Подкатил июльский PatchTuesday от Microsoft, а вместе с ним исправления для 132 уязвимостей, в том числе 6 0-day и 13 RCE-ошибок, девять из которых оценены как критические.
Причем один из них остается неисправленным и активно используется в атаках, наблюдаемыми различными инфосек-компаниями.
Среди исправленных проблем 33 связаны с повышением привилегий, 13 - обходом функций безопасности, 37 - RCE, 19 - раскрытием информации, 22 - DoS, 7 - спуфингом.
На этот раз Microsoft не исправила ни одной уязвимости Microsoft Edge.
Из эксплуатируемых 0-day:
CVE-2023-32046 - уязвимость Windows MSHTML, связанная с несанкционированным получением прав, которая использовалась путем открытия специально созданного файла по электронной почте или через вредоносные сайты.
CVE-2023-32049 - уязвимость обхода Windows SmartScreen, которая позволяет не отображать запроса на открытие файлов при загрузке из Интернета и была была обнаружена внутри Microsoft Threat Intelligence Center.
CVE-2023-36874 - уязвимость в службе отчетов об ошибках, связанная с повышением привилегий, позволявшая получить права администратора на устройстве Windows.
Для ее эксплуатации злоумышленник должен иметь локальный доступ к целевой машине. Она была обнаружена Владом Столяровым и Мэдди Стоун из Google TAG.
CVE-2023-36884 - неисправленная уязвимость в Office и Windows, связанная с удаленным выполнением кода HTML благодаря использованию специально созданных документов Microsoft Office.
При этом злоумышленник должен убедить жертву открыть вредоносный файл.
Ошибка была замечена в целевых атаках, которые предпринимались, по данным Microsoft, хакерской группой RomCom, развертывавшей программу-вымогатель Industrial Spy (ныне - Underground), связанную исследователями Palo Alto, в свою очередь, с Cuba ransomware.
Об уязвимости сообщили Microsoft Threat Intelligence, Влад Столяров, Клемент Лесинь и Бахаре Сабури из Google TAG, Пол Расканьерес и Том Ланкастер из Volexity, а также команда безопасности Microsoft Office Product Group.
CVE-2023-35311 - уязвимость обхода предупреждения системы безопасности в Microsoft Outlook. Раскрыта анонимным исследователем.
ADV230001 - Microsoft отозвала сертификаты для подписи кода и учетные записи разработчиков, которые использовали лазейку в политике Windows для установки вредоносных драйверов режима ядра.
По сообщению Cisco Talos, эта лазейка использовалась для подписания вредоносных драйверов и перехвата трафика браузеров, включая Chrome, Edge и Firefox (и еще обширный список браузеров), популярных в Китае.
Причем, согласно бюллетеню, в ходе атак злоумышленник уже получил административные привилегии на скомпрометированных системах до использования драйверов.
Расследование при участии Trend Micro и Cisco было проведено после уведомления Sophos от 9 февраля.
Полный список с описанием устраненных уязвимостей в обновлениях PatchTuesday представлено здесь.
Причем один из них остается неисправленным и активно используется в атаках, наблюдаемыми различными инфосек-компаниями.
Среди исправленных проблем 33 связаны с повышением привилегий, 13 - обходом функций безопасности, 37 - RCE, 19 - раскрытием информации, 22 - DoS, 7 - спуфингом.
На этот раз Microsoft не исправила ни одной уязвимости Microsoft Edge.
Из эксплуатируемых 0-day:
CVE-2023-32046 - уязвимость Windows MSHTML, связанная с несанкционированным получением прав, которая использовалась путем открытия специально созданного файла по электронной почте или через вредоносные сайты.
CVE-2023-32049 - уязвимость обхода Windows SmartScreen, которая позволяет не отображать запроса на открытие файлов при загрузке из Интернета и была была обнаружена внутри Microsoft Threat Intelligence Center.
CVE-2023-36874 - уязвимость в службе отчетов об ошибках, связанная с повышением привилегий, позволявшая получить права администратора на устройстве Windows.
Для ее эксплуатации злоумышленник должен иметь локальный доступ к целевой машине. Она была обнаружена Владом Столяровым и Мэдди Стоун из Google TAG.
CVE-2023-36884 - неисправленная уязвимость в Office и Windows, связанная с удаленным выполнением кода HTML благодаря использованию специально созданных документов Microsoft Office.
При этом злоумышленник должен убедить жертву открыть вредоносный файл.
Ошибка была замечена в целевых атаках, которые предпринимались, по данным Microsoft, хакерской группой RomCom, развертывавшей программу-вымогатель Industrial Spy (ныне - Underground), связанную исследователями Palo Alto, в свою очередь, с Cuba ransomware.
Об уязвимости сообщили Microsoft Threat Intelligence, Влад Столяров, Клемент Лесинь и Бахаре Сабури из Google TAG, Пол Расканьерес и Том Ланкастер из Volexity, а также команда безопасности Microsoft Office Product Group.
CVE-2023-35311 - уязвимость обхода предупреждения системы безопасности в Microsoft Outlook. Раскрыта анонимным исследователем.
ADV230001 - Microsoft отозвала сертификаты для подписи кода и учетные записи разработчиков, которые использовали лазейку в политике Windows для установки вредоносных драйверов режима ядра.
По сообщению Cisco Talos, эта лазейка использовалась для подписания вредоносных драйверов и перехвата трафика браузеров, включая Chrome, Edge и Firefox (и еще обширный список браузеров), популярных в Китае.
Причем, согласно бюллетеню, в ходе атак злоумышленник уже получил административные привилегии на скомпрометированных системах до использования драйверов.
Расследование при участии Trend Micro и Cisco было проведено после уведомления Sophos от 9 февраля.
Полный список с описанием устраненных уязвимостей в обновлениях PatchTuesday представлено здесь.
Citrix исправила критическую уязвимость в клиенте Secure Access для Ubuntu, которая могла привести к RCE.
Однако, согласно бюллетеню Citrix, использование CVE-2023-24492 (с оценкой CVSS 9,6) требует взаимодействия с пользователем.
Для этого жертва должна открыть созданную злоумышленником ссылку и принять дальнейшие запросы.
Вместе с тем, Citrix не предоставила технических подробностей для ошибки, но объявила, что версия 23.5.2 клиента Secure Access для Ubuntu содержит необходимые исправления.
Закрыта также серьезная уязвимость повышения привилегий в Secure Access для Windows.
CVE-2023-24491 (оценка CVSS 7,8) позволяет злоумышленнику, имеющему доступ к конечной точке со стандартной учетной записью пользователя и уязвимому клиенту, повысить привилегии до уровня NT Authority\System.
Уязвимость устранена с выпуском клиента Secure Access для Windows версии 23.5.1.3.
При этом оба недостатка были обнаружены Рильке Петроски из F2TC Cyber Security.
Клиентам Citrix рекомендуется обновиться как можно скорее, несмотря на то, что компания не упоминает об использовании каких-либо из этих уязвимостей в атаках.
Однако, согласно бюллетеню Citrix, использование CVE-2023-24492 (с оценкой CVSS 9,6) требует взаимодействия с пользователем.
Для этого жертва должна открыть созданную злоумышленником ссылку и принять дальнейшие запросы.
Вместе с тем, Citrix не предоставила технических подробностей для ошибки, но объявила, что версия 23.5.2 клиента Secure Access для Ubuntu содержит необходимые исправления.
Закрыта также серьезная уязвимость повышения привилегий в Secure Access для Windows.
CVE-2023-24491 (оценка CVSS 7,8) позволяет злоумышленнику, имеющему доступ к конечной точке со стандартной учетной записью пользователя и уязвимому клиенту, повысить привилегии до уровня NT Authority\System.
Уязвимость устранена с выпуском клиента Secure Access для Windows версии 23.5.1.3.
При этом оба недостатка были обнаружены Рильке Петроски из F2TC Cyber Security.
Клиентам Citrix рекомендуется обновиться как можно скорее, несмотря на то, что компания не упоминает об использовании каких-либо из этих уязвимостей в атаках.
В свой patch day SAP выпустила 16 новых примечаний по безопасности, в рамках которых, была исправлена самая критическая уязвимость, связанная с инъекцией команд ОС в SAP ECC и S/4HANA (IS-OIL).
Недостаток, отслеживаемый как CVE-2023-36922 (оценка CVSS 9,1) мог позволить злоумышленнику внедрить произвольную команду операционной системы в незащищенный параметр уязвимой транзакции и программы.
Учитывая, что ПО для планирования ресурсов предприятия ECC является ключевым компонентом SAP Business Suite, то выявленный недостаток создает прямую угрозу нарушения конфиденциальности, целостности и доступности системы в целом, считают специалисты Onapsis.
Еще одна важная заметка безопасности обновляет апрельскую аж 2018 года, в которой для SAP Business Client установлена последняя версия Chromium.
Данная заметка, которая в совокупности получила оценку CVSS 10 из 10 исправляет 56 ошибок, включая две ошибки критической серьезности и 35 ошибок высокой серьезности.
SAP также выпустила семь заметок о безопасности высокого приоритета, исправив проблемы, связанные с XSS, в UI5, контрабандой запросов, повреждением памяти, DoS и уязвимостью слепого SSRF без аутентификации.
Оставшиеся девять заметок о безопасности устраняют уязвимости средней степени серьезности в различных продуктах SAP.
Не смотря на то что, у поставщика нет доказательств того, что эти недостатки были использованы в дикой природе, организациям все же рекомендуется применять патчи как можно скорее.
