Современные процессоры Intel — например, 12 и 13 поколение Raptor Lake и Alder Lake — уязвимы для нового вектора инъекции целевой линии, получившего название «Indirector». В случае его эксплуатации злоумышленники могут слить конфиденциальные данные из CPU.
Indirector использует уязвимости в двух аппаратных компонентах современных процессоров — Indirect Branch Predictor (IBP) и Branch Target Buffer (BTB). Такой подход позволяет управлять спекулятивным выполнением для извлечения данных.
На Indirector указали специалисты Калифорнийского университета в Сан-Диего. Они же обещают представить все подробности атаки на предстоящем мероприятии USENIX Security Symposium, запланированном на август 2024 года.
Indirect Branch Predictor предназначена для прогнозирования целевых адресов косвенных линий, для чего используется информация о прошлых выполнениях. Branch Target Buffer, в свою очередь, прогнозирует целевые адреса прямых линий через структуру кеша.
Как выяснили исследователи, эти две аппаратные возможности содержат бреши в механизмах индексации, тегирования и совместного использования записей. Поскольку они построены на предсказуемой структуре, допускаются целевые и высокоточные манипуляции.
Отталкиваясь от этих вводных, Indirector проводит атаку с помощью трёх основных подходов:
- iBranch Locator — специально подготовленный инструмент, который может идентифицировать индексы и теги целевых линий и точно определить IBP-записи для конкретных линий.
- Инъекция IBP/BTB. Осуществляет внедрения в структуры прогнозирования для спекулятивного выполнения кода.
- Обход ASLR. Прерывает рандомизацию размещения адресного пространства с помощью точного определения местоположения косвенных линий и их целей. Этот подход упрощает прогнозирование и управление потоком контроля защищённых процессов.
Известно, что Indirector работает против процессоров семейств Raptor Lake и Alder Lake. На GitHub эксперты разместили код демонстрационного эксплойта.
Indirector использует уязвимости в двух аппаратных компонентах современных процессоров — Indirect Branch Predictor (IBP) и Branch Target Buffer (BTB). Такой подход позволяет управлять спекулятивным выполнением для извлечения данных.
На Indirector указали специалисты Калифорнийского университета в Сан-Диего. Они же обещают представить все подробности атаки на предстоящем мероприятии USENIX Security Symposium, запланированном на август 2024 года.
Indirect Branch Predictor предназначена для прогнозирования целевых адресов косвенных линий, для чего используется информация о прошлых выполнениях. Branch Target Buffer, в свою очередь, прогнозирует целевые адреса прямых линий через структуру кеша.
Как выяснили исследователи, эти две аппаратные возможности содержат бреши в механизмах индексации, тегирования и совместного использования записей. Поскольку они построены на предсказуемой структуре, допускаются целевые и высокоточные манипуляции.
Отталкиваясь от этих вводных, Indirector проводит атаку с помощью трёх основных подходов:
- iBranch Locator — специально подготовленный инструмент, который может идентифицировать индексы и теги целевых линий и точно определить IBP-записи для конкретных линий.
- Инъекция IBP/BTB. Осуществляет внедрения в структуры прогнозирования для спекулятивного выполнения кода.
- Обход ASLR. Прерывает рандомизацию размещения адресного пространства с помощью точного определения местоположения косвенных линий и их целей. Этот подход упрощает прогнозирование и управление потоком контроля защищённых процессов.
Известно, что Indirector работает против процессоров семейств Raptor Lake и Alder Lake. На GitHub эксперты разместили код демонстрационного эксплойта.
🔥 Канал для специалистов по информационной безопасности
Security Vision - ваш источник свежих статей, бесплатных вебинаров, анализа работы платформы и актуальных новостей в области ИБ.
➡️ Присоединяйтесь к @svplatform и будьте всегда в курсе последних событий в информационной безопасности.
Security Vision - ваш источник свежих статей, бесплатных вебинаров, анализа работы платформы и актуальных новостей в области ИБ.
Please open Telegram to view this post
VIEW IN TELEGRAM
Компания Cisco исправляет уязвимость нулевого дня в NX-OS, связанную с внедрением команд. Еще в апреле этот баг эксплуатировала связанная с Китаем кибершпионская хак-группа Velvet Ant, устанавливая на уязвимые коммутаторы малварь с правами root.
Уязвимость получила идентификатор CVE-2024-20399 и затрагивает интерфейс командной строки NX-OS, позволяя локальному злоумышленнику выполнять произвольные команды с root-правами.
Подчеркивается, что для успешной эксплуатации этого бага злоумышленнику придется сначала пройти аутентификацию в качестве администратора на уязвимом устройстве.
CVE-2024-20399 затрагивает коммутаторы Cisco серий MDS 9000, Nexus 3000, Nexus 5500, Nexus 5600, Nexus 6000, Nexus 7000 и Nexus 9000. В настоящее время для всех устройств уже доступны обновленные версии прошивки.
Также в отчете компании отмечается, что Cisco известно об эксплуатации этой проблемы в апреле 2024 года.
Исходно уязвимость и связанные с ней атаки обнаружили специалисты ИБ-компании Sygnia, которая отмечают, что эта активность была связана с кибершпионажем и китайской хак-группой Velvet Ant.
Хак-группа использовала ошибку в Cisco NX-OS для запуска ранее неизвестной малвари на уязвимых устройствах, удаленного подключения к ним, загрузки дополнительных файлов и выполнения кода.
Однако в компании также отметили, что, несмотря на трудности в эксплуатации таких уязвимостей, как CVE-2024-20399, группировки подобные Velvet Ant обычно используют плохо защищенные сетевые устройства для обеспечения себе постоянного доступа к корпоративным средам.
Уязвимость получила идентификатор CVE-2024-20399 и затрагивает интерфейс командной строки NX-OS, позволяя локальному злоумышленнику выполнять произвольные команды с root-правами.
Подчеркивается, что для успешной эксплуатации этого бага злоумышленнику придется сначала пройти аутентификацию в качестве администратора на уязвимом устройстве.
CVE-2024-20399 затрагивает коммутаторы Cisco серий MDS 9000, Nexus 3000, Nexus 5500, Nexus 5600, Nexus 6000, Nexus 7000 и Nexus 9000. В настоящее время для всех устройств уже доступны обновленные версии прошивки.
Также в отчете компании отмечается, что Cisco известно об эксплуатации этой проблемы в апреле 2024 года.
Исходно уязвимость и связанные с ней атаки обнаружили специалисты ИБ-компании Sygnia, которая отмечают, что эта активность была связана с кибершпионажем и китайской хак-группой Velvet Ant.
Хак-группа использовала ошибку в Cisco NX-OS для запуска ранее неизвестной малвари на уязвимых устройствах, удаленного подключения к ним, загрузки дополнительных файлов и выполнения кода.
Однако в компании также отметили, что, несмотря на трудности в эксплуатации таких уязвимостей, как CVE-2024-20399, группировки подобные Velvet Ant обычно используют плохо защищенные сетевые устройства для обеспечения себе постоянного доступа к корпоративным средам.
