В ПО для обмена файлами и совместной работы с открытым исходным кодом ownCloud обнаружены критические уязвимости, которые могут привести к раскрытию конфиденциальной информации и обходу аутентификации.

OwnCloud насчитывает более чем 200 000 установок, имеет 600 корпоративных клиентах и 200 миллионов пользователей.

Самая серьезная проблема получила оценку CVSS 10/10 и затрагивает Graphapi, которая использует стороннюю библиотеку, предоставляющую URL-адрес, при доступе к которому раскрываются детали конфигурации среды PHP (phpinfo). Проблема затрагивает версии с 0.2.0 по 0.3.0.

Такая информация включает в себя все переменные среды веб-сервера, которые могут содержать пароль администратора ownCloud, учетные данные почтового сервера и лицензионный ключ. Другие конфиденциальные данные в phpinfo могут также позволить собрать дополнительную информацию о системе.

При этом простое отключение приложения Graphapi не устраняет уязвимость. Администраторам рекомендуется изменить пароль администратора ownCloud, ключ доступа Object-Store/S3 и учетные данные для почтового сервера и базы данных. 

В ownCloud также отключили функцию phpinfo в докер-контейнерах и намерены применять различные меры защиты в будущих основных выпусках для устранения подобных уязвимостей.

Вторая уязвимость с оценкой серьезности CVSS 9,8 из 10 описывается как обход аутентификации в API WebDAV через предварительно подписанные URL-адреса.

Она позволяет получить доступ, изменить или удалить любой файл без аутентификации, если имя пользователя жертвы известно и у жертвы не настроен ключ подписи (который используется по умолчанию).

Ошибка затрагивает базовые версии ownCloud с 10.6.0 по 10.13.0, ее можно устранить, запретив использование предварительно подписанных URL-адресов, если для владельца файла не настроен ключ подписи.

Третья ошибка (оценка CVSS 9/10), затрагивающая версии приложения oauth2 до 0.6.1, может привести к обходу проверки поддомена.

В приложении oauth2 злоумышленник может передать специально созданный URL-адрес перенаправления, который обходит код проверки и, таким образом, позволяет злоумышленнику перенаправлять обратные вызовы на TLD, контролируемый злоумышленником.

Рекомендуемое решение — ужесточить код проверки в приложении Oauth2. Временным решением, описанным в бюллетене, является отключение опции «разрешить поддомены».

Учитывая, что уязвимости в платформах обмена файлами постоянно подвергаются атакам, как в случае с CLOP, администраторам ownCloud крайне важно немедленно применить рекомендуемые исправления и как можно скорее выполнить обновления библиотеки.

И вновь спасение утопающих становится делом рук самих утопающих, если речь идет о Microsoft. Но к счастью, на помощь пользователям в очередной раз приходят сторонние специалисты.

На этот раз за устранение серьезной проблемы в Microsoft Access взялись разработчики Acros Security.

9 ноября 2023 года исследователи Check Point Research опубликовали детали уязвимости раскрытия информации, которая позволяет злоумышленнику получить NTLM-хэш жертвы, заставив его открыть документ Microsoft Office со встроенной базой данных Access.

Ссылку на удаленную базу данных SQL Server можно вставить в базу данных Microsoft Access с «аутентификацией Windows NT», что приведет к принудительной аутентификации и утечке NTLM-хеша пользователя каждый раз, когда таблица с такой ссылкой обновляется в Access.

Это «классическая» проблема принудительной аутентификации, отличающаяся от большинства других только тем, что соединение устанавливается не через SMB и RPC, а через порт 1433 SQL Server.

Но ссылка на базу данных может переопределить порт по умолчанию и указать произвольный порт, включая 80 или 443, которые обычно разрешены брандмауэрами для исходящих подключений.

Чтобы преодолеть ограничения, исследователи Haifei предложили макрос AutoExec, который можно использовать для автоматического открытия таблицы и принудительного обновления.

Checkpoint сообщила об этой уязвимости Microsoft в январе 2023 года и в июле все еще «не смогла получить окончательный ответ, поскольку, согласно ответу MSRC, проблема считается «низкой/отсутствующей серьезностью».