Недостаток, отслеживаемый как CVE-2023-36922 (оценка CVSS 9,1) мог позволить злоумышленнику внедрить произвольную команду операционной системы в незащищенный параметр уязвимой транзакции и программы.
Учитывая, что ПО для планирования ресурсов предприятия ECC является ключевым компонентом SAP Business Suite, то выявленный недостаток создает прямую угрозу нарушения конфиденциальности, целостности и доступности системы в целом, считают специалисты Onapsis.
Еще одна важная заметка безопасности обновляет апрельскую аж 2018 года, в которой для SAP Business Client установлена последняя версия Chromium.
Данная заметка, которая в совокупности получила оценку CVSS 10 из 10 исправляет 56 ошибок, включая две ошибки критической серьезности и 35 ошибок высокой серьезности.
SAP также выпустила семь заметок о безопасности высокого приоритета, исправив проблемы, связанные с XSS, в UI5, контрабандой запросов, повреждением памяти, DoS и уязвимостью слепого SSRF без аутентификации.
Оставшиеся девять заметок о безопасности устраняют уязвимости средней степени серьезности в различных продуктах SAP.
Не смотря на то что, у поставщика нет доказательств того, что эти недостатки были использованы в дикой природе, организациям все же рекомендуется применять патчи как можно скорее.
Fortinet обнаружила серьезную уязвимость, влияющую на FortiOS и FortiProxy, позволяющую удаленному злоумышленнику выполнять произвольный код на уязвимых устройствах.
CVE-2023-33308 получила рейтинг CVS v3 9,8 из 10 и была раскрыта исследователями из Watchtowr.
Она описывается как проблема переполнения стека, влияющая на функцию глубокой проверки пакетов SSL в режиме прокси.
Поскольку проблема возникает только в том случае, если включена глубокая проверка политик прокси или политик брандмауэра с режимом прокси, отключение этой функции предотвращает эксплуатацию.
Уязвимость затрагивает FortiOS и FortiProxy версий 7.2.x и 7.0.x и была устранена в FortiOS версий 7.4.0, 7.2.4 и 7.0.11, а также FortiProxy версий 7.2.3 и 7.0.10.
Fortinet пояснила, что проблема была решена в предыдущем выпуске без соответствующего предупреждения.
В бюллетене Fortinet поясняется, что продукты FortiOS из ветвей выпуска 6.0, 6.2, 6.4, 2.x и 1.x не подвержены влиянию CVE-2023-33308.
Компания также объявила об исправлениях для CVE-2023-28001 средней степени серьезности в FortiOS, которая может позволить злоумышленнику повторно использовать сеанс удаленного пользователя, если злоумышленнику удастся получить токен API.
Уязвимость затрагивает версии FortiOS 7.2.x и 7.0.x и была устранена в версии FortiOS 7.4.0.
Пользователям Fortinet рекомендуется установить исправления как можно скорее.
Уязвимости критического уровня в решениях Fortinet неоднократно использовались в атаках, особенно те, которые не требуют аутентификации, предоставляя первоначальный доступ к корпоративным сетям.
CVE-2023-33308 получила рейтинг CVS v3 9,8 из 10 и была раскрыта исследователями из Watchtowr.
Она описывается как проблема переполнения стека, влияющая на функцию глубокой проверки пакетов SSL в режиме прокси.
Поскольку проблема возникает только в том случае, если включена глубокая проверка политик прокси или политик брандмауэра с режимом прокси, отключение этой функции предотвращает эксплуатацию.
Уязвимость затрагивает FortiOS и FortiProxy версий 7.2.x и 7.0.x и была устранена в FortiOS версий 7.4.0, 7.2.4 и 7.0.11, а также FortiProxy версий 7.2.3 и 7.0.10.
Fortinet пояснила, что проблема была решена в предыдущем выпуске без соответствующего предупреждения.
В бюллетене Fortinet поясняется, что продукты FortiOS из ветвей выпуска 6.0, 6.2, 6.4, 2.x и 1.x не подвержены влиянию CVE-2023-33308.
Компания также объявила об исправлениях для CVE-2023-28001 средней степени серьезности в FortiOS, которая может позволить злоумышленнику повторно использовать сеанс удаленного пользователя, если злоумышленнику удастся получить токен API.
Уязвимость затрагивает версии FortiOS 7.2.x и 7.0.x и была устранена в версии FortiOS 7.4.0.
Пользователям Fortinet рекомендуется установить исправления как можно скорее.
Уязвимости критического уровня в решениях Fortinet неоднократно использовались в атаках, особенно те, которые не требуют аутентификации, предоставляя первоначальный доступ к корпоративным сетям.
FortiGuard Labs
PSIRT | FortiGuard Labs
None
После фиаско с Security Response, разработчики Apple предприняли новую попытку и выкатили патч для устранения проанонсированного 0-day в WebKit.
Первоначальные исправления пришлось сразу же отозвать из-за проблем с просмотром веб-сайтов через браузер Safari, а пользователям откатиться обратно.
Apple в итоге решила не сообщать, почему некоторые сайты не отображались должным образом после установки обновлений iOS 16.5.1 (a), iPadOS 16.5.1 (a) и macOS 13.4.1 (a). Но обещают, что проблема решена.
Первоначальные исправления пришлось сразу же отозвать из-за проблем с просмотром веб-сайтов через браузер Safari, а пользователям откатиться обратно.
Apple в итоге решила не сообщать, почему некоторые сайты не отображались должным образом после установки обновлений iOS 16.5.1 (a), iPadOS 16.5.1 (a) и macOS 13.4.1 (a). Но обещают, что проблема решена.
Telegram
SecAtor
Apple выпустила новый Rapid Security Respons (но не надолго) для iOS, iPadOS, macOS и веб-браузера Safari, устранения новой 0-day (уже десятой в этом году), используемой в атаках и затрагивающей полностью исправленные iPhone, Mac и iPad.
Ошибка WebKit, отлеживаемая…
Ошибка WebKit, отлеживаемая…
SonicWall выпустила исправления для критических уязвимостей, влияющих на управление брандмауэром Global Management System (GMS) и ПО для создания сетевых отчетов Analytics.
В общей сложности устранено 15 недостатков, в том числе те, которые могут позволить злоумышленникам получить доступ к уязвимым локальным системам, работающим под управлением GMS 9.3.2-SP1 и Analytics 2.5.0.4-R7 (или более ранней версии).
Четыре критические уязвимости позволяют злоумышленнику обойти аутентификацию и потенциально могут привести к раскрытию конфиденциальной информации неавторизованному субъекту в ходе несложных атак, не требующих взаимодействия с пользователем.
Все они отслеживаются как: CVE-2023-34124 (обход аутентификации веб-сервиса), CVE-2023-34133 (множественные проблемы с SQL-инъекцией без проверки подлинности и обход фильтра безопасности), CVE-2023-34134 (чтение хэша пароля через веб-службу) и CVE-2023-34137 (обход аутентификации CAS).
SonicWall PSIRT утверждает о недоступности PoC и отсутствии их эксплуатации в дикой природе.
Поставщик настоятельно рекомендует организациям, использующим описанную ниже версию GMS/Analytics On-Prem, немедленно выполнить обновление до соответствующей исправленной версии.
Ведь, как известно, устройства уже неоднократно подвергались атакам программ-вымогателей (HelloKitty, FiveHands) и кибершпионажа.
И неудивительно, SonicWall используют более 500 000 бизнес-клиентов в 215 странах, включая государственные учреждения и некоторые из крупнейших компаний по всему миру.
В общей сложности устранено 15 недостатков, в том числе те, которые могут позволить злоумышленникам получить доступ к уязвимым локальным системам, работающим под управлением GMS 9.3.2-SP1 и Analytics 2.5.0.4-R7 (или более ранней версии).
Четыре критические уязвимости позволяют злоумышленнику обойти аутентификацию и потенциально могут привести к раскрытию конфиденциальной информации неавторизованному субъекту в ходе несложных атак, не требующих взаимодействия с пользователем.
Все они отслеживаются как: CVE-2023-34124 (обход аутентификации веб-сервиса), CVE-2023-34133 (множественные проблемы с SQL-инъекцией без проверки подлинности и обход фильтра безопасности), CVE-2023-34134 (чтение хэша пароля через веб-службу) и CVE-2023-34137 (обход аутентификации CAS).
SonicWall PSIRT утверждает о недоступности PoC и отсутствии их эксплуатации в дикой природе.
Поставщик настоятельно рекомендует организациям, использующим описанную ниже версию GMS/Analytics On-Prem, немедленно выполнить обновление до соответствующей исправленной версии.
Ведь, как известно, устройства уже неоднократно подвергались атакам программ-вымогателей (HelloKitty, FiveHands) и кибершпионажа.
И неудивительно, SonicWall используют более 500 000 бизнес-клиентов в 215 странах, включая государственные учреждения и некоторые из крупнейших компаний по всему миру.
Исследователи Dragos сообщают об обнаружении эксплойта, который был разработан ненадеванной АРТ для нацеливанная на критически важную инфраструктуру с использованием уязвимостей в продуктах Rockwell Automation.
Согласно бюллетеню, в основе эксплойта - недостатки в коммуникационных модулях ControlLogix EtherNet/IP.
В частности, продукты 1756 EN2 и 1756 EN3 подвержены влиянию CVE-2023-3595 (оценка CVSS: 9,8).
Это критическая уязвимость, которая может позволить злоумышленнику добиться RCE с сохранением в целевой системе с помощью специально созданных сообщений Common Industrial Protocol (CIP).
Злоумышленник может использовать эту уязвимость для изменения, блокировки или кражи данных, проходящих через устройство.
