Из-за атаки хакеров и идиотизма владельца на ферме в Швейцарии погибла корова

Прочитал про необычный случай, связанный с ransomware-атаками, в Швейцарии...

Хакеры вывели из строя компьютеры фермера из Хагендорна, на которых также работал робот для доения коров. Из-за чего фермер не мог получить вовремя данные о состоянии своих коров. В результате кибератаки погибла беременная корова. Теленок умер в утробе матери. Фермер не смог вовремя обнаружить, что животное находится в критическом состоянии - её пришлось умертвить.

По заявлению CSO, атака была классифицирована как ransomware. Преступники потребовали выкуп в размере 10 тысяч долларов для расшифровки данных. Фермер не придал большого значения этому событию, так как доение продолжалось в автоматическом режиме.

Владелец хозяйства был шокирован, когда узнал о кибератаке от производителя системы доения. Финансовые убытки фермера превысили 6 400 евро, включая расходы на ветеринара и покупку нового компьютера. Хакеры в итоге не получили выкуп.
————— 💻 —————
IT Лаборотория — IMPIR4TOR

энтузиаст опубликовал видеоинструкцию по замене операционной системы любого удаленного сервера Linux только с помощью SSH на NetBSD. Этот процесс занимает менее 10 минут, используя скрипт от takeover.sh.
————— 💻 —————
IT Лаборотория — IMPIR4TOR

Хакеры эксплуатируют уязвимость 18-летней давности для атак на Firefox, Safari и Chrome

Обнаруженная еще 18 лет назад уязвимость, получившая название 0.0.0.0 Day, позволяет вредоносным сайтам обходить защиту браузеров Google Chrome, Mozilla Firefox и Apple Safari и взаимодействовать с сервисами в локальной сети. Проблема затрагивает только устройства под управлением Linux и macOS, но не работает в Windows.

Несмотря на то, что изначально уязвимость была обнаружена в далеком 2008 году, она до сих пор не устранена в браузерах Chrome, Firefox и Safari, хотя разработчики всех трех компаний уже признали наличие проблем и заверили, что устраняют её.

p...s...
для тех идиотов что думали - апл лучше майкрософта ибо на апл нет - вирусов и багов.... какие же вы клоуны - СубханалЛах1.... эти алавянные Муджахиды - что рассказывают про безопасность американских технологий и их разработок от русских спецслужб... я вас порицаю... и никак не уважаю #деграданты

предисловие#2
то что спецслужбы вас ещё не накрыли - не означает что они вас не прослушивают от начала и до конца.... любая спецслужба - слушает, устанавливает полную иерархию организации - а потом уже разом - прикрывает всех вместе, и заметьте что русские, в мире спецслужб - коллеги для кафиров - против Ислама и Муджахидов что его защищают.
————— 💻 —————
IT Лаборотория — IMPIR4TOR

техническая 18-ти летняя проблема - которую никто не планировал исправлять дабы оставить бакдур - для спецслужб и разного рода организациям - что под прикрытием защищают интересы спецслужб что их создали
————— 💻 —————
IT Лаборотория — IMPIR4TOR

Внимание к 0.0.0.0 Day привлекли исследователи из компании Oligo Security.

Они подчеркивают, что риск в данном случае вовсе не теоретический - а критический ибо несколько хак-групп уже используют проблему в своих цепочках атак на важные инфра-структуры кафиров по всему миру.

0.0.0.0 Day связана с несогласованностью механизмов безопасности в разных браузерах и отсутствием стандартизации, что позволяет сайтам работать со службами в локальной сети, используя «wildcard» IP-адрес 0.0.0.0.

Как правило, 0.0.0.0 олицетворяет все IP-адреса на локальной машине или все сетевые интерфейсы на хосте. Он может использоваться в качестве адреса-заменителя в запросах DHCP или интерпретироваться как localhost (127.0.0.1) при работе в локальной сети.

Вредоносные сайты могут отправлять HTTP-запросы на 0.0.0.0, нацеленные на службу, работающую на локальной машине жертвы. Из-за отсутствия комплексной защиты эти запросы часто действительно передаются службе и обрабатываются. Как поясняют эксперты, существующие механизмы защиты, включая Cross-Origin Resource Sharing (CORS) и Private Network Access (PNA), не способны остановить атаку.

