͏Не знал об оптических атаках - ошибка, используешь очки в ходе видеоконференций - фатальная ошибка!
Группа исследователей из Мичиганского университет,а (Анн-Арбор, США) и Колледжа электротехники Чжэцзянского университета (Ханчжоу, Китай) разработала метод реконструкции текста, отображаемого через очки и другие отражающие объекты участников видеоконференций.
Получивший широкое распространение в последние годы, особенно на фоне пандемии Covid-19, формат видеосвязи, к примеру Zoom, может использоваться злоумышленниками для снятия информации с отраженной поверхности.
Используя математическое моделирование и эксперименты на реальных объектах, ресерчеры оценили, как современные веб-камеры могут передавать распознаваемую текстовую и графическую информацию в отражениях.
По мнению исследователей, дальнейшее развитие видеотехнологий может привести к оптическим атакам, основанным на использовании методов многокадрового сверхвысокого разрешения для реконструкции отраженного контента.
Разработанная учеными модель угроз, получившая название атака с просмотром веб-камеры позволяет получить точность в более чем 75% при восстановлении и распознавании текста высотой всего 10 мм, снятого веб-камерой 720p.
Кроме того, по словам ученых, веб-камеры 4k позволят злоумышленникам легко реконструировать большинство текстов заголовков на популярных веб-сайтах.
Для того, чтобы снизить риск таких атак исследователи предлагают использование специализированного ПО, которое реализует размытие области очков в видеопотоке. Причем, некоторый софт для видеоконференций уже включает так опцию.
Производительность атаки с просмотром через веб-камеру можно значительно повысить, если использовать более сложную модель машинного обучения, однако это, по их мнению, вероятно, будет проблематично из-за различных условий личной среды.
Свои выводы и реальные эксперименты исследователи представили в своей статье.
Группа исследователей из Мичиганского университет,а (Анн-Арбор, США) и Колледжа электротехники Чжэцзянского университета (Ханчжоу, Китай) разработала метод реконструкции текста, отображаемого через очки и другие отражающие объекты участников видеоконференций.
Получивший широкое распространение в последние годы, особенно на фоне пандемии Covid-19, формат видеосвязи, к примеру Zoom, может использоваться злоумышленниками для снятия информации с отраженной поверхности.
Используя математическое моделирование и эксперименты на реальных объектах, ресерчеры оценили, как современные веб-камеры могут передавать распознаваемую текстовую и графическую информацию в отражениях.
По мнению исследователей, дальнейшее развитие видеотехнологий может привести к оптическим атакам, основанным на использовании методов многокадрового сверхвысокого разрешения для реконструкции отраженного контента.
Разработанная учеными модель угроз, получившая название атака с просмотром веб-камеры позволяет получить точность в более чем 75% при восстановлении и распознавании текста высотой всего 10 мм, снятого веб-камерой 720p.
Кроме того, по словам ученых, веб-камеры 4k позволят злоумышленникам легко реконструировать большинство текстов заголовков на популярных веб-сайтах.
Для того, чтобы снизить риск таких атак исследователи предлагают использование специализированного ПО, которое реализует размытие области очков в видеопотоке. Причем, некоторый софт для видеоконференций уже включает так опцию.
Производительность атаки с просмотром через веб-камеру можно значительно повысить, если использовать более сложную модель машинного обучения, однако это, по их мнению, вероятно, будет проблематично из-за различных условий личной среды.
Свои выводы и реальные эксперименты исследователи представили в своей статье.
Forwarded from SecurityLab.ru
🔸 100 подписчиков канала, которые пройдут опрос (займет не больше минуты) получат сертификат OZON на 1000 руб. Также в выпуске разыгрывается тамагочи для хакеров Flipper Zero!
🔸 Впервые в истории кибератака привела к разрыву дипломатических отношений! Албания обвинила Иран в атаке на свои госсервисы и потребовала от дипломатов исламской республики покинуть страну.
🔸 Искусственный интеллект помогает собирать налоги. Во Франции с помощью ИИ обнаружили свыше 20 тысяч незадекларированных бассейнов и пополнили казну на 10 млн евро.
🔸 В Японии ученые превратили таракана в спасателя-киборга, в Китае новая волна COVID-19 вновь угрожает цепочкам поставок технологий, а в России планируют создать отечественный движок для видеоигр.
Смотреть выпуск: https://youtu.be/WOp3R9E5VFA
Please open Telegram to view this post
VIEW IN TELEGRAM
Typeform
Поделитесь обратной связью о выпусках SecLab News
Помогите сделать выпуски лучше, приняв участие в опросе <3
VMware и Microsoft предупреждают об эскалации угрозы, связанной с распространением малвари Chromeloader, которая из условно безобидной рекламной кликалки превратилась в более продвинутое вредоносное ПО, способное увеличить поверхность атаки зараженной системы вплоть до ransomware.
Как сообщили специалисты, ChromeLoader оказался чрезвычайно распространенным и устойчивым вредоносным ПО. Первоначально, он запускается как .iso и может использоваться для кражи учетных данных браузера пользователей, сбора данных о недавней онлайн-активности и перехвата результатов поиска в браузере для показа рекламы.
Команда VMware Carbon Black Managed Detection and Response (MDR) наблюдала за первыми версиями ChromeLoader для Windows в январе 2022 года и версией для macOS в марте 2022 года, а сегодня аналитики опубликовали технический отчет с описанием его различных вариантов, которые использовались уже в августе и сентябре, некоторые из которых содержат гораздо более мощные полезные нагрузки.
Выделено несколько вариантов, включая ChromeBack и Choziosi Loader. Исследователи Unit 42, например, обнаружили доказательства того, что The Real First Windows Variant использует инструмент AHK (AutoHotKey) для компиляции вредоносного исполняемого файла и удаления версии 1.0 вредоносного ПО.
На днях и Microsoft предупредили о продолжающейся широкомасштабной кампании с кликами для монетизации трафика. Атаки приписывают злоумышленнику, отслеживаемому как DEV-0796, который использует Chromeloader для заражения жертв различными вредоносными программами.
Как уже было сказано ChromeLoader поставляется в виде файлов ISO и распространяются через вредоносную рекламу, перенаправление браузера и комментарии к видео на YouTube. Использование злоумышленниками файлов ISO стало популярным способом распространения вредоносных программ с тех пор, как Microsoft по умолчанию начали блокировать макросы Office.
В рамках исследования было протестировано не менее десяти вариаций Chromeloader. Некоторые из низ них имитировали работу полезных утилит типа OpenSubtitles - утилиту, помогающую пользователям находить субтитры для фильмов и телепередач.
Другие просто разворачивали ZipBomb на компьютере жертвы, то более тревожным звоночком послужило то, что в последних версиях Chromeloader было замечено развертывание программы-вымогателя Enigma в HTML-файле.
Прекрасный пример когда простенькое вредоносное ПО для рекламы с более мощными полезными нагрузками в руках предприимчивых злоумышленников превращается в более прибыльную альтернативу мошенничеству с кликами.
Как сообщили специалисты, ChromeLoader оказался чрезвычайно распространенным и устойчивым вредоносным ПО. Первоначально, он запускается как .iso и может использоваться для кражи учетных данных браузера пользователей, сбора данных о недавней онлайн-активности и перехвата результатов поиска в браузере для показа рекламы.
Команда VMware Carbon Black Managed Detection and Response (MDR) наблюдала за первыми версиями ChromeLoader для Windows в январе 2022 года и версией для macOS в марте 2022 года, а сегодня аналитики опубликовали технический отчет с описанием его различных вариантов, которые использовались уже в августе и сентябре, некоторые из которых содержат гораздо более мощные полезные нагрузки.
Выделено несколько вариантов, включая ChromeBack и Choziosi Loader. Исследователи Unit 42, например, обнаружили доказательства того, что The Real First Windows Variant использует инструмент AHK (AutoHotKey) для компиляции вредоносного исполняемого файла и удаления версии 1.0 вредоносного ПО.
На днях и Microsoft предупредили о продолжающейся широкомасштабной кампании с кликами для монетизации трафика. Атаки приписывают злоумышленнику, отслеживаемому как DEV-0796, который использует Chromeloader для заражения жертв различными вредоносными программами.