Другая серьезная ошибка отказа в обслуживании CVE-2023-3596 (оценка CVSS: 7,5) затрагивает 1756-EN4, ее также можно использовать с помощью специально созданных CIP-сообщений.
В число уязвимых устройств также входят: 1756-EN2T, 1756-EN2TK, 1756-EN2TXT, 1756-EN2TP, 1756-EN2TPK, 1756-EN2TPXT, 1756-EN2TR, 1756-EN2TRK, 1756-EN2TRXT, 1756-EN2F, 1756-EN2F. К, 1756-EN3TR , 1756-EN3TRK, 1756-EN4TR, 1756-EN4TRK и 1756-EN4TRXT.
Rockwell Automation выпустила исправления встроенного ПО для каждого из продуктов и поделилась потенциальными индикаторами компрометации (IoC), а также правилами обнаружения.
Поставщик заявляет, что ему неизвестно о текущей эксплуатации, а предполагаемая виктимизация остается неясной.
Однако потенциальный риск эксплуатации в реальных атаках на промышленные системы остается достаточно высоким, и в зависимости от конфигурации целевого устройства ControlLogix может привести к различным последствиям (отказу или потере контроля, отказу или потере обзора, краже операционных данных или манипулированию контролем).
Помимо компрометации самого уязвимого модуля, уязвимость также может позволить злоумышленнику повлиять на производственный процесс вместе с базовой критической инфраструктурой, что может привести к возможному нарушению или разрушению.
В связи с чем, к расследованию подключилась и CISA, выпустив отдельный бюллетень с предупреждением организаций об уязвимостях.
В целом же, находка представляет собой редкую возможность для проактивной защиты критически важных промышленных секторов.
Согласно бюллетеню, в основе эксплойта - недостатки в коммуникационных модулях ControlLogix EtherNet/IP.
В частности, продукты 1756 EN2 и 1756 EN3 подвержены влиянию CVE-2023-3595 (оценка CVSS: 9,8).
Это критическая уязвимость, которая может позволить злоумышленнику добиться RCE с сохранением в целевой системе с помощью специально созданных сообщений Common Industrial Protocol (CIP).
Злоумышленник может использовать эту уязвимость для изменения, блокировки или кражи данных, проходящих через устройство.
Другая серьезная ошибка отказа в обслуживании CVE-2023-3596 (оценка CVSS: 7,5) затрагивает 1756-EN4, ее также можно использовать с помощью специально созданных CIP-сообщений.
В число уязвимых устройств также входят: 1756-EN2T, 1756-EN2TK, 1756-EN2TXT, 1756-EN2TP, 1756-EN2TPK, 1756-EN2TPXT, 1756-EN2TR, 1756-EN2TRK, 1756-EN2TRXT, 1756-EN2F, 1756-EN2F. К, 1756-EN3TR , 1756-EN3TRK, 1756-EN4TR, 1756-EN4TRK и 1756-EN4TRXT.
Rockwell Automation выпустила исправления встроенного ПО для каждого из продуктов и поделилась потенциальными индикаторами компрометации (IoC), а также правилами обнаружения.
Поставщик заявляет, что ему неизвестно о текущей эксплуатации, а предполагаемая виктимизация остается неясной.
Однако потенциальный риск эксплуатации в реальных атаках на промышленные системы остается достаточно высоким, и в зависимости от конфигурации целевого устройства ControlLogix может привести к различным последствиям (отказу или потере контроля, отказу или потере обзора, краже операционных данных или манипулированию контролем).
Помимо компрометации самого уязвимого модуля, уязвимость также может позволить злоумышленнику повлиять на производственный процесс вместе с базовой критической инфраструктурой, что может привести к возможному нарушению или разрушению.
В связи с чем, к расследованию подключилась и CISA, выпустив отдельный бюллетень с предупреждением организаций об уязвимостях.
В целом же, находка представляет собой редкую возможность для проактивной защиты критически важных промышленных секторов.
Dragos | Industrial (ICS/OT) Cyber Security
Dragos Enabled Defense Against APT Exploits for Rockwell Automation ControlLogix | Dragos
Review guidance provided by Rockwell Automation and Dragos on how to mitigate vulnerabilities affecting Rockwell Automation ControlLogix firmware.
Исходники буткита BlackLotus для Windows UEFI просочился на GitHub, что вызвало серьезную волну беспокойства в сообществе.
BlackLotus — это ориентированный на Windows буткит UEFI, который обходит безопасную загрузку и антивирусные решения, сохраняется в зараженной системе и выполняет полезные нагрузки с наивысшим уровнем привилегий в ОС.
Его функционал включают нарушение функции защиты данных BitLocker, Microsoft Defender и целостности кода, защищенной гипервизором (HVCI), также известной как функция целостности памяти, которая защищает от попыток использования ядра Windows.
BlackLotus был первым буткитом UEFI, который смог обойти механизм безопасной загрузки и отключить средства защиты на уровне ОС.
Первоначально это достигалось за счет уязвимости Baton Drop (CVE-2022-21894), которую Microsoft исправила в январе 2022 года. Но позже для обновления безопасности были найдены обходные пути.
Это привело к новому обновлению безопасности для CVE-2023-24932 (еще один обход функции безопасности безопасной загрузки).
Однако Microsoft по умолчанию отключила обновление безопасности для CVE-2023-24932, требуя от пользователей Windows выполнить сложную ручную установку для исправления своих систем, что побуждало их отказываться от патча, оставив устройства уязвимыми для атак обхода безопасной загрузки.
Что касается самого зловредна, то изначально BlackLotus продавался на хакерских форумах за 5000 долларов, что позволяло злоумышленникам с любым уровнем подготовки получать доступ к инструментарию, который обычно был в арсенале АРТ. А его исходный код всегда оставался в тайне.
Однако на днях исследователи из Binarly заприметили его на утечку на GitHub, за которой стоял некий Yukari, решивший сделать инструмент широко доступным для всех.
При этом он отметил, что исходный код был модифицирован, из него выпилена Baton Drop и вместо этого положен руткит UEFI bootlicker, который основан на CosmicStrand, MoonBounce и ESPECTRE UEFI APT.
Таким образом, утекший исходный код не является полным и содержит в основном часть руткита и код буткита для обхода Secure Boot.
Утечка позволяет злоумышленникам с легкостью комбинировать буткит с новыми уязвимостями загрузчика, как известными, так и неизвестными.
Так что теперь, когда BlackLotus широко доступен, вполне возможно, что умелые кодеры из даркнета могут создать более мощные варианты зловреда, делая этот конкретный вектор атаки все более изощренным и сложным.
BlackLotus — это ориентированный на Windows буткит UEFI, который обходит безопасную загрузку и антивирусные решения, сохраняется в зараженной системе и выполняет полезные нагрузки с наивысшим уровнем привилегий в ОС.
Его функционал включают нарушение функции защиты данных BitLocker, Microsoft Defender и целостности кода, защищенной гипервизором (HVCI), также известной как функция целостности памяти, которая защищает от попыток использования ядра Windows.
BlackLotus был первым буткитом UEFI, который смог обойти механизм безопасной загрузки и отключить средства защиты на уровне ОС.
Первоначально это достигалось за счет уязвимости Baton Drop (CVE-2022-21894), которую Microsoft исправила в январе 2022 года. Но позже для обновления безопасности были найдены обходные пути.
Это привело к новому обновлению безопасности для CVE-2023-24932 (еще один обход функции безопасности безопасной загрузки).
Однако Microsoft по умолчанию отключила обновление безопасности для CVE-2023-24932, требуя от пользователей Windows выполнить сложную ручную установку для исправления своих систем, что побуждало их отказываться от патча, оставив устройства уязвимыми для атак обхода безопасной загрузки.
Что касается самого зловредна, то изначально BlackLotus продавался на хакерских форумах за 5000 долларов, что позволяло злоумышленникам с любым уровнем подготовки получать доступ к инструментарию, который обычно был в арсенале АРТ. А его исходный код всегда оставался в тайне.
Однако на днях исследователи из Binarly заприметили его на утечку на GitHub, за которой стоял некий Yukari, решивший сделать инструмент широко доступным для всех.
При этом он отметил, что исходный код был модифицирован, из него выпилена Baton Drop и вместо этого положен руткит UEFI bootlicker, который основан на CosmicStrand, MoonBounce и ESPECTRE UEFI APT.
Таким образом, утекший исходный код не является полным и содержит в основном часть руткита и код буткита для обхода Secure Boot.
Утечка позволяет злоумышленникам с легкостью комбинировать буткит с новыми уязвимостями загрузчика, как известными, так и неизвестными.
Так что теперь, когда BlackLotus широко доступен, вполне возможно, что умелые кодеры из даркнета могут создать более мощные варианты зловреда, делая этот конкретный вектор атаки все более изощренным и сложным.
GitHub
GitHub - ldpreload/BlackLotus: BlackLotus UEFI Windows Bootkit
BlackLotus UEFI Windows Bootkit. Contribute to ldpreload/BlackLotus development by creating an account on GitHub.
Специалисты предупреждают пользователей маршрутизаторов DSL Technicolor TG670 об угрозе захвата устройства со стороны злоумышленников, поскольку устройства содержат жестко заданные учетные записи, которые, собственно, могут быть использованы для получения несанкционированного доступа.
Широкополосный роутер достаточно популярен для использования в малых офисов и домашних условиях и позволяет администраторам аутентифицироваться через HTTP, SSH или Telnet. С включенной функцией удаленного управления пользователи получают полный административный контроль над роутером.
