В контроллерах Emerson Ovation выявлены опасные уязвимости
Проблемы затрагивают контроллеры Emerson Ovation OCR400 (версия 3.3.1 и ниже).
В оборудовании для АСУ ТП производства компании Emerson обнаружены уязвимости переполнения буфера, предоставляющие потенциальную возможность повысить привилегии, удаленно выполнить код или нарушить работу устройства.
Проблемы затрагивают контроллеры Emerson Ovation OCR400 (версия 3.3.1 и ниже). Как уточняется в предупреждении ICS-CERT, баги содержатся в стороннем FTP-сервере, реализованном в продукте. Данная версия ПО не поддерживается производителем с 2015 года.
Первая проблема (CVE-2019-10965) представляет собой уязвимость переполнения буфера стека. Баг существует из-за некорректной обработки LIST команд, что может привести к перезаписи буфера и, как результат, возможности удаленно выполнить код или повысить права.
Вторая проблема (CVE-2019-10967) - уязвимость переполнения буфера в области данных кучи, которая связана с некорректной обработкой команд, отправленных FTP-серверу. Это может привести к повреждению памяти, что позволит нарушить работу контроллера либо удаленно выполнить код или повысить привилегии.
Опасность уязвимостей оценена в 6,3 и 6,8 балла соответственно по шкале CVSS v3. Для их эксплуатации не требуются особые навыки. Пользователям уязвимых продуктов рекомендуется обновиться до более новых версий ПО.
Источник: https://www.securitylab.ru/news/499279.php
Проблемы затрагивают контроллеры Emerson Ovation OCR400 (версия 3.3.1 и ниже).
В оборудовании для АСУ ТП производства компании Emerson обнаружены уязвимости переполнения буфера, предоставляющие потенциальную возможность повысить привилегии, удаленно выполнить код или нарушить работу устройства.
Проблемы затрагивают контроллеры Emerson Ovation OCR400 (версия 3.3.1 и ниже). Как уточняется в предупреждении ICS-CERT, баги содержатся в стороннем FTP-сервере, реализованном в продукте. Данная версия ПО не поддерживается производителем с 2015 года.
Первая проблема (CVE-2019-10965) представляет собой уязвимость переполнения буфера стека. Баг существует из-за некорректной обработки LIST команд, что может привести к перезаписи буфера и, как результат, возможности удаленно выполнить код или повысить права.
Вторая проблема (CVE-2019-10967) - уязвимость переполнения буфера в области данных кучи, которая связана с некорректной обработкой команд, отправленных FTP-серверу. Это может привести к повреждению памяти, что позволит нарушить работу контроллера либо удаленно выполнить код или повысить привилегии.
Опасность уязвимостей оценена в 6,3 и 6,8 балла соответственно по шкале CVSS v3. Для их эксплуатации не требуются особые навыки. Пользователям уязвимых продуктов рекомендуется обновиться до более новых версий ПО.
Источник: https://www.securitylab.ru/news/499279.php
SecurityLab.ru
В контроллерах Emerson Ovation выявлены опасные уязвимости
Проблемы затрагивают контроллеры Emerson Ovation OCR400 (версия 3.3.1 и ниже).
Злоумышленники атакуют серверы Windows MS-SQL и PHPMyAdmin по всему миру
Более 50 тыс. серверов Windows MS-SQL и PHPMyAdmin оказались заражены вредоносным ПО для майнинга криптовалюты.
Специалисты компании Guardicore Labs опубликовали подробный отчет о масштабной вредоносной кампании по добыче криптовалюты, в рамках которой китайская APT-группировка внедряет криптомайнеры и руткиты в серверы Windows MS-SQL и PHPMyAdmin по всему миру. По данным исследователей, злоумышленникам уже удалось скомпрометировать более 50 тыс. серверов, принадлежащих организациям в области здравоохранения, телекоммуникационной и IT-сферах.
Вредоносная кампания, получившая название Nansh0u, проводилась с конца февраля нынешнего года, однако эксперты заметили ее только в начале апреля. Злоумышленники находили доступные в интернете серверы Windows MS-SQL и PHPMyAdmin, взламывали их с помощью брутфорса, а затем заражали вредоносным ПО. Специалисты обнаружили 20 различных версий вредоносных модулей.