Как уже было сказано ChromeLoader поставляется в виде файлов ISO и распространяются через вредоносную рекламу, перенаправление браузера и комментарии к видео на YouTube. Использование злоумышленниками файлов ISO стало популярным способом распространения вредоносных программ с тех пор, как Microsoft по умолчанию начали блокировать макросы Office.
В рамках исследования было протестировано не менее десяти вариаций Chromeloader. Некоторые из низ них имитировали работу полезных утилит типа OpenSubtitles - утилиту, помогающую пользователям находить субтитры для фильмов и телепередач.
Другие просто разворачивали ZipBomb на компьютере жертвы, то более тревожным звоночком послужило то, что в последних версиях Chromeloader было замечено развертывание программы-вымогателя Enigma в HTML-файле.
Прекрасный пример когда простенькое вредоносное ПО для рекламы с более мощными полезными нагрузками в руках предприимчивых злоумышленников превращается в более прибыльную альтернативу мошенничеству с кликами.
VMware Security Blog
The Evolution of the Chromeloader Malware
The VMware Carbon Black MDR team goes in depth on the latest variants of the Chromeloader malware and how to detect them.
Вслед за португальской авиакомпанией TAP Air Portugal об утечке данных клиентов сообщила American Airlines.
Инцидент произошел в июле 2022 года и был связан с фишинговой атакой на корпоративную почту компании, содержащую личную информацию некоторых клиентов, включая имя, дата рождения, номер телефона, почтовый адрес, адрес электронной почты, номер водительского удостоверения, паспорта, а также и медицинскую информацию.
Согласно результатам расследования American Airlines, доказательств дальнейшего злонамеренного использования раскрытой личной информации не получено. Добавим, что «пока» не получено.
Другая недавняя крупная утечка затронула финтехкомпанию Revolut, которая подверглась кибератаке, приведшей к компрометации данных ее клиентов.
Revolut охарактеризовала атаку как целенаправленную, использовалась социальная инженерия, в результате которой злоумышленник имел доступ ко внутреннейсети в течение короткого периода времени.
При этом у злоумышленник не смог добраться до управления денежными активами, данным карт, PIN-кодам или паролям. Утекшая информация включает в себя имена, адреса, номера телефонов, адреса электронной почты, частичные данные платежной карты и некоторые данные учетной записи.
Revolut базируется в Великобритании, но имеет специализированную банковскую лицензию из Литвы, где также располагается Revolut Bank UAB.
По данным Revolut, инцидент затронул 0,16% ее клиентов, или около 50 150 клиентов по всему миру, в том числе около 20 000 в Европе, которые были предупреждены о повышенном риске мошенничества в результате взлома.
Незадолго до того, как взлом был раскрыт, некоторые клиенты Revolut сообщили о получении непристойных сообщений в чате приложения.
Кроме того, после того, как об инциденте было объявлено, некоторые пользователи сообщили о получении текстовых сообщений, указывающих на фишинговый веб-сайт Revolut. Однако пока неясно, связаны ли эти события с расследуемым нарушением. Будем следить за ситуацией.
Инцидент произошел в июле 2022 года и был связан с фишинговой атакой на корпоративную почту компании, содержащую личную информацию некоторых клиентов, включая имя, дата рождения, номер телефона, почтовый адрес, адрес электронной почты, номер водительского удостоверения, паспорта, а также и медицинскую информацию.
Согласно результатам расследования American Airlines, доказательств дальнейшего злонамеренного использования раскрытой личной информации не получено. Добавим, что «пока» не получено.
Другая недавняя крупная утечка затронула финтехкомпанию Revolut, которая подверглась кибератаке, приведшей к компрометации данных ее клиентов.
Revolut охарактеризовала атаку как целенаправленную, использовалась социальная инженерия, в результате которой злоумышленник имел доступ ко внутреннейсети в течение короткого периода времени.
При этом у злоумышленник не смог добраться до управления денежными активами, данным карт, PIN-кодам или паролям. Утекшая информация включает в себя имена, адреса, номера телефонов, адреса электронной почты, частичные данные платежной карты и некоторые данные учетной записи.
Revolut базируется в Великобритании, но имеет специализированную банковскую лицензию из Литвы, где также располагается Revolut Bank UAB.
По данным Revolut, инцидент затронул 0,16% ее клиентов, или около 50 150 клиентов по всему миру, в том числе около 20 000 в Европе, которые были предупреждены о повышенном риске мошенничества в результате взлома.
Незадолго до того, как взлом был раскрыт, некоторые клиенты Revolut сообщили о получении непристойных сообщений в чате приложения.
Кроме того, после того, как об инциденте было объявлено, некоторые пользователи сообщили о получении текстовых сообщений, указывающих на фишинговый веб-сайт Revolut. Однако пока неясно, связаны ли эти события с расследуемым нарушением. Будем следить за ситуацией.
В блоках распределения питания Dataprobe iBoot-PDU для ICS и ЦОД обнаружены критические уязвимости.
iBoot-PDU — это блок распределения питания PDU, который предоставляет пользователям возможности мониторинга в режиме реального времени и сложные механизмы оповещения через веб-интерфейс для контроля подачу питания на оборудование в среде OT.
Успешная эксплуатация баг может привести к RCE без проверки подлинности на устройстве. Проблемы выявила Claroty, которая заявила, что ошибки могут быть использованы удаленно либо через прямое веб-соединение с устройством, либо через облако.
Анализ прошивки PDU показал, что продукт обладает множеством от проблем, начиная от внедрения команд и заканчивая недостатками обхода пути, что подвергает клиентов серьезным рискам, особенно если учесть, что две из них имеют оценку CVSS: 9,8.
Из них CVE-2022-3183 связана с внедрением команд из-за отсутствия дезинфекции пользовательского ввода, а CVE-2022-3184 представляет собой уязвимость обхода пути, позволяющая получить доступ к странице PHP без проверки подлинности, которую можно использовать для вставки вредоносного кода.
Другие пять обнаруженных уязвимостей (от CVE-2022-3185 до CVE-2022-3189) могут быть использованы злоумышленником для получения доступа к главной странице управления устройством из облака, что может привести к утечке конфиденциальной информации.
Claroty также отметила способ вычислить все подключенные к облаку устройства iBoot PDU, используя комбинацию действительного файла cookie и идентификатора устройства, тем самым расширить поверхность атаки.
Но печальнее всего то, что в глобальной сети сейчас доступно не менее 2600 PDU, причем на устройства Dataprobe приходится почти треть уязвимых, согласно отчету Censys за 2021 год.
Пользователям Dataprobe iBoot-PDU рекомендуется обновить прошивку до последней версии (1.42.06162022), а также отключить SNMP, Telnet и HTTP, если они не используются, для устранения некоторых из уязвимостей.
iBoot-PDU — это блок распределения питания PDU, который предоставляет пользователям возможности мониторинга в режиме реального времени и сложные механизмы оповещения через веб-интерфейс для контроля подачу питания на оборудование в среде OT.
Успешная эксплуатация баг может привести к RCE без проверки подлинности на устройстве. Проблемы выявила Claroty, которая заявила, что ошибки могут быть использованы удаленно либо через прямое веб-соединение с устройством, либо через облако.
Анализ прошивки PDU показал, что продукт обладает множеством от проблем, начиная от внедрения команд и заканчивая недостатками обхода пути, что подвергает клиентов серьезным рискам, особенно если учесть, что две из них имеют оценку CVSS: 9,8.
Из них CVE-2022-3183 связана с внедрением команд из-за отсутствия дезинфекции пользовательского ввода, а CVE-2022-3184 представляет собой уязвимость обхода пути, позволяющая получить доступ к странице PHP без проверки подлинности, которую можно использовать для вставки вредоносного кода.
Другие пять обнаруженных уязвимостей (от CVE-2022-3185 до CVE-2022-3189) могут быть использованы злоумышленником для получения доступа к главной странице управления устройством из облака, что может привести к утечке конфиденциальной информации.
Claroty также отметила способ вычислить все подключенные к облаку устройства iBoot PDU, используя комбинацию действительного файла cookie и идентификатора устройства, тем самым расширить поверхность атаки.
