Немецкий и французский конгломераты на пару выпустили аж 15 новых бюллетеней по исправлению 43 уязвимостей, в числе которых были и критические.
Львиную долю взял на себя Siemens и описал проблемы в отношении 35 уязвимостей. Основываясь на оценках CVSS, наиболее важные рекомендации охватывают 11 недостатков, затрагивающих веб-сервер устройств SICAM P850 и P855.
Одна из ошибок является критической и позволяет злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код или запустить атаку типа «отказ в обслуживании» (DoS). Пять уязвимостей высокой степени серьезности, о которых говорится в бюллетене, могут привести к DoS-атакам, выполнению кода, захвату трафика и вмешательству в работу устройства, атакам с XSS или доступу к интерфейсу управления устройством.
В устройствах Desigo PXC3, PXC4, PXC5 и DXR2 также были обнаружены критические баги, которые могут быть использованы для выполнения произвольного кода и атак с "распылением паролей" или заполнением учетных данных.
Серьезные проблемы с выполнением кода не обошли стороной промышленные продукты Siemens Simcenter Femap, JT2Go и Teamcenter Visualization использующие уязвимости в библиотеке cURL. Угрозе DoS-атак подвержены контроллеры Desigo DXR и PXC, модули коммуникационных процессоров CP 44x-1 RNA, Teamcenter и другие промышленные продукты, использующие OPC Local Discovery Server. Также серьезная уязвимость обнаружена в SIMATIC WinCC.
Компания Siemens уже начала выпускать исправления для описанных уязвимостей, но к сожалению исправления доступны пока не для всех продуктов.
В Schneider Electric выпустили три бюллетеня для информирования клиентов о 8 уязвимостях, 6 из которых затрагивают некоторые продукты Wiser Smart Home Automation, включая критическую проблему с жестко запрограммированными учетными данными и баги с высокой степенью серьезности, которую можно использовать в атаках с перебором паролей для захвата учетной записи администратора.
Компания также проинформировала клиентов о DoS-уязвимости в продуктах удаленного терминала Saitel DP, а также о серьезной уязвимости удаленного выполнения кода в инженерном инструменте для измерительных устройств PowerLogic ION Setup.
Для продуктов Saitel DP RTU и PowerLogic ION обновления имеются, а вот в случае с Wiser Smart затронутые продукты увы достигли конца срока службы и больше не получают исправлений, но компания предоставила некоторые меры по смягчению последствий.
Все бы ничего, но танцы с бубном нашим соотечественникам обеспечены, так как мы знаем, что сие европейские мастодонты ограничили обслуживание на территории РФ, а некоторые, как заявляют вовсе ушли.
Львиную долю взял на себя Siemens и описал проблемы в отношении 35 уязвимостей. Основываясь на оценках CVSS, наиболее важные рекомендации охватывают 11 недостатков, затрагивающих веб-сервер устройств SICAM P850 и P855.
Одна из ошибок является критической и позволяет злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код или запустить атаку типа «отказ в обслуживании» (DoS). Пять уязвимостей высокой степени серьезности, о которых говорится в бюллетене, могут привести к DoS-атакам, выполнению кода, захвату трафика и вмешательству в работу устройства, атакам с XSS или доступу к интерфейсу управления устройством.
В устройствах Desigo PXC3, PXC4, PXC5 и DXR2 также были обнаружены критические баги, которые могут быть использованы для выполнения произвольного кода и атак с "распылением паролей" или заполнением учетных данных.
Серьезные проблемы с выполнением кода не обошли стороной промышленные продукты Siemens Simcenter Femap, JT2Go и Teamcenter Visualization использующие уязвимости в библиотеке cURL. Угрозе DoS-атак подвержены контроллеры Desigo DXR и PXC, модули коммуникационных процессоров CP 44x-1 RNA, Teamcenter и другие промышленные продукты, использующие OPC Local Discovery Server. Также серьезная уязвимость обнаружена в SIMATIC WinCC.
Компания Siemens уже начала выпускать исправления для описанных уязвимостей, но к сожалению исправления доступны пока не для всех продуктов.
В Schneider Electric выпустили три бюллетеня для информирования клиентов о 8 уязвимостях, 6 из которых затрагивают некоторые продукты Wiser Smart Home Automation, включая критическую проблему с жестко запрограммированными учетными данными и баги с высокой степенью серьезности, которую можно использовать в атаках с перебором паролей для захвата учетной записи администратора.
Компания также проинформировала клиентов о DoS-уязвимости в продуктах удаленного терминала Saitel DP, а также о серьезной уязвимости удаленного выполнения кода в инженерном инструменте для измерительных устройств PowerLogic ION Setup.
Для продуктов Saitel DP RTU и PowerLogic ION обновления имеются, а вот в случае с Wiser Smart затронутые продукты увы достигли конца срока службы и больше не получают исправлений, но компания предоставила некоторые меры по смягчению последствий.
Все бы ничего, но танцы с бубном нашим соотечественникам обеспечены, так как мы знаем, что сие европейские мастодонты ограничили обслуживание на территории РФ, а некоторые, как заявляют вовсе ушли.
Fox Business
Siemens leaving Russia over Ukraine invasion
Siemens has joined a number of businesses that have announced an exit or suspension of their services in Russia due to the invasion of Ukraine.
Зафиксирована новая активность со стороны APT Bitter (азиатская прогосударственная хакерская группа, работающая преимущественно по Пакистану и Китаю, за которой предположительно, стоит Индия).
На этот раз группа замечена аналитиками Cisco Talos в кибершпионской кампании на правительство Бангладеш, реализуемой с помощью нового вредоносного ПО с возможностью удаленного выполнения файлов. Операция проводится с августа 2021 года и представляет собой стандартный таргетинг Bitter, который остается неизменным с 2013 года.
Исследователи атрибутируют эту кампанию с Bitter по большей части на основе совпадения IP-адресов C2 с ранее наблюдаемыми активностями группы, особенностей шифрования строк и схемы именования модулей.
Атаки на правительственные цели названной страны включали две цепочки заражения, обе из которых начинались с целевого фишинга на канале электронной почты. Разница заключалась в типе файлов, прикрепленных к вредоносному письму: одни представляли собой документ в формате .RTF, а у другие - в формате .XLSX.
Отправитель эмулировался под пакистанские правительственные организации. Во многом благодаря использованию уязвимости в почтовом сервере Zimbra, которая позволяла злоумышленникам отправлять сообщения с несуществующей учетной записи/домена электронной почты. Тематика отправлений касалась проверки подлинности мобильных номеров в соответствии с вновь принятым в Бангладеш регламентом идентификации оборудования или NEIR для блокировки телефонного мошенничества.
Документы RTF использовались для эксплуатации CVE-2017-11882 и запуска удаленного выполнения кода на компьютерах с уязвимыми версиями Microsoft Office. При открытии файла в Microsoft Word, запускалось приложение Equation Editor и выполась формула уравнения, содержащая гаджеты возвратно-ориентированного программирования (ROP).
После этого ROP загружал и выполнял шелл-код, расположенный в maldocs в зашифрованном формате, обеспечивая подключение к вредоносному хосту olmajhnservice[.]com для загрузки полезной нагрузки.
В случае электронной таблицы Excel открытие этого файла инициировало эксплойт для CVE-2018-0798 и CVE-2018-0802, что приводило к удаленному выполнению кода в устаревших версиях Microsoft Office. В этом случае извлечение полезной нагрузки осуществлялось запуском двух созданных эксплойтом задач, которые с пятиминутным интервалом после заражения инициировали подключения к хост-серверу и загрузку трояна, которые Cisco Talos назвали ZxxZ.
Это 32-разрядный исполняемый файл Windows, который загружает и выполняет модули с общими именами файлов, такими как «Update.exe», «ntfsc.exe» или «nx.exe». Они либо загружаются, либо помещаются в локальную папку данных приложения жертвы и запускаются как обновление безопасности Windows со средней целостностью для повышения привилегий обычного пользователя.
Вредоносная программа имеет функции защиты от обнаружения, а также отсекает активные процессы Windows Defender и других антивирусных решений.
После этого активируется функция эксфильтрации информации, которая сбрасывает данные профиля жертвы в буфер памяти и отправляет их на сервер управления и контроля. Затем C2 отвечает переносимым исполняемым файлом, хранящимся в «%LOCALAPPDATA%\Debug\». В случае сбоев при получении этого исполняемого файла ZxxZ повторяет попытку еще 225 раз, прежде чем завершает работу.
Как в индийском кино, APT Bitter не перестает удивлять своей гиперактивностью, обновляя свой арсенал новыми инструментами и прилагая больше усилий для сокрытия своего присутствия в скомпрометированных системах.
На этот раз группа замечена аналитиками Cisco Talos в кибершпионской кампании на правительство Бангладеш, реализуемой с помощью нового вредоносного ПО с возможностью удаленного выполнения файлов. Операция проводится с августа 2021 года и представляет собой стандартный таргетинг Bitter, который остается неизменным с 2013 года.
Исследователи атрибутируют эту кампанию с Bitter по большей части на основе совпадения IP-адресов C2 с ранее наблюдаемыми активностями группы, особенностей шифрования строк и схемы именования модулей.
Атаки на правительственные цели названной страны включали две цепочки заражения, обе из которых начинались с целевого фишинга на канале электронной почты. Разница заключалась в типе файлов, прикрепленных к вредоносному письму: одни представляли собой документ в формате .RTF, а у другие - в формате .XLSX.
Отправитель эмулировался под пакистанские правительственные организации. Во многом благодаря использованию уязвимости в почтовом сервере Zimbra, которая позволяла злоумышленникам отправлять сообщения с несуществующей учетной записи/домена электронной почты. Тематика отправлений касалась проверки подлинности мобильных номеров в соответствии с вновь принятым в Бангладеш регламентом идентификации оборудования или NEIR для блокировки телефонного мошенничества.
Документы RTF использовались для эксплуатации CVE-2017-11882 и запуска удаленного выполнения кода на компьютерах с уязвимыми версиями Microsoft Office. При открытии файла в Microsoft Word, запускалось приложение Equation Editor и выполась формула уравнения, содержащая гаджеты возвратно-ориентированного программирования (ROP).
После этого ROP загружал и выполнял шелл-код, расположенный в maldocs в зашифрованном формате, обеспечивая подключение к вредоносному хосту olmajhnservice[.]com для загрузки полезной нагрузки.
В случае электронной таблицы Excel открытие этого файла инициировало эксплойт для CVE-2018-0798 и CVE-2018-0802, что приводило к удаленному выполнению кода в устаревших версиях Microsoft Office. В этом случае извлечение полезной нагрузки осуществлялось запуском двух созданных эксплойтом задач, которые с пятиминутным интервалом после заражения инициировали подключения к хост-серверу и загрузку трояна, которые Cisco Talos назвали ZxxZ.
