#news Лаборатория Касперского продолжает ковыряться в обнаруженной ими малвари под айфоны из «Операции Триангуляция». Названная ими «самой продвинутой атакой из известных», эта кампания, предположительно, активна с 2019-го. Из интересного в свежем докладе: одна из уязвимостей использует ранее неизвестные и недокументированные функции прошивки.
Уязвимость CVE-2023-38606 обходит аппаратную защиту ядра памяти ядра для получения контроля над устройством. Для этого атака пишет данные, адрес назначения и хэш данных в недокументированные, не используемые прошивкой аппаратные регистры чипа. Каким образом злоумышленники догадались её использовать, неясно — функция в прошивке не активна. Существует она для отладки или включена по ошибке, тоже непонятно. В общем, безопасность через неясность как она есть. В новом году компания обещает опубликовать полный отчёт по обратному инжинирингу нашумевшей малвари.
@tomhunter
Уязвимость CVE-2023-38606 обходит аппаратную защиту ядра памяти ядра для получения контроля над устройством. Для этого атака пишет данные, адрес назначения и хэш данных в недокументированные, не используемые прошивкой аппаратные регистры чипа. Каким образом злоумышленники догадались её использовать, неясно — функция в прошивке не активна. Существует она для отладки или включена по ошибке, тоже непонятно. В общем, безопасность через неясность как она есть. В новом году компания обещает опубликовать полный отчёт по обратному инжинирингу нашумевшей малвари.
@tomhunter
🤯6🔥4❤1🤔1
#digest Пришло время подвести итоги декабря и вспомнить самые громкие инфобез-события месяца. Так, мы застали перехват ФБР серверов группировки BlackCat, а QakBot снова всплыл в попытках восстановить ботнет. По сети продолжает бродить призрак атаки на процессоры Spectre с новой её вариацией. Исследователь также раскрыл интересную уязвимость в протоколе Bluetooth. А главарь подростковой группировки Lapsus$ получил довольно неприятный приговор. Об этом и других горячих ИБ-новостях последнего месяца года читайте на нашем Хабре!
@tomhunter
@tomhunter
❤4🔥1
#news Генпрокуратура Казахстана подтвердила выдачу Никиты Кислицина в Россию. 21 декабря уже прошлого года его экстрадировали в РФ. Товарищ, напомню, возглавлял журнал «Хакер» с 2006-го по 2012-й год, а позже работал в опальной Group-IB. В конце июня его задержали в Казахстане, выдачи по схожим обвинениям добивались США и Россия.
В США Кислицина обвиняют в продаже базы данных, украденной у соцсети Formspring в 2012-м году. Согласно приобщённой к делу переписке, цена вопроса – всего 5,5 тысяч евро. В России же главред «Хакера» проходит обвиняемым по взлому коммерческой организации, краже данных и требованию выкупа, кхм, в 550 тысяч рублей. Казахстанские органы доверительно сообщили, что российский запрос имеет приоритет над американским в силу гражданства Кислицина. В общем, стандартная схема «Как обломать выдачу российского хакера в Штаты» в действии.
@tomhunter
В США Кислицина обвиняют в продаже базы данных, украденной у соцсети Formspring в 2012-м году. Согласно приобщённой к делу переписке, цена вопроса – всего 5,5 тысяч евро. В России же главред «Хакера» проходит обвиняемым по взлому коммерческой организации, краже данных и требованию выкупа, кхм, в 550 тысяч рублей. Казахстанские органы доверительно сообщили, что российский запрос имеет приоритет над американским в силу гражданства Кислицина. В общем, стандартная схема «Как обломать выдачу российского хакера в Штаты» в действии.
@tomhunter
🔥12💩5❤3😁3🤔2🤬1
#news Как испортить праздники инфобез-компании? Взломать её аккаунт в Твиттере и использовать его под криптовалютный скам. Именно это произошло вчера с известной ИБ-фирмой. И не простой, а с самой Mandiant, дочкой Google.
