Предлагаем ознакомиться с самыми крупными и интересными проектами Telegram в сфере информационной безопасности:

👨🏻‍💻 Hack Proof — твой справочник в мире информационной безопасности. Доксинг, инструменты с github, книги, видеоуроки, пентест.

🧠 Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.

👾 CyberYozh — подборка бесплатных лекций по анонимности, безопасности, хакингу, мультиаккаунтингу от известных экспертов (КиберДед, Люди PRO, Codeby, BespalePhone, VektorT13 и др.).

🔥 Russian OSINT — авторский канал про кибербезопасность, хакеров, искусственный интеллект и IT.

🤖 Open Source — крупнейший в Telegram агрегатор полезных программ с открытым исходным кодом.

Нас спрашивают, что мы думаем по поводу свежего слива американской NY Times в отношении "линейки продуктов легального spyware" от компании Цитадель.

Думаем следующее.

По нашему скромному мнению, вся суть статьиой NY Times в содержится в следующем абзаце:
Some of the encrypted app tools and other surveillance technologies have begun spreading beyond Russia. Marketing documents show efforts to sell the products in Eastern Europe and Central Asia, as well as Africa, the Middle East and South America. In January, Citizen Lab reported that Protei equipment was used by an Iranian telecom company for logging internet usage and blocking websites.

Если в двух словах - американцы переживают, что новые игроки выходят на рынок легального spyware. Хотя это никакое и не spyware. Мы уже неоднократно говорили, что истеблишмент США всеми способами стремится монополизировать рынок кибершпионского ПО. NSO Group не даст соврать. Отсюда и фантомные боли ниже поясницы у NY Times.

Казалось бы, уже и так санкции на российский инфосек накладывали-накладывали, в Касперского с Позитивами тапками кидались, а тут на тебе - Цитадель со своими продуктами на рынке нарисовалась так, что хрен сотрешь...

Поэтому искренне надеемся, что Цитадель продаст как можно больше своего ПО "in Eastern Europe and Central Asia, as well as Africa, the Middle East and South America". Лично нам они симпатичнее, чем Meta и прочие Intellexa.

Mozilla выпустила Firefox 115 с исправлениями дюжины уязвимостей, в том числе двух серьезных уязвимостей.

Отслеживаемая как CVE-2023-37201, первая из проблем с высокой степенью серьезности описывается как ошибка использования после освобождения и затрагивает WebRTC, который обеспечивает связь в реальном времени в браузерах и мобильных приложениях через API.

Злоумышленник может реализовать уязвимость при создании соединения WebRTC через HTTPS.

Вторая серьезная CVE-2023-37202 также связана с использованием после освобождения и касается движка WebAssembly SpiderMonkey.

Кроме того, исправлены ошибки безопасности памяти в Firefox 115, Firefox ESR 102.13 и Thunderbird 102.13 (CVE-2023-37211 и CVE-2023-37212), которые могли привести к RCE.

Firefox 115 также включает исправления для восьми уязвимостей средней степени серьезности, которые допускали RCE, спуфинг, размещение трекеров, подделку URL-адресов, отправке конфиденциальных данных на вредоносные сайты, а также загрузку файлов, содержащих вредоносный код.

Пять уязвимостей, включая серьезные ошибки использования после освобождения и безопасности памяти, были исправлены в обновленных Firefox ESR 102.13 и Thunderbird 102.13.

Группа ученых из Университета Ватерлоо в Канаде раскрыла технические подробности новой атаки, которая позволяет успешно обходить системы безопасности голосовой аутентификации VA.

VA позволяет компаниям подтверждать личность своих клиентов с помощью уникального «голосового отпечатка» и в последнее время все чаще используется в банковскиом секторе, работе колл-центров и реализуется в других сценариях, критически важных с точки зрения безопасности.

После того, как была принята концепция голосовых отпечатков, злоумышленники быстро поняли, что они могут использовать ПО для дипфейков с поддержкой машинного обучения и создавать убедительные копий голоса жертвы, используя всего пять минут записанного звука.

