Apple выпустила новый Rapid Security Respons (но не надолго) для iOS, iPadOS, macOS и веб-браузера Safari, устранения новой 0-day (уже десятой в этом году), используемой в атаках и затрагивающей полностью исправленные iPhone, Mac и iPad.

Ошибка WebKit, отлеживаемая как CVE-2023-37450, может позволить злоумышленникам выполнять произвольный код при обработке специально созданного веб-контента.

Обнаружение и сообщение об ошибке приписывают анонимному исследователю.

Согласно бюллетеням компании для iOS и macOS с описанием CVE-2023-37450, Apple известно о том, что эта проблема, возможно, активно использовалась.

Как и в большинстве подобных случаев, подробностей о характере и масштабах атак, а также личности стоящего за ними злоумышленника очень мало.

Производитель iPhone заявил, что решил проблему с помощью улучшенных проверок.

Обновления iOS 16.5.1 (a), iPadOS 16.5.1 (a), macOS Ventura 13.4.1 (a) и Safari 16.5.2 были доступны для устройств со следующими версиями операционной системы: iOS 16.5.1 и iPadOS 16.5.1, macOS Вентура 13.4.1 и macOS Big Sur и macOS Monterey.

Однако позже Apple удалила обновление ПО после того, как их установка привела к тому, что некоторые веб-сайты, такие как Facebook, Instagram и Zoom, выдавали ошибку «неподдерживаемый браузер» в Safari.

Ожидаем, что Apple, скорее всего, повторно выпустит RSR, когда разработчики смогут решить проблему.

А их коллеги из Ремонда обычно по этому поводу не заморачиваются, за них микропатчи клепают сторонние поставщики.

Но будем посмотреть.

VMware предупредила клиентов об эксплойте, доступном для критической RCE-ошибки в инструменте анализа VMware Aria Operations for Logs.

CVE-2023-20864 представляет собой уязвимость десериализации, ее успешная эксплуатация позволяет злоумышленникам запускать произвольный код от имени пользователя root в ходе несложных атак, не требующих вмешательства пользователя.

Также в апреле VMware также выпустила обновления для устранения менее серьезной CVE-2023-20865, которая позволяла удаленным злоумышленникам с правами администратора выполнять произвольные команды от имени пользователя root на уязвимых устройствах.

Оба недостатка были исправлены с выпуском VMware Aria Operations for Logs 8.12.

Также недавно VMware выпустила еще одно предупреждение об исправлении критической ошибки (CVE-2023-20887) в VMware Aria Operations for Networks, позволяющей удаленно выполнять команды от имени пользователя root и активно используемой в атаках.

К счастью, в настоящее время нет доказательств, позволяющих полагать использование проблем в реальных атаках.

Тем не менее, администраторам рекомендуется незамедлительно применить исправления для CVE-2023-20864 в качестве меры по снижению риска потенциальных атак.

Инцидент с MOVEit определенно войдет в историю, а Cl0p установит новый рекорд по количеству утечек.

Сегодня список потерпевших пополнили крупные европейские банки Deutsche Bank, ING Bank, Postbank, Comdirect, которые сообщили об утечках данных своих клиентов.

Достоянием злоумышленников стали имена, фамилии и IBAN клиентов, что в умелых руках позволяет списывать средства напрямую.

Однако представитель Deutsche попытался убедить СМИ в обратном, поскольку преступники не смогли получить прямой доступ к счетам.

Сколько клиентов пострадало от утечки пока приходится только предполагать, но всем клиентам рекомендовали быть осторожными, следить за своими транзакциями и обращаться в банк при обнаружении несанкционированных воздействий.

Следом за банками в Choice Hotels подтвердили взлом системы передачи файлов MOVEit, затронувший Radisson Hotels Americas, который имеет в своем активе около 600 отелей.

Пока Cl0p не опубликовали данные, украденные у Radisson на своем сайте утечек, но расследование продолжается и уже выявлено некоторое количество записей о гостях, к которым злоумышленники получили доступ.

Викторину публичных признаний поддержали Университет Джона Хопкинса (JHU) и система здравоохранения Джона Хопкинса (JHHS), которая состоит из девяти организаций, включая больницу Джона Хопкинса, больницу в Говарде и компанию по медицинскому менеджменту Johns Hopkins Medical Management Corporation.

О масштабе бедствия представители пока не сообщили, да и Cl0p тоже не раскрыл данные, к которым получили доступ и если повезет, то из этических соображений возможно даже не раскроют.

To be continued...

