Обзор инцидентов безопасности за период с 16 по 22 марта 2020 года
Многие инциденты безопасности, имевшие место на прошлой неделе, связаны с проблемой COVID-19.
В настоящее время одной из главных тем, волнующих человечество, является пандемия коронавируса. Этим вовсю пользуются киберпреступники, и многие инциденты безопасности, имевшие место на прошлой неделе, связаны с проблемой COVID-19. К примеру, злоумышленники распространяют фальшивый Android-трекер для отслеживания заражений коронавирусом. На самом деле приложение является вымогательским ПО CovidLock и после установки запрашивает различные разрешения, включая доступ к экрану блокировки, а затем меняет пароль и требует от жертв выкуп.
Еще один способ нажиться на карантине – DDoS-атаки на сервисы доставки еды. По мнению злоумышленников, в связи с карантином увеличился спрос на сервисы доставки, и их владельцы готовы на многое, чтобы не терять прибыль. Поэтому злоумышленники осуществляют DDoS-атаки, выводя сервисы из строя, и требуют выкуп за их прекращение.
Специалисты из компании IBM X-Force обнаружили новую вредоносную кампанию, в ходе которой злоумышленники выдают себя за генерального директора Всемирной организации здравоохранения Тедроса Адана Гебреисуса и отправляют пользователям электронные письма, содержащие кейлоггер HawkEye.
В ходе еще одной кампании, обнаруженной специалистами Sophos, преступники выдают себя за Всемирную организацию здравоохранения с целью похитить криптовалютные пожертвования для борьбы с пандемией COVID-19.
Не обошлось на прошлой неделе и без утечек данных. К примеру, в Google Cloud была обнаружена незащищенная база данных объемом в 800 ГБ, в которой содержалось более 200 млн записей с подробной персональной информацией жителей США. Судя по всему, источником большинства записей является Бюро переписи населения США.
Специалисты vpnMentor обнаружили в открытом доступе незащищенный паролем сервер Elasticsearch. В открытом доступе оказались персональные данные тысяч web-разработчиков, зарегистрировавших профили в Blisk. В общей сложности было обнаружено 2,9 млн записей, что составляет примерно 3,4 ГБ данных.
В открытом доступе также оказался сервер с персональной информацией клиентов сервиса «Премиум бонус». Данным сервисом пользуются российские магазины, кафе и рестораны для обеспечения своих программ лояльности. В число клиентов «Премиум бонус» входят заведения общественного питания «Му-Му», «Жан Жак», «Империя пиццы» и пр.
Ассоциация профессиональных пользователей социальных сетей и мессенджеров (АППСИМ) сообщила о новой мошеннической схеме подмены платежных форм online-оплаты с использованием P2P-шлюзов. Преступники создают web-сайты по проведению платных опросов, после участия в которых пользователю приходит ссылка якобы на получение крупного выигрыша. Однако перед тем, как получить деньги, пользователю необходимо заполнить несколько специальных форм и оплатить небольшую комиссию, указав данные своей банковской карты. Таким образом денежные средства поступают на банковские карты злоумышленников.
На прошлой неделе злоумышленники атаковали компьютерные сети Министерства здравоохранения и социальных служб США. В ходе атаки они пытались перегрузить работу серверов Минздрава миллионами обращений в течение нескольких часов, однако атака не увенчалась успехом.
Кроме того, Компьютерная группа реагирования на чрезвычайные ситуации (CERT) Франции предупредила о новой киберпреступной группировке, атакующей местные органы власти с помощью вымогательского ПО.
Источник: https://www.securitylab.ru/news/506103.php
Многие инциденты безопасности, имевшие место на прошлой неделе, связаны с проблемой COVID-19.
В настоящее время одной из главных тем, волнующих человечество, является пандемия коронавируса. Этим вовсю пользуются киберпреступники, и многие инциденты безопасности, имевшие место на прошлой неделе, связаны с проблемой COVID-19. К примеру, злоумышленники распространяют фальшивый Android-трекер для отслеживания заражений коронавирусом. На самом деле приложение является вымогательским ПО CovidLock и после установки запрашивает различные разрешения, включая доступ к экрану блокировки, а затем меняет пароль и требует от жертв выкуп.
Еще один способ нажиться на карантине – DDoS-атаки на сервисы доставки еды. По мнению злоумышленников, в связи с карантином увеличился спрос на сервисы доставки, и их владельцы готовы на многое, чтобы не терять прибыль. Поэтому злоумышленники осуществляют DDoS-атаки, выводя сервисы из строя, и требуют выкуп за их прекращение.
Специалисты из компании IBM X-Force обнаружили новую вредоносную кампанию, в ходе которой злоумышленники выдают себя за генерального директора Всемирной организации здравоохранения Тедроса Адана Гебреисуса и отправляют пользователям электронные письма, содержащие кейлоггер HawkEye.
