#news Неделю закрывает уязвимость в Linux, остававшаяся незамеченной 11 лет. Проблема в команде wall пакета util-linux, идущего со всеми дистрибутивами. В ней с 2013-го скрывается возможность для непривилегированных атакующих красть пароли и изменять буфер жертв.
Уязвимость сводится к неправильной нейтрализации последовательностей управления в команде. Тем не менее, её эксплойт ограничен специфическими условиями. Так, злоумышленнику нужен доступ к серверу с терминалом на несколько пользователей. Кроме того, у wall должны быть разрешения setgid плюс активна утилита mesg. Удаление разрешений и отключение функции рассылки сообщений через mesg проблему устраняет. Ну или можно для разнообразия просто накатить патч. Можно, конечно, и не накатывать. Но PoC к эксплойту уже опубликовали.
@tomhunter
Уязвимость сводится к неправильной нейтрализации последовательностей управления в команде. Тем не менее, её эксплойт ограничен специфическими условиями. Так, злоумышленнику нужен доступ к серверу с терминалом на несколько пользователей. Кроме того, у wall должны быть разрешения setgid плюс активна утилита mesg. Удаление разрешений и отключение функции рассылки сообщений через mesg проблему устраняет. Ну или можно для разнообразия просто накатить патч. Можно, конечно, и не накатывать. Но PoC к эксплойту уже опубликовали.
@tomhunter
🔥5🤯3😁2
#news Вчерашний баг в Linux меркнет на фоне подоспевших новостей. В XZ Utils версий 5.6.0 и 5.6.1 обнаружили бэкдор под SSH. Об этом сообщает RedHat и не стесняется в выражениях: «Немедленно вырубайте все инстансы Fedora Rawhide на работе и дома». Капслоком. Знакомьтесь, CVE-2024-3094, 10 из 10.
История пока только разворачивается. Судя по всему, один из мейнтейнеров XZ добавил в него бэкдор под очень нишевые конфигурации и таргетированную атаку по opensshd через systemd и пытался добиться добавления XZ 5.6.x в Fedora 40-41 и не только. Под эту конфигурацию попала свежая Debian Sid, начал лагать SSH, и бэкдор нашли в процессе анализа проблемы. Бэкдор под удалённый доступ, у мейнтейнера многолетняя история коммитов с версии 5.4.0, и масштабы компрометации пока неизвестны. В общем,crazy fed shit запасайтесь попкорном, выходные будут яркими. Здесь в комментах подборка постов по основным дистрибутивам. А здесь подробный таймлайн по кроту-мейнтейнеру с 2021-го.
@tomhunter
История пока только разворачивается. Судя по всему, один из мейнтейнеров XZ добавил в него бэкдор под очень нишевые конфигурации и таргетированную атаку по opensshd через systemd и пытался добиться добавления XZ 5.6.x в Fedora 40-41 и не только. Под эту конфигурацию попала свежая Debian Sid, начал лагать SSH, и бэкдор нашли в процессе анализа проблемы. Бэкдор под удалённый доступ, у мейнтейнера многолетняя история коммитов с версии 5.4.0, и масштабы компрометации пока неизвестны. В общем,
@tomhunter
🤯17🔥7
#news Рубрика «Их нравы». По следам утечки в открытый доступ базы на 73 миллиона записей телекоммуникационный провайдер AT&T в США всё же признал, что это его данные. Отрицали в 2019-м, когда база пошла на продажу, отрицали вновь после слива. И наконец, после его изучения исследователями отмалчиваться больше не получается.
Но изворотливость на этом не заканчивается. Откуда слив, упорно скрывают. И как сообщает компания, из 73 миллионов клиентов 65,4 миллиона якобы уже бывшие. У оставшихся 7,6 утекли ещё и пасскоды, но их им сбросили. Остальных уведомят. Видимо, в планах у AT&T было подождать, пока текущих клиентов в слитой базе вообще не останется, но помешали настырные журналисты. А если дождаться, пока они все скончаются от естественных причин, так не нужно и о взломе никого уведомлять.
@tomhunter
Но изворотливость на этом не заканчивается. Откуда слив, упорно скрывают. И как сообщает компания, из 73 миллионов клиентов 65,4 миллиона якобы уже бывшие. У оставшихся 7,6 утекли ещё и пасскоды, но их им сбросили. Остальных уведомят. Видимо, в планах у AT&T было подождать, пока текущих клиентов в слитой базе вообще не останется, но помешали настырные журналисты. А если дождаться, пока они все скончаются от естественных причин, так не нужно и о взломе никого уведомлять.