Правда позже исследователи заметили, что в какой-то момент Access начал показывать диалоговое окно безопасности при открытии файла PoC.

Но его закрытие по-прежнему приводит к выполнению AutoExec, отправляя учетные данные пользователя на сервер злоумышленника. Единственный способ заблокировать эксплойт — принудительно завершить процесс msaccess.exe.

За последние несколько лет было обнаружено множество подобных уязвимостей и Microsoft исправила некоторые из них, но при этом решила не исправлять другие: DFSCoerce, PrinterBug/SpoolSample и PetitPotam до сих пор не имеют официального патча.

Причем RemotePotato0 изначально постигла та же участь, но через 9 месяцев после публикации она была незаметно исправлена, а в случае с ShadowCoerce - через 6 месяцев.

С другой стороны, уязвимость WordPad из той же категории, приводящая к утечке NTLM-хеша пользователя при открытии документа RTF, была открыто исправлена Microsoft только в прошлом месяце.

В общем, исследователи пришли к выводу, что Microsoft не намерена исправлять проблему, что, по их мнению, было неправильным, поскольку ее влияние сопоставимо с проблемой WordPad.

Может быть, они это сделают, а может быть и нет, но 0patch решили это сделали вместо них, выпустив свой микропатч для Microsoft Office.

Крупная американская компания в сфере здравоохранения Генри Шейн уж очень полюбилась операторам BlackCat, которые просто не желают с ней расставаться и демонстрируют выделяющийся способности в плане персистентности.

Второй месяц подряд администрация Генри Шейн вынуждена рапортовать об очередной кибератаке со стороны банды BlackCat/ALPHV, которая взламывала их сеть октябре.

И это при том, что Генри Шейн — поставщик медицинских товаров и услуг из списка Fortune 500 с филиалами в 32 странах и выручкой в более 12 млрд. долл.

Впервые компания сообщила об отключении своих систем 15 октября, когда противодействовала кибератаке, повлиявшей на ее бизнес-процессы.

Спустя месяц, 22 ноября, ситуация повторилась и компания заявила о отключении приложений и платежных платформ в результате нового ransomware-инцидента.

Тем не менее, компания продолжала принимать заказы, используя альтернативные возможности, попутно проводя очередной расследование по установлению причин и локализации последствий.

Только вчера Генри Шейн удалось восстановить работоспособность своей инфраструктуры и надеется вскоре также запустить работу филиалов в Канаде и Европе.

В свою очередь, BlackCat добавила их на свой DLS и анонсировала утечку 35 терабайт конфиденциальных данных.

Хакеры отметили, что после провала переговоров в конце октября было принято решение пошифровать системы жертвы повторно в расчете убедить последних быть более сговорчивыми в плане выкупа.

Последняя иттерация вымогателей стала уже третьим инцидентом на счету Генри Шейн за недавнее время. После чего, компания, по всей видимости, вновь перейдет в режим «свободной кассы».

На самом же деле, это очередной показательный пример, успешной реализации атаки на цепочку мудаков, в данном случае - многоэтапной.

Очередная минутка познавательной географии на канале SecAtor.

Как сообщают профильные информационные ресурсы, правоохранительные органы 7 стран в рамках совместной с Европолом операции арестовали членов группы вымогателей, причастных к атакам на более чем 250 серверов крупных корпораций, что привело к убыткам в несколько сот миллионов евро.

Подозреваемых задержали в Киеве, Черкассах, Ровно и Виннице.

Если верить сообщениям прогрессивных западных инфосек журналистов и экспертов за последние пару лет - все это Россия.

Исследователи F.A.C.C.T. зафиксировал новую кампанию с использованием трояна DarkWatchman RAT, связанную с атаками на российские компании под видом почтовой рассылки от курьерской службы доставки Pony Express.

В списке замечено 30 адресатов из числа банковских учреждений, маркетплейсов, операторов связи, предприятий АПК и ТЭК, логистических и IT-компаний.

