Если вам "до лампочки" на безопасность, то теперь вполне уместно уточнить до какой лампочки конкретно, так как хакеры способны провести ослепительную атаку в прямом и переносном смысле.
В линейке умных светильников от IKEA были обнаружены две уязвимости, которые позволяют злоумышленнику получить контроль над системой и включать лампочки на полную мощность.
Специалисты из Synopsys продемонстрировали, как злоумышленник может получить контроль над лампочками в интеллектуальной системе освещения Ikea Tradfri.
Для этого достаточно несколько раз отправить один и тот же неправильно сформированный фрейм Zigbee (IEEE 802.15.4), а затем воспользоваться двумя уязвимостями отслеживаемыми как CVE-2022-39064 и CVE-2022-39065 в системе освещения, причем пользователи не могут выключить их через приложение или пульт дистанционного управления.
В отчете Synopsys пояснили, что искаженный фрейм Zigbee представляет собой широковещательное сообщение, не прошедшее проверку подлинности, что означает об уязвимости всех устройств в пределах радиодиапазона.
Чтобы хоть как-то избежать этой атаки, пользователь должен вручную выключить и снова включить питание, однако злоумышленник может повторно воспроизвести атаку в любое время. Кейс можно смело вписать в мануал "как достать соседа".
Synopsys сообщила Ikea об уязвимостях умного освещения еще в июне 2021 года, а компания выпустила исправление в феврале 2022 года.
Однако со слов исследователей версия V-2.3.091 исправляет проблемы только с некоторыми искаженными кадрами, но не со всеми, и поделились видео с эксплойтом. IKEA пока не дала комментариев по поводу того, когда будет выпущен полный патч.
В линейке умных светильников от IKEA были обнаружены две уязвимости, которые позволяют злоумышленнику получить контроль над системой и включать лампочки на полную мощность.
Специалисты из Synopsys продемонстрировали, как злоумышленник может получить контроль над лампочками в интеллектуальной системе освещения Ikea Tradfri.
Для этого достаточно несколько раз отправить один и тот же неправильно сформированный фрейм Zigbee (IEEE 802.15.4), а затем воспользоваться двумя уязвимостями отслеживаемыми как CVE-2022-39064 и CVE-2022-39065 в системе освещения, причем пользователи не могут выключить их через приложение или пульт дистанционного управления.
В отчете Synopsys пояснили, что искаженный фрейм Zigbee представляет собой широковещательное сообщение, не прошедшее проверку подлинности, что означает об уязвимости всех устройств в пределах радиодиапазона.
Чтобы хоть как-то избежать этой атаки, пользователь должен вручную выключить и снова включить питание, однако злоумышленник может повторно воспроизвести атаку в любое время. Кейс можно смело вписать в мануал "как достать соседа".
Synopsys сообщила Ikea об уязвимостях умного освещения еще в июне 2021 года, а компания выпустила исправление в феврале 2022 года.
Однако со слов исследователей версия V-2.3.091 исправляет проблемы только с некоторыми искаженными кадрами, но не со всеми, и поделились видео с эксплойтом. IKEA пока не дала комментариев по поводу того, когда будет выпущен полный патч.
Synopsys
Ikea Trådfri Smart Lighting Vulnerability: CVE-2022-39064 Advisory | Synopsys Blog
Discover the CVE-2022-39064 vulnerability affecting IKEA TRÅDFRI smart lighting. Stay informed about this availability issue with our detailed advisory.
Октябрьские обновления безопасности для Android содержат исправления более 50 уязвимостей, включая критический недостаток в компоненте Framework.
Критическая как CVE-2022-20419 представляет собой ошибку раскрытия информации и была устранена с помощью уровня исправления безопасности 2022-10-01 вместе с пятью другими уязвимостями в Framework, которые могут привести к несанкционированному получению привилегий. раскрытию информации и отказу в обслуживании (DoS).
Согласно бюллетеню Google, наиболее серьезной из этих проблем - критическая бага в компоненте Framework, которая может привести к локальному повышению привилегий без необходимости дополнительных привилегий на выполнение.
Пакет исправлений 2022-10-01 также устранил девять других уязвимостей безопасности, влияющих на компоненты: Media Framework (две ошибки раскрытия информации) и SYSTEM (три повышения привилегий, три раскрытия информации и одна проблема DoS).
Вторая часть уровень исправлений безопасности 2022-10-05 разрешает в общей сложности 33 проблемы, влияющие на ядро Android, а также на компоненты ядра, Imagination Technologies, MediaTek, UNISOC и Qualcomm. Некоторые из недостатков Qualcomm имеют оценку критических.
Кроме того, Google также анонсировала исправления для девяти уязвимостей в устройствах Pixel и затрагивающих: непосредственно Pixel (4 уязвимости), компоненты Qualcomm (3), а также компоненты Qualcomm с закрытым исходным кодом (2).
Из четырех уязвимостей в компоненте Pixel двум присвоен критический уровень серьезности. Ошибки CVE-2022-20231 и CVE-2022-20364 могут привести к повышению привилегий.
Обновленные до уровня исправлений безопасности от 05.10.2022 устройства Pixel будут содержать исправления для всех перечисленных выше уязвимостей.
Критическая как CVE-2022-20419 представляет собой ошибку раскрытия информации и была устранена с помощью уровня исправления безопасности 2022-10-01 вместе с пятью другими уязвимостями в Framework, которые могут привести к несанкционированному получению привилегий. раскрытию информации и отказу в обслуживании (DoS).
Согласно бюллетеню Google, наиболее серьезной из этих проблем - критическая бага в компоненте Framework, которая может привести к локальному повышению привилегий без необходимости дополнительных привилегий на выполнение.
Пакет исправлений 2022-10-01 также устранил девять других уязвимостей безопасности, влияющих на компоненты: Media Framework (две ошибки раскрытия информации) и SYSTEM (три повышения привилегий, три раскрытия информации и одна проблема DoS).
Вторая часть уровень исправлений безопасности 2022-10-05 разрешает в общей сложности 33 проблемы, влияющие на ядро Android, а также на компоненты ядра, Imagination Technologies, MediaTek, UNISOC и Qualcomm. Некоторые из недостатков Qualcomm имеют оценку критических.
Кроме того, Google также анонсировала исправления для девяти уязвимостей в устройствах Pixel и затрагивающих: непосредственно Pixel (4 уязвимости), компоненты Qualcomm (3), а также компоненты Qualcomm с закрытым исходным кодом (2).
Из четырех уязвимостей в компоненте Pixel двум присвоен критический уровень серьезности. Ошибки CVE-2022-20231 и CVE-2022-20364 могут привести к повышению привилегий.
Обновленные до уровня исправлений безопасности от 05.10.2022 устройства Pixel будут содержать исправления для всех перечисленных выше уязвимостей.
Ресерчер Майкл Хайнцл обнаружил в продукте Horner Automation Cscape 7 RCE-уязвимостей высокой степени серьезности (4 - в 2021 году и еще 3 - в 2022 году), которые могут быть использованы с помощью вредоносных файлов шрифтов.
Horner Automation - это американская компания, специализирующаяся на решениях для автоматизации промышленных процессов и зданий. ПО ПЛК Cscape реализует программирование релейных схем и возможности разработки операторского интерфейса.