В ходе еще одной кампании, обнаруженной специалистами Sophos, преступники выдают себя за Всемирную организацию здравоохранения с целью похитить криптовалютные пожертвования для борьбы с пандемией COVID-19.
Не обошлось на прошлой неделе и без утечек данных. К примеру, в Google Cloud была обнаружена незащищенная база данных объемом в 800 ГБ, в которой содержалось более 200 млн записей с подробной персональной информацией жителей США. Судя по всему, источником большинства записей является Бюро переписи населения США.
Специалисты vpnMentor обнаружили в открытом доступе незащищенный паролем сервер Elasticsearch. В открытом доступе оказались персональные данные тысяч web-разработчиков, зарегистрировавших профили в Blisk. В общей сложности было обнаружено 2,9 млн записей, что составляет примерно 3,4 ГБ данных.
В открытом доступе также оказался сервер с персональной информацией клиентов сервиса «Премиум бонус». Данным сервисом пользуются российские магазины, кафе и рестораны для обеспечения своих программ лояльности. В число клиентов «Премиум бонус» входят заведения общественного питания «Му-Му», «Жан Жак», «Империя пиццы» и пр.
Ассоциация профессиональных пользователей социальных сетей и мессенджеров (АППСИМ) сообщила о новой мошеннической схеме подмены платежных форм online-оплаты с использованием P2P-шлюзов. Преступники создают web-сайты по проведению платных опросов, после участия в которых пользователю приходит ссылка якобы на получение крупного выигрыша. Однако перед тем, как получить деньги, пользователю необходимо заполнить несколько специальных форм и оплатить небольшую комиссию, указав данные своей банковской карты. Таким образом денежные средства поступают на банковские карты злоумышленников.
На прошлой неделе злоумышленники атаковали компьютерные сети Министерства здравоохранения и социальных служб США. В ходе атаки они пытались перегрузить работу серверов Минздрава миллионами обращений в течение нескольких часов, однако атака не увенчалась успехом.
Кроме того, Компьютерная группа реагирования на чрезвычайные ситуации (CERT) Франции предупредила о новой киберпреступной группировке, атакующей местные органы власти с помощью вымогательского ПО.
Источник: https://www.securitylab.ru/news/506103.php
SecurityLab.ru
Обзор инцидентов безопасности за период с 16 по 22 марта 2020 года
Многие инциденты безопасности, имевшие место на прошлой неделе, связаны с проблемой COVID-19.
Microsoft предупредила об уязвимости нулевого дня в Windows
Проблема затрагивает все версии Windows и Windows Server, в том числе более неподдерживаемую Windows 7.
Киберпреступники взламывают Windows-ПК через ранее неизвестную уязвимость в библиотеке Adobe Type Manager (atmfd.dll), используемую операционной системой для обработки шрифтов PostScript Type 1. Microsoft описала атаки с эксплуатацией данной уязвимости как «целевые» и «ограниченные».
Согласно уведомлению Microsoft, встроенная библиотека подвержена двум уязвимостям, позволяющим удаленно запускать произвольный код на системе пользователя и предпринимать действия от его имени. Уязвимости затрагивают все версии Windows и Windows Server, в том числе более неподдерживаемую Windows 7.
Как сообщает Microsoft, проэксплуатировать уязвимость можно несколькими способами. Один из них заключается в том, чтобы заставить жертву открыть особым образом сконфигурированный документ или просмотреть его с помощью функции «Область просмотра».
В настоящее время исправления для уязвимости нет. Вероятно, оно будет выпущено в рамках следующего «вторника исправлений» 14 апреля. Тем временем, пользователи могут обезопасить себя от возможных атак с эксплуатацией уязвимости. Для этого нужно:
Отключить «Область просмотра» и «Область сведений» в «Проводнике Windows»;
Отключить службу WebClient;
Переименовать ATMFD.DLL.
Источник: https://www.securitylab.ru/news/506107.php
Проблема затрагивает все версии Windows и Windows Server, в том числе более неподдерживаемую Windows 7.
Киберпреступники взламывают Windows-ПК через ранее неизвестную уязвимость в библиотеке Adobe Type Manager (atmfd.dll), используемую операционной системой для обработки шрифтов PostScript Type 1. Microsoft описала атаки с эксплуатацией данной уязвимости как «целевые» и «ограниченные».
Согласно уведомлению Microsoft, встроенная библиотека подвержена двум уязвимостям, позволяющим удаленно запускать произвольный код на системе пользователя и предпринимать действия от его имени. Уязвимости затрагивают все версии Windows и Windows Server, в том числе более неподдерживаемую Windows 7.
Как сообщает Microsoft, проэксплуатировать уязвимость можно несколькими способами. Один из них заключается в том, чтобы заставить жертву открыть особым образом сконфигурированный документ или просмотреть его с помощью функции «Область просмотра».