Но печальнее всего то, что в глобальной сети сейчас доступно не менее 2600 PDU, причем на устройства Dataprobe приходится почти треть уязвимых, согласно отчету Censys за 2021 год.
Пользователям Dataprobe iBoot-PDU рекомендуется обновить прошивку до последней версии (1.42.06162022), а также отключить SNMP, Telnet и HTTP, если они не используются, для устранения некоторых из уязвимостей.
Американский издатель видеоигр 2K Games подтвердил инцидент, связанный со взломом его службы поддержки, от имени которой злоумышленники распространяли среди игроков вредоносное ПО через встроенные ссылки.
Компания является издателем множества популярных игровых франшиз, включая NBA 2K, Borderlands, WWE 2K, PGA Tour 2K, Bioshock, Civilization и Xcom.
2K отключила портал поддержки на время расследования и устранения последствий инцидента, намерена выпустить отдельное уведомление игрокам о возобновлении работы службы.
А началось все с того, что клиенты 2K начали получать электронные письма о том, что они открыли запросы в службу поддержки на 2ksupport.zendesk.com, онлайн-системе поддержки 2K.
Вскоре после этого, последовали электронные письма в ответ на исходный запрос (от предполагаемого представителя службы поддержки 2K по имени «Принц К»), которые также содержали ссылки для загрузки файла с именем 2K Launcher.zip из 2ksupport.zendesk.com.
Согласно VirusTotal и Any.Run, архив содержал исполняемый файл, который на самом деле является известной вредоносной ПО RedLine.
Мальварь, как известно, активно используется киберподпольем для кражи широкого спектра данных после заражения системы, включая историю веб-браузера, файлы cookie, сохраненные пароли браузера, кредитные карты, учетные данные VPN, контент для обмена мгновенными сообщениями, криптовалютные кошельки и др.
К настоящему времени 2K еще не предоставила никакой информации по поводу инцидента. Однако некоторые ресерчеры предполагают взаимосвязь атаки с недавним взломом Rockstar Games.
При этом обе компании являются дочерними компаниями Take-Two Interactive, одного из крупнейших издателей видеоигр в Америке и Европе.
Злоумышленник, стоящий за взломом Rockstar Games, также заявил о недавнем взломе Uber, специалисты которого, в свою очередь, связывают инцидент с активностью Lapsus$.
Но будем посмотреть.
Компания является издателем множества популярных игровых франшиз, включая NBA 2K, Borderlands, WWE 2K, PGA Tour 2K, Bioshock, Civilization и Xcom.
2K отключила портал поддержки на время расследования и устранения последствий инцидента, намерена выпустить отдельное уведомление игрокам о возобновлении работы службы.
А началось все с того, что клиенты 2K начали получать электронные письма о том, что они открыли запросы в службу поддержки на 2ksupport.zendesk.com, онлайн-системе поддержки 2K.
Вскоре после этого, последовали электронные письма в ответ на исходный запрос (от предполагаемого представителя службы поддержки 2K по имени «Принц К»), которые также содержали ссылки для загрузки файла с именем 2K Launcher.zip из 2ksupport.zendesk.com.
Согласно VirusTotal и Any.Run, архив содержал исполняемый файл, который на самом деле является известной вредоносной ПО RedLine.
Мальварь, как известно, активно используется киберподпольем для кражи широкого спектра данных после заражения системы, включая историю веб-браузера, файлы cookie, сохраненные пароли браузера, кредитные карты, учетные данные VPN, контент для обмена мгновенными сообщениями, криптовалютные кошельки и др.
К настоящему времени 2K еще не предоставила никакой информации по поводу инцидента. Однако некоторые ресерчеры предполагают взаимосвязь атаки с недавним взломом Rockstar Games.
При этом обе компании являются дочерними компаниями Take-Two Interactive, одного из крупнейших издателей видеоигр в Америке и Европе.
Злоумышленник, стоящий за взломом Rockstar Games, также заявил о недавнем взломе Uber, специалисты которого, в свою очередь, связывают инцидент с активностью Lapsus$.
Но будем посмотреть.
Reddit
From the sysadmin community on Reddit: 2K support likely hacked
Posted by TronFan - 94 votes and 29 comments
Forwarded from Social Engineering
🧠 Социальная инженерия в Telegram. А у тебя есть галочка?
• Соответственно разводить людей стало проще, ведь жертва видит галочку и охотно верит атакующему, тем самым подвергая себя взлому. Напомню, что многие фишеры атакуют определенный сегмент Telegram-админов, которые ведут свои блоги и мало связаны с различными схемами обмана и ИТ в целом. При успешной атаке можно не только получить данные банковской карты, а еще и угнать аккаунт и продать канал за большую сумму.
Будьте внимательны и всегда проверяйте информацию. Твой S.E. #СИ #Фишинг
🖖🏻 Приветствую тебя user_name.• Пока все информационные ресурсы заняты обсуждением новых Telegram ссылок, фишеры взяли на вооружение другую фичу прошедшего обновления. Теперь Premium пользователи могут поставить в свой статус любой смайлик (эмодзи) который отображается в публичных чатах, профиле, списке чатов и т.д. Разумеется сразу появился пользовательский набор эмодзи, который включает в себя галочку, как у верифицированных пользователей Telegram: https://t.me/addemoji/EmojiStatus
• Соответственно разводить людей стало проще, ведь жертва видит галочку и охотно верит атакующему, тем самым подвергая себя взлому. Напомню, что многие фишеры атакуют определенный сегмент Telegram-админов, которые ведут свои блоги и мало связаны с различными схемами обмана и ИТ в целом. При успешной атаке можно не только получить данные банковской карты, а еще и угнать аккаунт и продать канал за большую сумму.
Будьте внимательны и всегда проверяйте информацию. Твой S.E. #СИ #Фишинг
VMware выпустила ежегодный отчет Global Incident Response за 2022 год.
В основе отчета результаты анализа последних инцидентов и консолидированное мнение 125 респондентов из числа ИБ-ресерчеров и экспертов по реагированию на инциденты. Не углубляясь в детали, в нем раскрыты наиболее актуальные тенденции в сфере современного инфосека.
Среди ключевых моментов:
1. Злоумышленники все чаще стали использовать латеральные перемещения в своем стремлении получить доступ к конфиденциальным ресурсам. По данным VMware, такие перемещения наблюдались в 25% всех атак.
2. Количество дипфейковых атак выросло на 13%, при этом 66% респондентов заявили, что были их свидетелями за последние 12 месяцев. В данном случае термин относится к сообщениям (в первую очередь к сообщениям электронной почты), созданным таким образом, чтобы казалось, что они исходят от известного лица с имитацией стиля предполагаемого отправителя.
3. 65% респондентов о прогрессивном увеличении количества кибератак.
4. За последние 12 месяцев с 0-day эксплойтами столкнулись 62% респондентов, что на 11% больше, чем за прошлый год.
5. 23 % атак в настоящее время ставят под угрозу безопасность API. Исследование VMware также показало, что злоумышленники все чаще используют API, а также проверенные методы, такие как SQL-инъекции.
6. Почти 60% респондентов подверглись атаке c использованием ransomware за последние 12 месяцев. Собственно, проблема вымогателей была и остается одной из самых серьезных категорий угроз, неудивительно, что VMware включила ее в свой список.
7. 87 % опрошенных заявили, что иногда (50 %) или очень часто (37 %) противодействовали действиям киберпреступников. В то время как раньше, остановить активную кибератаку, не прибегая к решительным мерам, требовало значительных усилий. Однако, по данным VMware, 75% опрошенных добились успеха в использовании виртуальных исправлений (использование брандмауэра веб-приложений или аналогичного инструмента для прерывания сетевого пути злоумышленника) в качестве аварийного механизма.
8. Уровень выгорания IT-специалистов снизился по сравнению с прошлым годом, но остается серьезной проблемой. По данным VMware, почти 70% тех, кто испытывает симптомы ИТ-выгорания, рассматривают возможность ухода с работы.