После успешной авторизации с правами администратора атакующие выполняли серию команд MS-SQL на скомпрометированной системе и загружали с удаленного сервера вредоносную полезную нагрузку, которая запускалась с привилегиями SYSTEM (для этого эксплуатировалась известная уязвимость CVE-2014-4113 в драйвере win32k.sys). Далее вредоносный модуль загружал программу для добычи криптовалюты TurtleCoin, а чтобы предотвратить завершение процесса, использовался просроченный цифровой сертификат, выданный удостоверяющим центром Verisign. В сертификате было указано название фиктивной китайской компании Hangzhou Hootian Network Technology.
В основном под угрозой находятся серверы с ненадежными учетными данными, в этой связи всем администраторам рекомендуется установить более сложные комбинации логинов и паролей. Эксперты также предоставили бесплатный скрипт, позволяющий проверить системы на предмет наличия вредоносного ПО.
Источник: https://www.securitylab.ru/news/499293.php
Более 50 тыс. серверов Windows MS-SQL и PHPMyAdmin оказались заражены вредоносным ПО для майнинга криптовалюты.
Специалисты компании Guardicore Labs опубликовали подробный отчет о масштабной вредоносной кампании по добыче криптовалюты, в рамках которой китайская APT-группировка внедряет криптомайнеры и руткиты в серверы Windows MS-SQL и PHPMyAdmin по всему миру. По данным исследователей, злоумышленникам уже удалось скомпрометировать более 50 тыс. серверов, принадлежащих организациям в области здравоохранения, телекоммуникационной и IT-сферах.
Вредоносная кампания, получившая название Nansh0u, проводилась с конца февраля нынешнего года, однако эксперты заметили ее только в начале апреля. Злоумышленники находили доступные в интернете серверы Windows MS-SQL и PHPMyAdmin, взламывали их с помощью брутфорса, а затем заражали вредоносным ПО. Специалисты обнаружили 20 различных версий вредоносных модулей.
После успешной авторизации с правами администратора атакующие выполняли серию команд MS-SQL на скомпрометированной системе и загружали с удаленного сервера вредоносную полезную нагрузку, которая запускалась с привилегиями SYSTEM (для этого эксплуатировалась известная уязвимость CVE-2014-4113 в драйвере win32k.sys). Далее вредоносный модуль загружал программу для добычи криптовалюты TurtleCoin, а чтобы предотвратить завершение процесса, использовался просроченный цифровой сертификат, выданный удостоверяющим центром Verisign. В сертификате было указано название фиктивной китайской компании Hangzhou Hootian Network Technology.
В основном под угрозой находятся серверы с ненадежными учетными данными, в этой связи всем администраторам рекомендуется установить более сложные комбинации логинов и паролей. Эксперты также предоставили бесплатный скрипт, позволяющий проверить системы на предмет наличия вредоносного ПО.
Источник: https://www.securitylab.ru/news/499293.php
SecurityLab.ru
Злоумышленники атакуют серверы Windows MS-SQL и PHPMyAdmin по всему миру
Более 50 тыс. серверов Windows MS-SQL и PHPMyAdmin оказались заражены вредоносным ПО для майнинга криптовалюты.
Для неисправленной уязвимости в Windows 10 доступен временный патч
Эксплоит для данной уязвимости был ранее размещен в открытом доступе.
Специалисты платформы 0patch выпустили микропатч для неисправленной уязвимости в «Планировщике задач» в Windows 10, эксплоит для которой ранее опубликовала ИБ-эксперт, известная в Сети как SandboxEscaper.
Согласно описанию, данный баг связан с тем, как процесс Task Scheduler изменяет разрешения DACL (Discretionary Access Control List, список избирательного управления доступом) для отдельного файла. Уязвимость позволяет атакующему повысить права на системе до уровня администратора и может быть проэксплуатирована с помощью специально сформированного файла .job.
Предложенный микропатч запускает корректирующие инструкции в памяти и блокирует возможность изменения набора разрешений для системных файлов, которыми обладают непривилегированные пользователи.
В настоящее время патч доступен для 32-, и 64-разрядных версий Windows 10 (1809), а также Windows Server 2019. Для прочих редакций ОС разработчики планируют представить патч позже. Для загрузки патча требуется установить клиент 0patch.
Источник: https://www.securitylab.ru/news/499320.php
Эксплоит для данной уязвимости был ранее размещен в открытом доступе.
Специалисты платформы 0patch выпустили микропатч для неисправленной уязвимости в «Планировщике задач» в Windows 10, эксплоит для которой ранее опубликовала ИБ-эксперт, известная в Сети как SandboxEscaper.
Согласно описанию, данный баг связан с тем, как процесс Task Scheduler изменяет разрешения DACL (Discretionary Access Control List, список избирательного управления доступом) для отдельного файла. Уязвимость позволяет атакующему повысить права на системе до уровня администратора и может быть проэксплуатирована с помощью специально сформированного файла .job.