Исследователи Trend Micro расчехлили новую ransomware под названием Big Head, которая распространяется через вредоносную рекламу, продвигающую поддельные обновления Windows и установщики Microsoft Word.

Новое исследование является своего рода продолжением результатов анализа двух образцов вредоносного ПО, к которым в прошлом месяце пришли ресерчеры из Fortinet.

В своем отчете Trend Micro пришли к выводу, что предыдущие оба варианта и вновь обнаруженный третий исходят от одного оператора, который, вероятно, экспериментирует с различными подходами для оптимизации своих атак.

Big Head представляет собой двоичный файл .NET, который устанавливает в целевой системе три файла, зашифрованных с помощью AES: один - для распространения вредоносного ПО, другой - для связи с ботами Telegram, а третий - шифрования файлов и отображения поддельного Центра обновлений Windows.

При выполнении ransomware также реализует: создание ключа автозапуска реестра, перезапись существующих файлов, установку атрибутов системных файлов и отключение диспетчера задач.

Каждой жертве присваивается уникальный идентификатор, который либо извлекается из каталога %appdata%\ID, либо генерируется с использованием случайной строки из 40 символов.

Программа-вымогатель прекращает необходимые для шифрования процессы и удаляет теневые копии, прежде чем шифровать целевые файлы и добавлять расширение «.poop» к их именам.

Перед шифрованием ransomware реализует проверку системного языка, исключая зону СНГ, а также наличие виртуализации. В ходе шифрования программа-вымогатель отображает экран обновления Windows.

По завершении процесса шифрования записка о выкупе сбрасывается в несколько каталогов, после чего меняются обои с отражением предупреждения о компрометации системы.

Ресерчевам Trend Micro также удалось проанализировать еще два образца Big Head и выделить некоторые ключевые отличия от стандартной версии программы-вымогателя.

Второй вариант поддерживает также функционал для кражи с возможностью сбора (включая историю просмотров, список каталогов, установленные драйверы, запущенные процессы, ключ продукта, активные сети, снимки экрана) и удаления конфиденциальных данных из системы-жертвы.

Третий образец идентифицирован как Neshta и может встраивать вредоносный код в исполняемые файлы на взломанной системе. Причем в отличие от предыдущих этот образец содержит иной формат записки о выкупе.

Trend Micro отмечает, что Big Head не является изощренным вымогателем, его методы шифрования довольно стандартны, а его методы уклонения легко обнаружить.

Тем не менее, похоже, что он нацелен на массовку с помощью простых уловок (например, поддельное обновление Windows), а наличие различных версий ПО говорит о том, что создатели Big Head совершенствуют свой продукт и стремятся к повышению его эффективности.

В рамках июльских обновлений Siemens и Schneider Electric устранили 50 уязвимостей в своих промышленных продуктах.

Siemens выпустила пять новых бюллетеней, информировав клиентов об исправлений для более чем 40 уязвимостей. 

Критическая проблема была закрыта в коммуникационной системе Simatic CN 4100, которую можно использовать для получения доступа администратора и полного контроля над устройством.

Другая исправленная серьезная ошибка позволяла злоумышленнику обойти сетевую изоляцию.

В продуктах Ruggedcom ROX устранена 21 уязвимость, в том числе те, которые могут быть использованы для получения информации, RCE, вызова DoS или выполнения произвольных действий посредством CSRF-атак.

Большинство из них имеют критическую или высокую оценку серьезности, а некоторые из баг влияют на сторонние компоненты.

В оптических считывателях Simatic MV500, в том числе в веб-сервере и сторонних компонентах, устранено более дюжины уязвимостей, в том числе критические и достаточно серьезные.

Эксплуатация может привести к DoS или раскрытию информации.

Также были выпущены патчи для шести серьезных проблем в ПО Tecnomatix Plant Simulation, которые позволяют вывести приложение из строя или потенциально выполнить произвольный код, заставив целевого пользователя открыть специально созданные файлы.

В свою очередь, Schneider Electric анонсировала четыре новых бюллетеня.

Все они охватывают шесть уязвимостей в решениях компании и более дюжины недостатков, затрагивающих сторонний компонент - коммуникационный сервер Codesys Runtime System V3. 

Недостатки Codesys затрагивают контроллеры PacDrive и Modicon, HMI Harmony и SoftSPS, встроенную в EcoStruxure Machine Expert. Их эксплуатация может привести к DoS и, возможно, RCE.

В ПО для мониторинга StruxureWare Data Center Expert (DCE) компания Schneider исправила две проблемы высокой степени серьезности и две проблемы средней, которые могут привести к несанкционированному доступу или RCE.

