💻 Уязвимость в HackerOne

Анонимный хакер с киберпреступного форума недавно заявил о наличии уязвимости, позволяющей обходить двухфакторную аутентификацию (2FA) на платформе HackerOne, известной своими программами поощрения за обнаружение уязвимостей. Сообщение об этом появилось в официальном X-аккаунте компании ThreatMon, специализирующейся на ИБ-информировании.

Судя по заявлению злоумышленника, он обладает действующим PoC-эксплойтом, который можно применить для обхода двухфакторной аутентификации HackerOne, что существенно упрощает потенциальную компрометацию аккаунтов компаний или самих белых хакеров.

Платформа известна своими надёжными мерами безопасности, поэтому заявление о наличии уязвимости является особенно тревожным. Эксперты предполагают, что подтверждение этой бреши может иметь серьёзные последствия для пользователей платформы и сообщества киберспециалистов в целом.

Пока что представители HackerOne не выпустили официального подтверждения или опровержения по поводу наличия уязвимости в 2FA, что окутывает ситуацию дополнительной пеленой интриги.

ИБ-сообщество отреагировало на эту новость сочетанием скептицизма и беспокойства. Одни ждут официального заявления и подробностей от HackerOne, в то время как другие уже обсуждают потенциальные последствия такой уязвимости.

@linuxkalii

💻 SnailLoad — новый метод атаки по сторонним каналам

Группа исследователей из Грацского технического университета разработала метод атаки по сторонним каналам SnailLoad, позволяющий определять обращение пользователя к тем или иным сайтам или выявлять просмотр определённых видеороликов на YouTube.

SnailLoad не требует совершения MITM-атаки, атакующему не нужно перехватывать транзитный трафик пользователя. Для осуществления атаки достаточно, чтобы жертва открыла в своём браузере подконтрольную атакующему страницу, которая инициирует загрузку с сервера атакующего больших файлов или изображений. Выполнения JavaScript-кода не требуется, достаточно организовать непрерывный поток трафика между жертвой и сервером атакующего.

Aнализ производится на стороне сервера атакующего и базируется на изменении задержек доставки пакетов в зависимости от параллельно выполняемых на системе пользователя запросов к другим сайтам. Метод отталкивается от того, что из‑за неравномерности пропускной способности каналов связи между пользователем и провайдером и между шлюзом провайдера и сайтом, разные сетевые соединения влияют друг на друга. Так как узким местом является канал подключения клиента к провайдеру («последняя миля»), характер отправки пакетов на сервер атакующего меняется в зависимости от другой сетевой активности жертвы.

Точность определения сайта в SnailLoad зависит от типа подключения пользователя к провайдеру и составляет 62.8%.

🗄 Код серверной части, используемой для проведения атаки, опубликован на GitHub под лицензией MIT.

@linuxkalii

⚡️ Fragtunnel - это инструмент для проверки концепции (PoC) TCP-туннелирования, который вы можете использовать для туннелирования трафика вашего приложения и обхода брандмауэров следующего поколения на пути к цели.

TCP туннели создают для того, чтобы безопасно передавать данные и не бояться, что их перехватят на пути к адресату. Информация начнет проходить через указанный сервер (локальную сеть) и попадать к адресату напрямую.

▪Github

@linuxkalii

🖥 Релиз ядра Linux 6.10

14 июля 2024 года Линус Торвальдс представил первый стабильный релиз ядра Linux 6.10. Выпуск новой версии ядра Linux вышел в соответствии с графиком, спустя два месяца после выхода предыдущей стабильной версии Linux 6.9 в середине мая 2024 года.

Исходный код Linux 6.10 доступен для загрузки на портале kernel.org. Коммит релиза ядра Linux 6.9 на GitHub и на Makefile (и на Git) от Линуса Торвальдса.

Новая версия ядра Linux содержит большое количество изменений, обновлений и доработок, а также исправлений по ранее обнаруженным багам (Linux 6.10 changelog).

В проект принято 14 564 исправлений от 1 989 разработчиков, размер патча составляет 41 МБ (изменения затронули 12 509 файлов, добавлено 547 663 строк кода, удалено 312 464 строк). Около 41% всех представленных в Linux 6.10 изменений связаны с драйверами устройств, примерно 15% изменений имеют отношение к обновлению кода, специфичного для аппаратных архитектур, 13% относятся к сетевому стеку, 5% - к файловым системам и 4% касаются внутренних подсистемам ядра.