Предложенный микропатч запускает корректирующие инструкции в памяти и блокирует возможность изменения набора разрешений для системных файлов, которыми обладают непривилегированные пользователи.
В настоящее время патч доступен для 32-, и 64-разрядных версий Windows 10 (1809), а также Windows Server 2019. Для прочих редакций ОС разработчики планируют представить патч позже. Для загрузки патча требуется установить клиент 0patch.
Источник: https://www.securitylab.ru/news/499320.php
SecurityLab.ru
Для неисправленной уязвимости в Windows 10 доступен временный патч
Эксплоит для данной уязвимости был ранее размещен в открытом доступе.
Обзор инцидентов безопасности за период с 27 мая по 2 июня 2019 года
Коротко о самых значимых событиях минувшей недели.
Популярный новостной агрегатор Flipboard, аудитория которого насчитывает порядка 15 млн пользователей в месяц, сообщил о взломе своих баз данных. Злоумышленникам удалось дважды получить неавторизованный доступ к БД - в период с 2 июня 2018-го по 23 марта 2019 года, а также 21-22 апреля 2019 года. В руки атакующих попали логины и реальные имена пользователей, зашифрованные пароли и электронные адреса. Точное количество пострадавших от утечки данных администрация сервиса не сообщила.
Специалисты зафиксировали масштабную кампанию по добыче криптовалюты, направленную против серверов Windows MS-SQL и PHPMyAdmin.
Вредоносная кампания, получившая название Nansh0u, проводилась с конца февраля нынешнего года, однако эксперты заметили ее только в начале апреля. Злоумышленники находили доступные в интернете серверы Windows MS-SQL и PHPMyAdmin, взламывали их с помощью брутфорса, а затем заражали вредоносным ПО.
От атак уже пострадало более 50 тыс. серверов, принадлежащих организациям в области здравоохранения, телекоммуникационной и IT-сферах по всему миру.
Усилия правоохранительных органов по деанонимизации пользователей сети Tor вынуждают киберпреступников переходить на альтернативные площадки. В частности, сайт по продаже незаконных товаров Libertas Market стал первым подпольным ресурсом, полностью отказавшимся от Tor в пользу I2P. Как пояснила администрация площадки, сеть Tor содержит уязвимости, позволяющие осуществить DoS-атаки. Данные уязвимости позволяют правоохранителям определить, каким скрытым сервисам разрешено работать, и являются ли они легальными.
Злоумышленники сканируют интернет на предмет установок Docker с открытыми API и с их помощью распространяют вредоносные образы Docker, зараженные программами для майнинга криптовалюты Monero и скриптами, использующими систему Shodan для поиска новых жертв. Атакующие с помощью скрипта ищут уязвимые хосты с открытым портом 2375, взламывают их, используя брутфорс, а затем устанавливают вредоносные контейнеры.
Специалисты компании vpnMentor выявили утечку данных пользователей сервиса обмена фотографиями Theta360, в результате которой скомпрометированными оказались более 11 млн снимков, в том числе тысячи фотографий, скрытых настройками конфиденциальности. Исследователи нашли в БД логины, реальные имена и фамилии пользователей, а также подписи к фотографиям. Получить доступ к учетным записям пользователей сервиса не удалось.
Спустя почти полтора года деятельности создатели вымогательского ПО GandCrab и сервиса по его аренде решили отойти от дел , сославшись на то, что уже заработали достаточно денег. Согласно сообщению на одном из киберпреступных форумов, вредонос принес свои авторам около $2 млрд (в среднем $2,5 млн в неделю), а размер чистой прибыли составил $150 млн, которые были выведены и инвестированы в легальный бизнес. По имеющимся данным, операторы GandCrab свернули продажи и дали указание партнерам прекратить его распространение в течение 20 дней.
Источник: https://www.securitylab.ru/news/499335.php
Коротко о самых значимых событиях минувшей недели.
Популярный новостной агрегатор Flipboard, аудитория которого насчитывает порядка 15 млн пользователей в месяц, сообщил о взломе своих баз данных. Злоумышленникам удалось дважды получить неавторизованный доступ к БД - в период с 2 июня 2018-го по 23 марта 2019 года, а также 21-22 апреля 2019 года. В руки атакующих попали логины и реальные имена пользователей, зашифрованные пароли и электронные адреса. Точное количество пострадавших от утечки данных администрация сервиса не сообщила.