Однако, согласно отчету CERT/CC, шлюзовые роутеры Technicolor TG670 DSL, работающие на версии прошивки 10.5.N.9, содержат закодированные служебные учетные записи, которые предоставляют полный административный доступ к устройству через WAN.
Собственно, злоумышленник, зная эти имя пользователя и пароль по умолчанию, может удаленно авторизоваться и изменять любые административные настройки роутера.
Выявленный недостаток получил идентификатор CVE-2023-31808 и специалисты призывают проверить наличие обновлений безопасности, устраняющие эту уязвимость.
Кроме того, помимо прочего рекомендуется отключить удаленное администрирование на своих устройствах, чтобы предотвратить возможные попытки эксплуатации, поскольку Technicolor так и не ответил исследователям, и неясно, были ли выпущены патчи, которые устраняют выявленный баг.
Широкополосный роутер достаточно популярен для использования в малых офисов и домашних условиях и позволяет администраторам аутентифицироваться через HTTP, SSH или Telnet. С включенной функцией удаленного управления пользователи получают полный административный контроль над роутером.
Однако, согласно отчету CERT/CC, шлюзовые роутеры Technicolor TG670 DSL, работающие на версии прошивки 10.5.N.9, содержат закодированные служебные учетные записи, которые предоставляют полный административный доступ к устройству через WAN.
Собственно, злоумышленник, зная эти имя пользователя и пароль по умолчанию, может удаленно авторизоваться и изменять любые административные настройки роутера.
Выявленный недостаток получил идентификатор CVE-2023-31808 и специалисты призывают проверить наличие обновлений безопасности, устраняющие эту уязвимость.
Кроме того, помимо прочего рекомендуется отключить удаленное администрирование на своих устройствах, чтобы предотвратить возможные попытки эксплуатации, поскольку Technicolor так и не ответил исследователям, и неясно, были ли выпущены патчи, которые устраняют выявленный баг.
www.kb.cert.org
CERT/CC Vulnerability Note VU#913565
Hard-coded credentials in Technicolor TG670 DSL gateway router
Используемая более чем 200 000 компаниями в 140 странах Zimbra призывает администраторов срочно исправить вручную 0-day, которая активно эксплуатируется для взлома почтовых серверов Zimbra Collaboration Suite (ZCS).
Уязвимость в системе безопасности Zimbra Collaboration Suite затрагивает версию 8.8.15 и потенциально может повлиять на конфиденциальность и целостность ваших данных.
В настоящее время проблеме не присвоен идентификатор CVE. Недостаток представляет собой отраженный межсайтовый скриптинг (XSS) и был обнаружен исследователем Клементом Лесинем из Google Threat Analysis Group.
Несмотря на то, что Zimbra не признала задействование баги в дикой природе, Мэдди Стоун из Google TAG сообщила сегодня XSS-уязвимость была замечена в целевой атаке.
До тех пор, пока разработчики трудятся над патчем, Zimbra выпустила рекомендации по устранению вектора атаки.
Процедура, необходимая для устранения уязвимости вручную на всех узлах почтовых ящиков, требует от администраторов выполнения следующих шагов:
1. Сделать резервную копию файла /opt/zimbra/jetty/webapps/zimbra/m/momoveto.
2. Отредактировать этот файл и перейти к строке 40
3. Обновить значение параметра до <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>
4. До обновления строка должна отображаться как <input name="st" type="hidden" value="${param.st}"/>
Включение функции escapeXml() теперь будет очищать введенные пользователем данные путем экранирования специальных символов, используемых в разметке XML, для предотвращения недостатков XSS.
Исправление может быть применено незамедлительно, для применения перезапуск службы Zimbra не потребуется.
Администраторам следует уделить первоочередное внимание устранению этой угрозы 0-day с учетом того, что в последние годы было взломано приличное число уязвимых почтовых серверов Zimbra по всему миру.
Так, еще в июне 2022 года ошибки обхода аутентификации Zimbra и удаленного выполнения кода привели к компрометации более 1000 серверов.
А начиная с сентября 2022 года хакеры начали злоупотреблять неисправленной RCE-уязвимостью в Zimbra Collaboration Suite, взломав почти 900 серверов за два месяца.
Уязвимость в системе безопасности Zimbra Collaboration Suite затрагивает версию 8.8.15 и потенциально может повлиять на конфиденциальность и целостность ваших данных.
В настоящее время проблеме не присвоен идентификатор CVE. Недостаток представляет собой отраженный межсайтовый скриптинг (XSS) и был обнаружен исследователем Клементом Лесинем из Google Threat Analysis Group.
Несмотря на то, что Zimbra не признала задействование баги в дикой природе, Мэдди Стоун из Google TAG сообщила сегодня XSS-уязвимость была замечена в целевой атаке.
До тех пор, пока разработчики трудятся над патчем, Zimbra выпустила рекомендации по устранению вектора атаки.
Процедура, необходимая для устранения уязвимости вручную на всех узлах почтовых ящиков, требует от администраторов выполнения следующих шагов:
1. Сделать резервную копию файла /opt/zimbra/jetty/webapps/zimbra/m/momoveto.
2. Отредактировать этот файл и перейти к строке 40
3. Обновить значение параметра до <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>
4. До обновления строка должна отображаться как <input name="st" type="hidden" value="${param.st}"/>
Включение функции escapeXml() теперь будет очищать введенные пользователем данные путем экранирования специальных символов, используемых в разметке XML, для предотвращения недостатков XSS.
Исправление может быть применено незамедлительно, для применения перезапуск службы Zimbra не потребуется.
Администраторам следует уделить первоочередное внимание устранению этой угрозы 0-day с учетом того, что в последние годы было взломано приличное число уязвимых почтовых серверов Zimbra по всему миру.
Так, еще в июне 2022 года ошибки обхода аутентификации Zimbra и удаленного выполнения кода привели к компрометации более 1000 серверов.
А начиная с сентября 2022 года хакеры начали злоупотреблять неисправленной RCE-уязвимостью в Zimbra Collaboration Suite, взломав почти 900 серверов за два месяца.
GitHub
ZBUG-3490: XSS in /m/momoveto via st by miteshsavani810 · Pull Request #827 · Zimbra/zm-web-client
Sanitising st paramater
͏Арестованного в конце марта 20-летнего Конора Фитцпатрика, больше известного под псевдонимом Pompompurin, владельца BreachForum обвинили в числе прочего в хранении порно с участием несовершеннолетних.
Предъявление обвинений Фитцпатрику несколько раз откладывалось, а сам обвиняемый предпринимал попытку самоубийства.
Теперь же после прошедшего 13 июля судебного заседания стали понятны мотивы хакера.
Согласно финальной редакции обвинения, Фицпатрику было предъявлено обвинение в заговоре с целью совершения мошенничества с устройствами доступа, ведущему в том числе к вымогательству, а также хранении детской порнографии.
При этом Pompompurin признал себя виновным по всем трем пунктам, последний из которых вызвал серьезное удивление в профсообществе киберподполья.
Судя по представленным в суде материалам с обыска и по результатам осмотра компьютерной техники обвиняемого, на устройствах хранилось более 600 единиц запрещенного контента.
Суд над Pompompurin назначен на 17 ноября. На данный момент он находится под домашним арестом и выпущен под залог в размере 300 000 долларов.
Теперь вполне понятно, зачем силовики устраивали для Pompompurin теплый прием со спецэффектами.
Предъявление обвинений Фитцпатрику несколько раз откладывалось, а сам обвиняемый предпринимал попытку самоубийства.
Теперь же после прошедшего 13 июля судебного заседания стали понятны мотивы хакера.
Согласно финальной редакции обвинения, Фицпатрику было предъявлено обвинение в заговоре с целью совершения мошенничества с устройствами доступа, ведущему в том числе к вымогательству, а также хранении детской порнографии.
При этом Pompompurin признал себя виновным по всем трем пунктам, последний из которых вызвал серьезное удивление в профсообществе киберподполья.
Судя по представленным в суде материалам с обыска и по результатам осмотра компьютерной техники обвиняемого, на устройствах хранилось более 600 единиц запрещенного контента.
Суд над Pompompurin назначен на 17 ноября. На данный момент он находится под домашним арестом и выпущен под залог в размере 300 000 долларов.
Теперь вполне понятно, зачем силовики устраивали для Pompompurin теплый прием со спецэффектами.
Исследователи Armis обнаружили уязвимости в продуктах распределенной системы управления (DCS) Honeywell, которые могут подвергнуть ICS атакам.
В общей сложности почти год назад ресерчеры Armis смогли расковырять девять новых уязвимостей, в том числе семи из которых был присвоен рейтинг критической серьезности, получивших условное наименование Crit.IX.
Ошибки отслеживаются как CVE-2023-23585, CVE-2023-22435, CVE-2023-24474, CVE-2023-25078, CVE-2023-25178, CVE-2023. -24480, CVE-2023-25948, CVE-2023-25770 и CVE-2023-26597.
После того, как Honeywell устранила все недостатки, Armis приступили к обнародованию своих исследований, представив технический отчет с описанием своих выводов.
Crit.IX затрагивают несколько платформ Honeywell Experion DCS и связанный с ними контроллер C300 DCS.
Затронутые платформы включают Experion Process Knowledge System (EPKS), LX и PlantCruise.
Все указанные решения используются в широком спектре промышленных организаций, включая сельское хозяйство, водоснабжение, фармацевтику и АЭС.
Основной акцент в исследованиях был сделан на протоколе доступа к управляющим данным (CDA), который используется для связи между серверами Experion и контроллерами C300.