Тысячи пользователей даркнета, связанных с распространением CSAM-материалов, могут быть разоблачены благодаря информации, похищенной киберпреступниками. Компания Recorded Future опубликовала исследование, в котором проанализировала данные инфостилеров для выявления и идентификации потребителей CSAM-материалов.
Пользователи сайтов, чьи подключения анонимизируются за счет многократных пересылок через зашифрованную сеть Tor, могут быть разоблачены благодаря данным из логов инфостилеров. Логи содержат учетные записи с реальными именами на открытых платформах, что предоставляет правоохранительным органам возможность расследовать действия преступников и защищать детей
Собранные данные также включают имена пользователей, IP-адреса и системную информацию, что помогает правоохранительным органам понять инфраструктуру сайтов CSAM и выявить методы, используемые для маскировки личности.
Было обнаружено 3 324 уникальных пользователей, имеющих учетные записи на известных сайтах-источниках CSAM. Примечательно, что 4,2% из них имели учетные данные для доступа к нескольким таким ресурсам, что свидетельствует о высокой вероятности их участия в преступной деятельности. Все данные переданы в правоохранительные органы для дальнейших действий.
В трех примерах из доклада исследователи смогли идентифицировать двух реальных лиц, которые, вероятно, совершали или могли бы совершить преступления против детей. В одном случае человек уже был осужден за эксплуатацию детей. В другом случае данные автозаполнения браузера позволили идентифицировать полное имя, физический адрес и несколько телефонных номеров пользователя, что привело к обнаружению некролога, упоминающего его активное волонтерство в детских больницах.
Исследование Recorded Future показывает, что логи инфостилеров могут быть эффективным инструментом для выявления потребителей CSAM и изучения тенденций в сообществах CSAM. С ростом спроса на логи инфостилеров и экосистемы «вредоносное ПО как услуга», специалисты ожидают, что наборы данных инфостилеров будут продолжать предоставлять актуальную информацию о потребителях CSAM.
Пользователи сайтов, чьи подключения анонимизируются за счет многократных пересылок через зашифрованную сеть Tor, могут быть разоблачены благодаря данным из логов инфостилеров. Логи содержат учетные записи с реальными именами на открытых платформах, что предоставляет правоохранительным органам возможность расследовать действия преступников и защищать детей
Собранные данные также включают имена пользователей, IP-адреса и системную информацию, что помогает правоохранительным органам понять инфраструктуру сайтов CSAM и выявить методы, используемые для маскировки личности.
Было обнаружено 3 324 уникальных пользователей, имеющих учетные записи на известных сайтах-источниках CSAM. Примечательно, что 4,2% из них имели учетные данные для доступа к нескольким таким ресурсам, что свидетельствует о высокой вероятности их участия в преступной деятельности. Все данные переданы в правоохранительные органы для дальнейших действий.
В трех примерах из доклада исследователи смогли идентифицировать двух реальных лиц, которые, вероятно, совершали или могли бы совершить преступления против детей. В одном случае человек уже был осужден за эксплуатацию детей. В другом случае данные автозаполнения браузера позволили идентифицировать полное имя, физический адрес и несколько телефонных номеров пользователя, что привело к обнаружению некролога, упоминающего его активное волонтерство в детских больницах.
Исследование Recorded Future показывает, что логи инфостилеров могут быть эффективным инструментом для выявления потребителей CSAM и изучения тенденций в сообществах CSAM. С ростом спроса на логи инфостилеров и экосистемы «вредоносное ПО как услуга», специалисты ожидают, что наборы данных инфостилеров будут продолжать предоставлять актуальную информацию о потребителях CSAM.
Критические уязвимости, обнаруженные в менеджере зависимостей CocoaPods, позволяли злоумышленникам перехватывать контроль над тысячами заброшенных пакетов, выполнять shell-команды и захватывать учетные записи. В итоге это могло повлиять на миллионы приложений для iOS и macOS, обернувшись массовыми атаками на цепочки поставок.
CocoaPods — опенсорсный менеджер зависимостей для проектов Swift и Objective-C, насчитывающий более 100 000 библиотек и используемый как минимум тремя миллионами приложений в экосистеме Apple.
В 2014 году CocoaPods перешел на trunk-сервер, который выступает в качестве централизованного репозитория и платформы распространения. В результате этой миграции тысячи пакетов оказались заброшены, так как авторство было обнулено для всех, и во многих случаях предыдущие владельцы оказались неизвестны.
Хотя авторам предлагалось заявить о своем праве на пакеты и восстановить контроль, 1870 пакетов, включая широко используемые в других библиотеках, так и остались невостребованными.
Специалисты компании EVA Information Security обнаружили, что все пакеты, владельцы которых так и не заявили о своих правах, автоматически ассоциировались с владельцем по умолчанию с одинаковым email-адресом, а публичный API для заявления прав собственности оставался доступным почти 10 лет, позволяя любому желающему захватить чужие пакеты.
По словам экспертов, проблемы затрагивали «значительную часть экосистемы приложений на Swift и Objective-C». То есть количество уязвимых приложений исчислялось тысячами или даже миллионами.
Дело в том, что когда разработчики вносят изменения в один из своих подов, зависимые приложения обычно автоматически включают их в обновления, без какого-либо участия конечных пользователей.
Так, злоумышленники могли использовать уязвимость CVE-2024-38368, чтобы завладеть брошенными подами, а затем модифицировать их содержимое или подменить его вредоносным кодом.
Вторая уязвимость, CVE-2024-38366, представляла собой ошибку удаленного выполнения кода на сервере аутентификации CocoaPods, что позволяло выполнить shell-команду для валидации почтового домена в процессе регистрации разработчика в качестве владельца пода.
По данным исследователей, уязвимые методы, используемые RFC822 для верификации электронной почты, позволяли злоумышленникам осуществить инъекцию команды, которая в итоге выполнялась на trunk-сервере. В результате атакующий получал возможность эксплуатировать ненадежный процесс верификации email для манипулирования загружаемыми пакетами или их подмены.
Третья уязвимость, CVE-2024-38367, тоже была связана с процессом аутентификации, позволяя злоумышленнику перехватить сессию владельца пода и завладеть чужим trunk-аккаунтом CocoaPods.
Дело в том, что CocoaPods аутентифицирует новые устройства, создавая сессию, которая становится активной лишь после того, как человек перейдет по ссылке, которую trunk-сервер сгенерировал и отправил на email-адрес, указанный клиентом при запросе сессии.
Обнаружилось, что злоумышленник может подделать заголовок X-Forwarded-Host, используемый для идентификации, и сервер использует этот заголовок для создания URL, отправляемого по электронной почте. Полученный в результате URL может привести пользователя на сторонний сайт, который может оказаться вредоносным и похитить сессионные токены.
Разработчики CocoaPods устранили все перечисленные уязвимости на стороне сервера в сентябре и октябре 2023 года, то есть теперь их эксплуатация уже невозможна. Подчеркивалось, что никаких признаков их использования обнаружено не было.
После того как исследователи EVA в частном порядке уведомили разработчиков CocoaPods о проблемах, те стерли все сессионные ключи, чтобы гарантировать, что никто не сможет получить доступ к чужим учетным записям, не имея контроля над зарегистрированным email-адресом.