По умолчанию браузеры не позволяют сайтам отправлять запросы на другие сайты и использовать полученную в ответ информацию. Это сделано для того, чтобы вредоносные ресурсы не могли получить доступ к другим URL-адресам в браузере пользователя, на которых тот может быть аутентифицирован (например, к порталу онлайн-банкинга, почтовым серверам и.т.д)

Однако в браузерах существует технология Cross-Origin Resource Sharing (CORS), позволяющая сайтам получать доступ к данным с других сайтов, если это разрешено.

«CORS — это замечательно, это делает интернет намного безопаснее. CORS предотвращает попадание ответов к злоумышленникам, поэтому злоумышленники не могут прочитать данные при отправке недействительных запросов. При отправке запроса, если в ответе отсутствуют заголовки CORS, Javascript-код атакующих не сможет прочитать содержимое ответа. Но непрозрачные запросы могут быть отправлены в режиме no-cors и успешно дойдут до сервера, особенно если нас не интересуют ответы», — пишут специалисты Oligo Security.

То есть когда цель угрожающего злоумышленника заключается в том, чтобы просто добраться до HTTP-эндпоинта, запущенного на лок-ом устройстве и подходящего для изменения настроек или выполнения задачи, то output - не нужен.

Исследователи объясняют, что защита Private Network Access (PNA) работает немного иначе, чем CORS, блокируя любые запросы, которые пытаются подключиться к IP-адресам, считающимся локальными и приватными. Однако анализ показал, что IP-адрес 0.0.0.0 не включен в список запрещенных адресов PNA (ex: 127.0.0.1). 

То есть когда запрос в режиме no-cors отправляется на этот специальный адрес, он может обойти защиту PNA и подключиться к URL веб-сервера, запущенного на 127.0.0.1.

В своем отчете специалисты рассказывают сразу о нескольких случаях эксплуатации проблемы 0.0.0.0 Day. В первом случае речь идет о кампании ShadowRay, о которой аналитики Oligo Security уже писали в марте прошлого года,  они нацелены на уязвимость в опенсорсном ИИ-фреймворке Ray.

Атака начинается с того, что жертва переходит по ссылке, полученной по почте или найденной на вредоносном сайте. По ссылке запускается JavaScript для отправки HTTP-запроса на http://0.0.0.0[.]0:8265, обычно используемого Ray. В итоге эти запросы достигают локального кластера Ray и могут привести к выполнению произвольного кода, развертыванию реверс-шеллов и изменению конфигурации.
————— 💻 —————
IT Лаборотория — IMPIR4TOR

Во втором случае 0.0.0.0 Day используется в кампании, нацеленной на Selenium Grid и обнаруженной специалистами Wiz в прошлом месяце. В этом случае злоумышленники используют JavaScript на публичном домене для отправки запросов на http://0.0.0[ .]0:4444. Эти запросы направляются на серверы Selenium Grid, что позволяет хакерам выполнить код или произвести разведку.
————— 💻 —————
IT Лаборотория — IMPIR4TOR

Кроме того, в октябре 2023 года Oligo Security сообщала об уязвимости ShellTorch, связанной с тем, что веб-панель TorchServe по умолчанию привязана к IP-адресу 0.0.0.0 вместо localhost, что открывало ее для вредоносных запросов.

Исследователи предупреждают, что в последнее время наблюдается рост числа сайтов, взаимодействующих с 0.0.0.0: недавно их количество превысило 100.000 штук
————— 💻 —————
IT Лаборотория — IMPIR4TOR

все разработчики браузеров уже отреагировали на публикацию отчёта исследователей:

📱 В Google Chrome сообщили, что заблокируют доступ к 0.0.0.0, но развертывание исправления будет постепенным, начиная с версии 128 и заканчивая версией 133.

📱 В Mozilla Firefox PNA не применяется, но это один из приоритетов разработчиков. Пока PNA не будет реализована, запущена работа над временным исправлением, но дата его выпуска, на данный момент - неизвестна.

📱 Apple внедрила дополнительные проверки для IP-адресов в Safari с помощью изменений в WebKit, и доступ к 0.0.0.0 будет заблокирован в грядущей версии 18, которую представят вместе с macOS Sequoia.


