CommonSpirit Health, одна из крупнейших некоммерческих систем здравоохранения в США, по всей видимости испытала на себе разрушительные последствия ransomware-атаки.

Компания отключила часть своих ИТ-систем, в том числе электронную медицинскую карту (EHR), из-за инцидента с безопасностью, который затронул ряд учреждений.

Система здравоохранения США включает 140 больниц и более 1000 медицинских учреждений в 21 штате, а ее команда состоит из 150 000 сотрудников и включает 20 000 врачей. Число пациентов достигает более чем 21 миллиона жителей.

В опубликованном во вторник заявлении CommonSpirit сообщается, что инцидент вынудил его ИТ-команду следовать процедурам отключения и свести к минимуму сбои.

В числе пострадавших: больница Берган Милосердие, медицинский центр MercyOne Des Moines и несколько поставщиков медицинских услуг Virginia Mason Franciscan Health.

Пациентам при этом отменили все записи на прием в CommonSpirit. Сама компания пока не комментирует ситуацию.

BlackByte взяли на вооружение новую технику Bring Your Own Driver (BYOVD).

Выявленные недавние атаки были связаны с использованием уязвимости повышения привилегий и выполнения кода CVE-2019-16098 в некоторых версиях драйвера MSI Afterburner RTCore64.sys.

Уверенная эксплуатация позволила BlackByte отключить драйверы, препятствующие нормальной работе EDR, а также антивирусные решения.

BYOVD эффективен, поскольку уязвимые драйверы подписаны действительным сертификатом и запускаются в системе с высокими привилегиями.

Аналогичным образом действовали Lazarus, злоупотребляя драйвером Dell, а также неизвестные акторы, которые использовали античитерский драйвер для игры Genshin Impact.

Исследователи поясняют, что злоупотребляемый графический драйвер MSI предлагает коды управления вводом-выводом, напрямую доступные процессам пользовательского режима, что нарушает правила безопасности Microsoft в отношении доступа к памяти ядра.

Это позволяет злоумышленникам читать, писать или выполнять код в памяти ядра без использования шелл-кода или эксплойта.

На первом этапе атаки BlackByte идентифицирует версию ядра, чтобы выбрать правильные смещения, соответствующие идентификатору ядра. Затем RTCore64.sys помещается в «AppData\Roaming» и создает службу, используя жестко заданное имя и случайно выбранное отображаемое имя.

Затем злоумышленники используют уязвимость драйвера для удаления процедур уведомления ядра, которые соответствуют процессам инструментов безопасности.

Полученные адреса обратного вызова используются для получения соответствующего имени драйвера и сравниваются со списком из 1000 целевых драйверов, которые поддерживают функцию инструментов AV/EDR.

Любые совпадения, найденные на этом этапе, удаляются путем перезаписи нулями элемента, содержащего адрес функции обратного вызова, поэтому целевой драйвер аннулируется.

Sophos также полагает, что BlackByte использует в этих атаках поиск признаков работы отладчика в целевой системе и выход из него.

Вредоносная программа BlackByte проверяет список перехватывающих DLL-библиотек, используемых Avast, Sandboxie, библиотекой Windows DbgHelp и Comodo Internet Security, и прекращает свое выполнение в случае обнаружения.

Системные администраторы могут защититься от нового приема обхода безопасности BlackByte, добавив конкретный драйвер MSI в активный черный список.

Кроме того, администраторы должны отслеживать все события установки драйверов и почаще проверять их, чтобы найти мошеннические внедрения, которые не соответствуют оборудованию.

Обнаружена очередная шпионская зверюга под Android, которая позволяет злоумышленникам прослушивать телефонные разговоры жертв и скачивать их фотографии.

О новом шпионском софте под названием RatMilad сообщили специалисты по информационной безопасности из компании Zimperium.

ПО распространяется под видом приложений (таких как NumRent или Text Me) для генерации виртуальных номеров телефонов, которые обычно используются при регистрации большого числа аккаунтов в соцсетях и других онлайн-сервисах.

Согласно отчету Zimperium, за распространением стоит иранская хакерская группировка AppMilad, которая через рассылки в социальных сетях и различных службах обмена сообщениями, заманивает предполагаемых жертв к загрузке вредоносного ПО на свои устройства.