Уязвимость систем автоматической проверки говорящих ASV к атакам спуфинга спровоцировала разработку контрмер CM, которые в совокупности образуют современный неприступный механизм контроля доступа. 

Исследователи из Ватерлоо разработали метод, который позволяет уверенно обходить все контрмеры и обманывать большинство систем голосовой аутентификации. 

Их система работает на основе обнаружения типичных для дипфейк-аудио маркеров, которые и выдают речь за сгенерированную компьютером.

Новая атака удаляет эти маркеры, делая аудио неотличимым от подлинного звука таким образом, чтобы злоумышленники могли пройти аутентификацию, не будучи обнаруженными.

Исследователи отмечают, что их атака может обойти системы безопасности VA с вероятностью успеха до 99% всего после шести попыток.

Порт Нагоя, который является одним из крупнейших портов Японии и обслуживает грузовые корабли и нефтетанкеры, вынужден был поставить на стоп всю работу, поскольку попал под раздачу ransomware.

Для справки, на долю порта приходится примерно 10% от общего объема торговли Японии, он управляет 21 пирсом и 290 причалами, ежегодно обрабатывая более двух миллионов контейнеров и 165 миллионов тонн грузов.

Кроме того, порт используется Toyota Motor Corporation для экспорта большинства своих автомобилей по миру.

В администрации порта сообщили, что ее системы были заражены вредоносным ПО, каким пока не уточняется, но это привело к приостановке всех операций, связанных с погрузкой и разгрузкой контейнеров со вчерашнего дня.

В результате инцидента порт уже несет огромные финансовые потери, связанные с серьезным нарушением перевозок в Японию и из нее.

В настоящее время не ясно, кто стоял за атакой, какое вредоносное ПО использовалось. Непонятно также и то, были ли украдены какие-либо конфиденциальные данные.

В общем, фактуры пока кот наплакал, но порт атакуют уже не впервые. В прошлом году его прокатили по-легкому и всего лишь DDoS-ли сайт около 40 минут.

Раскрыта серьезная уязвимость конфигурации ядра в версиях Linux с 6.1 по 6.4, которая отслеживается как CVE-2023-3269 и получила наименование StackRot.

Проблема безопасности может быть использована для компрометации ядра и повышения привилегий, с «минимальными усилиями».

Обнаружение приписывается исследователю Руихану Ли, который рассказал о влиянии недостатка на подсистему управления памятью ядра, отвечающей за реализацию виртуальной памяти и подкачки по требованию.

Отчет об уязвимости был отправлен разработчикам 15 июня, патч стал доступен с 1 июля.

StackRot представляет собой проблему UAF и возникает из-за того, что ядро Linux определеным образом обрабатывает расширение стека в своей подсистеме управления памятью, связанной с управлением областями виртуальной памяти VMA.

В частности, слабое место - в maple tree, новой системе структуры данных для VMA, представленной в ядре Linux 6.1, которая заменила red-black trees и опиралась на механизм RCU.

Руихан Ли отмечает, что эксплуатация StackRot — сложная задача. Несмотря на это, CVE-2023-3269 может быть первым примером теоретически пригодной для эксплуатации уязвимости использование после освобождения RCU (UAFBR).

Кроме того, исследователь объявил о планах раскрыть полные технические подробности о StackRot и PoC к концу июля.

В связи с чем, пользователям рекомендуется проверить версию ядра, на которой работает дистрибутив Linux, и перейти на версию, на которую не влияет StackRot, либо обновленную версию, содержащую исправление.

В конце июня мы рассказывали про уязвимость, раскрытую исследователями из Jumpsec, которая позволяет доставлять вредоносное ПО через Microsoft Teams с учетной записью за пределами целевой организации, несмотря на ограничения в приложении для файлов из внешних источников.

Тогда, Microsoft, подтвердив наличие уязвимости, посчитала ее не заслуживающей срочного исправления, а зря.