Что важно, Cscape используется во всем мире, в том числе в критически важных производственных секторах.
Уязвимости связаны с переполнением буфера кучи, чтением/записи за пределами границ, а также проблемами с неинициализированными указателями, вызванными неправильной проверкой данных пользователя, когда приложение анализирует шрифты.
Злоумышленник может использовать недостатки для выполнения произвольного кода в контексте текущего процесса, заставив пользователя открыть специально созданный файл шрифта, поскольку приложение включает в себя специальные функции для работы со шрифтами.
Открытие файла вредоносного шрифта может привести к тому, что код злоумышленника будет выполнен с привилегиями пользователя, запустившего приложение.
Первая группа уязвимостей была раскрыта в мае 2022 года, а рекомендации по второй серии уязвимостей были опубликованы в начале октября.
Кстати, за последние два года именно Хайнцл нашел и раскрыл уязвимости в промышленных продуктах Elcomplus, ПО для программирования ПЛК CX-Programmer от Omron, в Fuji Electric для мониторинга и управления производством Tellus, промышленной системе управления энергопотреблением DIAEnergie от Delta Electronics, а также в myPRO/SCADA.
Horner Automation - это американская компания, специализирующаяся на решениях для автоматизации промышленных процессов и зданий. ПО ПЛК Cscape реализует программирование релейных схем и возможности разработки операторского интерфейса.
Что важно, Cscape используется во всем мире, в том числе в критически важных производственных секторах.
Уязвимости связаны с переполнением буфера кучи, чтением/записи за пределами границ, а также проблемами с неинициализированными указателями, вызванными неправильной проверкой данных пользователя, когда приложение анализирует шрифты.
Злоумышленник может использовать недостатки для выполнения произвольного кода в контексте текущего процесса, заставив пользователя открыть специально созданный файл шрифта, поскольку приложение включает в себя специальные функции для работы со шрифтами.
Открытие файла вредоносного шрифта может привести к тому, что код злоумышленника будет выполнен с привилегиями пользователя, запустившего приложение.
Первая группа уязвимостей была раскрыта в мае 2022 года, а рекомендации по второй серии уязвимостей были опубликованы в начале октября.
Кстати, за последние два года именно Хайнцл нашел и раскрыл уязвимости в промышленных продуктах Elcomplus, ПО для программирования ПЛК CX-Programmer от Omron, в Fuji Electric для мониторинга и управления производством Tellus, промышленной системе управления энергопотреблением DIAEnergie от Delta Electronics, а также в myPRO/SCADA.
Toyota Motor Corporation раскрывает утечку данных после того, как ключ доступа был опубликован на GitHub.
Компания предупреждает клиентов, что их личная информация могла быть раскрыта, поскольку ключ доступа был общедоступен на протяжении пяти (!) лет.
Toyota T-Connect — это официальное приложение для владельцев автомобилей Toyota, которое позволяет связать смартфон с мультимедиа автомобиля, открывая функции звонков, музыки, навигации, интеграции уведомлений, данных о вождении, состояния двигателя, расхода топлива и др.
Недавно компания обнаружила, что часть исходного кода T-Connect была ошибочно опубликована на GitHub и содержала ключ доступа к серверу данных, что позволило злоумышленникам получить доступ к данным почти 300 тысяч клиентов за последние пять лет.
Лишь 15 сентября 2022 г. доступ к репозиторию GitHub был ограничен, а ключи базы данных были изменены
Обычно GitHub проводит сканирование опубликованного кода на наличие секретов и блокировку коммитов кода, содержащих ключи аутентификации, однако если разработчик использует нестандартные токены, как в случае Toyota, такая возможность отсутствует.
Согласно заявлению Toyota, имена клиентов, данные кредитных карт и номера телефонов не были скомпрометированы, а в отношении других сведений, включая номера и адреса электронной почты, автопроизводитель пояснить ничего не может, как и опровергнуть.
Toyota в связи с этим рекомендует пользователям, «управляя мечтой», проявлять бдительность на предмет возможного фишинга или прочего скама от имени бренда.
Компания предупреждает клиентов, что их личная информация могла быть раскрыта, поскольку ключ доступа был общедоступен на протяжении пяти (!) лет.
Toyota T-Connect — это официальное приложение для владельцев автомобилей Toyota, которое позволяет связать смартфон с мультимедиа автомобиля, открывая функции звонков, музыки, навигации, интеграции уведомлений, данных о вождении, состояния двигателя, расхода топлива и др.
Недавно компания обнаружила, что часть исходного кода T-Connect была ошибочно опубликована на GitHub и содержала ключ доступа к серверу данных, что позволило злоумышленникам получить доступ к данным почти 300 тысяч клиентов за последние пять лет.
Лишь 15 сентября 2022 г. доступ к репозиторию GitHub был ограничен, а ключи базы данных были изменены
Обычно GitHub проводит сканирование опубликованного кода на наличие секретов и блокировку коммитов кода, содержащих ключи аутентификации, однако если разработчик использует нестандартные токены, как в случае Toyota, такая возможность отсутствует.
Согласно заявлению Toyota, имена клиентов, данные кредитных карт и номера телефонов не были скомпрометированы, а в отношении других сведений, включая номера и адреса электронной почты, автопроизводитель пояснить ничего не может, как и опровергнуть.
Toyota в связи с этим рекомендует пользователям, «управляя мечтой», проявлять бдительность на предмет возможного фишинга или прочего скама от имени бренда.
トヨタ自動車株式会社 公式企業サイト
お客様のメールアドレス等の漏洩可能性に関するお詫びとお知らせについて | コーポレート | グローバルニュースルーム | トヨタ自動車株式会社 公式企業サイト
トヨタ自動車株式会社ならびにトヨタコネクティッド株式会社が提供するコネクティッドサービス「T-Connect」をご契約いただいた一部のお客様のメールアドレスおよびお客様管理番号(管理用の目的でお客様お一人お一人に割り振らせていただいている番号)、29万6,019件が漏洩した可能性があることが判明致しました。お客様には大変なご迷惑、ご心配をおかけすることを、心よりお詫び申し上げます。
В Германии назревает серьезный скандал.
Под ударом находится глава Федерального управления кибербезопасности Германии (BSI) Арне Шенбом, которого обвиняют в связях с российскими спецслужбами.
Поводом для претензий стало расследование вещательной компанией ZDF, обнаружившей потенциальные связи чиновника с Москвой через ассоциацию, в которой он был соучредителем в 2012 году.
Упоминаемая в расследовании ассоциация - Совет по кибербезопасности Германии, ведет консультации бизнеса и госструктур по вопросам ИБ.
Журналистское расследование даже стало причиной отмены совместного выступления Шенбома и министра внутренних дел Нэнси Файзер, посвященного отчету о кибербезопасности Германии в 2022 году, ведь Шенбом теперь стал объектом официальной проверки МВД.
По мнению журналистов, Шенбом до сих пор поддерживает связь с организацией. Сам политик отверг обвинения, указав на их абсурдность.
Однако власти намерены не спускать скандал на тормозах. Себастьян Фидлер, политик из Социал-демократов (СДПГ) канцлера Олафа Шольца, отметил, что обвинения должны быть тщательно расследованы и уже нанесли большой ущерб доверию к BSI.