В настоящее время исправления для уязвимости нет. Вероятно, оно будет выпущено в рамках следующего «вторника исправлений» 14 апреля. Тем временем, пользователи могут обезопасить себя от возможных атак с эксплуатацией уязвимости. Для этого нужно:
Отключить «Область просмотра» и «Область сведений» в «Проводнике Windows»;
Отключить службу WebClient;
Переименовать ATMFD.DLL.
Источник: https://www.securitylab.ru/news/506107.php
SecurityLab.ru
Microsoft предупредила об уязвимости нулевого дня в Windows
Проблема затрагивает все версии Windows и Windows Server, в том числе более неподдерживаемую Windows 7.
На моем канале YouTube уже более 650 000 просмотров. Небольшой шаг вперед в развитии канала, что не может не радовать.
Ссылка на канал: https://www.youtube.com/HackerTimcore/
Ссылка на канал: https://www.youtube.com/HackerTimcore/
В Сети появился новый бесплатный репозиторий вредоносного ПО
MalwareBazaar позволяет ИБ-сообществу обмениваться образцами вредоносного ПО и данными о них.
Проект abuse.ch запустил новый сервис, позволяющий исследователям безопасности обмениваться образцами вредоносного ПО и дополнительными сведениями о них. Сервис MalwareBazaar разрешает публиковать только проверенные образцы известных вредоносов, рекламное и потенциально нежелательное ПО к публикации не допускаются.
Ограничений по количеству загружаемых образцов нет. Исследователи могут добавлять в репозиторий столько образцов, сколько пожелают, находить нужные им образцы по семействам вредоносного ПО, фаззи-хэшу и тегам, а также запрашивать информацию о них по электронной почте. Сервис предоставляет API для автоматизации, поддерживает экспорт хэшей и ежедневно предоставляет набор образцов вредоносного ПО для скачивания.
По словам создателей MalwareBazaar, в настоящее время исследователи используют разведку из открытых источников (OSINT), однако она не всегда позволяет загружать образцы вредоносных программ, на которые есть ссылки, для проведения собственного анализа. Для того чтобы заполучить заветный образец для анализа, исследователям приходится регистрировать несчетное количество различных антивирусных online-сканеров, песочниц или баз данных. Более того, многие платформы ограничивают количество загрузок в сутки, а некоторые и вовсе являются исключительно платными.
MalwareBazaar упрощает жизнь исследователям, позволяя им загружать неограниченное количество образцов. Сервис является бесплатным как для коммерческого, так и для некоммерческого использования.
В отличие от VirusTotal, MalwareBazaar не использует антивирусный сканер, а позволяет исследователям бесплатно скачивать образы вредоносного ПО, загруженные их коллегами (VirusTotal позволяет скачивать загруженные файлы только платным пользователям).
OSINT – разведывательная дисциплина, включающая в себя поиск, выбор и сбор разведывательной информации из общедоступных источников, а также ее анализ. В разведывательном сообществе термин «открытый источник разведывательных данных» означает общедоступный источник, который в то же время не является «просто источником информации», означающим любую находящуюся в пространстве СМИ информацию.
Источник: https://www.securitylab.ru/news/506144.php
MalwareBazaar позволяет ИБ-сообществу обмениваться образцами вредоносного ПО и данными о них.
Проект abuse.ch запустил новый сервис, позволяющий исследователям безопасности обмениваться образцами вредоносного ПО и дополнительными сведениями о них. Сервис MalwareBazaar разрешает публиковать только проверенные образцы известных вредоносов, рекламное и потенциально нежелательное ПО к публикации не допускаются.
Ограничений по количеству загружаемых образцов нет. Исследователи могут добавлять в репозиторий столько образцов, сколько пожелают, находить нужные им образцы по семействам вредоносного ПО, фаззи-хэшу и тегам, а также запрашивать информацию о них по электронной почте. Сервис предоставляет API для автоматизации, поддерживает экспорт хэшей и ежедневно предоставляет набор образцов вредоносного ПО для скачивания.
По словам создателей MalwareBazaar, в настоящее время исследователи используют разведку из открытых источников (OSINT), однако она не всегда позволяет загружать образцы вредоносных программ, на которые есть ссылки, для проведения собственного анализа. Для того чтобы заполучить заветный образец для анализа, исследователям приходится регистрировать несчетное количество различных антивирусных online-сканеров, песочниц или баз данных. Более того, многие платформы ограничивают количество загрузок в сутки, а некоторые и вовсе являются исключительно платными.
MalwareBazaar упрощает жизнь исследователям, позволяя им загружать неограниченное количество образцов. Сервис является бесплатным как для коммерческого, так и для некоммерческого использования.
В отличие от VirusTotal, MalwareBazaar не использует антивирусный сканер, а позволяет исследователям бесплатно скачивать образы вредоносного ПО, загруженные их коллегами (VirusTotal позволяет скачивать загруженные файлы только платным пользователям).