Специалисты зафиксировали масштабную кампанию по добыче криптовалюты, направленную против серверов Windows MS-SQL и PHPMyAdmin.
Вредоносная кампания, получившая название Nansh0u, проводилась с конца февраля нынешнего года, однако эксперты заметили ее только в начале апреля. Злоумышленники находили доступные в интернете серверы Windows MS-SQL и PHPMyAdmin, взламывали их с помощью брутфорса, а затем заражали вредоносным ПО.
От атак уже пострадало более 50 тыс. серверов, принадлежащих организациям в области здравоохранения, телекоммуникационной и IT-сферах по всему миру.
Усилия правоохранительных органов по деанонимизации пользователей сети Tor вынуждают киберпреступников переходить на альтернативные площадки. В частности, сайт по продаже незаконных товаров Libertas Market стал первым подпольным ресурсом, полностью отказавшимся от Tor в пользу I2P. Как пояснила администрация площадки, сеть Tor содержит уязвимости, позволяющие осуществить DoS-атаки. Данные уязвимости позволяют правоохранителям определить, каким скрытым сервисам разрешено работать, и являются ли они легальными.
Злоумышленники сканируют интернет на предмет установок Docker с открытыми API и с их помощью распространяют вредоносные образы Docker, зараженные программами для майнинга криптовалюты Monero и скриптами, использующими систему Shodan для поиска новых жертв. Атакующие с помощью скрипта ищут уязвимые хосты с открытым портом 2375, взламывают их, используя брутфорс, а затем устанавливают вредоносные контейнеры.
Специалисты компании vpnMentor выявили утечку данных пользователей сервиса обмена фотографиями Theta360, в результате которой скомпрометированными оказались более 11 млн снимков, в том числе тысячи фотографий, скрытых настройками конфиденциальности. Исследователи нашли в БД логины, реальные имена и фамилии пользователей, а также подписи к фотографиям. Получить доступ к учетным записям пользователей сервиса не удалось.
Спустя почти полтора года деятельности создатели вымогательского ПО GandCrab и сервиса по его аренде решили отойти от дел , сославшись на то, что уже заработали достаточно денег. Согласно сообщению на одном из киберпреступных форумов, вредонос принес свои авторам около $2 млрд (в среднем $2,5 млн в неделю), а размер чистой прибыли составил $150 млн, которые были выведены и инвестированы в легальный бизнес. По имеющимся данным, операторы GandCrab свернули продажи и дали указание партнерам прекратить его распространение в течение 20 дней.
Источник: https://www.securitylab.ru/news/499335.php
SecurityLab.ru
Обзор инцидентов безопасности за период с 27 мая по 2 июня 2019 года
Коротко о самых значимых событиях минувшей недели.
Представлен метод обхода защиты в macOS с помощью «синтетических» кликов
Уязвимость в macOS позволяет использовать любое доверенное приложение для генерирования виртуальных кликов.
На конференции «Objective by the Sea» известный ИБ-специалист Патрик Уордл (Patrick Wardle) рассказал о новой уязвимости в macOS, позволяющей хакерам или вредоносным приложениям обойти некоторые защитные механизмы в ОС с помощью так называемых «синтетических кликов» (невидимые клики, генерируемые ПО, а не человеком).
В минувшем июне Apple добавила новую функцию безопасности в macOS, которая обязывает приложения запрашивать разрешение пользователей для доступа к важным данным или ключевым компонентам системы, включая камеру и микрофон, информацию о местоположении, сообщениям, фотографиям, истории просмотра в браузере, а также в случаях, когда программа запрашивает права администратора или удаленное управление.
Как пояснил Уордл, уязвимость позволяет использовать любое доверенное приложение для генерирования «синтетических» кликов, что обычно запрещается системой. Таким образом злоумышленники могут обойти защиту с помощью виртуального клика на кнопку «ОК» в уведомлении безопасности.
Увидев подозрительную деятельность на экране, пользователи наверняка заподозрят неладное, однако злоумышленник может провести атаку, когда компьютер находится в режиме сна. Правда, отмечает специалист, для успешной атаки преступнику сначала нужно получить доступ к целевому Мас, но для этого ему не потребуются какие-то особые привилегии.
Новый метод задействует систему TCC (Transparency Consent and Control), поддерживающую базу данных настроек конфиденциальности, включая информацию, к каким компонентам приложениям разрешен доступ. Система также включает файл AllowApplicationsList.plis - белый список с правилами для доступа к защищенным функциям определенных приложений с определенными подписями.