При запуске фейковой утилиты она запрашивают большое число разрешений, что, по словам экспертов, должно сразу насторожить пользователей. Малварь просит доступ к списку контактов, содержанию SMS-сообщений, микрофону, данным в буфере обмена, GPS и не только.

После бездумного "разрешить-далее" приложение начинает воровать информацию о перемещениях жертвы, записывать разговоры, сканировать медиафайлы и отправлять результаты на C2 злоумышленников.

Кроме того Zimperium обнаружили канал Telegram, который злоумышленники использовали для распространения вредоносного ПО.

Со слов экспертов, сообщение со ссылкой на вредоносное приложение набрало более 4700 просмотров и было опубликовано более 200 раз. Показатели достаточно условные и оценить реальную степень заражения RatMilad пока не возможно.

Cisco исправила потенциально серьезные уязвимости в некоторых своих сетевых и коммуникационных продуктах, включая Enterprise NFV, Expressway и TelePresence.

Компания сообщила клиентам, что ее серия Expressway и ПО TelePresence Video Communication Server подвержены двум уязвимостям высокой степени серьезности.

Одна из них CVE-2022-20814 связана с неправильной проверкой сертификата, может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить доступ к конфиденциальным данным посредством атаки MiTM.

Успешное использование уязвимости может привести к перехвату или изменению трафика злоумышленником.

Вторая CVE-2022-20853 реализует атаки с подделкой межсайтовых запросов CSRF, позволяя злоумышленнику вызвать состояние DoS, заставив пользователя щелкнуть специально созданную ссылку.

В корпоративном ПО инфраструктуры NFV (NFVIS) Cisco устранила серьезную проблему, связанную с неправильной проверкой подписи файлов обновления (CVE-2022-20929).

Злоумышленник может воспользоваться уязвимостью, предоставив администратору неаутентичный файл обновления.

Злоумышленник может воспользоваться уязвимостью, предоставив администратору неаутентичный файл обновления. Успешный эксплойт может позволить злоумышленнику полностью скомпрометировать систему Cisco NFVIS.

Компания также выпустила рекомендации по безопасности для устранения уязвимостей средней степени серьезности в Smart Software Manager On-Prem, Jabber, BroadWorks, ATA, Touch 10, Secure Web Appliance.

Производитель заявляет, что ему неизвестно о каких-либо реальных вредоносных атаках, нацеленных на эти уязвимости.

Ресерчеры Trend Micro продолжают отслеживать атаки и инструменты одной из наиболее активных АРТ Earth Aughisky (также известной как Taidoor).

В течение последнего десятилетия группа продолжала вносить коррективы в инструменты и развертывание вредоносных ПО под конкретные цели, расположенные на Тайване, а в последнее время и в Японии.

В дополнение к исследованному АРТ арсеналу, представленному в исследовательском материале (здесь), Trend Micro добавили новые семейства вредоносных программ и инструменты с компонентами, которые хоть и не полностью атрибутированы, но имеют определенные признаки и связи.

Бэкдор Roudan (или Taidoor) - это классическое вредоносное ПО Earth Aughisky, впервые раскрытое более 10 лет назад, наблюдалось для различных форматов, используемых АРТ для обратного трафика, поскольку оно содержит закодированный MAC-адрес и данные.

LuckDLL — относительно новый бэкдор, о котором до сих пор не сообщалось. Активность обнаружена после 2020 года. Открытый ключ встроен в конфигурацию вредоносного ПО и впоследствии взаимодействует с C2-сервером. Затем LuckDLL генерирует случайный сеансовый ключ и вектор инициализации (IV) для шифрования трафика. Открытый ключ шифрует сеансовый ключ и IV во время первоначальной связи и передается C2. 

GrubbyRAT развертывается только тогда, когда АРТ заинтересована в важных целях. Файл конфигурации, о котором до сих пор не сообщается, иногда устанавливается в существующее приложение или общую системную папку и использует то же имя файла, что и компонент. Эта RAT устанавливается вручную и после того, как злоумышленник получил административные привилегии и контроль над зараженной системой.