Злоумышленник переименовал аккаунт в phantomsolw, чтобы выдать его за криптокошелёк Phantom. Если у юзера кошелёк не был установлен, по ссылке ждал его официальный сайт. Установленные же кошельки опустошались. Скам быстро раскусили, но на этом взломщики не остановились. И начали просто троллить Mandiant сообщениями в духе «Извините, пожалуйста, смените пароль» и «Проверьте закладки, когда восстановите аккаунт». Доступ к аккаунту Mandiant уже вернула, и никаких следов конфуза в нём не осталось. Но интернет всё помнит. В общем, 2024-й у Mandiant уже не задался, но 2025-й, наверняка, будет её годом!
@tomhunter
Злоумышленник переименовал аккаунт в phantomsolw, чтобы выдать его за криптокошелёк Phantom. Если у юзера кошелёк не был установлен, по ссылке ждал его официальный сайт. Установленные же кошельки опустошались. Скам быстро раскусили, но на этом взломщики не остановились. И начали просто троллить Mandiant сообщениями в духе «Извините, пожалуйста, смените пароль» и «Проверьте закладки, когда восстановите аккаунт». Доступ к аккаунту Mandiant уже вернула, и никаких следов конфуза в нём не осталось. Но интернет всё помнит. В общем, 2024-й у Mandiant уже не задался, но 2025-й, наверняка, будет её годом!
@tomhunter
😁11🔥3❤2
#news Злоумышленники из КНДР закончили 2023-й на мажорной ноте: за год они украли не меньше $600 миллионов. С учётом нескольких взломов под конец года сумма может достичь $700 миллионов. Несмотря на то, что рекордный 2022-й с его $850 миллионами побить не удалось, северокорейцы были ответственны за треть всех криптокраж прошлого года.
Санкции в адрес миксера Sinbad не особо повлияли на отмывание средств — группировка постоянно ищет новые платформы, готовые обрабатывать их транзакции. Переводимую в USDT и Tron крипту в итоге обменивают на валюту через внебиржевые сделки и финансируют военный комплекс КНДР. Ну а с учётом прогнозируемого роста крипторынка в этом году, можно делать ставки, удастся ли неутомимым северокорейским криптостахановцам побить свой рекорд 2022-го года.
@tomhunter
Санкции в адрес миксера Sinbad не особо повлияли на отмывание средств — группировка постоянно ищет новые платформы, готовые обрабатывать их транзакции. Переводимую в USDT и Tron крипту в итоге обменивают на валюту через внебиржевые сделки и финансируют военный комплекс КНДР. Ну а с учётом прогнозируемого роста крипторынка в этом году, можно делать ставки, удастся ли неутомимым северокорейским криптостахановцам побить свой рекорд 2022-го года.
@tomhunter
🔥12😁3🤯2❤1🤡1
#news Иранская криптобиржа Bit24[.]cash заботится о KYC-политике и собирает данные пользователей. А вот беречь их получается хуже: как обнаружили исследователи, у биржи был неверно настроенный инстанс MinIO с открытым доступом к облаку S3. В котором, собственно, лежали документы юзеров. 230 тысяч иранцев с фото, паспортами и кредитками.
По следам публикации доступ к облаку закрыли. Ну а безопасник с биржи в официальном ответе сообщил, что утечек данных не было. И вообще никакого открытого S3-ведра у них не было и быть не могло, и их облака были и остаются защищенными, потому что политика у них такая — всё безопасно и работает как часы. Ну а иранского джентльмена и его документы с фото выше кафиры из Cybernews с помощью какой-нибудь мерзкой ИИ-модели нарисовали сенсационности ради, наверняка.
@tomhunter
По следам публикации доступ к облаку закрыли. Ну а безопасник с биржи в официальном ответе сообщил, что утечек данных не было. И вообще никакого открытого S3-ведра у них не было и быть не могло, и их облака были и остаются защищенными, потому что политика у них такая — всё безопасно и работает как часы. Ну а иранского джентльмена и его документы с фото выше кафиры из Cybernews с помощью какой-нибудь мерзкой ИИ-модели нарисовали сенсационности ради, наверняка.
