-партнёрский пост-
XI конференция по кибербезопасности ZeroNights 2022 в Петербурге!
ZeroNights – это квинтэссенция того, чем ИБ-сообщество живет целый год. И организаторы в 11-й раз соберут всех неравнодушных к прикладным аспектам отрасли.
🗓 Дата
23 июня 2022
📍Место
Санкт-Петербург, Севкабель Порт
💥Программа
На ZeroNights будут представлены тщательно отобранные доклады по самым разным темам информационной безопасности.
В этом году массу интересного можно будет услышать на отдельной секции Defensive Track, посвященной практической стороне ИБ в контексте защиты и обеспечения безопасности ресурсов и приложений.
Спикеры любимой многими секции Web Village расскажут о современных атаках на веб-приложения. Желающие прокачать свои скиллы и овладеть новыми навыками смогут сделать это в рамках воркшопов и Hardware Zone.
Активностей с ценными призами для победителей будет еще больше!
Купить билет +120 к интеллекту
XI конференция по кибербезопасности ZeroNights 2022 в Петербурге!
ZeroNights – это квинтэссенция того, чем ИБ-сообщество живет целый год. И организаторы в 11-й раз соберут всех неравнодушных к прикладным аспектам отрасли.
🗓 Дата
23 июня 2022
📍Место
Санкт-Петербург, Севкабель Порт
💥Программа
На ZeroNights будут представлены тщательно отобранные доклады по самым разным темам информационной безопасности.
В этом году массу интересного можно будет услышать на отдельной секции Defensive Track, посвященной практической стороне ИБ в контексте защиты и обеспечения безопасности ресурсов и приложений.
Спикеры любимой многими секции Web Village расскажут о современных атаках на веб-приложения. Желающие прокачать свои скиллы и овладеть новыми навыками смогут сделать это в рамках воркшопов и Hardware Zone.
Активностей с ценными призами для победителей будет еще больше!
Купить билет +120 к интеллекту
А теперь новости с санкционных полей:
- Решения Fortinet после обновления превращаются в «кирпич»: пока что это коснулось компаний, которые попали под санкции и рестрикция со стороны запада.
- Американский поставщик программного обеспечения и услуг в сфере информационной безопасности Websense (известный также как Forcepoint со штаб-квартирой в Остине, штат Техас) разрывает отношения со своими российскими партнерами.
- Решения Fortinet после обновления превращаются в «кирпич»: пока что это коснулось компаний, которые попали под санкции и рестрикция со стороны запада.
- Американский поставщик программного обеспечения и услуг в сфере информационной безопасности Websense (известный также как Forcepoint со штаб-квартирой в Остине, штат Техас) разрывает отношения со своими российскими партнерами.
Уязвимости в реле защиты напряжения Schneider Electric Easergy могут позволить хакерам отключать защиту электрических сетей.
Исследователи из Red Balloon Security обнаружили три уязвимости высокой степени опасности: две затрагивают устройства Easergy P5 и одна затрагивает устройства Easergy P3.
Ретрансляторы P3 подвержены переполнению буфера (CVE-2022-22725), которое может привести к выполнению произвольного кода или отказу в обслуживании (DoS), если на ретранслятор отправляются специально созданные пакеты по сети. Злоумышленник может воспользоваться уязвимостью, чтобы вызвать перезагрузку реле и получить полный контроль над устройством.
Ретрансляторы Easergy P5 также уязвимы для переполнения буфера (CVE-2022-22723), которое может позволить злоумышленнику вызвать сбой программы и выполнить код с помощью специально созданных пакетов. Кроме того, устройства имеют жестко заданные учетные данные (CVE-2022-22722).
Если злоумышленник получит криптографический ключ SSH для устройства и получит активный контроль над локальной операционной сетью, подключенной к продукту, он потенциально может наблюдать и манипулировать трафиком, связанным с конфигурацией продукта. Поставщик предупредил, что эксплуатация может привести к потере защиты электрической сети.
Несмотря на то, что уязвимые ретрансляторы, как правило, не подключены к Интернету, ряд ситуации свидетельствуют о том, что корпоративные системы, системы удаленного доступа и промышленные диспетчерские могут быть доступны из Интернета с помощью фишинга, а из диспетчерской можно легко добраться до этих реле.
Получив доступ к реальным устройствам и скомпрометировав их, злоумышленник может отключить источник питания или нарушить его работу таким образом, чтобы нанести ущерб другому оборудованию. Например, заставив резервное питание быстро включаться и выключаться. В качестве альтернативы они могут отключить функции защиты, необходимую в случае грозы или выхода из строя другого подключенного устройства (например, при перегрузке трансформатора).
В любом случае злоумышленник может нанести реальный ущерб и вызвать сбой работы электросети, что достаточно актуально в нынешнее неспокойное в плане киберактивности время.
Исследователи из Red Balloon Security обнаружили три уязвимости высокой степени опасности: две затрагивают устройства Easergy P5 и одна затрагивает устройства Easergy P3.
Ретрансляторы P3 подвержены переполнению буфера (CVE-2022-22725), которое может привести к выполнению произвольного кода или отказу в обслуживании (DoS), если на ретранслятор отправляются специально созданные пакеты по сети. Злоумышленник может воспользоваться уязвимостью, чтобы вызвать перезагрузку реле и получить полный контроль над устройством.
Ретрансляторы Easergy P5 также уязвимы для переполнения буфера (CVE-2022-22723), которое может позволить злоумышленнику вызвать сбой программы и выполнить код с помощью специально созданных пакетов. Кроме того, устройства имеют жестко заданные учетные данные (CVE-2022-22722).
Если злоумышленник получит криптографический ключ SSH для устройства и получит активный контроль над локальной операционной сетью, подключенной к продукту, он потенциально может наблюдать и манипулировать трафиком, связанным с конфигурацией продукта. Поставщик предупредил, что эксплуатация может привести к потере защиты электрической сети.
Несмотря на то, что уязвимые ретрансляторы, как правило, не подключены к Интернету, ряд ситуации свидетельствуют о том, что корпоративные системы, системы удаленного доступа и промышленные диспетчерские могут быть доступны из Интернета с помощью фишинга, а из диспетчерской можно легко добраться до этих реле.
