В какой-то момент любой, кто изучает программирование, задается вопросом о том, действительно ли ему все это нужно.
Обзор уязвимостей за неделю: 10 апреля 2020 г.
За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая Firefox, Chrome, glibc и пр.
За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая Mozilla Firefox, Google Chrome, системную библиотеку GNU C Library (glibc), системы SCADA и пр.
Mozilla исправила в браузере Firefox две уязвимости нулевого дня ( CVE-2020-6819 и CVE-2020-6820 ). Обе проблемы позволяли злоумышленнику удаленно выполнять произвольный код и поставить под угрозу уязвимую систему. Они представляют собой уязвимости использования памяти после высвобождения и связаны с тем, как браузер управляет своим пространством памяти. Проблемы связаны с «состоянием гонки», возникающем при запуске деструктора nsDocShell (CVE-2020-6819) и обработке ReadableStream (CVE-2020-6820).
В Google Chrome было исправлено более 30 проблем, включая четыре опасные уязвимости, эксплуатация которых позволяла скомпрометировать целевую систему. Другие уязвимости затрагивали различные компоненты Chrome и могли использоваться для обхода ограничений безопасности или получения доступа к конфиденциальной информации.
В решении Palo Alto Networks PAN-OS исправлены уязвимости удаленного выполнения ( CVE-2020-1990 ) кода и повышения привилегий ( CVE-2020-1991 ). Первая проблема связана с ошибкой границ в компоненте сервера управления и позволяла злоумышленнику путем переполнения буфера в стеке удаленно выполнить код, а вторая позволяла локальному пользователю повысить привилегии или перезаписать системные файлы.
В программном обеспечении WebAccess/NMS тайваньского производителя встраиваемых систем и систем автоматизации Advantech обнаружен ряд уязвимостей, наиболее серьезные из которых (CVE-2020-10621, CVE-2020-10619, CVE-2020-10631, CVE-2020 -10603) позволяют удаленному злоумышленнику скомпрометировать целевую систему, осуществить атаки через обход каталога или выполнить произвольные shell-команды на системе.
Японская компания Fuji Electric выпустила новую версию решения V-Server Lite (4.0.9.0), исправляющую уязвимость переполнения буфера в куче ( CVE-2020-10646 ). Проблема позволяла злоумышленнику получить повышенные привилегии для удаленного выполнения кода.
В диссекторе BACapp в сетевом анализаторе Wireshark была обнаружена уязвимость ( CVE-2020-11647 ) удаленного выполнения кода. Злоумышленник может отправить по сети специально сформированные данные, вызвать переполнение буфера в стеке и выполнить произвольный код на целевой системе. Хотя в настоящее время нет известных случаев использования уязвимости, существует PoC-код для данной проблемы.
Системная библиотека GNU C Library (glibc) содержит опасную уязвимость ( CVE-2020-1752 ), позволяющую локальному пользователю повысить привилегии на системе и потенциально выполнить произвольный код.
Программа управления сбросом паролей ManageEngine ADSelfService Plus и продукты HiOS и HiSecOS компании Hirschmann Automation and Control также содержат уязвимости удаленного выполнения кода ( CVE-2020-11518 и CVE-2020-6994 соответственно).
Источник: https://www.securitylab.ru/news/506587.php
За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая Firefox, Chrome, glibc и пр.
За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая Mozilla Firefox, Google Chrome, системную библиотеку GNU C Library (glibc), системы SCADA и пр.
Mozilla исправила в браузере Firefox две уязвимости нулевого дня ( CVE-2020-6819 и CVE-2020-6820 ). Обе проблемы позволяли злоумышленнику удаленно выполнять произвольный код и поставить под угрозу уязвимую систему. Они представляют собой уязвимости использования памяти после высвобождения и связаны с тем, как браузер управляет своим пространством памяти. Проблемы связаны с «состоянием гонки», возникающем при запуске деструктора nsDocShell (CVE-2020-6819) и обработке ReadableStream (CVE-2020-6820).
В Google Chrome было исправлено более 30 проблем, включая четыре опасные уязвимости, эксплуатация которых позволяла скомпрометировать целевую систему. Другие уязвимости затрагивали различные компоненты Chrome и могли использоваться для обхода ограничений безопасности или получения доступа к конфиденциальной информации.
В решении Palo Alto Networks PAN-OS исправлены уязвимости удаленного выполнения ( CVE-2020-1990 ) кода и повышения привилегий ( CVE-2020-1991 ). Первая проблема связана с ошибкой границ в компоненте сервера управления и позволяла злоумышленнику путем переполнения буфера в стеке удаленно выполнить код, а вторая позволяла локальному пользователю повысить привилегии или перезаписать системные файлы.