OSINT – разведывательная дисциплина, включающая в себя поиск, выбор и сбор разведывательной информации из общедоступных источников, а также ее анализ. В разведывательном сообществе термин «открытый источник разведывательных данных» означает общедоступный источник, который в то же время не является «просто источником информации», означающим любую находящуюся в пространстве СМИ информацию.
Источник: https://www.securitylab.ru/news/506144.php
SecurityLab.ru
В Сети появился новый бесплатный репозиторий вредоносного ПО
MalwareBazaar позволяет ИБ-сообществу обмениваться образцами вредоносного ПО и данными о них.
Обзор уязвимостей за неделю: 27 марта 2020 года
На прошлой неделе были обнаружены уязвимости в Windows, Apple Safari, OpenWrt, Jenkins и пр.
За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая ОС Windows, браузер Apple Safari, проекте OpenWrt, ПО Jenkins и пр.
В платформе Microsoft Windows были обнаружены несколько уязвимостей нулевого дня, эксплуатация которых позволяла удаленно выполнить код. Проблема затрагивает все версии Windows и Windows Server, в том числе более неподдерживаемую Windows 7.
Уязвимости содержатся в библиотеке Adobe Type Manager (atmfd.dll), используемой ОС для обработки шрифтов PostScript Type 1. Встроенная библиотека подвержена двум уязвимостям, позволяющим удаленно запускать произвольный код на системе пользователя и предпринимать действия от его имени.
Другая опасная уязвимость ( CVE-2020-7982 ), обнаруженная на этой неделе, затрагивает OpenWrt (OPEN Wireless RouTer) — проект с открытым исходным кодом для встроенных операционных систем на базе ядра Linux. Проблема содержится в менеджере пакетов OPKG в OpenWrt и связана с механизмом проверки целостности загруженных пакетов с помощью контрольных сумм SHA-256, встроенных в индекс репозитория. Эксплуатация уязвимости позволяет удаленно выполнить произвольный код и получить полный контроль над целевым устройством.
В ПО memcached , реализующем сервис кэширования данных в оперативной памяти, обнаружена уязвимость переполнения буфера, позволяющая вызвать состояние отказа в обслуживании. Уязвимость существует из-за недостаточной проверки введенных пользователем данных при синтаксическом анализе заголовка двоичного протокола в функции try_read_command_binary () в memcached.
В платформе автоматизации Visam VBASE содержится ряд уязвимостей, наиболее серьезная из которых (CVE-2020-10599) позволяет выполнить произвольный код на целевой системе. Проблема связана с ошибкой границ в компоненте ActiveX. Удаленный неавторизованный злоумышленник может вызвать переполнение буфера в стеке и выполнить произвольный код на целевой системе или вызвать состояние отказа в обслуживании.
Расширение Acyba AcyMailing для Joomla содержит уязвимость ( CVE-2020-10934 ), позволяющую удаленному злоумышленнику скомпрометировать уязвимую систему. Проблема связана с некорректной проверкой файлов во время загрузки.
Программное обеспечение LibVNCServer содержит опасную уязвимость ( CVE-2019-15690 ), которая может привести к полной компрометации системы. Удаленный злоумышленник может инициировать переполнение кучи буфера и выполнить произвольный код на целевой системе.
Уязвимости также были обнаружены в нескольких подключаемых плагинах Jenkins , а именно в Jenkins Azure Container Service (CVE-2020-2168), Jenkins OpenShift Pipeline (CVE-2020-2167) и Jenkins Pipeline: AWS Steps (CVE-2020-2166). Все вышеперечисленные уязвимости могут быть проэксплуатированы для удаленного выполнения произвольного кода на целевой системе.
Также на этой неделе Apple выпустила обновление браузера Safari 13.1, которое устраняет 11 уязвимостей. Исправлена проблема вредоносного iframe в Safari Downloads (CVE-2020-9784) и несколько опасных уязвимостей, с помощью которых удаленный злоумышленник может выполнить произвольный код или поставить под угрозу уязвимую систему.
Платформа интеграции с открытым исходным кодом Red Hat Fuse содержит около двух десятков уязвимостей, в том числе четыре уязвимости удаленного выполнения кода (CVE-2019-17570, CVE-2019-14379, CVE-2019-12384, CVE-2017-5929) и несколько проблем, которые позволяют вызвать состояние отказа в обслуживании или получить доступ к потенциально конфиденциальной информации на целевой системе.
Источник: https://www.securitylab.ru/news/506226.php
На прошлой неделе были обнаружены уязвимости в Windows, Apple Safari, OpenWrt, Jenkins и пр.
За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая ОС Windows, браузер Apple Safari, проекте OpenWrt, ПО Jenkins и пр.
В платформе Microsoft Windows были обнаружены несколько уязвимостей нулевого дня, эксплуатация которых позволяла удаленно выполнить код. Проблема затрагивает все версии Windows и Windows Server, в том числе более неподдерживаемую Windows 7.