В основе отчета результаты анализа последних инцидентов и консолидированное мнение 125 респондентов из числа ИБ-ресерчеров и экспертов по реагированию на инциденты. Не углубляясь в детали, в нем раскрыты наиболее актуальные тенденции в сфере современного инфосека.
Среди ключевых моментов:
1. Злоумышленники все чаще стали использовать латеральные перемещения в своем стремлении получить доступ к конфиденциальным ресурсам. По данным VMware, такие перемещения наблюдались в 25% всех атак.
2. Количество дипфейковых атак выросло на 13%, при этом 66% респондентов заявили, что были их свидетелями за последние 12 месяцев. В данном случае термин относится к сообщениям (в первую очередь к сообщениям электронной почты), созданным таким образом, чтобы казалось, что они исходят от известного лица с имитацией стиля предполагаемого отправителя.
3. 65% респондентов о прогрессивном увеличении количества кибератак.
4. За последние 12 месяцев с 0-day эксплойтами столкнулись 62% респондентов, что на 11% больше, чем за прошлый год.
5. 23 % атак в настоящее время ставят под угрозу безопасность API. Исследование VMware также показало, что злоумышленники все чаще используют API, а также проверенные методы, такие как SQL-инъекции.
6. Почти 60% респондентов подверглись атаке c использованием ransomware за последние 12 месяцев. Собственно, проблема вымогателей была и остается одной из самых серьезных категорий угроз, неудивительно, что VMware включила ее в свой список.
7. 87 % опрошенных заявили, что иногда (50 %) или очень часто (37 %) противодействовали действиям киберпреступников. В то время как раньше, остановить активную кибератаку, не прибегая к решительным мерам, требовало значительных усилий. Однако, по данным VMware, 75% опрошенных добились успеха в использовании виртуальных исправлений (использование брандмауэра веб-приложений или аналогичного инструмента для прерывания сетевого пути злоумышленника) в качестве аварийного механизма.
8. Уровень выгорания IT-специалистов снизился по сравнению с прошлым годом, но остается серьезной проблемой. По данным VMware, почти 70% тех, кто испытывает симптомы ИТ-выгорания, рассматривают возможность ухода с работы.
Уязвимость в Python, на которую не обращали внимания в течение 15 лет, теперь снова в центре внимания, поскольку она затрагивает более 350 000 репозиториев с открытым исходным кодом и может привести к RCE.
Раскрытая в 2007 году и отмеченная как CVE-2007-4559 ошибка так и не была исправлена. Под нее лишь переделали документацию, предупреждающую разработчиков об возможных рисках в цепочке поставок ПО.
Уязвимость затрагивает пакет tarfile Python и связана с неправильной реализацией функции tarfile.extract(). Она представляет собой проблему обхода пути, которая позволяет злоумышленнику перезаписывать произвольные файлы.
Технические детали CVE-2007-4559 доступны с момента выхода первоначального отчета в августе 2007 года, данных об использовании этой ошибки отсутствуют.
Однако в этом году в ходе расследования инцидента CVE-2007-4559 была повторно обнаружена ресерчерами Trellix Advanced Threat Research, о чем он упомянул в системе отслеживания ошибок Python и получил ответ о закрытии баги документацией.
Он выяснил, что недостаток связан с тем, что код в функции извлечения в модуле tarfile Python явно доверяет информации в объекте TarInfo и объединяет путь, который передается функции извлечения, и имя в объекте TarInfo. В конечном итоге, позволяет злоумышленнику получить доступ к файловой системе.
Анализируя ситуацию, Trellix извлекли набор из 257 репозиториев, которые с большей вероятностью содержат уязвимый код, и вручную проверили 175, выяснив, что 61% репозиториев были уязвимы.
Далее с помощью GitHub они идентифицировали 588 840 уникальных репозиториев, которые включают import tarfile в свой код Python.
Но, что еще более усугубляет проблему: более 350 000 уязвимых репозиториев применяют инструменты машинного обучения (например, GitHub Copilot), распространяя небезопасный код на другие проекты без ведома разработчика.
Trellix описали простой алгоритм эксплуатации CVE-2007-4559 в версии Spyder IDE для Windows.
Показали, что уязвимость можно использовать и в Linux. Им удалось ускорить запись файла и добиться RCE в тесте службы управления ИТ-инфраструктурой Polemarch.
Помимо исследования уязвимости и ее последствий, Trellix выпустили исправления для 11 000 проектов, которые позже они будут добавлены через пулреквесты.
Кроме того, планируется, что более 70 000 проектов также получат исправления в ближайшие несколько недель.
Раскрытая в 2007 году и отмеченная как CVE-2007-4559 ошибка так и не была исправлена. Под нее лишь переделали документацию, предупреждающую разработчиков об возможных рисках в цепочке поставок ПО.
Уязвимость затрагивает пакет tarfile Python и связана с неправильной реализацией функции tarfile.extract(). Она представляет собой проблему обхода пути, которая позволяет злоумышленнику перезаписывать произвольные файлы.
Технические детали CVE-2007-4559 доступны с момента выхода первоначального отчета в августе 2007 года, данных об использовании этой ошибки отсутствуют.
Однако в этом году в ходе расследования инцидента CVE-2007-4559 была повторно обнаружена ресерчерами Trellix Advanced Threat Research, о чем он упомянул в системе отслеживания ошибок Python и получил ответ о закрытии баги документацией.
Он выяснил, что недостаток связан с тем, что код в функции извлечения в модуле tarfile Python явно доверяет информации в объекте TarInfo и объединяет путь, который передается функции извлечения, и имя в объекте TarInfo. В конечном итоге, позволяет злоумышленнику получить доступ к файловой системе.
Анализируя ситуацию, Trellix извлекли набор из 257 репозиториев, которые с большей вероятностью содержат уязвимый код, и вручную проверили 175, выяснив, что 61% репозиториев были уязвимы.
Далее с помощью GitHub они идентифицировали 588 840 уникальных репозиториев, которые включают import tarfile в свой код Python.
Но, что еще более усугубляет проблему: более 350 000 уязвимых репозиториев применяют инструменты машинного обучения (например, GitHub Copilot), распространяя небезопасный код на другие проекты без ведома разработчика.
Trellix описали простой алгоритм эксплуатации CVE-2007-4559 в версии Spyder IDE для Windows.
Показали, что уязвимость можно использовать и в Linux. Им удалось ускорить запись файла и добиться RCE в тесте службы управления ИТ-инфраструктурой Polemarch.
Помимо исследования уязвимости и ее последствий, Trellix выпустили исправления для 11 000 проектов, которые позже они будут добавлены через пулреквесты.
Кроме того, планируется, что более 70 000 проектов также получат исправления в ближайшие несколько недель.
Trellix
Tarfile: Exploiting the World With a 15-Year-Old Vulnerability
Trellix Advanced Research Center stumbled across a vulnerability in Python’s tarfile module. As we dug into the issue, we realized this was in fact CVE-2007-4559.
͏Похоже, что LockBit сама стала жертвой утечки. Один из разработчиков в команде вымогателей слили исходники сборщика ransomware.
Хакеры, вероятно, продолжительное время трудились над новой версией своего ПО LockBit 3.0, включая и сборщик для новейшего шифровальщика банды, который вышел в июне 2022 года.
Новая версия ransomware включала обновленные функции антианализа, собственную BugBounty и передовые методы вымогательства.
Однако не прошло и трех месяцев, как все труды по факту были обнулены. Первоначально, ресерчеры полагали, что инфраструктуру LockBits взломали, после чего два пользователя слили сборщик LockBit 3.0 в Twitter, заявив о взломе.
Как позже пояснил LockBitSupp, публичный представитель LockBit, сервера не были взломаны, а частный сборщик ransomware слил недовольный разработчик, которого нанимали хакеры под проект. При этом ряд исследователей подтвердили, что сборщик является аутентичным.
На самом деле утечка имеет более серьезные последствия, ведь теперь конструктор LockBit 3.0 доступен любому злоумышленнику, который, как выяснили ресерчеры, позволяет быстро создавать исполняемые файлы для запуска собственных операций, включая шифровальщик, дешифратор и специализированные инструменты для его запуска.