Получив доступ к реальным устройствам и скомпрометировав их, злоумышленник может отключить источник питания или нарушить его работу таким образом, чтобы нанести ущерб другому оборудованию. Например, заставив резервное питание быстро включаться и выключаться. В качестве альтернативы они могут отключить функции защиты, необходимую в случае грозы или выхода из строя другого подключенного устройства (например, при перегрузке трансформатора).
В любом случае злоумышленник может нанести реальный ущерб и вызвать сбой работы электросети, что достаточно актуально в нынешнее неспокойное в плане киберактивности время.
Специалисты из подразделения Cisco Talos на этой неделе раскрыли шесть критических уязвимостей, затрагивающих Gerbv - программу для просмотра файлов.
Gerbv можно найти на многих распространенных платформах UNIX и также доступна версия для Windows. Средство достаточно популярное, опенсорсное и загружено с SourceForge более 1 миллиона раз.
Некоторые производители печатных плат используют программное обеспечение Gerbv в своих веб-интерфейсах в качестве инструмента для преобразования файлов Gerber в изображения. Пользователи могут загружать файлы gerber на веб-сайт производителя, которые преобразуются в изображение для отображения в браузере. Эта возможность собственно и позволяет злоумышленнику получить доступ к программному обеспечению по сети без взаимодействия с пользователем или повышения привилегий.
Выявленные уязвимости, как объясняют исследователи, влияют на функцию, которую использует Gerbv при открытии одноименных файлов.
Четыре из недавно обнаруженных уязвимостей — отслеживаемые как CVE-2021-40391, CVE-2021-40393, CVE-2021-40394 и CVE-2021-40401 — имеют оценку CVSS 10. Все четыре можно использовать для выполнения кода, загрузив специально созданный файл в Gerbv.
Две другие критически важные уязвимости, отслеживаемые как CVE-2021-40400 и CVE-2021-40402, могут использоваться для утечки данных также в результате загрузки специально созданного файла Gerber.
Как говорят ребята из Talos, разработчик выпустил патчи для четырех из этих уязвимостей, но две ошибки (CVE-2021-40400 и CVE-2021-40402) остаются неисправленными, хотя с момента уведомления поставщика уже прошло более 90 дней.
Gerbv можно найти на многих распространенных платформах UNIX и также доступна версия для Windows. Средство достаточно популярное, опенсорсное и загружено с SourceForge более 1 миллиона раз.
Некоторые производители печатных плат используют программное обеспечение Gerbv в своих веб-интерфейсах в качестве инструмента для преобразования файлов Gerber в изображения. Пользователи могут загружать файлы gerber на веб-сайт производителя, которые преобразуются в изображение для отображения в браузере. Эта возможность собственно и позволяет злоумышленнику получить доступ к программному обеспечению по сети без взаимодействия с пользователем или повышения привилегий.
Выявленные уязвимости, как объясняют исследователи, влияют на функцию, которую использует Gerbv при открытии одноименных файлов.
Четыре из недавно обнаруженных уязвимостей — отслеживаемые как CVE-2021-40391, CVE-2021-40393, CVE-2021-40394 и CVE-2021-40401 — имеют оценку CVSS 10. Все четыре можно использовать для выполнения кода, загрузив специально созданный файл в Gerbv.
Две другие критически важные уязвимости, отслеживаемые как CVE-2021-40400 и CVE-2021-40402, могут использоваться для утечки данных также в результате загрузки специально созданного файла Gerber.
Как говорят ребята из Talos, разработчик выпустил патчи для четырех из этих уязвимостей, но две ошибки (CVE-2021-40400 и CVE-2021-40402) остаются неисправленными, хотя с момента уведомления поставщика уже прошло более 90 дней.
Forwarded from SecurityLab.ru
В WhatsApp и других VoIP-приложениях обнаружены RCE-уязвимости
— Мессенджер WhatsApp и другие популярные VoIP-приложения используют библиотеку с открытым исходным кодом PJSIP, содержащую критические уязвимости удаленного выполнения кода.
— Успешная эксплуатация уязвимостей позволяет злоумышленнику удаленно выполнить код в приложении, использующем библиотеку PJSIP.
— По данным сайта Asterisk, программное обеспечение насчитывает около 2 млн загрузок в год и работает на 1 млн серверов в 170 странах.
https://www.securitylab.ru/news/530390.php
— Мессенджер WhatsApp и другие популярные VoIP-приложения используют библиотеку с открытым исходным кодом PJSIP, содержащую критические уязвимости удаленного выполнения кода.
— Успешная эксплуатация уязвимостей позволяет злоумышленнику удаленно выполнить код в приложении, использующем библиотеку PJSIP.
— По данным сайта Asterisk, программное обеспечение насчитывает около 2 млн загрузок в год и работает на 1 млн серверов в 170 странах.
https://www.securitylab.ru/news/530390.php
SecurityLab.ru
В WhatsApp и других VoIP-приложениях обнаружены RCE-уязвимости
Программы используют библиотеку с открытым исходным кодом PJSIP, содержащую критические проблемы.
Ожидаемо после того, как Oracle «от имени 150 000 сотрудников по всему миру и в поддержку Украины» приостановила все операции в России, следующим технологическим IT-гигантом с клиентурой в корпоративном секторе стал SAP, руководство которого высказалось о прекращении бизнеса в РФ и завершении продаж своих услуг и решений, заявив «SAP stands with Ukraine» в своем Twitter.
Кроме того, SAP выделили 1 млн. евро на гуманитарную помощь Украине.
В реальности компании придется выделить куда больше, списав это на тот же счет, ведь, к примеру, только на лицензиях и услугах техподдержки продуктов уже ушедшая из РФ американская корпорация Oracle ежегодно зарабатывала плюс-минус 10 млрд рублей. Прибыль (а теперь уже убытки) SAP варьировались в тех же показателях.
Что-то подсказывает нам: после окончания операции и начала политического урегулирования ситуации на Украине, вернуться на российский рынок Oracle и SAP вряд ли смогут.
Особенно с учетом того, сколько критических уязвимостей последнее время обнаруживалось в SAP, о чем мы последовательно сообщали.
Кроме того, SAP выделили 1 млн. евро на гуманитарную помощь Украине.