Уязвимости содержатся в библиотеке Adobe Type Manager (atmfd.dll), используемой ОС для обработки шрифтов PostScript Type 1. Встроенная библиотека подвержена двум уязвимостям, позволяющим удаленно запускать произвольный код на системе пользователя и предпринимать действия от его имени.
Другая опасная уязвимость ( CVE-2020-7982 ), обнаруженная на этой неделе, затрагивает OpenWrt (OPEN Wireless RouTer) — проект с открытым исходным кодом для встроенных операционных систем на базе ядра Linux. Проблема содержится в менеджере пакетов OPKG в OpenWrt и связана с механизмом проверки целостности загруженных пакетов с помощью контрольных сумм SHA-256, встроенных в индекс репозитория. Эксплуатация уязвимости позволяет удаленно выполнить произвольный код и получить полный контроль над целевым устройством.
В ПО memcached , реализующем сервис кэширования данных в оперативной памяти, обнаружена уязвимость переполнения буфера, позволяющая вызвать состояние отказа в обслуживании. Уязвимость существует из-за недостаточной проверки введенных пользователем данных при синтаксическом анализе заголовка двоичного протокола в функции try_read_command_binary () в memcached.
В платформе автоматизации Visam VBASE содержится ряд уязвимостей, наиболее серьезная из которых (CVE-2020-10599) позволяет выполнить произвольный код на целевой системе. Проблема связана с ошибкой границ в компоненте ActiveX. Удаленный неавторизованный злоумышленник может вызвать переполнение буфера в стеке и выполнить произвольный код на целевой системе или вызвать состояние отказа в обслуживании.
Расширение Acyba AcyMailing для Joomla содержит уязвимость ( CVE-2020-10934 ), позволяющую удаленному злоумышленнику скомпрометировать уязвимую систему. Проблема связана с некорректной проверкой файлов во время загрузки.
Программное обеспечение LibVNCServer содержит опасную уязвимость ( CVE-2019-15690 ), которая может привести к полной компрометации системы. Удаленный злоумышленник может инициировать переполнение кучи буфера и выполнить произвольный код на целевой системе.
Уязвимости также были обнаружены в нескольких подключаемых плагинах Jenkins , а именно в Jenkins Azure Container Service (CVE-2020-2168), Jenkins OpenShift Pipeline (CVE-2020-2167) и Jenkins Pipeline: AWS Steps (CVE-2020-2166). Все вышеперечисленные уязвимости могут быть проэксплуатированы для удаленного выполнения произвольного кода на целевой системе.
Также на этой неделе Apple выпустила обновление браузера Safari 13.1, которое устраняет 11 уязвимостей. Исправлена проблема вредоносного iframe в Safari Downloads (CVE-2020-9784) и несколько опасных уязвимостей, с помощью которых удаленный злоумышленник может выполнить произвольный код или поставить под угрозу уязвимую систему.
Платформа интеграции с открытым исходным кодом Red Hat Fuse содержит около двух десятков уязвимостей, в том числе четыре уязвимости удаленного выполнения кода (CVE-2019-17570, CVE-2019-14379, CVE-2019-12384, CVE-2017-5929) и несколько проблем, которые позволяют вызвать состояние отказа в обслуживании или получить доступ к потенциально конфиденциальной информации на целевой системе.
Источник: https://www.securitylab.ru/news/506226.php
SecurityLab.ru
Обзор уязвимостей за неделю: 27 марта 2020 года
На прошлой неделе были обнаружены уязвимости в Windows, Apple Safari, OpenWrt, Jenkins и пр.
Китай предложил заменить протокол TCP/IP на New IP.
Новый протокол уже находится на стадии разработки, а тестирование запланировано на начало 2021 года.
Министерство промышленности и информационных технологий Китая, компания Huawei и китайские операторы China Unicom и China Telecom совместно предложили внести изменения в современное состояние интернета. Как сообщила газета Financial Times, Международному союзу электросвязи (МСЭ) поступило предложение заменить протокол TCP/IP на новый — New IP.
По словам издания, New IP предлагает более эффективную адресацию и управление сетью, чем существующий стандарт TCP/IP, однако он также может позволить авторитарным режимам подвергать цензуре и контролю своих граждан. В частности, возможно создание «команды отключения», которая позволит центральной части сети отключать данные, поступающие на определенный адрес или с него.
По словам представителя Huawei, новая технология «открыта для ученых и инженеров по всему миру» и предназначена исключительно для удовлетворения технических требований меняющейся цифровой сферы, а не для обеспечения контроля. Адреса New IP позволят устройствам в разных сетях напрямую взаимодействовать между собой, повышая скорость и надежность, а также удовлетворяя потребности таких растущих направлений, как беспилотные автомобили и «Интернет вещей».
Неизвестно, примет ли МСЭ данное предложение Китая, однако технология уже находятся на стадии разработки, а тестирование намечено на начало 2021 года.
Источник: https://www.securitylab.ru/news/506286.php
Новый протокол уже находится на стадии разработки, а тестирование запланировано на начало 2021 года.