@tomhunter
😁12🤔2🔥1
#news В середине октября проукраинские хакеры заявили о взломе Альфа-банка и утечке их базы данных. В ней якобы ни много ни мало 38 миллионов клиентов банка. Ну а теперь по следам осенних обещаний вчера взломщики сообщают о публикации всей базы. ФИО, дата рождения, номера счетов, телефоны физических и юридических лиц. Таблица на 115 миллионов записей с 2004-го года.
Альфа-банк же верен себе и на развёрнутые комментарии каких-то там невнятных сливов не разменивается. Как и в октябре, кратко сообщают следующее: «Это фейк. Сведения скомпилированы из разных источников, где люди оставляют данные про себя». Подлинность утечки комментировать пока не будем. Главное, не оставляйте нигде данные про себя, дорогие любители инфобеза. И всё будет хорошо. Всегда ваш, Альфа-банк.
@tomhunter
Альфа-банк же верен себе и на развёрнутые комментарии каких-то там невнятных сливов не разменивается. Как и в октябре, кратко сообщают следующее: «Это фейк. Сведения скомпилированы из разных источников, где люди оставляют данные про себя». Подлинность утечки комментировать пока не будем. Главное, не оставляйте нигде данные про себя, дорогие любители инфобеза. И всё будет хорошо. Всегда ваш, Альфа-банк.
@tomhunter
🤡17🔥5😁3🤬3❤1
#news Брайан Кребс врывается в 2024-й со своим любимым занятием — деаноном российских киберпреступников. На этот раз безопасник со стажем закрывает давний гештальт — идентичность операторов старого российского форума Spamdot Icamis’a и Salomon’a. И пока последний, Александр Гречишкин, отбывает четырёхлетний срок в Штатах за создание bulletproof-хостинга и готовится на выход в феврале, Кребс деанонит Icamis’a.
В процессе OSINT-раскопок Кребс забирается совсем глубоко: на форум средней школы в Череповце из начала нулевых. Который товарищ Icamis, известный в миру как Андрей Скворцов, собирал на коленке в юности. На этом круг замыкается: Скворцова осудили вместе с Гречишкиным по тем же обвинениям. Скворцов получил отбытый за время пребывания под стражей срок, предположительно, был депортирован и пропал с радаров. В общем, пока все праздновали, Кребс деанонил русских киберпреступников по отключённым школьным форумам Череповца. Что сказать, увлечённый человек.
@tomhunter
В процессе OSINT-раскопок Кребс забирается совсем глубоко: на форум средней школы в Череповце из начала нулевых. Который товарищ Icamis, известный в миру как Андрей Скворцов, собирал на коленке в юности. На этом круг замыкается: Скворцова осудили вместе с Гречишкиным по тем же обвинениям. Скворцов получил отбытый за время пребывания под стражей срок, предположительно, был депортирован и пропал с радаров. В общем, пока все праздновали, Кребс деанонил русских киберпреступников по отключённым школьным форумам Череповца. Что сказать, увлечённый человек.
@tomhunter
😁20🤡6🔥5❤2🤯2💯1
#news По следам своих неурядиц в конце прошлого года группировка BlackCat повышает ставки и играет с огнём. Мягко говоря. Злоумышленники взломали Ultra I&C, американское дочернее подразделение корпорации Ultra. А это, собственно, британская оборонка.
По утверждениям BlackCat, они похитили 30 ГБ данных 27 декабря и выложили у себя на сайте. Среди них якобы информация, касающаяся ФБР, НАТО, Швейцарии, Израиля и нескольких оборонных компаний. И, собственно, на днях Минобороны Швейцарии атаку подтвердило — утечка затронула ВВС страны, но пока хакеры опубликовали только коммерческие данные. Значимость взлома ещё предстоит оценить. Но если в недалёком будущем BlackCat и компания начнут резко испытывать серьёзные трудности с продолжением операций и свободой передвижений, то это произойдёт во многом благодаря вот таким выкрутасам.