В программном обеспечении WebAccess/NMS тайваньского производителя встраиваемых систем и систем автоматизации Advantech обнаружен ряд уязвимостей, наиболее серьезные из которых (CVE-2020-10621, CVE-2020-10619, CVE-2020-10631, CVE-2020 -10603) позволяют удаленному злоумышленнику скомпрометировать целевую систему, осуществить атаки через обход каталога или выполнить произвольные shell-команды на системе.
Японская компания Fuji Electric выпустила новую версию решения V-Server Lite (4.0.9.0), исправляющую уязвимость переполнения буфера в куче ( CVE-2020-10646 ). Проблема позволяла злоумышленнику получить повышенные привилегии для удаленного выполнения кода.
В диссекторе BACapp в сетевом анализаторе Wireshark была обнаружена уязвимость ( CVE-2020-11647 ) удаленного выполнения кода. Злоумышленник может отправить по сети специально сформированные данные, вызвать переполнение буфера в стеке и выполнить произвольный код на целевой системе. Хотя в настоящее время нет известных случаев использования уязвимости, существует PoC-код для данной проблемы.
Системная библиотека GNU C Library (glibc) содержит опасную уязвимость ( CVE-2020-1752 ), позволяющую локальному пользователю повысить привилегии на системе и потенциально выполнить произвольный код.
Программа управления сбросом паролей ManageEngine ADSelfService Plus и продукты HiOS и HiSecOS компании Hirschmann Automation and Control также содержат уязвимости удаленного выполнения кода ( CVE-2020-11518 и CVE-2020-6994 соответственно).
Источник: https://www.securitylab.ru/news/506587.php
SecurityLab.ru
Обзор уязвимостей за неделю: 10 апреля 2020 г.
За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая Firefox, Chrome, glibc и пр.
Обзор инцидентов безопасности за период с 6 по 12 апреля 2020 года
Прошлая неделя оказалась весьма напряженной для Zoom, криптовалютной биржи Bisq, сервиса электронной почты Email.it и пр.
Прошедшая неделя ознаменовалась рядом утечек, появлением нового ботнета, взломом криптовалютной биржи и пр. Об этих и других инцидентах безопасности читайте в нашем еженедельном обзоре.
За последние несколько недель существенно возросла популярность ПО для конференцсвязи Zoom как у пользователей, так и у киберпреступников. Так, сначала на YouTube и Vimeo появились тысячи записей видеоразговоров в Zoom, в том числе записи сеансов психотерапии, школьных занятий с учениками, консультаций с докторами и корпоративных совещаний. Затем на хакерском форуме были бесплатно опубликованы 2,3 тыс. скомпрометированных учетных записей пользователей ПО.
На торговых площадках в даркнете также были выставлены на продажу данные более 600 тыс. пользователей итальянского провайдера электронной почты Email.it. Базы данных предположительно содержат незашифрованные пароли и содержимое электронной почты пользователей, зарегистрировавшихся в период с 2007-го по 2020 год.
Операторы вымогательского ПО DoppelPaymer похитили у промышленного подрядчика внутренние конфиденциальные документы, принадлежащие компании Lockheed Martin, SpaceX, Tesla и Boeing, и опубликовали их в Сети после отказа платить выкуп.
На прошлой неделе криптовалютная биржа Bisq была вынуждена прекратить торги в связи с кибератакой, в результате которой у ее пользователей было похищено около $250 тыс. в криптовалюте. Причиной проблемы послужило недавнее обновление сети, призванное повысить ее устойчивость. Однако оно содержало скрытую уязвимость, позволившую злоумышленникам манипулировать запасными адресами, переждать установленные для торгов временны̀е ограничения и перевести чужие средства на подконтрольные им кошельки.
Не обошлось на прошлой неделе и без ботнетов. С помощью подстановки учетных данных (атак credential stuffing) операторы нового растущего ботнета dark_nexus взламывают маршрутизаторы (Dasan Zhone, Dlink и ASUS), видеорегистраторы и тепловизионные камеры видеонаблюдения и включают их в свою ботсеть для осуществления DDoS-атак.
Специалисты из Qihoo 360 сообщили о масштабной вредоносной кампании, организованной группировкой DarkHotel. Кампания началась в марте нынешнего года и нацелена на китайские правительственные учреждения и их сотрудников. Для получения удаленного доступа к корпоративным и государственным сетям злоумышленники эксплуатировали уязвимость нулевого дня в серверах Sangfor SSL VPN.