Все это происходит и на фоне того, что пару дней назад железнодорожная сеть на севере Германии была временно парализована в результате того, что кабели связи были перерезаны на двух участках, а некоторые официальные лица сразу поспешили указывать пальцем на Россию.
В реальности все обвинения в адрес Шенбома строятся на том, что членом упоминаемой ассоциации является немецкая компания, являющаяся дочерней компанией российской инфосек-компании, основанной бывшим сотрудником КГБ.
На текущий момент ни МВД, ни BSI никак не комментируют ситуацию.
Как по нашему мнению, на фоне общего низкого уровня ИБ и в условиях энергокризиса со всеми вытекающими негативными процессами в экономике, власти Германии продолжают оправдывать собственные ошибки, пытаясь искать русский след где только возможно, в том числе и в инфосеке.
Охота на ведьм начинается. Будем посмотреть, кто следующий.
Под ударом находится глава Федерального управления кибербезопасности Германии (BSI) Арне Шенбом, которого обвиняют в связях с российскими спецслужбами.
Поводом для претензий стало расследование вещательной компанией ZDF, обнаружившей потенциальные связи чиновника с Москвой через ассоциацию, в которой он был соучредителем в 2012 году.
Упоминаемая в расследовании ассоциация - Совет по кибербезопасности Германии, ведет консультации бизнеса и госструктур по вопросам ИБ.
Журналистское расследование даже стало причиной отмены совместного выступления Шенбома и министра внутренних дел Нэнси Файзер, посвященного отчету о кибербезопасности Германии в 2022 году, ведь Шенбом теперь стал объектом официальной проверки МВД.
По мнению журналистов, Шенбом до сих пор поддерживает связь с организацией. Сам политик отверг обвинения, указав на их абсурдность.
Однако власти намерены не спускать скандал на тормозах. Себастьян Фидлер, политик из Социал-демократов (СДПГ) канцлера Олафа Шольца, отметил, что обвинения должны быть тщательно расследованы и уже нанесли большой ущерб доверию к BSI.
Все это происходит и на фоне того, что пару дней назад железнодорожная сеть на севере Германии была временно парализована в результате того, что кабели связи были перерезаны на двух участках, а некоторые официальные лица сразу поспешили указывать пальцем на Россию.
В реальности все обвинения в адрес Шенбома строятся на том, что членом упоминаемой ассоциации является немецкая компания, являющаяся дочерней компанией российской инфосек-компании, основанной бывшим сотрудником КГБ.
На текущий момент ни МВД, ни BSI никак не комментируют ситуацию.
Как по нашему мнению, на фоне общего низкого уровня ИБ и в условиях энергокризиса со всеми вытекающими негативными процессами в экономике, власти Германии продолжают оправдывать собственные ошибки, пытаясь искать русский след где только возможно, в том числе и в инфосеке.
Охота на ведьм начинается. Будем посмотреть, кто следующий.
Reuters
Germany's cybersecurity chief faces dismissal, reports say
German Interior Minister Nancy Faeser wants to dismiss the country's cybersecurity chief due to possible contacts with people involved with Russian security services, German media reported late on Sunday, citing government sources.
Лаборатория Касперского в своей статье проливает свет на 10 самых загадочных APT-кампаний, оставшихся без атрибуции.
1. Проект TajMahal. Сложный фреймворк для шпионажа, который состоит из двух разных пакетов Tokyo и Yokohama. Может похищать различные данные, используя для этого более 80 различных модулей. TajMahal применялся как минимум 5 лет до обнаружения в единственной атаке на дипломатическую организацию.
2. DarkUniverse — еще один APT-фреймворк, который использовался с 2009 по 2017 год в ходе атак на 20 гражданских и военных организаций в в разных странах. Распространяется через фишинг и состоит из нескольких модулей для шпионажа.
3. PuzzleMaker. В апреле 2021 года ресерчеры обнаружили несколько целевых атак на основе сложной цепочки из 0-day эксплойтов. Для проникновения в систему использовалась CVE-2021-21224 в Google Chrome в связке с CVE-2021-31955 и CVE-2021-31956. После успешной эксплуатации внедрялся специально разработанный для каждого случая вредоносный пакет PuzzleMaker.
4. ProjectSauron был впервые обнаружен в 2015. Является сложной APT-платформой, используемой для атак на организации в России, Иране, Руанде. В атаках
используются уникальные основные импланты. Группа, стоящая за ProjectSauron, использует сложную С2-инфраструктуру с широким рядом интернет-провайдеров в США и Европе. Злоумышленники, скорее всего, использовали опыт других APT-кампаний, таких как Duqu, Flame, Equation и Regin.
5. USB Thief. В 2016 году ESET обнаружили USB-троянец с хитрым механизмом самозащиты. Зловред состоял из шести файлов, два из которых были конфигурационными, а остальные четыре — исполняемыми. Запускать их можно было только в заданном порядке, а некоторые были зашифрованы по алгоритму AES-128. Ключ шифрования генерировался с использованием уникального идентификатора USB-устройства и определенных свойств диска. Три исполняемых файла — загрузчики, каждый из которых загружает в память файл следующего этапа. Украденные данные которые всегда выгружаются на зараженный USB-диск. Может быть связан с APT-группой Lamberts.
6. TENSHO (White Tur). В начале 2021 года в процессе поиска фишинговых страниц, исследователи из компании PwC наткнулись на страницу, которая использовалась для кражи учетных записей министерства обороны Сербии. Она была создана прежде неизвестной группой TENSHO, или White Tur. Группа активна с 2017 года и использует разнообразные уникальные методы и инструменты, включая и OpenHardwareMonitor, доставляющий зловред TENSHO в форме скрипта PowerShell или исполняемого файла для Windows.
7. PlexingEagle. На конференции HITBSec 2017 в Амстердаме Эммануэль Гадэ (Emmanuel Gadaix) рассказал об обнаружении крайне интересного набора инструментов для кибершпионажа в GSM-сетях.
8. SinSono. В мае 2021 года телекоммуникационная компания Syniverse обнаружила несанкционированный доступ к своим IT-системам. Внутреннее расследование показало, что актор впервые проник в инфраструктуру еще в 2016 году. В течение пяти лет, оставаясь незамеченным, использовал внутренние базы данных и смог украсть учетные данные для входа в среду EDT у 235 клиентов компании. Используя их, злоумышленники могли получить доступ к конфиденциальной информации абонентов, включая записи звонков и тексты смс.
9. MagicScroll - сложный вредоносный фреймворк, впервые обнаруженный в 2019 году Palo Alto. Это многоэтапное вредоносное ПО. Единственная жертва (из России) была атакована в 2017 году. Механизм первичного заражения неизвестен. Первый этап - загрузчик, который был создан как поставщик поддержки безопасности. Его основное предназначение - доставка модуля следующего этапа, который хранится в реестре и использует уязвимость VirtualBox для загрузки вредоносного драйвера в режиме ядра.
10. Metador впервые была описана компанией SentinelLabs в сентябре 2022 года. Атакует провайдеров и университеты в странах Ближнего Востока и Африки. Metador использует две вредоносные платформы: metaMain и Mafalda, которые развертываются исключительно в памяти и обмениваться данными с другими неизвестными имплататами.