@tomhunter
😁4🔥1
#news Подоспел предварительный анализ бэкдора в XZ Utils. Опасения оправдались: он не просто на обход аутентификации, а под произвольный код. При этом без следов в логах sshd. Бэкдор активируется по закрытому ключу, так что со сканером под скомпрометированные хосты проблемы. Для обфускации у него сложные shell-скрипты, в комплекте killswitch… В общем, красиво.
Вопрос лишь, кто писал. С одной стороны, у крота-мейнтейнера китайские имя и часовой пояс. С другой, это может быть очевидное прикрытие. При всём при этом бэкдор был обнаружен совершенно случайно на случайно же попавшем под его конфиг нестабильном дистре. И только потому что у одноготурбоаутиста увлечённого человека sshd чуть-чуть залагал и ему было не лень прогнать кучу тестов. Что было бы, если бэкдор добрался до стабильных релизов незамеченным, представьте сами. Как минимум, у кого-то была бы успешная шпионская кампания. Как минимум.
@tomhunter
Вопрос лишь, кто писал. С одной стороны, у крота-мейнтейнера китайские имя и часовой пояс. С другой, это может быть очевидное прикрытие. При всём при этом бэкдор был обнаружен совершенно случайно на случайно же попавшем под его конфиг нестабильном дистре. И только потому что у одного
@tomhunter
🔥9🤯5😁1🤡1
#news Кибербезопасность по-индийски: власти Индии вызволили 250 своих граждан из рабства в Камбодже, где их принуждали совершать киберпреступления. Индийцы выдавали себя за полицейских онлайн и шантажировали соотечественников мнимыми уголовными делами.
Хозяева операции из Китая выставляли суточные квоты по заработку, провинившиеся получали физические наказания и изоляцию. В итоге на скам попался госслужащий, сообщивший в полицию, и несколько подневольных мошенников связались с посольством. Но при этом в Камбодже в киберрабстве сидят ещё минимум 5000 индийцев, а за последние полгода масштабная скам-операция принесла организаторам около $60 миллионов. High tech, low life как есть.
@tomhunter
Хозяева операции из Китая выставляли суточные квоты по заработку, провинившиеся получали физические наказания и изоляцию. В итоге на скам попался госслужащий, сообщивший в полицию, и несколько подневольных мошенников связались с посольством. Но при этом в Камбодже в киберрабстве сидят ещё минимум 5000 индийцев, а за последние полгода масштабная скам-операция принесла организаторам около $60 миллионов. High tech, low life как есть.
@tomhunter
🤯13🔥3🤬1😢1
#news В Польше началось масштабное расследование использования спайвари Pegasus предыдущим правительством. Прежняя партия власти проиграла выборы в октябре прошлого года и вместе с этим лишилась права на незаконную слежку.
Уголовные обвинения могут ждать бывших министров, сотрудников спецслужб и других лиц. Министр юстиции сообщает, что полный список жертв слежки пока останется конфиденциальным, так как в нём много известных лиц, а не только уже названные политики. Кроме того, расследуют как были получены разрешения на слежку: в Польше штампуют их на автомате, и предполагается, что от судов скрыли детали запросов под использование Pegasus. В общем, занятный пример того, что спайвари хорошо живётся только в странах, где власть имущих выносят исключительно вперёд ногами, и законность её применения некому поставить под вопрос.
@tomhunter
Уголовные обвинения могут ждать бывших министров, сотрудников спецслужб и других лиц. Министр юстиции сообщает, что полный список жертв слежки пока останется конфиденциальным, так как в нём много известных лиц, а не только уже названные политики. Кроме того, расследуют как были получены разрешения на слежку: в Польше штампуют их на автомате, и предполагается, что от судов скрыли детали запросов под использование Pegasus. В общем, занятный пример того, что спайвари хорошо живётся только в странах, где власть имущих выносят исключительно вперёд ногами, и законность её применения некому поставить под вопрос.
@tomhunter
🔥7❤3💯2
#news По следам бэкдора в XZ Utils в открытый доступ выложили сканер для поиска импланта в бинарниках Linux. Сканер заточен под конкретную библиотеку и любые файлы с бэкдором. Логика простая: имплант явно конторский и неодноразовый, так что его могли деплоить где-то ещё или частично использовать в других операциях.
