукт, но и исследовать со стороны безопасности - тестировать, насколько уязвимо, вносить требуемые изменения.

LH | Новости | Курсы | Мемы

Абонентов МТС заманивают на фишинговые сайты пуш-сообщениями

Мошенники, выдающие себя за операторов сотовой связи, опробуют альтернативный канал — пуш-рассылки.

Абонента просят подтвердить свои данные, пройдя по ссылке на поддельный сайт провайдера, а затем через редирект — на фейк портала «Госуслуги». В обоих случаях введенная в веб-формы информация (ПДн и учетки) попадает в руки злоумышленников, которые впоследствии могут ее использовать для проведения адресных атак.

Рассылка пуш-уведомлений подобного содержания способна ввести получателей в заблуждение: с 1 июня 2021 года операторы связи обязаны проверять наличие сведений об абонентах в ЕСИА и могут уточнять их, запрашивая подтверждение у клиента (поправки к закону «О связи» от 30 декабря 2020, ст. 44, п. 1.1). А тот может верифицировать их через госуслуги.

LH | Новости | Курсы | Мемы

Стилер StrelaStealer атаковал более 100 организаций в Европе и США

Исследователи Palo Alto Networks обнаружили массовые фишинговые атаки, при помощи которых распространяется постоянно обновляющийся стилер StrelaStealer.

Эксперты рассказывают, что StrelaStealer распространяется с помощью фишинговых кампаний, которые заметно участились в ноябре 2023 года. Так, в прошлом году целям атак порой становились более 250 организаций в день, и увеличенный объем фишинговых рассылок сохранился и в 2024 году. Теперь количество атак уже может превышать 500, а и исследователи подтвердили, что не менее 100 из них привели к компрометациям в США и странах Европы.

Большинство атакованных организаций работают в сферах высоких технологий, финансов, юридических услуг, производства, государственного управления, коммунального хозяйства и энергетики, страхования и строительства.

В цепочке заражения используются файлы ZIP, с помощью которых в систему жертвы попадают файлы JScript. При выполнении эти скрипты создают batch-файл и файл в кодировке base64, который декодируется в DLL. Эта DLL запускается через файл rundll32.exe для развертывания полезной нагрузки StrelaStealer.

LH | Новости | Курсы | Мемы