На неделе один из участников Red Team из ВМС США разработал и представил инструмент на основе Python под названием TeamsPhisher, который использует эту проблему безопасности в Microsoft Teams для реализации автоматизированных атак на практике.

Он объединяет идею атаки Jumpsec, методы, разработанные Андреа Сантезе, а также аутентификацию и вспомогательные функции из инструмента TeamsEnum Бастиана Канбаха.

Работает утилита следующим образом: отправляется вложение, сообщение и список целевых пользователей Teams, после чего вложение загрузится в Sharepoint отправителя, а затем переберется список целей.

При этом TeamsPhisher сначала проверяет существование целевого пользователя и его способность получать внешние сообщения, что является необходимым условием для проведения атаки.

Затем он создает новый поток с целью, отправляет сообщение со ссылкой на вложение Sharepoint. Поток отображается в интерфейсе Teams отправителя для (потенциального) ручного взаимодействия.

TeamsPhisher требует, чтобы у пользователей была учетная запись Microsoft Business (поддерживается MFA) с действующей лицензией Teams и Sharepoint, что характерно для многих крупных компаний.

Инструмент также предлагает режим препросмотра, чтобы помочь проверить установленные целевые списки и оценить внешний вид сообщений с точки зрения получателя.

Среди других функций TeamsPhisher: отправка безопасных ссылок на файлы, которые может просматривать только предполагаемый получатель, указание задержки между передачами сообщений для обхода ограничения скорости, а также запись выходных данных в файл журнала.

Проблема, которую успешно реализует TeamsPhisher, все еще существует, и Microsoft до сих пор не намерена ее устранять, отмечая, что успех зависит от социальной инженерии и клиентам следует практиковать хорошие компьютерные привычки в Интернете.

Учитывая, что злоумышленники также могут использовать TeamsPhisher для доставки вредоносного ПО в целевые организации без срабатывания сигналов тревоги, пользователям настоятельно рекомендуется отключать связь с внешними арендаторами, если в этом нет необходимости, или же создать белый список с доверенными доменами, что уменьшит риск эксплуатации.

Cisco предупреждает клиентов о серьезной уязвимости, позволяющей злоумышленникам взламывать шифрование трафика.

CVE-2023-20185 была обнаружена в функции шифрования ACI Multi-Site CloudSec коммутаторов Cisco Nexus серии 9000 для ЦОДов.

Уязвимость затрагивает только коммутаторы Cisco Nexus 9332C, 9364C и 9500, только если они находятся в режиме ACI, являясь частью многосайтовой топологии, имеют включенную функцию шифрования CloudSec, с установленной прошивкой 14.0 и более поздние версии.

Она связана с проблемой реализации шифров, используемых функцией шифрования CloudSec на уязвимых коммутаторах.

Успешная эксплуатация позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно читать или изменять межсайтовый зашифрованный трафик, которым обмениваются сайты.

PSIRT компании не нашла доказательств того, что PoC нацелен на ошибку, а уязвимость использовалась в атаках.

Тем не менее, Cisco еще не выпустила обновления ПО для устранения CVE-2023-20185.

Поэтому клиентам, использующим затронутые коммутаторы, рекомендуется отключить уязвимую функцию и обратиться за помощью в службу поддержки для поиска альтернативных решений. Правда, в современных условиях она уже вряд ли поможет.

Специалисты Zscaler ThreatLabz обнаружили малварь RedEnergy, предназначенную для атак на предприятия энергетического, нефтегазового, телекоммуникационного и машиностроительного секторов.

Вирус позволяет злоумышленникам красть информацию из различных браузеров, а также обладает функционалом вымогателя.

Злоумышленники распространяют вредоносное ПО маскируя его под фальшивые обновления веб-браузера.

В рамках исследуемого образца Stealer-as-a-Ransomware было выявлено, что злоумышленники используют тактику FAKEUPDATES, дабы обмануть жертву и заставить их обновить свои браузеры, ну а попав в систему, вредонос тайно извлекает конфиденциальную информацию и шифрует файлы.