Также сопровождающие CocoaPods обновили процедуру восстановления заброшенных подов, и теперь она требует прямого обращения к сопровождающим.
CocoaPods — опенсорсный менеджер зависимостей для проектов Swift и Objective-C, насчитывающий более 100 000 библиотек и используемый как минимум тремя миллионами приложений в экосистеме Apple.
В 2014 году CocoaPods перешел на trunk-сервер, который выступает в качестве централизованного репозитория и платформы распространения. В результате этой миграции тысячи пакетов оказались заброшены, так как авторство было обнулено для всех, и во многих случаях предыдущие владельцы оказались неизвестны.
Хотя авторам предлагалось заявить о своем праве на пакеты и восстановить контроль, 1870 пакетов, включая широко используемые в других библиотеках, так и остались невостребованными.
Специалисты компании EVA Information Security обнаружили, что все пакеты, владельцы которых так и не заявили о своих правах, автоматически ассоциировались с владельцем по умолчанию с одинаковым email-адресом, а публичный API для заявления прав собственности оставался доступным почти 10 лет, позволяя любому желающему захватить чужие пакеты.
По словам экспертов, проблемы затрагивали «значительную часть экосистемы приложений на Swift и Objective-C». То есть количество уязвимых приложений исчислялось тысячами или даже миллионами.
Дело в том, что когда разработчики вносят изменения в один из своих подов, зависимые приложения обычно автоматически включают их в обновления, без какого-либо участия конечных пользователей.
Так, злоумышленники могли использовать уязвимость CVE-2024-38368, чтобы завладеть брошенными подами, а затем модифицировать их содержимое или подменить его вредоносным кодом.
Вторая уязвимость, CVE-2024-38366, представляла собой ошибку удаленного выполнения кода на сервере аутентификации CocoaPods, что позволяло выполнить shell-команду для валидации почтового домена в процессе регистрации разработчика в качестве владельца пода.
По данным исследователей, уязвимые методы, используемые RFC822 для верификации электронной почты, позволяли злоумышленникам осуществить инъекцию команды, которая в итоге выполнялась на trunk-сервере. В результате атакующий получал возможность эксплуатировать ненадежный процесс верификации email для манипулирования загружаемыми пакетами или их подмены.
Третья уязвимость, CVE-2024-38367, тоже была связана с процессом аутентификации, позволяя злоумышленнику перехватить сессию владельца пода и завладеть чужим trunk-аккаунтом CocoaPods.
Дело в том, что CocoaPods аутентифицирует новые устройства, создавая сессию, которая становится активной лишь после того, как человек перейдет по ссылке, которую trunk-сервер сгенерировал и отправил на email-адрес, указанный клиентом при запросе сессии.
Обнаружилось, что злоумышленник может подделать заголовок X-Forwarded-Host, используемый для идентификации, и сервер использует этот заголовок для создания URL, отправляемого по электронной почте. Полученный в результате URL может привести пользователя на сторонний сайт, который может оказаться вредоносным и похитить сессионные токены.
Разработчики CocoaPods устранили все перечисленные уязвимости на стороне сервера в сентябре и октябре 2023 года, то есть теперь их эксплуатация уже невозможна. Подчеркивалось, что никаких признаков их использования обнаружено не было.
После того как исследователи EVA в частном порядке уведомили разработчиков CocoaPods о проблемах, те стерли все сессионные ключи, чтобы гарантировать, что никто не сможет получить доступ к чужим учетным записям, не имея контроля над зарегистрированным email-адресом.
Также сопровождающие CocoaPods обновили процедуру восстановления заброшенных подов, и теперь она требует прямого обращения к сопровождающим.
Европол провёл скоординированную между правоохранительными органами операцию «Морфеус», в ходе которой удалось положить почти 600 серверов Cobalt Strike. Последние использовались киберпреступниками для взлома сетей организаций.
В конце июня правоохранителям удалось зафиксировать IP-адреса, связанные с вредоносной активностью, а также доменные имена, ставшие частью инфраструктуры злоумышленников.
После сбора всех необходимых данных полицейские передали их интернет-провайдерам, чтобы последние отключили нелицензионные версии инструмента.
В операции «Морфеус» принимали участие полицейские из Австралии, Канады, Германии, Нидерландов, Польши и США. Им помогало Национальное агентство по борьбе с преступностью Соединённого Королевства.
Специалисты BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse ch также предложили свою помощь в борьбе с вредоносными серверами.
В конце июня правоохранителям удалось зафиксировать IP-адреса, связанные с вредоносной активностью, а также доменные имена, ставшие частью инфраструктуры злоумышленников.
После сбора всех необходимых данных полицейские передали их интернет-провайдерам, чтобы последние отключили нелицензионные версии инструмента.
В операции «Морфеус» принимали участие полицейские из Австралии, Канады, Германии, Нидерландов, Польши и США. Им помогало Национальное агентство по борьбе с преступностью Соединённого Королевства.
Специалисты BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse ch также предложили свою помощь в борьбе с вредоносными серверами.
Совсем недавно компания OpenAI запустила macOS-версию приложения ChatGPT. Интересно, что специалисты уже обнаружили брешь в реализации: все чаты хранились локально в виде простого текста.
На деле это значит, что условный злоумышленник или вредоносное приложение могут легко прочитать, о чём вы общаетесь с чат-ботом, а также вытащить всю конфиденциальную информацию, если она присутствует в переписках.
Исследователь Педро Хосе Перейра Виейто продемонстрировал на площадке Threads эксплуатацию этой уязвимости: стороннее приложение получает доступ к файлам, в которых хранятся чаты с ChatGPT в виде простого текста.
Специалист записал ролик, на котором видно, что условный вредоносный софт сразу выводит введённую в ChatGPT информацию. Текст можно посмотреть, просто поменяв имена файлов.
Представители издания The Verge связались с разработчиками ChatGPT, попросив прояснить ситуацию.
На деле это значит, что условный злоумышленник или вредоносное приложение могут легко прочитать, о чём вы общаетесь с чат-ботом, а также вытащить всю конфиденциальную информацию, если она присутствует в переписках.
Исследователь Педро Хосе Перейра Виейто продемонстрировал на площадке Threads эксплуатацию этой уязвимости: стороннее приложение получает доступ к файлам, в которых хранятся чаты с ChatGPT в виде простого текста.
Специалист записал ролик, на котором видно, что условный вредоносный софт сразу выводит введённую в ChatGPT информацию. Текст можно посмотреть, просто поменяв имена файлов.
Представители издания The Verge связались с разработчиками ChatGPT, попросив прояснить ситуацию.
Forwarded from Cyber Media
👨✈️ Высший пилотаж: этапы и специфика запуска ИБ-систем
Компании все чаще обращаются к вендорам за системами защиты информации. Желая сэкономить, руководители компаний пытаются пропустить тестовый период и внедрить новый продукт во всю инфраструктуру сразу. Это ошибка.
➡️ В новой статье на сайте рассказали зачем нужен пилот проекта, из каких этапов он состоит и каких ошибок нужно избегать вендорам и компаниям.