Это 32-разрядный исполняемый файл Windows, который загружает и выполняет модули с общими именами файлов, такими как «Update.exe», «ntfsc.exe» или «nx.exe». Они либо загружаются, либо помещаются в локальную папку данных приложения жертвы и запускаются как обновление безопасности Windows со средней целостностью для повышения привилегий обычного пользователя.
Вредоносная программа имеет функции защиты от обнаружения, а также отсекает активные процессы Windows Defender и других антивирусных решений.
После этого активируется функция эксфильтрации информации, которая сбрасывает данные профиля жертвы в буфер памяти и отправляет их на сервер управления и контроля. Затем C2 отвечает переносимым исполняемым файлом, хранящимся в «%LOCALAPPDATA%\Debug\». В случае сбоев при получении этого исполняемого файла ZxxZ повторяет попытку еще 225 раз, прежде чем завершает работу.
Как в индийском кино, APT Bitter не перестает удивлять своей гиперактивностью, обновляя свой арсенал новыми инструментами и прилагая больше усилий для сокрытия своего присутствия в скомпрометированных системах.
Cisco Talos Blog
Bitter APT adds Bangladesh to their targets
* Cisco Talos has observed an ongoing malicious campaign since August 2021 from the Bitter APT group that appears to target users in Bangladesh, a change from the attackers' usual victims.
* As part of this, there's a new trojan based on Apost Talos is calling…
* As part of this, there's a new trojan based on Apost Talos is calling…
Исследователи Rapid7 обнаружили критическую уязвимость CVE-2022-30525 (с оценкой CVSS v3: 9,8) в брандмауэре Zyxel. Критические уязвимости брандмауэра могут позволить злоумышленникам получить полный доступ к устройствам и внутренним корпоративным сетям, которые они как бы защищают.
Уязвимость представляет собой возможность ввода удаленной команды без проверки подлинности через интерфейс HTTP в межсетевых экранах Zyxel, поддерживающих Zero Touch Provisioning (ZTP), затрагивая версии встроенного ПО от ZLD5.00 до ZLD5.21.
Выявленная уязвимость эксплуатируется через URI /ztp/cgi-bin/handler. Команды при этом могут выполняться от имени пользователя «nobody». Уязвимая функциональность вызывается командой setWanPortSt. Злоумышленник может ввести произвольные команды в параметр mtu или data.
Типичными последствиями такой атаки будут модификация файлов и выполнение команд ОС, что позволит злоумышленникам получить первоначальный доступ к сети и распространиться по сети. Эксплуатация CVE-2022-30525, прежде всего, позволит злоумышленнику закрепиться во внутренней сети жертвы.
Среди уязвимых моделей: USG FLEX 50, 50W, 100W, 200, 500, 700 с прошивкой 5.21 и ниже; USG20-VPN и USG20W-VPN с прошивкой 5.21 и ниже; ATP 100, 200, 500, 700, 800 с прошивкой 5.21 и ниже, которые в основном используются в небольших офисах и штаб-квартирах для организации VPN, проверки SSL, защиты от вторжений, электронной почты и веб-фильтрации.
Об ошибке ресерчеры сообщили разработчику 13 апреля 2022 года. Изучив представленные исследователи материалы Zyxel подтвердили серьезность уязвимости и пообещали исправить в июне 2022 года, но выпустили исправления в виде автоматического обновления уже 28 апреля 2022 года, не предоставив при этом каких-либо технических подробностей или рекомендаций по смягчению последствий.
Позже, конечно же разработчики исправились и разместили соответствующие указания клиентам.
На днях Rapid 7 опубликовали отчет с раскрытием технических деталей и соответствующим модулем Metasploit, который используя CVE-2022-30525, вводит команды в поле MTU. Кроме того, открывший багу исследователь Джейк Бейнс продемонстрировал видео с ее эксплуатацией.
Поскольку технические детали и Metasploit доступны и уже изучаются хакерами всех мастей, администраторам необходимо обновить как можно скорее свои устройства, начнется активное использование уязвимости. А это произойдёт однозначно, поскольку на момент всей этой истории в сети обнаруживается до 17 тысяч доступных уязвимых систем.
Выводы делайте сами.
Уязвимость представляет собой возможность ввода удаленной команды без проверки подлинности через интерфейс HTTP в межсетевых экранах Zyxel, поддерживающих Zero Touch Provisioning (ZTP), затрагивая версии встроенного ПО от ZLD5.00 до ZLD5.21.
Выявленная уязвимость эксплуатируется через URI /ztp/cgi-bin/handler. Команды при этом могут выполняться от имени пользователя «nobody». Уязвимая функциональность вызывается командой setWanPortSt. Злоумышленник может ввести произвольные команды в параметр mtu или data.
Типичными последствиями такой атаки будут модификация файлов и выполнение команд ОС, что позволит злоумышленникам получить первоначальный доступ к сети и распространиться по сети. Эксплуатация CVE-2022-30525, прежде всего, позволит злоумышленнику закрепиться во внутренней сети жертвы.
Среди уязвимых моделей: USG FLEX 50, 50W, 100W, 200, 500, 700 с прошивкой 5.21 и ниже; USG20-VPN и USG20W-VPN с прошивкой 5.21 и ниже; ATP 100, 200, 500, 700, 800 с прошивкой 5.21 и ниже, которые в основном используются в небольших офисах и штаб-квартирах для организации VPN, проверки SSL, защиты от вторжений, электронной почты и веб-фильтрации.
Об ошибке ресерчеры сообщили разработчику 13 апреля 2022 года. Изучив представленные исследователи материалы Zyxel подтвердили серьезность уязвимости и пообещали исправить в июне 2022 года, но выпустили исправления в виде автоматического обновления уже 28 апреля 2022 года, не предоставив при этом каких-либо технических подробностей или рекомендаций по смягчению последствий.
Позже, конечно же разработчики исправились и разместили соответствующие указания клиентам.
На днях Rapid 7 опубликовали отчет с раскрытием технических деталей и соответствующим модулем Metasploit, который используя CVE-2022-30525, вводит команды в поле MTU. Кроме того, открывший багу исследователь Джейк Бейнс продемонстрировал видео с ее эксплуатацией.
Поскольку технические детали и Metasploit доступны и уже изучаются хакерами всех мастей, администраторам необходимо обновить как можно скорее свои устройства, начнется активное использование уязвимости. А это произойдёт однозначно, поскольку на момент всей этой истории в сети обнаруживается до 17 тысяч доступных уязвимых систем.
Выводы делайте сами.
Intel выпустила исправлений для множества уязвимостей в линейке своих продуктов, в том числе для ряда серьезных уязвимостей в прошивке BIOS процессоров.
В общей сложности 10 серьезных ошибок затрагивают несколько процессоров Intel Xeon, Pentium Silver, Rocket Lake Xeon, Core и Core X. Наиболее серьезными из них являются 4 ошибки, которые могут привести к повышению привилегий через локальный доступ: CVE-2021-0154, CVE-2021-0153, CVE-2021-33123 и CVE-2021-0190, имеют оценку CVSS 8,2.
Остальные 5 уязвимостей высокой степени серьезности, описанные в опубликованном бюллетене, также могут привести к эскалации привилегий через локальный доступ, но имеют несколько более низкие оценки CVSS. В бюллетене Intel также описаны 2 баги средней степени серьезности.
Кроме того, Intel исправила серьезную ошибку в Boot Guard и Trusted Execution Technology (TXT). Они отслеживается как CVE-2022-0004 и имеет оценку CVSS 7,3. Уязвимость может быть использована для повышения привилегий в уязвимой системе.
Режимы аппаратной отладки и настройка процессора INIT, которые позволяют переопределять блокировки для некоторых процессоров в Intel Boot Guard и Intel TXT, могут позволить пользователю, не прошедшему проверку подлинности, потенциально включить эскалацию привилегий посредством физического доступа.
Проблема затрагивает несколько моделей процессоров Intel, в том числе последние три поколения процессоров Intel Core, некоторые модели Celeron, Atom, Pentium, Xeon, Gold и Silver, а также наборы микросхем нескольких серий.
Компания рекомендует обновить Intel Converged Security and Management Engine (CSME) до последней версии, отключить функцию отладки ЦП при включенном Boot Guard, а также деактивировать бит BSP (Bootstrap Processor) INIT (DBI).
Производитель опубликовал рекомендации для восьми уязвимостей в продуктах Optane SSD и Intel Optane SSD Data Center (DC), в том числе 3 с рейтингом высокой серьезности и 5 - средней.
В числе прочих исправлены серьезные дыры в безопасности прошивки NUC и программном обеспечении In-Band Manageability, а также ошибки средней степени серьезности в Advisor, XTU, Killer Control Center, Manageability Commander и платформе SGX.
В общей сложности 10 серьезных ошибок затрагивают несколько процессоров Intel Xeon, Pentium Silver, Rocket Lake Xeon, Core и Core X. Наиболее серьезными из них являются 4 ошибки, которые могут привести к повышению привилегий через локальный доступ: CVE-2021-0154, CVE-2021-0153, CVE-2021-33123 и CVE-2021-0190, имеют оценку CVSS 8,2.
Остальные 5 уязвимостей высокой степени серьезности, описанные в опубликованном бюллетене, также могут привести к эскалации привилегий через локальный доступ, но имеют несколько более низкие оценки CVSS. В бюллетене Intel также описаны 2 баги средней степени серьезности.
Кроме того, Intel исправила серьезную ошибку в Boot Guard и Trusted Execution Technology (TXT). Они отслеживается как CVE-2022-0004 и имеет оценку CVSS 7,3. Уязвимость может быть использована для повышения привилегий в уязвимой системе.
Режимы аппаратной отладки и настройка процессора INIT, которые позволяют переопределять блокировки для некоторых процессоров в Intel Boot Guard и Intel TXT, могут позволить пользователю, не прошедшему проверку подлинности, потенциально включить эскалацию привилегий посредством физического доступа.
Проблема затрагивает несколько моделей процессоров Intel, в том числе последние три поколения процессоров Intel Core, некоторые модели Celeron, Atom, Pentium, Xeon, Gold и Silver, а также наборы микросхем нескольких серий.
Компания рекомендует обновить Intel Converged Security and Management Engine (CSME) до последней версии, отключить функцию отладки ЦП при включенном Boot Guard, а также деактивировать бит BSP (Bootstrap Processor) INIT (DBI).
Производитель опубликовал рекомендации для восьми уязвимостей в продуктах Optane SSD и Intel Optane SSD Data Center (DC), в том числе 3 с рейтингом высокой серьезности и 5 - средней.
В числе прочих исправлены серьезные дыры в безопасности прошивки NUC и программном обеспечении In-Band Manageability, а также ошибки средней степени серьезности в Advisor, XTU, Killer Control Center, Manageability Commander и платформе SGX.