Taikite (SVCMONDR) ранее не было отнесено к Earth Aughisky. Некоторые образцы этого удаленного файла, обнаруженные на Тайване в 2015 году, имели файл .pdb, аналогичный другим семействам и инструментам вредоносного ПО группы APT. Трафик обратного вызова C2 закодирован в Base64 и демонстрирует подробную структуру данных обратной связи и анализ поведения.

О бэкдоре SiyBot также еще не сообщалось, вероятно, потому, что используется реже и только в нескольких случаях. SiyBot злоупотребляет более ранними версиями общедоступных сервисов, таких как Gubb и 30 Boxes, для связи с C2, при этом необходимые учетные данные или токен можно найти в конфигурации вредоносного ПО.

Ресерчеры обнаружили, что один и тот же веб-сайт используется для размещения Roudan и SiyBot, а также полезной нагрузки загрузчика ASRWEC (инструмент, который также приписывается к АРТ) в том же хранилище.

Taleret — еще одно семейство вредоносных ПО, которое уже много лет идентифицируется к Earth Aughisky. Выявлены совпадения С2, одинаковых хэшей, механизмов ведения журналов и хостов блогов между Taleret и более ранними версиями полезной нагрузки Roudan.

Полный список индикаторов компрометации IOC можно найти здесь.

​🔖 S.E. Заметка. Дорки Shodan.

Представьте следующую ситуацию: Вы купили себе новенькую камеру видеонаблюдения, повесили над гаражом своего большого дома для охраны крутой тачки. Настроили камеру, загрузили приложение и настроили доступ к своей камере из любой точки мира. Кажется все легко и просто, однако камера шлет запросы на китайский сервак и транслирует картинку в режиме онлайн. Этот сервер может не требовать пароля для доступа к каналу с вашей веб-камеры, что делает ее общедоступной для всех, кто ищет текст, содержащийся на странице просмотра камеры.

🖖🏻 Приветствую тебя user_name.

• Dorking является неотъемлемой частью процесса сбора конфиденциальной информации и процесса ее анализа. Его по праву можно считать одним из самых корневых и главных инструментов #OSINT и сегодня я поделюсь с тобой крутым списком ресурсов, на которых ты можешь найти интересные дорки #Shodan:

• https://github.com/lothos612/shodan
• https://github.com/IFLinfosec/shodan-dorks
• https://github.com/humblelad/Shodan-Dorks
• https://securitytrails.com/blog/top-shodan-dorks
• https://github.com/jakejarvis/awesome-shodan-queries
• https://community.turgensec.com/shodan-pentesting-guide/
• https://github.com/AustrianEnergyCERT/ICS_IoT_Shodan_Dorks
• https://www.osintme.com/index.php/2021/01/16/ultimate-osint-with-shodan-100-great-shodan-queries/
• https://github.com/blaCCkHatHacEEkr/PENTESTING-BIBLE/blob/master/1-part-100-article/google/Shodan%20Queries.txt

Вспомогательная информация:

• https://beta.shodan.io/search/filters
• https://beta.shodan.io/search/examples
• https://nmap.org/book/osdetect-device-types.html
• https://help.shodan.io/the-basics/search-query-fundamentals
• https://en.wikipedia.org/wiki/List_of_Microsoft_Windows_versions

Альтернативы Shodan:

• Fofa
• Wigle
• LeaxIX
• Censys
• NATLAS
• ZoomEye
• Oneyphe
• Hunter.io
• ivre.rocks
• BinryEdge
• Greaynoise
• Ghostproject

Твой S.E. #OSINT #Shodan

Исследователи ThreatLabz Zscaler связали недавно обнаруженный образец нового вредоносного ПО LilithBot с группой Eternity (также известной как EternityTeam или Eternity Project).

Eternity ведет разработку одноименной вредоносной ПО как услуги (MaaS).

В мае в рамках расследования исследователи Cyble обнаружили и проанализировали Tor-маркетплейс Eternity Project, который предлагает к продаже широкий спектр вредоносных ПО, включая стилеры, майнеры, программы-вымогатели и DDoS-боты.

Как выяснилось, у операторов также есть Telegram-канал с 500 подписчиками, который использовался для обсуждения ассортимента редоносных ПО и обновлениях. Кроме того, операторы проекта позволяют своим клиентам настраивать бинарные функции через канал Telegram.  