В отправляемых сообщениях адресата информируют об окончании срока бесплатного хранения товара, а прилагаемый архив с накладной содержит вредоносный DarkWatchman RAT.

Письма счастья рассылаются с домена ponyexpress[.]site, который ранее уже использовался для фишинга. Причем указанный в письме многоканальный телефон, действительно, принадлежит курьерской службе Pony Express.

Впрочем, ничего нового, ранее операторы DarkWatchman RAT распространяли малварь под видом архива с результатами фейкового тендера от Минобороны РФ, липовых повесток от военкомата, а также через поддложный сайт российского разработчика в сфере криптографии.

Буквально через несколько дней после публичного раскрытия фиксируются попытки эксплуатации критической уязвимости в ПО для обмена файлами и совместной работы ownCloud.

CVE-2023-49103 влияет на версии Graphapi 0.2.0-0.3.0, позволяя злоумышленники получать конфиденциальные переменные среды, включая учетные данные, лицензионные ключи и другую системную информацию.

Причем недостаток не может быть устранен путем отключения приложения Graphapi, также требует изменения паролей для административных учетных записей, ключей доступа и учетных данных для почтового сервера и базы данных.

ownCloud раскрыла уязвимость 21 ноября, наряду с двумя другими критическими проблемами в программном обеспечении (CVE-2023-49104 и CVE-2023-49105).

А уже в понедельник исследователи заметили первые попытки эксплуатации в дикой природе, нацеленные на CVE-2023-49103.

Shadowserver Foundation сообщает об обнаружении около 11 000 экземпляров OwnCloud, доступных в Интернете и потенциально находящихся под угрозой.

Наибольшее число из них приходится на Германию (2000), США (1 400) и Францию (1300).

Россия, Польша, Нидерланды, Италия, Великобритания, Канада и Испания с сотнями экземпляров замыкают рейтинг топ-10.

Ресерчеры Shadowserver предупреждают, что уязвимость достаточно просто использовать и призывают администраторов следовать рекомендациям и мерам по смягчению последствий, представленным ownCloud.

Google выпускает экстренное обновление для исправления шестой в этом году 0-day в Chrome, которая активно эксплуатируется в реальных атаках.

Компания сообщила о существовании рабочего эксплойта для новой CVE-2023-6345, которая связана с проблемой целочисленного переполнения в 2D-графической библиотеке Skia с открытым исходным кодом, вызывая различные последствия от DoS до RCE.

Об ошибке сообщили в прошлую пятницу исследователи из Google TAG, которые последнее время специализируются на недостатках, задействованных в spyware и деятельности АРТ.

Google не разглашает каких-либо подробностей относительно уязвимости и его обстоятельств ее применения, дожидаясь полного развертывания обновлений, доступных в версиях для Windows (119.0.6045.199/.200), а также для Mac и Linux (119.0.6045.199).

Почти 2 миллиона жителей Техаса столкнулись с проблемами в водоснабжении в результате кибератаки на обслуживающий их водоканал NTMWD.

Муниципальный водный округ Северного Техаса (NTMWD) насчитывает более 850 сотрудников и реализует водоснабжение, очистку сточных вод и утилизацию твердых отходов в 13 городах штата, включая Плано и Фриско.

Администрации удалось восстановить работу систем, заявляя об отсутствии влияния инцидента на производственный процесс.

По официальным данным, пострадала корпоративная сеть и системы связи, от каких-либо других комментариев NTMWD отказались.

Тем не менее, ответственность за атаку взяла на себя банда вымогателей Daixin Team, которая добавила NTMWD на свой DLS, заявив о краже более 33 000 файлов с информацией о клиентах.

Новому инциденту предшествовала недавняя атака на Управление водоснабжения Пенсильвании, которая привела к отключение основных систем и задействованию резервных мощностей для обеспечения бесперебойной подачи воды.

По данным силовых органов США, всего насчитывается до 5 водоснабжающих организации, которые пострадали от рук хакеров за последние несколько лет.