В приложении Accutech Manager для датчиков исправлена уязвимость высокой степени серьезности, а в продукте EcoStruxure OPC UA Server Expert устранена проблема раскрытия информации средней серьезности.

Подкатил июльский PatchTuesday от Microsoft, а вместе с ним исправления для 132 уязвимостей, в том числе 6 0-day и 13 RCE-ошибок, девять из которых оценены как критические.

Причем один из них остается неисправленным и активно используется в атаках, наблюдаемыми различными инфосек-компаниями.

Среди исправленных проблем 33 связаны с повышением привилегий, 13 - обходом функций безопасности, 37 - RCE, 19 - раскрытием информации, 22 - DoS, 7 - спуфингом.

На этот раз Microsoft не исправила ни одной уязвимости Microsoft Edge.

Из эксплуатируемых 0-day:

CVE-2023-32046 - уязвимость Windows MSHTML, связанная с несанкционированным получением прав, которая использовалась путем открытия специально созданного файла по электронной почте или через вредоносные сайты.

CVE-2023-32049 - уязвимость обхода Windows SmartScreen, которая позволяет не отображать запроса на открытие файлов при загрузке из Интернета и была была обнаружена внутри Microsoft Threat Intelligence Center.

CVE-2023-36874 - уязвимость в службе отчетов об ошибках, связанная с повышением привилегий, позволявшая получить права администратора на устройстве Windows.

Для ее эксплуатации злоумышленник должен иметь локальный доступ к целевой машине. Она была обнаружена Владом Столяровым и Мэдди Стоун из Google TAG.

CVE-2023-36884 - неисправленная уязвимость в Office и Windows, связанная с удаленным выполнением кода HTML благодаря использованию специально созданных документов Microsoft Office.

При этом злоумышленник должен убедить жертву открыть вредоносный файл.

Ошибка была замечена в целевых атаках, которые предпринимались, по данным Microsoft, хакерской группой RomCom, развертывавшей программу-вымогатель Industrial Spy (ныне - Underground), связанную исследователями Palo Alto, в свою очередь, с Cuba ransomware.

Об уязвимости сообщили Microsoft Threat Intelligence, Влад Столяров, Клемент Лесинь и Бахаре Сабури из Google TAG, Пол Расканьерес и Том Ланкастер из Volexity, а также команда безопасности Microsoft Office Product Group.

CVE-2023-35311  - уязвимость обхода предупреждения системы безопасности в Microsoft Outlook. Раскрыта анонимным исследователем.

ADV230001 - Microsoft отозвала сертификаты для подписи кода и учетные записи разработчиков, которые использовали лазейку в политике Windows для установки вредоносных драйверов режима ядра.

По сообщению Cisco Talos, эта лазейка использовалась для подписания вредоносных драйверов и перехвата трафика браузеров, включая Chrome, Edge и Firefox (и еще обширный список браузеров), популярных в Китае.

Причем, согласно бюллетеню, в ходе атак злоумышленник уже получил административные привилегии на скомпрометированных системах до использования драйверов.

Расследование при участии Trend Micro и Cisco было проведено после уведомления Sophos от 9 февраля.

Полный список с описанием устраненных уязвимостей в обновлениях PatchTuesday представлено здесь.

Citrix исправила критическую уязвимость в клиенте Secure Access для Ubuntu, которая могла привести к RCE.

Однако, согласно бюллетеню Citrix, использование CVE-2023-24492 (с оценкой CVSS 9,6) требует взаимодействия с пользователем.

Для этого жертва должна открыть созданную злоумышленником ссылку и принять дальнейшие запросы.

Вместе с тем, Citrix не предоставила технических подробностей для ошибки, но объявила, что версия 23.5.2 клиента Secure Access для Ubuntu содержит необходимые исправления.

Закрыта также серьезная уязвимость повышения привилегий в Secure Access для Windows.

CVE-2023-24491 (оценка CVSS 7,8) позволяет злоумышленнику, имеющему доступ к конечной точке со стандартной учетной записью пользователя и уязвимому клиенту, повысить привилегии до уровня NT Authority\System.

Уязвимость устранена с выпуском клиента Secure Access для Windows версии 23.5.1.3.

При этом оба недостатка были обнаружены Рильке Петроски из F2TC Cyber Security.

Клиентам Citrix рекомендуется обновиться как можно скорее, несмотря на то, что компания не упоминает об использовании каких-либо из этих уязвимостей в атаках.