В реальности компании придется выделить куда больше, списав это на тот же счет, ведь, к примеру, только на лицензиях и услугах техподдержки продуктов уже ушедшая из РФ американская корпорация Oracle ежегодно зарабатывала плюс-минус 10 млрд рублей. Прибыль (а теперь уже убытки) SAP варьировались в тех же показателях.
Что-то подсказывает нам: после окончания операции и начала политического урегулирования ситуации на Украине, вернуться на российский рынок Oracle и SAP вряд ли смогут.
Особенно с учетом того, сколько критических уязвимостей последнее время обнаруживалось в SAP, о чем мы последовательно сообщали.
Twitter
Christian Klein
SAP stands with Ukraine. imsap.co/6015KjN2X
Cisco исправили критические уязвимости для унифицированных коммуникаций Expressway Series и TelePresence Video Communication Server (VCS).
CVE-2022-20754 и CVE-2022-20755 с оценкой CVSS 9,0 могут быть реализованы удаленным и прошедшим проверку подлинности злоумышленником для записи файлов или выполнения кода в базовой операционной системе с привилегиями root. Однако обе могут быть проэксплуатированы лишь тогда, когда злоумышленник имеет права на чтение/запись в приложении. Ошибки затрагивают API-интерфейсы баз данных кластера Expressway и TelePresence VCS.
Первая из проблем может быть использована для запуска атак с обходом каталога и перезаписи произвольных файлов в базовой ОС с привилегиями root.
Вторая ошибка касается веб-интерфейса управления устройствами и может быть использована для выполнения произвольного кода.
Ошибки обусловлены недостаточной проверкой введенными пользователем аргументов команд, что позволяет злоумышленнику пройти аутентификацию в системе с правами администратора. Проблемы исправлены в версии 14.0.5.
Cisco также выпустила обновления программного обеспечения для устранения серьезных уязвимостей в Ultra Cloud Core (инфраструктура абонентских микросервисов (SMI) и механизм Identity Services Engine (ISE).
Одна из проблем затрагивает CLI ConfD Common Execution Environment (CEE) Ultra Cloud Core SMI и может быть использована аутентифицированным локальным злоумышленником для доступа к привилегированным контейнерам с правами root. Ошибка отслеживается как CVE-2022-20762 (оценка CVSS 7,8) и устранена в выпуске Ultra Cloud Core SMI 2020.02.2.47 и 2020.02.7.07.
Влияя на функцию RADIUS в ISE, другая ошибка может быть использована удаленно, без аутентификации, чтобы вызвать состояние отказа в обслуживании (DoS). Отслеживается как CVE-2022-20756 (оценка CVSS 8,6). Уязвимость существует из-за того, что некоторые запросы RADIUS не обрабатываются должным образом. Cisco ISE 2.7P6, 3.0P5 и 3.1P1 содержат исправления для этой уязвимости.
Технический гигант заявляет, что ему неизвестно об использовании каких-либо из этих уязвимостей в атаках. Тем не менее, клиентам Cisco рекомендуется как можно скорее установить исправление.
CVE-2022-20754 и CVE-2022-20755 с оценкой CVSS 9,0 могут быть реализованы удаленным и прошедшим проверку подлинности злоумышленником для записи файлов или выполнения кода в базовой операционной системе с привилегиями root. Однако обе могут быть проэксплуатированы лишь тогда, когда злоумышленник имеет права на чтение/запись в приложении. Ошибки затрагивают API-интерфейсы баз данных кластера Expressway и TelePresence VCS.
Первая из проблем может быть использована для запуска атак с обходом каталога и перезаписи произвольных файлов в базовой ОС с привилегиями root.
Вторая ошибка касается веб-интерфейса управления устройствами и может быть использована для выполнения произвольного кода.
Ошибки обусловлены недостаточной проверкой введенными пользователем аргументов команд, что позволяет злоумышленнику пройти аутентификацию в системе с правами администратора. Проблемы исправлены в версии 14.0.5.
Cisco также выпустила обновления программного обеспечения для устранения серьезных уязвимостей в Ultra Cloud Core (инфраструктура абонентских микросервисов (SMI) и механизм Identity Services Engine (ISE).
Одна из проблем затрагивает CLI ConfD Common Execution Environment (CEE) Ultra Cloud Core SMI и может быть использована аутентифицированным локальным злоумышленником для доступа к привилегированным контейнерам с правами root. Ошибка отслеживается как CVE-2022-20762 (оценка CVSS 7,8) и устранена в выпуске Ultra Cloud Core SMI 2020.02.2.47 и 2020.02.7.07.
Влияя на функцию RADIUS в ISE, другая ошибка может быть использована удаленно, без аутентификации, чтобы вызвать состояние отказа в обслуживании (DoS). Отслеживается как CVE-2022-20756 (оценка CVSS 8,6). Уязвимость существует из-за того, что некоторые запросы RADIUS не обрабатываются должным образом. Cisco ISE 2.7P6, 3.0P5 и 3.1P1 содержат исправления для этой уязвимости.
Технический гигант заявляет, что ему неизвестно об использовании каких-либо из этих уязвимостей в атаках. Тем не менее, клиентам Cisco рекомендуется как можно скорее установить исправление.
Cisco
Cisco Security Advisory: Cisco Expressway Series and Cisco TelePresence Video Communication Server Vulnerabilities
Multiple vulnerabilities in the API and web-based management interfaces of Cisco Expressway Series and Cisco TelePresence Video Communication Server (VCS) could allow an authenticated, remote attacker with read/write privileges to the application to write…
Forwarded from Russian OSINT
🇨🇳🇺🇸 Лаборатория Pangu в Китае опубликовала отчет о хакерской деятельности Equation Group (aka АНБ).
🩸Количество жертв хакерской группы Equation Group за 10 лет составило 287 целей в 45 странах: 🇷🇺Россия, 🇯🇵Япония, 🇪🇸 Испания, 🇩🇪Германия, 🇮🇹Италия и другие страны.