Исследователи обнаружили отсутствие шифрования и надлежащих механизмов аутентификации, что позволяет злоумышленнику, имеющему доступ к сети, выдавать себя за серверы и контроллеры.
Crit.IX могут использоваться для проведения атак типа DoS, получения потенциально конфиденциальной информации и RCE на контроллере или сервере.
Злоумышленник сможет манипулировать контроллерами и инженерными рабочими станциями, что в итоге приведет к остановке производства или повреждению промоборудования.
Недостатки также могут обеспечить и боковое перемещение внутри целевой организации.
Armis продемонстрировали на конкретных примерах, как Crit.IX приводят к компрометации фармацевтического или химического производственного процесса, а также нарушению распределения электроэнергии в энергосистеме.
В общей сложности почти год назад ресерчеры Armis смогли расковырять девять новых уязвимостей, в том числе семи из которых был присвоен рейтинг критической серьезности, получивших условное наименование Crit.IX.
Ошибки отслеживаются как CVE-2023-23585, CVE-2023-22435, CVE-2023-24474, CVE-2023-25078, CVE-2023-25178, CVE-2023. -24480, CVE-2023-25948, CVE-2023-25770 и CVE-2023-26597.
После того, как Honeywell устранила все недостатки, Armis приступили к обнародованию своих исследований, представив технический отчет с описанием своих выводов.
Crit.IX затрагивают несколько платформ Honeywell Experion DCS и связанный с ними контроллер C300 DCS.
Затронутые платформы включают Experion Process Knowledge System (EPKS), LX и PlantCruise.
Все указанные решения используются в широком спектре промышленных организаций, включая сельское хозяйство, водоснабжение, фармацевтику и АЭС.
Основной акцент в исследованиях был сделан на протоколе доступа к управляющим данным (CDA), который используется для связи между серверами Experion и контроллерами C300.
Исследователи обнаружили отсутствие шифрования и надлежащих механизмов аутентификации, что позволяет злоумышленнику, имеющему доступ к сети, выдавать себя за серверы и контроллеры.
Crit.IX могут использоваться для проведения атак типа DoS, получения потенциально конфиденциальной информации и RCE на контроллере или сервере.
Злоумышленник сможет манипулировать контроллерами и инженерными рабочими станциями, что в итоге приведет к остановке производства или повреждению промоборудования.
Недостатки также могут обеспечить и боковое перемещение внутри целевой организации.
Armis продемонстрировали на конкретных примерах, как Crit.IX приводят к компрометации фармацевтического или химического производственного процесса, а также нарушению распределения электроэнергии в энергосистеме.
Ресерчеры из Black Lotus Labs компании Lumen расчехлили один из крупнейших ботнетов, ориентированных на маршрутизаторы SOHO, обнаруженных за последние годы.
Скрытое вредоносное ПО под названием AVrecon смогло заразить в 20 странах более 70 000 маршрутизаторов SOHO на базе Linux, объединив их в ботнет, который реализует злоумышленнику скрытую прокси-сеть и обеспечивает таким образом инфраструктуру атаки с широким спектром вредоносных действий.
Большинство случаев заражения приходится на Великобританию и США, за которыми следуют Аргентина, Нигерия, Бразилия, Италия, Бангладеш, Вьетнам, Индия, Россия и Южная Африка.
Вредоносной программе в значительной степени удавалось избегать обнаружения на протяжении двух лет с момента, когда она была впервые обнаружена в мае 2021 года ресерчерами Лаборатории Касперского.
Это уже третий штамм, ориентированный на маршрутизаторы SOHO после ZuoRAT и HiatusRAT за последний год.
Вместо того, чтобы пытаться оперативно монетизировать ботнет, операторы придерживались более умеренного подхода, а из-за скрытного характера вредоносного ПО владельцы зараженных машин редко замечали какие-либо сбои или потери пропускной способности.
AVrecon написан на языке программирования C, что позволяет легко адаптировать вредоносное ПО для различных архитектур.
После заражения AVrecon отправляет информацию о скомпрометированном маршрутизаторе на C2. После установления контакта взломанная машина получает команду на установление связи с независимой группой C2 второго уровня.
Исследователям удалось задетектить 15 таких управляющих серверов, работающих как минимум с октября 2021 года, на основе x.509.
Собранные к настоящему времени доказательства указывают на то, что ботнет использовался для продвижения в Facebook и Google, а также для взаимодействия с Microsoft Outlook, что указывает на мошенничество с рекламой и кражу данных.
Серьезность этой угрозы связана с тем, что маршрутизаторы SOHO обычно находятся за пределами обычного периметра безопасности, что значительно снижает способность защитников обнаруживать вредоносные действия.
Скрытое вредоносное ПО под названием AVrecon смогло заразить в 20 странах более 70 000 маршрутизаторов SOHO на базе Linux, объединив их в ботнет, который реализует злоумышленнику скрытую прокси-сеть и обеспечивает таким образом инфраструктуру атаки с широким спектром вредоносных действий.
Большинство случаев заражения приходится на Великобританию и США, за которыми следуют Аргентина, Нигерия, Бразилия, Италия, Бангладеш, Вьетнам, Индия, Россия и Южная Африка.
Вредоносной программе в значительной степени удавалось избегать обнаружения на протяжении двух лет с момента, когда она была впервые обнаружена в мае 2021 года ресерчерами Лаборатории Касперского.
Это уже третий штамм, ориентированный на маршрутизаторы SOHO после ZuoRAT и HiatusRAT за последний год.
Вместо того, чтобы пытаться оперативно монетизировать ботнет, операторы придерживались более умеренного подхода, а из-за скрытного характера вредоносного ПО владельцы зараженных машин редко замечали какие-либо сбои или потери пропускной способности.
AVrecon написан на языке программирования C, что позволяет легко адаптировать вредоносное ПО для различных архитектур.
После заражения AVrecon отправляет информацию о скомпрометированном маршрутизаторе на C2. После установления контакта взломанная машина получает команду на установление связи с независимой группой C2 второго уровня.
Исследователям удалось задетектить 15 таких управляющих серверов, работающих как минимум с октября 2021 года, на основе x.509.
Собранные к настоящему времени доказательства указывают на то, что ботнет использовался для продвижения в Facebook и Google, а также для взаимодействия с Microsoft Outlook, что указывает на мошенничество с рекламой и кражу данных.
Серьезность этой угрозы связана с тем, что маршрутизаторы SOHO обычно находятся за пределами обычного периметра безопасности, что значительно снижает способность защитников обнаруживать вредоносные действия.
Lumen Blog
Routers from the Underground: Exposing AVrecon
Lumen Black Lotus Labs® identified a complex operation that infects small-office/home-office (SOHO) routers we’ve dubbed “AVrecon.”
Поставщик сетевого оборудования Juniper Networks выпустил исправления для серьезных уязвимостей в Junos OS, Junos OS Evolved и Junos Space.
Компания опубликовала 17 бюллетеней, подробно описывающих примерно дюжину дефектов безопасности ОС Junos и почти в три раза больше проблем в сторонних компонентах, используемых в ее продуктах.
Три новых бюллетеня описывают уязвимости высокой степени опасности в Junos OS и Junos OS Evolved, которые могут привести к DoS. Недостатки затрагивают сетевые устройства серий QFX10000, MX и SRX.
Восемь других рекомендаций касаются уязвимостей средней степени серьезности ОС Junos и ОС Junos Evolved, которые также могут быть использованы для создания DoS.
Juniper Networks выпустила обновления ПО для исправления всех 11 уязвимостей, отметив, что ни для одной из этих проблем нет обходных путей.
Компания также объявила об обновлениях ПО для устройств серий SRX и MX, чтобы решить серьезную проблему в системе обнаружения и предотвращения вторжений (IDP), которая может позволить злоумышленнику, не прошедшему проверку подлинности, в сети вызвать состояние DoS.
Компании не известно об использовании какой-либо из этих уязвимостей в атаках.
Последние обновления Junos OS и Junos OS Evolved также включают исправления для 17 ошибок в PHP, Message Queuing Telemetry Transport (MQTT) и NTP, включая некоторые уязвимости, которые были общедоступны в течение многих лет.
Две уязвимости PHP, отслеживаемые как CVE-2021-21708 и CVE-2022-31627, оцениваются как критические. Восемь других недостатков (четыре в PHP, два в MQTT и два в NTP) относятся к дефектам безопасности высокой степени серьезности.
В среду компания выпустила версию Junos Space 23.1R1 с исправлениями для 10 уязвимостей в стороннем ПО, в том числе пяти с рейтингом высокой степени серьезности.
Также была выпущена версия Contrail Cloud 16.3.0 с исправлениями для 10 других недостатков в сторонних компонентах, включая одну критическую ошибку.
Клиентам Juniper Networks рекомендуется установить доступные обновления безопасности как можно скорее.
Дополнительная информация об уязвимостях доступна здесь.
Компания опубликовала 17 бюллетеней, подробно описывающих примерно дюжину дефектов безопасности ОС Junos и почти в три раза больше проблем в сторонних компонентах, используемых в ее продуктах.
Три новых бюллетеня описывают уязвимости высокой степени опасности в Junos OS и Junos OS Evolved, которые могут привести к DoS. Недостатки затрагивают сетевые устройства серий QFX10000, MX и SRX.
Восемь других рекомендаций касаются уязвимостей средней степени серьезности ОС Junos и ОС Junos Evolved, которые также могут быть использованы для создания DoS.
Juniper Networks выпустила обновления ПО для исправления всех 11 уязвимостей, отметив, что ни для одной из этих проблем нет обходных путей.