Примечательна оказалась тактика, в которой злоумышленники использовали страницы LinkedIn для атак на своих жертв.

Причем использовались достаточно авторитетные страницы профилей, включая филиппинскую компанию по производству промышленного оборудования и несколько организаций в Бразилии.

Дальнейший вектор атаки развивался если пользователи нажимали на веб-сайты целевой компании через свой профиль LinkedIn, а затем перенаправлялись на мошеннический url, который предлагал им установить обновление браузера с заряженным RedStealer на борту.

Вирус написан на .NET и обладает продвинутыми функциями для уклонения от обнаружения и антианализа.

Он взаимодействует с серверами через HTTPS, сохраняет себя в каталоге запуска Windows и создает запись в меню Пуск.

Исследователи также обнаружили подозрительную активность, связанную с протоколом передачи файлов (FTP), что предполагает его использование злоумышленниками для кражи данных.

После успешной атаки, когда все что нужно уже обнесли используется модуль для шифрования данных с добавлением незамысловатого расширения .FACKOFF! к зашифрованным файлам, попутно удаляя резервные копии.

Специалисты отдельно отметили, что проведенный анализ в очередной раз показал эволюционный и сложный характер киберугроз, направленных против различных отраслей и организаций.

Подкатили июльские обновления безопасности для Android, в которых Google представила исправления для 46 уязвимостей, три их которых, CVE-2023-26083, CVE-2021-29256 и CVE-2023-2136, активно эксплуатируются в дикой природе в таргетированных атаках.

CVE-2023-26083 — это уязвимость утечки памяти средней степени серьезности в драйвере Arm Mali для чипов Bifrost, Avalon и Valhall, которая использовалась в цепочке эксплойтов в рамках кампании spyware в отношении устройств Samsung в декабре 2022 года.

CVE-2021-29256 — это уязвимость высокого уровня серьезности (CVSS: 8.8) раскрытия непривилегированной информации и повышения привилегий до root, которая также влияет на определенные версии драйверов ядра графического процессора Bifrost и Midgard Arm Mali.

Третья уязвимость имеет критический уровень опасности с оценкой 9,6 из 10 и отслеживается как  CVE-2023-2136, представляя собой проблему целочисленного переполнения в Skia (мультиплатформенной библиотеке 2D-графики Google с открытым исходным кодом), которая также используется в Chrome.

Самая серьезная из исправленных в текущем патче проблем - CVE-2023-21250, критическая уязвимость в системном компоненте ОС, которая затрагивает версии Android 11, 12 и 13. Ее эксплуатация может привести к RCE без взаимодействия с пользователем или дополнительных привилегий выполнения.

Обновление следует стандартной системе выпуска двух уровней исправлений: одного (2023-07-01) для основных компонентов Android (фреймворк) и второго (2023-07-05) для ядра и компонентов с закрытым исходным кодом.

Обновление системы безопасности Android распространяется на версии Android 11, 12 и 13, но в зависимости от объема исправлений уязвимости могут затрагивать более старые версии ОС, которые больше не поддерживаются.

В этом случае поставщики рекомендуют заменить устройство более новой моделью или установить сторонний дистрибутив Android, который реализует обновления безопасности для старых устройств, хотя и с задержкой.

Печально известный хакер Бьорка заявил об утечке паспортных данных 34 миллионов граждан Индонезии и реализует их за 10 000 долларов.

Причем в качестве пруфов Бьорка вывалил сведения в отношении 1 млн. паспортов, подлинность которых официальные власти Индонезии еще не признали, однако несколько индонезийских исследователей уже удостоверились в их легитимности.

Кстати, он же продает и личные данные 35 миллионов клиентов интернет-провайдера myIndieHome.

Вообще же, сомнений инцидент не вызывает, ведь Бьорка имеет внушительный «послужной» список, включающий утечки данных многих индонезийских организаций, в числе которых были Разедуправление Индонезии (BIN) и Tokopedia, казино, крупнейшая в Индонезии компания в сфере электронной коммерции.