Intel
INTEL-SA-00601
Forwarded from SecurityLab.ru
К атаке на Rutube могут быть причастны бывшие сотрудники видеохостинга
— Причастность к взлому Rutube бывших разработчиков видеосервиса в настоящий момент является одной из версий, которые разрабатывает следствие.
— По его словам, недоступность видеохостинга в течение двух суток была связана с так называемыми программными «закладками», которые оставили злоумышленники.
— На текущий момент специалисты завершили наиболее важный этап восстановления платформы, видеохостинг постепенно наращивает нагрузку.
https://www.securitylab.ru/news/531621.php
— Причастность к взлому Rutube бывших разработчиков видеосервиса в настоящий момент является одной из версий, которые разрабатывает следствие.
— По его словам, недоступность видеохостинга в течение двух суток была связана с так называемыми программными «закладками», которые оставили злоумышленники.
— На текущий момент специалисты завершили наиболее важный этап восстановления платформы, видеохостинг постепенно наращивает нагрузку.
https://www.securitylab.ru/news/531621.php
SecurityLab.ru
К атаке на Rutube могут быть причастны бывшие сотрудники видеохостинга
Такое мнение высказал генеральный директор сервиса Александр Моисеев.
С завидной регулярностью исследователи из Proofpoint обнаруживают новые RAT и порой задумываешься, что они их сами штампуют. Шутка конечно.
В этот раз под прицел специалистов попал новый Nerbian RAT, который распространяется через спам кампании с использованием тем про COVID и Всемирную организацию здравоохранения.
Те, кто кроме инфосека увлекался еще и литературой наверное обратил внимание на название RAT, которое происходит от именованной функции в исходном коде вредоносного ПО и Нербия — это вымышленное место из романа «Дон Кихот» .
Nerbian RAT написан на языке программирования Go, скомпилирован для 64-битных систем, что делает вредоносное ПО кроссплатформенным. Причем троян далеко не простой и реализует сложные методы уклонения и защиты от анализа антивирусных средств.
Электронные письма содержат "заряженное" вложение Word, которое иногда сжимают с помощью RAR. При включении макросов документ показывает информацию, касающуюся безопасности от COVID-19 и мерах по самоизоляции инфицированных лиц и т.п. Для правдоподобности документ содержит логотипы Управления здравоохранения правительства Ирландии и Национального совета Ирландии (NCBI).
После открытия документа такого «письма счастья» и включения макроса bat-ник запускает PowerShell, действующий как загрузчик для дроппера Goland с именем «UpdateUAV.exe». Исполняемый файл UpdateUAV является дроппером для Nerbian RAT и не мудрствуя лукаво, как оказалось заимствует код из различных проектов на GitHub.
Nerbian поддерживает множество различных функций, таких как регистрация нажатий клавиш и захват изображений с экрана, а также управление связью через SSL.
Как говорят специалисты рассылка условно целевая, так как было менее 100 сообщений и была нацелена на несколько отраслей в странах Европы преимущественно на организации в Италии, Испании и Великобритании. Так же в Proofpoint с высокой степенью уверенности заявили, что и дроппер, и RAT были созданы одним и тем же объектом. Соответствующие детали исследования и индикаторы компрометации представлены в отчете.
В этот раз под прицел специалистов попал новый Nerbian RAT, который распространяется через спам кампании с использованием тем про COVID и Всемирную организацию здравоохранения.
Те, кто кроме инфосека увлекался еще и литературой наверное обратил внимание на название RAT, которое происходит от именованной функции в исходном коде вредоносного ПО и Нербия — это вымышленное место из романа «Дон Кихот» .
Nerbian RAT написан на языке программирования Go, скомпилирован для 64-битных систем, что делает вредоносное ПО кроссплатформенным. Причем троян далеко не простой и реализует сложные методы уклонения и защиты от анализа антивирусных средств.
Электронные письма содержат "заряженное" вложение Word, которое иногда сжимают с помощью RAR. При включении макросов документ показывает информацию, касающуюся безопасности от COVID-19 и мерах по самоизоляции инфицированных лиц и т.п. Для правдоподобности документ содержит логотипы Управления здравоохранения правительства Ирландии и Национального совета Ирландии (NCBI).
После открытия документа такого «письма счастья» и включения макроса bat-ник запускает PowerShell, действующий как загрузчик для дроппера Goland с именем «UpdateUAV.exe». Исполняемый файл UpdateUAV является дроппером для Nerbian RAT и не мудрствуя лукаво, как оказалось заимствует код из различных проектов на GitHub.
Nerbian поддерживает множество различных функций, таких как регистрация нажатий клавиш и захват изображений с экрана, а также управление связью через SSL.
Как говорят специалисты рассылка условно целевая, так как было менее 100 сообщений и была нацелена на несколько отраслей в странах Европы преимущественно на организации в Италии, Испании и Великобритании. Так же в Proofpoint с высокой степенью уверенности заявили, что и дроппер, и RAT были созданы одним и тем же объектом. Соответствующие детали исследования и индикаторы компрометации представлены в отчете.
Proofpoint
Nerbian RAT Using COVID-19 Themes Features Sophisticated Evasion Techniques | Proofpoint US
Key Findings Proofpoint has analyzed a novel malware variant which utilizes significant anti-analysis and anti-reversing capabilities. The malware, written in the Go programming language,
Как мы и предполагали, хакеры приступили к активной эксплуатации недавно исправленной критической уязвимости CVE-2022-30525 (оценка 9,8) в брандмауэре Zyxel и VPN для предприятий, которая позволяет удаленному злоумышленнику удаленно вводить произвольные команды без аутентификации.
И по стечению обстоятельств проблемы у администраторов уязвимых решений начались именно в пятницу 13-го, а днем ранее Zyxel выпустила бюллетень по безопасности для CVE-2022-30525 и необходимые исправления. В свою очередь, обнаруживший уязвимость исследователь Rapid7 также представил технические подробности и Metasploit, продемонстрировав как при этом злоумышленник может установить reverse shell, используя обычный bash GTFOBin.
О первых попутках эксплуатации CVE-2022-30525 сообщили эксперты Shadowserver Foundation.
Компания провела собственное сканирование, обнаружив в открытой сети не менее 20 800 моделей брандмауэров Zyxel (в то время как, ранее Rapid7 указывали на 15 000 с помощью Shodan), которые потенциально подвержены уязвимости, из них более 15 000 являются моделями USG20-VPN и USG20W-VPN. Модели достаточно часто используются для подключений VPN в структурных подразделениях или филиалах.
Большая часть уязвимых устройств найдено во Франции и Италии, а также других странах ЕС.
Учитывая всю серьезность ситуации и высокую популярность устройств, исследователи выпустили код, позволяющий администраторам обнаружить уязвимость и возможные попытки ее эксплуатации.
RedTeam испанской телекоммуникационной компании Telefónica опубликовали сканер уязвимостей Nuclei для обнаружения CVE-2022-30525, который доступен на GitHub. Другой исследователь BlueNinja выпустил скрипт для обнаружения внедрения неаутентифицированной удаленной команды в продукты Zyxel firewall и VPN и также опубликовал его на GitHub.
Решения есть, патчи доступны, осталось только пинка раздать.
И по стечению обстоятельств проблемы у администраторов уязвимых решений начались именно в пятницу 13-го, а днем ранее Zyxel выпустила бюллетень по безопасности для CVE-2022-30525 и необходимые исправления. В свою очередь, обнаруживший уязвимость исследователь Rapid7 также представил технические подробности и Metasploit, продемонстрировав как при этом злоумышленник может установить reverse shell, используя обычный bash GTFOBin.
О первых попутках эксплуатации CVE-2022-30525 сообщили эксперты Shadowserver Foundation.
Компания провела собственное сканирование, обнаружив в открытой сети не менее 20 800 моделей брандмауэров Zyxel (в то время как, ранее Rapid7 указывали на 15 000 с помощью Shodan), которые потенциально подвержены уязвимости, из них более 15 000 являются моделями USG20-VPN и USG20W-VPN. Модели достаточно часто используются для подключений VPN в структурных подразделениях или филиалах.
Большая часть уязвимых устройств найдено во Франции и Италии, а также других странах ЕС.
Учитывая всю серьезность ситуации и высокую популярность устройств, исследователи выпустили код, позволяющий администраторам обнаружить уязвимость и возможные попытки ее эксплуатации.
RedTeam испанской телекоммуникационной компании Telefónica опубликовали сканер уязвимостей Nuclei для обнаружения CVE-2022-30525, который доступен на GitHub. Другой исследователь BlueNinja выпустил скрипт для обнаружения внедрения неаутентифицированной удаленной команды в продукты Zyxel firewall и VPN и также опубликовал его на GitHub.
Решения есть, патчи доступны, осталось только пинка раздать.
Telegram
SecAtor
Исследователи Rapid7 обнаружили критическую уязвимость CVE-2022-30525 (с оценкой CVSS v3: 9,8) в брандмауэре Zyxel. Критические уязвимости брандмауэра могут позволить злоумышленникам получить полный доступ к устройствам и внутренним корпоративным сетям, которые…
Конечно же, VPN-устройства серии SMA 1000 от SonicWall обеспечивают защиту удаленных подключений к корпоративным ресурсам в локальных, облачных и гибридных средах, но только в том случае, если у вас стоят последние обновления. Иначе ошибки SSLVPN SMA1000, наоборот, помогут злоумышленникам обойти авторизацию.
SonicWall категорично призывает клиентов исправить обнаруженные уязвимости с высокой степенью серьезности, влияющих на следующие модели SMA серии 1000: 6200, 6210, 7200, 7210, 8000v (ESX, KVM, Hyper-V, AWS, Azure). Как отмечает производитель, уязвимости не затрагивают серию SMA 1000 на более ранних версиях, чем 12.4.0.
Первая уязвимость (обход контроля доступа без проверки подлинности) отслеживается как CVE-2022-22282 и имеет оценку CVSS 8,2, две другие (жестко запрограммированный криптографический ключ и открытое перенаправление) имеют среднюю степень серьезности и не еще получили идентификатора CVE.
Из всех уязвимостей CVE-2022-22282 является наиболее серьезной, поскольку позволяет злоумышленникам, не прошедшим проверку подлинности, обходить контроль доступа и получать доступ к внутренним ресурсам. Ошибку можно использовать удаленно в атаках низкой сложности, которые не требуют вмешательства пользователя.
Ошибка, связанная с использованием жестко запрограммированного криптографического ключа, значительно повышает вероятность доступа к зашифрованным учетным данным и также может иметь серьезные последствия.
SonicWall не обнаружили никаких доказательств того, что эти уязвимости используются в дикой природе. Во всяком случае пока. Мы прекрасно знаем, что VPN-продукты серии SMA всегда находились под пристальным вниманием вымогателей и неоднократно подвергались атакам ransomware.