Компания также объявила об обновлениях ПО для устройств серий SRX и MX, чтобы решить серьезную проблему в системе обнаружения и предотвращения вторжений (IDP), которая может позволить злоумышленнику, не прошедшему проверку подлинности, в сети вызвать состояние DoS.
Компании не известно об использовании какой-либо из этих уязвимостей в атаках.
Последние обновления Junos OS и Junos OS Evolved также включают исправления для 17 ошибок в PHP, Message Queuing Telemetry Transport (MQTT) и NTP, включая некоторые уязвимости, которые были общедоступны в течение многих лет.
Две уязвимости PHP, отслеживаемые как CVE-2021-21708 и CVE-2022-31627, оцениваются как критические. Восемь других недостатков (четыре в PHP, два в MQTT и два в NTP) относятся к дефектам безопасности высокой степени серьезности.
В среду компания выпустила версию Junos Space 23.1R1 с исправлениями для 10 уязвимостей в стороннем ПО, в том числе пяти с рейтингом высокой степени серьезности.
Также была выпущена версия Contrail Cloud 16.3.0 с исправлениями для 10 других недостатков в сторонних компонентах, включая одну критическую ошибку.
Клиентам Juniper Networks рекомендуется установить доступные обновления безопасности как можно скорее.
Дополнительная информация об уязвимостях доступна здесь.
Созданный для обеспечения безопасности плагин All-In-One Security (AIOS) для WordPress сам оказался предвестником опасности для своих пользователей.
AIOS был разработан для предотвращения брутфорса, предупреждения при использовании дефолтных кред администратора, пресечения бот-атак и устранения спама в комментариях, но как выяснилось плагин, который используется более чем на миллионе сайтов WordPress, регистрирует пароли в виде открытого текста при попытке входа в базу данных.
О проблеме сообщил бдительный пользователь c0ntr07, который судя по комментариям на форуме был в шоке, что плагин безопасности выдает такую базовую ошибку security 101, не говоря уже о несоответствии целому пулу стандартов NIST 800-63-3, ISO27000, CIS, HIPAA, GDPR.
Уязвимости подвержена версия 5.1.9 AIOS и на этой неделе разработчики из Updraft, поддерживающие плагин, выпустили версии 5.2.0 для устранения проблемы и удаления зарегистрированных паролей из базы данных.
Рекомендуется немедленно обновиться до версии 5.2.0, дабы обезопасить свои ресурсы.
Учитывая, что еще не далее, чем вчера почти никто из пользователей не обновился до последней версии сотни тысяч пользователей находятся под угрозой, а злоумышленники на 99.9% штудируют сеть в поисках учеток скомпрометированных ресурсов.
AIOS был разработан для предотвращения брутфорса, предупреждения при использовании дефолтных кред администратора, пресечения бот-атак и устранения спама в комментариях, но как выяснилось плагин, который используется более чем на миллионе сайтов WordPress, регистрирует пароли в виде открытого текста при попытке входа в базу данных.
О проблеме сообщил бдительный пользователь c0ntr07, который судя по комментариям на форуме был в шоке, что плагин безопасности выдает такую базовую ошибку security 101, не говоря уже о несоответствии целому пулу стандартов NIST 800-63-3, ISO27000, CIS, HIPAA, GDPR.
Уязвимости подвержена версия 5.1.9 AIOS и на этой неделе разработчики из Updraft, поддерживающие плагин, выпустили версии 5.2.0 для устранения проблемы и удаления зарегистрированных паролей из базы данных.
Рекомендуется немедленно обновиться до версии 5.2.0, дабы обезопасить свои ресурсы.
Учитывая, что еще не далее, чем вчера почти никто из пользователей не обновился до последней версии сотни тысяч пользователей находятся под угрозой, а злоумышленники на 99.9% штудируют сеть в поисках учеток скомпрометированных ресурсов.
Techzine
WordPress security plugin AIOS saved passwords as plain text
The WordPress security plugin All-In-One Security (AIOS) created a security flaw of its own accord. Because of a bug, the tool collected passwords and
Forwarded from Social Engineering
🖖🏻 Приветствую тебя, user_name.
• Как сообщает новостное издание The Straits Times, 60-летняя женщина увидела наклейку на входной двери в магазин «Bubble Tea», где предлагалось отсканировать QR-код, заполнить анкету на сайте и получить за это «бесплатную чашку чая». Как оказалось позже, данную наклейку налепили на дверь магазина именно злоумышленники, а магазин никогда не проводил такой "щедрой" акции.• Тем не менее, женщина не заподозрила ничего странного в требовании заполнить анкету и без колебаний отсканировала QR-код. Однако она допустила ошибку на следующем этапе. Как выяснилось, QR-код вёл на скачивание стороннего приложения, и «заполнить анкету» нужно было именно в нём. Приложение, разумеется, оказалось полнофункциональным бэкдором с удалённым управлением смартфоном. Женщина не поняла этого и выдала приложению все необходимые разрешения, ведь на кону чашка "бесплатного" чая!
• Так как приложение обладало функционалом записи экрана и удаленным управлением устройством, атакующим удалось подсмотреть пин-код женщины от её банковского приложения, и поздно ночью, когда жертва уже спала, хакеры удалённо разблокировали смартфон и перевели на свой счёт 20 тысяч долларов с банковского счёта женщины. Вот вам и бесплатная чашка чая!
• Давайте теперь рассмотрим такой таргет-фишинг с точки зрения Социальной Инженерии? Как по мне, оффлайн распространение таких кодов будет весьма "перспективным" для фишеров и может затронуть куда больше людей, чем в интернете. Так уж вышло, что люди склонны доверять официальной символике и тексту, в любом объявлении, которое расположено в нужном месте и в нужное время. Тут, как говориться, все зависит от фантазии: кто-то пытается разместить QR-код на самокатах, велосипедах или стоянках, а кто-то распространяет по почтовым ящикам поддельные бланки от ЖКХ или других структур.
S.E. ▪️ infosec.work ▪️ #Новости, #СИ
Please open Telegram to view this post
VIEW IN TELEGRAM
Ресерчеры F.A.C.C.T. продолжают расчехлять новые кампании RedCurl, специализирующейся на коммерческом шпионаже и краже корпоративной документации.
Новые активности обнаружены в рамках реагирования на инцидент еще в ноябре 2022 года и были направлены на один из российских банков, на оторый киберпреступники нацеливались дважды.
Первый раз RedCurl атаковала с помощью таргетированных фишинговых рассылок от имени крупного российского маркетплейса, а затем - через компанию-подрядчика. Причем последняя увенчалась успехом.
RedCurl попала на карандаш еще в конце 2019 года и, предположительно, состояла из русскоговорящих хакеров.
Группа активна, как минимум, с 2018 года и привлекла внимание экспертов тем, что проводила тщательно спланированные атаки на частные компании из различных отраслей, используя уникальный инструментарий.
За последние четыре с половиной года RedCurl провела не менее 34 атак на компании из Великобритании, Германии, Канады, Норвегии, Украины, Австралии.
Больше половины атак - 20: пришлись на Россию.
Среди жертв были строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации.
С момента заражения до кражи данных RedCurl проводит в сети жертвы от 2 до 6 месяцев.
Новое исследование F.A.С.С.T. раскрывает атаки RedCurl, в предпринимавшиеся в ноябре 2022 и в мае 2023 года.
В качестве первоначального вектора проникновения в инфраструктуру использовались фишинговые письма с вредоносным ПО под видом предложений с рекламой корпоративных скидок, но безуспешно благодаря средствам защиты.
Потерпев неудачу RedCurl переключились на подрядчика банка, использовав тактику Supply Chain.
Получив доступ к компьютеру его сотрудника, предположительно, через фишинговую рассылку, хакеры смогли проникнуть на общий сетевой диск с документами клиента, что позволило попасть в инфраструктуру банка.
Из иструментария RedCurl использовался загрузчик для первого этапа заражения под названием RedCurl.SimpleDownloader, специально созданный под новую кампанию с использованием бренда маркетплейса.
По мнению F.A.C.C.T., это новый полноценный инструмент группировки, который будет модифицироваться и применяться в других атаках RedCurl.
На следующем этапе кампании использовался модернизированный загрузчик RedCurl.Downloader для подгрузки RedCurl.Extractor.
Эта ПО предназначена для установки агента RedCurl.FSABIN, который, в свою очередь, предоставляет злоумышленнику удаленный контроль над зараженной машиной.
И без того достаточно уникальное для русскоязычной киберкриминальной среды инструменты и методы RedCurl продолжают развиваться и модернизироваться, образуя единую длинную цепочку, что несет ощутимые риски для компаний.
Полный разбор новых атак, индикаторы компрометации и MITRE ATT&CK - представлены в отчете.
Новые активности обнаружены в рамках реагирования на инцидент еще в ноябре 2022 года и были направлены на один из российских банков, на оторый киберпреступники нацеливались дважды.
Первый раз RedCurl атаковала с помощью таргетированных фишинговых рассылок от имени крупного российского маркетплейса, а затем - через компанию-подрядчика. Причем последняя увенчалась успехом.
RedCurl попала на карандаш еще в конце 2019 года и, предположительно, состояла из русскоговорящих хакеров.
Группа активна, как минимум, с 2018 года и привлекла внимание экспертов тем, что проводила тщательно спланированные атаки на частные компании из различных отраслей, используя уникальный инструментарий.
За последние четыре с половиной года RedCurl провела не менее 34 атак на компании из Великобритании, Германии, Канады, Норвегии, Украины, Австралии.
Больше половины атак - 20: пришлись на Россию.