Конструктор состоит из четырех файлов, генератора ключей шифрования, построителя, изменяемого файла конфигурации и пакетного файла для сборки всех файлов.
Config.json позволяет осуществлять все ключевые настройки шифровальщика: заметки о выкупе, параметров конфигурации, списка завершаемых процессов и служб, а также С2, на который шифровальщик будет отправлять данные.
После выполнения пакетного файла сборщик создаст все файлы, необходимые для запуска полноценной кампании ransomware.
Так что еще не понятно, кто пострадает от утечки больше: вымогатели или же потенциально возросшее таким образом сообщество жертв.
Хакеры, вероятно, продолжительное время трудились над новой версией своего ПО LockBit 3.0, включая и сборщик для новейшего шифровальщика банды, который вышел в июне 2022 года.
Новая версия ransomware включала обновленные функции антианализа, собственную BugBounty и передовые методы вымогательства.
Однако не прошло и трех месяцев, как все труды по факту были обнулены. Первоначально, ресерчеры полагали, что инфраструктуру LockBits взломали, после чего два пользователя слили сборщик LockBit 3.0 в Twitter, заявив о взломе.
Как позже пояснил LockBitSupp, публичный представитель LockBit, сервера не были взломаны, а частный сборщик ransomware слил недовольный разработчик, которого нанимали хакеры под проект. При этом ряд исследователей подтвердили, что сборщик является аутентичным.
На самом деле утечка имеет более серьезные последствия, ведь теперь конструктор LockBit 3.0 доступен любому злоумышленнику, который, как выяснили ресерчеры, позволяет быстро создавать исполняемые файлы для запуска собственных операций, включая шифровальщик, дешифратор и специализированные инструменты для его запуска.
Конструктор состоит из четырех файлов, генератора ключей шифрования, построителя, изменяемого файла конфигурации и пакетного файла для сборки всех файлов.
Config.json позволяет осуществлять все ключевые настройки шифровальщика: заметки о выкупе, параметров конфигурации, списка завершаемых процессов и служб, а также С2, на который шифровальщик будет отправлять данные.
После выполнения пакетного файла сборщик создаст все файлы, необходимые для запуска полноценной кампании ransomware.
Так что еще не понятно, кто пострадает от утечки больше: вымогатели или же потенциально возросшее таким образом сообщество жертв.
This media is not supported in your browser
VIEW IN TELEGRAM
Bug Bounty от Rambler&Co
К платформе The Standoff 365 присоединился медиахолдинг Rambler&Co с ежемесячной аудиторией почти в 48 млн человек. У вас есть возможность получить вознаграждения за уязвимости, найденные в десяти сервисах компании:
🔸 портале Rambler.ru
🔸 издании «Лента.ру»
🔸 издании «Газета.Ru»
🔸 издании «Чемпионат»
🔸 «Рамблер/новостях»
🔸 «Рамблер/почте»
🔸 Rambler&Co ID
🔸 «Рамблер/видеоплатформе»
🔸 Afisha.ru
🔸 «Рамблер/кассе»
⚡️ Самые критичные уязвимости могут принести вам 100 000 ₽
Сделать Rambler&Co безопаснее, а себя богаче 👉 https://bugbounty.standoff365.com/programs/rambler_and_co
К платформе The Standoff 365 присоединился медиахолдинг Rambler&Co с ежемесячной аудиторией почти в 48 млн человек. У вас есть возможность получить вознаграждения за уязвимости, найденные в десяти сервисах компании:
🔸 портале Rambler.ru
🔸 издании «Лента.ру»
🔸 издании «Газета.Ru»
🔸 издании «Чемпионат»
🔸 «Рамблер/новостях»
🔸 «Рамблер/почте»
🔸 Rambler&Co ID
🔸 «Рамблер/видеоплатформе»
🔸 Afisha.ru
🔸 «Рамблер/кассе»
⚡️ Самые критичные уязвимости могут принести вам 100 000 ₽
Сделать Rambler&Co безопаснее, а себя богаче 👉 https://bugbounty.standoff365.com/programs/rambler_and_co
Ресерчеры Unit 42 из Palo Alto Networks предупреждают об активно растущей угрозе, связанной с domain shadowing после того, как им удалось выявить 12 197 подобных инцидентов в результате сканирования сети в период с апреля по июнь 2022 года.
Теневое копирование домена — это подкатегория перехвата DNS, когда злоумышленники компрометируют DNS легитимного домена, чтобы размещать собственные субдомены для использования в злонамеренных действиях, но не изменяют уже существующие легитимные записи.
Затем эти поддомены используются злоумышленниками для создания вредоносных страниц, размещения C2-адресов, фишинговых сайтов, злоупотребляя репутацией захваченного домена для обхода проверок безопасности.
При этом веб-страницы сайта владельца домена и записи DNS остаются неизменными, а сами владельцы даже не догадываются, что они были взломаны.
Unit 42 объясняет, что обнаружение реальных случаев компрометации домена без использования алгоритмов автоматизированного машинного обучения достаточно сложно, что делает эту тактику столь привлекательной среди злоумышленников.
Аналитики отмечают, что VirusTotal отметил лишь 200 доменов как вредоносные из 12 197, обнаруженных Palo Alto.
При этом субдомены, которые перенаправляют на фишинговые сайты, могут легко обходить фильтры безопасности электронной почты, поскольку они не содержат ничего вредоносного и имеют надежную репутацию.
Стоит отметить, что ответственность за защиту от мошеннических поддоменов наряду с регистраторами и поставщиками услуг DNS, несут также и владельцы доменов.
Пользователям же, прежде чем отправлять учетные данные или другую конфиденциальную информацию, всегда следует учитывать, что поддомен на известном домене может быть вредоносным.
Теневое копирование домена — это подкатегория перехвата DNS, когда злоумышленники компрометируют DNS легитимного домена, чтобы размещать собственные субдомены для использования в злонамеренных действиях, но не изменяют уже существующие легитимные записи.
Затем эти поддомены используются злоумышленниками для создания вредоносных страниц, размещения C2-адресов, фишинговых сайтов, злоупотребляя репутацией захваченного домена для обхода проверок безопасности.
При этом веб-страницы сайта владельца домена и записи DNS остаются неизменными, а сами владельцы даже не догадываются, что они были взломаны.
Unit 42 объясняет, что обнаружение реальных случаев компрометации домена без использования алгоритмов автоматизированного машинного обучения достаточно сложно, что делает эту тактику столь привлекательной среди злоумышленников.
Аналитики отмечают, что VirusTotal отметил лишь 200 доменов как вредоносные из 12 197, обнаруженных Palo Alto.
При этом субдомены, которые перенаправляют на фишинговые сайты, могут легко обходить фильтры безопасности электронной почты, поскольку они не содержат ничего вредоносного и имеют надежную репутацию.
Стоит отметить, что ответственность за защиту от мошеннических поддоменов наряду с регистраторами и поставщиками услуг DNS, несут также и владельцы доменов.
Пользователям же, прежде чем отправлять учетные данные или другую конфиденциальную информацию, всегда следует учитывать, что поддомен на известном домене может быть вредоносным.
Unit 42
Domain Shadowing: A Stealthy Use of DNS Compromise for Cybercrime
Domain shadowing is a special case of DNS hijacking where attackers stealthily create malicious subdomains under compromised domain names.
У держателей децентрализованных криптоактивов DeFi очередное потрясение. В этот раз от хакерской руки пострадала торговая платформа Wintermute.
Взлом состоял из серии несанкционированных транзакций, в результате которых кошелек злоумышленника пополнился USD Coin, Binance USD, Tether USD, Wrapped ETH и еще 66 других криптовалют на сумму почти 160 миллионов долларов.
В компании заявили, что инцидент с безопасностью не повлиял на ее централизованные финансовые CeFi и внебиржевые OTC операции. Когда именно произошел взлом не сообщается.
Возможны временные перебои в работе, но в компании подчеркнули, что сервис полностю платежеспособен, так как имеет собственные активы на сумму вдвое больше украденной.
Однако представители платформы тешат себя ожиданиями, что злоумышленник подобно Белой шляпе свяжится с нами и все вернет, о чем написал в своем Twitter основатель и генеральный директор компании Евгений Гаевой.