Еще одна нашумевшая киберпреступная группировка FIN6 объединила свои усилия с операторами вредоносного ПО TrickBot. Так, исследователи из IBM X-Force обнаружили следы FIN6 в недавней кампании по распространению вредоносного ПО Anchor с помощью трояна TrickBot.
Компания Microsoft сообщила о вредоносной операции с участием вредоносного ПО Emotet. Вредонос попал в сети неназванной организации через фишинговое письмо, полученным одним из ее сотрудников, и за восемь дней вывел из строя всю информационную сеть организации.
Источник: https://www.securitylab.ru/news/506607.php
Прошлая неделя оказалась весьма напряженной для Zoom, криптовалютной биржи Bisq, сервиса электронной почты Email.it и пр.
Прошедшая неделя ознаменовалась рядом утечек, появлением нового ботнета, взломом криптовалютной биржи и пр. Об этих и других инцидентах безопасности читайте в нашем еженедельном обзоре.
За последние несколько недель существенно возросла популярность ПО для конференцсвязи Zoom как у пользователей, так и у киберпреступников. Так, сначала на YouTube и Vimeo появились тысячи записей видеоразговоров в Zoom, в том числе записи сеансов психотерапии, школьных занятий с учениками, консультаций с докторами и корпоративных совещаний. Затем на хакерском форуме были бесплатно опубликованы 2,3 тыс. скомпрометированных учетных записей пользователей ПО.
На торговых площадках в даркнете также были выставлены на продажу данные более 600 тыс. пользователей итальянского провайдера электронной почты Email.it. Базы данных предположительно содержат незашифрованные пароли и содержимое электронной почты пользователей, зарегистрировавшихся в период с 2007-го по 2020 год.
Операторы вымогательского ПО DoppelPaymer похитили у промышленного подрядчика внутренние конфиденциальные документы, принадлежащие компании Lockheed Martin, SpaceX, Tesla и Boeing, и опубликовали их в Сети после отказа платить выкуп.
На прошлой неделе криптовалютная биржа Bisq была вынуждена прекратить торги в связи с кибератакой, в результате которой у ее пользователей было похищено около $250 тыс. в криптовалюте. Причиной проблемы послужило недавнее обновление сети, призванное повысить ее устойчивость. Однако оно содержало скрытую уязвимость, позволившую злоумышленникам манипулировать запасными адресами, переждать установленные для торгов временны̀е ограничения и перевести чужие средства на подконтрольные им кошельки.
Не обошлось на прошлой неделе и без ботнетов. С помощью подстановки учетных данных (атак credential stuffing) операторы нового растущего ботнета dark_nexus взламывают маршрутизаторы (Dasan Zhone, Dlink и ASUS), видеорегистраторы и тепловизионные камеры видеонаблюдения и включают их в свою ботсеть для осуществления DDoS-атак.
Специалисты из Qihoo 360 сообщили о масштабной вредоносной кампании, организованной группировкой DarkHotel. Кампания началась в марте нынешнего года и нацелена на китайские правительственные учреждения и их сотрудников. Для получения удаленного доступа к корпоративным и государственным сетям злоумышленники эксплуатировали уязвимость нулевого дня в серверах Sangfor SSL VPN.
Еще одна нашумевшая киберпреступная группировка FIN6 объединила свои усилия с операторами вредоносного ПО TrickBot. Так, исследователи из IBM X-Force обнаружили следы FIN6 в недавней кампании по распространению вредоносного ПО Anchor с помощью трояна TrickBot.
Компания Microsoft сообщила о вредоносной операции с участием вредоносного ПО Emotet. Вредонос попал в сети неназванной организации через фишинговое письмо, полученным одним из ее сотрудников, и за восемь дней вывел из строя всю информационную сеть организации.
Источник: https://www.securitylab.ru/news/506607.php
SecurityLab.ru
Обзор инцидентов безопасности за период с 6 по 12 апреля 2020 года
Прошлая неделя оказалась весьма напряженной для Zoom, криптовалютной биржи Bisq, сервиса электронной почты Email.it и пр.
Microsoft исправила три уязвимости нулевого дня
В рамках апрельского «второго вторника» Microsoft исправила 113 уязвимостей в своих продуктах.
Во вторник, 14 апреля, компания Microsoft выпустила плановые ежемесячные обновления безопасности для своих продуктов, исправляющие 113 уязвимостей, в том числе три уязвимости нулевого дня.