Компании все чаще обращаются к вендорам за системами защиты информации. Желая сэкономить, руководители компаний пытаются пропустить тестовый период и внедрить новый продукт во всю инфраструктуру сразу. Это ошибка.
Please open Telegram to view this post
VIEW IN TELEGRAM
Новая киберпреступная группа под названием Pryx совершила свою первую значимую атаку, взломав системы колледжа Роуэн в округе Берлингтон, штат Нью-Джерси, США. Об этом сообщили эксперты компании Red Hot Cyber. Злоумышленникам удалось похитить 30 000 заявок абитуриентов на поступление, которые сопровождались обширным количеством личной информации.
Хакеры Pryx утверждают, что получили доступ к IT-системам колледжа и завладели конфиденциальной информацией. Об этом было объявлено на их сайте утечек данных, доступном как через традиционный интернет, так и через даркнет.
По заявлению Pryx, украденные данные включают:
- Личную информацию;
- Демографические данные;
- Сведения о гражданстве и военной службе;
- Информацию об образовании.
На данный момент колледж Роуэн не выпустил официального заявления по поводу инцидента. Отсутствие ответа со стороны учреждения затрудняет проверку заявлений Pryx.
Объём и характер потенциально утекших данных вызывают серьёзные опасения. Личная информация студентов, включая номера социального страхования и контактные данные, может быть использована для мошенничества и других незаконных действий, таких как кража личности.
Сайт утечек данных Pryx служит платформой, где группа публикует информацию о жертвах, не заплативших выкуп. Платформа доступна как через интернет, так и через даркнет. Интерфейс сайта выполнен в мрачном стиле, с изображением паука, окутанного паутиной, и слоганом «Get pryxed». На сайте можно найти контактную информацию, публичный PGP-ключ, обновления и информацию о свежих взломах Pryx.
Данный инцидент служит суровым напоминанием о важности кибербезопасности в образовательном секторе. Учебные заведения хранят огромные объёмы чувствительных данных и потому становятся привлекательными мишенями для киберпреступников. Необходимо не только усиливать технические меры защиты, но и повышать осведомлённость сотрудников и студентов о цифровой гигиене.
Хакеры Pryx утверждают, что получили доступ к IT-системам колледжа и завладели конфиденциальной информацией. Об этом было объявлено на их сайте утечек данных, доступном как через традиционный интернет, так и через даркнет.
По заявлению Pryx, украденные данные включают:
- Личную информацию;
- Демографические данные;
- Сведения о гражданстве и военной службе;
- Информацию об образовании.
На данный момент колледж Роуэн не выпустил официального заявления по поводу инцидента. Отсутствие ответа со стороны учреждения затрудняет проверку заявлений Pryx.
Объём и характер потенциально утекших данных вызывают серьёзные опасения. Личная информация студентов, включая номера социального страхования и контактные данные, может быть использована для мошенничества и других незаконных действий, таких как кража личности.
Сайт утечек данных Pryx служит платформой, где группа публикует информацию о жертвах, не заплативших выкуп. Платформа доступна как через интернет, так и через даркнет. Интерфейс сайта выполнен в мрачном стиле, с изображением паука, окутанного паутиной, и слоганом «Get pryxed». На сайте можно найти контактную информацию, публичный PGP-ключ, обновления и информацию о свежих взломах Pryx.
Данный инцидент служит суровым напоминанием о важности кибербезопасности в образовательном секторе. Учебные заведения хранят огромные объёмы чувствительных данных и потому становятся привлекательными мишенями для киберпреступников. Необходимо не только усиливать технические меры защиты, но и повышать осведомлённость сотрудников и студентов о цифровой гигиене.
В марте Microsoft сообщала о целевых атаках кибергруппировки Midnight Blizzard. Тогда писали, что злоумышленники утащили исходный код, однако теперь прошла информация, что атаки группы затронули и федеральные агентства США.
Впервые о кампании Midnight Blizzard заговорили в январе 2024 года. Microsoft тогда жаловалась на «пробив» электронной почты как обычных сотрудников, так и руководящего штата.
В марте корпорация уже писала, что нашла доказательства использования информации, похищенной из систем, для получения несанкционированного доступа.
Теперь Bloomberg пишет, что в ходе таргетированной кибератаки были затронуты системы Департамента по делам ветеранов США и одно из подразделений Госдепа США.
Есть также информация, что Midnight Blizzard добралась и до Агентства США по глобальным медиа, чьи внутренние данные могли попасть в руки киберпреступников. Тем не менее считается, что ПДн и другая конфиденциальная информация не пострадали.
Интересно, что Microsoft уведомила о возможном взломе и независимое федеральное агентство правительства США «Корпус мира».
Впервые о кампании Midnight Blizzard заговорили в январе 2024 года. Microsoft тогда жаловалась на «пробив» электронной почты как обычных сотрудников, так и руководящего штата.
В марте корпорация уже писала, что нашла доказательства использования информации, похищенной из систем, для получения несанкционированного доступа.
Теперь Bloomberg пишет, что в ходе таргетированной кибератаки были затронуты системы Департамента по делам ветеранов США и одно из подразделений Госдепа США.
Есть также информация, что Midnight Blizzard добралась и до Агентства США по глобальным медиа, чьи внутренние данные могли попасть в руки киберпреступников. Тем не менее считается, что ПДн и другая конфиденциальная информация не пострадали.
Интересно, что Microsoft уведомила о возможном взломе и независимое федеральное агентство правительства США «Корпус мира».
Представители Роскомнадзора сообщили СМИ, что по требованию ведомства компания Apple заблокировала в App Store на территории РФ 25 приложений различных VPN-сервисов.
Информацию об удалении из российского App Store уже подтвердили разработчики Le VPN и Red Shield VPN. По их словам, Apple направила им соответствующее письмо и предложила им самим связаться с представителями Роскомнадзора для решения вопроса.
Помимо Red Shield VPN и Le VPN из российского App Store были удалены Proton VPN и NordVPN, сообщает в своем Telegram-канале зампред комитета Госдумы по информационной политике.
Также, по данным СМИ, в числе удаленных были приложения Planet VPN, Hidemy.Name VPN и PIA VPN. Названия других заблокированных в App Store VPN-сервисов в Роскомнадзоре пока не сообщили.
Информацию об удалении из российского App Store уже подтвердили разработчики Le VPN и Red Shield VPN. По их словам, Apple направила им соответствующее письмо и предложила им самим связаться с представителями Роскомнадзора для решения вопроса.
Помимо Red Shield VPN и Le VPN из российского App Store были удалены Proton VPN и NordVPN, сообщает в своем Telegram-канале зампред комитета Госдумы по информационной политике.
Также, по данным СМИ, в числе удаленных были приложения Planet VPN, Hidemy.Name VPN и PIA VPN. Названия других заблокированных в App Store VPN-сервисов в Роскомнадзоре пока не сообщили.
В сеть выложили фрагмент таблицы базы данных, содержащей, предположительно, данные покупателей в сети магазинов алкогольных напитков «ВинЛаб».