SonicWall категорично призывает клиентов исправить обнаруженные уязвимости с высокой степенью серьезности, влияющих на следующие модели SMA серии 1000: 6200, 6210, 7200, 7210, 8000v (ESX, KVM, Hyper-V, AWS, Azure). Как отмечает производитель, уязвимости не затрагивают серию SMA 1000 на более ранних версиях, чем 12.4.0.
Первая уязвимость (обход контроля доступа без проверки подлинности) отслеживается как CVE-2022-22282 и имеет оценку CVSS 8,2, две другие (жестко запрограммированный криптографический ключ и открытое перенаправление) имеют среднюю степень серьезности и не еще получили идентификатора CVE.
Из всех уязвимостей CVE-2022-22282 является наиболее серьезной, поскольку позволяет злоумышленникам, не прошедшим проверку подлинности, обходить контроль доступа и получать доступ к внутренним ресурсам. Ошибку можно использовать удаленно в атаках низкой сложности, которые не требуют вмешательства пользователя.
Ошибка, связанная с использованием жестко запрограммированного криптографического ключа, значительно повышает вероятность доступа к зашифрованным учетным данным и также может иметь серьезные последствия.
SonicWall не обнаружили никаких доказательств того, что эти уязвимости используются в дикой природе. Во всяком случае пока. Мы прекрасно знаем, что VPN-продукты серии SMA всегда находились под пристальным вниманием вымогателей и неоднократно подвергались атакам ransomware.
Siemens уходит из России, а проблемы остаются, особенно у собственников зданий, оснащенных системами автоматизации.
Хакеры могут сделать вывести из строя работу контроллеров на несколько дней, используя уязвимость в Siemens PXC4.E16, программируемой системе автоматизации зданий (BAS) семейства Desigo, предназначенной для HVAC и инженерных сетей зданий.
Исследователи Nozomi Networks обнаружили, что устройство, в частности его инструмент разработки и ввода в эксплуатацию ABT, содержит ошибку, которую можно использовать для атак типа «отказ в обслуживании» (DoS). Несмотря на то, что уязвимость имеет средний рейтинг серьезности по CVSS, DoS в промышленной среде физически может привести к более чем серьезным последствиям.
CVE-2022-24040 затрагивает функцию получения ключа PBKDF2 для защиты паролей пользователей. Злонамеренный инсайдер с привилегиями доступа к профилю пользователя может создать или обновить учетную запись, вызвав состояние DoS повторным входом в нее. Все обусловлено изменением уровня потребления ресурсов ЦП после установления производного ключа PBKDF2.
По данным Nozomi, в худшем случае злоумышленник может забанить устройство на несколько дней, повторяя вновь процедуру для пролонгации времени простоя контроллера. Заглушив таким образом, к примеру, систему пожарной сигнализации, злоумышленник может усилить эффект атаки на другие системы управления производством (АСУ ТП) на объекте, что в комплексе приведет к серьезным авариям и значительному ущербу.
Siemens исправила эту уязвимость, а также шесть других недостатков, затрагивающих ее устройства Desigo PXC и DXR. И если владельцы за рубежом могут даже не задумываться о подобных атаках, то с возможностью решить проблему патчем у российские клиенты в скором времени уже вряд ли смогут воспользоваться. Но с другой стороны, и патчи бывают дырявые. В любом случае работки у российского инфосек изрядно поприбавится.
Хакеры могут сделать вывести из строя работу контроллеров на несколько дней, используя уязвимость в Siemens PXC4.E16, программируемой системе автоматизации зданий (BAS) семейства Desigo, предназначенной для HVAC и инженерных сетей зданий.
Исследователи Nozomi Networks обнаружили, что устройство, в частности его инструмент разработки и ввода в эксплуатацию ABT, содержит ошибку, которую можно использовать для атак типа «отказ в обслуживании» (DoS). Несмотря на то, что уязвимость имеет средний рейтинг серьезности по CVSS, DoS в промышленной среде физически может привести к более чем серьезным последствиям.
CVE-2022-24040 затрагивает функцию получения ключа PBKDF2 для защиты паролей пользователей. Злонамеренный инсайдер с привилегиями доступа к профилю пользователя может создать или обновить учетную запись, вызвав состояние DoS повторным входом в нее. Все обусловлено изменением уровня потребления ресурсов ЦП после установления производного ключа PBKDF2.
По данным Nozomi, в худшем случае злоумышленник может забанить устройство на несколько дней, повторяя вновь процедуру для пролонгации времени простоя контроллера. Заглушив таким образом, к примеру, систему пожарной сигнализации, злоумышленник может усилить эффект атаки на другие системы управления производством (АСУ ТП) на объекте, что в комплексе приведет к серьезным авариям и значительному ущербу.
Siemens исправила эту уязвимость, а также шесть других недостатков, затрагивающих ее устройства Desigo PXC и DXR. И если владельцы за рубежом могут даже не задумываться о подобных атаках, то с возможностью решить проблему патчем у российские клиенты в скором времени уже вряд ли смогут воспользоваться. Но с другой стороны, и патчи бывают дырявые. В любом случае работки у российского инфосек изрядно поприбавится.
Nozominetworks
Nozomi Networks Discovers Vulnerability in Siemens Building Automation Software
Nozomi Networks Labs publishes a DoS flaw on the Siemens PXC4.E16 building automation station, which leverages improperly implemented security measures.
Forwarded from SecurityLab.ru
🕵🏻♂️России не хватает 30-50 тысяч специалистов по кибербезопасности
— Для выполнения требований указа президента России о дополнительных мерах по обеспечению информационной безопасности компаниям дополнительно потребуются десятки тысяч высококвалифицированных специалистов по кибербезопасности.
— GR-директор сервиса поиска работы HeadHunter Виталий Терентьев считает, что стране может потребоваться порядка 30 тыс. высококвалифицированных специалистов по кибербезопасности дополнительно.
— По оценке независимого эксперта по информационной безопасности Алексея Лукацкого, дефицит специалистов по информационной безопасности превышает 50 тыс. человек.
— Под требования указа подпадают примерно 100 тысяч организаций в России.
https://www.securitylab.ru/news/531660.php
— Для выполнения требований указа президента России о дополнительных мерах по обеспечению информационной безопасности компаниям дополнительно потребуются десятки тысяч высококвалифицированных специалистов по кибербезопасности.
— GR-директор сервиса поиска работы HeadHunter Виталий Терентьев считает, что стране может потребоваться порядка 30 тыс. высококвалифицированных специалистов по кибербезопасности дополнительно.
— По оценке независимого эксперта по информационной безопасности Алексея Лукацкого, дефицит специалистов по информационной безопасности превышает 50 тыс. человек.
— Под требования указа подпадают примерно 100 тысяч организаций в России.
https://www.securitylab.ru/news/531660.php
SecurityLab.ru
России не хватает 30-50 тысяч специалистов по кибербезопасности
Порядка 100 тыс. российских организаций столкнутся с проблемой поиска сотрудников в области кибербезопасности.
Еще немного из серии про безопасность промышленных систем.
17 уязвимостей обнаружены в промышленных маршрутизаторах InHand, большинство из которых критические и при объединении в цепочку дают root-доступ к устройству.
Уязвимости затрагивают компактный промышленный маршрутизатор LTE InRouter 302, ориентированный на коммерческий и промышленный сектора, в том числе для работы объектов в гостиничном, финансовом, автомобильном, коммунальном секторе, розничной торговле, общественной безопасности и энергетике.
Ошибки были обнаружены исследователями из Cisco Talos, которые выяснили, что ошибки приводят к произвольной загрузке файлов, выполнению кода, повышению привилегий, внедрению команд ОС и несанкционированным обновлениям прошивки. Уязвимости затрагивают IR302 версии 3.5.37 и более ранние, исправлены с выпуском версии 3.5.45.
Cisco Talos представили теоретический сценарий атаки, который начинается с эксплуатации уязвимости межсайтового скриптинга (XSS), позволяющей злоумышленнику выполнить произвольный код JavaScript и извлечь файл cookie сеанса пользователя, который нажимает на специально созданную ссылку, запускающую эксплойт.
Независимо от того, дает ли украденный файл cookie привилегированный или непривилегированный доступ, злоумышленник может использовать одну из трех уязвимостей для получения root-доступа, злоупотребляя скрытой командой, которая порождает корневую оболочку, и загружая специально созданный файл для удаленного выполнения кода.
В случае, если злоумышленник получает непривилегированный доступ после эксплуатации уязвимости XSS, он может использовать одну из двух уязвимостей, которые позволяют пользователю с более низкими привилегиями повысить разрешения, в том числе путем изменения или получения пароля привилегированного пользователя.
Получая при реализации XSS-атаки привилегированный доступ, распоряжении злоумышленника оказывается как минимум две уязвимости, которые ему дадут root-доступ к операционной системе Linux, работающей на маршрутизаторе. Получение же корневого доступа к маршрутизатору обеспечит дальнейшее проникновение в сеть.
Выводы Talos с техническим описанием доступны в блоге, а InHand, в свою очередь, представила собственные необходимые рекомендации в отношении обнаруженных проблем.
17 уязвимостей обнаружены в промышленных маршрутизаторах InHand, большинство из которых критические и при объединении в цепочку дают root-доступ к устройству.
Уязвимости затрагивают компактный промышленный маршрутизатор LTE InRouter 302, ориентированный на коммерческий и промышленный сектора, в том числе для работы объектов в гостиничном, финансовом, автомобильном, коммунальном секторе, розничной торговле, общественной безопасности и энергетике.
Ошибки были обнаружены исследователями из Cisco Talos, которые выяснили, что ошибки приводят к произвольной загрузке файлов, выполнению кода, повышению привилегий, внедрению команд ОС и несанкционированным обновлениям прошивки. Уязвимости затрагивают IR302 версии 3.5.37 и более ранние, исправлены с выпуском версии 3.5.45.
Cisco Talos представили теоретический сценарий атаки, который начинается с эксплуатации уязвимости межсайтового скриптинга (XSS), позволяющей злоумышленнику выполнить произвольный код JavaScript и извлечь файл cookie сеанса пользователя, который нажимает на специально созданную ссылку, запускающую эксплойт.
Независимо от того, дает ли украденный файл cookie привилегированный или непривилегированный доступ, злоумышленник может использовать одну из трех уязвимостей для получения root-доступа, злоупотребляя скрытой командой, которая порождает корневую оболочку, и загружая специально созданный файл для удаленного выполнения кода.
В случае, если злоумышленник получает непривилегированный доступ после эксплуатации уязвимости XSS, он может использовать одну из двух уязвимостей, которые позволяют пользователю с более низкими привилегиями повысить разрешения, в том числе путем изменения или получения пароля привилегированного пользователя.
Получая при реализации XSS-атаки привилегированный доступ, распоряжении злоумышленника оказывается как минимум две уязвимости, которые ему дадут root-доступ к операционной системе Linux, работающей на маршрутизаторе. Получение же корневого доступа к маршрутизатору обеспечит дальнейшее проникновение в сеть.