Министерство промышленности и информационных технологий Китая, компания Huawei и китайские операторы China Unicom и China Telecom совместно предложили внести изменения в современное состояние интернета. Как сообщила газета Financial Times, Международному союзу электросвязи (МСЭ) поступило предложение заменить протокол TCP/IP на новый — New IP.
По словам издания, New IP предлагает более эффективную адресацию и управление сетью, чем существующий стандарт TCP/IP, однако он также может позволить авторитарным режимам подвергать цензуре и контролю своих граждан. В частности, возможно создание «команды отключения», которая позволит центральной части сети отключать данные, поступающие на определенный адрес или с него.
По словам представителя Huawei, новая технология «открыта для ученых и инженеров по всему миру» и предназначена исключительно для удовлетворения технических требований меняющейся цифровой сферы, а не для обеспечения контроля. Адреса New IP позволят устройствам в разных сетях напрямую взаимодействовать между собой, повышая скорость и надежность, а также удовлетворяя потребности таких растущих направлений, как беспилотные автомобили и «Интернет вещей».
Неизвестно, примет ли МСЭ данное предложение Китая, однако технология уже находятся на стадии разработки, а тестирование намечено на начало 2021 года.
Источник: https://www.securitylab.ru/news/506286.php
SecurityLab.ru
Китай предложил заменить протокол TCP/IP на New IP
Новый протокол уже находится на стадии разработки, а тестирование запланировано на начало 2021 года.
В какой-то момент любой, кто изучает программирование, задается вопросом о том, действительно ли ему все это нужно.
Обзор уязвимостей за неделю: 10 апреля 2020 г.
За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая Firefox, Chrome, glibc и пр.
За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая Mozilla Firefox, Google Chrome, системную библиотеку GNU C Library (glibc), системы SCADA и пр.
Mozilla исправила в браузере Firefox две уязвимости нулевого дня ( CVE-2020-6819 и CVE-2020-6820 ). Обе проблемы позволяли злоумышленнику удаленно выполнять произвольный код и поставить под угрозу уязвимую систему. Они представляют собой уязвимости использования памяти после высвобождения и связаны с тем, как браузер управляет своим пространством памяти. Проблемы связаны с «состоянием гонки», возникающем при запуске деструктора nsDocShell (CVE-2020-6819) и обработке ReadableStream (CVE-2020-6820).
В Google Chrome было исправлено более 30 проблем, включая четыре опасные уязвимости, эксплуатация которых позволяла скомпрометировать целевую систему. Другие уязвимости затрагивали различные компоненты Chrome и могли использоваться для обхода ограничений безопасности или получения доступа к конфиденциальной информации.
В решении Palo Alto Networks PAN-OS исправлены уязвимости удаленного выполнения ( CVE-2020-1990 ) кода и повышения привилегий ( CVE-2020-1991 ). Первая проблема связана с ошибкой границ в компоненте сервера управления и позволяла злоумышленнику путем переполнения буфера в стеке удаленно выполнить код, а вторая позволяла локальному пользователю повысить привилегии или перезаписать системные файлы.
В программном обеспечении WebAccess/NMS тайваньского производителя встраиваемых систем и систем автоматизации Advantech обнаружен ряд уязвимостей, наиболее серьезные из которых (CVE-2020-10621, CVE-2020-10619, CVE-2020-10631, CVE-2020 -10603) позволяют удаленному злоумышленнику скомпрометировать целевую систему, осуществить атаки через обход каталога или выполнить произвольные shell-команды на системе.
Японская компания Fuji Electric выпустила новую версию решения V-Server Lite (4.0.9.0), исправляющую уязвимость переполнения буфера в куче ( CVE-2020-10646 ). Проблема позволяла злоумышленнику получить повышенные привилегии для удаленного выполнения кода.
В диссекторе BACapp в сетевом анализаторе Wireshark была обнаружена уязвимость ( CVE-2020-11647 ) удаленного выполнения кода. Злоумышленник может отправить по сети специально сформированные данные, вызвать переполнение буфера в стеке и выполнить произвольный код на целевой системе. Хотя в настоящее время нет известных случаев использования уязвимости, существует PoC-код для данной проблемы.
Системная библиотека GNU C Library (glibc) содержит опасную уязвимость ( CVE-2020-1752 ), позволяющую локальному пользователю повысить привилегии на системе и потенциально выполнить произвольный код.
Программа управления сбросом паролей ManageEngine ADSelfService Plus и продукты HiOS и HiSecOS компании Hirschmann Automation and Control также содержат уязвимости удаленного выполнения кода ( CVE-2020-11518 и CVE-2020-6994 соответственно).
Источник: https://www.securitylab.ru/news/506587.php
За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая Firefox, Chrome, glibc и пр.
За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая Mozilla Firefox, Google Chrome, системную библиотеку GNU C Library (glibc), системы SCADA и пр.