В слитом дампе содержатся более 408 тысяч строк, где можно найти следующие сведения о гражданах: ФИО, телефонные номера, адреса электронной почты, хешированные пароли, номера карт лояльности, привязанное к ним число бонусов и пр.
Исследователи отмечают, что в полном дампе, который киберпреступник выгрузил из сервера MS SQL, содержится гораздо больше данных: 8,2 миллиона уникальных телефонных номеров и 1,6 млн уникальных адресов электронной почты.
Более того, среди данных можно найти адреса покупателей, сведения о заказах, обращения в техподдержку и коды скидочных купонов. Информация датируется 6 июля 2024 года.
В слитом дампе содержатся более 408 тысяч строк, где можно найти следующие сведения о гражданах: ФИО, телефонные номера, адреса электронной почты, хешированные пароли, номера карт лояльности, привязанное к ним число бонусов и пр.
Исследователи отмечают, что в полном дампе, который киберпреступник выгрузил из сервера MS SQL, содержится гораздо больше данных: 8,2 миллиона уникальных телефонных номеров и 1,6 млн уникальных адресов электронной почты.
Более того, среди данных можно найти адреса покупателей, сведения о заказах, обращения в техподдержку и коды скидочных купонов. Информация датируется 6 июля 2024 года.
Хакерская группировка Lifting Zmiy из Восточной Европы совершила серию кибератак на российские компании, используя в качестве точки входа серверы, управляющие лифтами в подъездах.
Злоумышленники взламывали контроллеры, являющиеся частью SCADA-систем, и размещали на них серверы, которые затем использовали для атак на другие цели. Речь идет о контроллерах «Текон-Автоматика», компании — поставщика решений для лифтов. Она специализируется на разработке автоматизированных систем управления и диспетчеризации, которые используются в том числе в конструкции лифтов, что дало название группировке. Среди пострадавших — государственные учреждения, IT-компании, представители телекома и других отраслей.
Для своих операций хакеры использовали инфраструктуру спутникового интернета Starlink компании SpaceX Илона Маска. Представители «Солар» подчеркнули, что атаки на сами лифты не совершались, однако уязвимость могла позволить злоумышленникам получить контроль над оборудованием.
Специалисты предполагают, что истинной целью хакеров было не нарушение работы лифтов, а маскировка своих действий. Размещая управляющие серверы на контроллерах лифтового оборудования, они пытались усложнить обнаружение своих операций.
Как отметили в компании, в 2022 году был опубликован метод взлома контроллеров «Текон-Автоматика», который предполагает, что, успешно авторизовавшись и написав специальный плагин, атакующий может получить доступ, например, к связи с диспетчером, данным с разных датчиков и т.п. После этого производитель принял меры — убрал со своего сайта логин и пароль по умолчанию. Однако все обнаруженные специалистами серверы управления хакеров были развернуты уже после принятия этих мер. Это может означать, что либо некоторые пользователи не обновили настройки безопасности на своих устройствах, либо хакерам удалось подобрать новые пароли методом перебора.
Злоумышленники взламывали контроллеры, являющиеся частью SCADA-систем, и размещали на них серверы, которые затем использовали для атак на другие цели. Речь идет о контроллерах «Текон-Автоматика», компании — поставщика решений для лифтов. Она специализируется на разработке автоматизированных систем управления и диспетчеризации, которые используются в том числе в конструкции лифтов, что дало название группировке. Среди пострадавших — государственные учреждения, IT-компании, представители телекома и других отраслей.
Для своих операций хакеры использовали инфраструктуру спутникового интернета Starlink компании SpaceX Илона Маска. Представители «Солар» подчеркнули, что атаки на сами лифты не совершались, однако уязвимость могла позволить злоумышленникам получить контроль над оборудованием.
Специалисты предполагают, что истинной целью хакеров было не нарушение работы лифтов, а маскировка своих действий. Размещая управляющие серверы на контроллерах лифтового оборудования, они пытались усложнить обнаружение своих операций.
Как отметили в компании, в 2022 году был опубликован метод взлома контроллеров «Текон-Автоматика», который предполагает, что, успешно авторизовавшись и написав специальный плагин, атакующий может получить доступ, например, к связи с диспетчером, данным с разных датчиков и т.п. После этого производитель принял меры — убрал со своего сайта логин и пароль по умолчанию. Однако все обнаруженные специалистами серверы управления хакеров были развернуты уже после принятия этих мер. Это может означать, что либо некоторые пользователи не обновили настройки безопасности на своих устройствах, либо хакерам удалось подобрать новые пароли методом перебора.
Хакеры опубликовали в даркнете штриходы 166 000 билетов на концерты Тейлор Свифт. Злоумышленники предупредили, что если они не получат выкуп в размере 2 млн долларов, слив данных продолжится.
Эта история началась еще весной текущего года, когда в мае хакер под ником ShinyHunters выставил на продажу данные 560 млн клиентов Ticketmaster за 500 000 долларов.
Тогда сообщалось, что дамп содержит полные имена пользователей, их адреса, адреса электронной почты, номера телефонов, информацию о продажах билетов и мероприятиях, а также последние четыре цифры номеров банковских карт и связанные с ними даты истечения срока действия.
Впоследствии представители Ticketmaster подтвердили факт утечки и объяснили, что инцидент был связан со взломом учетной записью Snowflake, облачного хранилища, которое компании используют для хранения баз данных, обработки данных и проведения аналитики.
Теперь же хакер под ником Sp1d3rHunters опубликовал в даркнете штрихкоды для 166 000 билетов на различные концерты тура Eras Tour певицы Тейлор Свифт. Отметим, что в прошлом именно Sp1d3rHunters продавал данные, украденные из аккаунтов Snowflake, и публично вымогал деньги у компаний.
Согласно заявлению злоумышленника, уже опубликованные штрихкоды связаны с предстоящим концертам Тейлор Свифт в Майами, Новом Орлеане и Индианаполисе.
В сообщении приведен пример данных из дампа, в котором содержатся: значение, используемое для создания сканируемого штрихкода, информация о местах, номинальной стоимости билета и так далее. Также хакер поделился деталями о том, как превратить эти данные в работающий и сканируемый штрихкод.
Представители Ticketmaster уже сообщили СМИ, что уникальные штрихкоды обновляются каждые несколько секунд, и поэтому украденные данные билетов не получится использовать для посещения концертов.
Также в Ticketmaster подчеркнули, что не вступали с хакерами в переговоры о выплате выкупа, опровергнув утверждения ShinyHunter о том, что злоумышленникам предложили 1 млн долларов за удаление похищенных данных.
Эта история началась еще весной текущего года, когда в мае хакер под ником ShinyHunters выставил на продажу данные 560 млн клиентов Ticketmaster за 500 000 долларов.
Тогда сообщалось, что дамп содержит полные имена пользователей, их адреса, адреса электронной почты, номера телефонов, информацию о продажах билетов и мероприятиях, а также последние четыре цифры номеров банковских карт и связанные с ними даты истечения срока действия.
Впоследствии представители Ticketmaster подтвердили факт утечки и объяснили, что инцидент был связан со взломом учетной записью Snowflake, облачного хранилища, которое компании используют для хранения баз данных, обработки данных и проведения аналитики.