Атакующий может выбрать приложение из списка, внести в него вредоносные изменения и использовать его для генерирования «синтетических» кликов, причем из-за уязвимости система не заметит модификации в программе. К примеру, злоумышленник может воспользоваться популярным медиаплеером VLC, просто добавив в него вредоносный плагин.
В интервью изданию SecurityWeek Уордл рассказал, что проинформировал Apple о проблеме еще на прошлой неделе, и компания подтвердила наличие уязвимости. Однако в настоящее время неясно, какие меры по устранению проблемы корпорация намерена предпринять.
Источник: https://www.securitylab.ru/news/499348.php
Уязвимость в macOS позволяет использовать любое доверенное приложение для генерирования виртуальных кликов.
На конференции «Objective by the Sea» известный ИБ-специалист Патрик Уордл (Patrick Wardle) рассказал о новой уязвимости в macOS, позволяющей хакерам или вредоносным приложениям обойти некоторые защитные механизмы в ОС с помощью так называемых «синтетических кликов» (невидимые клики, генерируемые ПО, а не человеком).
В минувшем июне Apple добавила новую функцию безопасности в macOS, которая обязывает приложения запрашивать разрешение пользователей для доступа к важным данным или ключевым компонентам системы, включая камеру и микрофон, информацию о местоположении, сообщениям, фотографиям, истории просмотра в браузере, а также в случаях, когда программа запрашивает права администратора или удаленное управление.
Как пояснил Уордл, уязвимость позволяет использовать любое доверенное приложение для генерирования «синтетических» кликов, что обычно запрещается системой. Таким образом злоумышленники могут обойти защиту с помощью виртуального клика на кнопку «ОК» в уведомлении безопасности.
Увидев подозрительную деятельность на экране, пользователи наверняка заподозрят неладное, однако злоумышленник может провести атаку, когда компьютер находится в режиме сна. Правда, отмечает специалист, для успешной атаки преступнику сначала нужно получить доступ к целевому Мас, но для этого ему не потребуются какие-то особые привилегии.
Новый метод задействует систему TCC (Transparency Consent and Control), поддерживающую базу данных настроек конфиденциальности, включая информацию, к каким компонентам приложениям разрешен доступ. Система также включает файл AllowApplicationsList.plis - белый список с правилами для доступа к защищенным функциям определенных приложений с определенными подписями.
Атакующий может выбрать приложение из списка, внести в него вредоносные изменения и использовать его для генерирования «синтетических» кликов, причем из-за уязвимости система не заметит модификации в программе. К примеру, злоумышленник может воспользоваться популярным медиаплеером VLC, просто добавив в него вредоносный плагин.
В интервью изданию SecurityWeek Уордл рассказал, что проинформировал Apple о проблеме еще на прошлой неделе, и компания подтвердила наличие уязвимости. Однако в настоящее время неясно, какие меры по устранению проблемы корпорация намерена предпринять.
Источник: https://www.securitylab.ru/news/499348.php
SecurityLab.ru
Представлен метод обхода защиты в macOS с помощью «синтетических» кликов
Уязвимость в macOS позволяет использовать любое доверенное приложение для генерирования виртуальных кликов.
Только 5,5% уязвимостей используются в реальных атаках
Из 76 тыс. багов, выявленных в период с 2009 по 2018 годы, только 4 183 эксплуатировались во вредоносных кампаниях.
Совместная команда исследователей из Виргинского политехнического института, аналитического центра RAND и компании Cyentia Institute опубликовала результаты любопытного исследования, пролившего свет на то, какое количество уязвимостей, обнаруженных за последний десяток лет, действительно использовалось в реальных атаках.
Как оказалось, из 76 тыс. багов, выявленных в период с 2009 по 2018 годы, только 4 183 эксплуатировались во вредоносных кампаниях. Более того, специалисты не выявили корреляции между публикацией PoC-кодов для уязвимостей в открытом доступе и началом попыток их эксплуатации. К примеру, только для половины из 4 183 эксплуатируемых уязвимостей были свободно доступны эксплоиты.
Согласно отчету, большая часть уязвимостей, эксплуатируемых в атаках, это проблемы со степенью опасности 9-10 баллов по шкале CVSSv2 (максимальную оценку в 10 баллов получают самые опасные уязвимости, которые легко проэксплуатировать).
Специалисты надеются, что их исследование поможет улучшить эффективность фреймворка CVSS за счет новых данных о рисках эксплуатации той или иной уязвимости, позволяя организациям, полагающимся на CVSS для оценки приоритетности патчей, повысить безопасность своих систем.