В Linux 6.10 появился драйвер Panthor DRM для новой графики Arm Mali, дополнительные возможности подготовки графики Intel Xe2, улучшенная поддержка AMD ROCm/AMDKFD для «маленьких» APU Ryzen, поддержка дисплея графического процессора AMD на оборудовании RISC-V благодаря FPU режима ядра RISC-V, дополнения для AMD Zen 5, улучшенная производительность IO_uring в режиме zero-copy performance, более быстрое шифрование дисков/файлов AES-XTS на современных процессорах Intel и AMD, поддержка Steam Deck IMU, появилась начальная инфраструктура для DRM Panic, шифрование и защита целостности шины TPM, поддержку языка Rust для архитектуры RISC-V, первоначальная поддержка настройки фильтров PFCP (Packet Forwarding Control Protocol), а также многие другие изменения и обновления.

Подробнее

@linuxkalii

💻 Количество DDoS-атак в 2024 году выросло

Краткие итоги первых 6 месяцев 2024 года: количество DDoS-атак выросло, их мощность выросла, распределенность источников увеличилась.

🗄За второй квартал 2024 года атак было на 43% больше, чем в первом.
При этом второй квартал 2024 года превосходит аналогичный период 2023 года уже на 63%.

🗄Повседневный вредоносный трафик теперь нередко превышает то, что в прошлые годы было пиком. 350 млн пакетов в секунду (рекорд всего интернета в 2021 году) — сегодня уже рядовой эпизод.

🗄Большинство атак идет с зараженных IoT-устройств, распределенность также постоянно растет.

🗄Абсолютное большинство DDoS-атак идет на уровне веб-приложений (L7 по системе OSI) — в 3-4 раза больше, чем на сетевом и транспортном (L3-L4).

🗄В тренде атаки на группы доменов (региональные или служебные поддомены), а также их новая версия — атаки на несуществующие домены.

Подробнее насчёт последней техники. Атакующий указывает в качестве точки назначения protected ip (защищаемый IP-адрес), а в качестве host (это обязательный заголовок в HTTP-запросе) — любое доменное имя, что усложняет процесс защиты

🗄 Подробнее

@linuxkalii

💻 Роутеры MikroTik атакуют глобальную сеть

OVHcloud, один из ведущих европейских провайдеров облачных услуг, недавно столкнулся с беспрецедентной по своим масштабам DDoS-атакой. Эта атака, достигшая ошеломляющей мощности в 840 миллионов пакетов в секунду (Mpps), стала рекордной в 2024 году и ярко иллюстрирует растущую угрозу DDoS-угроз.

С начала 2023 года специалисты OVHcloud отмечают тревожную тенденцию: масштабы и частота DDoS-атак неуклонно растут. К текущему моменту ситуация обострилась настолько, что атаки мощностью свыше 1 Тбит/с стали практически повседневным явлением.

За последние полтора года OVHcloud регулярно фиксировал впечатляющие показатели как по битрейту, так и по количеству пакетов в секунду. Пик этой активности пришёлся на 25 мая 2024 года, когда был зарегистрирован рекордный битрейт в 2,5 Тбит/с.

Особую озабоченность у специалистов OVHcloud вызвал тот факт, что многие атаки с высоким количеством пакетов в секунду, включая рекордную, исходили от скомпрометированных устройств MikroTik Cloud Core Router (CCR).

В ходе исследования OVHcloud обнаружила почти 100 000 устройств MikroTik, доступных через Интернет и потенциально уязвимых для атак. Эксперты компании предупреждают: даже если всего 1% этих устройств будет скомпрометирован, это может привести к созданию настолько мощного ботнета, что он будет способен генерировать до 2,28 миллиарда пакетов в секунду.

🗄 Подробнее

@linuxkalii

💻 Исследователи выявили уязвимость Blast-RADIUS в протоколе RADIUS, позволяющую подделать ответ при аутентификации

Исследователи по ИБ из Бостонского университета, Cloudflare, BastionZero, Microsoft, Centrum Wiskunde&Informatica и Калифорнийского университета в Сан-Диего обнаружили уязвимость CVE-2024-3596 в популярном протоколе RADIUS, которая позволяет опытному злоумышленнику реализовать эксплойты для аутентификации любого пользователя в локальной сети, обходя защитные средства MFA в рамках атаки. Эта техника атаки получила название Blast-RADIUS.

Эксперты из InkBridge Networks предоставили полное техническое описание атаки Blast-RADIUS и предупредили о серьёзных рисках для корпоративных сетей, включая внутренние сети предприятий, сети интернет-провайдеров (ISP) и телекоммуникационных компаний.

Согласно пояснению профильных специалистов, в протоколе RADIUS некоторые пакеты Access-Request не аутентифицированы и не имеют проверки целостности, что позволяет провести атаку Blast-RADIUS с помощью уязвимости CVE-2024-3596.