Столь возрастающее внимание к подобного рода критически важные инфраструктурным организациям со стороны ransomware обусловлено переоценкой киберподпольем всего потенциала подобного рода объектов.

Руководство таких структур готово будет пойти на непомерные выкупы ради минимизации негативного влияния на жизнь, безопасность и здоровье клиентов.

Кроме того, зачастую такие компании имеют ограниченный бюджет и штат для обеспечения должного уровня кибербезопасности.

В связи с чем, ранее допущенные вымогателями пробелы таргетирования будут закрыты, а влияние киберинцидентов на население будет более широким и чувствительным.

Исследователи Eurecom разработали шесть новых методов MitM-атак под общим названием BLFFS, нацеленных на безопасность Bluetooth-канала.

BLFFS представляет собой цепочку эксплойтов и задействует два ранее неизвестных недостатка (CVE-2023-24023) в стандарте Bluetooth, связанных с перехватом сеансовых ключей, ставя под угрозу конфиденциальность коммуникаций между устройствами.

Причем они не относятся к конфигурациям оборудования или ПО, а являются архитектурной проблемой, влияющей на технологию на фундаментальном уровне, затрагивая при этом миллиарды устройств.

Компрометация коммуникаций достигается за счет использования четырех проблем в процессе получения сеансового ключа (две из которых являются новыми), для принудительного создания короткого, а значит, слабого и предсказуемого сеансового ключа SKC.

Затем злоумышленник подбирает ключ, что позволяет ему расшифровать прошлые сообщения, а также расшифровать или манипулировать будущими сообщениями.

Выполнение атаки предполагает, что злоумышленник находится в зоне действия Bluetooth двух целей, обменивающихся данными, и выдает себя за одну для согласования слабого сеансового ключа с другой, предлагая минимально возможное значение энтропии ключа и используя постоянный диверсификатор сеансового ключа.

В статье авторы описывают шесть типов атак BLUFFS, охватывающих различные комбинации MitM, которые работают независимо от того, поддерживают ли жертвы Secure Connections (SC) или Legacy Secure Connections (LSC).

Исследователи также разработали и разместили на GitHub набор инструментов, демонстрирующих эффективность BLFFS и включающих скрипт Python для тестирования атак, исправления ARM, анализатор и образцы PCAP, полученные во время их тестов.

BLFFS влияет на Bluetooth 4.2, выпущенный в декабре 2014 года, и на все версии, вплоть до последней, Bluetooth 5.4, выпущенной в феврале 2023 года.

Кроме того, Eurecom представила результаты испытаний BLFFS на различных устройствах, включая смартфоны, наушники и ноутбуки с Bluetooth версий с 4.1 по 5.2 на борту, которые оказались подтверждены как минимум трем из шести атак BLuffs.

В документе также предлагаются следующие меры для уменьшения риска подобных угроз:
- активация функции деривации ключей (KDF) для устаревших безопасных соединений (LSC);
- использование устройствами общего ключа сопряжения для взаимной аутентификации диверсификаторов ключей;
- режим безопасных соединений (SC) (где это возможно);
- поддержка кэша диверсификаторов сеансовых ключей для предотвращения повторного использования.

Eurecom уведомила Bluetooth SIG (Special Interest Group), которая курирует разработку стандарта и отвечает за лицензирование технологии.

В свою очередь, Bluetooth SIG представила свои рекомендации, предлагая обеспечить соединения с уровнем ключа не ниже семи октетов, использовать режим безопасности 4, уровень 4, а также работу устройств в сопряжении в режиме «только защищенных соединений».

F.A.C.C.T. расчехлили сетевую инфраструктуру группы «двойного назначения» Comet (Shadow) ака Twelve, которые предпринимают все новые атаки на российские компании.

Преступный синдикат от имени Twelve проводит кибердиверсии и уничтожают инфраструктуру жертв по политическим мотивам, открыто возлагая на себя ответственность за успешные атаки на госорганы или производственные компании.

С другой стороны, атаки от имени Comet (ранее - Shadow) киберпреступники не афишируют, преследуя финансовую выгоду. Они сначала крадут и шифруют данные жертвы, а потом требуют выкуп за их расшифровку.