Теперь же хакер под ником Sp1d3rHunters опубликовал в даркнете штрихкоды для 166 000 билетов на различные концерты тура Eras Tour певицы Тейлор Свифт. Отметим, что в прошлом именно Sp1d3rHunters продавал данные, украденные из аккаунтов Snowflake, и публично вымогал деньги у компаний.
Согласно заявлению злоумышленника, уже опубликованные штрихкоды связаны с предстоящим концертам Тейлор Свифт в Майами, Новом Орлеане и Индианаполисе.
В сообщении приведен пример данных из дампа, в котором содержатся: значение, используемое для создания сканируемого штрихкода, информация о местах, номинальной стоимости билета и так далее. Также хакер поделился деталями о том, как превратить эти данные в работающий и сканируемый штрихкод.
Представители Ticketmaster уже сообщили СМИ, что уникальные штрихкоды обновляются каждые несколько секунд, и поэтому украденные данные билетов не получится использовать для посещения концертов.
Также в Ticketmaster подчеркнули, что не вступали с хакерами в переговоры о выплате выкупа, опровергнув утверждения ShinyHunter о том, что злоумышленникам предложили 1 млн долларов за удаление похищенных данных.
🔥 Канал для профессионалов в сфере информационной безопасности
Security Vision – ваш надежный источник актуальных статей, бесплатных вебинаров, обзоров платформы и свежих новостей из мира ИБ.
➡️ Присоединяйтесь к @svplatform, чтобы всегда быть в курсе новейших событий в информационной безопасности.
Security Vision – ваш надежный источник актуальных статей, бесплатных вебинаров, обзоров платформы и свежих новостей из мира ИБ.
Please open Telegram to view this post
VIEW IN TELEGRAM
В мае 2024 года российские государственные организации столкнулись с новой, особо сложной кибератакой, которую специалисты окрестили CloudSorcerer. Этот мощный инструмент кибершпионажа предназначен для незаметного наблюдения, сбора и выведения данных через облачные сервисы Microsoft Graph, Yandex Cloud и Dropbox. Уникальность CloudSorcerer заключается в использовании этих облачных платформ в качестве командных серверов, с которыми вредоносное ПО взаимодействует посредством API и токенов аутентификации. Интересно, что репозиторий на GitHub также выступает в роли начального командного сервера.
CloudSorcerer напоминает APT-угрозу CloudWizard, выявленную в 2023 году. Однако, несмотря на сходство в принципе действия, новый вредонос имеет совершенно иной код, что указывает на работу другой хакерской группы, использующей аналогичные методы взаимодействия с облачными сервисами.
CloudSorcerer представляет собой многоуровневую угрозу, используя публичные облачные сервисы для управления и координации своих операций. Вредоносная программа взаимодействует с командными серверами через специальные команды, которые она декодирует с помощью заданной таблицы символов. Злоумышленники также задействуют интерфейсы COM-объектов Microsoft для выполнения вредоносных операций.
Функционирование CloudSorcerer зависит от процесса, в котором он запущен. Первоначально представляя собой один бинарный файл, написанный на языке C, программа адаптирует свою функциональность в зависимости от запущенного процесса. Например, при запуске в процессе mspaint.exe CloudSorcerer выполняет роль бэкдора, осуществляя сбор данных и выполнение вредоносного кода. Если же процесс — msiexec.exe, зловред инициирует модуль связи с командным сервером.
CloudSorcerer запускается вручную на уже зараженном компьютере. При запуске вредонос вызывает функцию GetModuleFileNameA для определения имени процесса, в котором он запущен, и сравнивает его с заданным набором строк: browser, mspaint.exe и msiexec.exe. В зависимости от имени процесса CloudSorcerer активирует различные функции, такие как сбор данных или связь с командным сервером.
Шелл-код, используемый для миграции процесса, демонстрирует стандартные функции, включая анализ блока операционного окружения процесса и внедрение кода в память целевых процессов.
Модуль бэкдора CloudSorcerer начинает свою работу с сбора системной информации о зараженном компьютере, включая имя компьютера, имя пользователя, сведения о версии Windows и время работы системы. Собранные данные сохраняются в специально созданной структуре и передаются через именованный канал \.\PIPE[1428] к процессу модуля командного сервера.
При запуске модуль командного сервера создает новый канал Windows и настраивает соединение с начальным командным сервером. Программа подключается к странице на GitHub или российскому облачному фотохостингу Mail.ru для получения закодированных данных. Эти данные включают командные инструкции, которые затем расшифровываются и выполняются.
Страница на GitHub, используемая для начального обмена данными, была создана в мае 2024 года. Интересно, что имя репозитория — Alina Egorova, распространенное русское имя, хотя на фото изображен мужчина. Похожие методы были задействованы и на Mail ru.
CloudSorcerer напоминает APT-угрозу CloudWizard, выявленную в 2023 году. Однако, несмотря на сходство в принципе действия, новый вредонос имеет совершенно иной код, что указывает на работу другой хакерской группы, использующей аналогичные методы взаимодействия с облачными сервисами.
CloudSorcerer представляет собой многоуровневую угрозу, используя публичные облачные сервисы для управления и координации своих операций. Вредоносная программа взаимодействует с командными серверами через специальные команды, которые она декодирует с помощью заданной таблицы символов. Злоумышленники также задействуют интерфейсы COM-объектов Microsoft для выполнения вредоносных операций.
Функционирование CloudSorcerer зависит от процесса, в котором он запущен. Первоначально представляя собой один бинарный файл, написанный на языке C, программа адаптирует свою функциональность в зависимости от запущенного процесса. Например, при запуске в процессе mspaint.exe CloudSorcerer выполняет роль бэкдора, осуществляя сбор данных и выполнение вредоносного кода. Если же процесс — msiexec.exe, зловред инициирует модуль связи с командным сервером.
CloudSorcerer запускается вручную на уже зараженном компьютере. При запуске вредонос вызывает функцию GetModuleFileNameA для определения имени процесса, в котором он запущен, и сравнивает его с заданным набором строк: browser, mspaint.exe и msiexec.exe. В зависимости от имени процесса CloudSorcerer активирует различные функции, такие как сбор данных или связь с командным сервером.
Шелл-код, используемый для миграции процесса, демонстрирует стандартные функции, включая анализ блока операционного окружения процесса и внедрение кода в память целевых процессов.
Модуль бэкдора CloudSorcerer начинает свою работу с сбора системной информации о зараженном компьютере, включая имя компьютера, имя пользователя, сведения о версии Windows и время работы системы. Собранные данные сохраняются в специально созданной структуре и передаются через именованный канал \.\PIPE[1428] к процессу модуля командного сервера.
При запуске модуль командного сервера создает новый канал Windows и настраивает соединение с начальным командным сервером. Программа подключается к странице на GitHub или российскому облачному фотохостингу Mail.ru для получения закодированных данных. Эти данные включают командные инструкции, которые затем расшифровываются и выполняются.
Страница на GitHub, используемая для начального обмена данными, была создана в мае 2024 года. Интересно, что имя репозитория — Alina Egorova, распространенное русское имя, хотя на фото изображен мужчина. Похожие методы были задействованы и на Mail ru.