Сканер работает на статистическом анализе бинарников для определения подмены переходов в IFUNC. Имплант как раз изменяет вызовы IFUNC для внедрения вредоноса. Скан также идёт по различным точкам цепочки поставок в расчёте, что он может быть не только в XZ. Инструмент доступен здесь без ограничений. Разработчики также предоставили API для массовых проверок бинарников. А если от слов «бэкдор в SSH» начинает лихорадить, сканер вдвойне полезен — поможет немного успокоить свою красноглазую паранойю.
@tomhunter
Сканер работает на статистическом анализе бинарников для определения подмены переходов в IFUNC. Имплант как раз изменяет вызовы IFUNC для внедрения вредоноса. Скан также идёт по различным точкам цепочки поставок в расчёте, что он может быть не только в XZ. Инструмент доступен здесь без ограничений. Разработчики также предоставили API для массовых проверок бинарников. А если от слов «бэкдор в SSH» начинает лихорадить, сканер вдвойне полезен — поможет немного успокоить свою красноглазую паранойю.
@tomhunter
🔥7❤2🤡1
#news Гугл работает над новой фичей под Chrome, которая должна решить вопрос кражи куки. Device Bound Session Credentials, попросту говоря, привязанные к устройству куки. Так что будучи с него стянутыми, куки будут бесполезны.
После подключения DBSC аутентификация идёт через пару из публичного и приватного ключа, которые генерирует доверенный платформенный модуль. Соответственно, завязанные на TPM (или иные решения) куки вынудят злоумышленника действовать локально с устройства — а это уже совсем другая история. Фича пока на стадии прототипа, но её уже можно протестировать в браузерах на Хромиуме. В дальнейшем её планируют распространить на Google Workspace и Google Cloud. А в перспективе это звучит как новый стандарт под окончательное решение проблемы кражи куки в её текущем виде. Подробнее о DBSC в блоге Хромиума.
@tomhunter
После подключения DBSC аутентификация идёт через пару из публичного и приватного ключа, которые генерирует доверенный платформенный модуль. Соответственно, завязанные на TPM (или иные решения) куки вынудят злоумышленника действовать локально с устройства — а это уже совсем другая история. Фича пока на стадии прототипа, но её уже можно протестировать в браузерах на Хромиуме. В дальнейшем её планируют распространить на Google Workspace и Google Cloud. А в перспективе это звучит как новый стандарт под окончательное решение проблемы кражи куки в её текущем виде. Подробнее о DBSC в блоге Хромиума.
@tomhunter
🔥9🤡3❤1😢1🎉1💩1
#news Новости российского инфобеза. У разработчика системы бронирования Leonardo «Сирена-Трэвэл» сегодня прошли обыски. И как доверительно сообщают СМИ, связаны они... с DDoS-атакой 28 сентября прошлого года.
Тогда система прилегла, что привело к задержке нескольких рейсов в среднем на полчаса. Ну а теперь разработчика настигло внезапное возмездие. В офисе прошла выемка документов. А правоохранители, кхм, «изучают технику для установления возможных уязвимостей». Извините. Это цитата. Как сообщает «Коммерсант», предположительно обыски также проходят в домах двух связанных с Leonardo людей. В общем, дорогие любители инфобеза, похоже, затянувшееся обсуждение ужесточения закона об утечке данных и прочем сопутствующем приняло радикальный оборот. Такой вот он, суровый отечественный ИБ-аудит.
@tomhunter
Тогда система прилегла, что привело к задержке нескольких рейсов в среднем на полчаса. Ну а теперь разработчика настигло внезапное возмездие. В офисе прошла выемка документов. А правоохранители, кхм, «изучают технику для установления возможных уязвимостей». Извините. Это цитата. Как сообщает «Коммерсант», предположительно обыски также проходят в домах двух связанных с Leonardo людей. В общем, дорогие любители инфобеза, похоже, затянувшееся обсуждение ужесточения закона об утечке данных и прочем сопутствующем приняло радикальный оборот. Такой вот он, суровый отечественный ИБ-аудит.