1. Проект TajMahal. Сложный фреймворк для шпионажа, который состоит из двух разных пакетов Tokyo и Yokohama. Может похищать различные данные, используя для этого более 80 различных модулей. TajMahal применялся как минимум 5 лет до обнаружения в единственной атаке на дипломатическую организацию.
2. DarkUniverse — еще один APT-фреймворк, который использовался с 2009 по 2017 год в ходе атак на 20 гражданских и военных организаций в в разных странах. Распространяется через фишинг и состоит из нескольких модулей для шпионажа.
3. PuzzleMaker. В апреле 2021 года ресерчеры обнаружили несколько целевых атак на основе сложной цепочки из 0-day эксплойтов. Для проникновения в систему использовалась CVE-2021-21224 в Google Chrome в связке с CVE-2021-31955 и CVE-2021-31956. После успешной эксплуатации внедрялся специально разработанный для каждого случая вредоносный пакет PuzzleMaker.
4. ProjectSauron был впервые обнаружен в 2015. Является сложной APT-платформой, используемой для атак на организации в России, Иране, Руанде. В атаках
используются уникальные основные импланты. Группа, стоящая за ProjectSauron, использует сложную С2-инфраструктуру с широким рядом интернет-провайдеров в США и Европе. Злоумышленники, скорее всего, использовали опыт других APT-кампаний, таких как Duqu, Flame, Equation и Regin.
5. USB Thief. В 2016 году ESET обнаружили USB-троянец с хитрым механизмом самозащиты. Зловред состоял из шести файлов, два из которых были конфигурационными, а остальные четыре — исполняемыми. Запускать их можно было только в заданном порядке, а некоторые были зашифрованы по алгоритму AES-128. Ключ шифрования генерировался с использованием уникального идентификатора USB-устройства и определенных свойств диска. Три исполняемых файла — загрузчики, каждый из которых загружает в память файл следующего этапа. Украденные данные которые всегда выгружаются на зараженный USB-диск. Может быть связан с APT-группой Lamberts.
6. TENSHO (White Tur). В начале 2021 года в процессе поиска фишинговых страниц, исследователи из компании PwC наткнулись на страницу, которая использовалась для кражи учетных записей министерства обороны Сербии. Она была создана прежде неизвестной группой TENSHO, или White Tur. Группа активна с 2017 года и использует разнообразные уникальные методы и инструменты, включая и OpenHardwareMonitor, доставляющий зловред TENSHO в форме скрипта PowerShell или исполняемого файла для Windows.
7. PlexingEagle. На конференции HITBSec 2017 в Амстердаме Эммануэль Гадэ (Emmanuel Gadaix) рассказал об обнаружении крайне интересного набора инструментов для кибершпионажа в GSM-сетях.
8. SinSono. В мае 2021 года телекоммуникационная компания Syniverse обнаружила несанкционированный доступ к своим IT-системам. Внутреннее расследование показало, что актор впервые проник в инфраструктуру еще в 2016 году. В течение пяти лет, оставаясь незамеченным, использовал внутренние базы данных и смог украсть учетные данные для входа в среду EDT у 235 клиентов компании. Используя их, злоумышленники могли получить доступ к конфиденциальной информации абонентов, включая записи звонков и тексты смс.
9. MagicScroll - сложный вредоносный фреймворк, впервые обнаруженный в 2019 году Palo Alto. Это многоэтапное вредоносное ПО. Единственная жертва (из России) была атакована в 2017 году. Механизм первичного заражения неизвестен. Первый этап - загрузчик, который был создан как поставщик поддержки безопасности. Его основное предназначение - доставка модуля следующего этапа, который хранится в реестре и использует уязвимость VirtualBox для загрузки вредоносного драйвера в режиме ядра.
10. Metador впервые была описана компанией SentinelLabs в сентябре 2022 года. Атакует провайдеров и университеты в странах Ближнего Востока и Африки. Metador использует две вредоносные платформы: metaMain и Mafalda, которые развертываются исключительно в памяти и обмениваться данными с другими неизвестными имплататами.
Обнаруженная в ноябре 2021 года уязвимость высокой степени серьезности в vCenter Server 8.0 до сих пор не исправлена VMware.
CVE-2021-22048 связана с повышением привилегий и была обнаружен Яроном Зинаром и Саги Шейнфельдом из CrowdStrike в механизме IWA (встроенной проверки подлинности Windows). Ошибка также влияет на развертывание гибридной облачной платформы VMware Cloud Foundation.
VMware заявляет, что эта уязвимость может быть использована лишь злоумышленниками, использующими векторную сеть, прилегающую к целевому серверу, в ходе атак высокой сложности, требующих низких привилегий и без взаимодействия с пользователем.
Однако в пояснении NIST NVD к CVE-2021-22048 указывается немного иначе: ее можно использовать удаленно в рамках атак низкой сложности.
Тем не менее, разработчик оценил ошибку как важную, поскольку ее эксплуатация приводит к полной компрометации конфиденциальности и/или целостности пользовательских данных и/или ресурсов.
VMware все же выпустила для баги исправления в июле 2022 года (vCenter Server 7.0, обновление 3f), однако спустя 11 дней обновление было отозвано, поскольку оказалось некорректным и вызывало сбои.
В ожидании новых исправлений, VMware предлагает обходной путь, позволяющий администраторам исключить вектор атаки.
Компания рекомендует переключиться на Active Directory через аутентификацию LDAP (все инструкции здесь и здесь) или Identity Provider Federation for AD FS (только vSphere 7.0) с интегрированной аутентификации Windows (IWA).
CVE-2021-22048 связана с повышением привилегий и была обнаружен Яроном Зинаром и Саги Шейнфельдом из CrowdStrike в механизме IWA (встроенной проверки подлинности Windows). Ошибка также влияет на развертывание гибридной облачной платформы VMware Cloud Foundation.
VMware заявляет, что эта уязвимость может быть использована лишь злоумышленниками, использующими векторную сеть, прилегающую к целевому серверу, в ходе атак высокой сложности, требующих низких привилегий и без взаимодействия с пользователем.
Однако в пояснении NIST NVD к CVE-2021-22048 указывается немного иначе: ее можно использовать удаленно в рамках атак низкой сложности.
Тем не менее, разработчик оценил ошибку как важную, поскольку ее эксплуатация приводит к полной компрометации конфиденциальности и/или целостности пользовательских данных и/или ресурсов.
VMware все же выпустила для баги исправления в июле 2022 года (vCenter Server 7.0, обновление 3f), однако спустя 11 дней обновление было отозвано, поскольку оказалось некорректным и вызывало сбои.
В ожидании новых исправлений, VMware предлагает обходной путь, позволяющий администраторам исключить вектор атаки.
Компания рекомендует переключиться на Active Directory через аутентификацию LDAP (все инструкции здесь и здесь) или Identity Provider Federation for AD FS (только vSphere 7.0) с интегрированной аутентификации Windows (IWA).
Broadcom
VMware External Vulnerability Response and Remediation Policy
VMware delivers virtualization benefits via virtual machine, virtual server, and virtual pc solutions.