Выводы Talos с техническим описанием доступны в блоге, а InHand, в свою очередь, представила собственные необходимые рекомендации в отношении обнаруженных проблем.
Тем временем в Евросоюзе, с деловитым видом отпиливающем себе ноги, под шум разгоревшегося геополитического конфликта происходит самая настоящая зрада.
Вслед за мифами о царящих в Европе неприкосновенности частной собственности, независимости и беспристрастности журналистики и нетерпимости к национализму, похоже накрываются влажные рассказы про соблюдение конфиденциальности личной жизни европейских граждан.
В конце прошлой недели Еврокомиссия приняла Регламент, регулирующий процесс выявления и борьбы с распространением материалов сексуальной эксплуатации детей в Интернет.
И хотя само дело, безусловно, благое, некоторые тезисы нового регламента вызвали подобие истерики у сторонников пользовательской приватности.
Заинтересовавшись мы изучили сей документ и имеем сказать следующее. Во-первых, нам еще до европейской бюрократии далеко - так писать документы надо постараться. Количество воды на один квадратный абзац документа превышает все допустимые нормы. Но мы все-таки пробились сквозь заросли изящной брюссельскойкапусты словесности и нашли в этом 135-страничном монстре ключевой, на наш взгляд, момент.
Регламентом учреждается Центр ЕС по вопросам борьбы с сексуальной эксплуатацией детей, с которым обязаны сотрудничать вообще все компании, работающие в digital - хостинги, провайдеры, мессенджеры и пр., вплоть до создателей онлайн-игр, потому что там есть встроенный чат.
И вот среди кучи параграфов, в которых описывается прозрачность и подконтрольность, а также расчитываются командировочные бюджеты членов правления, есть Статьи 43 и 50 Раздела 2 Главы IV, в соответствии с которыми Центр ЕС поставляет всем причастным компаниям некие "технологии для выполнения обнаружения". Никакой уточняющей информации по этим технологиям нет.
Так что вероятно, что под знаменем борьбы с детской порнографией в ЕС будет развернут самый большой СОРМ отсюда и до орбиты Плутона. Какая тут Яровая, вы о чем...
Вслед за мифами о царящих в Европе неприкосновенности частной собственности, независимости и беспристрастности журналистики и нетерпимости к национализму, похоже накрываются влажные рассказы про соблюдение конфиденциальности личной жизни европейских граждан.
В конце прошлой недели Еврокомиссия приняла Регламент, регулирующий процесс выявления и борьбы с распространением материалов сексуальной эксплуатации детей в Интернет.
И хотя само дело, безусловно, благое, некоторые тезисы нового регламента вызвали подобие истерики у сторонников пользовательской приватности.
Заинтересовавшись мы изучили сей документ и имеем сказать следующее. Во-первых, нам еще до европейской бюрократии далеко - так писать документы надо постараться. Количество воды на один квадратный абзац документа превышает все допустимые нормы. Но мы все-таки пробились сквозь заросли изящной брюссельской
Регламентом учреждается Центр ЕС по вопросам борьбы с сексуальной эксплуатацией детей, с которым обязаны сотрудничать вообще все компании, работающие в digital - хостинги, провайдеры, мессенджеры и пр., вплоть до создателей онлайн-игр, потому что там есть встроенный чат.
И вот среди кучи параграфов, в которых описывается прозрачность и подконтрольность, а также расчитываются командировочные бюджеты членов правления, есть Статьи 43 и 50 Раздела 2 Главы IV, в соответствии с которыми Центр ЕС поставляет всем причастным компаниям некие "технологии для выполнения обнаружения". Никакой уточняющей информации по этим технологиям нет.
Так что вероятно, что под знаменем борьбы с детской порнографией в ЕС будет развернут самый большой СОРМ отсюда и до орбиты Плутона. Какая тут Яровая, вы о чем...
Twitter
Matthew Green
Here is the document. It is long but worth reading, because it describes the most sophisticated mass surveillance machinery ever deployed outside of China and the USSR. Not an exaggeration. alecmuffett.com/alecm/tmp/eu-c…
Conti решили всерьез заняться Коста-Рикой, вновь избранный президент которой Родриго Чавес ввел чрезвычайное положение в стране после атаки ransomware на правительственные ресурсы, муниципалитеты и коммунальные службы.
На пресс-конференции Чавес высказал предположение, что атака была совершена как внутри, так и за пределами Коста-Рики, а в завершение объявил войну хакерам. По его словам, официальные лица борются с национальной террористической группой, у которой есть пособники в Коста-Рике. Не обошлось и без критики предшественника Карлоса Альварадо, который мало инвестировал в кибербезопасность страны.
Conti в стороне, конечно же, не остались, заявив новую цель — свергнуть правительство. В качестве первого шага хакеры увеличили сумму выкупа до 20 миллионов долларов.
Привлеченные к инциденту ресечеры Emsisoft, в свою очередь, не видят реальной возможности свержения власти, однако отмечают беспрецедентный характер атаки. Кроме того, не исключают продолжения кампании, полагая угрозу потенциально реальной.
Как мы и предполагали, решение ввести ЧС даже с формальной стороны свидетельствует о наличии реальной угрозы безопасности: в руках у хакеров оказались, по всей видимости, весьма интересные сведения. Во всяком случае спустя месяц критическая инфраструктура все еще лежит.
Объявилась и другая жертва банды. Корпорация Parker-Hannifin объявила об утечке данных с личной информацией на сотрудников, после того, как Conti начала публиковать их на DLS. Компания специализируется на передовых в области транспорта, уделяя особое внимание аэрокосмическому гидравлическому оборудованию и топливным системам для Airbus, Boeing, Sikorsky, Rolls-Royce, Lockheed Martin и Китайской корпорации коммерческих самолетов.
Доход компании составляет 15,6 миллиарда долларов, а штат включает более 58 000 человек. Инцидент произошел в период с 11 по 14 марта 2022 года. Причем украденные сведения затрагивают не только сотрудников, но и их членов их семей, а также сотрудников и бенефициаров дочерних компаний.
До настоящего времени не сообщается о возможности получения Conti техническим данным и коммерческим секретам. И вряд ли Parker-Hannifin сообщит о таком публично. Скорее всего, где-то просто оформится НИОКР или запустится новое производство. Но это уже другая история.
На пресс-конференции Чавес высказал предположение, что атака была совершена как внутри, так и за пределами Коста-Рики, а в завершение объявил войну хакерам. По его словам, официальные лица борются с национальной террористической группой, у которой есть пособники в Коста-Рике. Не обошлось и без критики предшественника Карлоса Альварадо, который мало инвестировал в кибербезопасность страны.
Conti в стороне, конечно же, не остались, заявив новую цель — свергнуть правительство. В качестве первого шага хакеры увеличили сумму выкупа до 20 миллионов долларов.
Привлеченные к инциденту ресечеры Emsisoft, в свою очередь, не видят реальной возможности свержения власти, однако отмечают беспрецедентный характер атаки. Кроме того, не исключают продолжения кампании, полагая угрозу потенциально реальной.
Как мы и предполагали, решение ввести ЧС даже с формальной стороны свидетельствует о наличии реальной угрозы безопасности: в руках у хакеров оказались, по всей видимости, весьма интересные сведения. Во всяком случае спустя месяц критическая инфраструктура все еще лежит.
Объявилась и другая жертва банды. Корпорация Parker-Hannifin объявила об утечке данных с личной информацией на сотрудников, после того, как Conti начала публиковать их на DLS. Компания специализируется на передовых в области транспорта, уделяя особое внимание аэрокосмическому гидравлическому оборудованию и топливным системам для Airbus, Boeing, Sikorsky, Rolls-Royce, Lockheed Martin и Китайской корпорации коммерческих самолетов.
Доход компании составляет 15,6 миллиарда долларов, а штат включает более 58 000 человек. Инцидент произошел в период с 11 по 14 марта 2022 года. Причем украденные сведения затрагивают не только сотрудников, но и их членов их семей, а также сотрудников и бенефициаров дочерних компаний.
До настоящего времени не сообщается о возможности получения Conti техническим данным и коммерческим секретам. И вряд ли Parker-Hannifin сообщит о таком публично. Скорее всего, где-то просто оформится НИОКР или запустится новое производство. Но это уже другая история.
PR Newswire
Parker-Hannifin Corporation Provides Notice of Data Security Incident
/PRNewswire/ -- Parker-Hannifin Corporation ("Parker") is announcing today that it is notifying individuals whose information was involved in a data security...
Forwarded from Russian OSINT
🔞 Администрация Twitter забанила один из аккаунтов Anonymous с 300'000 подписчиками
На фоне разговоров о покупке Илоном Маском Twitter, модерация социальной сети наконец-то решила заняться чисткой платформы. Под горячую руку на этот раз попался один из аккаунтов анонимусов «LiteMods» с 300k подписчиками за нарушение "Правил Twitter".
Подобные аккаунты-филиалы Anonymous в последнее время не гнушаются публично распространять утечки, призывы к насилию и оскорбления в адрес русскоговорящих пользователей.
🔥Из-за бана подгорело в комментариях к посту у отдельных персон так, что тушением одной пятой точки явно не обошлось 🚒👨🚒.
Один из недовольных пользователей с 🇺🇦аватаркой охарактеризовал происходящее следующей фразой: "Welcome to elonmusk‘s Soviet Twitter.", позабыв что Маск ещё пока не принял окончательное решение о покупке Twitter.
На фоне разговоров о покупке Илоном Маском Twitter, модерация социальной сети наконец-то решила заняться чисткой платформы. Под горячую руку на этот раз попался один из аккаунтов анонимусов «LiteMods» с 300k подписчиками за нарушение "Правил Twitter".
Подобные аккаунты-филиалы Anonymous в последнее время не гнушаются публично распространять утечки, призывы к насилию и оскорбления в адрес русскоговорящих пользователей.
🔥Из-за бана подгорело в комментариях к посту у отдельных персон так, что тушением одной пятой точки явно не обошлось 🚒👨🚒.
Один из недовольных пользователей с 🇺🇦аватаркой охарактеризовал происходящее следующей фразой: "Welcome to elonmusk‘s Soviet Twitter.", позабыв что Маск ещё пока не принял окончательное решение о покупке Twitter.
Если обновления касаются Microsoft, то возможно иногда все же стоит и повременить.
Не прошло и недели, как гигант из Редмонда выпустил майские обновления, а агентство по кибербезопасности и безопасности инфраструктуры (CISA) удалили уязвимость Windows из своего каталога. Произошло это после того, как в компании сообщили, что недавнее обновление может вызвать проблемы на некоторых типах систем.
Уязвимость, о которой идет речь, — CVE-2022-26925 и в Microsoft описывают ее как уязвимость спуфинга Windows LSA. Проблема была решена с помощью обновлений, выпущенных во вторник, но в Microsoft в то время предупредили, что бага была публично раскрыта и ранее использовалась в атаках.