@tomhunter
😁12🤡6🔥3❤1
#cve Подводим итоги марта топом самых интересных CVE. Гвоздём программы ушедшего месяца, конечно же, стал бэкдор в XZ Utils, наделавший шуму в Linux-сообществе. Десятку по CVSS также выбила уязвимость в Atlassian Bamboo Data Center и Server на внедрение SQL-кода.
Оригинальной уязвимостью отметились RFID-замки от Saflok: 3 миллиона замков в 13 тысяч отелей и домов по всему миру вскрываются парой поддельных карт. Помимо этого, март принёс критические уязвимости в гипервизорах VMware, NextChat и FileCatalyst, а также очередную вариацию Spectre v1. Об этом и других интересных уязвимостях прошлого месяца читайте на нашем Хабре!
@tomhunter
Оригинальной уязвимостью отметились RFID-замки от Saflok: 3 миллиона замков в 13 тысяч отелей и домов по всему миру вскрываются парой поддельных карт. Помимо этого, март принёс критические уязвимости в гипервизорах VMware, NextChat и FileCatalyst, а также очередную вариацию Spectre v1. Об этом и других интересных уязвимостях прошлого месяца читайте на нашем Хабре!
@tomhunter
🔥3❤2
#news Госдепартамент США расследует предполагаемую утечку государственных данных. И непростую, а якобы последовавшую за взломом компании Acuity. Господрядчика, ответственного за DevSecOps, айти и инфобез в сфере нацбезопасности. В общем, двойное бинго.
По утверждениям злоумышленника, в сливе секретные документы, связанные с альянсом Пять Глаз и прочими разведывательными инициативами США и союзников. Утечка идёт от товарища IntelBroker, ранее отметившегося сливами из штатовских госорганов, так что новости интересные. Помимо заявленного, в сливе также ФИО, почтовые адреса и телефоны госслужащих, военных и сотрудников Пентагона. Если утечка подтвердится, горе-безопасников из Acuity ждёт увлекательный тет-а-тет с Конгрессом. Пока и компания, и NSA на пару с CISA отмалчиваются.
@tomhunter
По утверждениям злоумышленника, в сливе секретные документы, связанные с альянсом Пять Глаз и прочими разведывательными инициативами США и союзников. Утечка идёт от товарища IntelBroker, ранее отметившегося сливами из штатовских госорганов, так что новости интересные. Помимо заявленного, в сливе также ФИО, почтовые адреса и телефоны госслужащих, военных и сотрудников Пентагона. Если утечка подтвердится, горе-безопасников из Acuity ждёт увлекательный тет-а-тет с Конгрессом. Пока и компания, и NSA на пару с CISA отмалчиваются.
@tomhunter
🔥6😁3❤1
#news В штате Айова, США, раскрыли один из самых масштабных случаев кражи личности в современной истории. Сисадмин Мэтью Кираннс 33 года выдавал себя за другого человека. С 1990-го года он жил по поддельным документам на имя знакомого, Уильяма Вудса.
Более того, реальный Вудс, обнаруживший $130 тысяч долга на своё имя в 2019-м, был сам обвинён в краже собственной личности. Кираннс убедил банк и полицию, что он и есть Вудс, и того посадили. Он провёл почти полтора года в тюрьме и полгода в психлечебнице, а суд постановил, что он должен жить под своим «настоящим» именем Мэтью Кираннс. В 2023-м больница, в которой последний работал сисадмином, наняла частного детектива, и после теста ДНК Вудса ему удалось доказать, что личность крал совсем не он. Кираннсу же грозит до 32 лет тюрьмы и $1,25 миллиона штрафа. В общем, совершенно дикая история, по которой можно сценарии писать.
@tomhunter
Более того, реальный Вудс, обнаруживший $130 тысяч долга на своё имя в 2019-м, был сам обвинён в краже собственной личности. Кираннс убедил банк и полицию, что он и есть Вудс, и того посадили. Он провёл почти полтора года в тюрьме и полгода в психлечебнице, а суд постановил, что он должен жить под своим «настоящим» именем Мэтью Кираннс. В 2023-м больница, в которой последний работал сисадмином, наняла частного детектива, и после теста ДНК Вудса ему удалось доказать, что личность крал совсем не он. Кираннсу же грозит до 32 лет тюрьмы и $1,25 миллиона штрафа. В общем, совершенно дикая история, по которой можно сценарии писать.