Продолжая наблюдение за группой, исследователи идентифицировали среди их сообщников участников, которые ранее "засветились" в рядах русскоговорящей преступной группы Cobalt, на счету которой, по данным Европола, кража около 1 млрд евро у 100 банков по миру.

В своем недавнем отчете Positive Technologies сообщали об инструментах Cobalt, которые также были замечены F.A.C.C.T. и фактически позволили связать политически-мотивированную Twelve с финансово-мотивированной Comet (ранее Shadow).

На вооружении Comet (ранее Shadow)/Twelve состоит целый арсенал вредоносных программ, включая DarkGate, FaceFish, SystemBC и Cobint/Cobalt Strike.

На завершающем этапе для шифрования данных используются штаммы ransomware LockBit 3 (Black) и Babuk, созданные на основе утекших в публичный доступ данных исходников.

Наряду с указанными выше вредоносными программами неизменной популярностью у атакующих пользуются утилиты Ngrok и Anydesk для сохранения доступа к IT-периметру жертв.

Еще одной из "визитных карточек" преступного синдиката стал "угон" аккаунтов Telegram с рабочих станций пользователей скомпрометированной инфраструктуры.

Конечно же, помимо общих инструментов и Shadow и Twelve используют общую сетевую инфраструктуру. Актуальный список, начиная с февраля 2023 года собран в отчете.

͏Как я ворвался в инфосек. Часть 2.

Исследователи AhnLab сообщают, что северокорейская АРТ Andariel присоединилась к эксплуатации Apache ActiveMQ через CVE-2023-46604 для развертывания бэкдоров NukeSped и TigerRat.

Являясь подгруппой Lazarus, хакеры нацелены на Южную Корею с 2008 года, а в числе их основных целей - объекты в области обороны, политики, судостроения, энергетики, логистики и телекоммуникаций, а также научные учреждения и IT-сектор.

Andariel успешно реализует целевой фишинг, атаки на водопои и цепочки поставок, а в некоторых кампаниях группа использована Log4Shell и TeamCity, нацеливалась на уязвимые серверы MS-SQL или злоупотребляла законным программным обеспечением.

Отслеживая атаки группы Andariel, AhnLab задетектировала наличие следов активности NukeSped в одной из систем. До конца подтвердить, что именно CVE-2023-46604 была использована в качестве начального вектора, так и не удалось, а анализируемая система помимо прочего была атакована HelloKitty.

Тем не менее, расследование показало, что в процессе атаки злоумышленник использовал вредоносный файл класса Java, упоминаемый в недавнем отчете Huntress, который к конечном итоге загружал дополнительную полезную нагрузку в средах Windows или Linux. Также были обнаружены журналы установки Stager CobaltStrike и Metasploit Meterpreter.

Несмотря на то, что в отчете Huntress не упоминалось какое-либо конкретное вредоносное ПО, в одном случае вредоносная полезная нагрузка была установлена с hxxp://27.102.128[.]152:8098/bit[.]ico, который соответствовал URL-адресу, с которого также был загружен TigerRat.

Обнаруженный NukeSped — это бэкдор, который может управлять зараженной системой с помощью команд, полученных от С2, который используется северокорейскими хакерами, включая Andariel, для контроля зараженных систем.

Однако использованный в атаках образец поддерживал только три команды: загрузку файлов, выполнение команд и завершение процессов, в отличие от известных задокументированных версий, имеющих широкий набор команд.

Как и в других типичных типах NukeSped, все используемые адреса API и строки шифруются, затем расшифровываются и используются во время выполнения. Метод шифрования представляет собой 1-байтовый алгоритм XOR со значением ключа 0xA1. Помимо 0xA1, в прошлых случаях атак также использовались значения ключей 0x97 и 0xAB.

Все технические подробности и индикаторы компрометации, замеченные в ходе анализа активности АРТ - представлены в отчете исследователей, а результаты их работы показывают, что хотя с момента раскрытия информации о CVE-2023-46604 прошло не так много времени, неисправленные системы в столь короткйи срок становятся объектами атак, в том числе инспирируемых АРТ.