Microsoft выпустила очередной Patch Tuesday, устраненив в общей сложности 84 уязвимостей в Microsoft Windows и компонентах операционной системы и продуктах в экосистеме, включая две 0-day.
В целом исправленные ошибки представлены по категориям: 39 - повышение привилегий, 2 - обход функций безопасности, 20 - RCE, 11 - раскрытие информации, 8 - отказ в обслуживании, 4 - спуфинг. При этом 30 из исправленных в обновлении уязвимостей классифицируются как критические.
Одна из исправленных 0-day активно эксплуатируется в атаках, а другая — публично раскрыта.
Обнародованная уязвимость раскрытия информации Microsoft Office и была обнаружена Коди Томасом из SpecterOps. Злоумышленники могут использовать эту уязвимость для получения доступа к токенам аутентификации пользователей.
CVE-2022-41033 затрагивает системную службу событий Windows COM+ и используется в атаках с целью повышения привилегий.
Проблемы критического уровня затрагивают Active Directory, Azure, Microsoft Office, SharePoint, Hyper-V и протокол туннелирования Windows «точка-точка».
Все бы ничего, да вот только вопрос с ProxyNotShell остается открытым.
Две уязвимости Exchange Server CVE-2022-41040 (проблема подделки запроса на стороне сервера (SSRF), приводящая к повышению привилегий) и CVE-2022-21082 (ошибка RCE) не были исправлены в рамках вышедшего Patch Tuesday.
При этом Редмонд не указал даже срока, когда пользователи Windows могут ожидать исправления Exchange Server.
В тоже время, сама Microsoft утверждает, что ProxyNotShell активно эксплуатировали неназванные АРТ в целевых атаках как минимум на 10 крупных организаций.
Полный перечень с описанием каждой уязвимости и затронутых систем представлен здесь.
В целом исправленные ошибки представлены по категориям: 39 - повышение привилегий, 2 - обход функций безопасности, 20 - RCE, 11 - раскрытие информации, 8 - отказ в обслуживании, 4 - спуфинг. При этом 30 из исправленных в обновлении уязвимостей классифицируются как критические.
Одна из исправленных 0-day активно эксплуатируется в атаках, а другая — публично раскрыта.
Обнародованная уязвимость раскрытия информации Microsoft Office и была обнаружена Коди Томасом из SpecterOps. Злоумышленники могут использовать эту уязвимость для получения доступа к токенам аутентификации пользователей.
CVE-2022-41033 затрагивает системную службу событий Windows COM+ и используется в атаках с целью повышения привилегий.
Проблемы критического уровня затрагивают Active Directory, Azure, Microsoft Office, SharePoint, Hyper-V и протокол туннелирования Windows «точка-точка».
Все бы ничего, да вот только вопрос с ProxyNotShell остается открытым.
Две уязвимости Exchange Server CVE-2022-41040 (проблема подделки запроса на стороне сервера (SSRF), приводящая к повышению привилегий) и CVE-2022-21082 (ошибка RCE) не были исправлены в рамках вышедшего Patch Tuesday.
При этом Редмонд не указал даже срока, когда пользователи Windows могут ожидать исправления Exchange Server.
В тоже время, сама Microsoft утверждает, что ProxyNotShell активно эксплуатировали неназванные АРТ в целевых атаках как минимум на 10 крупных организаций.
Полный перечень с описанием каждой уязвимости и затронутых систем представлен здесь.
Ransom House продолжает сливать украденные в ходе атаки на ADATA Technology файлы, а компания продолжает настаивать на том, что утечка относится к инциденту годичной давности, за которым стояли Rangar Locker.
Вымогатели также пополнили свой DLS новой жертвой - компанией Severn Glocon Group из Великобритании с доходом 297 миллионов долларов.
RansomEXX атаковали Consorci Sanitari Integral, госорганизация в сфере здравоохранения и социальных услуг из Испании.
Команда Everest реализует доступ к сети штата Риу-Гранди-ду-Сул Бразилии, похоже, что они конкретно пролезли в правительственную сеть.
Кроме того, Everest захватили сеть крупной электроэнергетической компании, принадлежащей правительству Южной Африки, которая после этого сообщает о постоянных проблемах с подачей электроэнергии.
AlphVM совершили ransomware-наезд на Греческий дом моды Notos Com. Holdings SA, Hive положили Municipality of Loures, а LockBit прошелся по портам Marina Dragages.
Вымогатели также пополнили свой DLS новой жертвой - компанией Severn Glocon Group из Великобритании с доходом 297 миллионов долларов.
RansomEXX атаковали Consorci Sanitari Integral, госорганизация в сфере здравоохранения и социальных услуг из Испании.
Команда Everest реализует доступ к сети штата Риу-Гранди-ду-Сул Бразилии, похоже, что они конкретно пролезли в правительственную сеть.
Кроме того, Everest захватили сеть крупной электроэнергетической компании, принадлежащей правительству Южной Африки, которая после этого сообщает о постоянных проблемах с подачей электроэнергии.
AlphVM совершили ransomware-наезд на Греческий дом моды Notos Com. Holdings SA, Hive положили Municipality of Loures, а LockBit прошелся по портам Marina Dragages.
Mullvad VPN обнаружили, что Android пропускает трафик каждый раз, когда устройство подключается к сети Wi-Fi, даже если активирована функция блокировки подключения без VPN (Always-on VPN).
При этом за пределы VPN-туннелей попадают: исходные IP-адреса, запросы DNS, трафик HTTPS и, вероятно, также трафик NTP.
Такое поведение встроено в ОС Android еще на этапе разработки, однако разработчики решили особо не распространяться на этот счет и обошлись расплывчатым описанием функций блокировки VPN в документации Android.
К сожалению, функция ограничивается в случаях идентификации порталов авторизации или при использовании функций разделенного туннеля, что приводит к утечку некоторых данных при подключении к новой сети WiFi, влияя таким образом на конфиденциальность пользователей.
Mullvad сообщил о проблеме в Google, отметив необходимость добавления возможности отключения проверки подключения.
Google же ответил, что эта функция не будет исправлена, сославшись на ряд причин:
- многие виртуальные частные сети фактически полагаются на результаты этих проверок подключения;
- проверки не являются ни единственными, ни самыми рискованными исключениями из VPN-соединений;
- влияние на конфиденциальность минимально, поскольку утечка информации уже доступна из соединения L2.
Трафик, который просачивается за пределы VPN-подключения, содержит метаданные, которые можно использовать для анализа и деанонимизации пользователя, что еще более актуально в сочетании с данными расположения точек доступа Wi-Fi.
Аналогичная проблема затрагивает также и iOS. 16 версия ОС взаимодействует со службами Apple за пределами активного туннеля VPN. Происходит утечка DNS-запросов. Службы Apple, которые не используют VPN-подключение, включают Health, Maps, Wallet.
При этом за пределы VPN-туннелей попадают: исходные IP-адреса, запросы DNS, трафик HTTPS и, вероятно, также трафик NTP.
Такое поведение встроено в ОС Android еще на этапе разработки, однако разработчики решили особо не распространяться на этот счет и обошлись расплывчатым описанием функций блокировки VPN в документации Android.