@tomhunter
По утверждениям BlackCat, они похитили 30 ГБ данных 27 декабря и выложили у себя на сайте. Среди них якобы информация, касающаяся ФБР, НАТО, Швейцарии, Израиля и нескольких оборонных компаний. И, собственно, на днях Минобороны Швейцарии атаку подтвердило — утечка затронула ВВС страны, но пока хакеры опубликовали только коммерческие данные. Значимость взлома ещё предстоит оценить. Но если в недалёком будущем BlackCat и компания начнут резко испытывать серьёзные трудности с продолжением операций и свободой передвижений, то это произойдёт во многом благодаря вот таким выкрутасам.
@tomhunter
🔥6😁3🎉1🤡1
#news Порой случаются смешные конфузы с неверно настроенными облаками и утечкой данных из них. А затем случается Бразилия. В общедоступном инстансе Elasticsearch в которой лежали данные, предположительно, на всё население страны.
Исследователи обнаружили в утечке более 223 миллионов записей — что, собственно, примерно соответствует числу жителей. Имена, даты рождения, пол и 11-значные номера налогоплательщиков. Данные больше не доступны публично, и какая именно организация стояла за происшествием, неизвестно. Тем не менее, если данные попали в руки злоумышленников, масштабы утечки серьёзно так повышают потенциальный ущерб от неё. Это, конечно, всё ещё далеко от нашумевшей утечки данных миллиарда китайцев в 2022-м, но и бразильцы просто не успели расплодиться до таких впечатляющих чисел. В абсолютном же выражении рекорд побит. Viva Brasil!
@tomhunter
Исследователи обнаружили в утечке более 223 миллионов записей — что, собственно, примерно соответствует числу жителей. Имена, даты рождения, пол и 11-значные номера налогоплательщиков. Данные больше не доступны публично, и какая именно организация стояла за происшествием, неизвестно. Тем не менее, если данные попали в руки злоумышленников, масштабы утечки серьёзно так повышают потенциальный ущерб от неё. Это, конечно, всё ещё далеко от нашумевшей утечки данных миллиарда китайцев в 2022-м, но и бразильцы просто не успели расплодиться до таких впечатляющих чисел. В абсолютном же выражении рекорд побит. Viva Brasil!
@tomhunter
🔥6😁2🤯1
#news Занятные новости из Китая. Финансируемый правительством институт заявляет, что нашёл способ дешифровать логи от фичи AirDrop у Apple. Что позволит определять телефонные номера и почтовые ящики тех, кто делится контентом.
У Китая долгая история борьбы за цензуру всего и вся. Поэтому жители Цифровой Поднебесной переключились на AirDrop для передачи изображений при блокировке связи. Так, в Гонконге в 2019-м фичу использовали для распространения протестных плакатов и прочего крамольного. Большой верный друг партия Китай Apple уже ограничивала работу фичи на телефонах для китайского рынка, чтобы им не ограничили продажи. Но этого партии показалось мало. Собственно, и способ дешифровки у института запросили после большого скандала: кто-то рассылал «неправомерные» комментарии в метро Пекина. Теперь не поотправляешь — а то ведь и на метро ездить запретят.
@tomhunter
У Китая долгая история борьбы за цензуру всего и вся. Поэтому жители Цифровой Поднебесной переключились на AirDrop для передачи изображений при блокировке связи. Так, в Гонконге в 2019-м фичу использовали для распространения протестных плакатов и прочего крамольного. Большой верный друг партия Китай Apple уже ограничивала работу фичи на телефонах для китайского рынка, чтобы им не ограничили продажи. Но этого партии показалось мало. Собственно, и способ дешифровки у института запросили после большого скандала: кто-то рассылал «неправомерные» комментарии в метро Пекина. Теперь не поотправляешь — а то ведь и на метро ездить запретят.
@tomhunter
❤8😁6🤡3💩2🔥1
#cve По следам ушедшего года публикуем подборку самых интересных CVE за последний месяц 2023-го. В декабре засветился ворох уязвимостей в Chrome и Firefox, вынудивших компании выпускать экстренные патчи. А также критические уязвимости в OpenSSH, фреймворке Apache Struts и маршрутизаторе Netgear. Об этом и других любопытных CVE прошлого месяца читайте на нашем Хабре!
