Порой от некоторых "решений" фаворитов программного обеспечения из категории массмаркет волосы дыбом встают и созревает больше вопросов, чем ответов.
В этот раз крупным текстом в заголовках засветился, а точнее засветили специалисты из Minerva Labs, известную каждому юзеру ПК популярнейшую читалку Adobe Acrobat Reader, которая по непонятным причинам решила блокировать антивирусные инструменты для мониторинга PDF-файлов.
Как изложили исследователи, продукт Adobe проверяет, загружены ли в его процессы компоненты ряда продуктов безопасности и блокирует их, фактически лишая их возможности отслеживать вредоносную активность.
Наверное многие еще со школы помнят, как раньше файлы PDF активно использовались для запуска вредоносных программ в системе и чтобы инструмент безопасности отработал, ему необходима видимость всех процессов в системе, что достигается за счет внедрения динамически подключаемых библиотек (DLL) в программные продукты, запускаемые на машине.
Поведение, похожее на поведение подозрительных или вредоносных приложений, связано с использованием Acrobat Reader встроенной платформы Chromium Embedded Framework (CEF), которая имеет некоторые проблемы несовместимости с некоторыми продуктами безопасности.
Minerva заявила, что наблюдала постепенный всплеск такого поведения начиная с марта 2022 года, когда была обновлена библиотека libcef.dll — библиотека CEF. Libcef используется многочисленными приложениями и содержит список DLL, о которых известно, что они вызывают конфликты и которые заблокированы.
Из-за проблем совместимости в Adobe решили выпилить 30 библиотек DLL от различных поставщиков. Среди наиболее популярных — Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft. Тем самым, Acrobat Reader не позволяет продуктам безопасности внедрять библиотеки DLL в процессы AcroCEF.exe и RdrCEF.exe, которые обрабатывают сетевые взаимодействия и некоторые облачные службы документов.
Запрещая продуктам безопасности внедрять свои библиотеки в процессы, Acrobat фактически лишает возможности видеть эти процессы, что создает угрозу безопасности. Например, злоумышленнику достаточно просто добавить команду в раздел «OpenAction» файла PDF и выполнить скрипт на PowerShell, который может загрузить малварь или еще чего.
В общем камень в огород Adobe был брошен по причине того, что они выбрали легкий путь для решения проблемы совместимости, не принимая во внимание последствия такого подхода для безопасности.
В Adobe скромно подтвердили, что им известно об отчете Minerva и что они работают с поставщиками средств защиты для решения проблемы.
Как говорят в подобных случаях: "Бизнес, ничего личного". Либо вовсе есть подозрение, что такие случайности не случайны и сделаны по указанию "Большого брата". Впрочем конспирологию оставим как пищу для размышления, а факты остаются фактами.
В этот раз крупным текстом в заголовках засветился, а точнее засветили специалисты из Minerva Labs, известную каждому юзеру ПК популярнейшую читалку Adobe Acrobat Reader, которая по непонятным причинам решила блокировать антивирусные инструменты для мониторинга PDF-файлов.
Как изложили исследователи, продукт Adobe проверяет, загружены ли в его процессы компоненты ряда продуктов безопасности и блокирует их, фактически лишая их возможности отслеживать вредоносную активность.
Наверное многие еще со школы помнят, как раньше файлы PDF активно использовались для запуска вредоносных программ в системе и чтобы инструмент безопасности отработал, ему необходима видимость всех процессов в системе, что достигается за счет внедрения динамически подключаемых библиотек (DLL) в программные продукты, запускаемые на машине.
Поведение, похожее на поведение подозрительных или вредоносных приложений, связано с использованием Acrobat Reader встроенной платформы Chromium Embedded Framework (CEF), которая имеет некоторые проблемы несовместимости с некоторыми продуктами безопасности.
Minerva заявила, что наблюдала постепенный всплеск такого поведения начиная с марта 2022 года, когда была обновлена библиотека libcef.dll — библиотека CEF. Libcef используется многочисленными приложениями и содержит список DLL, о которых известно, что они вызывают конфликты и которые заблокированы.
Из-за проблем совместимости в Adobe решили выпилить 30 библиотек DLL от различных поставщиков. Среди наиболее популярных — Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft. Тем самым, Acrobat Reader не позволяет продуктам безопасности внедрять библиотеки DLL в процессы AcroCEF.exe и RdrCEF.exe, которые обрабатывают сетевые взаимодействия и некоторые облачные службы документов.
Запрещая продуктам безопасности внедрять свои библиотеки в процессы, Acrobat фактически лишает возможности видеть эти процессы, что создает угрозу безопасности. Например, злоумышленнику достаточно просто добавить команду в раздел «OpenAction» файла PDF и выполнить скрипт на PowerShell, который может загрузить малварь или еще чего.
В общем камень в огород Adobe был брошен по причине того, что они выбрали легкий путь для решения проблемы совместимости, не принимая во внимание последствия такого подхода для безопасности.
В Adobe скромно подтвердили, что им известно об отчете Minerva и что они работают с поставщиками средств защиты для решения проблемы.
Как говорят в подобных случаях: "Бизнес, ничего личного". Либо вовсе есть подозрение, что такие случайности не случайны и сделаны по указанию "Большого брата". Впрочем конспирологию оставим как пищу для размышления, а факты остаются фактами.
Minerva Labs
Does Acrobat Reader Unload Injection of Security Products?
Since March of 2022 we’ve seen a gradual uptick in Adobe Reader processes attempting to query which security product DLLs are loaded into it by acquiring a handle of the DLL. The significant rise over the recent months has caught our attention as it is very…
Как и ожидалось, вопрос урегулирования скандала NSO Group точно не закончится банальным захватом актива фактически за бесценок, о чем мы сообщали совсем недавно.
Это, конечно, хороший бонус всей международной операции американских спецслужб, но стратегическая цель немного другая.
На этой неделе, по информации Politico, израильский поставщик шпионского ПО признал перед Европарламентом нарушения, связанные с применением технологии для наблюдения Pegasus на территории 5 стран союза.
Кроме того, по случаю летней сессии Парламентской ассамблеи Советом Европы был представлен новый доклад о влиянии шпионского ПО Pegasus на права человека.
Орган отметил в отчете, что применение Pegasus не требует сотрудничества с телекоммуникационными компаниями, и он может легко преодолеть шифрование, SSL, проприетарные протоколы и любые препятствия, связанные со сложными коммуникациями по всему миру, что создает серьезные риски для гарантии основных прав и свобод.
Раскрытие информации произошло в результате проведенного созданным в апреле 2022 года специальным следственным комитетом расследования предполагаемых нарушений законодательства ЕС в рамках инцидента с ПО Pegasus, который использовался для контроля устройств ведущих политиков, дипломатов и общественных деятелей.
Ранее еще в феврале этого года Европейский инспектор по защите данных (EDPS) и вовсе призвал запретить разработку и использование коммерческого шпионского ПО.
И это все к чему?
Отвечаем словами самих NSO Group: признав допущенные ошибки, компания подчеркнула необходимость международного стандарта, регулирующего использование правительством шпионского ПО.
Таким образом, Pegasus и другие аналоги, такие как FinFisher и Cytrox, теперь либо ложиться под большого брата, либо объявляются вне закона со всеми вытекающими последствиями.
Вероятно, в ближайшем будущем рынок шпионского ПО полностью ляжет под штаты и их европейских сателлитов, всех несогласных - в «черный» список Минфина США.
Это, конечно, хороший бонус всей международной операции американских спецслужб, но стратегическая цель немного другая.
На этой неделе, по информации Politico, израильский поставщик шпионского ПО признал перед Европарламентом нарушения, связанные с применением технологии для наблюдения Pegasus на территории 5 стран союза.
Кроме того, по случаю летней сессии Парламентской ассамблеи Советом Европы был представлен новый доклад о влиянии шпионского ПО Pegasus на права человека.
Орган отметил в отчете, что применение Pegasus не требует сотрудничества с телекоммуникационными компаниями, и он может легко преодолеть шифрование, SSL, проприетарные протоколы и любые препятствия, связанные со сложными коммуникациями по всему миру, что создает серьезные риски для гарантии основных прав и свобод.
Раскрытие информации произошло в результате проведенного созданным в апреле 2022 года специальным следственным комитетом расследования предполагаемых нарушений законодательства ЕС в рамках инцидента с ПО Pegasus, который использовался для контроля устройств ведущих политиков, дипломатов и общественных деятелей.
Ранее еще в феврале этого года Европейский инспектор по защите данных (EDPS) и вовсе призвал запретить разработку и использование коммерческого шпионского ПО.
И это все к чему?
Отвечаем словами самих NSO Group: признав допущенные ошибки, компания подчеркнула необходимость международного стандарта, регулирующего использование правительством шпионского ПО.
Таким образом, Pegasus и другие аналоги, такие как FinFisher и Cytrox, теперь либо ложиться под большого брата, либо объявляются вне закона со всеми вытекающими последствиями.
Вероятно, в ближайшем будущем рынок шпионского ПО полностью ляжет под штаты и их европейских сателлитов, всех несогласных - в «черный» список Минфина США.
POLITICO
Pegasus used by at least 5 EU countries, NSO Group tells lawmakers
NSO Group ‘made mistakes,’ its chief lawyer says.
͏Пожалуй, все помнят: «Тридцать тысяч просмотров! Наше ограбление порвало интернет!... Блин, нас пристрелят…» (цитата из к/ф «Большой куш»).
Только в реальной жизни киберпреступники провернули делюгу почти на 99 334 302, 58 долларов США (или 85 837,252 Ethereum), которые незаметно стащили у Harmony через экосистему межсетевых переводов.
В результате вредоносной атаки на проприетарный мост Horizon Ethereum хакеры провернули несколько транзакций, которые скомпрометировали мост, а вместе с ним токены 11 транзакций на солидную сумму.
Блестящая афера была раскрыта, но, к несчастью для Harmony, уже после того, как активы утекли, а остался лишь блок на мост, веселые приключения с ФБР США и изрядно подпорченная репутация.
Конечно, остаются надежды на «белую шляпу», но этого, вероятно, ожидать не стоит. В любом случае, будем посмотреть.
Только в реальной жизни киберпреступники провернули делюгу почти на 99 334 302, 58 долларов США (или 85 837,252 Ethereum), которые незаметно стащили у Harmony через экосистему межсетевых переводов.