Исследователи BI.ZONE Threat Intelligence обнаружили группировку, отслеживаемую как Rare Wolf, которая активна с 2019 года и в последнее время нацелена на российские организации с помощью поддельных накладных «1С:Предприятие».

Злоумышленники рассылают фишинговые письма с архивами, к которых якобы прилагаются накладные «1С:Предприятие» и электронные ключи к ним. Такая подача отвлекала внимание жертв от расширения файла — *.scr.

В архиве находился исполняемый файл-установщик Smart Install Maker.

Файл загружал на скомпрометированную систему набор инструментов, с помощью которых злоумышленники крали документы Microsoft Word, производили угон аккаунтов Telegram, а также извлекали все полезные креды из браузеров.

Отправка собранных данных осуществлялась через подконтрольную злоумышленникам электронную почту посредством утилиты Blat - инструмента, позволяющего отправлять электронные письма посредством командной строки.

После отправки архивы с собранными данными и утилита cURL удалялись.

Для обеспечения персистентности злоумышленники также инсталлируют легитимную утилиту мониторинга пользователей - Mipko Employee Monitor.

С ее помощью атакующие вели перехват всей активности пользователя вплоть до фиксации нажатия клавиш и логов буфера обмена, включая скриншоты экрана и снимки с камер.

Таким образом, успеху Rare Wolf сопутствует использование нестандартных форматов вложений, снижающих бдительность потенциальных жертв и увеличивающих вероятность компрометации, а также легитимных инструментов и ПО двойного назначения, которые позволяют им слиться с IT‑инфраструктурой и обойти многие средства защиты.

Японское агентство аэрокосмических исследований (JAXA) заявило о кибератаке, которая произошла еще летом.

Полиции удалось узнать о вторжении лишь осенью, после чего оперативно уведомила JAXA, которая тогда подтвердила незасанкционированный доступ к системам, о чем впервые сообщило издание The Yomiuri Shimbun.

Предварительная оценка возможного нарушения, по данным чиновников, указывала на «высокую вероятность» кибератаки и привело к официальному расследованию.

Сам же инцидент у руководства страны вызывает серьезные опасения, ведь пострадали центральные компьютерные системы JAXA.

Главный секретарь кабинета министров Японии Хирокадзу Мацуно сообщил на пресс-конференции, что злоумышленники получили доступ к серверу Active Directory (AD) агентства.

В JAXA обрабатывалась и хранилась весьма конфиденциальная информация по космической программе Японии, унаследованная в том числе от Института космоса и астронавтики, Национальной аэрокосмической лаборатории и Национального агентства космического развития Японии после их поглощения.

Кроме того, с 2012 года мандат JAXA был расширен и охватывает военно-космическую деятельность, включая разработку систем раннего предупреждения о ракетных ударах.

JAXA до сих пор работает с экспертами и силовыми органами в рамках расследования, чтобы определить степень компрометации безопасности.

Пока никакой утечки данных, связанной со взломом JAXA, подтверждено не было.

Также неизвестно, кто стоял за нарушением, но с учетом предыдущих инцидентов в 2016-2017 гг., связанных с атаками китайской Tick (BRONZE BUTLER, STALKER PANDA) на исследовательский и военный сектора Японии, виноватых уже назначили.

Но будем посмотреть.

Исследователи Arctic Wolf рассказали о первом задокументированном случае использования вымогателя CACTUS в кампании, нацеленной на эксплуатацию уязвимостей в Qlik Sense (облачная платформа аналитики и бизнес-интеллекта).

Как считают эксперты, атаки, вероятно, используют три недостатка, обнаруженные за последний квартал:
- CVE-2023-41265 (CVSS: 9.9) позволяет удаленному злоумышленнику повышать привилегии и отправлять запросы, которые будут выполняться сервером;
- CVE-2023-41266 (CVSS: 6.5) реализует возможность отправлять HTTP-запросы к неавторизованным конечным точкам;
- CVE-2023-48365 (CVSS: 9.9) связана с неправильной проверки HTTP-заголовков и приводит к повышению привилегий для удаленного злоумышленника.