@tomhunter
🤯13🔥6👍1
#news Что происходит, когда оператор фейкового Privnote приходит с угрозами в Metamask за несправедливую блокировку своего «легитимного» сайта? Он не только получает разворот от продакт лида, но ещё и привлекает внимание Кребса. Как ему пройти мимо: фишинговые сайты-то на русские имена.
Некие Андрей Сокол из Москвы и Александр Ермаков из Киева. Вероятно, псевдонимы. На парочку зарегистрирована куча доменов под спуфинг Privnote. Отличительная особенность: криптоадреса в записках подменяются на кошельки злоумышленников. Один из скам-сайтов сейчас четвёртый в выдаче Гугла по запросу «Privnote», а судя по кошелькам, операция на сотни тысяч долларов. Подробнее о приключениях любимчиков Кребса — русских киберпреступников — у него в блоге. Материал интересный: одним Privnote деятельность злоумышленников не ограничивается. Так, у авторов жалоб в Metamask нашлись скам-сайты и под сам кошелёк. Такая вот ирония.
@tomhunter
Некие Андрей Сокол из Москвы и Александр Ермаков из Киева. Вероятно, псевдонимы. На парочку зарегистрирована куча доменов под спуфинг Privnote. Отличительная особенность: криптоадреса в записках подменяются на кошельки злоумышленников. Один из скам-сайтов сейчас четвёртый в выдаче Гугла по запросу «Privnote», а судя по кошелькам, операция на сотни тысяч долларов. Подробнее о приключениях любимчиков Кребса — русских киберпреступников — у него в блоге. Материал интересный: одним Privnote деятельность злоумышленников не ограничивается. Так, у авторов жалоб в Metamask нашлись скам-сайты и под сам кошелёк. Такая вот ирония.
@tomhunter
😁2🔥1🤯1
#news К вопросу инфобеза приложений родительского контроля. Есть много слов чтобы описать их в контексте ИБ, но «защищённые» в их число обычно не входит. Так и с KidSecurity. Больше года данные с устройств детей со всего мира были в открытом доступе для всех желающих.
Почты, айпишники, геолокация, сообщения из соцсетей и прочие всевозможные данные. В кэше на момент обнаружения утечки было уже 100 ГБ информации. Час наблюдений — 456 тысяч сообщений и данные с 11 тысяч телефонов. Между тем у приложения больше миллиона скачиваний. Что стало причиной утечки? Неверно настроенная аутентификация Kafka Broker и, соответственно, открытый кластер. Классика. Причём в ноябре 2023-го у KidSecurity уже утекали 300 миллионов логов. Видимо, с аудитом после прошлой утечки не сложилось.
@tomhunter
Почты, айпишники, геолокация, сообщения из соцсетей и прочие всевозможные данные. В кэше на момент обнаружения утечки было уже 100 ГБ информации. Час наблюдений — 456 тысяч сообщений и данные с 11 тысяч телефонов. Между тем у приложения больше миллиона скачиваний. Что стало причиной утечки? Неверно настроенная аутентификация Kafka Broker и, соответственно, открытый кластер. Классика. Причём в ноябре 2023-го у KidSecurity уже утекали 300 миллионов логов. Видимо, с аудитом после прошлой утечки не сложилось.
@tomhunter
🤯2🔥1🤬1
#digest Первый весенний месяц позади, так что подводим его итоги. В марте шуму наделал бэкдор в XZ Utils под Linux — он не успел добраться до стабильных релизов, но в перспективе мог стать инцидентом космических пропорций. В начале месяца Black Cat провернула экзит-скам, а натужные попытки LockBit создать видимость продолжения операций никого особо не убедили.
Кроме того, санкции в России добрались до облаков, телекоммуникационный провайдер AT&T в США получил неприятный привет из прошлого, а ЦРУ признало ценность OSINT. Об этом и других громких ИБ-событиях марта читайте на нашем Хабре!
@tomhunter
Кроме того, санкции в России добрались до облаков, телекоммуникационный провайдер AT&T в США получил неприятный привет из прошлого, а ЦРУ признало ценность OSINT. Об этом и других громких ИБ-событиях марта читайте на нашем Хабре!
@tomhunter
❤4🔥2
#news В нескольких устаревших моделях сетевых хранилищ D-Link обнаружили серьёзную уязвимость. Комбинация из захардкоженного аккаунта и возможности инъекции команд через «system» позволяет злоумышленникам удалённо выполнять команды на устройствах.