Как говорится в сообщении Microsoft серьезность уязвимости возрастает, если она связана с другой уязвимостью. В данном случае злоумышленник, не прошедший проверку подлинности, мог вызвать метод интерфейса LSARPC и заставить контроллер домена пройти аутентификацию с помощью NTLM.
CISA быстро добавила уязвимость в свой каталог эксплуатируемых уязвимостей, который также известен как список «обязательных исправлений», поскольку федеральные агентства обязаны исправлять уязвимости в этом каталоге в течение определенного периода времени. Кроме того, частным организациям также рекомендуется использовать этот список для определения приоритетности важных исправлений.
Однако после информирования от Microsoft в CISA заявили, что майское обновление может вызвать сбои аутентификации при установке на контроллерах домена. Сюда входят проблемы аутентификации на сервере или клиенте для служб сервера политики сети (NPS), службы маршрутизации и удаленного доступа (RRAS), Radius, протоколов аутентификации EAP и PEAP.
Проблема связана с тем, как сопоставление сертификатов с учетными записями компьютеров обрабатываются контроллерами домена и пользователям рекомендуется прочитать статью базы знаний, предоставленную Microsoft для смягчения угроз.
Багу обнаружил специалист Рафаэль Джон из Bertelsmann Printing Group, по заверению которого уязвимость на самом деле представляет собой ошибку, известную как PetitPotam (CVE-2021-36942), которая как мы помним была исправлена летом 2021 года и активно использовалась в атаках, в том числе в постэксплуатационных действиях в рамках операций программ-вымогателей.
Не прошло и недели, как гигант из Редмонда выпустил майские обновления, а агентство по кибербезопасности и безопасности инфраструктуры (CISA) удалили уязвимость Windows из своего каталога. Произошло это после того, как в компании сообщили, что недавнее обновление может вызвать проблемы на некоторых типах систем.
Уязвимость, о которой идет речь, — CVE-2022-26925 и в Microsoft описывают ее как уязвимость спуфинга Windows LSA. Проблема была решена с помощью обновлений, выпущенных во вторник, но в Microsoft в то время предупредили, что бага была публично раскрыта и ранее использовалась в атаках.
Как говорится в сообщении Microsoft серьезность уязвимости возрастает, если она связана с другой уязвимостью. В данном случае злоумышленник, не прошедший проверку подлинности, мог вызвать метод интерфейса LSARPC и заставить контроллер домена пройти аутентификацию с помощью NTLM.
CISA быстро добавила уязвимость в свой каталог эксплуатируемых уязвимостей, который также известен как список «обязательных исправлений», поскольку федеральные агентства обязаны исправлять уязвимости в этом каталоге в течение определенного периода времени. Кроме того, частным организациям также рекомендуется использовать этот список для определения приоритетности важных исправлений.
Однако после информирования от Microsoft в CISA заявили, что майское обновление может вызвать сбои аутентификации при установке на контроллерах домена. Сюда входят проблемы аутентификации на сервере или клиенте для служб сервера политики сети (NPS), службы маршрутизации и удаленного доступа (RRAS), Radius, протоколов аутентификации EAP и PEAP.
Проблема связана с тем, как сопоставление сертификатов с учетными записями компьютеров обрабатываются контроллерами домена и пользователям рекомендуется прочитать статью базы знаний, предоставленную Microsoft для смягчения угроз.
Багу обнаружил специалист Рафаэль Джон из Bertelsmann Printing Group, по заверению которого уязвимость на самом деле представляет собой ошибку, известную как PetitPotam (CVE-2021-36942), которая как мы помним была исправлена летом 2021 года и активно использовалась в атаках, в том числе в постэксплуатационных действиях в рамках операций программ-вымогателей.
Apple выпустила экстренное обновление безопасности для устранения шестой за год 0-day уязвимости, которую злоумышленники могут использовать в атаках на Mac и Apple Watch.
Согласно вышедшему бюллетеню по безопасности, Apple известно о возможной активной эксплуатации ошибки, которая представляет собой проблему записи за пределами памяти (CVE-2022-22675) в AppleAVD (расширение ядра для декодирования аудио и видео) и позволяет приложениям выполнять произвольный код с привилегиями ядра. Об ошибке сообщили анонимные исследователи.
Уязвимость устранена Apple в macOS Big Sur 11.6., watchOS 8.6 и tvOS 15.5, в число уязвимых устройств вошли: Apple Watch Series 3 или более поздней версии, компьютеры Mac с macOS Big Sur, Apple TV 4K, Apple TV 4K (2-го поколения) и Apple TV HD.
Несмотря на то, что Apple признала эксплуатацию в дикой природе, компания не опубликовала никакой дополнительной информации об атаках. По мнению ресерчеров, 0-day скорее всего, использовался только в целевых атаках.
В дополнение к 0-day исследователи из Лаборатории безопасных мобильных сетей Технического университета Дармштадта обнаружили проблемы с реализацией режима низкого энергопотребления (LPM) на iPhone, позволяющие запускать вредоносное ПО на выключенных устройствах.
Режим LPM активируется, когда пользователь выключает iPhone или когда устройство выключается из-за низкого заряда батареи. Даже в выключенном состоянии некоторые системы беспроводной связи Bluetooth, NFC и сверхширокополосной (UWB) связи остаются активными.
Чипы Bluetooth и UWB жестко подключены к элементу безопасности (SE) в чипе NFC и хранят секреты, которые должны быть доступны в LPM. Поскольку поддержка LPM реализована аппаратно, ее нельзя убрать программным способом.
После тестов исследователи выяснили, что если злоумышленник имел привилегированный доступ к встроенному ПО после компрометации прошивки, то при выключении устройства он сохранит ограниченный контроль, что может быть полезно для постоянных эксплойтов.
На аппаратным уровнем исследователи смогли изменить прошивку Bluetooth LPM для запуска вредоносных программ на выключенном iPhone 13, что стало возможным в виду того, что прошивка не подписана и не зашифрована, а в чипе Bluetooth не включена безопасная загрузка.
Find My после отключения питания превращает выключенные iPhone в устройства слежения, а реализация в прошивке Bluetooth не защищена от манипуляций. При этом функции слежения могут быть скрытно изменены злоумышленниками с доступом на системном уровне.
Исследователи представили инструменты с открытым исходным кодом — InternalBlue и Frankenstein, которые можно использовать для анализа и модификации прошивки.
Если в случае с 0-day и удастся пофиксить багу, то отключить питание вряд ли, возможно даже в будущем. Apple никак не прокомментировали доводы тайных сотрудников, и скорее всего не будут этого делать.
Согласно вышедшему бюллетеню по безопасности, Apple известно о возможной активной эксплуатации ошибки, которая представляет собой проблему записи за пределами памяти (CVE-2022-22675) в AppleAVD (расширение ядра для декодирования аудио и видео) и позволяет приложениям выполнять произвольный код с привилегиями ядра. Об ошибке сообщили анонимные исследователи.
Уязвимость устранена Apple в macOS Big Sur 11.6., watchOS 8.6 и tvOS 15.5, в число уязвимых устройств вошли: Apple Watch Series 3 или более поздней версии, компьютеры Mac с macOS Big Sur, Apple TV 4K, Apple TV 4K (2-го поколения) и Apple TV HD.
Несмотря на то, что Apple признала эксплуатацию в дикой природе, компания не опубликовала никакой дополнительной информации об атаках. По мнению ресерчеров, 0-day скорее всего, использовался только в целевых атаках.
В дополнение к 0-day исследователи из Лаборатории безопасных мобильных сетей Технического университета Дармштадта обнаружили проблемы с реализацией режима низкого энергопотребления (LPM) на iPhone, позволяющие запускать вредоносное ПО на выключенных устройствах.
Режим LPM активируется, когда пользователь выключает iPhone или когда устройство выключается из-за низкого заряда батареи. Даже в выключенном состоянии некоторые системы беспроводной связи Bluetooth, NFC и сверхширокополосной (UWB) связи остаются активными.
Чипы Bluetooth и UWB жестко подключены к элементу безопасности (SE) в чипе NFC и хранят секреты, которые должны быть доступны в LPM. Поскольку поддержка LPM реализована аппаратно, ее нельзя убрать программным способом.
После тестов исследователи выяснили, что если злоумышленник имел привилегированный доступ к встроенному ПО после компрометации прошивки, то при выключении устройства он сохранит ограниченный контроль, что может быть полезно для постоянных эксплойтов.
На аппаратным уровнем исследователи смогли изменить прошивку Bluetooth LPM для запуска вредоносных программ на выключенном iPhone 13, что стало возможным в виду того, что прошивка не подписана и не зашифрована, а в чипе Bluetooth не включена безопасная загрузка.
Find My после отключения питания превращает выключенные iPhone в устройства слежения, а реализация в прошивке Bluetooth не защищена от манипуляций. При этом функции слежения могут быть скрытно изменены злоумышленниками с доступом на системном уровне.
Исследователи представили инструменты с открытым исходным кодом — InternalBlue и Frankenstein, которые можно использовать для анализа и модификации прошивки.
Если в случае с 0-day и удастся пофиксить багу, то отключить питание вряд ли, возможно даже в будущем. Apple никак не прокомментировали доводы тайных сотрудников, и скорее всего не будут этого делать.
Apple Support
About the security content of macOS Monterey 12.3.1
This document describes the security content of macOS Monterey 12.3.1.
Уязвимость RCE в плагине Tatsu Builder для WordPress стала причиной миллионов атак.
По данным Wordfence, с 10 по 14 мая заблокировано 5,9 миллиона попыток эксплуатации CVE-2021-25094 в плагине, который установлен почти на 100 000 сайтах.
Tatsu Builder - это достаточно популярный плагин, предлагающий мощные функции редактирования шаблонов, встроенные прямо в веб-браузер. Обнаруженная уязвимость позволяет удаленному злоумышленнику выполнять произвольный код на серверах с устаревшей версией плагина (все сборки до 3.3.12).
Ошибка была обнаружена независимым исследователем Винсентом Мишелем, который публично раскрыл ее 28 марта 2022 года вместе с эксплойтом (PoC).
Несмотря на то, что исправления с версией 3.3.13 доступны с начала апреля, в настоящее время эксплуатация активно продолжается, ведь 50 000 сайтов все еще используют уязвимую версию Tatsu Builder.
Атакующие пытаются внедрить дроппер «sp3ctra_XO.php» (имеет хэш MD5 3708363c5b7bf582f8477b1c82c8cbf8) в каталог «wp-content/uploads/typehub/custom/» и скрыть его. При этом Wordfence сообщает, что более миллиона атак было совершено всего с трех IP-адресов: 148.251.183[.]254, 176.9.117[.]218 и 217.160.145[.]62.
Всем пользователям плагина Tatsu Builder настоятельно рекомендуется обновиться до версии 3.3.13.