@tomhunter
@tomhunter
❤4🔥2
#news Mandiant закончила расследование недавнего инцидента со своим аккаунтом в eX-Твиттере. Что-то рассказать по итогам нужно, но получается всё равно как-то неловко. Так, за взломом стояла DaaS-группировка (Drainer-as-a-Service). Ну а стянули они у доверчивых пользователей как минимум 900 тысяч долларов.
Как сообщает компания, в обычных условиях такого произойти не могло — помогла бы 2FA. Но вот из-за перестановок у них в команде, а также изменившейся политики Твиттера в отношении двухфакторки, получилось что получилось. Между тем аккаунт, судя по всему, был взломан брутфорсом пароля. И здесь уже становится совсем неловко. Загадка от инфобез-сообщества, на размышление даётся 30 секунд. Какой пароль стоял в соцсети у ИБ-фирмы, что его можно было брутфорснуть?
@tomhunter
Как сообщает компания, в обычных условиях такого произойти не могло — помогла бы 2FA. Но вот из-за перестановок у них в команде, а также изменившейся политики Твиттера в отношении двухфакторки, получилось что получилось. Между тем аккаунт, судя по всему, был взломан брутфорсом пароля. И здесь уже становится совсем неловко. Загадка от инфобез-сообщества, на размышление даётся 30 секунд. Какой пароль стоял в соцсети у ИБ-фирмы, что его можно было брутфорснуть?
@tomhunter
😁13❤1🤔1
#news В 2024-й с сомнительными достижениями: GitHub можно окончательно фиксировать как популярный инструмент для злоумышленников формата «Living Off Trusted Sites». С возможностью маскировки трафика под легитимный в качестве ключевой фичи. И без простых решений растущей проблемы.
GitHub в основном используют под доставку вредоноса, а также в качестве хостов для фишинга и перенаправления трафика, как резервный канал управления и ящик для ссылок на C2-сервера. Вплоть до использования платформы под выгрузку данных, что режется ограничением на размер файлов и шансами обнаружения. Полноценный командные сервера между тем тоже встречаются, хоть и редко и в основном в исполнении госгруппировок. Подробнее о GitHub’e как лучшем друге злоумышленников в 30-страничном отчёте от Recorded Future.
@tomhunter
GitHub в основном используют под доставку вредоноса, а также в качестве хостов для фишинга и перенаправления трафика, как резервный канал управления и ящик для ссылок на C2-сервера. Вплоть до использования платформы под выгрузку данных, что режется ограничением на размер файлов и шансами обнаружения. Полноценный командные сервера между тем тоже встречаются, хоть и редко и в основном в исполнении госгруппировок. Подробнее о GitHub’e как лучшем друге злоумышленников в 30-страничном отчёте от Recorded Future.
@tomhunter
🔥6❤2
#news Экстремистская компания Meta* снова отправляется под суд. И по забавному поводу: австрийские защитники прав потребителей не впечатлены подходом корпорации к конфиденциальности. В частности, речь идёт о возможности юзеров отказаться от слежки на их платформах. В чём проблема? А отказ платный.
Так, чтобы получить иллюзию безопасности своих данных, пользователь должен пролистать несколько страниц и найти подписочку на услуги без рекламы. Бонусом в пакет которых входит отказ от сбора и использования личных данных под целевую рекламу. Плата же варьируется от 9,99 до 12,99 евро с бонусом сверху за каждый аккаунт. В общем, 250 евро в год, чтобы сделать вид, что ты не телеметрийный хомячок у Цукербринов. Австрийские эксперты по защите данных недовольны, что согласие на сбор даётся в один клик, а отказ от него — через платную полосу препятствий. Буквально анекдот про бесплатный вход и платный выход. Meta* же в ответ с ухмылкой сообщает, что модели лучше у них для нас нет. Так и живём.
@tomhunter
Так, чтобы получить иллюзию безопасности своих данных, пользователь должен пролистать несколько страниц и найти подписочку на услуги без рекламы. Бонусом в пакет которых входит отказ от сбора и использования личных данных под целевую рекламу. Плата же варьируется от 9,99 до 12,99 евро с бонусом сверху за каждый аккаунт. В общем, 250 евро в год, чтобы сделать вид, что ты не телеметрийный хомячок у Цукербринов. Австрийские эксперты по защите данных недовольны, что согласие на сбор даётся в один клик, а отказ от него — через платную полосу препятствий. Буквально анекдот про бесплатный вход и платный выход. Meta* же в ответ с ухмылкой сообщает, что модели лучше у них для нас нет. Так и живём.