В свой patch day SAP выпустила 16 новых примечаний по безопасности, в рамках которых, была исправлена самая критическая уязвимость, связанная с инъекцией команд ОС в SAP ECC и S/4HANA (IS-OIL).

Недостаток, отслеживаемый как CVE-2023-36922 (оценка CVSS 9,1) мог позволить злоумышленнику внедрить произвольную команду операционной системы в незащищенный параметр уязвимой транзакции и программы.

Учитывая, что ПО для планирования ресурсов предприятия ECC является ключевым компонентом SAP Business Suite, то выявленный недостаток создает прямую угрозу нарушения конфиденциальности, целостности и доступности системы в целом, считают специалисты Onapsis.

Еще одна важная заметка безопасности обновляет апрельскую аж 2018 года, в которой для SAP Business Client установлена последняя версия Chromium.

Данная заметка, которая в совокупности получила оценку CVSS 10 из 10 исправляет 56 ошибок, включая две ошибки критической серьезности и 35 ошибок высокой серьезности.

SAP также выпустила семь заметок о безопасности высокого приоритета, исправив проблемы, связанные с XSS, в UI5, контрабандой запросов, повреждением памяти, DoS и уязвимостью слепого SSRF без аутентификации.

Оставшиеся девять заметок о безопасности устраняют уязвимости средней степени серьезности в различных продуктах SAP.

Не смотря на то что, у поставщика нет доказательств того, что эти недостатки были использованы в дикой природе, организациям все же рекомендуется применять патчи как можно скорее.

Fortinet обнаружила серьезную уязвимость, влияющую на FortiOS и FortiProxy, позволяющую удаленному злоумышленнику выполнять произвольный код на уязвимых устройствах.

CVE-2023-33308 получила рейтинг CVS v3 9,8 из 10 и была раскрыта исследователями из Watchtowr.

Она описывается как проблема переполнения стека, влияющая на функцию глубокой проверки пакетов SSL в режиме прокси.

Поскольку проблема возникает только в том случае, если включена глубокая проверка политик прокси или политик брандмауэра с режимом прокси, отключение этой функции предотвращает эксплуатацию.

Уязвимость затрагивает FortiOS и FortiProxy версий 7.2.x и 7.0.x и была устранена в FortiOS версий 7.4.0, 7.2.4 и 7.0.11, а также FortiProxy версий 7.2.3 и 7.0.10.

Fortinet пояснила, что проблема была решена в предыдущем выпуске без соответствующего предупреждения.

В бюллетене Fortinet поясняется, что продукты FortiOS из ветвей выпуска 6.0, 6.2, 6.4, 2.x и 1.x не подвержены влиянию CVE-2023-33308.

Компания также объявила об исправлениях для CVE-2023-28001 средней степени серьезности в FortiOS, которая может позволить злоумышленнику повторно использовать сеанс удаленного пользователя, если злоумышленнику удастся получить токен API.

Уязвимость затрагивает версии FortiOS 7.2.x и 7.0.x и была устранена в версии FortiOS 7.4.0.

Пользователям Fortinet рекомендуется установить исправления как можно скорее.

Уязвимости критического уровня в решениях Fortinet неоднократно использовались в атаках, особенно те, которые не требуют аутентификации, предоставляя первоначальный доступ к корпоративным сетям.

После фиаско с Security Response, разработчики Apple предприняли новую попытку и выкатили патч для устранения проанонсированного 0-day в WebKit.

Первоначальные исправления пришлось сразу же отозвать из-за проблем с просмотром веб-сайтов через браузер Safari, а пользователям откатиться обратно.

Apple в итоге решила не сообщать, почему некоторые сайты не отображались должным образом после установки обновлений iOS 16.5.1 (a), iPadOS 16.5.1 (a) и macOS 13.4.1 (a). Но обещают, что проблема решена.

SonicWall выпустила исправления для критических уязвимостей, влияющих на управление брандмауэром Global Management System (GMS) и ПО для создания сетевых отчетов Analytics.

В общей сложности устранено 15 недостатков, в том числе те, которые могут позволить злоумышленникам получить доступ к уязвимым локальным системам, работающим под управлением GMS 9.3.2-SP1 и Analytics 2.5.0.4-R7 (или более ранней версии).

Четыре критические уязвимости позволяют злоумышленнику обойти аутентификацию и потенциально могут привести к раскрытию конфиденциальной информации неавторизованному субъекту в ходе несложных атак, не требующих взаимодействия с пользователем.