В результате вредоносной атаки на проприетарный мост Horizon Ethereum хакеры провернули несколько транзакций, которые скомпрометировали мост, а вместе с ним токены 11 транзакций на солидную сумму.
Блестящая афера была раскрыта, но, к несчастью для Harmony, уже после того, как активы утекли, а остался лишь блок на мост, веселые приключения с ФБР США и изрядно подпорченная репутация.
Конечно, остаются надежды на «белую шляпу», но этого, вероятно, ожидать не стоит. В любом случае, будем посмотреть.
На просторах хакерских форумов появился новый инструмент Quantum LNK Builder, предназначенный для создания вредоносных ярлыков Windows, известных как файлы .LNK.
lnk — это файлы ярлыков, которые ссылаются на другие файлы, папки или приложения для их открытия.
Софт достаточно эффективный и позволяет подделывать почти любое расширение и выбирать из более чем 300 вариантов, не говоря уже о поддержке UAC и обхода Windows SmartScreen.
На борту имеется несколько полезных нагрузок для файлов .LNK, а также предлагаются возможности для создания полезной нагрузки файлов .HTA и образов диска .ISO.
Quantum Lnk Builder выставлен на продажу на нескольких подпольных площадках и цена зависит от плана подписки. Например: 189 евро в месяц, 355 евро на два месяца, 899 евро на шесть месяцев или 1500 евро на бессрочное использование.
По такой цене можно сказать, что почти даром. И, вероятно, не зря исследователи из Cyble стали наблюдать всплеск использования файлов .lnk несколькими семействами вредоносных программ, такими как Emotet, Bumblebee , Qbot и Icedid.
Причем некоторые APT, также используют эти файлы для первоначального выполнения, чтобы доставить конечную полезную нагрузку.
Более того, специалистами утверждается, что Quantum Builder имеет общие связи с северокорейскими хакерами Lazarus.
Утверждение сделано на основе совпадения исходного кода в инструменте и методах работы последнего по использованию файлов .LNK для доставки дополнительных полезных нагрузок в своих атаках.
Примечательно, что Windows по умолчанию скрывает расширение .lnk. Если файл называется имя_файла.txt.lnk, то пользователю будет виден только файл имя_файла.txt, даже если включена опция отображения расширения файла. Собственно, очевидно почему злоумышленники используют файлы ярлыков в качестве маскировки.
lnk — это файлы ярлыков, которые ссылаются на другие файлы, папки или приложения для их открытия.
Софт достаточно эффективный и позволяет подделывать почти любое расширение и выбирать из более чем 300 вариантов, не говоря уже о поддержке UAC и обхода Windows SmartScreen.
На борту имеется несколько полезных нагрузок для файлов .LNK, а также предлагаются возможности для создания полезной нагрузки файлов .HTA и образов диска .ISO.
Quantum Lnk Builder выставлен на продажу на нескольких подпольных площадках и цена зависит от плана подписки. Например: 189 евро в месяц, 355 евро на два месяца, 899 евро на шесть месяцев или 1500 евро на бессрочное использование.
По такой цене можно сказать, что почти даром. И, вероятно, не зря исследователи из Cyble стали наблюдать всплеск использования файлов .lnk несколькими семействами вредоносных программ, такими как Emotet, Bumblebee , Qbot и Icedid.
Причем некоторые APT, также используют эти файлы для первоначального выполнения, чтобы доставить конечную полезную нагрузку.
Более того, специалистами утверждается, что Quantum Builder имеет общие связи с северокорейскими хакерами Lazarus.
Утверждение сделано на основе совпадения исходного кода в инструменте и методах работы последнего по использованию файлов .LNK для доставки дополнительных полезных нагрузок в своих атаках.
Примечательно, что Windows по умолчанию скрывает расширение .lnk. Если файл называется имя_файла.txt.lnk, то пользователю будет виден только файл имя_файла.txt, даже если включена опция отображения расширения файла. Собственно, очевидно почему злоумышленники используют файлы ярлыков в качестве маскировки.
Cyble
Quantum Software: LNK File Builders Gain Popularity
Cyble analyzes Quantum Software, a .lnk -based builder with possible links to the Lazarus APT Group.
Forwarded from S.E.Reborn
Complete_A+_Guide_to_It_Hardware_and_Software_Comptia_A+_Exams_220.pdf
62.5 MB
📖 Complete A+ Guide to It Hardware and Software: Comptia A+ Exams 220-1100 & 220-1102, 9th Edition.
• Дата выхода: 19 Сентября 2022 года.
• Рейтинг: ⭐️⭐️⭐️⭐️⭐️(5 out of 5)
• VT.
🧩 Софт для чтения.
#CompTIA #Eng
• Дата выхода: 19 Сентября 2022 года.
• Рейтинг: ⭐️⭐️⭐️⭐️⭐️(5 out of 5)
• VT.
• Master IT hardware and software installation, configuration, repair, maintenance, and troubleshooting and fully prepare for the CompTIA A+ Core 1 (220-1101) and Core 2 (220-1102) exams. This is your all-in-one, real-world, full-color guide to connecting, managing, and troubleshooting modern devices and systems in authentic IT scenarios. Its thorough instruction is built on the CompTIA A+ Core 1 (220-1101) and Core 2 (220-1102) exam objectives, making this the definitive resource for mastering the tools and technologies you’ll encounter in real IT and business environments. The emphasis on both technical and soft skills will help you rapidly become a well-qualified, professional, and customer-friendly technician.🧩 Софт для чтения.
#CompTIA #Eng
Крестовый поход по переделу рынка коммерческого шпионажа продолжается и входит в активную фазу.
Скормленная общественности NSO Group послужила отличной основой для создания широкого резонанса и обоснования рейдерских амбиций штатов, по указанию которых действуют правозащитники, европейские регуляторы и блок западных технологических компаний.
Вслед за Predator исследователи группы анализа угроз Google (TAG) расчехлили на этой неделе детище итальянского конгломерата RCS Labs и Tykelab Srl, предварительный отчет по которому на днях также выпустили Lookout. На лицо по факту - новая информационная кампания вокруг следующего из списка 30 отслеживаемых Google поставщиков.
Речь идет о шпионском ПО Hermit, следы которого обнаружились в Италии и Казахстане.
Согласно Lookout, Hermit представляет собой модульное ПО для наблюдения, которое может записывать аудио, совершать и перенаправлять телефонные звонки, а также собирать журналы вызовов, контакты, фотографии, местоположение устройства и SMS-сообщения.
В новом отчете Google TAG раскрывает комбинацию тактик, в том числе нетипичные загрузки в качестве начальных векторов заражения, для целевых мобильных пользователей как на iOS, так и на Android.
Шпионское ПО RCS Labs обычно создается по уникальной ссылке, отправляемой жертве. После перехода по ссылке жертве предлагается загрузить и установить вредоносное приложение.
Они нашли доказательства того, что операторы ПО в некоторых случаях работали совместно с интернет-провайдерами жертв, отключая с их помощью мобильную передачу данных.
После чего злоумышленник отправлял вредоносную ссылку целям через SMS с просьбой установить приложение для восстановления подключения к данным.
Использовалась также подложная страница поддержки якобы для помощи потенциальным жертвам восстановить их заблокированные учетные записи Facebook, Instagram или WhatsApp.
Большинство подставных приложений маскировались под приложения мобильных операторов или под приложения для обмена сообщениями.
При этом они недоступны в App Store, но были подписаны сертификатом компании 3-1 Mobile SRL, который удовлетворяет всем требованиям к подписи кода iOS на любых устройствах iOS, поскольку она была зарегистрирована в Apple Developer.
Изученное ресерчерами приложение включало эксплойты для шести CVE, включая 2 0-day: CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907, CVE-2021-30883, а также CVE-2021-30983.
Все они использовались до 2021 года и основаны на общедоступных эксплойтах, написанных различными сообществами джейлбрейкеров, позволяющих повышать привилегии на скомпрометированном устройстве и красть файлы.
Вредоносные приложения для Android поставлялись без эксплойтов. Тем не менее, у них были возможности, которые позволяли загружать и выполнять дополнительные модули с помощью API DexClassLoader.
Свои доводы ответственные за подготовку отчета аналитики Google TAG Бенуа Севенс и Клемент Лесиня уже довели в акурат вчера на слушаниях в Европейском парламенте по теме «Большие технологии и шпионское ПО». Официальные расследования и реакции не заставят себя ждать.
Такие дела.
Скормленная общественности NSO Group послужила отличной основой для создания широкого резонанса и обоснования рейдерских амбиций штатов, по указанию которых действуют правозащитники, европейские регуляторы и блок западных технологических компаний.
Вслед за Predator исследователи группы анализа угроз Google (TAG) расчехлили на этой неделе детище итальянского конгломерата RCS Labs и Tykelab Srl, предварительный отчет по которому на днях также выпустили Lookout. На лицо по факту - новая информационная кампания вокруг следующего из списка 30 отслеживаемых Google поставщиков.
Речь идет о шпионском ПО Hermit, следы которого обнаружились в Италии и Казахстане.
Согласно Lookout, Hermit представляет собой модульное ПО для наблюдения, которое может записывать аудио, совершать и перенаправлять телефонные звонки, а также собирать журналы вызовов, контакты, фотографии, местоположение устройства и SMS-сообщения.
В новом отчете Google TAG раскрывает комбинацию тактик, в том числе нетипичные загрузки в качестве начальных векторов заражения, для целевых мобильных пользователей как на iOS, так и на Android.
Шпионское ПО RCS Labs обычно создается по уникальной ссылке, отправляемой жертве. После перехода по ссылке жертве предлагается загрузить и установить вредоносное приложение.
Они нашли доказательства того, что операторы ПО в некоторых случаях работали совместно с интернет-провайдерами жертв, отключая с их помощью мобильную передачу данных.
После чего злоумышленник отправлял вредоносную ссылку целям через SMS с просьбой установить приложение для восстановления подключения к данным.
Использовалась также подложная страница поддержки якобы для помощи потенциальным жертвам восстановить их заблокированные учетные записи Facebook, Instagram или WhatsApp.
Большинство подставных приложений маскировались под приложения мобильных операторов или под приложения для обмена сообщениями.