Операторы продают модуль Stealer за 260 долларов в виде годовой подписки. Он позволяет красть достаточно много конфиденциальной информации из зараженных систем, включая пароли, файлы cookie, кредитные карты и криптокошельки. Украденные данные эксфильтрируются через Telegram Bot.

Модуль Eternity Miner стоит 90 долларов. Клиенты могут настроить его с помощью собственного пула Monero и функций AntiVM.

Операторы Eternity также продают вредоносное ПО clipper за 110 долларов, оно отслеживает буфер обмена на наличие криптовалютных кошельков и подменяет их адресом кошелька злоумышленников.

Eternity Ransomware стоит 490 долларов, а Eternity Worm — 390 долларов.

По словам Cyble, операторы, стоящие за проектом Eternity, также разрабатывают вредоносный код DDoS Bot, заимствующий код из репозитория Github.

LilithBot — передовое многофункциональное вредоносное ПО, распространяемое группой Eternity через выделенный канал Telegram по модели MaaS, которое можно приобрести через Tor.

При этом злоумышленники постоянно улучшают вредоносное ПО, добавляя новые функции, в том числе средства защиты от отладки и проверки против виртуальных машин.

LilithBot может украсть всю информацию (история браузера, файлы cookie, изображения и снимки экрана) из зараженных систем, а затем загрузить себя в виде zip-файла в C2.

Отчет ресерчеров включает технические сведения и индикаторы компрометации IOC, а также MITRE ATT&CK.

VMware сообщила об исправлениях уязвимости vCenter Server, которая могла привести к RCE.

Утилита централизованного управления vCenter Server используется для контроля за виртуальными машинами и хостами ESXi, а также их зависимыми компонентами.

Отслеживаемая как CVE-2022-31680 с оценкой CVSS 7,2 ошибка безопасности описывается как проблема десериализации в контроллере служб платформы PSC.

Злоумышленник с правами администратора на сервере vCenter может использовать эту проблему для RCE в базовой операционной системе, на которой размещен сервер vCenter.

Уязвимость была устранена в выпуске VMware vCenter Server 6.5 U3u.

VMware также выпустила исправления для уязвимости с низким уровнем серьезности отказа в обслуживании (DoS) в гипервизоре VMware ESXi.

CVE-2022-31681 заключается в недостатке разыменования нулевого указателя, который может позволить злоумышленнику с привилегиями только в рамках процесса VMX создать состояние DoS на хосте.

Ошибка была устранена в версиях ESXi ESXi70U3sf-20036586, ESXi670-202210101-SG и ESXi650-202210101-SG. 

Как сообщает VMware, Cloud Foundation (ESXi) также подвержена этой уязвимости.

VMware рекомендует всем клиентам выполнить обновления программного обеспечения, даже несмотря на то, что данных об использовании ошибок в дикой природе не имеется.

Критическая RCE-уязвимость в корпоративном ПО Zimbra Collaboration Suite, широко распространенном веб-клиенте и почтовом сервере, подвергается активной эксплуатации. При этом доступные исправления для устранения этой проблемы отсутствуют.

0-day отслеживается как CVE-2022-41352 и имеет рейтинг CVSS 9.8.

Согласно Rapid7, ошибка связана с методом (cpio) и позволяет злоумышленникам возможность загружать произвольные файлы через Amavis (система безопасности электронной почты) произвольные файлы и выполнять вредоносные действия на уязвимых установках.

Rapid7 также отметил, что CVE-2022-41352 фактически идентична CVE-2022-30333 — уязвимости обхода пути в Unix-версии утилиты RARlab unRAR, которая была обнаружена ранее в июне этого года.

Компонент cpio имеет недостаток, который позволяет злоумышленнику создавать архивы, которые можно извлечь в любом месте файловой системы, доступной для Zimbra.

Когда электронное письмо отправляется на сервер Zimbra, система безопасности Amavis извлекает архив для проверки его содержимого на наличие вирусов. Однако, если он извлекает специально созданный архив .cpio, .tar или .rpm, содержимое может быть извлечено в веб-корневой каталог Zimbra.