Все они отслеживаются как: CVE-2023-34124 (обход аутентификации веб-сервиса), CVE-2023-34133 (множественные проблемы с SQL-инъекцией без проверки подлинности и обход фильтра безопасности), CVE-2023-34134 (чтение хэша пароля через веб-службу) и CVE-2023-34137 (обход аутентификации CAS).

SonicWall PSIRT утверждает о недоступности PoC и отсутствии их эксплуатации в дикой природе.

Поставщик настоятельно рекомендует организациям, использующим описанную ниже версию GMS/Analytics On-Prem, немедленно выполнить обновление до соответствующей исправленной версии.

Ведь, как известно, устройства уже неоднократно подвергались атакам программ-вымогателей (HelloKitty, FiveHands) и кибершпионажа.

И неудивительно, SonicWall используют более 500 000 бизнес-клиентов в 215 странах, включая государственные учреждения и некоторые из крупнейших компаний по всему миру.

Исследователи Dragos сообщают об обнаружении эксплойта, который был разработан ненадеванной АРТ для нацеливанная на критически важную инфраструктуру с использованием уязвимостей в продуктах Rockwell Automation.

Согласно бюллетеню, в основе эксплойта - недостатки в коммуникационных модулях ControlLogix EtherNet/IP.

В частности, продукты 1756 EN2 и 1756 EN3 подвержены влиянию CVE-2023-3595 (оценка CVSS: 9,8).

Это критическая уязвимость, которая может позволить злоумышленнику добиться RCE с сохранением в целевой системе с помощью специально созданных сообщений Common Industrial Protocol (CIP).

Злоумышленник может использовать эту уязвимость для изменения, блокировки или кражи данных, проходящих через устройство.

Другая серьезная ошибка отказа в обслуживании CVE-2023-3596 (оценка CVSS: 7,5) затрагивает 1756-EN4, ее также можно использовать с помощью специально созданных CIP-сообщений.

В число уязвимых устройств также входят: 1756-EN2T, 1756-EN2TK, 1756-EN2TXT, 1756-EN2TP, 1756-EN2TPK, 1756-EN2TPXT, 1756-EN2TR, 1756-EN2TRK, 1756-EN2TRXT, 1756-EN2F, 1756-EN2F. К, 1756-EN3TR , 1756-EN3TRK, 1756-EN4TR, 1756-EN4TRK и 1756-EN4TRXT.

Rockwell Automation выпустила исправления встроенного ПО для каждого из продуктов и поделилась потенциальными индикаторами компрометации (IoC), а также правилами обнаружения.

Поставщик заявляет, что ему неизвестно о текущей эксплуатации, а предполагаемая виктимизация остается неясной.

Однако потенциальный риск эксплуатации в реальных атаках на промышленные системы остается достаточно высоким, и в зависимости от конфигурации целевого устройства ControlLogix может привести к различным последствиям (отказу или потере контроля, отказу или потере обзора, краже операционных данных или манипулированию контролем).

Помимо компрометации самого уязвимого модуля, уязвимость также может позволить злоумышленнику повлиять на производственный процесс вместе с базовой критической инфраструктурой, что может привести к возможному нарушению или разрушению.

В связи с чем, к расследованию подключилась и CISA, выпустив отдельный бюллетень с предупреждением организаций об уязвимостях.

В целом же, находка представляет собой редкую возможность для проактивной защиты критически важных промышленных секторов.

Исходники буткита BlackLotus для Windows UEFI просочился на GitHub, что вызвало серьезную волну беспокойства в сообществе.

BlackLotus — это ориентированный на Windows буткит UEFI, который обходит безопасную загрузку и антивирусные решения, сохраняется в зараженной системе и выполняет полезные нагрузки с наивысшим уровнем привилегий в ОС.

Его функционал включают нарушение функции защиты данных BitLocker, Microsoft Defender и целостности кода, защищенной гипервизором (HVCI), также известной как функция целостности памяти, которая защищает от попыток использования ядра Windows.

BlackLotus был первым буткитом UEFI, который смог обойти механизм безопасной загрузки и отключить средства защиты на уровне ОС.

Первоначально это достигалось за счет уязвимости Baton Drop (CVE-2022-21894), которую Microsoft исправила в январе 2022 года. Но позже для обновления безопасности были найдены обходные пути.

Это привело к новому обновлению безопасности для CVE-2023-24932 (еще один обход функции безопасности безопасной загрузки).

Однако Microsoft по умолчанию отключила обновление безопасности для CVE-2023-24932, требуя от пользователей Windows выполнить сложную ручную установку для исправления своих систем, что побуждало их отказываться от патча, оставив устройства уязвимыми для атак обхода безопасной загрузки.