Интересный факт, одна жертв в 🥋Японии использовалась в качестве "прыжкового сервера" для дальнейших атак. Полный отчёт в PDF файле.
https://www.pangulab.cn/en/post/the_bvp47_a_top-tier_backdoor_of_us_nsa_equation_group/
🩸Количество жертв хакерской группы Equation Group за 10 лет составило 287 целей в 45 странах: 🇷🇺Россия, 🇯🇵Япония, 🇪🇸 Испания, 🇩🇪Германия, 🇮🇹Италия и другие страны.
Интересный факт, одна жертв в 🥋Японии использовалась в качестве "прыжкового сервера" для дальнейших атак. Полный отчёт в PDF файле.
https://www.pangulab.cn/en/post/the_bvp47_a_top-tier_backdoor_of_us_nsa_equation_group/
Большая часть подключенных к сети инфузионных насосов, используемых в больницах и учреждениях здравоохранения, подвержена серьезным уязвимостям.
Согласно данным Unit 42, 75% этих медицинских устройств имеют известные уже уязвимости в системе безопасности, которые могут подвергнуть их риску возможного использования. Выводы показывают, что десятки тысяч устройств уязвимы для шести критических недостатков (9,8 из 10), о которых сообщалось в 2019 и 2020 годах.
Группа анализа угроз Palo Alto Networks проанализировали состояние безопасности более 200 000 инфузионных насосов и обнаружила, что от 30 000 до 100 000 из них уязвимы для критических проблем с безопасностью.
Наиболее распространенной уязвимостью критической серьезности является CVE-2019-12255 (оценка CVSS: 9,8). Это ошибка повреждения памяти в операционной системе реального времени (RTOS) VxWorks, используемой для встроенных устройств, включая системы инфузионных насосов. Ошибка связана с переполнением буфера в TCP-компоненте Wind River VxWorks.
По данным Palo Alto Networks, дефект присутствует в 52% проанализированных инфузионных насосов, что составляет более 104 000 устройств. CVE-2019-12255 является частью набора из 11 уязвимостей, известных как URGENT/11, обнаруженных в 2019 году исследователями компании Armis.
Другая распространённая CVE-2019-12264 (оценка CVSS: 7,1) связана с некорректным контролем доступа в клиентском компоненте DHCP Wind River VxWorks.
Кроме того, выделяют такие влияющие на инфузионный насос недостатки, как:
- CVE-2016-9355 (оценка CVSS: 5,3) — неавторизованный пользователь, имеющий физический доступ к устройствам Alaris 8015 Point of Care, может разобрать устройство, чтобы получить доступ к съемной флэш-памяти, что обеспечивает доступ для чтения и записи к памяти устройства.
- CVE-2016-8375 (оценка CVSS: 4,9) — ошибка управления учетными данными в устройствах Alaris 8015 Point of Care, которая может быть использована для получения незашифрованных учетных данных для аутентификации в беспроводной сети и других конфиденциальных технических данных.
- CVE-2020-25165 (оценка CVSS: 7,5) — уязвимость неправильной аутентификации сеанса в устройствах Alaris 8015 Point of Care, которая может быть использована для выполнения атаки типа «отказ в обслуживании» на устройствах.
- CVE-2020-12040 (оценка CVSS: 9,8) — передача конфиденциальной информации открытым текстом в инфузионной системе Sigma Spectrum.
- CVE-2020-12047 (оценка CVSS: 9,8) — использование жестко заданных учетных данных FTP в Baxter Spectrum WBM.
- CVE-2020-12045 (оценка CVSS: 9,8) — использование жестко заданных учетных данных Telnet в Baxter Spectrum WBM.
- CVE-2020-12043 (оценка CVSS: 9,8) — FTP-служба Baxter Spectrum WBM продолжает работать после ожидаемого истечения срока действия до перезагрузки.
- CVE-2020-12041 (оценка CVSS: 9,8) — беспроводной батарейный модуль Baxter Spectrum (WBM) разрешает передачу данных и интерфейсы командной строки через Telnet.
Успешное использование вышеупомянутых уязвимостей может привести к утечке конфиденциальной информации о пациентах и позволить злоумышленнику получить несанкционированный доступ к устройствам.
Согласно данным Unit 42, 75% этих медицинских устройств имеют известные уже уязвимости в системе безопасности, которые могут подвергнуть их риску возможного использования. Выводы показывают, что десятки тысяч устройств уязвимы для шести критических недостатков (9,8 из 10), о которых сообщалось в 2019 и 2020 годах.
Группа анализа угроз Palo Alto Networks проанализировали состояние безопасности более 200 000 инфузионных насосов и обнаружила, что от 30 000 до 100 000 из них уязвимы для критических проблем с безопасностью.
Наиболее распространенной уязвимостью критической серьезности является CVE-2019-12255 (оценка CVSS: 9,8). Это ошибка повреждения памяти в операционной системе реального времени (RTOS) VxWorks, используемой для встроенных устройств, включая системы инфузионных насосов. Ошибка связана с переполнением буфера в TCP-компоненте Wind River VxWorks.
По данным Palo Alto Networks, дефект присутствует в 52% проанализированных инфузионных насосов, что составляет более 104 000 устройств. CVE-2019-12255 является частью набора из 11 уязвимостей, известных как URGENT/11, обнаруженных в 2019 году исследователями компании Armis.
Другая распространённая CVE-2019-12264 (оценка CVSS: 7,1) связана с некорректным контролем доступа в клиентском компоненте DHCP Wind River VxWorks.
Кроме того, выделяют такие влияющие на инфузионный насос недостатки, как:
- CVE-2016-9355 (оценка CVSS: 5,3) — неавторизованный пользователь, имеющий физический доступ к устройствам Alaris 8015 Point of Care, может разобрать устройство, чтобы получить доступ к съемной флэш-памяти, что обеспечивает доступ для чтения и записи к памяти устройства.
- CVE-2016-8375 (оценка CVSS: 4,9) — ошибка управления учетными данными в устройствах Alaris 8015 Point of Care, которая может быть использована для получения незашифрованных учетных данных для аутентификации в беспроводной сети и других конфиденциальных технических данных.
- CVE-2020-25165 (оценка CVSS: 7,5) — уязвимость неправильной аутентификации сеанса в устройствах Alaris 8015 Point of Care, которая может быть использована для выполнения атаки типа «отказ в обслуживании» на устройствах.