Подробностей по тому, как и посредством какого эксплойта была скомпрометирована система тоже нет.
Но согласно отчету Bishop Fox, опубликованному в мае 2022 года, инциденты, связанные с безопасностью платформ DeFi в большинстве случаев происходят из-за уязвимости в смарт-контрактах или в самой логике протокола.
Другим важным вектором является компрометация кошельков и их приватных ключей. В совокупности только в 2021 году это привело к убыткам в размере 1,8 миллиарда долларов, при этом сервисы подвергались в среднем пяти взломам в месяц.
Кроме того, Wintermute признали, что использовали Profanity - программное обеспечение для генерации личных адресов Ethereum, из-за которых буквально на днях хакерам удалось украсть 3,3 миллиона долларов.
На сегодняшний день Wintermute замыкает цепочку инцидентов с атаками на протоколы DeFi, включая Axie Infinity, Harmony Horizon Bridge, Nomad и Curve.Finance за последние несколько месяцев.
Кто стоит за атакой еще предстоит узнать, но некоторые из последних краж приписывают группировке Lazarus.
Взлом состоял из серии несанкционированных транзакций, в результате которых кошелек злоумышленника пополнился USD Coin, Binance USD, Tether USD, Wrapped ETH и еще 66 других криптовалют на сумму почти 160 миллионов долларов.
В компании заявили, что инцидент с безопасностью не повлиял на ее централизованные финансовые CeFi и внебиржевые OTC операции. Когда именно произошел взлом не сообщается.
Возможны временные перебои в работе, но в компании подчеркнули, что сервис полностю платежеспособен, так как имеет собственные активы на сумму вдвое больше украденной.
Однако представители платформы тешат себя ожиданиями, что злоумышленник подобно Белой шляпе свяжится с нами и все вернет, о чем написал в своем Twitter основатель и генеральный директор компании Евгений Гаевой.
Подробностей по тому, как и посредством какого эксплойта была скомпрометирована система тоже нет.
Но согласно отчету Bishop Fox, опубликованному в мае 2022 года, инциденты, связанные с безопасностью платформ DeFi в большинстве случаев происходят из-за уязвимости в смарт-контрактах или в самой логике протокола.
Другим важным вектором является компрометация кошельков и их приватных ключей. В совокупности только в 2021 году это привело к убыткам в размере 1,8 миллиарда долларов, при этом сервисы подвергались в среднем пяти взломам в месяц.
Кроме того, Wintermute признали, что использовали Profanity - программное обеспечение для генерации личных адресов Ethereum, из-за которых буквально на днях хакерам удалось украсть 3,3 миллиона долларов.
На сегодняшний день Wintermute замыкает цепочку инцидентов с атаками на протоколы DeFi, включая Axie Infinity, Harmony Horizon Bridge, Nomad и Curve.Finance за последние несколько месяцев.
Кто стоит за атакой еще предстоит узнать, но некоторые из последних краж приписывают группировке Lazarus.
Bloomberg.com
Wintermute Hacked for About $160 Million in DeFi Operations
Crypto market maker Wintermute said about $160 million had been hacked from its decentralized finance unit, the latest in a string of exploits hitting the digital assets industry.
Специализирующаяся на облачной безопасности компания Wiz сообщила подробности об уязвимости в Oracle Cloud Infrastructure (OCI).
Получившая наименование AttachMe бага позволяет злоумышленникам получить доступ к виртуальным дискам других клиентов, зная их Oracle Cloud Identifier (OCID). Уникальный идентификатор OCID присваивается каждому виртуальному диску в облаке Oracle.
По сути, из-за ошибки облачная изоляция в OCI фактически отсутствовала.
Эксперты обнаружили, что после получения OCID диска жертвы, который в данный момент не подключен к активному серверу или настроен как общий, злоумышленник может «присоединиться» к нему и получить к нему доступ для чтения/записи.
Злоумышленник может использовать багу, предварительно идентифицировав OCID жертвы.
Успешная реализация ошибки также дает злоумышленнику возможность запросить все доступные тома, получить их OCID, а уже затем и доступ к хранящейся на них информации.
Ресерчеры поясняют, что проблему можно использовать только в том случае, если экземпляр злоумышленника находится в том же домене доступности AD, что и целевой том.
Помимо возможности эксфильтрации конфиденциальных данных или кражи учетных данных для горизонтального перемещения, этот тип доступа может позволить злоумышленнику изменить блочные тома и загрузочные тома для дальнейшего RCE.
Oracle устранила уязвимость через день после того, как Wiz сообщила о ней в июне.
Разработчик представил все необходимые рекомендации по этому поводу в информационном бюллетене для критического обновления за июль 2022 года.
Получившая наименование AttachMe бага позволяет злоумышленникам получить доступ к виртуальным дискам других клиентов, зная их Oracle Cloud Identifier (OCID). Уникальный идентификатор OCID присваивается каждому виртуальному диску в облаке Oracle.
По сути, из-за ошибки облачная изоляция в OCI фактически отсутствовала.
Эксперты обнаружили, что после получения OCID диска жертвы, который в данный момент не подключен к активному серверу или настроен как общий, злоумышленник может «присоединиться» к нему и получить к нему доступ для чтения/записи.
Злоумышленник может использовать багу, предварительно идентифицировав OCID жертвы.
Успешная реализация ошибки также дает злоумышленнику возможность запросить все доступные тома, получить их OCID, а уже затем и доступ к хранящейся на них информации.
Ресерчеры поясняют, что проблему можно использовать только в том случае, если экземпляр злоумышленника находится в том же домене доступности AD, что и целевой том.
Помимо возможности эксфильтрации конфиденциальных данных или кражи учетных данных для горизонтального перемещения, этот тип доступа может позволить злоумышленнику изменить блочные тома и загрузочные тома для дальнейшего RCE.
Oracle устранила уязвимость через день после того, как Wiz сообщила о ней в июне.
Разработчик представил все необходимые рекомендации по этому поводу в информационном бюллетене для критического обновления за июль 2022 года.
wiz.io
AttachMe: critical OCI vulnerability allows unauthorized access to customer cloud storage volumes | Wiz Blog
Before it was patched, #AttachMe could have allowed attackers to access and modify any other users' OCI storage volumes without authorization, thereby violating cloud isolation. Upon disclosure, the vulnerability was fixed within hours by Oracle. No customer…
Одна из крупнейших телекоммуникационных компании Австралии Optus подтвердила инцидент, связанный с несанкционированным доступом к корпоративной информации после кибератаки.
Компания Optus основана в 1981 году и является вторым по величине поставщиком услуг беспроводной связи в Австралии с почти 9,7 миллионами абонентов. В настоящее время принадлежит Сингапурской телекоммуникационной компании.
Обстоятельства атаки не разглашаются, а равно не уточняется, сколько времени хакеры находились в сети. Известно, что платежные реквизиты и пароли учетных записей не были скомпрометированы, а сам инцидент не затронул ни одну из служб.
Однако, по словам исполнительного директора Келли Байер Розмарин, могла быть раскрыта другая личная информация, включая имена, даты рождения, номера телефонов и адреса электронной почты.
Злоумышленники также могли получить доступ к почтовым адресам клиентов, номерам водительских прав и паспортам.
При этом Optus отмечает, что пока не может оценить, какое количество клиентской информации могло быть скомпрометировано в результате взлома.
Правда, австралийские журналисты уже озвучили, что она цифра может составлять до девяти миллионов, что является фактически всей ее клиентской базой. А ранее на этой неделе Байер Розмарин заявила, что все клиенты компании были проинформированы об утечке данных.
Компания в настоящее время активно работает совместно с Австралийским центром кибербезопасности, Федеральной полицией Австралии и регулирующими органами страны по защите данных.
Тем временем, Австралийская комиссия по конкуренции и защите прав потребителей (ACCC) через Scamwatch предупредила клиентов Optus об угрозе мошенничества для пострадавших после кибератаки клиентов компании.
Отдельно клиенты Optus были предупреждены о необходимости принять срочные меры для защиты всех своих банковских счетов и финансовых средств.
Вероятно, последствия инцидента имеют более широкие контуры.