Mozilla исправила в браузере Firefox две уязвимости нулевого дня ( CVE-2020-6819 и CVE-2020-6820 ). Обе проблемы позволяли злоумышленнику удаленно выполнять произвольный код и поставить под угрозу уязвимую систему. Они представляют собой уязвимости использования памяти после высвобождения и связаны с тем, как браузер управляет своим пространством памяти. Проблемы связаны с «состоянием гонки», возникающем при запуске деструктора nsDocShell (CVE-2020-6819) и обработке ReadableStream (CVE-2020-6820).
В Google Chrome было исправлено более 30 проблем, включая четыре опасные уязвимости, эксплуатация которых позволяла скомпрометировать целевую систему. Другие уязвимости затрагивали различные компоненты Chrome и могли использоваться для обхода ограничений безопасности или получения доступа к конфиденциальной информации.
В решении Palo Alto Networks PAN-OS исправлены уязвимости удаленного выполнения ( CVE-2020-1990 ) кода и повышения привилегий ( CVE-2020-1991 ). Первая проблема связана с ошибкой границ в компоненте сервера управления и позволяла злоумышленнику путем переполнения буфера в стеке удаленно выполнить код, а вторая позволяла локальному пользователю повысить привилегии или перезаписать системные файлы.
В программном обеспечении WebAccess/NMS тайваньского производителя встраиваемых систем и систем автоматизации Advantech обнаружен ряд уязвимостей, наиболее серьезные из которых (CVE-2020-10621, CVE-2020-10619, CVE-2020-10631, CVE-2020 -10603) позволяют удаленному злоумышленнику скомпрометировать целевую систему, осуществить атаки через обход каталога или выполнить произвольные shell-команды на системе.
Японская компания Fuji Electric выпустила новую версию решения V-Server Lite (4.0.9.0), исправляющую уязвимость переполнения буфера в куче ( CVE-2020-10646 ). Проблема позволяла злоумышленнику получить повышенные привилегии для удаленного выполнения кода.
В диссекторе BACapp в сетевом анализаторе Wireshark была обнаружена уязвимость ( CVE-2020-11647 ) удаленного выполнения кода. Злоумышленник может отправить по сети специально сформированные данные, вызвать переполнение буфера в стеке и выполнить произвольный код на целевой системе. Хотя в настоящее время нет известных случаев использования уязвимости, существует PoC-код для данной проблемы.
Системная библиотека GNU C Library (glibc) содержит опасную уязвимость ( CVE-2020-1752 ), позволяющую локальному пользователю повысить привилегии на системе и потенциально выполнить произвольный код.
Программа управления сбросом паролей ManageEngine ADSelfService Plus и продукты HiOS и HiSecOS компании Hirschmann Automation and Control также содержат уязвимости удаленного выполнения кода ( CVE-2020-11518 и CVE-2020-6994 соответственно).
Источник: https://www.securitylab.ru/news/506587.php
SecurityLab.ru
Обзор уязвимостей за неделю: 10 апреля 2020 г.
За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая Firefox, Chrome, glibc и пр.
Обзор инцидентов безопасности за период с 6 по 12 апреля 2020 года
Прошлая неделя оказалась весьма напряженной для Zoom, криптовалютной биржи Bisq, сервиса электронной почты Email.it и пр.
Прошедшая неделя ознаменовалась рядом утечек, появлением нового ботнета, взломом криптовалютной биржи и пр. Об этих и других инцидентах безопасности читайте в нашем еженедельном обзоре.
За последние несколько недель существенно возросла популярность ПО для конференцсвязи Zoom как у пользователей, так и у киберпреступников. Так, сначала на YouTube и Vimeo появились тысячи записей видеоразговоров в Zoom, в том числе записи сеансов психотерапии, школьных занятий с учениками, консультаций с докторами и корпоративных совещаний. Затем на хакерском форуме были бесплатно опубликованы 2,3 тыс. скомпрометированных учетных записей пользователей ПО.
На торговых площадках в даркнете также были выставлены на продажу данные более 600 тыс. пользователей итальянского провайдера электронной почты Email.it. Базы данных предположительно содержат незашифрованные пароли и содержимое электронной почты пользователей, зарегистрировавшихся в период с 2007-го по 2020 год.
Операторы вымогательского ПО DoppelPaymer похитили у промышленного подрядчика внутренние конфиденциальные документы, принадлежащие компании Lockheed Martin, SpaceX, Tesla и Boeing, и опубликовали их в Сети после отказа платить выкуп.
На прошлой неделе криптовалютная биржа Bisq была вынуждена прекратить торги в связи с кибератакой, в результате которой у ее пользователей было похищено около $250 тыс. в криптовалюте. Причиной проблемы послужило недавнее обновление сети, призванное повысить ее устойчивость. Однако оно содержало скрытую уязвимость, позволившую злоумышленникам манипулировать запасными адресами, переждать установленные для торгов временны̀е ограничения и перевести чужие средства на подконтрольные им кошельки.