Среди жертв были строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации.
С момента заражения до кражи данных RedCurl проводит в сети жертвы от 2 до 6 месяцев.
Новое исследование F.A.С.С.T. раскрывает атаки RedCurl, в предпринимавшиеся в ноябре 2022 и в мае 2023 года.
В качестве первоначального вектора проникновения в инфраструктуру использовались фишинговые письма с вредоносным ПО под видом предложений с рекламой корпоративных скидок, но безуспешно благодаря средствам защиты.
Потерпев неудачу RedCurl переключились на подрядчика банка, использовав тактику Supply Chain.
Получив доступ к компьютеру его сотрудника, предположительно, через фишинговую рассылку, хакеры смогли проникнуть на общий сетевой диск с документами клиента, что позволило попасть в инфраструктуру банка.
Из иструментария RedCurl использовался загрузчик для первого этапа заражения под названием RedCurl.SimpleDownloader, специально созданный под новую кампанию с использованием бренда маркетплейса.
По мнению F.A.C.C.T., это новый полноценный инструмент группировки, который будет модифицироваться и применяться в других атаках RedCurl.
На следующем этапе кампании использовался модернизированный загрузчик RedCurl.Downloader для подгрузки RedCurl.Extractor.
Эта ПО предназначена для установки агента RedCurl.FSABIN, который, в свою очередь, предоставляет злоумышленнику удаленный контроль над зараженной машиной.
И без того достаточно уникальное для русскоязычной киберкриминальной среды инструменты и методы RedCurl продолжают развиваться и модернизироваться, образуя единую длинную цепочку, что несет ощутимые риски для компаний.
Полный разбор новых атак, индикаторы компрометации и MITRE ATT&CK - представлены в отчете.
Trend Micro сообщила, что обнаружила атаку на цепочку поставок, нацеленную на пакистанские правительственные учреждения.
Исследователи задетектили образец бэкдора Shadowpad в приложении E-Office, разработанном правительством для сотрудников.
В поле зрения исследователей бэкдор попал в 2017 году в ходе другой атаки на цепочку поставок и известен прежде всего тем, что исторически используется несколькими китайскими АРТ, такими как APT41, Earth Akhlut или Earth Lusca.
Жертвами наблюдаемой кампании помимо самого правительства стал пакистанский государственный банк и провайдер. Во всех случаях ресерчеры смогли найти различные образцы Shadowpad после установки E-Office. Вектор заражения в случае с провайдером остается непонятным.
Согласно исследованию Trend Micro, в результате анализа установщика Microsoft Windows E-Office найдены три добавленных файла Telerik.Windows.Data.Validation.dll, mscoree.dll и mscoree.dll.dat.
Первый из них - это 64-разрядный исполняемый файл PE, не относящийся к DLL, который оказывается законным файлом applaunch.exe, подписанным Microsoft, а mscoree.dll — это вредоносная DLL, которая расшифровывает и загружает файл mscoree.dll.dat, который является полезной нагрузкой Shadowpad.
Ресерчеры заметили два разных метода запутывания, оба из которых используются в DLL и расшифрованной полезной нагрузке.
Причем схема шифрования этой кампании отличалась от той, что использовалось ранее. Исторически сложилось так, что шифрование конфигурации Shadowpad было настраиваемым алгоритмом, и разные субъекты угроз использовали разные алгоритмы или константы.
В этом случае субъект угрозы шифровал каждый образец конфигурации бэкдора Shadowpad с помощью одного и того же алгоритма.
Всего исследователи обнаружили 11 загрузчиков Shadowpad и 6 полезных нагрузок, связанных с этим злоумышленником. Кроме того, нашил также 25 дополнительных загрузчиков и 5 полезных нагрузок, которые не смогли с уверенностью связать с ним.
Среди этих образцов использовались девять различных ключей шифрования, два из которых были связаны с злоумышленником, в то время как для семи оставшихся надежной атрибуции нет.
Несмотря на то, что Trend Micro не связывает эту атаку с какой-либо конкретной китайской APT, все же заявляет о том, что обнаружила ссылки на прошлые IOC Earth Lusca.
Правда, спустя несколько дней после публикации результатов исследования, Trend Micro решили ее обнулить.
Видимо, по части атрибуции что-то пошло не так.
Исследователи задетектили образец бэкдора Shadowpad в приложении E-Office, разработанном правительством для сотрудников.
В поле зрения исследователей бэкдор попал в 2017 году в ходе другой атаки на цепочку поставок и известен прежде всего тем, что исторически используется несколькими китайскими АРТ, такими как APT41, Earth Akhlut или Earth Lusca.
Жертвами наблюдаемой кампании помимо самого правительства стал пакистанский государственный банк и провайдер. Во всех случаях ресерчеры смогли найти различные образцы Shadowpad после установки E-Office. Вектор заражения в случае с провайдером остается непонятным.
Согласно исследованию Trend Micro, в результате анализа установщика Microsoft Windows E-Office найдены три добавленных файла Telerik.Windows.Data.Validation.dll, mscoree.dll и mscoree.dll.dat.
Первый из них - это 64-разрядный исполняемый файл PE, не относящийся к DLL, который оказывается законным файлом applaunch.exe, подписанным Microsoft, а mscoree.dll — это вредоносная DLL, которая расшифровывает и загружает файл mscoree.dll.dat, который является полезной нагрузкой Shadowpad.
Ресерчеры заметили два разных метода запутывания, оба из которых используются в DLL и расшифрованной полезной нагрузке.
Причем схема шифрования этой кампании отличалась от той, что использовалось ранее. Исторически сложилось так, что шифрование конфигурации Shadowpad было настраиваемым алгоритмом, и разные субъекты угроз использовали разные алгоритмы или константы.
В этом случае субъект угрозы шифровал каждый образец конфигурации бэкдора Shadowpad с помощью одного и того же алгоритма.
Всего исследователи обнаружили 11 загрузчиков Shadowpad и 6 полезных нагрузок, связанных с этим злоумышленником. Кроме того, нашил также 25 дополнительных загрузчиков и 5 полезных нагрузок, которые не смогли с уверенностью связать с ним.
Среди этих образцов использовались девять различных ключей шифрования, два из которых были связаны с злоумышленником, в то время как для семи оставшихся надежной атрибуции нет.
Несмотря на то, что Trend Micro не связывает эту атаку с какой-либо конкретной китайской APT, все же заявляет о том, что обнаружила ссылки на прошлые IOC Earth Lusca.
Правда, спустя несколько дней после публикации результатов исследования, Trend Micro решили ее обнулить.
Видимо, по части атрибуции что-то пошло не так.
archive.li
Supply Chain Attack Targeting Pakistani Government Delivers Shadowpad
archived 14 Jul 2023 15:24:55 UTC
Возможно, в скором времени расследовать компьютерные инциденты придется как на земле, так и за ее пределами.
К такому выводу пришли немецкие ученые, которые обнаружили совсем отставшие от современных реалий практики обеспечения безопасности спутниковых систем.
Тезисы ученых были основаны на анализе прошивок трех низкоорбитальных спутников, в которых методы спутниковой безопасности отстают на десятилетия по сравнению с современными ноутбуками и мобильными устройствами. Дескать спутниковая безопасность 20 века, где отсутствуют базовые функции защиты, такие как шифрование и аутентификация.
Дабы придать антуража для выявленной проблемы, исследователи сообщили, что разработали атаки, которые могут захватывать спутниковые системы, отключать их наземных станций, перемещать спутники в другие районы и даже разбивать их о землю или другие космические объекты.
Благо реальных инцидентов в этой сфере пока не зафиксировано, но представление результаты группой исследователей из Бохума и Саарбрюккена на симпозиуме IEEE по безопасности и конфиденциальности в Сан-Франциско были удостоены награды Distinguished Paper Award.
К такому выводу пришли немецкие ученые, которые обнаружили совсем отставшие от современных реалий практики обеспечения безопасности спутниковых систем.
Тезисы ученых были основаны на анализе прошивок трех низкоорбитальных спутников, в которых методы спутниковой безопасности отстают на десятилетия по сравнению с современными ноутбуками и мобильными устройствами. Дескать спутниковая безопасность 20 века, где отсутствуют базовые функции защиты, такие как шифрование и аутентификация.
Дабы придать антуража для выявленной проблемы, исследователи сообщили, что разработали атаки, которые могут захватывать спутниковые системы, отключать их наземных станций, перемещать спутники в другие районы и даже разбивать их о землю или другие космические объекты.
Благо реальных инцидентов в этой сфере пока не зафиксировано, но представление результаты группой исследователей из Бохума и Саарбрюккена на симпозиуме IEEE по безопасности и конфиденциальности в Сан-Франциско были удостоены награды Distinguished Paper Award.
Группа исследователей обнаружила уязвимость в Echo.ac, популярном ПО в игровой среде Minecraft PvP и Rust, который представляет собой screensharing tool и предназначен для борьбы с читерством.
Уязвимость затрагивает драйвер ядра инструмента и может быть использована злоумышленниками для получения привилегий NT Authority\SYSTEM на ПК с установленной службой Echo.
Как пояснили ресерчеры, клиентское приложение развертывает драйвер ядра с именем echo_driver.sys во вновь созданной папке в формате %TEMP%. Он используется в основном для сканирования и копирования памяти целевых процессов для последующего анализа.
Используя определенную серию кодов IOCTL, исследователи смогли управлять драйвером для чтения и записи памяти в системе. Злоупотребляя этим - считать блок ядра EPROCESS/KPROCESS в памяти, а затем выполнить кражу токена доступа с помощью драйвера, скопировав его во вновь созданную оболочку, которая немедленно повышает его привилегии.