Напомним, в мае команда Google Project Zero запустила проект 0Day ‘In the Wild’, позволяющий отслеживать уязвимости, эксплуатация которых началась до того, как о них стало известно общественности или производителям.
Источник: https://www.securitylab.ru/news/499359.php
Из 76 тыс. багов, выявленных в период с 2009 по 2018 годы, только 4 183 эксплуатировались во вредоносных кампаниях.
Совместная команда исследователей из Виргинского политехнического института, аналитического центра RAND и компании Cyentia Institute опубликовала результаты любопытного исследования, пролившего свет на то, какое количество уязвимостей, обнаруженных за последний десяток лет, действительно использовалось в реальных атаках.
Как оказалось, из 76 тыс. багов, выявленных в период с 2009 по 2018 годы, только 4 183 эксплуатировались во вредоносных кампаниях. Более того, специалисты не выявили корреляции между публикацией PoC-кодов для уязвимостей в открытом доступе и началом попыток их эксплуатации. К примеру, только для половины из 4 183 эксплуатируемых уязвимостей были свободно доступны эксплоиты.
Согласно отчету, большая часть уязвимостей, эксплуатируемых в атаках, это проблемы со степенью опасности 9-10 баллов по шкале CVSSv2 (максимальную оценку в 10 баллов получают самые опасные уязвимости, которые легко проэксплуатировать).
Специалисты надеются, что их исследование поможет улучшить эффективность фреймворка CVSS за счет новых данных о рисках эксплуатации той или иной уязвимости, позволяя организациям, полагающимся на CVSS для оценки приоритетности патчей, повысить безопасность своих систем.
Напомним, в мае команда Google Project Zero запустила проект 0Day ‘In the Wild’, позволяющий отслеживать уязвимости, эксплуатация которых началась до того, как о них стало известно общественности или производителям.
Источник: https://www.securitylab.ru/news/499359.php
SecurityLab.ru
Только 5,5% уязвимостей используются в реальных атаках
Из 76 тыс. багов, выявленных в период с 2009 по 2018 годы, только 4 183 эксплуатировались во вредоносных кампаниях.
Новые ИБ-решения недели: 6 июня 2019 года
Краткий обзор новых продуктов в области информационной безопасности.
Компания Ростелеком-Solar представила новую версию DLP-системы Solar Dozor . В числе ключевых особенностей: полностью обновленный агент для контроля рабочих станций, контроль коммуникаций в Viber, защита конфиденциальной конструкторской документации и поддержка ICAP-трафика от различных прокси-серверов.
Компания SailPoint анонсировала облачную платформу SailPoint Predictive Identity для идентификации пользователей. Решение автоматизирует процесс идентификации с помощью искусственного интеллекта и машинного обучения.
Решение StorageCraft ShadowXafe предназначено для обеспечения защиты данных вне зависимости от источника, будь то внутренние системы компании, облачные среды, средства виртуализации VMware или Hyper-V либо компьютеры и серверы. Продукт копирует данные в общедоступное облако, облачное хранилище StorageCraft или локально, что позволяет восстановить информацию в случае уничтожения.
Moogsoft AIOps – платформа на базе искусственного интеллекта для IT-операций, работающая на специально разработанных алгоритмах машинного обучения. Продукт предназначен для выявления и реагирования на инциденты безопасности. Релиз Moogsoft AIOps 7.2 получил новые возможности, упрощающие работу IT- и DevOps командам, включая инструменты для настройки алгоритмов, персонализации и конфигурации платформы в соответствии с требованиями организаций.
Компания AccessData Group выпустила новую версию ПО AD Enterprise , предназначенного для проведения внутренних расследований и анализа утечек данных. Версия AD Enterprise 7.1 обладает рядом новых функций, включая поддержку парсинга APFS (Apple File System) и девять парсеров для анализа данных из мобильных устройств.
« Мобильный криминалист » от российского разработчика «Оксиджен Софтвер» - решение для компьютерно-технической экспертизы, использующее передовые технологии для доступа к данным мобильных устройств: от китайских клонов до новейших смартфонов.
Источник: https://www.securitylab.ru/news/499383.php
Краткий обзор новых продуктов в области информационной безопасности.
Компания Ростелеком-Solar представила новую версию DLP-системы Solar Dozor . В числе ключевых особенностей: полностью обновленный агент для контроля рабочих станций, контроль коммуникаций в Viber, защита конфиденциальной конструкторской документации и поддержка ICAP-трафика от различных прокси-серверов.
Компания SailPoint анонсировала облачную платформу SailPoint Predictive Identity для идентификации пользователей. Решение автоматизирует процесс идентификации с помощью искусственного интеллекта и машинного обучения.