Не обошлось на прошлой неделе и без ботнетов. С помощью подстановки учетных данных (атак credential stuffing) операторы нового растущего ботнета dark_nexus взламывают маршрутизаторы (Dasan Zhone, Dlink и ASUS), видеорегистраторы и тепловизионные камеры видеонаблюдения и включают их в свою ботсеть для осуществления DDoS-атак.
Специалисты из Qihoo 360 сообщили о масштабной вредоносной кампании, организованной группировкой DarkHotel. Кампания началась в марте нынешнего года и нацелена на китайские правительственные учреждения и их сотрудников. Для получения удаленного доступа к корпоративным и государственным сетям злоумышленники эксплуатировали уязвимость нулевого дня в серверах Sangfor SSL VPN.
Еще одна нашумевшая киберпреступная группировка FIN6 объединила свои усилия с операторами вредоносного ПО TrickBot. Так, исследователи из IBM X-Force обнаружили следы FIN6 в недавней кампании по распространению вредоносного ПО Anchor с помощью трояна TrickBot.
Компания Microsoft сообщила о вредоносной операции с участием вредоносного ПО Emotet. Вредонос попал в сети неназванной организации через фишинговое письмо, полученным одним из ее сотрудников, и за восемь дней вывел из строя всю информационную сеть организации.
Источник: https://www.securitylab.ru/news/506607.php
Прошлая неделя оказалась весьма напряженной для Zoom, криптовалютной биржи Bisq, сервиса электронной почты Email.it и пр.
Прошедшая неделя ознаменовалась рядом утечек, появлением нового ботнета, взломом криптовалютной биржи и пр. Об этих и других инцидентах безопасности читайте в нашем еженедельном обзоре.
За последние несколько недель существенно возросла популярность ПО для конференцсвязи Zoom как у пользователей, так и у киберпреступников. Так, сначала на YouTube и Vimeo появились тысячи записей видеоразговоров в Zoom, в том числе записи сеансов психотерапии, школьных занятий с учениками, консультаций с докторами и корпоративных совещаний. Затем на хакерском форуме были бесплатно опубликованы 2,3 тыс. скомпрометированных учетных записей пользователей ПО.
На торговых площадках в даркнете также были выставлены на продажу данные более 600 тыс. пользователей итальянского провайдера электронной почты Email.it. Базы данных предположительно содержат незашифрованные пароли и содержимое электронной почты пользователей, зарегистрировавшихся в период с 2007-го по 2020 год.
Операторы вымогательского ПО DoppelPaymer похитили у промышленного подрядчика внутренние конфиденциальные документы, принадлежащие компании Lockheed Martin, SpaceX, Tesla и Boeing, и опубликовали их в Сети после отказа платить выкуп.
На прошлой неделе криптовалютная биржа Bisq была вынуждена прекратить торги в связи с кибератакой, в результате которой у ее пользователей было похищено около $250 тыс. в криптовалюте. Причиной проблемы послужило недавнее обновление сети, призванное повысить ее устойчивость. Однако оно содержало скрытую уязвимость, позволившую злоумышленникам манипулировать запасными адресами, переждать установленные для торгов временны̀е ограничения и перевести чужие средства на подконтрольные им кошельки.
Не обошлось на прошлой неделе и без ботнетов. С помощью подстановки учетных данных (атак credential stuffing) операторы нового растущего ботнета dark_nexus взламывают маршрутизаторы (Dasan Zhone, Dlink и ASUS), видеорегистраторы и тепловизионные камеры видеонаблюдения и включают их в свою ботсеть для осуществления DDoS-атак.
Специалисты из Qihoo 360 сообщили о масштабной вредоносной кампании, организованной группировкой DarkHotel. Кампания началась в марте нынешнего года и нацелена на китайские правительственные учреждения и их сотрудников. Для получения удаленного доступа к корпоративным и государственным сетям злоумышленники эксплуатировали уязвимость нулевого дня в серверах Sangfor SSL VPN.
Еще одна нашумевшая киберпреступная группировка FIN6 объединила свои усилия с операторами вредоносного ПО TrickBot. Так, исследователи из IBM X-Force обнаружили следы FIN6 в недавней кампании по распространению вредоносного ПО Anchor с помощью трояна TrickBot.
Компания Microsoft сообщила о вредоносной операции с участием вредоносного ПО Emotet. Вредонос попал в сети неназванной организации через фишинговое письмо, полученным одним из ее сотрудников, и за восемь дней вывел из строя всю информационную сеть организации.
Источник: https://www.securitylab.ru/news/506607.php
SecurityLab.ru
Обзор инцидентов безопасности за период с 6 по 12 апреля 2020 года
Прошлая неделя оказалась весьма напряженной для Zoom, криптовалютной биржи Bisq, сервиса электронной почты Email.it и пр.