- CVE-2020-12040 (оценка CVSS: 9,8) — передача конфиденциальной информации открытым текстом в инфузионной системе Sigma Spectrum.
- CVE-2020-12047 (оценка CVSS: 9,8) — использование жестко заданных учетных данных FTP в Baxter Spectrum WBM.
- CVE-2020-12045 (оценка CVSS: 9,8) — использование жестко заданных учетных данных Telnet в Baxter Spectrum WBM.
- CVE-2020-12043 (оценка CVSS: 9,8) — FTP-служба Baxter Spectrum WBM продолжает работать после ожидаемого истечения срока действия до перезагрузки.
- CVE-2020-12041 (оценка CVSS: 9,8) — беспроводной батарейный модуль Baxter Spectrum (WBM) разрешает передачу данных и интерфейсы командной строки через Telnet.
Успешное использование вышеупомянутых уязвимостей может привести к утечке конфиденциальной информации о пациентах и позволить злоумышленнику получить несанкционированный доступ к устройствам.
Unit 42
Know Your Infusion Pump Vulnerabilities and Secure Your Healthcare Organization
Infusion pump vulnerabilities can be surprisingly common. We scanned 200,000 pumps and found 75% had known security gaps.
Вчера еще мы писали про очередные уязвимости в продуктах Cisco, а уже ночью американская компания объявила о приостановке своих операций в России и Белоруссии.
Об этом мы сможем узнать в бюллетенях НКЦКИ примерно в 2026-2027 годах 😂
Autodesk также приостановили свою работу в России, правда заявили, что могут "рассмотреть дополнительные ограничения для своего бизнеса в регионе в случае расширения санкций и по мере развития ситуации". То есть, судя по контексту, приостановили бизнес они таки не полностью.
Не будем обсуждать многочисленные истерики владельцев украинских IT-сервисов в стиле "проклятый москаль, мы забанили тебя за войну, но деньги не вернем, а вот если свергнешь Путина, то может быть вернем, но не точно". Ключевым в такой подаче является не война, а именно кидок на бабки.
Появились слухи об исходе из России японской Trend Micro и американской Symantec, правда пока официальных подтверждений нет. Можно ожидать также похожих решений от Sophos, ESET и других (а можно и не ожидать).
Но тут мы бы вообще не беспокоились, потому что на рынке инфосек в России своих талантов хватает и зачастую иностранные товарищи, используя приемы, так скажем, "недобросовестного лоббирования", тупо отбирали заказы у российских инфосек компаний.
А вот в ком мы уверены (в части дальнейшей работы в России), так это в Check Point.
Об этом мы сможем узнать в бюллетенях НКЦКИ примерно в 2026-2027 годах 😂
Autodesk также приостановили свою работу в России, правда заявили, что могут "рассмотреть дополнительные ограничения для своего бизнеса в регионе в случае расширения санкций и по мере развития ситуации". То есть, судя по контексту, приостановили бизнес они таки не полностью.
Не будем обсуждать многочисленные истерики владельцев украинских IT-сервисов в стиле "проклятый москаль, мы забанили тебя за войну, но деньги не вернем, а вот если свергнешь Путина, то может быть вернем, но не точно". Ключевым в такой подаче является не война, а именно кидок на бабки.
Появились слухи об исходе из России японской Trend Micro и американской Symantec, правда пока официальных подтверждений нет. Можно ожидать также похожих решений от Sophos, ESET и других (а можно и не ожидать).
Но тут мы бы вообще не беспокоились, потому что на рынке инфосек в России своих талантов хватает и зачастую иностранные товарищи, используя приемы, так скажем, "недобросовестного лоббирования", тупо отбирали заказы у российских инфосек компаний.
А вот в ком мы уверены (в части дальнейшей работы в России), так это в Check Point.
MarketWatch
Cisco Systems is latest American company to stop business operations in Russia
Cisco Systems Inc. undefined is the latest major U.S. company to pause business operations in Russia because of its invasion of Ukraine. Cisco Chief...
В даркнет началась торговля утекшими в результате киберинцидента базами данных с личными данными абонентов T-Mobile. Ранее об этих рисках Генеральная прокуратура штата Нью-Йорк (NY OAG) уже предупреждала потенциальных жертв, а сейчас прокуратора уже выявила такие факты
Информация об августовском взломе T-Mobile появилась после того, как злоумышленник сам выставил на хакерском форуме объявление о продаже базы данных со 100 миллионами клиентов T-Mobile. Американский оператор заявил о компрометации 54 миллионов клиентов. Напомним, что украденные в ходе инцидента данные включают номера социального страхования, номера телефонов, имена, адреса, даты рождения, предоплаченные PIN-коды T-Mobile и информацию о документах, удостоверяющих личность.
Под угрозой мошеннических действий оказалась и финансовая безопасность абонентов, поэтому многие из жертв прибегли к использованию служб кредитного мониторинга, чтобы получать оповещения в течение 24 часов о новых изменениях, таких как крупные покупки, новые учетные записи или счета.
Все бы ничего, если не подтвержденный объем утечки, которая затронула более 54 миллионов клиентов T-Mobile, а также наступивших последствий. Безусловно, это отразилось и на сегменте онлайн-мошенничества, возросшего более чем на 70% по сравнению с потерями, о которых сообщалось в 2020 году. Так, согласно FTC США, американцы в 2021 году понесли ущерб в размере более 5,8 миллиардов долларов.
Сопоставимым с американским инцидентом и его последствиями можно считать и недавнюю утечку сервиса Яндекс.Еда. В конце февраля в свободном доступе появился архив с тремя SQL-дампами, суммарно содержащими 49,5 млн. строк с данными пользователей сервиса, телефонными номерами, информацией о совершенных заказах (с 19.06.2021 по 04.02.2022). Теперь клиенты Яндекса станут и клиентами дакрнет-маркета со всеми вытекающими последствиями (мошенничество, развод, пробив и бесконечная реклама).
Разбираться в любом случае компетентным органам как с утечкой, так и с последствиями.