Компания Optus основана в 1981 году и является вторым по величине поставщиком услуг беспроводной связи в Австралии с почти 9,7 миллионами абонентов. В настоящее время принадлежит Сингапурской телекоммуникационной компании.
Обстоятельства атаки не разглашаются, а равно не уточняется, сколько времени хакеры находились в сети. Известно, что платежные реквизиты и пароли учетных записей не были скомпрометированы, а сам инцидент не затронул ни одну из служб.
Однако, по словам исполнительного директора Келли Байер Розмарин, могла быть раскрыта другая личная информация, включая имена, даты рождения, номера телефонов и адреса электронной почты.
Злоумышленники также могли получить доступ к почтовым адресам клиентов, номерам водительских прав и паспортам.
При этом Optus отмечает, что пока не может оценить, какое количество клиентской информации могло быть скомпрометировано в результате взлома.
Правда, австралийские журналисты уже озвучили, что она цифра может составлять до девяти миллионов, что является фактически всей ее клиентской базой. А ранее на этой неделе Байер Розмарин заявила, что все клиенты компании были проинформированы об утечке данных.
Компания в настоящее время активно работает совместно с Австралийским центром кибербезопасности, Федеральной полицией Австралии и регулирующими органами страны по защите данных.
Тем временем, Австралийская комиссия по конкуренции и защите прав потребителей (ACCC) через Scamwatch предупредила клиентов Optus об угрозе мошенничества для пострадавших после кибератаки клиентов компании.
Отдельно клиенты Optus были предупреждены о необходимости принять срочные меры для защиты всех своих банковских счетов и финансовых средств.
Вероятно, последствия инцидента имеют более широкие контуры.
www.optus.com.au
Optus notifies customers of cyberattack compromising customer information
Optus notifies customers of a cyberattack that has allowed unauthorised access to customers personal information.
Платформа электронной коммерции Magento под ударом, причем под тем же, о котором стало известно еще в феврале 2022 года.
Специалисты зафиксировали всплеск попыток взлома платформы с использованием критической уязвимости CVE-2022-24086, позволяющую злоумышленникам, не прошедшим проверку подлинности, выполнять код на неисправленных сайтах.
Ландшафт угроз приличный, так как Magento используется примерно в 170 000 онлайн-магазинах по всему миру. Исправленная уязвимость, еще в феврале активно эксплуатировалась злоумышленниками. В то время CISA опубликовала предупреждение, призывающее администраторов сайта установить доступное обновление безопасности.
Но медвежью услугу оказали исследователи безопасности, которые опубликовали эксплойт доказательства концепции (PoC) для CVE-2022-24086, открыв дорогу для массовой эксплуатации.
Согласно отчету, опубликованному сегодня специалистами Sansec, достигнута стадия, когда критическая уязвимость стала фаворитом среди орудий используемых в хакерском подполье.
Аналитики Sansec обнаружили как минимум три варианта атаки с использованием CVE-2022-24086 для внедрения трояна удаленного доступа на уязвимых хостах.
Первый вариант начинается с создания новой учетной записи клиента на целевой платформе с использованием вредоносного кода шаблона в имени и фамилии, с последующим размещением заказа.
Введенный код декодируется в команду, загружающую исполняемый файл Linux («223sam.jpg»), который запускается в фоновом режиме как процесс.
По факту загружается RAT, который отстукивает на сервер в Болгарии для получения дальнейших команд. С слов специалистов RAT имеет полный доступ к базе данных и запущенным процессам PHP и может быть внедрен на любом из хостов в многосерверной кластерной среде.
Вторая сценарий атаки включает в себя внедрение бэкдора PHP («health_check.php») путем включения кода шаблона в поле НДС размещенного заказа. Код создает новый файл ("pub/media/health_check.php"), который принимает команды через POST-запросы.
И наконец, третий вариант атаки использует код шаблона, который заменяет «generated/code/Magento/Framework/App/FrontController/Interceptor.php» вредоносной версией с бэкдором.
Исследователи призывают администраторов сайтов Magento воспользоваться рекомендациями по безопасности на странице поддержки и обновить свое программное обеспечение до последней версии. Ну или хотя бы, как минимум, глянуть логи на предмет описанных ваше сценариев атак.
Специалисты зафиксировали всплеск попыток взлома платформы с использованием критической уязвимости CVE-2022-24086, позволяющую злоумышленникам, не прошедшим проверку подлинности, выполнять код на неисправленных сайтах.
Ландшафт угроз приличный, так как Magento используется примерно в 170 000 онлайн-магазинах по всему миру. Исправленная уязвимость, еще в феврале активно эксплуатировалась злоумышленниками. В то время CISA опубликовала предупреждение, призывающее администраторов сайта установить доступное обновление безопасности.
Но медвежью услугу оказали исследователи безопасности, которые опубликовали эксплойт доказательства концепции (PoC) для CVE-2022-24086, открыв дорогу для массовой эксплуатации.
Согласно отчету, опубликованному сегодня специалистами Sansec, достигнута стадия, когда критическая уязвимость стала фаворитом среди орудий используемых в хакерском подполье.
Аналитики Sansec обнаружили как минимум три варианта атаки с использованием CVE-2022-24086 для внедрения трояна удаленного доступа на уязвимых хостах.
Первый вариант начинается с создания новой учетной записи клиента на целевой платформе с использованием вредоносного кода шаблона в имени и фамилии, с последующим размещением заказа.
Введенный код декодируется в команду, загружающую исполняемый файл Linux («223sam.jpg»), который запускается в фоновом режиме как процесс.
По факту загружается RAT, который отстукивает на сервер в Болгарии для получения дальнейших команд. С слов специалистов RAT имеет полный доступ к базе данных и запущенным процессам PHP и может быть внедрен на любом из хостов в многосерверной кластерной среде.
Вторая сценарий атаки включает в себя внедрение бэкдора PHP («health_check.php») путем включения кода шаблона в поле НДС размещенного заказа. Код создает новый файл ("pub/media/health_check.php"), который принимает команды через POST-запросы.
И наконец, третий вариант атаки использует код шаблона, который заменяет «generated/code/Magento/Framework/App/FrontController/Interceptor.php» вредоносной версией с бэкдором.
Исследователи призывают администраторов сайтов Magento воспользоваться рекомендациями по безопасности на странице поддержки и обновить свое программное обеспечение до последней версии. Ну или хотя бы, как минимум, глянуть логи на предмет описанных ваше сценариев атак.
Sansec
Surge in Magento 2 template attacks
The critical template vulnerability in Magento 2 (CVE-2022-24086) is gaining popularity among eCommerce cyber criminals. The majority of recent Sansec forens...
Forwarded from Russian OSINT
🦊Браузер Firefox помечает утечки в разделе "Пароли"
Для тех, кто пользуется браузером Firefox, в разделе "Пароли" (about:logins) вы можете ознакомиться с подробностями утечек "Атакованные сайты" за которыми следит Firefox Monitor. Если вы нашли свои учётные данные в базе данных, то пароль лучше сменить.
Для тех, кто пользуется браузером Firefox, в разделе "Пароли" (about:logins) вы можете ознакомиться с подробностями утечек "Атакованные сайты" за которыми следит Firefox Monitor. Если вы нашли свои учётные данные в базе данных, то пароль лучше сменить.
Недавно исправленная RCE-уязвимость в ПО Zoho ManageEngine начинает активно эксплуатироваться в дикой природе.
Приобретенное Zoho в 2014 году, корпоративное ИТ-решение реализует управление идентификацией и доступом, конечными точками, корпоративными службами, информацией и событиями безопасности, а также ИТ-операциями.
Речь идет о CVE-2022-35405 с оценкой CVSS 9,8, которая описывается как ошибка RCE, влияющая на ManageEngine Password Manager Pro до 12101, ManageEngine PAM360 до 5510 и ManageEngine Access Manager Plus до 4303.
Для успешного использования баги в ManageEngine Password Manager Pro и PAM360 не требуется аутентификация.
Однако злоумышленник, нацеленный на уязвимые экземпляры ManageEngine Access Manager Plus, должен пройти аутентификацию.