Успешное использование уязвимости позволяет злоумышленнику перезаписать корневой каталог Zimbra, внедрить шелл-код и получить доступ к учетным записям других пользователей.

Согласно сообщениям на форумах Zimbra, уязвимость нашла свое применение уже с начала сентября 2022 года.

После чего 14 сентября Zimbra выпустила рекомендации по безопасности, предупредив системных администраторов о необходимости установить Pax, портативную утилиту для архивирования, и перезапустить свои серверы для замены cpio.

Уязвимость, присутствующая в версиях 8.8.15 и 9.0 ПО, затрагивает несколько дистрибутивов Linux, таких как Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 и CentOS 8, за исключением Ubuntu из-за того, что этот pax уже установлен по умолчанию.

0-day отслеживается как CVE-2022-41352 и за исключением Ubuntu из-за того, что этот pax уже установлен по умолчанию.

Zimbra заявила, что ожидает, что уязвимость будет устранена в следующем программном патче, который исключит cpio, сделав pax обязательным компонентом. Тем не менее, разработчик не представил конкретных сроков исправления.

Еще большую тревогу вызывает то, что Zimbra, как говорят, еще более уязвима для другого 0-day, вызывающего повышение привилегий, который может быть использован с связке уязвимостью cpio для достижения полной удаленной компрометации серверов.

Новый  отчет Rapid7 проливает свет на технические детали и включает PoC, который позволяет злоумышленникам легко создавать вредоносные архивы.

Администраторам следует принять срочные меры для защиты своих ZCS.

Fortinet в частном порядке предупредила клиентов об уязвимости в системе безопасности, затрагивающей брандмауэры FortiGate и веб-прокси FortiProxy.

Критическая уязвимость CVE-2022-40684 имеет оценку CVSS 9,6 и связана с уязвимостью обхода аутентификации, которая может позволить злоумышленнику, не прошедшему проверку подлинности, выполнять произвольные операции в административном интерфейсе с помощью специально созданных запросов HTTP или HTTPS.

Ошибка затрагивает следующие версии FortiOS с 7.0.0 до 7.0.6 и с 7.2.0 до 7.2.1, FortiProxy с 7.0.0 на 7.0.6 и 7.2.0. Fortinet откладывает публичное раскрытие уязвимости и подробности атак с ее использованием до тех пор, пока ее клиенты не применят исправления.

Проблема исправлена в FortiOS 7.0.7 и 7.2.2, а также в версиях FortiProxy 7.0.7 и 7.2.1.

Принимая во внимание возможность удаленной эксплуатации этой проблемы и доступность, согласно поиску Shodan, более 100 000 брандмауэров FortiGate в сети, Fortinet настоятельно рекомендует всем клиентам с уязвимыми версиями выполнить немедленное обновление.

В качестве временного обходного пути Fortinet рекомендует пользователям отключить администрирование HTTPS с выходом в Интернет до тех пор, пока не будут установлены обновления, или, в качестве альтернативы, ограничить IP-адреса, которые могут получить доступ к административному интерфейсу с помощью локальной политики.

Недавно сообщалось о взломе ADATA вымогателями RansomHouse, которые угрожали слить украденный ТБ данных.

После собственного расследования тайваньский производитель чипов информацию об инциденте не подтвердил, заявив о публикации RansomHouse на своем DLS файлов, которые были украдены еще в мае в ходе ranosmware-атаки RagnarLocker.

Сравнивая временные метки данных в образцах RansomHouse с данными, украденными RagnarLocker, ресерчеры пришли к выводу, что оба набора массива имеют одинаковые временные метки, а файлы новее мая 2021 года отсутствуют.

Кроме того, компания добавила, что RansomHouse не оставил даже заметки о выкупе. Тем не менее, хакеры продолжают настаивать на том, что они все же взломали ADATA и вели переговоры с компанией по поводу выкупа.

Учитывая богатый опыт и предыдущих жертв RansomHouse, вполне вероятно, что переговоры оказались продуктивными для обеих сторон.

Будем посмотреть.

@Social_engineering — самое крупное Telegram комьюнити, которое объединило в себе всех любителей и экспертов в области информационной безопасности, социальной инженерии и OSINT!

А вот, Intel подтвердила подлинность утечки исходного кода UEFI BIOS процессоров Alder Lake.