Фактически злоумышленник может выполнить атаку Blast-RADIUS с выбранным префиксом, которая позволяет изменить Access-Request, чтобы заменить допустимый ответ в протоколе RADIUS на тот, который не является легитимным. Несмотря на то, что ответ аутентифицирован и проверен целостность, уязвимость выбранного префикса позволяет злоумышленнику изменить пакет ответа практически по своему желанию.

@linuxkalii

💻 Хакеры начали использовать хаос из-за CrowdStrike для распространения вредоноса Crowdstrike-hotfix.zip

После масштабного сбоя в работе организаций по всему миру 18 июля из-за обновления Falcon Sensor для Windows от компании CrowdStrike киберпреступники пытаются воспользоваться ситуацией.
Они распространяют вредоносный ZIP-архив с именем Crowdstrike-hotfix.zip (хеш SHA256: c44506fe6e1ede5a104008755abf5b6ace51f1a84ad656a2dccc7f2c39c0eca2).

Архив содержит полезную нагрузку HijackLoader, загружающую RemCo. В CrowdStrike считают, что имена файлов и инструкции в ZIP-архиве на испанском указывают на нацеленность кампании на клиентов CrowdStrike из Латинской Америки (LATAM).

Киберпреступники также проводят фишинговые кампании против клиентов CrowdStrike. Они рассылают электронные письма, выдавая себя за службу техподдержки, называют себя сотрудниками компании во время телефонных звонков, а также выдают себя за независимых исследователей, чтобы предложить информацию по устранению сбоев. Наконец, хакеры продают сценарии для автоматизации восстановления систем.

@linuxkalii

💻 FishXProxy — новый инструмент фишинга

В даркнете появился новый инструмент для фишинга под названием FishXProxy, который значительно упрощает задачу киберпреступникам. Этот комплект инструментов был выявлен исследователями платформы SlashNext Security.

FishXProxy предлагает хакерам мощные возможности, такие как антибот-конфигурации, интеграция с Cloudflare Turnstile, встроенный редиректор и гибкая настройка срока действия страниц. Это делает фишинг доступным даже для тех, кто имеет минимальные технические навыки.

Исследователи отмечают, что FishXProxy позволяет обходить системы безопасности и скрывать атаки. Этот комплект инструментов предназначен для создания и управления фишинговыми сайтами, что увеличивает шансы на успешное хищение учётных данных.

Отчёт исследователей SlashNext подчёркивает, что FishXProxy оснащён продвинутыми антибот-системами, которые отфильтровывают автоматические сканы, а также функцией управления трафиком, что позволяет скрывать истинные цели ссылок. Кроме того, ограниченные по сроку мошенничества могут быть настроены на отключение после определённого времени, что создаёт давление на жертв, чтобы они действовали быстро.

Также комплект включает систему cookie, которая позволяет злоумышленникам отслеживать пользователей и адаптировать свои атаки на основе предыдущих взаимодействий. Интеграция с Cloudflare обеспечивает фишинговым операторам инфраструктуру уровня предприятия, что затрудняет обнаружение и устранение этих атак.

Генеральный директор Hoxhunt, Мика Аалто, прокомментировал распространение вредоноса, отметив, что такие фишинговые комплекты снижают барьер входа для преступников с ограниченными ресурсами и навыками. Он подчеркнул важность обучения сотрудников и применения продвинутых мер безопасности для борьбы с такими угрозами.

@linuxkalii

💻 Хакер под ником emo выложил в свободный доступ базу данных пользователей сервиса управления проектами Trello (trello.com)

Известно, что информация хакером получена с помощью запросов к официальному API сервиса, а не в результате взлома.

ИБ-исследователи выяснили, что хакер использовал открытый API Trello для связывания почтовых адресов с профилями пользователей. В итоге хакер подготовил список из 500 млн адресов электронной почты и направил их через открытый API, чтобы определить, связаны ли они с аккаунтами Trello. Злоумышленник заявил, что закупил прокси для ротации соединений и запросов через API непрерывно. После этой атаки API Trello был усилен и стал требовать аутентификации, хотя он по-прежнему доступен любому, кто создаст бесплатный аккаунт.

«У Trello был открытый API-эндпоинт, который позволял любому неаутентифицированному пользователю связать адрес электронной почты с аккаунтом Trello, — пишет emo. — Изначально я собирался отправлять эндпоинту только письма из баз данных com (OGU, RF, Breached и так далее), но потом решил продолжать [проверять] email'ы, пока не надоест»

В опубликованной хакером базе данных содержится 15 115 945 строк, включая:
🗄адрес эл. почты;
🗄имя/фамилия;
🗄логин;
🗄ссылку на аватар.

ИБ-специалисты считают, что информация из этой базы может использоваться для проведения целевых фишинговых атаках, а сам emo пишет, что данные также могут пригодиться для доксинга, так как позволяют связать email-адреса с конкретными людьми и их никами.

@linuxkalii