При этом CVE-2023-48365 является результатом неполного патча для CVE-2023-41265, который вместе с CVE-2023-41266 был раскрыт Praetorian в конце августа 2023 года. Исправление CVE-2023-48365 было выпущено 20 ноября.

В ходе атак злоумышленники злоупотребляют службой планировщика Qlik Sense для запуска процессов, предназначенных для загрузки дополнительных инструментов, обеспечивающих контроль устойчивости и настройку удаленного управления.

Среди них ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk и Plink При этом удаляли ПО Sophos, меняли пароли учетной записи администратора и создавали RDP-туннель через Plink.

Ну, и в кульминации атаки осуществляется развертывание вымогательского ПО, где злоумышленники также используют rclone для извлечения данных.

Apple выпустила экстренные обновления для исправления двух 0-day, которые активно используются для совершения атак на владельцев устройств iPhone, iPad и Mac.

В числе уязвимых устройств Apple оказались (включая и новее): iPhone XS, iPad Pro 12,9 дюйма 2-го поколения, 10,5 дюйма, 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 6-го поколения, iPad mini 5-го поколения, а также компьютеры под управлением macOS Monterey, Ventura и Sonoma.

Проблемы затрагивают движок браузера WebKit (CVE-2023-42916 и CVE-2023-42917) и позволяют злоумышленникам получить доступ к конфиденциальной информации посредством чтения за пределами границ и реализовать RCE через повреждение памяти через вредоносные веб-страницы.

Компания устранила недостатки безопасности для устройств под управлением iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 и Safari 17.1.2 за счет улучшенной проверки и блокировки ввода.

Новые 0-day были найдены и раскрыты благодаря Клеману Лесиню из Google TAG, что наводит на мысли об их задействовании в spyware, если брать во внимание все предыдущие наработки исследователя.

Но, как обычно, поставщик не разглашает этой информации.

Тем временем, CVE-2023-42916 и CVE-2023-42917 - это уже 19-я и 20-я уязвимости нулевого дня, исправленные Apple в этом году, при этом большая их часть была замечена в таргетированных атаках и кампаниях кибершпионажа.

Множественные ошибки под общим названием LogoFAIL в коде UEFI от различных поставщиков можно использовать для перехвата процесса загрузки и доставки буткитов

Проблемы затрагивают библиотеки обработки изображений, используемые для отображения логотипов в ходе загрузки, оказывая таким образом широкое влияние на архитектуры x86 и ARM.

По мнению исследователей Binarly, такой брендинг создал риски безопасности, позволяя выполнять вредоносные полезные нагрузки путем внедрения файлов изображений в системный раздел EFI (ESP).

Использование парсеров изображений для атак на UEFI демонстрировалось еще в 2009 году, когда исследователи Рафал Войчук и Александр Терешкин проэксрлуатировали ошибку парсера изображений BMP для заражения BIOS и обеспечения устойчивости вредоносного ПО.

Обнаружение же уязвимостей LogoFAIL началось с небольшого исследовательского проекта по направлениям атак со стороны компонентов анализа изображений в прошивке UEFI.

Исследователи обнаружили, что злоумышленник может сохранить вредоносное изображение или логотип в системном разделе EFI (ESP), а также в неподписанных разделах обновления прошивки.

Установка вредоносного ПО таким способом обеспечивает его практически незамеченное существование в системе, как это было показано в прошлых атаках с использованием зараженных компонентов UEFI.

LogoFAIL не влияет на целостность среды выполнения, поскольку нет необходимости изменять загрузчик или прошивку (как при BootHole или BlackLotus).

Binarly также успешно разработали и продемонстрировали в частном порядке PoC, который после перегрузки устройства привел к созданию произвольного файла в системе.

Поскольку LogoFAIL не связаны с конкретными микроархитектурами, уязвимости затрагивают чипы различных производителей, которые используют прошивку UEFI в устройствах потребительского и корпоративного уровня.