Alder Lake — это линейка процессоров Intel Core 12-го поколения, выпущенных в ноябре 2021 года.

В пятницу пользователь Freak в Twitter опубликовал ссылки на исходники прошивки UEFI, которая, как они утверждают, была выпущена 4chan. Весь исходный код был разработан Insyde Software Corp, компанией-разработчиком прошивки для систем UEFI.

Репозиторий GitHub с именем «ICE_TEA_BIOS» был загружен пользователем с именем LCFCASD, который добавил к нему описание «Код BIOS из проекта C970».

Как выяснилось, утечка содержит 5,97 ГБ файлов, включая исходный код, закрытые ключи, журналы изменений и инструменты компиляции, последняя временная метка которых датирована 30 сентября этого года.

Слитые файлы содержат многочисленные ссылки на Lenovo, в том числе код для интеграции с «Lenovo String Service», «Lenovo Secure Suite» и «Lenovo Cloud Service».

Как предполагают в Intel, проприетарный код UEFI, по-видимому, был украден третьей стороной, правда непонятно, был ли исходный код украден во время кибератаки или действовал инсайдер.

Безусловно, Intel пытается преуменьшить риски безопасности, связанные с утечкой исходного кода, который, как они уверяют, включен в BugBounty.

Однако, ресерчеры придерживается иного мнения и предупреждают, что утечка может упростить поиск уязвимостей в коде.

Hardened Vault прямо заявляют, что злоумышленники непременно извлекут огромную выгоду из утечек, даже если утечка OEM-реализации лишь частично используется в производстве.

Ресерчер Марк Ермолов из Positive Technologies также отмечает, что утечка включала закрытый ключ шифрования KeyManifest, закрытый ключ, который используется для защиты платформы Intel Boot Guard.

Если вам "до лампочки" на безопасность, то теперь вполне уместно уточнить до какой лампочки конкретно, так как хакеры способны провести ослепительную атаку в прямом и переносном смысле.

В линейке умных светильников от IKEA были обнаружены две уязвимости, которые позволяют злоумышленнику получить контроль над системой и включать лампочки на полную мощность.

Специалисты из Synopsys продемонстрировали, как злоумышленник может получить контроль над лампочками в интеллектуальной системе освещения Ikea Tradfri.

Для этого достаточно несколько раз отправить один и тот же неправильно сформированный фрейм Zigbee (IEEE 802.15.4), а затем воспользоваться двумя уязвимостями отслеживаемыми как CVE-2022-39064 и CVE-2022-39065 в системе освещения, причем пользователи не могут выключить их через приложение или пульт дистанционного управления.

В отчете Synopsys пояснили, что искаженный фрейм Zigbee представляет собой широковещательное сообщение, не прошедшее проверку подлинности, что означает об уязвимости всех устройств в пределах радиодиапазона.

Чтобы хоть как-то избежать этой атаки, пользователь должен вручную выключить и снова включить питание, однако злоумышленник может повторно воспроизвести атаку в любое время. Кейс можно смело вписать в мануал "как достать соседа".

Synopsys сообщила Ikea об уязвимостях умного освещения еще в июне 2021 года, а компания выпустила исправление в феврале 2022 года.

Однако со слов исследователей версия V-2.3.091 исправляет проблемы только с некоторыми искаженными кадрами, но не со всеми, и поделились видео с эксплойтом. IKEA пока не дала комментариев по поводу того, когда будет выпущен полный патч.

Октябрьские обновления безопасности для Android содержат исправления более 50 уязвимостей, включая критический недостаток в компоненте Framework.

Критическая как CVE-2022-20419 представляет собой ошибку раскрытия информации и была устранена с помощью уровня исправления безопасности 2022-10-01 вместе с пятью другими уязвимостями в Framework, которые могут привести к несанкционированному получению привилегий. раскрытию информации и отказу в обслуживании (DoS).

Согласно бюллетеню Google, наиболее серьезной из этих проблем - критическая бага в компоненте Framework, которая может привести к локальному повышению привилегий без необходимости дополнительных привилегий на выполнение.