Информация об августовском взломе T-Mobile появилась после того, как злоумышленник сам выставил на хакерском форуме объявление о продаже базы данных со 100 миллионами клиентов T-Mobile. Американский оператор заявил о компрометации 54 миллионов клиентов. Напомним, что украденные в ходе инцидента данные включают номера социального страхования, номера телефонов, имена, адреса, даты рождения, предоплаченные PIN-коды T-Mobile и информацию о документах, удостоверяющих личность.
Под угрозой мошеннических действий оказалась и финансовая безопасность абонентов, поэтому многие из жертв прибегли к использованию служб кредитного мониторинга, чтобы получать оповещения в течение 24 часов о новых изменениях, таких как крупные покупки, новые учетные записи или счета.
Все бы ничего, если не подтвержденный объем утечки, которая затронула более 54 миллионов клиентов T-Mobile, а также наступивших последствий. Безусловно, это отразилось и на сегменте онлайн-мошенничества, возросшего более чем на 70% по сравнению с потерями, о которых сообщалось в 2020 году. Так, согласно FTC США, американцы в 2021 году понесли ущерб в размере более 5,8 миллиардов долларов.
Сопоставимым с американским инцидентом и его последствиями можно считать и недавнюю утечку сервиса Яндекс.Еда. В конце февраля в свободном доступе появился архив с тремя SQL-дампами, суммарно содержащими 49,5 млн. строк с данными пользователей сервиса, телефонными номерами, информацией о совершенных заказах (с 19.06.2021 по 04.02.2022). Теперь клиенты Яндекса станут и клиентами дакрнет-маркета со всеми вытекающими последствиями (мошенничество, развод, пробив и бесконечная реклама).
Разбираться в любом случае компетентным органам как с утечкой, так и с последствиями.
New York State Attorney General
CONSUMER ALERT: Attorney General James Warns Consumers Impacted by T-Mobile Data Breach of Potential Identity Theft
Click to read more.
Уходя с рынка Cisco намерены жестко «хлопнуть дверью» напоследок.
Что ожидается:
1. В течении 24 часов все клиенты Cisco на территории России будут отключены от смарт-аккаунтов.
2. Одновременно с этим будет инициирована проверка лицензирования со стороны серверов Cisco.
Это касается всех решений, включая:
1. Безопасность Cisco ISE, Cisco ASA.
2. Телефония и унифицированные коммуникации (UC).
3. Все решения Software-defined
Как избежать блокировки:
- На выходе инфраструктуры в сеть интернет поставить жёсткий access-list с запретом трафика на адрес tools.cisco.com.
- Если это сделать, то будет отложенный период от 30 до 90 дней, когда функционал оборудования сохранится.
Что ожидается:
1. В течении 24 часов все клиенты Cisco на территории России будут отключены от смарт-аккаунтов.
2. Одновременно с этим будет инициирована проверка лицензирования со стороны серверов Cisco.
Это касается всех решений, включая:
1. Безопасность Cisco ISE, Cisco ASA.
2. Телефония и унифицированные коммуникации (UC).
3. Все решения Software-defined
Как избежать блокировки:
- На выходе инфраструктуры в сеть интернет поставить жёсткий access-list с запретом трафика на адрес tools.cisco.com.
- Если это сделать, то будет отложенный период от 30 до 90 дней, когда функционал оборудования сохранится.
⚡️Компания Microsoft приостанавливает продажи товаров и предоставление услуг в России.
Но в трудную минуту всегда выручит OVGorskiy, для тех, кто в теме. Кстати, февральская сборка уже доступна.
Но в трудную минуту всегда выручит OVGorskiy, для тех, кто в теме. Кстати, февральская сборка уже доступна.
Специалисты из Claroty провели очередное исследование и выяснили, что количество раскрытий уязвимостей в системах промышленного контроля (ICS) резко возросло и, что самое интересное - большинство обнаруженных недостатков безопасности имеют низкую сложность, то есть не создают больших трудностей у злоумышленников для их реализации.
В отчете о рисках и уязвимостях в АСУ ТП указано, что за последние четыре года объем раскрываемой информации увеличился на 110%. Во второй половине 2021 года было опубликовано 797 уязвимостей, что на 25% больше, чем за первые шесть месяцев 2021 года - 637.
Исследователи отметили, что 87% уязвимостей как раз таки могут спокойно использоваться недоброжелателями без особых условий. Почти две трети (64%) не требуют вмешательства пользователя, 70% не требуют специальных привилегий для реализации и 63% уязвимостей могут быть использованы удаленно через вектор сетевой атаки.
Половина потенциальных угроз была раскрыта сторонними компаниями, но большинство из них были обнаружены специалистами из инфосек компаний.
В отчете говорится, что ведущим потенциальным воздействием уязвимостей является удаленное выполнение кода (распространено в 53% CVE), за которым следуют отказ в обслуживании (42%), обход механизмов защиты (37%) и разрешение злоумышленнику прочитать данные (33%).
В Claroty объяснили увеличение числа уязвимостей на 76% тем, что поставщики стали выделять больше ресурсов для обеспечения безопасности своих продуктов, а вице-президент по исследованиям Амир Премингер отдельно подчеркнул необходимость сотрудничества сообщества исследователей для обнаружения и раскрытия новых уязвимостей.
В отчете о рисках и уязвимостях в АСУ ТП указано, что за последние четыре года объем раскрываемой информации увеличился на 110%. Во второй половине 2021 года было опубликовано 797 уязвимостей, что на 25% больше, чем за первые шесть месяцев 2021 года - 637.
Исследователи отметили, что 87% уязвимостей как раз таки могут спокойно использоваться недоброжелателями без особых условий. Почти две трети (64%) не требуют вмешательства пользователя, 70% не требуют специальных привилегий для реализации и 63% уязвимостей могут быть использованы удаленно через вектор сетевой атаки.
Половина потенциальных угроз была раскрыта сторонними компаниями, но большинство из них были обнаружены специалистами из инфосек компаний.
В отчете говорится, что ведущим потенциальным воздействием уязвимостей является удаленное выполнение кода (распространено в 53% CVE), за которым следуют отказ в обслуживании (42%), обход механизмов защиты (37%) и разрешение злоумышленнику прочитать данные (33%).
В Claroty объяснили увеличение числа уязвимостей на 76% тем, что поставщики стали выделять больше ресурсов для обеспечения безопасности своих продуктов, а вице-президент по исследованиям Амир Премингер отдельно подчеркнул необходимость сотрудничества сообщества исследователей для обнаружения и раскрытия новых уязвимостей.