Binarly полагает, что потенциально уязвимы сотни устройств Intel, Acer, Lenovo и других поставщиков, а также три основных независимых поставщика спецкода прошивки UEFI: AMI, Insyde и Phoenix. Однако точные масштабы влияния LogoFAIL еще не определены.

Полные технические подробности LogoFAIL будут представлены 6 декабря на конференции по безопасности Black Hat Europe в Лондоне, пока же, согласно презентации LogoFAIL, детали раскрыты для Intel, Acer и Lenovo, а также трех основных поставщиков UEFI.

Zyxel сообщает об исправлении множества уязвимостей, в том числе трех критических, которые позволяют злоумышленнику без аутентификации выполнять команды ОС на сетевых устройствах NAS326 под управлением версии 5.21(AAZF.14)C0 и NAS542 с версией 5.21(ABAG.11)C0 (и более ранних в обоих случаях).

Zyxel NAS реализуют централизованное хранение больших объемов данных в сети и обеспечивают резервное копирование, потоковую передачу мультимедиа, удаленную и совместную работу. Поэтому типичными их пользователями являются представители малого и среднего бизнеса, а также специалисты в сфере IT, видео и дизайна.

Среди исправленных следующие:

- CVE-2023-4473 (оценка 9,8): ошибка внедрения команд на веб-сервере устройств Zyxel NAS, позволяющая неаутентифицированным злоумышленникам выполнять команды ОС через созданный URL-адрес.

- CVE-2023-4474 (оценка 9,8): уязвимость в сервере WSGI устройств Zyxel NAS, позволяющая неаутентифицированным злоумышленникам выполнять команды ОС с помощью созданного URL-адреса.

- CVE-2023-35137 (рейтинг 7,5): уязвимость неправильной аутентификации в модуле аутентификации, позволяющая неаутентифицированным злоумышленникам получить системную информацию через созданный URL-адрес.

- CVE-2023-35138 (оценка 9,8): ошибка внедрения команд в функции show_zysync_server_contents, позволяющая неаутентифицированным злоумышленникам выполнять команды ОС через созданный HTTP-запрос POST.

- CVE-2023-37927 (оценка 8,8): уязвимость в программе CGI, позволяющая злоумышленникам, прошедшим проверку подлинности, выполнять команды ОС с помощью созданного URL-адреса.

- CVE-2023-37928 (оценка 8,8): внедрение команд после аутентификации на WSGI-сервер устройств Zyxel NAS, позволяющее злоумышленникам, прошедшим проверку подлинности, выполнять команды ОС через созданный URL-адрес.

Злоумышленники могут использовать указанные выше уязвимости для получения несанкционированного доступа, выполнения команд ОС, получения конфиденциальной системной информации или получения полного контроля над устройствами Zyxel NAS.

Пользователям Zyxel NAS настоятельно рекомендуется накатить обновление для устранения вышеуказанных проблем, которые, по заявлениям поставщика, не имеют обходных путей или мер по смягчению.

Но есть другая альтернатива - ransomware, владельцы QNAP не дадут соврать.

͏А в Канаде на скандалы со spyware просто забили и, вероятно, даже не слышали про них, как и про собственную федеральную директиву Секретариата Совета казначейства Канады (TBS), требующую проведения оценки воздействия технологий и сервисов на конфиденциальность (PIA).

Согласно документам, полученным Radio-Canada, тринадцать канадских правительственных агентств и федеральных департаментов имеют доступ и используют в соей работе шпионское ПО, а также инструменты для взлома.

Причем помимо силовиков и спецслужб, шпионский арсенал имеют также клерки из структур по охране окружающей среды, надзору за телекоммуникациями и природопользованием, и др.

В число поставщиков вошли такие известные на рынке spyware-техноолгий компании, как Cellebrite, Magnet Forensics и Grayshift, чьи решения позоляют восстанавливать и анализировать данные на компьютерах, планшетах и мобильных телефонах, а также облачных сервисов, в том числе зашифрованную и защищенную паролем информацию.

Д - демократия, без регистрации и смс.