Google планирует дольше поддерживать релизы ядра Linux, использующиеся в операционной системе Android. Ожидается долгосрочная поддержка (LTS) в течение четырёх лет, что положительно скажется на кибербезопасности любителей зелёного робота.
Как пишет AndroidAuthority, это ответ интернет-гиганта не недавнее решение сообщества Linux — сократить долгосрочную поддержку с шести до двух лет.
Одобренные комьюнити изменения неизбежно создадут проблемы для безопасности Android, поскольку ветки Android Common Kernel, полученные из LTS-релизов ядра Linux, составляют основу Android-девайсов. Google поддерживает эти форки для работы специфичных для Android возможностей и критической функциональности обратного портирования.
Регулярные обновления ядра, как известно, устраняют опасные уязвимости, что, само собой, просто необходимого для поддержания должного уровня защищённости пользователей. Меж тем, несмотря на то что LTS выгоден юзерам и производителям устройств, он накладывает дополнительную нагрузку на разработчиков ядра Linux.
Учитывая, что многие в комьюнити являются добровольцами, не получающими деньги за свой вклад в разработку ядра Linux, им вряд ли понравится дополнительная работа.
Тем не менее Google пишет, что с версии 6.6 поддержка стабильных релизов ядра будет гарантированна в течение четырёх лет. Таким образом, с Android 15 девайсы будут использовать исключительно android14-6.1 или android15-6.6 — два наиболее актуальных выпуска. Первый будут поддерживать до июля 2029-го, второй — до июля 2028-го.
Как пишет AndroidAuthority, это ответ интернет-гиганта не недавнее решение сообщества Linux — сократить долгосрочную поддержку с шести до двух лет.
Одобренные комьюнити изменения неизбежно создадут проблемы для безопасности Android, поскольку ветки Android Common Kernel, полученные из LTS-релизов ядра Linux, составляют основу Android-девайсов. Google поддерживает эти форки для работы специфичных для Android возможностей и критической функциональности обратного портирования.
Регулярные обновления ядра, как известно, устраняют опасные уязвимости, что, само собой, просто необходимого для поддержания должного уровня защищённости пользователей. Меж тем, несмотря на то что LTS выгоден юзерам и производителям устройств, он накладывает дополнительную нагрузку на разработчиков ядра Linux.
Учитывая, что многие в комьюнити являются добровольцами, не получающими деньги за свой вклад в разработку ядра Linux, им вряд ли понравится дополнительная работа.
Тем не менее Google пишет, что с версии 6.6 поддержка стабильных релизов ядра будет гарантированна в течение четырёх лет. Таким образом, с Android 15 девайсы будут использовать исключительно android14-6.1 или android15-6.6 — два наиболее актуальных выпуска. Первый будут поддерживать до июля 2029-го, второй — до июля 2028-го.
Группа вымогателей RansomHub опубликовала данные Департамента здравоохранения Флориды. Ранее киберпреступники пригрозили опубликовать украденные 100 ГБ данных, если штат не выплатит неуказанную сумму выкупа. Однако требования вымогателей не были исполнены.
Представитель департамента 3 июля подтвердил факт кибератаки. RansomHub дала штату срок до 5 июля для выплаты выкупа. Однако правительство Флориды придерживается политики неуплаты выкупов.
В Департаменте здравоохранения подтвердили, что атака затронула систему Vital Statistics, используемую для выдачи свидетельств о рождении и смерти. Однако на данный момент как минимум 2 офиса вновь начали печатать свидетельства о рождении и смерти.
Департамент здравоохранения хранит одни из самых чувствительных данных штата, включая записи о вакцинации от COVID-19, рецепты на медикаменты и информацию о пациентах, употребляющих медицинский каннабис.
Специалисты DataBreaches не смогли подтвердить, действительно ли RansomHub владеет 100 ГБ файлов, но на сайте группы действительно есть множество внутренних данных Департамента, и большая часть представляет собой персональные данные или защищенную медицинскую информацию.
Анализ данных показал, что среди украденных файлов, помимо прочих, находятся:
- результаты анализов;
- сканы паспортов;
- рецепты;
- переписки с физлицами относительно личной информации;
- записи о компенсации работникам, включая личные и демографические данные каждого сотрудника.
Департамент координирует свои действия с правоохранительными органами и всеми заинтересованными сторонами. Отмечается, что все пострадавшие стороны будут уведомлены, как только будет завершена комплексная оценка ситуации.
Представитель департамента 3 июля подтвердил факт кибератаки. RansomHub дала штату срок до 5 июля для выплаты выкупа. Однако правительство Флориды придерживается политики неуплаты выкупов.
В Департаменте здравоохранения подтвердили, что атака затронула систему Vital Statistics, используемую для выдачи свидетельств о рождении и смерти. Однако на данный момент как минимум 2 офиса вновь начали печатать свидетельства о рождении и смерти.
Департамент здравоохранения хранит одни из самых чувствительных данных штата, включая записи о вакцинации от COVID-19, рецепты на медикаменты и информацию о пациентах, употребляющих медицинский каннабис.
Специалисты DataBreaches не смогли подтвердить, действительно ли RansomHub владеет 100 ГБ файлов, но на сайте группы действительно есть множество внутренних данных Департамента, и большая часть представляет собой персональные данные или защищенную медицинскую информацию.
Анализ данных показал, что среди украденных файлов, помимо прочих, находятся:
- результаты анализов;
- сканы паспортов;
- рецепты;
- переписки с физлицами относительно личной информации;
- записи о компенсации работникам, включая личные и демографические данные каждого сотрудника.
Департамент координирует свои действия с правоохранительными органами и всеми заинтересованными сторонами. Отмечается, что все пострадавшие стороны будут уведомлены, как только будет завершена комплексная оценка ситуации.
Для защиты изображений создали алгоритм, который меняет пиксели местами.
Со слов НИУ ВШЭ, способ поможет авторам защитить свои работы от нелегального использования. В отличие от водяных знаков, которые легко удалить в фоторедакторе или при помощи нейросетей, созданную маркировку невооруженным глазом разглядеть не выйдет. Однако если потребуется подтвердить авторство, ее можно извлечь и использовать в качестве доказательства.
Со слов НИУ ВШЭ, способ поможет авторам защитить свои работы от нелегального использования. В отличие от водяных знаков, которые легко удалить в фоторедакторе или при помощи нейросетей, созданную маркировку невооруженным глазом разглядеть не выйдет. Однако если потребуется подтвердить авторство, ее можно извлечь и использовать в качестве доказательства.
Группа ИБ-специалистов и ученых привлекла внимание к уязвимости в протоколе RADIUS, который существует и используется больше 30 лет. Атака Blast-RADIUS позволяет злоумышленникам компрометировать сети и устройства с помощью MitM-атак и коллизий MD5.