При этом они недоступны в App Store, но были подписаны сертификатом компании 3-1 Mobile SRL, который удовлетворяет всем требованиям к подписи кода iOS на любых устройствах iOS, поскольку она была зарегистрирована в Apple Developer.
Изученное ресерчерами приложение включало эксплойты для шести CVE, включая 2 0-day: CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907, CVE-2021-30883, а также CVE-2021-30983.
Все они использовались до 2021 года и основаны на общедоступных эксплойтах, написанных различными сообществами джейлбрейкеров, позволяющих повышать привилегии на скомпрометированном устройстве и красть файлы.
Вредоносные приложения для Android поставлялись без эксплойтов. Тем не менее, у них были возможности, которые позволяли загружать и выполнять дополнительные модули с помощью API DexClassLoader.
Свои доводы ответственные за подготовку отчета аналитики Google TAG Бенуа Севенс и Клемент Лесиня уже довели в акурат вчера на слушаниях в Европейском парламенте по теме «Большие технологии и шпионское ПО». Официальные расследования и реакции не заставят себя ждать.
Такие дела.
Google
Spyware vendor targets users in Italy and Kazakhstan
Today, alongside Google’s Project Zero, we are detailing capabilities provided by RCS Labs, an Italian vendor that uses a combination of tactics, including atypical drive-by downloads as initial infection vectors to target mobile users on both iOS and Android.
Целых шесть месяцев ушло у Oracle для исправления критической уязвимости Fusion Middleware.
Критическая CVE-2022–21445 имеет оценку CVSS 9,8 и описывается как десериализация ненадежных данных, которая может быть использована для RCE. Проблема обнаружена в компоненте ADF Faces и может быть использована удаленно без аутентификации.
Еще в октябре 2021 года ресерчеры Питер Джейсон из VNG Corporation и Нгуен Ян из VNPT сообщили о своей находке в Oracle, а позже и в BestBuy, Dell, NAB Group, Regions Bank, Starbucks, USAA и другим заинтересованным организациям.
По их мнению, ошибку RCE перед аутентификацией они охарактеризовали мега-уязвимостью, которая затрагивает все приложения с ADF Faces, включая Business Intelligence, Enterprise Manager, Identity Management, SOA Suite, WebCenter Portal, Application Testing Suite и Transportation Management.
В дополнение к ней ресерчеры обнаружили также другую серьезную ошибку CVE-2022–21497 (с оценкой CVSS 8,1) подделки запросов на стороне сервера (SSRF). При этом она непосредственно может быть связана с предыдущей для реализации RCE перед аутентификацией в Oracle Access Manager, который обеспечивает единый вход в онлайн-сервисы Oracle.
Разработанный The Miracle Exploit затрагивает все онлайн-системы и облачные сервисы Oracle, использующие ADF Faces. На самом деле, как говорят исследователи, любой веб-сайт, использующий фреймворк ADF Faces, уязвим. Свои доводы исследователи также продемонстрировали на видео (1 и 2).
Исправления выпущены Oracle в рамках критического обновления в апреле 2022 года, спустя через шесть месяцев после первоначального отчета. Учитывая потенциальную опасность уязвимости, вы знаете, что нужно сделать.
Критическая CVE-2022–21445 имеет оценку CVSS 9,8 и описывается как десериализация ненадежных данных, которая может быть использована для RCE. Проблема обнаружена в компоненте ADF Faces и может быть использована удаленно без аутентификации.
Еще в октябре 2021 года ресерчеры Питер Джейсон из VNG Corporation и Нгуен Ян из VNPT сообщили о своей находке в Oracle, а позже и в BestBuy, Dell, NAB Group, Regions Bank, Starbucks, USAA и другим заинтересованным организациям.
По их мнению, ошибку RCE перед аутентификацией они охарактеризовали мега-уязвимостью, которая затрагивает все приложения с ADF Faces, включая Business Intelligence, Enterprise Manager, Identity Management, SOA Suite, WebCenter Portal, Application Testing Suite и Transportation Management.
В дополнение к ней ресерчеры обнаружили также другую серьезную ошибку CVE-2022–21497 (с оценкой CVSS 8,1) подделки запросов на стороне сервера (SSRF). При этом она непосредственно может быть связана с предыдущей для реализации RCE перед аутентификацией в Oracle Access Manager, который обеспечивает единый вход в онлайн-сервисы Oracle.
Разработанный The Miracle Exploit затрагивает все онлайн-системы и облачные сервисы Oracle, использующие ADF Faces. На самом деле, как говорят исследователи, любой веб-сайт, использующий фреймворк ADF Faces, уязвим. Свои доводы исследователи также продемонстрировали на видео (1 и 2).
Исправления выпущены Oracle в рамках критического обновления в апреле 2022 года, спустя через шесть месяцев после первоначального отчета. Учитывая потенциальную опасность уязвимости, вы знаете, что нужно сделать.
Medium
Miracle - One Vulnerability To Rule Them All
# Introduction
В американской прессе начинаются осторожные попытки закинуть тему причастности русских хакеров к крупной аварии на заводе СПГ Freeport LNG. Пока устами маргинальных журналистов, но лиха беда начало.
Напомним, что произошедшая 8 июня авария на Freeport LNG разом сократила экспорт американского СПГ почти на 20% по меньшей мере до конца июня. Европа взвыла, а цены на газ на внутреннем американском рынке сразу пошли вниз, что сильно обрадовало местный электорат.
21 июня в американском издании Washington Examiner вышла статья, в которой со ссылкой на двух неназванных источников утверждается, что в конце февраля, параллельно с началом СВО на Украине, хакеры ГРУ провели кибероперацию, направленную на Freeport LNG. А следовательно и июньский взрыв на заводе СПГ является последствием атаки русских хакеров.
В качестве атакующего актора автором статьи названа группа XENOTIME, ответственная за атаку на один из саудовских НПЗ в 2017 году с использованием специализированного вредоноса Triton. По сути деструктивной атаки тогда не было, Triton был сугубо кибершпионским ПО, но в силу недостатков разработки уронил некоторые из элементов АСУ ТП, после чего и был обнаружен. В 2019 году FireEye связали разработчика Triton с московским Центральным научно-исследовательским институтом химии и механики (ЦНИИХМ), однако атрибуция была весьма сомнительна.
Теперь автор статьи, американский журналист Том Роган, утверждает, что "очевидный отказ систем безопасности Freeport LNG соответствует методам работы XENOTIME", что указывает на его полную некомпетентность.
Сам Том Роган - личность одиозная, он штатный редактор Washington Examiner и сотрудничает с рядом крупных американских изданий, в частности является обозревателем Washington Times по вопросам национальной безопасности. В 2018 году отметился скандальной статьей "Украина должна взорвать Крымский мост Путина", которая вызвала дипломатический скандал, а Рогана после этого заабьюзили Лексус и Вован.
В ответ на статью Freeport LNG дали 23 июня официальный комментарий, в котором заявили, что кибератака исключена в качестве причины аварии на производстве.
Тем не менее, 24 июня авторитетное отраслевое издание American Military News понесло вброс Тома Рогана дальше, вместе с его комментарием об отсутствии у Freeport LNG систем безопасности АСУ ТП (проводим аудит ИБ дистанционно за 5 минут, не гербалайф).
Пока информационная волна невелика, надо посмотреть будет ли развитие. В качестве одной из вероятных целей предполагаем основание для проведения в будущем кибератак на критическую инфраструктуру России.
Напомним, что произошедшая 8 июня авария на Freeport LNG разом сократила экспорт американского СПГ почти на 20% по меньшей мере до конца июня. Европа взвыла, а цены на газ на внутреннем американском рынке сразу пошли вниз, что сильно обрадовало местный электорат.
21 июня в американском издании Washington Examiner вышла статья, в которой со ссылкой на двух неназванных источников утверждается, что в конце февраля, параллельно с началом СВО на Украине, хакеры ГРУ провели кибероперацию, направленную на Freeport LNG. А следовательно и июньский взрыв на заводе СПГ является последствием атаки русских хакеров.
В качестве атакующего актора автором статьи названа группа XENOTIME, ответственная за атаку на один из саудовских НПЗ в 2017 году с использованием специализированного вредоноса Triton. По сути деструктивной атаки тогда не было, Triton был сугубо кибершпионским ПО, но в силу недостатков разработки уронил некоторые из элементов АСУ ТП, после чего и был обнаружен. В 2019 году FireEye связали разработчика Triton с московским Центральным научно-исследовательским институтом химии и механики (ЦНИИХМ), однако атрибуция была весьма сомнительна.
Теперь автор статьи, американский журналист Том Роган, утверждает, что "очевидный отказ систем безопасности Freeport LNG соответствует методам работы XENOTIME", что указывает на его полную некомпетентность.
Сам Том Роган - личность одиозная, он штатный редактор Washington Examiner и сотрудничает с рядом крупных американских изданий, в частности является обозревателем Washington Times по вопросам национальной безопасности. В 2018 году отметился скандальной статьей "Украина должна взорвать Крымский мост Путина", которая вызвала дипломатический скандал, а Рогана после этого заабьюзили Лексус и Вован.
В ответ на статью Freeport LNG дали 23 июня официальный комментарий, в котором заявили, что кибератака исключена в качестве причины аварии на производстве.
Тем не менее, 24 июня авторитетное отраслевое издание American Military News понесло вброс Тома Рогана дальше, вместе с его комментарием об отсутствии у Freeport LNG систем безопасности АСУ ТП (проводим аудит ИБ дистанционно за 5 минут, не гербалайф).
Пока информационная волна невелика, надо посмотреть будет ли развитие. В качестве одной из вероятных целей предполагаем основание для проведения в будущем кибератак на критическую инфраструктуру России.
Washington Examiner
Did Russian hackers blow up a Texas LNG pipeline on June 8?
June 23, 3:15 p.m. Eastern Standard Time update. On Thursday, Freeport LNG provided the Washington Examiner with a statement: "While our ongoing investigation continues, a cyberattack was ruled out as the cause within days of the incident. After a thorough…
Спецы по безопасности цепочек поставок ПО Sonatype обнаружили очередные вредоносные пакеты Python PyPi, посредством которых подтягивалась конфиденциальная информация, включая учетные данные AWS.