На момент выпуска Zoho исправлений для устранения этой ошибки безопасности в июне, PoC эксплойта уже находил в открытом доступе.
Обнаруживший уязвимость ресерчер, ранее в этом месяце также опубликовал сообщение в блоге с описанием своих выводов.
Принимая во внимание, что CISA добавила CVE-2022-35405 в свой каталог известных эксплуатируемых уязвимостей (KEV), уязвимости в котором обычно используются для первоначального доступа, клиентам настоятельно рекомендуется немедленно обновить экземпляры Password Manager Pro, PAM360 и Access Manager Plus.
Приобретенное Zoho в 2014 году, корпоративное ИТ-решение реализует управление идентификацией и доступом, конечными точками, корпоративными службами, информацией и событиями безопасности, а также ИТ-операциями.
Речь идет о CVE-2022-35405 с оценкой CVSS 9,8, которая описывается как ошибка RCE, влияющая на ManageEngine Password Manager Pro до 12101, ManageEngine PAM360 до 5510 и ManageEngine Access Manager Plus до 4303.
Для успешного использования баги в ManageEngine Password Manager Pro и PAM360 не требуется аутентификация.
Однако злоумышленник, нацеленный на уязвимые экземпляры ManageEngine Access Manager Plus, должен пройти аутентификацию.
На момент выпуска Zoho исправлений для устранения этой ошибки безопасности в июне, PoC эксплойта уже находил в открытом доступе.
Обнаруживший уязвимость ресерчер, ранее в этом месяце также опубликовал сообщение в блоге с описанием своих выводов.
Принимая во внимание, что CISA добавила CVE-2022-35405 в свой каталог известных эксплуатируемых уязвимостей (KEV), уязвимости в котором обычно используются для первоначального доступа, клиентам настоятельно рекомендуется немедленно обновить экземпляры Password Manager Pro, PAM360 и Access Manager Plus.
Manageengine
ManageEngine PAM360, Password Manager Pro, and Access Manager Plus remote code execution vulnerability.
Binarly обнаружила новый набор потенциально серьезных уязвимостей встроенного ПО, которые могут позволить злоумышленнику получить постоянный доступ к любому из миллионов уязвимых устройств.
Ресерчеры обнаружили семь новых уязвимостей в прошивке InsydeH2O UEFI, разработанной Insyde Software.
При этом уязвимый код уже реализован в решениях десятка других компаний, в том числе крупными поставщиками, такими как HP, Dell, Intel, Microsoft, Fujitsu, Framework и Siemens.
Недостатки связаны с режимом управления системой SMM и могут привести к раскрытию информации или RCE, правда, эксплуатация требует локального привилегированного доступа к ОС.
Злоумышленник может установить вредоносный имплант на разных уровнях прошивки, либо в виде модифицированного модуля, либо в виде отдельного драйвера. Этот тип вредоносного кода может обойти Secure Boot по своей конструкции и повлиять на дальнейшие этапы загрузки.
Binarly опубликовала отдельные рекомендации с техническими подробностями по каждой из уязвимостей.
Insyde Software, в свою очередь, выпустила исправления и также поделилась свои рекомендациями. Все бы было прекрасно, если исправления Insyde также оперативно были ретранслированы в код уязвимых решений.
Однако, по оценкам исследователей, на это может уйти 6-9 месяцев, пока производители устройств не исправят уязвимости на всех корпоративных устройствах.
Ресерчеры обнаружили семь новых уязвимостей в прошивке InsydeH2O UEFI, разработанной Insyde Software.
При этом уязвимый код уже реализован в решениях десятка других компаний, в том числе крупными поставщиками, такими как HP, Dell, Intel, Microsoft, Fujitsu, Framework и Siemens.
Недостатки связаны с режимом управления системой SMM и могут привести к раскрытию информации или RCE, правда, эксплуатация требует локального привилегированного доступа к ОС.
Злоумышленник может установить вредоносный имплант на разных уровнях прошивки, либо в виде модифицированного модуля, либо в виде отдельного драйвера. Этот тип вредоносного кода может обойти Secure Boot по своей конструкции и повлиять на дальнейшие этапы загрузки.
Binarly опубликовала отдельные рекомендации с техническими подробностями по каждой из уязвимостей.
Insyde Software, в свою очередь, выпустила исправления и также поделилась свои рекомендациями. Все бы было прекрасно, если исправления Insyde также оперативно были ретранслированы в код уязвимых решений.
Однако, по оценкам исследователей, на это может уйти 6-9 месяцев, пока производители устройств не исправят уязвимости на всех корпоративных устройствах.
www.binarly.io
Advisories Dashboard
Access the latest firmware and software vulnerability advisories issued by BINARLY to safeguard your digital assets.
Консорциум интернет-систем ISC устранил шесть уязвимостей в ПО BIND DNS, которые можно использовать удаленно.
Четыре из шести недостатков, все из которых связаны с отказом в обслуживании DoS, имеют высокую степень серьезности.
Одна из проблем CVE-2022-2906 (с оценкой CVSS 7,5) вызывает утечку памяти при обработке ключей при использовании записей TKEY в режиме Диффи-Хеллмана с OpenSSL 3.0.0 и более поздними версиями.
Злоумышленник может использовать багу для того, чтобы постепенно стирать доступную память до вызова сбоя из-за нехватки ресурсов. После перезапуска злоумышленнику придется начинать заново, но, тем не менее, вероятность отказа в обслуживании будет сохраняться.
Другая уязвимость, отслеживаемая как CVE-2022-38177, представляет собой утечку памяти в проверочном коде ECDSA DNSSEC. Злоумышленник может активировать уязвимость, в виду несоответствия длины подписи.
Третья проблема CVE-2022-3080 может вызвать сбой преобразователя BIND 9 в определенных условиях.
Резолвер BIND 9 может аварийно завершать работу, если включены устаревший кеш и устаревшие ответы, для параметра stale-answer-client-timeout установлено значение 0 и в кеше присутствует устаревшее CNAME для входящего запроса.
Четвертая уязвимость высокой степени серьезности отслеживается как CVE-2022-38178 и приводит к утечке памяти в проверочном коде EdDSA DNSSEC.
ISC ничего не сообщает об атаках с использованием вышеуказанных уязвимостей, полагаясь на их отсутствие.
Тем не менее американская CISA уже поспешила опубликовать соответствующие рекомендации по безопасности, предупредив о серьезности проблемы.
Четыре из шести недостатков, все из которых связаны с отказом в обслуживании DoS, имеют высокую степень серьезности.
Одна из проблем CVE-2022-2906 (с оценкой CVSS 7,5) вызывает утечку памяти при обработке ключей при использовании записей TKEY в режиме Диффи-Хеллмана с OpenSSL 3.0.0 и более поздними версиями.
Злоумышленник может использовать багу для того, чтобы постепенно стирать доступную память до вызова сбоя из-за нехватки ресурсов. После перезапуска злоумышленнику придется начинать заново, но, тем не менее, вероятность отказа в обслуживании будет сохраняться.
Другая уязвимость, отслеживаемая как CVE-2022-38177, представляет собой утечку памяти в проверочном коде ECDSA DNSSEC. Злоумышленник может активировать уязвимость, в виду несоответствия длины подписи.
Третья проблема CVE-2022-3080 может вызвать сбой преобразователя BIND 9 в определенных условиях.
Резолвер BIND 9 может аварийно завершать работу, если включены устаревший кеш и устаревшие ответы, для параметра stale-answer-client-timeout установлено значение 0 и в кеше присутствует устаревшее CNAME для входящего запроса.
Четвертая уязвимость высокой степени серьезности отслеживается как CVE-2022-38178 и приводит к утечке памяти в проверочном коде EdDSA DNSSEC.
ISC ничего не сообщает об атаках с использованием вышеуказанных уязвимостей, полагаясь на их отсутствие.
Тем не менее американская CISA уже поспешила опубликовать соответствующие рекомендации по безопасности, предупредив о серьезности проблемы.
kb.isc.org
BIND 9 Software Vulnerability Matrix
The BIND 9 Security Vulnerability Matrix is a tool to help DNS operators understand the current security risk for a given version of BIND.