Что касается самого зловредна, то изначально BlackLotus продавался на хакерских форумах за 5000 долларов, что позволяло злоумышленникам с любым уровнем подготовки получать доступ к инструментарию, который обычно был в арсенале АРТ. А его исходный код всегда оставался в тайне.

Однако на днях исследователи из Binarly заприметили его на утечку на GitHub, за которой стоял некий Yukari, решивший сделать инструмент широко доступным для всех.

При этом он отметил, что исходный код был модифицирован, из него выпилена Baton Drop и вместо этого положен руткит UEFI bootlicker, который основан на CosmicStrand, MoonBounce и ESPECTRE UEFI APT.

Таким образом, утекший исходный код не является полным и содержит в основном часть руткита и код буткита для обхода Secure Boot.

Утечка позволяет злоумышленникам с легкостью комбинировать буткит с новыми уязвимостями загрузчика, как известными, так и неизвестными.

Так что теперь, когда BlackLotus широко доступен, вполне возможно, что умелые кодеры из даркнета могут создать более мощные варианты зловреда, делая этот конкретный вектор атаки все более изощренным и сложным.

Специалисты предупреждают пользователей маршрутизаторов DSL Technicolor TG670 об угрозе захвата устройства со стороны злоумышленников, поскольку устройства содержат жестко заданные учетные записи, которые, собственно, могут быть использованы для получения несанкционированного доступа.

Широкополосный роутер достаточно популярен для использования в малых офисов и домашних условиях и позволяет администраторам аутентифицироваться через HTTP, SSH или Telnet. С включенной функцией удаленного управления пользователи получают полный административный контроль над роутером.

Однако, согласно отчету CERT/CC, шлюзовые роутеры Technicolor TG670 DSL, работающие на версии прошивки 10.5.N.9, содержат закодированные служебные учетные записи, которые предоставляют полный административный доступ к устройству через WAN.

Собственно, злоумышленник, зная эти имя пользователя и пароль по умолчанию, может удаленно авторизоваться и изменять любые административные настройки роутера.

Выявленный недостаток получил идентификатор CVE-2023-31808 и специалисты призывают проверить наличие обновлений безопасности, устраняющие эту уязвимость.

Кроме того, помимо прочего рекомендуется отключить удаленное администрирование на своих устройствах, чтобы предотвратить возможные попытки эксплуатации, поскольку Technicolor так и не ответил исследователям, и неясно, были ли выпущены патчи, которые устраняют выявленный баг.

Используемая более чем 200 000 компаниями в 140 странах Zimbra призывает администраторов срочно исправить вручную 0-day, которая активно эксплуатируется для взлома почтовых серверов Zimbra Collaboration Suite (ZCS).

Уязвимость в системе безопасности Zimbra Collaboration Suite затрагивает версию 8.8.15 и потенциально может повлиять на конфиденциальность и целостность ваших  данных.

В настоящее время проблеме не присвоен идентификатор CVE. Недостаток представляет собой отраженный межсайтовый скриптинг (XSS) и был обнаружен исследователем Клементом Лесинем из Google Threat Analysis Group.

Несмотря на то, что Zimbra не признала задействование баги в дикой природе, Мэдди Стоун из Google TAG сообщила сегодня XSS-уязвимость была замечена в целевой атаке.

До тех пор, пока разработчики трудятся над патчем, Zimbra выпустила рекомендации по устранению вектора атаки.

Процедура, необходимая для устранения уязвимости вручную на всех узлах почтовых ящиков, требует от администраторов выполнения следующих шагов:

1. Сделать резервную копию файла /opt/zimbra/jetty/webapps/zimbra/m/momoveto.
2. Отредактировать этот файл и перейти к строке 40
3. Обновить значение параметра до  <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>
4. До обновления строка должна отображаться как  <input name="st" type="hidden" value="${param.st}"/>

Включение функции escapeXml() теперь будет очищать введенные пользователем данные путем экранирования специальных символов, используемых в разметке XML, для предотвращения недостатков XSS.

Исправление может быть применено незамедлительно, для применения перезапуск службы Zimbra не потребуется.

Администраторам следует уделить первоочередное внимание устранению этой угрозы 0-day с учетом того, что в последние годы было взломано приличное число уязвимых почтовых серверов Zimbra по всему миру.

Так, еще в июне 2022 года ошибки обхода аутентификации Zimbra и удаленного выполнения кода привели к компрометации более 1000 серверов.