Но не менее резонансными оказались и две другие утечки на неделе, которые были связаны с Tigo, популярным чат-приложением для Android и iPhone, и Nickelodeon, американским телеканалом, принадлежащим Paramount.

В первом случае, случайным образом в сеть утекло более 100 000 000 сообщений и регистрационных данных пользователей Tigo.

Второй инцидент привел к сливу 500 ГБ данных, включающих невышедший на экраны контент за последние 10 лет, в том числе про Губку Боба, Дэнни Призрака и др.

Компания признала нарушение и объяснила, что это была проблема аутентификации, которая позволяла пользователям получить доступ к разделу анимации Nickelodean. Материалы просочились в январе 2023 года в Discord. Nickelodean пропатчил портал.

Тем не менее расследование продолжается, а представитель телеканала заверил, что утекшие данные не содержат данных о пользователях или сотрудниках и ограничиваются производственными ресурсами и интеллектуальной собственностью.

Немного «большого брата» вам в ленту.

Пока злоумышленники пытаются присовокупить ваши роутеры, умные чайники и холодильники к IoT-ботнетам и атакам на Пентагон, ваша умная лампа в этот момент хладнокровно отслеживает ваше местоположение.

К таким шокирующим выводам пришел исследователь HaxRob, который обнаружил, что мобильное приложение от поставщика умных ламп производителя Arlec, втайне собирает GPS-координаты своих пользователей. При все при этом приложение было установлено более 500 000 раз.

В свою очередь, исследователи из Pradeo обнаружили в Google Play два вредоносных приложения для управления файлами с общим количеством установок более 1,5 миллиона, которые втайне шпионили за владельцами устройств.

Приложения от одного и того же издателя запускались без какого-либо взаимодействия с пользователем, осуществляя кражу конфиденциальных пользовательских данных и отправляли их на серверы в КНР.

При этом в представленном на Google Play описании разработчики прямо отметили, что приложения не собирают никаких пользовательских данных с устройства, гарантируя безопасность данных.

Приложение File Recovery and Data Recovery (определяется на устройствах как «com.spot.music.filedate») имеет не менее 1 миллиона установок, а другое File Manager (com.file.box.master.gkd) - не менее 500 000.

В результате анализа исследователи выяснили, что приложения извлекают следующие данные: контакты и подключенные аккаунты, изображения, аудио и видео, местоположение в реальном времени, данные провайдеры связи, сведения ОС, марка и модель устройства.

Как видно, излишний функционал явно не предназначен для реализации функций управления файлами или восстановления данных.

Кроме того, приложения также могут злоупотреблять разрешениями, которые пользователь назначает в ходе установки, перезапуская устройство и запуская программу в фоновом режиме.

После обнародования результатов исследования и ряда журналистских запросов, Google удалила приложения со своего маркет-плейса.

А сколько еще не удалено?

В недавнем исследовании команды по реагированию на инциденты Microsoft была раскрыта тревожная статистика и разрушительная сила кибератак, осуществляемых с использованием BlackByte 2.0.

Как выяснили эксперты, злоумышленникам достаточно всего пять дней, чтобы проникнуть в сеть, зашифровать ключевые данные и потребовать выкуп за их возвращение, что создает серьезную проблему для организаций, пытающихся в неравном бою противостоять хакерским устремлениям.

BlackByte используется на заключительной стадии атаки, применяя 8-значный цифровой ключ для шифрования данных, но на раннем этапе злоумышленники используют мощную комбинацию инструментов и приемов, которые позволяют им получить первоначальный доступ к целевым сетям.

Сама же программа-вымогатель применяет стратегии "опустошения" процессов и уклонения от антивирусных средств защиты, что обеспечивает успешное шифрование и сокрытие от обнаружения.

В целях обеспечения удаленного доступа и контроля злоумышленники используют всем известный Cobalt Strike.

Специалисты также выявили ряд других методов, используемых киберпреступниками, таких как LotL (living-off-the-land).