Среди них: loglib-modules, pyg-modules, pygrata, pygrata-utils и hkg-sol-utils.
При этом первые два пакета закамуфлированы под известные проекты на PyPI, вводя в заблуждение невнимательных или неопытных разработчиков в ходе их имплементации, последние три не имеют явного таргетинга, но все имеют сходство кода или взаимосвязи.
Как выяснили аналитики, пакеты loglib-modules и pygrata-utils изначально имели фунционал кражи данных, захвата учетных данных AWS, извлечения информации о сетевом интерфейсе и переменных средах. Пакет Pygrata хотя и не реализовывал кражу, но в качестве зависимости был функционально связан с pygrata-utils.
Перехватываемые данные хранились в формате TXT и передавались через домен PyGrata[.]com. При этом конечная точка не была защищена должным образом, в связи с чем аналитики могли ознакомиться со всем, что утекло.
После того, как ресерчеры публично разоблачили злоумышленников, доступ был закрыт. Объяснений, как и полагается, также не поступило.
Пакеты были удалены достаточно оперативно, однако pygrata все же провисела в доступе еще какое-то время.
Этично или нет поступили владельцы пакетов, даже если это было сделано из альтруистических соображений - утекшие невольных участников этого эксперимента в конечном счете были раскрыты.
В любом случае, таргет был направлен на разработчиков, заинтересованных в определенных инструменты для своих проектов, трюки с опечатками и игрой символов отпадают.
Как бы то ни было, доверяй, но проверяй - следует четко изучать историю выпусков, даты загрузки, ссылки на домашнюю страницу, описания пакетов и номера загрузок, что в совокупности помогает определить, является ли пакет Python настоящим или подсадной подделкой.
Среди них: loglib-modules, pyg-modules, pygrata, pygrata-utils и hkg-sol-utils.
При этом первые два пакета закамуфлированы под известные проекты на PyPI, вводя в заблуждение невнимательных или неопытных разработчиков в ходе их имплементации, последние три не имеют явного таргетинга, но все имеют сходство кода или взаимосвязи.
Как выяснили аналитики, пакеты loglib-modules и pygrata-utils изначально имели фунционал кражи данных, захвата учетных данных AWS, извлечения информации о сетевом интерфейсе и переменных средах. Пакет Pygrata хотя и не реализовывал кражу, но в качестве зависимости был функционально связан с pygrata-utils.
Перехватываемые данные хранились в формате TXT и передавались через домен PyGrata[.]com. При этом конечная точка не была защищена должным образом, в связи с чем аналитики могли ознакомиться со всем, что утекло.
После того, как ресерчеры публично разоблачили злоумышленников, доступ был закрыт. Объяснений, как и полагается, также не поступило.
Пакеты были удалены достаточно оперативно, однако pygrata все же провисела в доступе еще какое-то время.
Этично или нет поступили владельцы пакетов, даже если это было сделано из альтруистических соображений - утекшие невольных участников этого эксперимента в конечном счете были раскрыты.
В любом случае, таргет был направлен на разработчиков, заинтересованных в определенных инструменты для своих проектов, трюки с опечатками и игрой символов отпадают.
Как бы то ни было, доверяй, но проверяй - следует четко изучать историю выпусков, даты загрузки, ссылки на домашнюю страницу, описания пакетов и номера загрузок, что в совокупности помогает определить, является ли пакет Python настоящим или подсадной подделкой.
Sonatype
Python packages upload your AWS keys, env vars, secrets to the web
Multiple Python packages caught by Sonatype were seen uploading secrets such as AWS keys and environment variables to a web endpoint.
Codesys объявили об исправлении более десятка уязвимостей.
Программные решения для промышленной автоматизации, предоставляемые немецкой компанией используются у крупнейших в мире производителей систем промышленного управления (ICS) и уязвимости продуктов Codesys, могут затронуть значительное количество устройств.
Причем о проблемах в продуктах немецкой компании сообщили исследователи из китайской фирмы по кибербезопасности NSFocus. Видимо не весь инофсек поднебесной по совместительству подрабатывает в APT.
В общей сложности специалистами было обнаружено 13 уязвимостей в продуктах Codesys V2, которым присвоен идентификатор CVE. Две баги были устранены Codesys еще в октябре 2021 года, а 11 были исправлены с обновлениями от 23 июня 2022 года.
Уязвимости очень просты и могут быть использованы для утечки конфиденциальной информации, перехода ПЛК в состояние критической ошибки и выполнения произвольного кода, а в сочетании с промышленными сценариями на местах эти баги могут парализовать промышленное производство и повредить оборудование.
Двум уязвимостям, связанным с неправильной защитой паролей присвоен «критический» рейтинг серьезности, а нескольким другим — «высокий». Причем более половины недостатков могут быть использованы для атак типа «отказ в обслуживании» (DoS).
В своих бюллетенях Codesys признает, что уязвимости могут быть использованы удаленным злоумышленником, но во многих случаях хакеру требуется какой-либо доступ к целевой системе.
В настоящее время пока не известно о каких-либо общедоступных эксплойтах, нацеленных на выявленные уязвимости.
Однако энтузиасты не поленились и опубликовали видео, как потенциальный злоумышленник может запустить DoS и попытаться закирпичить ПЛК ABB.
Программные решения для промышленной автоматизации, предоставляемые немецкой компанией используются у крупнейших в мире производителей систем промышленного управления (ICS) и уязвимости продуктов Codesys, могут затронуть значительное количество устройств.
Причем о проблемах в продуктах немецкой компании сообщили исследователи из китайской фирмы по кибербезопасности NSFocus. Видимо не весь инофсек поднебесной по совместительству подрабатывает в APT.
В общей сложности специалистами было обнаружено 13 уязвимостей в продуктах Codesys V2, которым присвоен идентификатор CVE. Две баги были устранены Codesys еще в октябре 2021 года, а 11 были исправлены с обновлениями от 23 июня 2022 года.
Уязвимости очень просты и могут быть использованы для утечки конфиденциальной информации, перехода ПЛК в состояние критической ошибки и выполнения произвольного кода, а в сочетании с промышленными сценариями на местах эти баги могут парализовать промышленное производство и повредить оборудование.
Двум уязвимостям, связанным с неправильной защитой паролей присвоен «критический» рейтинг серьезности, а нескольким другим — «высокий». Причем более половины недостатков могут быть использованы для атак типа «отказ в обслуживании» (DoS).
В своих бюллетенях Codesys признает, что уязвимости могут быть использованы удаленным злоумышленником, но во многих случаях хакеру требуется какой-либо доступ к целевой системе.
В настоящее время пока не известно о каких-либо общедоступных эксплойтах, нацеленных на выявленные уязвимости.
Однако энтузиасты не поленились и опубликовали видео, как потенциальный злоумышленник может запустить DoS и попытаться закирпичить ПЛК ABB.
YouTube
[CVE-2022-32137] ABB-PM564 DoS DEMO
A specially crafted 0x9C command packet sent to the controller can cause a denial of service and the controller to be in a fault state(ERR led Blinking Red). A restart is needed to restore normal operations.
Новую точку входа вымогателей обнаружили исследователи CrowdStrike в ходе расследования инцидента с ransomware. Актор использовал 0-day в устройствах Mitel VOIP, расположенных на периметре сети, применив новый эксплойт для удаленного выполнения кода и методы сокрытия своей активности.
Речь идет о критической уязвимости, исправленной Mitel без подтверждения использования и затрагивающей компонент MiVoice Connect (Mitel Service Appliances — SA 100, SA 400 и Virtual SA).
Ресерчеры CrowdStrike точно зафиксировали 0-day в процессе расследования предполагаемой атаки на этапе начального доступа к среде. Активность исходила со внутреннего IP-адреса устройства Mitel VOIP на базе Linux, находящегося в сетевом периметре. Устройство было переведено в автономный режим и получено изображение для дальнейшего анализа, что и привело к обнаружению новой RCE-уязвимости.
Кроме того, злоумышленник попытался стереть свою активность на устройстве Mitel после того, как Falcon Complete обнаружил их активность и предотвратил их боковое перемещение.
Эксплойт включал два GET-запроса. Первый запрос предназначался для get_url параметра файла php, заполняя параметр URL-адресом локального файла на устройстве. Это привело к тому, что второй запрос исходил от самого устройства, что привело к эксплуатации.
Как только обратная оболочка была установлена, субъект создал то, что выглядело как веб-шелл с именем pdf_import.php. После чего также загрузил инструмент Chisel на устройство VOIP, переименовав его memdump. Этот двоичный файл выступал в качестве обратного прокси-сервера, позволяющего актору проникать в окружающую среду через устройство VOIP.
CrowdStrike опубликовал техническую документацию об уязвимости (отслеживается как CVE-2022-29499) и рекомендовал пользователям Mitel VOIP установить доступные исправления поставщиков.
Вывод такой, что своевременное исправление критически важно для защиты устройств периметра. Однако, когда злоумышленники используют незадокументированную уязвимость, своевременное исправление становится неактуальным.
Крайне важно иметь несколько уровней защиты, максимально изолируя критически важные активы от устройств периметра, в частности, целесообразно ограничить доступ к хостам виртуализации или серверам управления, таким как ESXi и vCenter, насколько это возможно.
Речь идет о критической уязвимости, исправленной Mitel без подтверждения использования и затрагивающей компонент MiVoice Connect (Mitel Service Appliances — SA 100, SA 400 и Virtual SA).
Ресерчеры CrowdStrike точно зафиксировали 0-day в процессе расследования предполагаемой атаки на этапе начального доступа к среде. Активность исходила со внутреннего IP-адреса устройства Mitel VOIP на базе Linux, находящегося в сетевом периметре. Устройство было переведено в автономный режим и получено изображение для дальнейшего анализа, что и привело к обнаружению новой RCE-уязвимости.
Кроме того, злоумышленник попытался стереть свою активность на устройстве Mitel после того, как Falcon Complete обнаружил их активность и предотвратил их боковое перемещение.
Эксплойт включал два GET-запроса. Первый запрос предназначался для get_url параметра файла php, заполняя параметр URL-адресом локального файла на устройстве. Это привело к тому, что второй запрос исходил от самого устройства, что привело к эксплуатации.