Решение StorageCraft ShadowXafe предназначено для обеспечения защиты данных вне зависимости от источника, будь то внутренние системы компании, облачные среды, средства виртуализации VMware или Hyper-V либо компьютеры и серверы. Продукт копирует данные в общедоступное облако, облачное хранилище StorageCraft или локально, что позволяет восстановить информацию в случае уничтожения.
Moogsoft AIOps – платформа на базе искусственного интеллекта для IT-операций, работающая на специально разработанных алгоритмах машинного обучения. Продукт предназначен для выявления и реагирования на инциденты безопасности. Релиз Moogsoft AIOps 7.2 получил новые возможности, упрощающие работу IT- и DevOps командам, включая инструменты для настройки алгоритмов, персонализации и конфигурации платформы в соответствии с требованиями организаций.
Компания AccessData Group выпустила новую версию ПО AD Enterprise , предназначенного для проведения внутренних расследований и анализа утечек данных. Версия AD Enterprise 7.1 обладает рядом новых функций, включая поддержку парсинга APFS (Apple File System) и девять парсеров для анализа данных из мобильных устройств.
« Мобильный криминалист » от российского разработчика «Оксиджен Софтвер» - решение для компьютерно-технической экспертизы, использующее передовые технологии для доступа к данным мобильных устройств: от китайских клонов до новейших смартфонов.
Источник: https://www.securitylab.ru/news/499383.php
SecurityLab.ru
Новые ИБ-решения недели: 6 июня 2019 года
Краткий обзор новых продуктов в области информационной безопасности.
Дамы и господа, Батя вернулся с курорта, с новыми мыслями и силами.
Обзор инцидентов безопасности за период с 17 по 23 июня 2019 года
Коротко о главных событиях недели.
ИБ-исследователи выявили новое вредоносное ПО для Android, способное обходить механизм двухфакторной аутентификации без доступа к SMS-сообщениям. Вредонос распространяется под видом приложений турецкой криптовалютной биржи BtcTurk и предназначен для хищения учетных данных пользователей BtcTurk.
Американская компания White Fir Design (администратор баз данных сервиса Plugin Vulnerabilities) обнародовала информацию об уязвимостях в двух официальных плагинах для WordPress от Facebook с целью отомстить модераторам форума WordPress за блокировку учетной записи сервиса Plugin Vulnerabilities.
Иранские силы безопасности сообщили о ликвидации обширной кибершпионской сети ЦРУ США. Тегеран поделился информацией о выявленной структуре с рядом партнеров, результате были арестованы несколько агентов ЦРУ. Данные о том, сколько сотрудников ведомства были арестованы и в каких странах, не раскрываются.
ИБ-специалисты выявили кампанию по кибершпионажу, направленную на пользователей в странах Ближнего Востока. Злоумышленникам удалось заразить вредоносным ПО более 600 Android-смартфонов. В основном организаторов кампании интересовала информация, связанная с военной сферой.
Русскоязычная киберпреступная группировка Turla взломала инфраструктуру своих конкурентов из OilRig для проникновения в сеть организации, представляющей интерес для обеих групп. По словам экспертов, OilRig первой скомпрометировала целевую сеть в ноябре 2017 года, а признаки активности Turla в той же сети были замечены в январе 2018 года. При этом часть компьютеров была взломана Turla, а часть - OilRig.
Клиенты как минимум трех поставщиков управляемых услуг (MSP) стали жертвами вымогательского ПО Sodinokibi, которое злоумышленники распространили с помощью инструментов удаленного администрирования, используемых провайдерами.
Президент США Дональд Трамп одобрил проведение Минобороны страны кибератаки на компьютерные системы Ирана, используемые для управления запуском ракет. В результате система была отключена.
Источник: https://www.securitylab.ru/news/499583.php
Коротко о главных событиях недели.
ИБ-исследователи выявили новое вредоносное ПО для Android, способное обходить механизм двухфакторной аутентификации без доступа к SMS-сообщениям. Вредонос распространяется под видом приложений турецкой криптовалютной биржи BtcTurk и предназначен для хищения учетных данных пользователей BtcTurk.
Американская компания White Fir Design (администратор баз данных сервиса Plugin Vulnerabilities) обнародовала информацию об уязвимостях в двух официальных плагинах для WordPress от Facebook с целью отомстить модераторам форума WordPress за блокировку учетной записи сервиса Plugin Vulnerabilities.
