На GitHub стал доступен PoC-эксплойт для уязвимости CVE-2023-45779 в Android, затрагивающей 7 OEM-производителей.

Уязвимость была обнаружена Red Team X компании Meta (признана в РФ экстремистской) в начале сентября 2023 года и исправлена в обновлении для Android уровня 2023-12-05 без раскрытия подробностей.

Уязвимость обусловлена проблемой небезопасной подписи модулей APEX с использованием общедоступных тестовых ключей от AOSP, что позволяет злоумышленникам распространять вредоносные обновления на компоненты платформы, что приводит к локальному повышению привилегий.

Модули APEX позволяют OEM-производителям распространять обновления для конкретных компонентов системы без выпуска полного обновления (OTA), что делает пакеты более компактными, их легче доставлять конечным пользователям.

Эти модули должны быть подписаны закрытым ключом, известным только OEM-производителю, созданным в процессе сборки.

Однако использование того же открытого ключа из сборки исходного кода Android, означает, что любой может подделать важные обновления и получить повышенные привилегии на устройстве в обход существующих механизмов безопасности и привести к полной компрометации.

CVE-2023-45779 затрагивает многих OEM-производителей, включая ASUS, Microsoft, Nokia, Nothing, VIVO, Lenovo и Fairphone, многие модели которых, вероятно, уязвимы для CVE-2023-45779.

Вместе с тем, исследователи Red Team X в ходе тестов выяснили, что ряд OEM-производителей не подвержены уязвимости благодаря использованию закрытых ключей, среди которых: Google, Samsung, Xiaomi, OPPO, Sony, Motorola и OnePlus.

Конечно, несмотря на необходимость физического доступа к целевому устройству, появление PoC все же должно настораживать как поставщиков, так и пользователей Android-устройств, ведь всегда существует возможность использования эксплойта как части цепочки эксплойтов.

Исследователи LeakIX представили отчет с описанием пяти уязвимостей в популярном Vinchin Backup & Recovery, поставщик которого по итогам 2023 вошел в число лидеров на российском рынке резервного копирования и восстановления данных.

Но несмотря на растущую популярность и обширный функционал, решения Vinchin, как и прочие, не застрахованы от уязвимостей безопасности.

Благодаря тщательному анализу был выявлен ряд критических недостатков от CVE-2024-22899 до CVE-2024-22903, которые могут быть объединены в цепочку для RCE-атак.

Две ошибки связаны с дефолтными учетными данными: CVE-2024-22902 (корневые учетные данные SSH по умолчанию) и CVE-2024-22901 (жестко закодированные учетные данные и ошибка конфигурации базы данных).

В первом случае реализация Vinchin с корневыми учетными данными по умолчанию облегчает root-вход по SSH, при том, что пароль по умолчанию публично задокументирован.

Риски с CVE-2024-22901 связаны с раскрытием порта MySQL, отсутствием ограничений на основе имени хоста для входа в базу данных.

Кроме того, злоумышленники могут изменить базу данных, например, создать новых администраторов и предоставить им системные привилегии.

Уязвимость внедрения команд CVE-2024-22900 затрагивает функцию setNetworkCardInfo, предназначеную для обновления информации о сетевой карте.

Она позволяет злоумышленнику вводить команды через параметр NAME через специально созданный POST-запрос.

CVE-2024-22899 обусловлена syncNtpTime (функция синхронизации времени системы с сервером NTP в файле SystemHandler.class.php и представляет собой критическую уязвимость.

Ее можно использовать, внедрив команды в ntphost параметр через специально созданный HTTP-запрос POST, которые выполняются с привилегиями процесса веб-сервера.

Функция deleteUpdateAPK подвержен критической CVE-2024-22903, которая возникает из-за прямого использования параметра file_name в команде без какой-либо очистки или проверки, открывая злоумышленнику возможность ввести дополнительные команды.

В отчете исследователей продемонстрированы примеры эксплойтов и технические детали по каждой из описанных узвимостей, взаимосвязь которых может привести к полной компрометации системы.

Полиция Гонконга заявляет о начале расследования по факту мошенничества, в результате которого злоумышленники смогли развести сотрудника неназванной транснациональной компании с использованием deepfake для кражи 25 миллионов долларов.

Именно такую сумму сотрудник перевел на счета мошенников после совещания в формате видеоконференцсвязи, куда его пригласили якобы коллеги по работе. Соответствующие распоряжения поступали от дипфейковой копии его босса.

Причем изначально работник заподозрил неладное, получив фишинговое письмо якобы от финансового директора компании из Великобритании с мотивировкой проведения секретной транзакции.

Но благодаря видеозвонку бдительность удалось окончательно усыпить, ведь все присутствовавшие участники онйлан-совещания выглядели и говорили точно так же, как его знакомые коллеги.

Иллюзия реальности поспособствовала тому, чтобы секретный платеж в итоге на 200 миллионов гонконгских долларов был все же проведен.

Позже мошенничество с использованием deepfake все же было обнаружено, когда сотрудник решил провел сверку с головным офисом корпорации.

Полиция Гонконга не раскрыла ни названия, ни подробностей о компании или работнике, но отметил, что произвела уже шесть арестов в связи с подобными преступлениями с задействованием дипфейков.

Северокорейская Kimsuky, известная своими кибершпионскими операциями, подозревается в использовании нового вредоносного ПО на основе Golang под названием Troll Stealer.

Как сообщила южнокорейская инфосек-компания S2W в своем техническом отчете, вредонос нацелен на кражу информации из SSH, FileZilla, файлов/директорий диска C, браузеров, системной информации, а также способна делать скриншоты с зараженных систем.

Специалисты связывают Troll Stealer с северокорейской АРТ исходя из его сходства с известными семействами вредоносного ПО, такими как AppleSeed и AlphaSeed, которые ранее также были приписаны группе.

Особенностью Troll Stealer является его способность красть сертификаты GPKI, выданные правительством Южной Кореи, из зараженных систем.

А кому оно надо, если не северокорейцам, учитывая, что вредоносное ПО вероятно использовалось в атаках на общественные и государственные организации в стране.

Также у специалистов есть вполне обоснованные подозрения, что субъект может быть связан с бэкдором GoBear, который также подписан легитимным сертификатом южнокорейской компании D2Innovation Co., LTD.