Claroty
Biannual Report - Claroty
К недружественным шагам против российского IT вслед за Cisco присоединилась также крупная австралийская компания, разработчик ПО для управления разработками Atlassian.
Наиболее известные решения компании - система отслеживания ошибок Jira и совместной работы Confluence, используются копроративными клиентами в госсекторе и крупном бизнесе, в числе которых, к примеру, Сбербанк, ВТБ, Промсвязьбанк, Ростелеком, НИИ «Восход» и др.
Представители Atlassian выступили с критикой российских властей и высказались в поддержку Украины, пересказывать не будем, можете сами ознакомиться, если интересно.
Остановимся больше на другом, разработчик заявил не только о прекращении продажи всего нового программного обеспечения в России, но и о приостановке действия текущих лицензий для госструктур и «влиятельных» российских компаний, которые, по мнению Atlassian, поддерживают военную операцию ВС РФ, включая помимо лицензий также и сторонние приложения Marketplace.
При этом Atlassian продолжает обеспечивать техподдержку и оказывать услуги для малого бизнеса в России.
Мы, конечно, не знаем, что именно разработчики вкладывают в понятие прекращение действия лицензий, но предполагаем, что за этим может стоять и полное отключение решений Atlassian (или критичное ограничение функционала) в компаниях, которые они к тому же отказываются называть. В таком случае гарантируем, что Atlassian скорее всего вернется в Россию лет через тысячу другую.
Отвечать на вопрос как быть - сегодня уже поздно, по нашему мнению, думать об этом необходимо было заранее. Дельный совет по этому поводу дал Алексей Лукацкий, рекомендуем прислушаться.
Наиболее известные решения компании - система отслеживания ошибок Jira и совместной работы Confluence, используются копроративными клиентами в госсекторе и крупном бизнесе, в числе которых, к примеру, Сбербанк, ВТБ, Промсвязьбанк, Ростелеком, НИИ «Восход» и др.
Представители Atlassian выступили с критикой российских властей и высказались в поддержку Украины, пересказывать не будем, можете сами ознакомиться, если интересно.
Остановимся больше на другом, разработчик заявил не только о прекращении продажи всего нового программного обеспечения в России, но и о приостановке действия текущих лицензий для госструктур и «влиятельных» российских компаний, которые, по мнению Atlassian, поддерживают военную операцию ВС РФ, включая помимо лицензий также и сторонние приложения Marketplace.
При этом Atlassian продолжает обеспечивать техподдержку и оказывать услуги для малого бизнеса в России.
Мы, конечно, не знаем, что именно разработчики вкладывают в понятие прекращение действия лицензий, но предполагаем, что за этим может стоять и полное отключение решений Atlassian (или критичное ограничение функционала) в компаниях, которые они к тому же отказываются называть. В таком случае гарантируем, что Atlassian скорее всего вернется в Россию лет через тысячу другую.
Отвечать на вопрос как быть - сегодня уже поздно, по нашему мнению, думать об этом необходимо было заранее. Дельный совет по этому поводу дал Алексей Лукацкий, рекомендуем прислушаться.
Work Life by Atlassian
Atlassian stands with Ukraine
October 2022 Update: Atlassian to Wind Down Operations in Russia and Belarus
По слухам, там и некоторые из официально попрощавшихся с российским рынком компаний, на самом деле не ушли. Как в анекдоте про армянское радио.
Единственное - беспокоимся за Лукацкого (потому что Cisco-то, вроде, как на самом деле ушла).
Единственное - беспокоимся за Лукацкого (потому что Cisco-то, вроде, как на самом деле ушла).
Telegram
Russian OSINT
Samsung не уходит, вроде👌
"В ближайшее время компания возобновит свою работу в обычном режиме. Сейчас мы работаем над поиском решений по восстановлению наших поставок в Россию. Что касается сервисного обслуживания – оно производится в полном объеме", - говорится…
"В ближайшее время компания возобновит свою работу в обычном режиме. Сейчас мы работаем над поиском решений по восстановлению наших поставок в Россию. Что касается сервисного обслуживания – оно производится в полном объеме", - говорится…
Пока Samsung Electronics размышляете над логистикой, чтоб вернуться на рынок России после приостановки продаж своей продукции, Lapsus$ заставили компанию еще больше призадуматься, анонсировав слив огромного массива конфиденциальных данных, который принадлежит южнокорейскому технологическому гиганту.
Lapsus$ разделили данные на три архива, которые в сумме весят почти 190 ГБ, и расшарили их в торренте. Группа вымогателей также заявила, что развернет больше серверов для увеличения скорости загрузки.
Согласно заявлению Lapsus$, предлагаемый массив представляет собой «конфиденциальный исходный код Samsung», который хакеры смогли достать в результате взлома компании. Утечка содержит:
- исходный код для каждого доверенного апплета (TA), установленного в среде Samsung TrustZone, используемой для конфиденциальных операций (например, аппаратная криптография, двоичное шифрование, контроль доступа)
- алгоритмы для всех операций биометрической разблокировки
- исходный код загрузчика для всех последних устройств Samsung
- конфиденциальный исходный код от Qualcomm
- исходный код для серверов активации Samsung
- полный исходный код технологии, используемой для авторизации и аутентификации учетных записей Samsung, включая API и службы.
Пока непонятно, велись ли Lapsus$ переговоры с Samsung по поводу выкупа, как это было в случае с Nvidia. Но в любом случае хакеры изрядно подкосили производителя и его планы.
Lapsus$ разделили данные на три архива, которые в сумме весят почти 190 ГБ, и расшарили их в торренте. Группа вымогателей также заявила, что развернет больше серверов для увеличения скорости загрузки.
Согласно заявлению Lapsus$, предлагаемый массив представляет собой «конфиденциальный исходный код Samsung», который хакеры смогли достать в результате взлома компании. Утечка содержит:
- исходный код для каждого доверенного апплета (TA), установленного в среде Samsung TrustZone, используемой для конфиденциальных операций (например, аппаратная криптография, двоичное шифрование, контроль доступа)
- алгоритмы для всех операций биометрической разблокировки
- исходный код загрузчика для всех последних устройств Samsung
- конфиденциальный исходный код от Qualcomm
- исходный код для серверов активации Samsung
- полный исходный код технологии, используемой для авторизации и аутентификации учетных записей Samsung, включая API и службы.