Это атака, при которой злоумышленник использует легитимные программы и функции для выполнения вредоносных действий в целевой системе, в то время как малварь изменяет теневые копии томов на зараженных компьютерах, чтобы предотвратить восстановление данных.

Прогнозы специалистов не радужные и в свете сделанных выводов, Microsoft предлагает ряд заезженных, но практических рекомендаций, связанных с внедрением надежных процедур управления, своевременным применением критических обновлений и включением защиты от несанкционированного доступа, дабы укрепить имеющиеся на вооружении решения безопасности от попыток злоумышленников отключить или обойти их.

Progress предупредила клиентов об очередном исправлении новой критической уязвимости в приложении MOVEit Transfer, ставшим ранее причиной недавней массовой атаки вымогателей Clop на более чем сотню крупных организации по всему миру.

Progress обнаружила в своем продукте несколько проблем с SQL-инъекциями, в том числе критическую, отслеживаемую как CVE-2023-36934, которую можно использовать без аутентификации пользователя и позволяет получить несанкционированный доступ к базе данных MOVEit Transfer.

Вторая уязвимость SQL-инъекций идентифицирована как CVE-2023-36932 и получила высокий рейтинг серьезности, поскольку злоумышленник может использовать ее после аутентификации.

Две проблемы безопасности SQL-инъекций затрагивают несколько версий MOVEit Transfer, включая 12.1.10, 13.0.8, 13.1.6, 14.0.6, 14.1.7 и 15.0.3 (и старше для каждой).

Третьей уязвимостью, устраняемой с помощью этого патча, стала CVE-2023-36933, проблема высокой степени серьезности, позволяющая злоумышленникам неожиданно завершать работу программы, которая затрагивает 13.0.8, 13.1.6, 14.0.6, 14.1.7 и 15.0.3 (и старше для каждой).

Пользователям MOVEit Transfer рекомендуется применить доступные обновления и снизить риск потенциальной эксплуатации.

Хотя, как помниться, исправление не всегда спасало клиентов MOVEit, ведь Clop в недавней атаке все же нашли способ эксплуатации пропаренной два года уязвимости.

Вообще же неудивительно, ведь только после инцидента разработчик решил провести аудит и внедрить ежемесячные пакетные обновления безопасности.

͏Однажды когда-то давным-давно известный инфосек вендор Avast накосячил, приторговывая через дочернюю компанию Jumpshot данными пользователей, полученными в ходе работы Avast'овского антивируса на компьютерах этих самых пользователей.

Помимо того, что скандал разразился большой, а Jumpshot пришлось прикрыть и лишиться в моменте почти на 10% ликвидности своих акций, компания подлетела на один из самых крупных штрафов на 13,7 млн евро от испанского Агентства по защите данных.

Но и на этом история не заканчивается! Фонд Consumers United in Court (CUIC) в Нидерландах подал коллективный иск.

CUIC утверждает, что Avast в период с мая 2015 года по январь 2020 года собирала данные о своих клиентах и продавала без ведома и согласия пользователей.

Кто покупал - Google, Microsoft, McKinsey и другие поборники прав человека. Что продавали - поисковые запросы, геолокацию, историю серфинга, просмотры видеохостингов, включая и ресурсы для взрослых.

Как говорится, поделом: а все потому, что нечего в нашу порнуху лазать ☝️

Тем временем, в результате инцидента MoveIT, число компаний, ставших жертвами вымогателей cl0p достигло - 238, а пострадавших пользователей - 17 750 230.

Критическая уязвимость в децентрализованной платформе с открытым исходным кодом Mastodon с 8,8 миллионами пользователей, получившая название TootRoot, может быть использована для захвата серверов.

Mastodon исправила четыре уязвимости, которые были обнаружены независимыми аудиторами из Cure53 по запросу Mozilla.

Наиболее важной из них является CVE-2023-36460 (оценка CVSS 9,9), представляющая собой проблему с созданием произвольного файла, которая может привести к полной компрометации сервера.