Как только обратная оболочка была установлена, субъект создал то, что выглядело как веб-шелл с именем pdf_import.php. После чего также загрузил инструмент Chisel на устройство VOIP, переименовав его memdump. Этот двоичный файл выступал в качестве обратного прокси-сервера, позволяющего актору проникать в окружающую среду через устройство VOIP.
CrowdStrike опубликовал техническую документацию об уязвимости (отслеживается как CVE-2022-29499) и рекомендовал пользователям Mitel VOIP установить доступные исправления поставщиков.
Вывод такой, что своевременное исправление критически важно для защиты устройств периметра. Однако, когда злоумышленники используют незадокументированную уязвимость, своевременное исправление становится неактуальным.
Крайне важно иметь несколько уровней защиты, максимально изолируя критически важные активы от устройств периметра, в частности, целесообразно ограничить доступ к хостам виртуализации или серверам управления, таким как ESXi и vCenter, насколько это возможно.
mitel
Mitel Product Security Advisory 22-0002
MiVoice Connect Data Validation Vulnerability
Одна из крупных государственных сталелитейных компаний Ирана Khuzestan Steel Co. была вынуждена остановить производство после того, как подверглась кибератаке.
Хакеры также атаковали также два других отраслевых предприятия, что в совокупности стало беспрецедентным нападением на стратегический промышленный сектор страны за последнее время.
По данным Associated Press, Khuzestan Steel Co. базируется в Ахвазе провинции Хузестан и обладает монополией на производство стали в Иране наряду с двумя названными госкомпаниями.
Правительство рассматривает сталь критическим сектором.
По данным Всемирной ассоциации производителей стали, Иран является ведущим производителем стали на Ближнем Востоке и входит в десятку крупнейших производителей стали в мире. Его железорудные рудники обеспечивают сырье для внутреннего производства и экспортируются в десятки стран, включая Италию, Китай и Объединенные Арабские Эмираты.
Ни правительство Тегерана, ни Khuzestan Steel Company не приписали нападение конкретному злоумышленнику, равно как и ни один из заводов не подтвердил каких-либо повреждений или остановки работы в результате инцидента.
Генеральный директор Khuzestan Steel Амин Эбрахими заявил, что им удалось отбить кибератаку и предотвратить ущерб производству, который мог повлиять на цепочки поставок. Местный новостной канал Jamaran отметил, что атака не состоялась, поскольку на тот период фабрика не работала из-за отключения электроэнергии.
Тем не менее Khuzestan Steel Co. пришлось приостановить работу из-за технических проблем.
Ответственность за атаку взяла на себя анонимная хакерская группа Gonjeshke Darande, заявив, что атака была направлена против трех крупнейших сталелитейных компаний Ирана и является возмездием за «агрессию Исламской Республики».
В качестве доказательств своей причастности хакеры опубликовали видеозапись с заводского цеха Khuzestan Steel Co., на которой было видно, как часть тяжелого оборудования на линии по производству стальных заготовок вышла из строя и вызвала массовый пожар.
Ранее эта же группа заявляла о причастности к кибератаке на иранскую систему распределения топлива, которая состоялась в октябре 2021 года и парализовала работу сети заправочных станций по всей стране.
Безусловно, не называя ни имен, ни стран, ни обстоятельств инцидента компетентные органы Ирана, вероятно, уже завершили расследование и подготовили ответные меры. Не проводя параллелей, к слову, отметим, что пару недель назад два муниципалитета Израиля становились объектом атак неизвестного актора. Жители отделались ложными сработками системы оповещения.
По всей видимости, наметившаяся кибернапряженность на Ближнем Востоке входит в терминальную фазу противостояния, последствиями которого могут стать новые более разрушительные инциденты. Но, будем посмотреть.
Хакеры также атаковали также два других отраслевых предприятия, что в совокупности стало беспрецедентным нападением на стратегический промышленный сектор страны за последнее время.
По данным Associated Press, Khuzestan Steel Co. базируется в Ахвазе провинции Хузестан и обладает монополией на производство стали в Иране наряду с двумя названными госкомпаниями.
Правительство рассматривает сталь критическим сектором.
По данным Всемирной ассоциации производителей стали, Иран является ведущим производителем стали на Ближнем Востоке и входит в десятку крупнейших производителей стали в мире. Его железорудные рудники обеспечивают сырье для внутреннего производства и экспортируются в десятки стран, включая Италию, Китай и Объединенные Арабские Эмираты.
Ни правительство Тегерана, ни Khuzestan Steel Company не приписали нападение конкретному злоумышленнику, равно как и ни один из заводов не подтвердил каких-либо повреждений или остановки работы в результате инцидента.
Генеральный директор Khuzestan Steel Амин Эбрахими заявил, что им удалось отбить кибератаку и предотвратить ущерб производству, который мог повлиять на цепочки поставок. Местный новостной канал Jamaran отметил, что атака не состоялась, поскольку на тот период фабрика не работала из-за отключения электроэнергии.
Тем не менее Khuzestan Steel Co. пришлось приостановить работу из-за технических проблем.
Ответственность за атаку взяла на себя анонимная хакерская группа Gonjeshke Darande, заявив, что атака была направлена против трех крупнейших сталелитейных компаний Ирана и является возмездием за «агрессию Исламской Республики».
В качестве доказательств своей причастности хакеры опубликовали видеозапись с заводского цеха Khuzestan Steel Co., на которой было видно, как часть тяжелого оборудования на линии по производству стальных заготовок вышла из строя и вызвала массовый пожар.
Ранее эта же группа заявляла о причастности к кибератаке на иранскую систему распределения топлива, которая состоялась в октябре 2021 года и парализовала работу сети заправочных станций по всей стране.
Безусловно, не называя ни имен, ни стран, ни обстоятельств инцидента компетентные органы Ирана, вероятно, уже завершили расследование и подготовили ответные меры. Не проводя параллелей, к слову, отметим, что пару недель назад два муниципалитета Израиля становились объектом атак неизвестного актора. Жители отделались ложными сработками системы оповещения.
По всей видимости, наметившаяся кибернапряженность на Ближнем Востоке входит в терминальную фазу противостояния, последствиями которого могут стать новые более разрушительные инциденты. Но, будем посмотреть.
AP News
Cyberattack forces Iran steel company to halt production
One of Iran’s major steel companies says it was forced to halt production after being hit by a cyberattack that also targeted two other plants, marking one of the biggest assaults on the country’s strategic industrial sector in recent memory.
Системы автоматизации зданий (BAS) — достаточно редкая цель для продвинутых злоумышленников, а их компрометация, как правило, носит случайный характер.
Как раз с таким актором пришлось иметь дело ресерчерам Лаборатории Касперского, по мнению которых хакеры после взлома BAS могут скомпрометировать другие части целевой инфраструктуры, включая, помимо прочего, их системы информационной безопасности. Кроме того, эти системы автоматизации могут быть ценным источником высококонфиденциальной информации.
В октябре 2021 года Kaspersky ICS CERT обнаружил ранее неизвестного китайскоязычного злоумышленника, атакующего телекоммуникационные, производственные и транспортные организации в Пакистане, Афганистане и Малайзии.
Предположительно, волна атак началась еще в марте 2021 года, группа использовала уязвимость CVE-2021-26855 в Microsoft Exchange для развертывания вредоносного ПО ShadowPad и проникновения в системы автоматизации зданий.
Атаки имели уникальный набор TTP, что навело ресерчеров на мысль, что за ними стоит одна и та же китайскоязычная угроза. При этом актор использовал инженерные компьютеры в системах автоматизации зданий в качестве точки проникновения.
В ходе расследования исследователи обнаружили дополнительные инструменты и команды, используемые злоумышленником после первоначального заражения. Так, с марта по октябрь 2021 года бэкдор ShadowPad загружался на компьютеры жертв в виде файла mscoree.dll, который запускался AppLaunch.exe — совершенно легитимным приложением.
Позже злоумышленники запускали ShadowPad с помощью перехвата DLL в легитимном приложении для просмотра объектов OLE-COM (OleView). После первоначального заражения злоумышленники сначала отправляли команды вручную, затем автоматически через интерфейс командной строки (cmd.exe).
Позже злоумышленники стали распространять вредоносный скрипт для cmd.exe по сетям атакуемых организаций. Скрипт был практически полностью идентичен (по своему содержанию и последовательности команд) обнаруженной ранее последовательности ручных действий. Он не только доставлялся по сети, но и добавлялся злоумышленниками в планировщик задач для ежедневного выполнения.
Важно отметить, что именно эта часть ТТП достаточно уникальна, и атрибутирует подобную деятельность с ранее неизвестной китаеязычной АРТ.
В числе других инструментов использовались: CobaltStrike, загружаемый на машины-жертвы с помощью утилиты certutil.exe, скомпилированных веб-оболочек aspx, инструментов procdump и Mimikatz; бэкдор PlugX; BAT-файлы (для кражи учетных данных); веб-шеллы (для удаленного доступа к веб-серверу), а также Nextnet (для сканирования сетевых узлов).
Для связи с C2 злоумышленники использовали домены, зарегистрированные в NameSilo, GoDaddy.com и ENOM. Большинство C2 размещались на арендованных выделенных серверах Choopa.
При анализе атак исследователи обнаружили совпадения с другой китайской APT, отслеживаемой как Hafnium, которая, как известно, также использовала эксплойты Exchange ProxyLogon. Однако представленных артефактов недостаточно, чтобы говорить о причастности HAFNUM к атакам, описанным в отчете.
Конечную цель актора ресерчерам не удалось установить, однако, по всей видимости, группа нацелена на сбор данных. Kaspersky ICS CERT полагают, что актор может иметь более широкие географические интересы и соответственно список жертв.
Как раз с таким актором пришлось иметь дело ресерчерам Лаборатории Касперского, по мнению которых хакеры после взлома BAS могут скомпрометировать другие части целевой инфраструктуры, включая, помимо прочего, их системы информационной безопасности. Кроме того, эти системы автоматизации могут быть ценным источником высококонфиденциальной информации.
В октябре 2021 года Kaspersky ICS CERT обнаружил ранее неизвестного китайскоязычного злоумышленника, атакующего телекоммуникационные, производственные и транспортные организации в Пакистане, Афганистане и Малайзии.