Протокол RADIUS был разработан еще в 1991 году и известен еще со времен dial-up. С тех самых пор он остается фактическим стандартом для облегченной аутентификации и поддерживается практически во всех коммутаторах, маршрутизаторах, точках доступа и VPN-концентраторах, выпущенных за последние десятилетия. Так, RADIUS остается важным компонентом для управления взаимодействием клиент-сервер и используется для обеспечения:
- VPN-доступа;
- DSL и оптоволоконных соединений, предлагаемых интернет-провайдерами;
- работы Wi-Fi и аутентификация 802.1X;
- роуминга в сетях 2G и 3G;
- DNN-аутентификации в сетях 5G;
- аутентификации через частные APN для подключения мобильных устройств к корпоративным сетям;
- аутентификации на устройствах управления КИИ;
- Eduroam и OpenRoaming Wi-Fi.
RADIUS обеспечивает бесперебойное взаимодействие между клиентами и центральным сервером RADIUS, который выступает в роли гейткипера для аутентификации пользователей и политик доступа. Задача RADIUS — обеспечить централизованное управление аутентификацией, авторизацией и учетом удаленных входов в систему. Иногда речь идет о десятках тысяч устройств в одной сети.
Атака Blast-RADIUS эксплуатирует уязвимость протокола и коллизии MD5, позволяя злоумышленникам, имеющим доступ к трафику RADIUS, манипулировать ответами сервера и добавлять произвольные атрибуты, что дает возможность получить права администратора на устройствах RADIUS без применения брутфорса или кражи учетных данных. Атака затрагивает на все режимы аутентификации RADIUS/UDP, кроме тех, которые используют EAP.
Дело в том, что протокол RADIUS использует хешированные MD5 запросы и ответы при выполнении аутентификации на устройстве. PoC-эксплоит, разработанный специалистами, вычисляет хеш-коллизию MD5 с выбранным префиксом, необходимую для подделки корректного ответа Access-Accept, обозначающего успешный запрос на аутентификацию. Затем этот поддельный MD5-хеш внедряется в сетевое соединение с помощью man-in-the-middle атаки, что позволяет злоумышленнику войти в систему.
Эксплуатация проблемы и подделка хеша MD5 занимает от 3 до 6 минут, то есть дольше, чем 30-60-секундные тайм-ауты, обычно используемые в RADIUS. Однако каждый шаг коллизионного алгоритма, применяемого в атаке, может быть эффективно распараллелен, а также поддается аппаратной оптимизации. То есть злоумышленник с хорошими ресурсами может осуществить атаку с помощью GPU, FPGA и другого современного и быстрого оборудования, чтобы добиться более быстрого времени выполнения, повысив его в десятки или даже сотни раз.
Поскольку эта атака не компрометирует учетные данные конечного пользователя, для защиты от нее сами пользователи не могут сделать ничего. Однако производителям и системным администраторам, которые создают RADIUS-устройства и управляют ими, рекомендуется следовать уже доступным рекомендациям.
Для защиты от Blast-RADIUS сетевые операторы могут перейти на RADIUS over TLS, мультихоповые развертывания RADIUS и изолировать трафик RADIUS от интернета с помощью VLAN с ограниченным доступом или туннелирования TLS/IPsec.
По мнению исследователей, в долгосрочной перспективе единственным способом обезопасить RADIUS является передача данных по TLS или DTLS, что позволит обеспечить должную безопасность, включая конфиденциальность пользовательских данных в запросах и целостность ответов Access-Accept и Access-Reject.
Хотя рабочая группа IETF уже разрабатывает новую спецификацию, которая будет направлена именно на это, подобные масштабные изменения занимают месяцы или годы. Так, некоторые имплементации RADIUS пока вообще не поддерживают TLS.
Протокол RADIUS был разработан еще в 1991 году и известен еще со времен dial-up. С тех самых пор он остается фактическим стандартом для облегченной аутентификации и поддерживается практически во всех коммутаторах, маршрутизаторах, точках доступа и VPN-концентраторах, выпущенных за последние десятилетия. Так, RADIUS остается важным компонентом для управления взаимодействием клиент-сервер и используется для обеспечения:
- VPN-доступа;
- DSL и оптоволоконных соединений, предлагаемых интернет-провайдерами;
- работы Wi-Fi и аутентификация 802.1X;
- роуминга в сетях 2G и 3G;
- DNN-аутентификации в сетях 5G;
- аутентификации через частные APN для подключения мобильных устройств к корпоративным сетям;
- аутентификации на устройствах управления КИИ;
- Eduroam и OpenRoaming Wi-Fi.
RADIUS обеспечивает бесперебойное взаимодействие между клиентами и центральным сервером RADIUS, который выступает в роли гейткипера для аутентификации пользователей и политик доступа. Задача RADIUS — обеспечить централизованное управление аутентификацией, авторизацией и учетом удаленных входов в систему. Иногда речь идет о десятках тысяч устройств в одной сети.
Атака Blast-RADIUS эксплуатирует уязвимость протокола и коллизии MD5, позволяя злоумышленникам, имеющим доступ к трафику RADIUS, манипулировать ответами сервера и добавлять произвольные атрибуты, что дает возможность получить права администратора на устройствах RADIUS без применения брутфорса или кражи учетных данных. Атака затрагивает на все режимы аутентификации RADIUS/UDP, кроме тех, которые используют EAP.
Дело в том, что протокол RADIUS использует хешированные MD5 запросы и ответы при выполнении аутентификации на устройстве. PoC-эксплоит, разработанный специалистами, вычисляет хеш-коллизию MD5 с выбранным префиксом, необходимую для подделки корректного ответа Access-Accept, обозначающего успешный запрос на аутентификацию. Затем этот поддельный MD5-хеш внедряется в сетевое соединение с помощью man-in-the-middle атаки, что позволяет злоумышленнику войти в систему.
Эксплуатация проблемы и подделка хеша MD5 занимает от 3 до 6 минут, то есть дольше, чем 30-60-секундные тайм-ауты, обычно используемые в RADIUS. Однако каждый шаг коллизионного алгоритма, применяемого в атаке, может быть эффективно распараллелен, а также поддается аппаратной оптимизации. То есть злоумышленник с хорошими ресурсами может осуществить атаку с помощью GPU, FPGA и другого современного и быстрого оборудования, чтобы добиться более быстрого времени выполнения, повысив его в десятки или даже сотни раз.
Поскольку эта атака не компрометирует учетные данные конечного пользователя, для защиты от нее сами пользователи не могут сделать ничего. Однако производителям и системным администраторам, которые создают RADIUS-устройства и управляют ими, рекомендуется следовать уже доступным рекомендациям.
Для защиты от Blast-RADIUS сетевые операторы могут перейти на RADIUS over TLS, мультихоповые развертывания RADIUS и изолировать трафик RADIUS от интернета с помощью VLAN с ограниченным доступом или туннелирования TLS/IPsec.
По мнению исследователей, в долгосрочной перспективе единственным способом обезопасить RADIUS является передача данных по TLS или DTLS, что позволит обеспечить должную безопасность, включая конфиденциальность пользовательских данных в запросах и целостность ответов Access-Accept и Access-Reject.
Хотя рабочая группа IETF уже разрабатывает новую спецификацию, которая будет направлена именно на это, подобные масштабные изменения занимают месяцы или годы. Так, некоторые имплементации RADIUS пока вообще не поддерживают TLS.