До момента выхода исправлений в Oligo Security рекомендуют разработчикам использовать следующие меры безопасности:

— внедрять заголовки PNA;

— проверять заголовки HOST
"для защиты от атак типа DNS rebinding".

— не доверять даже localhost и всегда использовать авторизацию.

— по возможности использовать HTTPS.

— внедрять CSRF-токены,
даже для локальных приложений.
————— 💻 —————
IT Лаборотория — IMPIR4TOR

Уязвимости 5G позволяют следить за владельцами мобильных устройств.

• На конференции Black Hat продемонстрировали метод слежки за владельцами мобильных устройств с помощью baseband-брешей в 5G. Используя кастомный инструмент 5GBaseChecker, специалисты выявили уязвимости в базовой полосе, которые применяют 5G-модемы таких производителей, как Samsung, MediaTek и Qualcomm (используются в телефонах Google, OPPO, OnePlus, Motorola и Samsung).

• Используя эту уязвимость исследователи смогли заставить целевые телефоны подключиться к фейковой базовой станции, что стало отправной точкой атаки. А еще им удалось понизить уровень подключения с 5G до более старых протоколов, где не устранены многие проблемы в безопасности. Такой даунгрейд облегчает перехват сообщений жертвы. Заявлено, что большинство поставщиков, с которыми связались исследователи, устранили уязвимости. На данный момент специалисты исправили 12 брешей в разных диапазонах 5G. Это подтвердили TechCrunch представители Samsung и Google.

• Инструмент 5GBaseChecker;
————— 💻 —————
IT Лаборотория — IMPIR4TOR

очередной баг у APPLE VISION PRO
————————
Злоумышленники могли перехватывать данные с виртуальной клавиатуры Apple

Исследователи из Университета Флориды и Техасского технологического университета продемонстрировали атаку GAZEploit, которая отслеживает взгляд пользователя Apple Vision Pro и может определить, что набирает на виртуальной клавиатуре юзер.

«Новая атака может извлечь биометрические данные, связанные с глазами, из изображения аватара пользователя, чтобы восстановить текст, который тот набирает взглядом», — объясняют исследователи.

Дело в том, что ввод данных на виртуальной клавиатуре Apple Vision Pro может осуществляться из режима аватара (Persona), который используется для видеозвонков, онлайн-встреч и так далее. И исследователи выяснили, что можно проанализировать движения глаз виртуального аватара, чтобы определить, что человек в VR-гарнитуре Vision Pro набирает на своей виртуальной нажатие клавиш.

В результате злоумышленник мог анализировать виртуальные аватары жертв и с их помощью перехватывать клавиатуру.
————— 💻 —————
IT Лаборотория — IMPIR4TOR

Атака GAZEploit осуществлялась с помощью модели, натренированной на данных, собранных от 30 человек: Persona, EAR (eye aspect ratio) и отслеживание направления взгляда, чтобы отличать сессии набора текста от других видов деятельности, связанных с VR (например, просмотра фильмов или игр).
Затем направление взгляда на виртуальной клавиатуре сопоставлялось с конкретными клавишами, чтобы определить потенциальные нажатия (причем учитывалось и расположение клавиатуры в виртуальном пространстве).

«Удаленно захватив и проанализировав видео с виртуальным аватаром, злоумышленник мог восстановить нажатые клавиши. Примечательно, что атака GAZEploit — это первая известная атака, которая использует информацию о взгляде для удаленного перехвата нажатий клавиш», — эксперты.

————— 💻 —————
IT Лаборотория — IMPIR4TOR

как выглядит общая схема атаки
————— 💻 —————
IT Лаборотория — IMPIR4TOR

В итоге атака GAZEploit получила идентификатор CVE-2024-40865, и соответствующая уязвимость была исправлена разработчиками Apple в visionOS версии 1.3, выпущенной в июле 2024 года. Так, теперь работа Persona приостанавливается, если одновременно активна виртуальная клавиатура.
————— 💻 —————
IT Лаборотория — IMPIR4TOR

30тыч сотрудников TfL должны обновить свои пароли и пройти верификацию личности

После недавней кибератаки почти 30 000 сотрудников муниципальной службы Transport for London должны явиться на личную беседу, чтобы пройти проверку личности в службе безопасности и сбросить свои пароли.

————— 💻 —————
IT Лаборотория — IMPIR4TOR