Предположительно, волна атак началась еще в марте 2021 года, группа использовала уязвимость CVE-2021-26855 в Microsoft Exchange для развертывания вредоносного ПО ShadowPad и проникновения в системы автоматизации зданий.
Атаки имели уникальный набор TTP, что навело ресерчеров на мысль, что за ними стоит одна и та же китайскоязычная угроза. При этом актор использовал инженерные компьютеры в системах автоматизации зданий в качестве точки проникновения.
В ходе расследования исследователи обнаружили дополнительные инструменты и команды, используемые злоумышленником после первоначального заражения. Так, с марта по октябрь 2021 года бэкдор ShadowPad загружался на компьютеры жертв в виде файла mscoree.dll, который запускался AppLaunch.exe — совершенно легитимным приложением.
Позже злоумышленники запускали ShadowPad с помощью перехвата DLL в легитимном приложении для просмотра объектов OLE-COM (OleView). После первоначального заражения злоумышленники сначала отправляли команды вручную, затем автоматически через интерфейс командной строки (cmd.exe).
Позже злоумышленники стали распространять вредоносный скрипт для cmd.exe по сетям атакуемых организаций. Скрипт был практически полностью идентичен (по своему содержанию и последовательности команд) обнаруженной ранее последовательности ручных действий. Он не только доставлялся по сети, но и добавлялся злоумышленниками в планировщик задач для ежедневного выполнения.
Важно отметить, что именно эта часть ТТП достаточно уникальна, и атрибутирует подобную деятельность с ранее неизвестной китаеязычной АРТ.
В числе других инструментов использовались: CobaltStrike, загружаемый на машины-жертвы с помощью утилиты certutil.exe, скомпилированных веб-оболочек aspx, инструментов procdump и Mimikatz; бэкдор PlugX; BAT-файлы (для кражи учетных данных); веб-шеллы (для удаленного доступа к веб-серверу), а также Nextnet (для сканирования сетевых узлов).
Для связи с C2 злоумышленники использовали домены, зарегистрированные в NameSilo, GoDaddy.com и ENOM. Большинство C2 размещались на арендованных выделенных серверах Choopa.
При анализе атак исследователи обнаружили совпадения с другой китайской APT, отслеживаемой как Hafnium, которая, как известно, также использовала эксплойты Exchange ProxyLogon. Однако представленных артефактов недостаточно, чтобы говорить о причастности HAFNUM к атакам, описанным в отчете.
Конечную цель актора ресерчерам не удалось установить, однако, по всей видимости, группа нацелена на сбор данных. Kaspersky ICS CERT полагают, что актор может иметь более широкие географические интересы и соответственно список жертв.
Kaspersky ICS CERT | Kaspersky Industrial Control Systems Cyber Emergency Response Team
Attacks on industrial control systems using ShadowPad | Kaspersky ICS CERT
A previously unknown Chinese-speaking threat actor attacking telecommunications, manufacturing, and transport organizations in several Asian countries. The group exploits MS Exchange vulnerability to deploy ShadowPad malware and infiltrates building automation…
Специалисты из Cyble предупреждают о кампании вредоносного ПО Matanbuchus и не просто так, а по причине того, что загрузчик активно используется и доступен на хакерских форумах.
Вполне адекватный прайс $2500 за тулзу оснащенную возможностями для запуска файлов .EXE и .DLL в памяти и выполнения произвольных команд PowerShell.
Matanbuchus, как и другие загрузчики вредоносных программ, такие как BazarLoader, Bumblebee и Colibri, разработан для загрузки и выполнения исполняемых файлов с серверов управления и контроля (C&C).
Малварь попала в поле зрения в феврале 2021 года, когда стала предоставляться как услуга и распространяться посредством фишинговых кампаний. Создатель Matanbuchus - некий господин, известный в сети как BelialDemon, а в преисподней, вероятно как падший ангел (от ивр. - «не имеющий жалости»).
В Cyble начали свое расследование после того, как наткнулись на сообщение в Твиттере от Unit 42, предупреждающего о распространении загрузчика через спам-кампании. К тому же, исследователи из Palo Alto ранее заявляли, что BelialDemon уже участвовал в разработке загрузчиков. Так, например наш "безжалостный" считается основным разработчиком TriumphLoader, загрузчика, который также был замечен на некоторых теневых площадках.
Впрочем, если получите письмо с Matanbuchus, то оно будет с вложением ZIP-файла, содержащим HTML-ку, которая при открытии декодирует содержимое Base64, встроенное в файл и загрузит вам в систему другой ZIP-файл с установщиком MSI. Далее, пока будете читать поддельное сообщение об ошибке вам на систему фоново установится файл «main.dll», действующий как загрузчик реальной DLL Matanbuchus с C&C-сервера.
Полезная нагрузка Matanbuchus устанавливает соединение с инфраструктурой C&C для получения полезных нагрузок следующего уровня например Cobalt Strike, как описали специалисты в своем отчете.
Вполне адекватный прайс $2500 за тулзу оснащенную возможностями для запуска файлов .EXE и .DLL в памяти и выполнения произвольных команд PowerShell.
Matanbuchus, как и другие загрузчики вредоносных программ, такие как BazarLoader, Bumblebee и Colibri, разработан для загрузки и выполнения исполняемых файлов с серверов управления и контроля (C&C).
Малварь попала в поле зрения в феврале 2021 года, когда стала предоставляться как услуга и распространяться посредством фишинговых кампаний. Создатель Matanbuchus - некий господин, известный в сети как BelialDemon, а в преисподней, вероятно как падший ангел (от ивр. - «не имеющий жалости»).
В Cyble начали свое расследование после того, как наткнулись на сообщение в Твиттере от Unit 42, предупреждающего о распространении загрузчика через спам-кампании. К тому же, исследователи из Palo Alto ранее заявляли, что BelialDemon уже участвовал в разработке загрузчиков. Так, например наш "безжалостный" считается основным разработчиком TriumphLoader, загрузчика, который также был замечен на некоторых теневых площадках.
Впрочем, если получите письмо с Matanbuchus, то оно будет с вложением ZIP-файла, содержащим HTML-ку, которая при открытии декодирует содержимое Base64, встроенное в файл и загрузит вам в систему другой ZIP-файл с установщиком MSI. Далее, пока будете читать поддельное сообщение об ошибке вам на систему фоново установится файл «main.dll», действующий как загрузчик реальной DLL Matanbuchus с C&C-сервера.
Полезная нагрузка Matanbuchus устанавливает соединение с инфраструктурой C&C для получения полезных нагрузок следующего уровня например Cobalt Strike, как описали специалисты в своем отчете.
Forwarded from Russian OSINT
Шифровальщик 🔐LockBit 3.0 запускает собственный "Bug Bounty"
Как заявляет Bleeping Computer, в минувшие выходные одна из самых известных групп шифровальщиков после окончания бета-тестирования в течение последних двух месяцев выпустила обновленную программу (RaaS) под названием LockBit 3.0
С выпуском LockBit 3.0 шифровальщики решили запустить свою собственную программу "bug bounty", которая предусматривает возможность для исследователей безопасности с разными цветами 🎩шляп отправлять отчеты об ошибках в обмен на вознаграждение в размере от 1000 до 1 миллиона долларов.
"Мы приглашаем всех исследователей безопасности, этичных и неэтичных хакеров на планете принять участие в нашей программе вознаграждения за ошибки. Размер вознаграждения варьируется от 1000 до 1 миллиона долларов", - говорится на странице Lock Bit 3.0.
Подобная программа вознаграждения за ошибки немного отличается от тех, которые обычно используются легитимными компаниями, поэтому помощь группе локеров может расцениваться незаконной во многих странах, считают в Bleeping Computer.
https://www.bleepingcomputer.com/news/security/lockbit-30-introduces-the-first-ransomware-bug-bounty-program/
Bug Bounty - программа поощрения поиска ошибок и уязвимостей в программном обеспечении. Баг баунти, как правило, объявляют разработчики приложений и сетевых платформ, чтобы обнаружить проблемы в безопасности своих продуктов. Обычно в рамках программы энтузиасты получают денежное вознаграждение за сообщение об ошибках, которые могут быть использованы злоумышленниками, но не все подобные программы предполагают материальное стимулирование участников [Энциклопедия «Касперского»].
Как заявляет Bleeping Computer, в минувшие выходные одна из самых известных групп шифровальщиков после окончания бета-тестирования в течение последних двух месяцев выпустила обновленную программу (RaaS) под названием LockBit 3.0
С выпуском LockBit 3.0 шифровальщики решили запустить свою собственную программу "bug bounty", которая предусматривает возможность для исследователей безопасности с разными цветами 🎩шляп отправлять отчеты об ошибках в обмен на вознаграждение в размере от 1000 до 1 миллиона долларов.
"Мы приглашаем всех исследователей безопасности, этичных и неэтичных хакеров на планете принять участие в нашей программе вознаграждения за ошибки. Размер вознаграждения варьируется от 1000 до 1 миллиона долларов", - говорится на странице Lock Bit 3.0.
Подобная программа вознаграждения за ошибки немного отличается от тех, которые обычно используются легитимными компаниями, поэтому помощь группе локеров может расцениваться незаконной во многих странах, считают в Bleeping Computer.
https://www.bleepingcomputer.com/news/security/lockbit-30-introduces-the-first-ransomware-bug-bounty-program/
Bug Bounty - программа поощрения поиска ошибок и уязвимостей в программном обеспечении. Баг баунти, как правило, объявляют разработчики приложений и сетевых платформ, чтобы обнаружить проблемы в безопасности своих продуктов. Обычно в рамках программы энтузиасты получают денежное вознаграждение за сообщение об ошибках, которые могут быть использованы злоумышленниками, но не все подобные программы предполагают материальное стимулирование участников [Энциклопедия «Касперского»].
BleepingComputer
LockBit 3.0 introduces the first ransomware bug bounty program
The LockBit ransomware operation has released 'LockBit 3.0,' introducing the first ransomware bug bounty program and leaking new extortion tactics and Zcash cryptocurrency payment options.
Исследователи из Lumen's Black Lotus Labs отследили целенаправленную кампанию, в которой использовался многоступенчатый троян удаленного доступа, получивший название ZuoRAT, старгетированный на удаленных работников через маршрутизаторы малого офиса/домашнего офиса (SOHO) в Северной Америке и Европе, начиная с 2020 года, поразив как минимум 80 целей.