Конечно, представленные индикаторы компрометации не являются стабильными, но добавить IP-адреса в свой черный список все же стоит.
По данным Wordfence, с 10 по 14 мая заблокировано 5,9 миллиона попыток эксплуатации CVE-2021-25094 в плагине, который установлен почти на 100 000 сайтах.
Tatsu Builder - это достаточно популярный плагин, предлагающий мощные функции редактирования шаблонов, встроенные прямо в веб-браузер. Обнаруженная уязвимость позволяет удаленному злоумышленнику выполнять произвольный код на серверах с устаревшей версией плагина (все сборки до 3.3.12).
Ошибка была обнаружена независимым исследователем Винсентом Мишелем, который публично раскрыл ее 28 марта 2022 года вместе с эксплойтом (PoC).
Несмотря на то, что исправления с версией 3.3.13 доступны с начала апреля, в настоящее время эксплуатация активно продолжается, ведь 50 000 сайтов все еще используют уязвимую версию Tatsu Builder.
Атакующие пытаются внедрить дроппер «sp3ctra_XO.php» (имеет хэш MD5 3708363c5b7bf582f8477b1c82c8cbf8) в каталог «wp-content/uploads/typehub/custom/» и скрыть его. При этом Wordfence сообщает, что более миллиона атак было совершено всего с трех IP-адресов: 148.251.183[.]254, 176.9.117[.]218 и 217.160.145[.]62.
Всем пользователям плагина Tatsu Builder настоятельно рекомендуется обновиться до версии 3.3.13.
Конечно, представленные индикаторы компрометации не являются стабильными, но добавить IP-адреса в свой черный список все же стоит.
Darkpills
Wordpress Tatsu builder preauth RCE (CVE-2021-25094)
An unrestricted file upload in Wordpress Tatsubuilder plugin version <= 3.3.11 enables an unauthenticated attacker to perform a remote code execution (RCE) on the server host due to multiple weaknesses in font import feature and put 100,000 websites at risk.…
Новая версия вредоносного ПО UpdateAgent для macOS, написанного на Swift, вовсю применяется в дикой природе. Авторы продолжают свои разработки, добавляя в него функциональные возможности. Новый вариант обнаружили исследователи Jamf Threat Labs.
Но одна особенность вредоносного ПО остается неизменной: мальварь полагается на инфраструктуру AWS для размещения различных полезных нагрузок и выполнения обновлений статуса заражения на сервере
Впервые UpdateAgent был обнаружен Microsoft 365 Defender Threat Intelligence Team в конце 2020 года и с тех пор превратился в дроппер вредоносных программ, обеспечивающий полезную нагрузку второго этапа, например от вредоносного до шпионского или рекламного ПО, а также обход средств защиты macOS Gatekeeper. Обладает многими характеристиками типичных программ-дропперов, включая fingerprinting, регистрацию конечных точек и сохраняемость.
Новая версия на основе Swift маскируется под двоичные файлы Mach-O с именами PDFCreator и ActiveDirectory, которые после выполнения устанавливают соединение с удаленным сервером и извлекают скрипт bash для последующего выполнения. Основное различие между исполняемыми файлами заключается в разных URL-адресам, с которого мальварь должен загрузить сценарий bash. На момент обнаружения бинарный файл не детектировался в VirusTotal.
Выполнение этого сценария bash является основной задачей исполняемого файла mach-O. После извлечения его из URL-адреса он запускается непосредственно из дроппера Swift, не используя жесткий диск.
Сценарии с именами activedirec.sh или bash_qolveevgclr.sh содержат URL-адрес Amazon S3, обеспечивая загрузку и запуск файла образа диска второго этапа (DMG) на скомпрометированной машине. Приложение копируется в каталог /tmp. Затем путь к вновь созданному приложению сохраняется в созданной ранее переменной $TMPFILE. Вредоносное ПО изменяет файл /etc/sudoers таким образом, что обычный пользователь может выполнить скрипт ($TMPFILE) от имени root, не требуя пароля.
Далее вредоносная программа создает LaunchAgent пользовательского уровня, выполняя серию команд PlistBuddy. Несмотря на то, что он работает от имени пользователя LaunchAgent, он может перейти в root без пароля из-за ранее упомянутой модификации, внесенной в файл /etc/sudoers. После загрузки LaunchAgent вредоносный bash-скрипт ненадолго приостанавливается, а затем выполняет очистку, размонтируя файл DMG и удаляя изменения, внесенные им в файл sudoers.
Исследователи отмечают, что развитие этой вредоносной программы указывает но то, что разработчикам удалось хорошенько поработать с бэкендом, выстроим серьезную инфраструктуру для будущих более серьезных атак с использованием UpdateAgent.
Но одна особенность вредоносного ПО остается неизменной: мальварь полагается на инфраструктуру AWS для размещения различных полезных нагрузок и выполнения обновлений статуса заражения на сервере
Впервые UpdateAgent был обнаружен Microsoft 365 Defender Threat Intelligence Team в конце 2020 года и с тех пор превратился в дроппер вредоносных программ, обеспечивающий полезную нагрузку второго этапа, например от вредоносного до шпионского или рекламного ПО, а также обход средств защиты macOS Gatekeeper. Обладает многими характеристиками типичных программ-дропперов, включая fingerprinting, регистрацию конечных точек и сохраняемость.
Новая версия на основе Swift маскируется под двоичные файлы Mach-O с именами PDFCreator и ActiveDirectory, которые после выполнения устанавливают соединение с удаленным сервером и извлекают скрипт bash для последующего выполнения. Основное различие между исполняемыми файлами заключается в разных URL-адресам, с которого мальварь должен загрузить сценарий bash. На момент обнаружения бинарный файл не детектировался в VirusTotal.
Выполнение этого сценария bash является основной задачей исполняемого файла mach-O. После извлечения его из URL-адреса он запускается непосредственно из дроппера Swift, не используя жесткий диск.
Сценарии с именами activedirec.sh или bash_qolveevgclr.sh содержат URL-адрес Amazon S3, обеспечивая загрузку и запуск файла образа диска второго этапа (DMG) на скомпрометированной машине. Приложение копируется в каталог /tmp. Затем путь к вновь созданному приложению сохраняется в созданной ранее переменной $TMPFILE. Вредоносное ПО изменяет файл /etc/sudoers таким образом, что обычный пользователь может выполнить скрипт ($TMPFILE) от имени root, не требуя пароля.
Далее вредоносная программа создает LaunchAgent пользовательского уровня, выполняя серию команд PlistBuddy. Несмотря на то, что он работает от имени пользователя LaunchAgent, он может перейти в root без пароля из-за ранее упомянутой модификации, внесенной в файл /etc/sudoers. После загрузки LaunchAgent вредоносный bash-скрипт ненадолго приостанавливается, а затем выполняет очистку, размонтируя файл DMG и удаляя изменения, внесенные им в файл sudoers.
Исследователи отмечают, что развитие этой вредоносной программы указывает но то, что разработчикам удалось хорошенько поработать с бэкендом, выстроим серьезную инфраструктуру для будущих более серьезных атак с использованием UpdateAgent.
Jamf
UpdateAgent malware adapts again
Jamf Protect stops UpdateAgent malware with newly updated features from evolving as a threat on your macOS fleet.
NVIDIA исправили десять уязвимостей, в том числе 4 - высокой степени серьезности и 6 - средней, в драйверах графического процессора Windows для широкого спектра моделей видеокарт.
Обновления доступны для программных продуктов Tesla, RTX/Quadro, NVS, Studio и GeForce, охватывая ветки драйверов R450, R470 и R510. Патч также распространяется на карты серий GTX 600 и GTX 700 Kepler, поддержка которых закончилась в октябре 2021 года.
В числе серьезных баг, эксплуатации которых не требуют высоких привилегий или взаимодействия с пользователем, следующие:
Cisco Talos, обнаружившие CVE-2022-28181 и CVE-2022-28182, представили подробный сценарии уязвимости повреждения памяти, предоставив искаженный вычислительный шейдер. Используявредоносный шейдер в браузере с помощью WebAssembly и WebGL, злоумышленники могут запускать эксплуатацию удаленно.
NVIDIA раскрыл подробную информацию обо всех исправлениях в ПО в недавнем бюллетене. Всем пользователям рекомендуется ознакомиться, и применить обновления либо с помощью центрального раздела загрузки либо через NVIDIA GeForce Experience.
Обновления доступны для программных продуктов Tesla, RTX/Quadro, NVS, Studio и GeForce, охватывая ветки драйверов R450, R470 и R510. Патч также распространяется на карты серий GTX 600 и GTX 700 Kepler, поддержка которых закончилась в октябре 2021 года.
В числе серьезных баг, эксплуатации которых не требуют высоких привилегий или взаимодействия с пользователем, следующие:
• CVE-2022-28181 (оценка CVSS v3: 8,5) — запись за пределами границ на уровне режима ядра, вызванная специально созданным шейдером, отправленным по сети, что может привести к выполнению кода, отказу в обслуживании, повышению привилегий, информации. разглашение и фальсификация данных. • CVE-2022-28182 (оценка CVSS v3: 8,5) — ошибка в драйвере пользовательского режима DirectX11, позволяющая неавторизованному злоумышленнику отправлять специально созданный общий ресурс по сети и вызывать отказ в обслуживании, повышение привилегий, раскрытие информации и фальсификацию данных. • CVE-2022-28183 (оценка CVSS v3: 7,7) — уязвимость на уровне режима ядра, когда непривилегированный обычный пользователь может вызвать чтение за пределами границ, что может привести к отказу в обслуживании и раскрытию информации. • CVE-2022-28184 (оценка CVSS v3: 7,1) — уязвимость в обработчике уровня режима ядра (nvlddmkm.sys) для DxgkDdiEscape, связанная с тем, что непривилегированный пользователь может получить доступ к регистрам с привилегиями администратора, что может привести к отказу в обслуживании, раскрытию информации и фальсификация данных.Cisco Talos, обнаружившие CVE-2022-28181 и CVE-2022-28182, представили подробный сценарии уязвимости повреждения памяти, предоставив искаженный вычислительный шейдер. Используявредоносный шейдер в браузере с помощью WebAssembly и WebGL, злоумышленники могут запускать эксплуатацию удаленно.
NVIDIA раскрыл подробную информацию обо всех исправлениях в ПО в недавнем бюллетене. Всем пользователям рекомендуется ознакомиться, и применить обновления либо с помощью центрального раздела загрузки либо через NVIDIA GeForce Experience.
Cisco Talos Blog
Vulnerability Spotlight: Multiple memory corruption vulnerabilities in NVIDIA GPU driver
Piotr Bania of Cisco Talos discovered these vulnerabilities.
Cisco Talos recently discovered four vulnerabilities in the NVIDIA D3D10 driver for graphics cards that could allow an attacker to corrupt memory and write arbitrary memory on the card.