Иранские силы безопасности сообщили о ликвидации обширной кибершпионской сети ЦРУ США. Тегеран поделился информацией о выявленной структуре с рядом партнеров, результате были арестованы несколько агентов ЦРУ. Данные о том, сколько сотрудников ведомства были арестованы и в каких странах, не раскрываются.
ИБ-специалисты выявили кампанию по кибершпионажу, направленную на пользователей в странах Ближнего Востока. Злоумышленникам удалось заразить вредоносным ПО более 600 Android-смартфонов. В основном организаторов кампании интересовала информация, связанная с военной сферой.
Русскоязычная киберпреступная группировка Turla взломала инфраструктуру своих конкурентов из OilRig для проникновения в сеть организации, представляющей интерес для обеих групп. По словам экспертов, OilRig первой скомпрометировала целевую сеть в ноябре 2017 года, а признаки активности Turla в той же сети были замечены в январе 2018 года. При этом часть компьютеров была взломана Turla, а часть - OilRig.
Клиенты как минимум трех поставщиков управляемых услуг (MSP) стали жертвами вымогательского ПО Sodinokibi, которое злоумышленники распространили с помощью инструментов удаленного администрирования, используемых провайдерами.
Президент США Дональд Трамп одобрил проведение Минобороны страны кибератаки на компьютерные системы Ирана, используемые для управления запуском ракет. В результате система была отключена.
Источник: https://www.securitylab.ru/news/499583.php
SecurityLab.ru
Обзор инцидентов безопасности за период с 17 по 23 июня 2019 года
Коротко о главных событиях недели.
В популярном медиаплеере VLC обнаружена критическая уязвимость
Для успешной атаки злоумышленнику потребуется убедить пользователя открыть специально сформированный файл.
Разработчики популярного медиаплеера VLC с открытым исходным кодом исправили в продукте критическую уязвимость, позволяющую выполнить произвольный код на атакуемой системе.
Проблема (CVE-2019-12874) представляет собой уязвимость двойного высвобождения памяти в функции zlib_decompress_extra и может быть проэксплуатирована во время парсинга специально сформированного MKV файла в демультиплексоре Matroska. Степень опасности уязвимости оценена в 9,8 балла по шкале CVSS v3.
Баг был исправлен с выпуском версии VLC 3.0.7, которая, помимо вышеуказанной, также исправляет ряд других уязвимостей, в том числе опасную уязвимость переполнения буфера (CVE-2019-5439). Данная проблема связана с функцией ReadFrame (demux/avi/avi.c) и может быть проэксплуатирована с помощью специально сформированного файла .avi. В результате злоумышленник сможет спровоцировать сбой в работе медиаплеера либо выполнить код с правами текущего пользователя.
Для успешной атаки злоумышленнику потребуется убедить пользователя открыть специально сформированный файл. В этой связи разработчики рекомендуют пользователям не открывать файлы из недоверенных источников и не заходить на сомнительные сайты (или отключить плагин VLC при их посещении).
Источник: https://www.securitylab.ru/news/499605.php
Для успешной атаки злоумышленнику потребуется убедить пользователя открыть специально сформированный файл.
Разработчики популярного медиаплеера VLC с открытым исходным кодом исправили в продукте критическую уязвимость, позволяющую выполнить произвольный код на атакуемой системе.
Проблема (CVE-2019-12874) представляет собой уязвимость двойного высвобождения памяти в функции zlib_decompress_extra и может быть проэксплуатирована во время парсинга специально сформированного MKV файла в демультиплексоре Matroska. Степень опасности уязвимости оценена в 9,8 балла по шкале CVSS v3.
Баг был исправлен с выпуском версии VLC 3.0.7, которая, помимо вышеуказанной, также исправляет ряд других уязвимостей, в том числе опасную уязвимость переполнения буфера (CVE-2019-5439). Данная проблема связана с функцией ReadFrame (demux/avi/avi.c) и может быть проэксплуатирована с помощью специально сформированного файла .avi. В результате злоумышленник сможет спровоцировать сбой в работе медиаплеера либо выполнить код с правами текущего пользователя.
Для успешной атаки злоумышленнику потребуется убедить пользователя открыть специально сформированный файл. В этой связи разработчики рекомендуют пользователям не открывать файлы из недоверенных источников и не заходить на сомнительные сайты (или отключить плагин VLC при их посещении).
Источник: https://www.securitylab.ru/news/499605.php
SecurityLab.ru
В популярном медиаплеере VLC обнаружена критическая уязвимость
Для успешной атаки злоумышленнику потребуется убедить пользователя открыть специально сформированный файл.