В своей отчете исследователи отмечают, что сложность этой кампании и ТТР злоумышленников являются отличительной чертой поддерживаемого государством субъекта угрозы.
Начало этой кампании примерно совпадает с быстрым переходом на удаленную работу после пандемии COVID-19, с начала которая резко возросло количество маршрутизаторов SOHO (включая ASUS, Cisco, DrayTek и NETGEAR), используемых сотрудниками для доступа к корпоративным сетям из дома.
При том, что они, как правило, редко контролируются или исправляются. Но широко используются для сбора данных при передаче, угона соединений и компрометации устройств в соседних сетях, как отмечают отмечают исследователи.
После развертывания на маршрутизаторе с помощью сценария обхода аутентификации, многоступенчатое вредоносное ПО ZuoRAT предоставляет злоумышленникам углубленные возможности разведки сети и сбор трафика.
ZuoRAT также реализует боковое перемещение для компрометации других устройств и разворачивания дополнительных полезных нагрузок (например, Cobalt Strike) с помощью угона DNS и HTTP.
Кроме того, в рамках кампании доставлялись еще два пользовательских трояна: один на базе C++ под названием CBeacon, нацеленный на рабочие станции Windows, и другой на основе Go, получивший название GoBeacon, который ориентирован на системы Linux и Mac, помимо устройств Windows.
Дополнительное вредоносное ПО, развернутое в системах в сетях жертв (CBeacon, GoBeacon и Cobalt Strike), позволило актору загружать файлы, выполнять произвольные команды, захватывать сетевой трафик, внедрять новые процессы и получать устойчивость на скомпрометированных устройствах.
Некоторые скомпрометированные маршрутизаторы также были добавлены в ботнет и использовались в качестве прокси и управления трафиком (C2), скрывая обнаружение.
По мнению ресерчеров, уровень сложности кампании, а также продемонстрированные возможности, включая получение доступа к устройствам SOHO разных марок и моделей, сбор информации о хостах и локальной сети, перехват сетевых коммуникаций для получения потенциально постоянного доступа к наземным устройствам и намеренно скрытой инфраструктуры C2, использующей многоступенчатый изолированный маршрутизатор для связи, - указывает на работу профи, который, остаётся незамеченным в периметре целевых сетей в течение многих лет. А сама кампания не ограничивается небольшим количеством обнаруженных жертв.
В своей отчете исследователи отмечают, что сложность этой кампании и ТТР злоумышленников являются отличительной чертой поддерживаемого государством субъекта угрозы.
Начало этой кампании примерно совпадает с быстрым переходом на удаленную работу после пандемии COVID-19, с начала которая резко возросло количество маршрутизаторов SOHO (включая ASUS, Cisco, DrayTek и NETGEAR), используемых сотрудниками для доступа к корпоративным сетям из дома.
При том, что они, как правило, редко контролируются или исправляются. Но широко используются для сбора данных при передаче, угона соединений и компрометации устройств в соседних сетях, как отмечают отмечают исследователи.
После развертывания на маршрутизаторе с помощью сценария обхода аутентификации, многоступенчатое вредоносное ПО ZuoRAT предоставляет злоумышленникам углубленные возможности разведки сети и сбор трафика.
ZuoRAT также реализует боковое перемещение для компрометации других устройств и разворачивания дополнительных полезных нагрузок (например, Cobalt Strike) с помощью угона DNS и HTTP.
Кроме того, в рамках кампании доставлялись еще два пользовательских трояна: один на базе C++ под названием CBeacon, нацеленный на рабочие станции Windows, и другой на основе Go, получивший название GoBeacon, который ориентирован на системы Linux и Mac, помимо устройств Windows.
Дополнительное вредоносное ПО, развернутое в системах в сетях жертв (CBeacon, GoBeacon и Cobalt Strike), позволило актору загружать файлы, выполнять произвольные команды, захватывать сетевой трафик, внедрять новые процессы и получать устойчивость на скомпрометированных устройствах.
Некоторые скомпрометированные маршрутизаторы также были добавлены в ботнет и использовались в качестве прокси и управления трафиком (C2), скрывая обнаружение.
По мнению ресерчеров, уровень сложности кампании, а также продемонстрированные возможности, включая получение доступа к устройствам SOHO разных марок и моделей, сбор информации о хостах и локальной сети, перехват сетевых коммуникаций для получения потенциально постоянного доступа к наземным устройствам и намеренно скрытой инфраструктуры C2, использующей многоступенчатый изолированный маршрутизатор для связи, - указывает на работу профи, который, остаётся незамеченным в периметре целевых сетей в течение многих лет. А сама кампания не ограничивается небольшим количеством обнаруженных жертв.
PR Newswire
Lumen discovers new malware that targeted home-office routers for two years
/PRNewswire/ -- Black Lotus Labs, the threat intelligence arm of Lumen Technologies (NYSE: LUMN), today announced that it discovered a new remote access trojan...
Если вы не успели обновить OpenSSL, то пока торопиться не стоит ибо в новой версии 3.0.4 выпущенной 21 июня 2022 года обнаружена ошибка удаленного повреждения памяти и затрагивает системы x64 с набором инструкций AVX-512.
Уязвимость обнаружил эксперт по безопасности Гвидо Вранкен, который считает, что при помощи ошибки злоумышленник может повредить содержимое памяти процесса через отправку специально оформленных данных в момент установки TLS-соединения.
Идентификатор CVE и рейтинг критичности не назначен, так как пока не ясно, может ли эта бага привести к выполнению кода и утечке данных из памяти процесса. На данный момент ошибка ограничивается только аварийным завершением работы.
Суть уязвимости состоит в том, что из-за некорректного исправления ошибки в коде может быть перезаписано или прочитано до 8192 байт данных за пределами выделенного буфера.
Исследователь Google Дэвид Бенджамин решил перепроверить коллегу, проанализировал уязвимость и утверждает, что ошибка не представляет угрозы безопасности. Однако проблему все же обещают решить в следующем выпуске.
Уязвимость обнаружил эксперт по безопасности Гвидо Вранкен, который считает, что при помощи ошибки злоумышленник может повредить содержимое памяти процесса через отправку специально оформленных данных в момент установки TLS-соединения.
Идентификатор CVE и рейтинг критичности не назначен, так как пока не ясно, может ли эта бага привести к выполнению кода и утечке данных из памяти процесса. На данный момент ошибка ограничивается только аварийным завершением работы.
Суть уязвимости состоит в том, что из-за некорректного исправления ошибки в коде может быть перезаписано или прочитано до 8192 байт данных за пределами выделенного буфера.
Исследователь Google Дэвид Бенджамин решил перепроверить коллегу, проанализировал уязвимость и утверждает, что ошибка не представляет угрозы безопасности. Однако проблему все же обещают решить в следующем выпуске.
Guido Vranken
Notes on OpenSSL remote memory corruption
OpenSSL version 3.0.4, released on June 21th 2022, is susceptible to remote memory corruption which can be triggered trivially by an attacker. BoringSSL, LibreSSL and the OpenSSL 1.1.1 branch are n…
͏Производитель AMD инициировал расследование после публикации вымогателями RansomHouse сообщения о краже более 450 ГБ корпоративных данных на своем DLS.
В ходе контактов с представителями СМИ хакеры заявили, что названный инцидент произошел более года назад, а представленная на сайте утечек дата 5 января 2022 года указывает на время окончания кибератаки и выхода хакеров из периметра сети AMD.
Весь последующий период RansomHouse намеревались поторговать данными в даркнете, возможно, им это даже удалось, история умалчивает.
Злоумышленники долгое время не обращались к AMD с требованием выкупа, поскольку перепродажа данных была более приоритетной. Тем более, что обычно время ожидания решения по выплате выкупа в силу присущего таким гигантам бюрократизма - достаточно велико, по словам RansomHouse.
RansomHouse утверждают, что похищенные у AMD данные включают исследовательскую и финансовую информацию. Однако до настоящего времени злоумышленники не представили никаких доказательств, кроме нескольких файлов, содержащих информацию, предположительно полученную с домена AMD Windows.
Представленная информация включает CSV со списком из более чем 70 000 устройств, по-видимому, внутренней сети AMD, а также предполагаемый список корпоративных учетных данных пользователей с ненадежными паролями.
Один из представленных файлов all_computers.csv содержит список из более чем 77 000 устройств, по-видимому, внутренней сети AMD, а другой sample_passwords.txt - список ненадёжных учетных данных пользователей AMD со слабыми паролями.
Как известно, RansomHouse приступили к работе в декабре 2021 года, когда произошла утечка информации первой жертвы - Saskatchewan Liquor and Gaming Authority (SLGA).
Сейчас на сайте вымогателей помимо нее также размещены: AHS Aviation Handling Services GmbH, Dellner Couplers AB, Jefferson Credit Union и SHOPRITE HOLDINGS LTD. Причем последняя из них - африканская сеть супермаркетов, 10 июня подтвердила кибератаку.
А значит, инцидент с AMD сулит нам две новости: плохая - это появление новых 0-day после попадания исходников в руки предприимчивых хакеров, хорошая - АНБ придется потрудиться, чтобы попрятать свои бэкдоры и прикрыть текущие кибероперации.
В ходе контактов с представителями СМИ хакеры заявили, что названный инцидент произошел более года назад, а представленная на сайте утечек дата 5 января 2022 года указывает на время окончания кибератаки и выхода хакеров из периметра сети AMD.
Весь последующий период RansomHouse намеревались поторговать данными в даркнете, возможно, им это даже удалось, история умалчивает.
Злоумышленники долгое время не обращались к AMD с требованием выкупа, поскольку перепродажа данных была более приоритетной. Тем более, что обычно время ожидания решения по выплате выкупа в силу присущего таким гигантам бюрократизма - достаточно велико, по словам RansomHouse.
RansomHouse утверждают, что похищенные у AMD данные включают исследовательскую и финансовую информацию. Однако до настоящего времени злоумышленники не представили никаких доказательств, кроме нескольких файлов, содержащих информацию, предположительно полученную с домена AMD Windows.
Представленная информация включает CSV со списком из более чем 70 000 устройств, по-видимому, внутренней сети AMD, а также предполагаемый список корпоративных учетных данных пользователей с ненадежными паролями.