А начиная с сентября 2022 года хакеры начали злоупотреблять неисправленной RCE-уязвимостью в Zimbra Collaboration Suite, взломав почти 900 серверов за два месяца.

͏Арестованного в конце марта 20-летнего Конора Фитцпатрика, больше известного под псевдонимом Pompompurin, владельца BreachForum обвинили в числе прочего в хранении порно с участием несовершеннолетних.

Предъявление обвинений Фитцпатрику несколько раз откладывалось, а сам обвиняемый предпринимал попытку самоубийства.

Теперь же после прошедшего 13 июля судебного заседания стали понятны мотивы хакера.

Согласно финальной редакции обвинения, Фицпатрику было предъявлено обвинение в заговоре с целью совершения мошенничества с устройствами доступа, ведущему в том числе к вымогательству, а также хранении детской порнографии.

При этом Pompompurin признал себя виновным по всем трем пунктам, последний из которых вызвал серьезное удивление в профсообществе киберподполья.

Судя по представленным в суде материалам с обыска и по результатам осмотра компьютерной техники обвиняемого, на устройствах хранилось более 600 единиц запрещенного контента.

Суд над Pompompurin назначен на 17 ноября. На данный момент он находится под домашним арестом и выпущен под залог в размере 300 000 долларов.

Теперь вполне понятно, зачем силовики устраивали для Pompompurin теплый прием со спецэффектами.

Исследователи Armis обнаружили уязвимости в продуктах распределенной системы управления (DCS) Honeywell, которые могут подвергнуть ICS атакам.

В общей сложности почти год назад ресерчеры Armis смогли расковырять девять новых уязвимостей, в том числе семи из которых был присвоен рейтинг критической серьезности, получивших условное наименование Crit.IX.

Ошибки отслеживаются как CVE-2023-23585, CVE-2023-22435, CVE-2023-24474, CVE-2023-25078, CVE-2023-25178, CVE-2023. -24480, CVE-2023-25948, CVE-2023-25770 и CVE-2023-26597.

После того, как Honeywell устранила все недостатки, Armis приступили к обнародованию своих исследований, представив технический отчет с описанием своих выводов.

Crit.IX затрагивают несколько платформ Honeywell Experion DCS и связанный с ними контроллер C300 DCS.

Затронутые платформы включают Experion Process Knowledge System (EPKS), LX и PlantCruise.

Все указанные решения используются в широком спектре промышленных организаций, включая сельское хозяйство, водоснабжение, фармацевтику и АЭС.

Основной акцент в исследованиях был сделан на протоколе доступа к управляющим данным (CDA), который используется для связи между серверами Experion и контроллерами C300.

Исследователи обнаружили отсутствие шифрования и надлежащих механизмов аутентификации, что позволяет злоумышленнику, имеющему доступ к сети, выдавать себя за серверы и контроллеры.

Crit.IX могут использоваться для проведения атак типа DoS, получения потенциально конфиденциальной информации и RCE на контроллере или сервере.

Злоумышленник сможет манипулировать контроллерами и инженерными рабочими станциями, что в итоге приведет к остановке производства или повреждению промоборудования.

Недостатки также могут обеспечить и боковое перемещение внутри целевой организации.

Armis продемонстрировали на конкретных примерах, как Crit.IX приводят к компрометации фармацевтического или химического производственного процесса, а также нарушению распределения электроэнергии в энергосистеме.

Ресерчеры из Black Lotus Labs компании Lumen расчехлили один из крупнейших ботнетов, ориентированных на маршрутизаторы SOHO, обнаруженных за последние годы.

Скрытое вредоносное ПО под названием AVrecon смогло заразить в 20 странах более 70 000 маршрутизаторов SOHO на базе Linux, объединив их в ботнет, который реализует злоумышленнику скрытую прокси-сеть и обеспечивает таким образом инфраструктуру атаки с широким спектром вредоносных действий.

Большинство случаев заражения приходится на Великобританию и США, за которыми следуют Аргентина, Нигерия, Бразилия, Италия, Бангладеш, Вьетнам, Индия, Россия и Южная Африка.

Вредоносной программе в значительной степени удавалось избегать обнаружения на протяжении двух лет с момента, когда она была впервые обнаружена  в мае 2021 года ресерчерами Лаборатории Касперского.

Это уже третий штамм, ориентированный на маршрутизаторы SOHO после ZuoRAT и HiatusRAT за последний год.