NVIDIA…
Cisco Talos recently discovered four vulnerabilities in the NVIDIA D3D10 driver for graphics cards that could allow an attacker to corrupt memory and write arbitrary memory on the card.
NVIDIA…
Как известно на войне, помимо решения военных задач заинтересованные стороны делят рынки сбыта своих вооружений. И Украина не стала исключением: только демонстрируется не военная техника, а передовые технологии гибридной войны, которые поставляются ведущими американскими поставщиками.
Своеобразным подтверждением стало интервью с генеральным директором Clearview AI Хоан Тон-Тат, компании-разработчика системы распознавания лиц с крупнейшей в мире базой, которую в течение года пополнят еще на 100 миллиардов изображений (то есть по 13 фото каждого человека на планете).
Руководитель Clearview AI открыто признала, что технология распознавания используется военными и спецслужбами Украины (всего в шести ведомствах). Информацию о предоставлении Украине доступа к системе также подтверждает Министерство цифровой трансформации Украины. Помимо доступа сотрудники Clearview проводили обучение работе с системой для украинцев.
Говоря о злоупотреблениях системой, все очень просто: контроль возможных злоупотреблений возложен на самих же пользователей, а точнее закреплённых среди них администраторов из их числа, чей допуск позволяет отрубать токены пользователей. Но, как вы уже поняли, до настоящего момента не отозвано ни одного аккаунта, а руководство сервиса смотрит на это закрытыми глазами, как впрочем и на весь европейский правовой режим.
Если отбросить все мантры про социальный характер системы, позволяющей устанавливать личность военнопленных и погибших, то в реальности представители ВСУ используют сведения системы для отправки угроз и неописуемо мерзких роликов членам семей идентифицированных россиян. Хоан Тон-Тат не скрывает этого и полагает, что таким образом «русские должны почувствовать истинную цену войны».
Кроме того, система используется и для расследования дел о военных преступлениях, для этого в журналах поиска указываются номер и вид дела, а также его уголовная окраска. Приговоры и доказательственную базу, вероятно, также верстать будут на распечатках из Clearview.
Кстати, почти все вопросы в интервью можно заменить утвердительными предложениями, ответы можно не читать. Кроме одного вопроса - в котором прямо указывается на попадание доступа в систему представителями IT-армии Украины, хакеры которой засветили скрины из системы. На него ответа и не требуется.
Если кто-то до сих пор считает и верит в пушистых американки айтишников, которые несут гуманитарную благодать на Украину, то взгляните на одного из топов Clearview, кто конкретно стоял за решением предоставить доступ к технологии: Ли Волоски, входил в Совет национальной безопасности США при трех президентах, занимая должность директора по транснациональным угрозам, неоднократно лично свидетельствовал перед Конгрессом и является пожизненным членом Совета по международным отношениям.
Весь NSO-скандал - спектакль для европейцев, играющих в демократию и борьбу за права человека. Дядя Сэм дал четко понять, что Clearview AI в его исключительной юрисдикции, впрочем как и вся Европа.
Своеобразным подтверждением стало интервью с генеральным директором Clearview AI Хоан Тон-Тат, компании-разработчика системы распознавания лиц с крупнейшей в мире базой, которую в течение года пополнят еще на 100 миллиардов изображений (то есть по 13 фото каждого человека на планете).
Руководитель Clearview AI открыто признала, что технология распознавания используется военными и спецслужбами Украины (всего в шести ведомствах). Информацию о предоставлении Украине доступа к системе также подтверждает Министерство цифровой трансформации Украины. Помимо доступа сотрудники Clearview проводили обучение работе с системой для украинцев.
Говоря о злоупотреблениях системой, все очень просто: контроль возможных злоупотреблений возложен на самих же пользователей, а точнее закреплённых среди них администраторов из их числа, чей допуск позволяет отрубать токены пользователей. Но, как вы уже поняли, до настоящего момента не отозвано ни одного аккаунта, а руководство сервиса смотрит на это закрытыми глазами, как впрочем и на весь европейский правовой режим.
Если отбросить все мантры про социальный характер системы, позволяющей устанавливать личность военнопленных и погибших, то в реальности представители ВСУ используют сведения системы для отправки угроз и неописуемо мерзких роликов членам семей идентифицированных россиян. Хоан Тон-Тат не скрывает этого и полагает, что таким образом «русские должны почувствовать истинную цену войны».
Кроме того, система используется и для расследования дел о военных преступлениях, для этого в журналах поиска указываются номер и вид дела, а также его уголовная окраска. Приговоры и доказательственную базу, вероятно, также верстать будут на распечатках из Clearview.
Кстати, почти все вопросы в интервью можно заменить утвердительными предложениями, ответы можно не читать. Кроме одного вопроса - в котором прямо указывается на попадание доступа в систему представителями IT-армии Украины, хакеры которой засветили скрины из системы. На него ответа и не требуется.
Если кто-то до сих пор считает и верит в пушистых американки айтишников, которые несут гуманитарную благодать на Украину, то взгляните на одного из топов Clearview, кто конкретно стоял за решением предоставить доступ к технологии: Ли Волоски, входил в Совет национальной безопасности США при трех президентах, занимая должность директора по транснациональным угрозам, неоднократно лично свидетельствовал перед Конгрессом и является пожизненным членом Совета по международным отношениям.
Весь NSO-скандал - спектакль для европейцев, играющих в демократию и борьбу за права человека. Дядя Сэм дал четко понять, что Clearview AI в его исключительной юрисдикции, впрочем как и вся Европа.
therecord.media
At war with facial recognition: Clearview AI in Ukraine
Facial recognition technology is changing the war in Ukraine. It is finding infiltrators, providing evidence for war crimes and, more darkly, providing fodder for propaganda. We talk to Clearview AI’s CEO about its role in the conflict and what it means for…
Исследователи NCC Group без труда вскрыли Tesla Model 3 и Y в ходе ретрансляционной атаки Bluetooth с низким энергопотреблением (BLE), которая обходит все существующие средства защиты для аутентификации на целевых устройствах.
Технология BLE используется от электроники, такой как ноутбуки, мобильные телефоны, умные замки и системы контроля доступа в здания, до автомобилей, таких как Tesla Model 3 и Model Y. Решения с BLE для аутентификацией на основе сближения защищают от известных методов ретрансляционных атак посредством проверок, основанных на точном количестве задержек, а также с помощью шифрования на уровне канала.
Ретрансляционная атака работает на канальном уровне, что позволяет пересылать зашифрованные PDU канального уровня, а также способен обнаруживать зашифрованные изменения параметров соединения (таких как интервал соединения, WinOffset, режим PHY и карта каналов), продолжая ретранслировать соединения посредством изменений параметров.
По мнению исследователей, ни шифрование канального уровня, ни изменение параметров зашифрованного соединения не являются защитой от этого типа ретрансляционных атак.
Группа NCC разработала инструмент, который работает на канальном уровне с задержкой 8 мс (в пределах допустимого диапазона 30 мс ответа GATT (Generic ATTtribute Profile). Для запуска атаки требуется около десяти секунд, и ее можно повторять бесконечно.
Tesla Model 3 и Model Y используют систему входа на основе BLE, поэтому атака NCC может быть использована для разблокировки и запуска автомобиля, чего добились исследователи в ходе тестирования метода на Tesla Model 3 2020 года с использованием iPhone 13 mini с приложением Tesla. Эксперимент также был успешно воспроизведен и на Tesla Model Y 2021 года, поскольку в нем используются аналогичные технологии. По понятным причинам технические детали новой ретрансляционной атаки BLE не были опубликованы, но оценить тесты вы можете сами на видео.
Исследование NCC Group в отношении новой бесконтактной атаки доступно в трех отдельных бюллетенях: для BLE в целом, одно для автомобилей Tesla и другое для замков Kwikset/Weiser. В целом, проблема влияет на достаточно широкий набор устройств, товаров и решений других производителей.
Производители Tesla также изучали ролики и детали атак, о которых им сообщили 21 апреля, однако спустя неделю компания ответила, что ретрансляционные атаки являются известным ограничением системы пассивного входа. И с ними не поспоришь. Однако всегда принять меры защиты все же возможно.
Среди альтернатив исследователи выделяют: переход на метод аутентификации, требующий взаимодействия с пользователем, использование решения для ограничения расстояния (радиотехнология UWB (сверхширокополосная связь) вместо Bluetooth), использованием функцию «ПИН-кода», отключение функции пассивного входа в мобильном приложении в условиях, когда девайс неподвижен.
Технология BLE используется от электроники, такой как ноутбуки, мобильные телефоны, умные замки и системы контроля доступа в здания, до автомобилей, таких как Tesla Model 3 и Model Y. Решения с BLE для аутентификацией на основе сближения защищают от известных методов ретрансляционных атак посредством проверок, основанных на точном количестве задержек, а также с помощью шифрования на уровне канала.
Ретрансляционная атака работает на канальном уровне, что позволяет пересылать зашифрованные PDU канального уровня, а также способен обнаруживать зашифрованные изменения параметров соединения (таких как интервал соединения, WinOffset, режим PHY и карта каналов), продолжая ретранслировать соединения посредством изменений параметров.
По мнению исследователей, ни шифрование канального уровня, ни изменение параметров зашифрованного соединения не являются защитой от этого типа ретрансляционных атак.
Группа NCC разработала инструмент, который работает на канальном уровне с задержкой 8 мс (в пределах допустимого диапазона 30 мс ответа GATT (Generic ATTtribute Profile). Для запуска атаки требуется около десяти секунд, и ее можно повторять бесконечно.
Tesla Model 3 и Model Y используют систему входа на основе BLE, поэтому атака NCC может быть использована для разблокировки и запуска автомобиля, чего добились исследователи в ходе тестирования метода на Tesla Model 3 2020 года с использованием iPhone 13 mini с приложением Tesla. Эксперимент также был успешно воспроизведен и на Tesla Model Y 2021 года, поскольку в нем используются аналогичные технологии. По понятным причинам технические детали новой ретрансляционной атаки BLE не были опубликованы, но оценить тесты вы можете сами на видео.
Исследование NCC Group в отношении новой бесконтактной атаки доступно в трех отдельных бюллетенях: для BLE в целом, одно для автомобилей Tesla и другое для замков Kwikset/Weiser. В целом, проблема влияет на достаточно широкий набор устройств, товаров и решений других производителей.
Производители Tesla также изучали ролики и детали атак, о которых им сообщили 21 апреля, однако спустя неделю компания ответила, что ретрансляционные атаки являются известным ограничением системы пассивного входа. И с ними не поспоришь. Однако всегда принять меры защиты все же возможно.
Среди альтернатив исследователи выделяют: переход на метод аутентификации, требующий взаимодействия с пользователем, использование решения для ограничения расстояния (радиотехнология UWB (сверхширокополосная связь) вместо Bluetooth), использованием функцию «ПИН-кода», отключение функции пассивного входа в мобильном приложении в условиях, когда девайс неподвижен.