К сожалению, функция ограничивается в случаях идентификации порталов авторизации или при использовании функций разделенного туннеля, что приводит к утечку некоторых данных при подключении к новой сети WiFi, влияя таким образом на конфиденциальность пользователей.
Mullvad сообщил о проблеме в Google, отметив необходимость добавления возможности отключения проверки подключения.
Google же ответил, что эта функция не будет исправлена, сославшись на ряд причин:
- многие виртуальные частные сети фактически полагаются на результаты этих проверок подключения;
- проверки не являются ни единственными, ни самыми рискованными исключениями из VPN-соединений;
- влияние на конфиденциальность минимально, поскольку утечка информации уже доступна из соединения L2.
Трафик, который просачивается за пределы VPN-подключения, содержит метаданные, которые можно использовать для анализа и деанонимизации пользователя, что еще более актуально в сочетании с данными расположения точек доступа Wi-Fi.
Аналогичная проблема затрагивает также и iOS. 16 версия ОС взаимодействует со службами Apple за пределами активного туннеля VPN. Происходит утечка DNS-запросов. Службы Apple, которые не используют VPN-подключение, включают Health, Maps, Wallet.
Mullvad VPN
Android leaks connectivity check traffic | Mullvad VPN
An ongoing security audit of our app identified that Android leaks certain traffic, which VPN services cannot prevent. The audit report will go public soon. This post aims to dive into the finding, called MUL22-03.
Claroty раскрыли подробности критической уязвимости в программируемых логических контроллерах (ПЛК) Siemens.
CVE-2022-38465 обусловлена тем, что в 2013 году Siemens внедрила асимметричную криптографию в архитектуру безопасности своих процессоров Simatic S7-1200 и S7-1500, чтобы защитить устройства, клиентские программы и процесс обмена данными между устройствами.
Однако из-за отсутствия практических решений для динамического управления ключами для АСУ ТП в качестве защиты был использован встроенный глобальный закрытый ключ.
Siemens подтвердила выводы исследователей Claroty, признав, что криптографический ключ не защищен должным образом. Злоумышленник может запустить офлайн-атаку на один образец ПЛК, получить закрытый ключ и затем использовать его для компрометации всей линейки продуктов.
После чего у злоумышленника появится возможность получить конфиденциальные данные конфигурации или запустить атаки MitM, которые позволяют ему считывать или изменять данные между ПЛК и подключенными к нему HMI и рабочими станциями.
Ресерчеры-2022-38465 осмогли достать закрытый ключ с помощью RCE-уязвимости 2020 года (CVE-2020-15782), которая дала им прямой доступ к памяти.
Таким образом, они наглядно продемонстрировали, как злоумышленник с закрытым ключом может получить полный контроль над ПЛК и проводить атаки MitM.
Siemens не располагает информацией об эксплуатации уязвимости в дикой природе, однако отмечает возрастание риска неправомерного использования глобального закрытого ключа.
В рамках решения проблемы промышленный гигант реализовал защищенную протоколом TLS 1.3 связь и установку уникального пароля для каждого устройства.
Siemens выпустила исправления для уязвимых ПЛК и портала TIA Portal, а также отдельный бюллетень по безопасности.
CVE-2022-38465 обусловлена тем, что в 2013 году Siemens внедрила асимметричную криптографию в архитектуру безопасности своих процессоров Simatic S7-1200 и S7-1500, чтобы защитить устройства, клиентские программы и процесс обмена данными между устройствами.
Однако из-за отсутствия практических решений для динамического управления ключами для АСУ ТП в качестве защиты был использован встроенный глобальный закрытый ключ.
Siemens подтвердила выводы исследователей Claroty, признав, что криптографический ключ не защищен должным образом. Злоумышленник может запустить офлайн-атаку на один образец ПЛК, получить закрытый ключ и затем использовать его для компрометации всей линейки продуктов.
После чего у злоумышленника появится возможность получить конфиденциальные данные конфигурации или запустить атаки MitM, которые позволяют ему считывать или изменять данные между ПЛК и подключенными к нему HMI и рабочими станциями.
Ресерчеры-2022-38465 осмогли достать закрытый ключ с помощью RCE-уязвимости 2020 года (CVE-2020-15782), которая дала им прямой доступ к памяти.
Таким образом, они наглядно продемонстрировали, как злоумышленник с закрытым ключом может получить полный контроль над ПЛК и проводить атаки MitM.
Siemens не располагает информацией об эксплуатации уязвимости в дикой природе, однако отмечает возрастание риска неправомерного использования глобального закрытого ключа.
В рамках решения проблемы промышленный гигант реализовал защищенную протоколом TLS 1.3 связь и установку уникального пароля для каждого устройства.
Siemens выпустила исправления для уязвимых ПЛК и портала TIA Portal, а также отдельный бюллетень по безопасности.
Claroty
Siemens PLC Software: Hardcoded Cryptographic Keys Uncovered
Discover global private cryptographic keys embedded within the Siemens SIMATIC S7-1200/1500 PLC and TIA Portal product lines with Team82 and Claroty.
Google в рамках последнего обновления Chrome исправил шесть уязвимостей высокой степени серьезности, в том числе четыре ошибки использования после освобождения.
Согласно бюллетеню Google, все закрытые уязвимости были обнаружены внешними исследователями, которые получили вознаграждение в размере 38 000 долларов США по BugBounty.
Наиболее серьезным недостатком является CVE-2022-3445, представляющая собой уязвимость использования после освобождения в Skia, в библиотеке 2D-графики с открытым исходным кодом, которая служит графическим движком Chrome.
По 15 000 долларов ушло Нан Вану и Юн Лю из Qihoo 360 за эту ошибку, еще 13 000 долларов были выплачены Кайджи Сюй за CVE-2022-3446 (переполнении буфера кучи в WebSQL).
Кроме того, интернет-гигант заплатил 7500 долларов Нарендре Бхати из Suma Soft, который сообщил о ненадлежащей реализации в пользовательских вкладках (CVE-2022-3447), и 2500 долларов исследователю Kunlun Lab, сообщившему об ошибке использования после освобождения в API разрешений (CVE-2022-3448).
Две другие уязвимости использования после освобождения были устранены в безопасном просмотре (CVE-2022-3449) и одноранговом соединении (CVE-2022-3450), но Google пока не раскрывает сумму вознаграждения за ошибку.
Технические подробности об устраненных проблемах не будут опубликованы до тех пор, пока большинство пользователей Chrome не установят обновление.
Chrome доступна пользователям Windows, Mac и Linux как последняя версия 106.0.5249.119. Google не упоминает о каких-либо недавно устраненных дефектах безопасности, используемых в атаках.
Согласно бюллетеню Google, все закрытые уязвимости были обнаружены внешними исследователями, которые получили вознаграждение в размере 38 000 долларов США по BugBounty.
Наиболее серьезным недостатком является CVE-2022-3445, представляющая собой уязвимость использования после освобождения в Skia, в библиотеке 2D-графики с открытым исходным кодом, которая служит графическим движком Chrome.
По 15 000 долларов ушло Нан Вану и Юн Лю из Qihoo 360 за эту ошибку, еще 13 000 долларов были выплачены Кайджи Сюй за CVE-2022-3446 (переполнении буфера кучи в WebSQL).