Используя специально созданные медиафайлы, злоумышленники могут заставить код обработки мультимедиа Mastodon создавать произвольные файлы в любом месте.

Это позволяет злоумышленникам создавать и перезаписывать любой файл, к которому у Mastodon есть доступ, получая возможности для DoS и RCE.

Исследователь Кевин Бомонт подчеркнул риски, связанные с TootRoot, заявив, что этот файл можно использовать для установки бэкдоров на серверах, доставляющих контент пользователям Mastodon.

Такая компрометация даст злоумышленникам неограниченный контроль над сервером и управляемыми данными, включая и конфиденциальную информацию пользователей.

Вторая критическая уязвимость CVE-2023-36459 описывается как проблема межсайтового скриптинга (XSS), которая позволяет злоумышленникам обходить очистку HTML с помощью специально созданных данных oEmbed.

Атаки с использованием этой уязвимость могут привести к захвату учетной записи или доступу к конфиденциальным данным.

Две другие исправленные ошибки: CVE-2023-36461 - DoS-уязвимость высокой степени серьезности из-за медленных ответов HTTP, и CVE-2023-36462, также имеющая высокую степень серьезности, которая позволяет злоумышленнику реализовать фишинг с использованием ссылки профиля.

Все уязвимости были устранены с выпуском версий 4.1.3, 4.0.5 и 3.5.9.

Администраторам рекомендуется обновить свои экземпляры Mastodon как можно скорее.

Исследователи SSD Secure Disclosure раскрыли технические детали и представили PoC-эксплойт для недавней уязвимости Ubiquiti EdgeRouter.

Отслеживаемая как CVE-2023-31998 проблема описывается как уязвимость переполнения кучи, которую можно использовать через подключение по локальной сети.

Проблема связана со службой MiniUPnPd в устройствах Ubiquiti EdgeRouter и AirCube.

Злоумышленники локальной сети могут использовать ее для переполнения внутренней кучи и потенциального выполнения произвольного кода.

По данным SSD Secure Disclosure, недостаток в MiniUPnPd был закрыт, для него не был выпущен CVE-идентификатор.

Однако, по всей видимости, уязвимые версии MiniUPnPd могли поставляться и с другими сетевыми устройствами.

В конце июня Ubiquiti выпустила обновления ПО для уязвимых устройств EdgeRouter с поддержкой UPnP (версия прошивки 2.0.9-исправление.7) и AirCube (версия прошивки 2.8.9).

Несмотря на то, что пока нет никаких признаков использования уязвимости в реальных атаках, пользователям Ubiquiti рекомендуется как можно скорее обновить свои устройства.

Видимо, пока инфосек специалисты криптоплатформ отдыхают в отпусках, хакеры усердно работают и зарабатывают на безбедную старость.

Следом за Poly Network под гнетом хакерской атаки пал сервис Multichain, который временно приостановил работу после кражи криптоактивов на сумму более чем в 125 миллионов долларов.

Компания, предоставляющая кросс-чейн услуги, объявила, что некоторые ее активы были переведены на неизвестный адрес.

Пока идет расследование, пользователям рекомендовано прекратить использование услуг Multichain и отозвать все подтверждения контрактов, связанные с платформой.

В Multichain пообещали возместить все потерянные средства пользователей несмотря на то, что в компании столкнулись с рядом технических и административных проблем еще в мае.

Эксперты по безопасности оценили убытки примерно в 126 миллионов долларов, при этом украденные активы включают USDT, ETH, Bitcoin и другие монеты.

Звучит как мыс надежды, но появились предположения, что за атакой может стоять всем известный в криптоиндустрии и не только хакер - Белая шляпа, но это мнение остается в разряде неподтвержденных.

Этот инцидент стал последним в серии хакерских атак, нацеленных на кросс-чейн мосты, в результате чего за последние три года было украдено 1,92 миллиарда долларов.

Среди самых громких краж - 600 миллионов долларов у Ronin Network и Poly Network и 320 миллионов долларов у Wormhole Bridge.