Вместо того, чтобы пытаться оперативно монетизировать ботнет, операторы придерживались более умеренного подхода, а из-за скрытного характера вредоносного ПО владельцы зараженных машин редко замечали какие-либо сбои или потери пропускной способности.

AVrecon написан на языке программирования C, что позволяет легко адаптировать вредоносное ПО для различных архитектур.

После заражения AVrecon отправляет информацию о скомпрометированном маршрутизаторе на C2. После установления контакта взломанная машина получает команду на установление связи с независимой группой C2 второго уровня.

Исследователям удалось задетектить 15 таких управляющих серверов, работающих как минимум с октября 2021 года, на основе x.509.

Собранные к настоящему времени доказательства указывают на то, что ботнет использовался для продвижения в Facebook и Google, а также для взаимодействия с Microsoft Outlook, что указывает на мошенничество с рекламой и кражу данных.

Серьезность этой угрозы связана с тем, что маршрутизаторы SOHO обычно находятся за пределами обычного периметра безопасности, что значительно снижает способность защитников обнаруживать вредоносные действия.

Поставщик сетевого оборудования Juniper Networks выпустил исправления для серьезных уязвимостей в Junos OS, Junos OS Evolved и Junos Space.

Компания опубликовала 17 бюллетеней, подробно описывающих примерно дюжину дефектов безопасности ОС Junos и почти в три раза больше проблем в сторонних компонентах, используемых в ее продуктах.

Три новых бюллетеня описывают уязвимости высокой степени опасности в Junos OS и Junos OS Evolved, которые могут привести к DoS. Недостатки затрагивают сетевые устройства серий QFX10000, MX и SRX.

Восемь других рекомендаций касаются уязвимостей средней степени серьезности ОС Junos и ОС Junos Evolved, которые также могут быть использованы для создания DoS.

Juniper Networks выпустила обновления ПО для исправления всех 11 уязвимостей, отметив, что ни для одной из этих проблем нет обходных путей.

Компания также объявила об обновлениях ПО для устройств серий SRX и MX, чтобы решить серьезную проблему в системе обнаружения и предотвращения вторжений (IDP), которая может позволить злоумышленнику, не прошедшему проверку подлинности, в сети вызвать состояние DoS.

Компании не известно об использовании какой-либо из этих уязвимостей в атаках.

Последние обновления Junos OS и Junos OS Evolved также включают исправления для 17 ошибок в PHP, Message Queuing Telemetry Transport (MQTT) и NTP, включая некоторые уязвимости, которые были общедоступны в течение многих лет.

Две уязвимости PHP, отслеживаемые как CVE-2021-21708 и CVE-2022-31627, оцениваются как критические. Восемь других недостатков (четыре в PHP, два в MQTT и два в NTP) относятся к дефектам безопасности высокой степени серьезности.

В среду компания выпустила версию Junos Space 23.1R1 с исправлениями для 10 уязвимостей в стороннем ПО, в том числе пяти с рейтингом высокой степени серьезности.

Также была выпущена версия Contrail Cloud 16.3.0 с исправлениями для 10 других недостатков в сторонних компонентах, включая одну критическую ошибку.

Клиентам Juniper Networks рекомендуется установить доступные обновления безопасности как можно скорее.

Дополнительная информация об уязвимостях доступна здесь.

Созданный для обеспечения безопасности плагин All-In-One Security (AIOS) для WordPress сам оказался предвестником опасности для своих пользователей.

AIOS был разработан для предотвращения брутфорса, предупреждения при использовании дефолтных кред администратора, пресечения бот-атак и устранения спама в комментариях, но как выяснилось плагин, который используется более чем на миллионе сайтов WordPress, регистрирует пароли в виде открытого текста при попытке входа в базу данных.

О проблеме сообщил бдительный пользователь c0ntr07, который судя по комментариям на форуме был в шоке, что плагин безопасности выдает такую базовую ошибку security 101, не говоря уже о несоответствии целому пулу стандартов NIST 800-63-3, ISO27000, CIS, HIPAA, GDPR.

Уязвимости подвержена версия 5.1.9 AIOS и на этой неделе разработчики из Updraft, поддерживающие плагин, выпустили версии 5.2.0 для устранения проблемы и удаления зарегистрированных паролей из базы данных.

Рекомендуется немедленно обновиться до версии 5.2.0, дабы обезопасить свои ресурсы.

Учитывая, что еще не далее, чем вчера почти никто из пользователей не обновился до последней версии сотни тысяч пользователей находятся под угрозой, а злоумышленники на 99.9% штудируют сеть в поисках учеток скомпрометированных ресурсов.