Кроме того, интернет-гигант заплатил 7500 долларов Нарендре Бхати из Suma Soft, который сообщил о ненадлежащей реализации в пользовательских вкладках (CVE-2022-3447), и 2500 долларов исследователю Kunlun Lab, сообщившему об ошибке использования после освобождения в API разрешений (CVE-2022-3448).
Две другие уязвимости использования после освобождения были устранены в безопасном просмотре (CVE-2022-3449) и одноранговом соединении (CVE-2022-3450), но Google пока не раскрывает сумму вознаграждения за ошибку.
Технические подробности об устраненных проблемах не будут опубликованы до тех пор, пока большинство пользователей Chrome не установят обновление.
Chrome доступна пользователям Windows, Mac и Linux как последняя версия 106.0.5249.119. Google не упоминает о каких-либо недавно устраненных дефектах безопасности, используемых в атаках.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 106.0.5249.119 for Windows, Mac and Linux, which will roll out over the coming days/weeks. A full ...
Siemens и Schneider Electric выпустили в общей сложности 19 рекомендаций по безопасности в рамках октябрьского Patch Tuesday, закрыв 36 уязвимостей в продуктах ICS.
Siemens выпустила 15 бюллетеней, которые закрывают два десятка баг.
Наиболее важной из них является CVE-2022-38465, обусловленная ненадежной защитой глобального криптографического ключа, о чем мы сообщали вчера.
Siemens проинформировала клиентов о критической уязвимости, связанной с аутентификацией в Desigo CC и Cerberus DMS, которая позволяет выдавать себя за других пользователей или использовать протокол клиент-сервер без аутентификации.
Несмотря на то, что для нее патчи недоступны, производитель разработал меры по их устранению.
Стоит отметить, что исправления также недоступны для критической и серьезной RCE-уязвимостей, влияющих на Logo 8 устройств БМ.
Уязвимости в устройствах Sicam P850 и P855 также был присвоен критический уровень серьезности. Она позволяет аутентифицированному злоумышленнику выполнять произвольный код или вызывать состояние DoS.
Кроме того, устранены ошибки XSS, спуфинга, повышения привилегий и проблемы DoS в Desigo PXMScalance и Ruggedcom, в продуктах на базе ОСРВ Nucleus, в панелях Simatic HMI, в Industrial Edge Management, в Solid Edge, JTTK и Simcenter Femap.
Schneider Electric выпустила четыре новых бюллетеня с описанием дюжины исправленных уязвимостей.
В продуктах EcoStruxure Operator Terminal Expert и Pro-face BLUE обнаружено шесть уязвимостей высокой степени серьезности, которые могут привести к RCE. Однако для эксплуатации этих уязвимостей требуются права локального пользователя и загрузка вредоносных файлов.
ПО Schneider EcoStruxure Power Operation и Power SCADA Operation подвержено уязвимости, которая может позволить злоумышленнику просмотреть данные, изменить настройки или вызвать сбой, заставив пользователя щелкнуть специально созданную ссылку.
EcoStruxure Panel Server Box подвержен проблемам высокой и средней степени серьезности, которые могут быть использованы для произвольной записи, что может привести к RCE и DoS.
Наконец, стороннее ПО ISaGRAF Workbench, используемое в SAGE RTU, подвержено трем ошибкам средней степени серьезности, которые могут привести к RCE или повышению привилегий. Для эксплуатации требуется взаимодействие с пользователем.
Для всех уязвимостей доступны исправления и меры по их устранению.
Siemens выпустила 15 бюллетеней, которые закрывают два десятка баг.
Наиболее важной из них является CVE-2022-38465, обусловленная ненадежной защитой глобального криптографического ключа, о чем мы сообщали вчера.
Siemens проинформировала клиентов о критической уязвимости, связанной с аутентификацией в Desigo CC и Cerberus DMS, которая позволяет выдавать себя за других пользователей или использовать протокол клиент-сервер без аутентификации.
Несмотря на то, что для нее патчи недоступны, производитель разработал меры по их устранению.
Стоит отметить, что исправления также недоступны для критической и серьезной RCE-уязвимостей, влияющих на Logo 8 устройств БМ.
Уязвимости в устройствах Sicam P850 и P855 также был присвоен критический уровень серьезности. Она позволяет аутентифицированному злоумышленнику выполнять произвольный код или вызывать состояние DoS.
Кроме того, устранены ошибки XSS, спуфинга, повышения привилегий и проблемы DoS в Desigo PXMScalance и Ruggedcom, в продуктах на базе ОСРВ Nucleus, в панелях Simatic HMI, в Industrial Edge Management, в Solid Edge, JTTK и Simcenter Femap.
Schneider Electric выпустила четыре новых бюллетеня с описанием дюжины исправленных уязвимостей.
В продуктах EcoStruxure Operator Terminal Expert и Pro-face BLUE обнаружено шесть уязвимостей высокой степени серьезности, которые могут привести к RCE. Однако для эксплуатации этих уязвимостей требуются права локального пользователя и загрузка вредоносных файлов.
ПО Schneider EcoStruxure Power Operation и Power SCADA Operation подвержено уязвимости, которая может позволить злоумышленнику просмотреть данные, изменить настройки или вызвать сбой, заставив пользователя щелкнуть специально созданную ссылку.
EcoStruxure Panel Server Box подвержен проблемам высокой и средней степени серьезности, которые могут быть использованы для произвольной записи, что может привести к RCE и DoS.
Наконец, стороннее ПО ISaGRAF Workbench, используемое в SAGE RTU, подвержено трем ошибкам средней степени серьезности, которые могут привести к RCE или повышению привилегий. Для эксплуатации требуется взаимодействие с пользователем.
Для всех уязвимостей доступны исправления и меры по их устранению.
siemens.com Global Website
Siemens ProductCERT and Siemens CERT
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services, or infrastructure.
Cisco Talos недавно обнаружила девять уязвимостей в промышленном сотовом маршрутизаторе Robustel R1510, некоторые из которых могут привести к RCE и DoS.
Robustel R1510 — это беспроводной маршрутизатор с двумя портами Ethernet, который совместно использует беспроводные сигналы 3G и 4G для использования в сфере промышленности и Интернета вещей.
Он включает в себя использование открытого туннелирования VPN, облачную платформу управления другими устройствами и маршрутизаторами, а также различные решения безопасности.
Ресерчеры отметили, что пять RCE-уязвимостей можно активировать, отправив целевому устройству специально созданный сетевой запрос: ТАЛОС-2022-1578 (CVE-2022-34850), TALOS-2022-1577 (CVE-2022-33150), TALOS-2022-1576 (CVE-2022-32765), TALOS-2022-1573 (CVE-2022-33325 - CVE-2022-33329) и TALOS-2022-1572 (CVE-2022-33312 - CVE-2022-33314).
Все имеют оценку серьезности CVSS 9,1 из 10.
Две другие TALOS-2022-1580 (CVE-2022-34845) и TALOS-2022-1570 (CVE-2022-32585) также могут привести к RCE, но из-под администратора.
Злоумышленник также может отправить специально созданный сетевой запрос, чтобы активировать TALOS-2022-1575 (CVE-2022-35261 - CVE-2022-35271) и вызвать отказ в обслуживании в функции hashFirst веб-сервера устройства.