@tomhunter
😁13🤬4❤3🔥3
#news На GitLab вышли срочные обновления безопасности. Две критических уязвимости и три попроще. И одна из них, CVE-2023-7028, на 10 из 10 по CVSS. Более того, это zero-click. Баг в аутентификации позволяет злоумышленникам отправлять запросы на восстановление пароля на произвольные почтовые ящики. Лечится двухфакторкой, остальным соболезнуем. Случаев эксплойта, впрочем, пока не было.
Вторая крупная уязвимость, CVE-2023-5356, выбила 9.6 из 10. И связана с проблемами интеграции Slack и Mattermost, позволяющими произвольному пользователю выполнять slash-команды. В общем, тот случай, когда с патчами лучше не тянуть. Иначе следующими в новости пойдут атаки на цепочку поставок. Подробнее о свежем патче и затронутых версиях в бюллетене безопасности GitLab.
@tomhunter
Вторая крупная уязвимость, CVE-2023-5356, выбила 9.6 из 10. И связана с проблемами интеграции Slack и Mattermost, позволяющими произвольному пользователю выполнять slash-команды. В общем, тот случай, когда с патчами лучше не тянуть. Иначе следующими в новости пойдут атаки на цепочку поставок. Подробнее о свежем патче и затронутых версиях в бюллетене безопасности GitLab.
@tomhunter
🔥8
#article На Хабре наша новая обзорная статья. В ней мы рассказываем как установить владельца сайта с помощью OSINT. Материал рассчитан на неспециалистов. Так что начнeм с самых элементарных вещей, а затем пройдeмся и по неочевидным методам, которые позволят нам узнать, кто владеет тем или иным веб-ресурсом. За подробностями добро пожаловать на наш Хабр!
@tomhunter
@tomhunter
❤7💩3🔥1🤔1🎉1💯1
#news На Украине на прошлой неделе арестовали предприимчивого злоумышленника: товарищ использовал взломанные аккаунты для создания виртуальных серверов и майнинга крипты. Насоздавал ни много ни мало 1 миллион виртуалок. И намайнил два миллиона долларов.
29-летний житель Николаева был активен с 2021-го года и брутфорсил аккаунты неназванной крупной компании в сфере электронной коммерции. Медленно, но верно копились виртуалки, майнились монетки, а затем выводились на кошельки хакера. Причём в Дуровкоинах, они же менее известные как TON. Увы, сказка завершилась, и Европол совместно с украинской полицией отследили злоумышленника при поддержке облачного провайдера. Последний обнаружил подозрительную активность на серверах клиента в январе 2023-го. И год спустя награда нашла героя, а его криптокошельки были заблокированы.
@tomhunter
29-летний житель Николаева был активен с 2021-го года и брутфорсил аккаунты неназванной крупной компании в сфере электронной коммерции. Медленно, но верно копились виртуалки, майнились монетки, а затем выводились на кошельки хакера. Причём в Дуровкоинах, они же менее известные как TON. Увы, сказка завершилась, и Европол совместно с украинской полицией отследили злоумышленника при поддержке облачного провайдера. Последний обнаружил подозрительную активность на серверах клиента в январе 2023-го. И год спустя награда нашла героя, а его криптокошельки были заблокированы.
@tomhunter
🤯14🔥4😢3😁2🤡1
#news Рубрика «Их нравы». В Швейцарии с 2016-го года действует программа слежки под названием «Totalordnung» «Kabelaufklärung». Как утверждало правительство, это для борьбы с терроризмом и шпионажем, а массовая слежка за собственными гражданами не предусмотрена. И что вы думаете? Правительство-то… наврало! И на самом деле следит за всеми.