Одной из исправленных уязвимостей нулевого дня является CVE-2020-1020 , о которой SecurityLab сообщал еще в прошлом месяце. Проблема затрагивает библиотеку Adobe Type Manager (atmfd.dll), используемую Windows для обработки шрифтов PostScript Type 1 и позволяет удаленно запускать произвольный код на атакуемой системе и предпринимать действия от имени пользователя. Уязвимости затрагивают все версии Windows (кроме Windows 10) и Windows Server, в том числе более неподдерживаемую Windows 7.
Вторая уязвимость (CVE-2020-0938) также была исправлена в библиотеке Adobe Type Manager. Проблема похожа на CVE-2020-1020, однако о ней стало известно только 14 апреля.
Третьей уязвимостью нулевого дня, исправленной Microsoft в рамках апрельского «второго вторника» является CVE-2020-1027 . Проблема затрагивает ядро Windows и позволяет атакующему повысить свои привилегии и выполнить код с привилегиями ядра.
Все три уязвимости были обнаружены специалистами двух команд безопасности Google – Project Zero и Threat Analysis Group (TAG). По представленному Microsoft описанию невозможно понять, эксплуатировались они одними и теми же киберпреступниками или разными.
Источник: https://www.securitylab.ru/news/506679.php
В рамках апрельского «второго вторника» Microsoft исправила 113 уязвимостей в своих продуктах.
Во вторник, 14 апреля, компания Microsoft выпустила плановые ежемесячные обновления безопасности для своих продуктов, исправляющие 113 уязвимостей, в том числе три уязвимости нулевого дня.
Одной из исправленных уязвимостей нулевого дня является CVE-2020-1020 , о которой SecurityLab сообщал еще в прошлом месяце. Проблема затрагивает библиотеку Adobe Type Manager (atmfd.dll), используемую Windows для обработки шрифтов PostScript Type 1 и позволяет удаленно запускать произвольный код на атакуемой системе и предпринимать действия от имени пользователя. Уязвимости затрагивают все версии Windows (кроме Windows 10) и Windows Server, в том числе более неподдерживаемую Windows 7.
Вторая уязвимость (CVE-2020-0938) также была исправлена в библиотеке Adobe Type Manager. Проблема похожа на CVE-2020-1020, однако о ней стало известно только 14 апреля.
Третьей уязвимостью нулевого дня, исправленной Microsoft в рамках апрельского «второго вторника» является CVE-2020-1027 . Проблема затрагивает ядро Windows и позволяет атакующему повысить свои привилегии и выполнить код с привилегиями ядра.
Все три уязвимости были обнаружены специалистами двух команд безопасности Google – Project Zero и Threat Analysis Group (TAG). По представленному Microsoft описанию невозможно понять, эксплуатировались они одними и теми же киберпреступниками или разными.
Источник: https://www.securitylab.ru/news/506679.php
SecurityLab.ru
Microsoft исправила три уязвимости нулевого дня
В рамках апрельского «второго вторника» Microsoft исправила 113 уязвимостей в своих продуктах.
Распространение коронавируса можно предсказать с помощью Facebook
Исследователи обнаружили закономерность между новыми заражениями и социальными сетями.
Исследователи из Нью-Йоркского университета провели анализ развития пандемии коронавирусной инфекции в округе Уэстчестер в США и провинции Лоди в Италии и обнаружили закономерность между распространением COVID-19 и социальными сетями.
По словам экспертов, распространение вируса было наиболее сильным в тех районах, жители которых были связаны с очагами заражения через Facebook. Например, наибольшее число зараженных COVID-19 было зафиксировано в прибрежных районах и городских центрах, связанных с Уэстчестером. Изучив списки друзей жителей провинции Лоди, специалисты обнаружили связь с Римини — популярным морским курортом на Адриатике.
Для проведения исследования специалисты использовали новый инструмент под названием Social Connectedness Index, созданный совместно с Facebook. Набор данных Facebook позволяет исследователям выявить связи между двумя географическими областями путем анализа списка друзей в социальной сети, не нарушая при этом конфиденциальность пользователей. В настоящее время инструмент также доступен для других специалистов и некоммерческих организаций для использования в подобных исследованиях.
«Географическая структура социальной сети, измеряемая Facebook, действительно может предоставить полезную для эпидемиологов информацию о типе социальных взаимодействий, способствующих распространению инфекционных заболеваний», — отметили исследователи.
Источник: https://www.securitylab.ru/news/506749.php
Исследователи обнаружили закономерность между новыми заражениями и социальными сетями.