Уязвимость TALOS-2022-1571 (CVE-2022-28127) присутствует в веб-сервере на устройстве, но вместо этого может быть использована для удаления произвольных файлов, даже если имеется проверка обхода пути.
Cisco Talos совместно с Robustel разработали решение для выявленных проблем и обновления для затронутых клиентов.
Пользователям рекомендуется как можно скорее обновить уязвимые продукты Robustel R1510 до новейших версии 3.3.0 и 3.1.16.
Robustel R1510 — это беспроводной маршрутизатор с двумя портами Ethernet, который совместно использует беспроводные сигналы 3G и 4G для использования в сфере промышленности и Интернета вещей.
Он включает в себя использование открытого туннелирования VPN, облачную платформу управления другими устройствами и маршрутизаторами, а также различные решения безопасности.
Ресерчеры отметили, что пять RCE-уязвимостей можно активировать, отправив целевому устройству специально созданный сетевой запрос: ТАЛОС-2022-1578 (CVE-2022-34850), TALOS-2022-1577 (CVE-2022-33150), TALOS-2022-1576 (CVE-2022-32765), TALOS-2022-1573 (CVE-2022-33325 - CVE-2022-33329) и TALOS-2022-1572 (CVE-2022-33312 - CVE-2022-33314).
Все имеют оценку серьезности CVSS 9,1 из 10.
Две другие TALOS-2022-1580 (CVE-2022-34845) и TALOS-2022-1570 (CVE-2022-32585) также могут привести к RCE, но из-под администратора.
Злоумышленник также может отправить специально созданный сетевой запрос, чтобы активировать TALOS-2022-1575 (CVE-2022-35261 - CVE-2022-35271) и вызвать отказ в обслуживании в функции hashFirst веб-сервера устройства.
Уязвимость TALOS-2022-1571 (CVE-2022-28127) присутствует в веб-сервере на устройстве, но вместо этого может быть использована для удаления произвольных файлов, даже если имеется проверка обхода пути.
Cisco Talos совместно с Robustel разработали решение для выявленных проблем и обновления для затронутых клиентов.
Пользователям рекомендуется как можно скорее обновить уязвимые продукты Robustel R1510 до новейших версии 3.3.0 и 3.1.16.
Интересуетесь рынком труда в информационной безопасности?
https://t.me/CyberJobsRussia - сообщество ИБ-специалистов, с вакансиями и их обсуждением. За годы работы были размещены предложения ТОП-100 крупнейших корпораций и инновационных стартапов.
https://t.me/CyberJobsRussia - сообщество ИБ-специалистов, с вакансиями и их обсуждением. За годы работы были размещены предложения ТОП-100 крупнейших корпораций и инновационных стартапов.
Telegram
CyberJobsRussia
Крупнейшее сообщество специалистов по информационной безопасности.
Rules - не материться, не флудить и оффтопить, конструктивно и ёмко выражать мысли.
Резюме - https://t.me/cvcyber
По поводу размещения материала согласовать с @maximbautin
Rules - не материться, не флудить и оффтопить, конструктивно и ёмко выражать мысли.
Резюме - https://t.me/cvcyber
По поводу размещения материала согласовать с @maximbautin
Обнаружены критические уязвимости в весьма интересном продукте Aruba Hewlett Packard Enterprise, а именно в EdgeConnect Orchestrator — широко используемом решении для управления глобальной сетью, предлагающее корпоративным пользователям функции оптимизации, администрирования, автоматизации, а также наблюдения и мониторинга в режиме реального времени.
Aruba уже выпустила соответствующие обновления безопасности, устраняющие несколько критических уязвимостей, которые позволяют удаленным злоумышленникам скомпрометировать хост.
Легко воспроизводимые недостатки в EdgeConnect Orchestrator создают серьезные риски для систем и сетей, собственно, применение доступных обновлений безопасности должно быть приоритетом для администраторов.
Речь идет об ошибках CVE-2022-37913 и CVE-2022-37914 (оценки 9.8 по CSVV), связанных с обходом аутентификации в веб-интерфейсе управления EdgeConnect Orchestrator.
Успешное использование уязвимостей приводит к тому, что злоумышленник повышает свои привилегии до администратора без учетных данных, открывая путь для полной компрометации хоста.
Ошибка CVE-2022-37915 также кроется в веб-интерфейсе и позволяет выполнять произвольные команды на базовом хосте приводящие к полной компрометации системы.
Производителем даны рекомендации и версии, которые решают проблемы безопасности: Aruba EdgeConnect Enterprise Orchestrator 9.2.0.40405; 9.1.3.40197; 9.0.7.40110 и 8.10.23.40015 (и выше перечисленных версий).
Отдельно отметим, что старые версии не поддерживаются поставщиком и не будут получать обновления от вышеуказанных уязвимостей. Следовательно, пользователям более старых версий рекомендуется как можно скорее перейти на более новую версию продукта.
В Aruba отметили, что на сегодняшний день не обнаружено активного использования упомянутых уязвимостей и нет каких-либо PoC, нацеленных на уязвимости.
Однако, учитывая критичность недостатков и достаточно широкое использование EdgeConnect, можно с уверенностью предположить, что злоумышленники уже в ближайшей перспективе попытаются воссоздать эксплойты для уязвимостей и будут штудировать сеть в поисках уязвимых хостов.
Aruba уже выпустила соответствующие обновления безопасности, устраняющие несколько критических уязвимостей, которые позволяют удаленным злоумышленникам скомпрометировать хост.
Легко воспроизводимые недостатки в EdgeConnect Orchestrator создают серьезные риски для систем и сетей, собственно, применение доступных обновлений безопасности должно быть приоритетом для администраторов.
Речь идет об ошибках CVE-2022-37913 и CVE-2022-37914 (оценки 9.8 по CSVV), связанных с обходом аутентификации в веб-интерфейсе управления EdgeConnect Orchestrator.
Успешное использование уязвимостей приводит к тому, что злоумышленник повышает свои привилегии до администратора без учетных данных, открывая путь для полной компрометации хоста.
Ошибка CVE-2022-37915 также кроется в веб-интерфейсе и позволяет выполнять произвольные команды на базовом хосте приводящие к полной компрометации системы.
Производителем даны рекомендации и версии, которые решают проблемы безопасности: Aruba EdgeConnect Enterprise Orchestrator 9.2.0.40405; 9.1.3.40197; 9.0.7.40110 и 8.10.23.40015 (и выше перечисленных версий).
Отдельно отметим, что старые версии не поддерживаются поставщиком и не будут получать обновления от вышеуказанных уязвимостей. Следовательно, пользователям более старых версий рекомендуется как можно скорее перейти на более новую версию продукта.
В Aruba отметили, что на сегодняшний день не обнаружено активного использования упомянутых уязвимостей и нет каких-либо PoC, нацеленных на уязвимости.
Однако, учитывая критичность недостатков и достаточно широкое использование EdgeConnect, можно с уверенностью предположить, что злоумышленники уже в ближайшей перспективе попытаются воссоздать эксплойты для уязвимостей и будут штудировать сеть в поисках уязвимых хостов.