Исследователь также опубликовал пример эксплойта, а в сети доступны более 92 тысяч уязвимых NAS-систем. Как сообщает D-Link, патчей нет и не будет: устройства давно достигли конца жизненного цикла. Более того, на них нет и фичи под доставку уведомлений и автоматических апдейтов. Так что компания ограничилась бюллетенем по безопасности, чтобы напомнить владельцам, что старые модели пора сдать в утиль — их поддержка закончилась 5-8 лет назад. Если бы владельцев этих динозавров беспокоили такие мелочи жизни, как чтение ИБ-бюллетеней, они бы, наверное, очень расстроились.
@tomhunter
Исследователь также опубликовал пример эксплойта, а в сети доступны более 92 тысяч уязвимых NAS-систем. Как сообщает D-Link, патчей нет и не будет: устройства давно достигли конца жизненного цикла. Более того, на них нет и фичи под доставку уведомлений и автоматических апдейтов. Так что компания ограничилась бюллетенем по безопасности, чтобы напомнить владельцам, что старые модели пора сдать в утиль — их поддержка закончилась 5-8 лет назад. Если бы владельцев этих динозавров беспокоили такие мелочи жизни, как чтение ИБ-бюллетеней, они бы, наверное, очень расстроились.
@tomhunter
😁6🔥3😢2
#news Microsoft тихонько выкатила в февральских обновлениях драйвер, который препятствует смене браузера по умолчанию в Windows 10 и 11. Ограничения касаются смены через софт или ручное изменение регистра.
Изменения первым заметил Кристоф Колбич, чей софт SetUserFTA и SetDefaultBrowser внезапно отвалился. Анализ показал, что UCPD[.]sys блокирует прямое редактирование ключей реестра по ассоциациям HTTP, HTTPS и PDF. Удалить драйвер не получится, но можно отключит его в реестре и обрубить задачу под его перезапуск в планировщике. Что иронично, драйвер идёт в комплекте с сырым KB5034765, и без того проблемным. В общем, теперь не только bloatware чистить, но и вот такие подарки. С чем связано нововведение, неясно. Может, защита от малвари. А может, Microsoft всё ещё злится на Mozilla за обход их кривого интерфейса в 2021-м.
@tomhunter
Изменения первым заметил Кристоф Колбич, чей софт SetUserFTA и SetDefaultBrowser внезапно отвалился. Анализ показал, что UCPD[.]sys блокирует прямое редактирование ключей реестра по ассоциациям HTTP, HTTPS и PDF. Удалить драйвер не получится, но можно отключит его в реестре и обрубить задачу под его перезапуск в планировщике. Что иронично, драйвер идёт в комплекте с сырым KB5034765, и без того проблемным. В общем, теперь не только bloatware чистить, но и вот такие подарки. С чем связано нововведение, неясно. Может, защита от малвари. А может, Microsoft всё ещё злится на Mozilla за обход их кривого интерфейса в 2021-м.
@tomhunter
🤬6😁3🔥1🤔1
#news Change Healthcare, ставшая последней (и громкой) жертвой Black Cat, столкнулась с новым вымогательством. Идёт оно от лица новой группировки RansomHub. Напомню, Change Healthcare выплатила $22 миллиона выкупа, с которыми Black Cat ушла в закат, кинув партнёра. Так что, видимо, оскорблённый в лучших чувствах злоумышленник вновь пришёл за деньгами. Тем более, как он утверждал, 4 ТБ данных компании у него сохранились, а об их «краже» заявила и RansomHub.
Что касается последних, группировка всплыла в феврале, ведёт набор на Ramp и, что интересно, скидывает выкуп на кошелёк партнёров. Очевидно, это рассчитано на рансомварщиков, которые с экзит-скама Black Cat всё ещё сидят с лицом Пикачу. Есть и теория, что это ребрендинг, но пока она выглядит сомнительной. Вероятно, просто переманивают локбитовцев и прочих обездоленных заманчивыми условиями.
@tomhunter
Что касается последних, группировка всплыла в феврале, ведёт набор на Ramp и, что интересно, скидывает выкуп на кошелёк партнёров. Очевидно, это рассчитано на рансомварщиков, которые с экзит-скама Black Cat всё ещё сидят с лицом Пикачу. Есть и теория, что это ребрендинг, но пока она выглядит сомнительной. Вероятно, просто переманивают локбитовцев и прочих обездоленных заманчивыми условиями.