В том числе через оптоволокно (привет, товарищ Сноуден). Загуглил швейцарец запретное слово — и сообщение отправляется прямиком в Минобороны. Весь интернет-трафик — переписку, почту, запросы — мониторят, хранят вплоть до 18 месяцев и вычитывают трудолюбивыми швейцарками. И да, вся мякотка в том, что при принятии закона грядущую массовую слежку за швейцарцами яростно отрицали. А в 2020-м суд по жалобе активистов постановил, что в право на конфиденциальность защита от слежки не входит. В общем, любишь орднунг, люби и тётенек из Швейцкомнадзора. Оригинал расследования на немецком.
@tomhunter
В том числе через оптоволокно (привет, товарищ Сноуден). Загуглил швейцарец запретное слово — и сообщение отправляется прямиком в Минобороны. Весь интернет-трафик — переписку, почту, запросы — мониторят, хранят вплоть до 18 месяцев и вычитывают трудолюбивыми швейцарками. И да, вся мякотка в том, что при принятии закона грядущую массовую слежку за швейцарцами яростно отрицали. А в 2020-м суд по жалобе активистов постановил, что в право на конфиденциальность защита от слежки не входит. В общем, любишь орднунг, люби и тётенек из Швейцкомнадзора. Оригинал расследования на немецком.
@tomhunter
🔥12🤡6😁5🤯2❤1🎉1💩1
#news Исследователи насчитали 178 тысяч уязвимых межсетевых экранов SonicWall, доступных в сети. 76% от всех обнаруженных. Причём уязвимы они к удалённому выполнению кода и отказу в обслуживании. С приветами из прошлого в виде уязвимостей из 2022-го и 2023-го годов, обе на переполнение буфера.
Даже если злоумышленник не дойдёт до RCE, он может перевести устройство в режим техобслуживания и получить доступ к сетям. И хотя эксплойтов уязвимостей в сетевой глуши замечено не было, проверки концепции в общем доступе валяются. При этом сами продукты от SonicWall уже подвергались эксплуатации: в марте 2023-го китайцы ломали их для шпионажа, а в 2021-м нулевой день в VPN от SonicWall дал доступ взломщикам к системам самого производителя. Быть взломанными через уязвимость в собственном продукте — верх иронии, конечно.
@tomhunter
Даже если злоумышленник не дойдёт до RCE, он может перевести устройство в режим техобслуживания и получить доступ к сетям. И хотя эксплойтов уязвимостей в сетевой глуши замечено не было, проверки концепции в общем доступе валяются. При этом сами продукты от SonicWall уже подвергались эксплуатации: в марте 2023-го китайцы ломали их для шпионажа, а в 2021-м нулевой день в VPN от SonicWall дал доступ взломщикам к системам самого производителя. Быть взломанными через уязвимость в собственном продукте — верх иронии, конечно.
@tomhunter
🔥6❤1
#news GitHub устроил ротацию ключей, потенциально затронутых исправленной в декабре уязвимостью с рейтингом 7.2 из 10. Её эксплойт позволяет злоумышленнику получить данные доступа из продакшн-контейнера. А там и до произвольного кода на непатченных серверах недалеко.
Впрочем, анализ телеметрии показал, что эксплойта уязвимости не было. Плюс бонусом к защите является то, что для эксплойта нужен доступ уровня владелец организации. Так что пока воздействие от уязвимости ограничено сообщившим о ней через BB-программу исследователем и необходимостью импортировать новые ключи для части юзеров. Между тем в прошлом году ротация ключей случилась в марте, когда GitHub нечаянно выложил приватный SSH-ключ в открытый доступ в репозитории. В этом году управились уже в январе.
@tomhunter
Впрочем, анализ телеметрии показал, что эксплойта уязвимости не было. Плюс бонусом к защите является то, что для эксплойта нужен доступ уровня владелец организации. Так что пока воздействие от уязвимости ограничено сообщившим о ней через BB-программу исследователем и необходимостью импортировать новые ключи для части юзеров. Между тем в прошлом году ротация ключей случилась в марте, когда GitHub нечаянно выложил приватный SSH-ключ в открытый доступ в репозитории. В этом году управились уже в январе.
@tomhunter
🔥2😁2