Пока непонятно, велись ли Lapsus$ переговоры с Samsung по поводу выкупа, как это было в случае с Nvidia. Но в любом случае хакеры изрядно подкосили производителя и его планы.
Группа ученых из Университета штата Северная Каролина и Университета Докуз Эйлул продемонстрировала первую атаку по побочному каналу на гомоморфное шифрование, которую можно использовать для создания утечки данных в процессе шифрования.
По сути, отслеживая энергопотребление устройства, кодирующего данные для гомоморфного шифрования, ученые смогли научиться считывать данные по мере их шифрования, демонстрируя тот факт, что даже технологии шифрования следующего поколения нуждаются в защите от атак по сторонним каналам.
Гомоморфное шифрование — это форма шифрования , которая позволяет выполнять определенные типы вычислений непосредственно над зашифрованными данными, предварительно их не расшифровывая, чт позволяет обеспечить конфиденциальность и обмен данными, оставляя информацию зашифрованной, соответственно, недоступной для поставщика услуг.
Иными словами, цель гомоморфного шифрования — облегчить разработку сквозных зашифрованных служб хранения данных и вычислений, при которых владельцу данных никогда не нужно делиться своими секретными ключами со сторонними службами.
Атака с утечкой данных, предложенная исследователями, основывается на уязвимости, обнаруженной в Microsoft SEAL (технология с открытым исходным кодом технологического гиганта), которая позволяет восстановить фрагмент открытого текстового сообщения, который был зашифрован гомоморфно. В частности, атака, получившая название RevEAL, нацелена на гауссовую выборку на этапе шифрования SEAL и помогает извлечь все сообщение с помощью одного измерения мощности, используя преимущество утечки побочного канала на основе Microsoft SEAL до v3.6, который реализует протокол Brakerski/Fan-Vercauteren (BFV).
Исследователи отметили, что версии SEAL 3.6, выпущенные 3 декабря 2020 года и более поздние, используют другой алгоритм выборки, предупредив при этом, что более новые версии библиотеки могут страдать от другой уязвимости.
А именно, ошибка шифрования кроется в центрированном биномиальном распределении (CBD) по умолчанию, если для параметра SEAL USE GAUSSIAN NOISE не установлено значение ON. При этом выборка из CBD выполняется с постоянным временем и быстрее, чем выборка из распределения Гаусса, поэтому она используется многими финалистами NIST PQC.
Если вы следили за нашими обзорами по теме гомоморфного шифрования (1, 2, 3), то, вероятно, как и мы немного будете огорчены, ведь как мы полагали, даже самые медленные и реакционные российские госорганы и другие компании перейдут на опенсорсные инструменты для реализации полного гомоморфного шифрования (FHE) при обработке персональных данных. А это значило, что наша приватность будет в большей безопасности.
Оказывается не совсем так.
По сути, отслеживая энергопотребление устройства, кодирующего данные для гомоморфного шифрования, ученые смогли научиться считывать данные по мере их шифрования, демонстрируя тот факт, что даже технологии шифрования следующего поколения нуждаются в защите от атак по сторонним каналам.
Гомоморфное шифрование — это форма шифрования , которая позволяет выполнять определенные типы вычислений непосредственно над зашифрованными данными, предварительно их не расшифровывая, чт позволяет обеспечить конфиденциальность и обмен данными, оставляя информацию зашифрованной, соответственно, недоступной для поставщика услуг.
Иными словами, цель гомоморфного шифрования — облегчить разработку сквозных зашифрованных служб хранения данных и вычислений, при которых владельцу данных никогда не нужно делиться своими секретными ключами со сторонними службами.
Атака с утечкой данных, предложенная исследователями, основывается на уязвимости, обнаруженной в Microsoft SEAL (технология с открытым исходным кодом технологического гиганта), которая позволяет восстановить фрагмент открытого текстового сообщения, который был зашифрован гомоморфно. В частности, атака, получившая название RevEAL, нацелена на гауссовую выборку на этапе шифрования SEAL и помогает извлечь все сообщение с помощью одного измерения мощности, используя преимущество утечки побочного канала на основе Microsoft SEAL до v3.6, который реализует протокол Brakerski/Fan-Vercauteren (BFV).
Исследователи отметили, что версии SEAL 3.6, выпущенные 3 декабря 2020 года и более поздние, используют другой алгоритм выборки, предупредив при этом, что более новые версии библиотеки могут страдать от другой уязвимости.
А именно, ошибка шифрования кроется в центрированном биномиальном распределении (CBD) по умолчанию, если для параметра SEAL USE GAUSSIAN NOISE не установлено значение ON. При этом выборка из CBD выполняется с постоянным временем и быстрее, чем выборка из распределения Гаусса, поэтому она используется многими финалистами NIST PQC.
Если вы следили за нашими обзорами по теме гомоморфного шифрования (1, 2, 3), то, вероятно, как и мы немного будете огорчены, ведь как мы полагали, даже самые медленные и реакционные российские госорганы и другие компании перейдут на опенсорсные инструменты для реализации полного гомоморфного шифрования (FHE) при обработке персональных данных. А это значило, что наша приватность будет в большей безопасности.
Оказывается не совсем так.
NC State University News
Researchers Show They Can Steal Data During Homomorphic Encryption
Homomorphic encryption is considered a next generation data security technology.
Поздравляем всех милых дам, работающих в инфосек, с 8 марта!
Вы действительно особенные! Где еще найдешь таких очаровательных и умных одновременно! Конечно же, нигде и никогда!
Всех обнимаем, всем самые тёплые пожелания, за всех поднимаем бокал! С праздником, боевые подруги! Ни CVE, ни слабой атрибуции!
Вы действительно особенные! Где еще найдешь таких очаровательных и умных одновременно! Конечно же, нигде и никогда!
Всех обнимаем, всем самые тёплые пожелания, за всех поднимаем бокал! С праздником, боевые подруги! Ни CVE, ни слабой атрибуции!