Один из представленных файлов all_computers.csv содержит список из более чем 77 000 устройств, по-видимому, внутренней сети AMD, а другой sample_passwords.txt - список ненадёжных учетных данных пользователей AMD со слабыми паролями.
Как известно, RansomHouse приступили к работе в декабре 2021 года, когда произошла утечка информации первой жертвы - Saskatchewan Liquor and Gaming Authority (SLGA).
Сейчас на сайте вымогателей помимо нее также размещены: AHS Aviation Handling Services GmbH, Dellner Couplers AB, Jefferson Credit Union и SHOPRITE HOLDINGS LTD. Причем последняя из них - африканская сеть супермаркетов, 10 июня подтвердила кибератаку.
А значит, инцидент с AMD сулит нам две новости: плохая - это появление новых 0-day после попадания исходников в руки предприимчивых хакеров, хорошая - АНБ придется потрудиться, чтобы попрятать свои бэкдоры и прикрыть текущие кибероперации.
Ресерчеры Palo Alto Networks в рамках Coordinated Vulnerability Disclosure (CVD) раскрыли подробности о новой уязвимости, затрагивающей кластеры Service Fabric (SF) Linux (CVE-2022-30137) и получившей наименование FabricScape.
По данным Microsoft, Service Fabric ежедневно размещает более 1 миллиона приложений и запускает миллионы ядер, поддерживая многие продукты Azure, включая Azure Service Fabric, SQL Azure и Azure CosmosDB, а также решения Microsoft, включая Cortana и Microsoft Power BI.
Кластер Service Fabric представляет собой подключенный к сети набор из нескольких узлов (Windows Server или Linux), каждый из которых предназначен для управления и выполнения приложений, состоящих из микрослужб или контейнеров. Уязвимость, обнаруженная Unit 42, находится в компоненте под названием Diagnostics Collection Agent (DCA).
FabricScape позволяет злоумышленнику, имеющему доступ к скомпрометированному контейнеру, повысить привилегии и получить контроль над SF-узлом узла ресурса и всем кластером. Уязвимость может быть использована в контейнерах с настроенным runtime access, который по умолчанию предоставляется каждому контейнеру.
В гипотетическом сценарии атаки злоумышленник, имеющий доступ к скомпрометированной контейнерной рабочей нагрузке, может заменить считываемый агентом файл ProcessContainerLog.txt мошеннической ссылкой, которая затем может быть использована для перезаписи любого произвольного файла, ведь DCA работает от имени пользователя root на узле.
Проблема затрагивает обе платформы операционных систем (ОС), но эксплуатировать ее в ходе атак можно только в Linux. В контейнерах Windows непривилегированные участники не могут создавать символические ссылки в этой среде.
Microsoft полностью решила проблему 14 июня 2022 г., выпустив исправление для Azure Service Fabric, которое еще в конце мая было применено ко всем клиентам с автоматическим обновлением.
Хотя на сегодняшний день нет доказательств того, что эта уязвимость использовалась в реальных атаках, тем не менее клиентам, использующим Azure Service Fabric без автоматического обновления, следует обновить свои кластеры Linux до самого последнего выпуска Service Fabric 9.0 1.0.
По данным Microsoft, Service Fabric ежедневно размещает более 1 миллиона приложений и запускает миллионы ядер, поддерживая многие продукты Azure, включая Azure Service Fabric, SQL Azure и Azure CosmosDB, а также решения Microsoft, включая Cortana и Microsoft Power BI.
Кластер Service Fabric представляет собой подключенный к сети набор из нескольких узлов (Windows Server или Linux), каждый из которых предназначен для управления и выполнения приложений, состоящих из микрослужб или контейнеров. Уязвимость, обнаруженная Unit 42, находится в компоненте под названием Diagnostics Collection Agent (DCA).
FabricScape позволяет злоумышленнику, имеющему доступ к скомпрометированному контейнеру, повысить привилегии и получить контроль над SF-узлом узла ресурса и всем кластером. Уязвимость может быть использована в контейнерах с настроенным runtime access, который по умолчанию предоставляется каждому контейнеру.
В гипотетическом сценарии атаки злоумышленник, имеющий доступ к скомпрометированной контейнерной рабочей нагрузке, может заменить считываемый агентом файл ProcessContainerLog.txt мошеннической ссылкой, которая затем может быть использована для перезаписи любого произвольного файла, ведь DCA работает от имени пользователя root на узле.
Проблема затрагивает обе платформы операционных систем (ОС), но эксплуатировать ее в ходе атак можно только в Linux. В контейнерах Windows непривилегированные участники не могут создавать символические ссылки в этой среде.
Microsoft полностью решила проблему 14 июня 2022 г., выпустив исправление для Azure Service Fabric, которое еще в конце мая было применено ко всем клиентам с автоматическим обновлением.
Хотя на сегодняшний день нет доказательств того, что эта уязвимость использовалась в реальных атаках, тем не менее клиентам, использующим Azure Service Fabric без автоматического обновления, следует обновить свои кластеры Linux до самого последнего выпуска Service Fabric 9.0 1.0.
Unit 42
FabricScape: Escaping Service Fabric and Taking Over the Cluster
FabricScape (CVE-2022-30137) is a privilege escalation vulnerability of important severity in Microsoft's Service Fabric, commonly used with Azure.
Forwarded from SecurityLab.ru
Троица мошенников продала пиратское ПО на сумму более $88 млн
— Министерство юстиции США выдвинуло обвинения в мошенничестве против троих граждан, предположительно продавших пиратское ПО на сумму более $88 млн.
— Как сообщает Минюст США, 46-летний житель Оклахомы Брэд Пирс (Brad Pearce), долгое время работавший в техподдержке Avaya, использовал свой доступ системного администратора для несанкционированного генерирования ключей лицензии на десятки миллионов долларов.
— Троица продавала краденые лицензии по цене ниже рыночной, а все доходы отмывались через PayPal под фальшивыми именами и отправлялись на счета в разных банках.
https://www.securitylab.ru/news/532550.php
— Министерство юстиции США выдвинуло обвинения в мошенничестве против троих граждан, предположительно продавших пиратское ПО на сумму более $88 млн.
— Как сообщает Минюст США, 46-летний житель Оклахомы Брэд Пирс (Brad Pearce), долгое время работавший в техподдержке Avaya, использовал свой доступ системного администратора для несанкционированного генерирования ключей лицензии на десятки миллионов долларов.
— Троица продавала краденые лицензии по цене ниже рыночной, а все доходы отмывались через PayPal под фальшивыми именами и отправлялись на счета в разных банках.
https://www.securitylab.ru/news/532550.php
SecurityLab.ru
Троица мошенников продала пиратское ПО на сумму более $88 млн
Сисадмин компании Avaya долгие годы незаконно генерировал лицензии и продавал их по всему миру.
Mozilla выпустила обновленную версию Firefox 102, исправив 19 уязвимостей, включая четыре ошибки высокой степени серьезности.
Самая серьезная из них CVE-2022-34470, связана с проблемой использования после освобождения в nsSHistory при навигации между XML-документами.
Уязвимость может быть использована для выполнения произвольного выполнения кода, повреждения данных или отказа в обслуживании, в сочетании с другими недостатками привести выходу из песочницы и к полному компрометации системы.
Другая серьезная CVE-2022-34468 может позволить реализовать обход заголовка песочницы CSP без allow-scripts с помощью retargetedjavascript: URI. Ошибка приводит к тому, что пользователь посредством ссылки javascript может инициировать выполнение iframe сценария без авторизации.
В новом выпуске также решена CVE-2022-34479, связанную с Firefox для Linux, которая позволяет вредоносным веб-сайтам создавать всплывающие окна, размер которых может перекрыть адресную строку своим содержимым, потенциально приводя к спуфинговым атакам.
Кроме того, исправлена ошибка безопасности памяти CVE-2022-34484, присущая Firefox 101 и Firefox ESR 91.10, которая при достаточном усилии некоторые из них могли быть использованы для RCE.
Обновленный Firefox 102 также содержит улучшенную защиту конфиденциальности, ограничивая отслеживание параметров запросов при навигации по Интернету с включенным режимом строгой защиты (ETP).
С ее помощью Firefox ограничивает использование файлы cookie сайтами, которые их создали, что предотвращает межсайтовое отслеживание. Новая возможность браузера позволяет блокировать конкретные параметры отслеживания, которые веб-сайты могут использовать для обхода защиты конфиденциальности.
Кроме того, Firefox 102 реализует декодирование звука в рамках отдельного процесса с более эффективной песочницей, улучшая его изоляцию.
Самая серьезная из них CVE-2022-34470, связана с проблемой использования после освобождения в nsSHistory при навигации между XML-документами.
Уязвимость может быть использована для выполнения произвольного выполнения кода, повреждения данных или отказа в обслуживании, в сочетании с другими недостатками привести выходу из песочницы и к полному компрометации системы.
Другая серьезная CVE-2022-34468 может позволить реализовать обход заголовка песочницы CSP без allow-scripts с помощью retargetedjavascript: URI. Ошибка приводит к тому, что пользователь посредством ссылки javascript может инициировать выполнение iframe сценария без авторизации.
В новом выпуске также решена CVE-2022-34479, связанную с Firefox для Linux, которая позволяет вредоносным веб-сайтам создавать всплывающие окна, размер которых может перекрыть адресную строку своим содержимым, потенциально приводя к спуфинговым атакам.
Кроме того, исправлена ошибка безопасности памяти CVE-2022-34484, присущая Firefox 101 и Firefox ESR 91.10, которая при достаточном усилии некоторые из них могли быть использованы для RCE.
Обновленный Firefox 102 также содержит улучшенную защиту конфиденциальности, ограничивая отслеживание параметров запросов при навигации по Интернету с включенным режимом строгой защиты (ETP).
С ее помощью Firefox ограничивает использование файлы cookie сайтами, которые их создали, что предотвращает межсайтовое отслеживание. Новая возможность браузера позволяет блокировать конкретные параметры отслеживания, которые веб-сайты могут использовать для обхода защиты конфиденциальности.
Кроме того, Firefox 102 реализует декодирование звука в рамках отдельного процесса с более эффективной песочницей, улучшая его изоляцию.
Mozilla
Security Vulnerabilities fixed in Firefox 102