Пакет исправлений 2022-10-01 также устранил девять других уязвимостей безопасности, влияющих на компоненты: Media Framework (две ошибки раскрытия информации) и SYSTEM (три повышения привилегий, три раскрытия информации и одна проблема DoS).

Вторая часть уровень исправлений безопасности 2022-10-05 разрешает в общей сложности 33 проблемы, влияющие на ядро Android, а также на компоненты ядра, Imagination Technologies, MediaTek, UNISOC и Qualcomm. Некоторые из недостатков Qualcomm имеют оценку критических.

Кроме того, Google также анонсировала исправления для девяти уязвимостей в устройствах Pixel и затрагивающих: непосредственно Pixel (4 уязвимости), компоненты Qualcomm (3), а также компоненты Qualcomm с закрытым исходным кодом (2).

Из четырех уязвимостей в компоненте Pixel двум присвоен критический уровень серьезности. Ошибки CVE-2022-20231 и CVE-2022-20364 могут привести к повышению привилегий.

Обновленные до уровня исправлений безопасности от 05.10.2022 устройства Pixel будут содержать исправления для всех перечисленных выше уязвимостей.

Ресерчер Майкл Хайнцл обнаружил в продукте Horner Automation Cscape 7 RCE-уязвимостей высокой степени серьезности (4 - в 2021 году и еще 3 - в 2022 году), которые могут быть использованы с помощью вредоносных файлов шрифтов.

Horner Automation - это американская компания, специализирующаяся на решениях для автоматизации промышленных процессов и зданий. ПО ПЛК Cscape реализует программирование релейных схем и возможности разработки операторского интерфейса.

Что важно, Cscape используется во всем мире, в том числе в критически важных производственных секторах.

Уязвимости связаны с переполнением буфера кучи, чтением/записи за пределами границ, а также проблемами с неинициализированными указателями, вызванными неправильной проверкой данных пользователя, когда приложение анализирует шрифты.

Злоумышленник может использовать недостатки для выполнения произвольного кода в контексте текущего процесса, заставив пользователя открыть специально созданный файл шрифта, поскольку приложение включает в себя специальные функции для работы со шрифтами.

Открытие файла вредоносного шрифта может привести к тому, что код злоумышленника будет выполнен с привилегиями пользователя, запустившего приложение.

Первая группа уязвимостей была раскрыта в мае 2022 года, а рекомендации по второй серии уязвимостей были опубликованы в начале октября.

Кстати, за последние два года именно Хайнцл нашел и раскрыл уязвимости в промышленных продуктах Elcomplus, ПО для программирования ПЛК CX-Programmer от Omron, в Fuji Electric для мониторинга и управления производством Tellus, промышленной системе управления энергопотреблением DIAEnergie от Delta Electronics, а также в myPRO/SCADA.

Toyota Motor Corporation раскрывает утечку данных после того, как ключ доступа был опубликован на GitHub.

Компания предупреждает клиентов, что их личная информация могла быть раскрыта, поскольку ключ доступа был общедоступен на протяжении пяти (!) лет.

Toyota T-Connect — это официальное приложение для владельцев автомобилей Toyota, которое позволяет связать смартфон с мультимедиа автомобиля, открывая функции звонков, музыки, навигации, интеграции уведомлений, данных о вождении, состояния двигателя, расхода топлива и др.

Недавно компания обнаружила, что часть исходного кода T-Connect была ошибочно опубликована на GitHub и содержала ключ доступа к серверу данных, что позволило злоумышленникам получить доступ к данным почти 300 тысяч клиентов за последние пять лет.

Лишь 15 сентября 2022 г. доступ к репозиторию GitHub был ограничен, а ключи базы данных были изменены

Обычно GitHub проводит сканирование опубликованного кода на наличие секретов и блокировку коммитов кода, содержащих ключи аутентификации, однако если разработчик использует нестандартные токены, как в случае Toyota, такая возможность отсутствует.

Согласно заявлению Toyota, имена клиентов, данные кредитных карт и номера телефонов не были скомпрометированы, а в отношении других сведений, включая номера и адреса электронной почты, автопроизводитель пояснить ничего не может, как и опровергнуть.

Toyota в связи с этим рекомендует пользователям, «управляя мечтой», проявлять бдительность на предмет возможного фишинга или прочего скама от имени бренда.