@tomhunter
🔥1🤔1🤯1
#news Ожидаемо пошёл активный эксплойт цепочки уязвимостей в старых сетевых хранилищах D-Link. Вчера были замечены первые атаки, вскоре после публикаций в новостях. Заражённые устройства отправляются прямиком в ботнет, разновидность Mirai.
Среди уязвимых модели DNS-340L, DNS-320L, DNS-327L и DNS-325. Напомню, патчей нет, уведомлений нет, даже отделов, которые над ними работали, уже нет. А устройства есть, почти 100 тысяч в сети. Как и PoC под эксплойт. Так что если у тебя, дорогой читатель, где-то пылится древнее хранилище от D-Link на несколько терабайт сомнительного и не очень содержания, стоит хотя бы запоздало закинуть его под файрвол. Иначе в старичка могут вдохнуть новую жизнь, и он отправится зарабатывать копеечку для дудосеров.
@tomhunter
Среди уязвимых модели DNS-340L, DNS-320L, DNS-327L и DNS-325. Напомню, патчей нет, уведомлений нет, даже отделов, которые над ними работали, уже нет. А устройства есть, почти 100 тысяч в сети. Как и PoC под эксплойт. Так что если у тебя, дорогой читатель, где-то пылится древнее хранилище от D-Link на несколько терабайт сомнительного и не очень содержания, стоит хотя бы запоздало закинуть его под файрвол. Иначе в старичка могут вдохнуть новую жизнь, и он отправится зарабатывать копеечку для дудосеров.
@tomhunter
😁6🔥4
#news Что общего между 90 тысячами старых хранилищ от D-Link и 90 тысячами смарт-телевизоров от LG? Они доступны в сети и уязвимы к атакам. Bitdefender нашла в webOS телевизоров четыре уязвимости. Злоумышленники могут получить root-доступ на устройствах и внедрять произвольные команды.
Обновления от производителя уже доступны, но телевизионный инфобез — не та область, в которой от пользователей можно ждать оперативного накатывания апдейтов. Так что потенциально чьи-то смарт-телевизоры могут и в ботнет попасть, и заняться майнингом крипты, и открыть доступ к другим устройствам в сети владельцев. Впрочем, в основном потенциал на раскрытие новой функциональности свои телевизоров у корейцев — львиная доля уязвимых устройств стоит у них.
@tomhunter
Обновления от производителя уже доступны, но телевизионный инфобез — не та область, в которой от пользователей можно ждать оперативного накатывания апдейтов. Так что потенциально чьи-то смарт-телевизоры могут и в ботнет попасть, и заняться майнингом крипты, и открыть доступ к другим устройствам в сети владельцев. Впрочем, в основном потенциал на раскрытие новой функциональности свои телевизоров у корейцев — львиная доля уязвимых устройств стоит у них.
@tomhunter
🔥5😁4🤡1
#news Патчевый вторник от Microsoft в этом месяце бьёт рекорды: компания исправила 147 уязвимостей в своих продуктах. Крупнейший релиз как минимум с 2017-го и самый масштабный для их дня патчей.
Между тем масштабы исправлений сглаживает невысокая серьёзность большинства багов. Так, из всех критическую оценку получили всего три уязвимости. Прочие с пометкой «Эксплойт вероятен» идут как требующие социнженерии для эксплуатации. 26 уязвимостей в Secure Boot как напоминание о том, что новые UEFI-буткиты не за горами. В список исправлений также затесались два нулевых дня, активно эксплуатируемых в сетевых дебрях — на спуфинг прокси-драйвера и обход защиты SmartScreen. Подробнее об уязвимостях в массивном патче апреля здесь.
@tomhunter
Между тем масштабы исправлений сглаживает невысокая серьёзность большинства багов. Так, из всех критическую оценку получили всего три уязвимости. Прочие с пометкой «Эксплойт вероятен» идут как требующие социнженерии для эксплуатации. 26 уязвимостей в Secure Boot как напоминание о том, что новые UEFI-буткиты не за горами. В список исправлений также затесались два нулевых дня, активно эксплуатируемых в сетевых дебрях — на спуфинг прокси-драйвера и обход защиты SmartScreen. Подробнее об уязвимостях в массивном патче апреля здесь.
@tomhunter
❤2🔥2🤔2