Следуя логики исследования и не принимая во внимание прочие возможные злоупотребления, эксплойт позволяет использовать Echo для читерства, что оказывается уже более года делали многие игроки, еще до выхода публикации об ошибке.
Уязвимый драйвер был внесен в белый список Easy Anti Cheat (EAC) — одного из самых популярных коммерческих поставщиков античит-решений — что позволяет мошенникам тривиально обманывать в играх защищенных им же.
Только вот, за обнаружение и раскрытие исследователей по головке не погладили и спасибо не сказали. Вместо этого, разработчики устроили исследователям травлю, баны и DDoS.
Тем не менее, код проверки концепции уязвимости EchOh-No доступен на GitHub, а неадекватная реакция разработчиков приложения побудила других исследователей более пристально взглянуть на драйвер Echo и найти другие уязвимости.
Уязвимость затрагивает драйвер ядра инструмента и может быть использована злоумышленниками для получения привилегий NT Authority\SYSTEM на ПК с установленной службой Echo.
Как пояснили ресерчеры, клиентское приложение развертывает драйвер ядра с именем echo_driver.sys во вновь созданной папке в формате %TEMP%. Он используется в основном для сканирования и копирования памяти целевых процессов для последующего анализа.
Используя определенную серию кодов IOCTL, исследователи смогли управлять драйвером для чтения и записи памяти в системе. Злоупотребляя этим - считать блок ядра EPROCESS/KPROCESS в памяти, а затем выполнить кражу токена доступа с помощью драйвера, скопировав его во вновь созданную оболочку, которая немедленно повышает его привилегии.
Следуя логики исследования и не принимая во внимание прочие возможные злоупотребления, эксплойт позволяет использовать Echo для читерства, что оказывается уже более года делали многие игроки, еще до выхода публикации об ошибке.
Уязвимый драйвер был внесен в белый список Easy Anti Cheat (EAC) — одного из самых популярных коммерческих поставщиков античит-решений — что позволяет мошенникам тривиально обманывать в играх защищенных им же.
Только вот, за обнаружение и раскрытие исследователей по головке не погладили и спасибо не сказали. Вместо этого, разработчики устроили исследователям травлю, баны и DDoS.
Тем не менее, код проверки концепции уязвимости EchOh-No доступен на GitHub, а неадекватная реакция разработчиков приложения побудила других исследователей более пристально взглянуть на драйвер Echo и найти другие уязвимости.
ioctl.fail
EchOh-No! A critical bug in a popular Anticheat tool.
Easy arbitrary Kernel Read/Write by exploiting a gaping hole in the driver of an "Anticheat" tool.
Критические уязвимости ColdFusion активно эксплуатируются для установки веб-шеллов на уязвимые серверы.
Волну атак зафиксировали исследователи Rapid7, полагая, что злоумышленники объединяют эксплойты для двух критических уязвимостей: CVE-2023-29298 и CVE-2023-38203.
11 июля Adobe сообщила об ошибке обхода аутентификации (CVE-2023-29298) в ColdFusion, обнаруженной Rapid7, а также об RCE-баге CVE-2023-29300, которую раскрыла CrowdStrike.
Последняя CVE представляет собой проблему десериализации с критическим с рейтингом серьезности 9,8, поскольку она может использоваться неавторизованными посетителями для удаленного выполнения команд на уязвимых серверах сообщила об ошибке обхода аутентив атаках низкой сложности.
На тот момент уязвимость не эксплатировалась.
Позже 12 июля в блоге Project Discovery были опубликованы технические подробности с PoC для CVE-2023-29300, пост вскоре был удален.
Согласно Project Discovery, уязвимость небезопасной десериализацией затрагивает библиотеку WDDX.
Проблема возникла из-за небезопасного использования Java Reflection API, позволявшего вызывать определенные методы.
Rapid7 сообщила, что Adobe не сможет полностью исправить багу в WDDX, так как это нарушит все, что от нее зависит, поэтому вместо запрета десериализации данных WDDX они реализовали запрещенный список путей к классам Java, которые не могут быть десериализованы
14 июля Adobe выпустила внеплановое обновление безопасности для CVE-2023-38203. Rapid7 при этом полагают, что эта уязвимость позволяет обойти CVE-2023-29300, и исследователи нашли цепочку гаджетов, которую можно использовать для RCE.
Обновление безопасности Adobe OOB еще раз обновляет список, предотвращая доступ гаджета через com.sun.rowset. JdbcRowSetImpl, который использовался в PoC-эксплойте Project Discover.
К сожалению, несмотря на то, что эта уязвимость кажется исправленной, Rapid7 обнаружили, что исправление уязвимости CVE-2023-29298 все еще можно обойти, поэтому в ближайшее время следует ожидать еще один патч от Adobe.
Adobe порекомендовала администраторам заблокировать установки ColdFusion, чтобы повысить безопасность и обеспечить лучшую защиту от атак.
Но исследователи Project Discovery предупредили, что CVE-2023-29300 (и, вероятно, CVE-2023-38203) могут быть связаны с CVE-2023-29298 для обхода режима блокировки.
Для использования уязвимости, как правило, необходим доступ к действующей конечной точке CFC.
Однако, если доступ к конечным точкам CFC до аутентификации по умолчанию невозможен из-за режима блокировки ColdFusion, эту уязвимость можно объединить с CVE-2023-29298.
Комбинация уже позволяет удаленно выполнять код на уязвимом экземпляре ColdFusion, даже если он настроен на заблокированный режим.
Поэтому неудивительно, что Rapid7 уже начали наблюдать атаки с использованием CVE-2023-29298, и нечто, по-видимому, похожее на эксплойт из отчета Project Discovery, причем на следующий день после публикации технического обзора.
Злоумышленники используют эти эксплойты для обхода системы безопасности, установки веб-оболочек на уязвимые серверы и обеспечения удаленного доступа.
Пока патча для полного исправления CVE-2023-29298 нет, однако для эксплойта требуется вторая уязвимость, такая как CVE-2023-38203.
Поэтому установка последней версии ColdFusion станет защитой от цепочки эксплойтов.
Волну атак зафиксировали исследователи Rapid7, полагая, что злоумышленники объединяют эксплойты для двух критических уязвимостей: CVE-2023-29298 и CVE-2023-38203.
11 июля Adobe сообщила об ошибке обхода аутентификации (CVE-2023-29298) в ColdFusion, обнаруженной Rapid7, а также об RCE-баге CVE-2023-29300, которую раскрыла CrowdStrike.
Последняя CVE представляет собой проблему десериализации с критическим с рейтингом серьезности 9,8, поскольку она может использоваться неавторизованными посетителями для удаленного выполнения команд на уязвимых серверах сообщила об ошибке обхода аутентив атаках низкой сложности.
На тот момент уязвимость не эксплатировалась.
Позже 12 июля в блоге Project Discovery были опубликованы технические подробности с PoC для CVE-2023-29300, пост вскоре был удален.
Согласно Project Discovery, уязвимость небезопасной десериализацией затрагивает библиотеку WDDX.
Проблема возникла из-за небезопасного использования Java Reflection API, позволявшего вызывать определенные методы.
Rapid7 сообщила, что Adobe не сможет полностью исправить багу в WDDX, так как это нарушит все, что от нее зависит, поэтому вместо запрета десериализации данных WDDX они реализовали запрещенный список путей к классам Java, которые не могут быть десериализованы
14 июля Adobe выпустила внеплановое обновление безопасности для CVE-2023-38203. Rapid7 при этом полагают, что эта уязвимость позволяет обойти CVE-2023-29300, и исследователи нашли цепочку гаджетов, которую можно использовать для RCE.
Обновление безопасности Adobe OOB еще раз обновляет список, предотвращая доступ гаджета через com.sun.rowset. JdbcRowSetImpl, который использовался в PoC-эксплойте Project Discover.
К сожалению, несмотря на то, что эта уязвимость кажется исправленной, Rapid7 обнаружили, что исправление уязвимости CVE-2023-29298 все еще можно обойти, поэтому в ближайшее время следует ожидать еще один патч от Adobe.
Adobe порекомендовала администраторам заблокировать установки ColdFusion, чтобы повысить безопасность и обеспечить лучшую защиту от атак.
Но исследователи Project Discovery предупредили, что CVE-2023-29300 (и, вероятно, CVE-2023-38203) могут быть связаны с CVE-2023-29298 для обхода режима блокировки.
Для использования уязвимости, как правило, необходим доступ к действующей конечной точке CFC.
Однако, если доступ к конечным точкам CFC до аутентификации по умолчанию невозможен из-за режима блокировки ColdFusion, эту уязвимость можно объединить с CVE-2023-29298.
Комбинация уже позволяет удаленно выполнять код на уязвимом экземпляре ColdFusion, даже если он настроен на заблокированный режим.
Поэтому неудивительно, что Rapid7 уже начали наблюдать атаки с использованием CVE-2023-29298, и нечто, по-видимому, похожее на эксплойт из отчета Project Discovery, причем на следующий день после публикации технического обзора.
Злоумышленники используют эти эксплойты для обхода системы безопасности, установки веб-оболочек на уязвимые серверы и обеспечения удаленного доступа.
Пока патча для полного исправления CVE-2023-29298 нет, однако для эксплойта требуется вторая уязвимость, такая как CVE-2023-38203.
Поэтому установка последней версии ColdFusion станет защитой от цепочки эксплойтов.
Adobe
Adobe Security Bulletin
Security updates available for Adobe ColdFusion | APSB23-40