Исследователи из Нью-Йоркского университета провели анализ развития пандемии коронавирусной инфекции в округе Уэстчестер в США и провинции Лоди в Италии и обнаружили закономерность между распространением COVID-19 и социальными сетями.
По словам экспертов, распространение вируса было наиболее сильным в тех районах, жители которых были связаны с очагами заражения через Facebook. Например, наибольшее число зараженных COVID-19 было зафиксировано в прибрежных районах и городских центрах, связанных с Уэстчестером. Изучив списки друзей жителей провинции Лоди, специалисты обнаружили связь с Римини — популярным морским курортом на Адриатике.
Для проведения исследования специалисты использовали новый инструмент под названием Social Connectedness Index, созданный совместно с Facebook. Набор данных Facebook позволяет исследователям выявить связи между двумя географическими областями путем анализа списка друзей в социальной сети, не нарушая при этом конфиденциальность пользователей. В настоящее время инструмент также доступен для других специалистов и некоммерческих организаций для использования в подобных исследованиях.
«Географическая структура социальной сети, измеряемая Facebook, действительно может предоставить полезную для эпидемиологов информацию о типе социальных взаимодействий, способствующих распространению инфекционных заболеваний», — отметили исследователи.
Источник: https://www.securitylab.ru/news/506749.php
SecurityLab.ru
Распространение коронавируса можно предсказать с помощью Facebook
Исследователи обнаружили закономерность между новыми заражениями и социальными сетями.
Инфостилер Agent Tesla атакует нефтегазовую промышленность
Специалисты Bitdefender сообщили о вредоносной кампании, направленной против предприятий нефтегазовой промышленности. Злоумышленники используют целенаправленный фишинг и отправляют жертвам электронные письма от имени логистических компаний и инженерных подрядчиков. Целью кампании является заражение целевых систем инфостилером Agent Tesla.
Agent Tesla представляет собой написанное на .Net коммерческое вредоносное ПО с функциями кейлоггера и трояна для удаленного доступа (RAT), используемое с 2014 года. Помимо прочего, Agent Tesla способен собирать информацию о системе, похищать данные из буфера обмена, отключать антивирусные решения и процессы, позволяющие проанализировать вредонос. До кампании, обнаруженной специалистами Bitdefender, в атаках на нефтегазовую промышленность Agent Tesla не использовался.
В одном из случаев злоумышленники отправляли жертвам фишинговые письма от имени египетской государственной нефтяной компании ENPPI (Engineering for Petroleum and Process Industries). В другом случае фишеры имитировали компанию-перевозчика, использовав в письме достоверную информацию о химическом/нефтяном танкере и профессиональный жаргон.
Первая кампания началась 31 марта нынешнего года и была нацелена на предприятия в Малайзии, Иране и США. Вторая волна представляла собой ряд кибератак на ограниченное количество предприятий на Филиппинах.
Источник: https://www.securitylab.ru/news/506931.php
Специалисты Bitdefender сообщили о вредоносной кампании, направленной против предприятий нефтегазовой промышленности. Злоумышленники используют целенаправленный фишинг и отправляют жертвам электронные письма от имени логистических компаний и инженерных подрядчиков. Целью кампании является заражение целевых систем инфостилером Agent Tesla.
Agent Tesla представляет собой написанное на .Net коммерческое вредоносное ПО с функциями кейлоггера и трояна для удаленного доступа (RAT), используемое с 2014 года. Помимо прочего, Agent Tesla способен собирать информацию о системе, похищать данные из буфера обмена, отключать антивирусные решения и процессы, позволяющие проанализировать вредонос. До кампании, обнаруженной специалистами Bitdefender, в атаках на нефтегазовую промышленность Agent Tesla не использовался.
В одном из случаев злоумышленники отправляли жертвам фишинговые письма от имени египетской государственной нефтяной компании ENPPI (Engineering for Petroleum and Process Industries). В другом случае фишеры имитировали компанию-перевозчика, использовав в письме достоверную информацию о химическом/нефтяном танкере и профессиональный жаргон.
Первая кампания началась 31 марта нынешнего года и была нацелена на предприятия в Малайзии, Иране и США. Вторая волна представляла собой ряд кибератак на ограниченное количество предприятий на Филиппинах.
Источник: https://www.securitylab.ru/news/506931.php
SecurityLab.ru
Инфостилер Agent Tesla атакует нефтегазовую промышленность
Agent Tesla известен с 2014 года, однако в атаках на нефтегазовые предприятия используется впервые.