Если шутки про DDoS через зубные щетки остались шутками, то всерьез стоит обратить внимание на исследование Лаборатории Касперского в отношении уязвимостей умных игрушек, которые превращают девайс в чат-рулетку с детьми по всему миру.
Любезно предоставив обучающего робота на опыты исследователям, нойнейм-производитель был очень удивлен, когда выяснилось, что дефекты в безопасности могли быть использованы для доступа к конфиденциальным данным и общения с детьми без ведома их родителей.
Робот предназначен для обучения и развлечения детей, представляя собой интерактивное устройство на базе Android с большим экраном, микрофоном, видеокамерой, а также возможностью передвижения.
Функционал включает игровые и обучающие приложения для детей, голосовой ассистент, подключение к Wi-Fi и связь с родительским приложением для смартфона.
Исследование выявило ряд уязвимостей в API игрушки, связанных с возможностью получения действительного токена доступа, передачей HTTP-трафика в открытом виде, раскрытием ключей доступа к API внешних используемых сервисов (например, QuickBlocks, Azure, Linode), перехватом токена Agora для видеосвязи.
Причем используемый в запросах к API короткий предсказуемый ID позволял осуществлять полный перебор всего множества уникальных идентификаторов с привязкой к IP-адресам, данным владельцев и ребенка.
Особо изощренный злоумышленник в случае успешной атаки на сервер обновлений имел возможность подмены файла-архива в облаке на вредоносный, что обеспечит ему возможность исполнять произвольные команды на всех роботах с привилегиями суперпользователя.
А не особо продвинутый также был способен поколдовать с checkAuthentication и путем перебора перепривязать произвольное устройство к своему аккаунту.
В совокупности весь набор обнаруженных проблем позволял злоумышленнику выкрасть чувствительную информацию (данные ребенка, город проживания, телефон и электронный адрес родителя), а также получить несанкционированный доступ к роботу со всеми вытекающими последствиями.
А это, в свою очередь, может привести к кибербуллингу, социальной инженерии и другим манипуляциям над ребенком вне ведома родителей.
Дабы избежать таких рисков, исследователи рекомендуют внимательно подходить к выбору умных игрушек, а также ответственно относится к обновлениям ПО.
Любезно предоставив обучающего робота на опыты исследователям, нойнейм-производитель был очень удивлен, когда выяснилось, что дефекты в безопасности могли быть использованы для доступа к конфиденциальным данным и общения с детьми без ведома их родителей.
Робот предназначен для обучения и развлечения детей, представляя собой интерактивное устройство на базе Android с большим экраном, микрофоном, видеокамерой, а также возможностью передвижения.
Функционал включает игровые и обучающие приложения для детей, голосовой ассистент, подключение к Wi-Fi и связь с родительским приложением для смартфона.
Исследование выявило ряд уязвимостей в API игрушки, связанных с возможностью получения действительного токена доступа, передачей HTTP-трафика в открытом виде, раскрытием ключей доступа к API внешних используемых сервисов (например, QuickBlocks, Azure, Linode), перехватом токена Agora для видеосвязи.
Причем используемый в запросах к API короткий предсказуемый ID позволял осуществлять полный перебор всего множества уникальных идентификаторов с привязкой к IP-адресам, данным владельцев и ребенка.
Особо изощренный злоумышленник в случае успешной атаки на сервер обновлений имел возможность подмены файла-архива в облаке на вредоносный, что обеспечит ему возможность исполнять произвольные команды на всех роботах с привилегиями суперпользователя.
А не особо продвинутый также был способен поколдовать с checkAuthentication и путем перебора перепривязать произвольное устройство к своему аккаунту.
В совокупности весь набор обнаруженных проблем позволял злоумышленнику выкрасть чувствительную информацию (данные ребенка, город проживания, телефон и электронный адрес родителя), а также получить несанкционированный доступ к роботу со всеми вытекающими последствиями.
А это, в свою очередь, может привести к кибербуллингу, социальной инженерии и другим манипуляциям над ребенком вне ведома родителей.
Дабы избежать таких рисков, исследователи рекомендуют внимательно подходить к выбору умных игрушек, а также ответственно относится к обновлениям ПО.
Securelist
Уязвимости детской обучающей игрушки-робота
Исследование безопасности детской обучающей игрушки-робота выявило уязвимости, позволяющие злоумышленнику перехватывать управление устройством и общаться с ребенком по видеосвязи.
Открыт новый набор на практические курсы по информационной безопасности INSECA.
Каждый модуль обучения содержит боевые задачи, с которыми ИБ-специалисты сталкиваются ежедневно.
🔹Threat Hunting. Практический курс по поиску киберугроз. Получите навыки выявления аномалий в инфраструктуре с помощью формулировки гипотез и их дальнейшей проверки. Начните бесплатно.
🔹Digital Forensics & Incident Response. Практический курс по цифровой криминалистике и реагированию на инциденты. Получите навыки, необходимые для расследования, анализа и реагирования на инциденты кибербезопасности. Начните бесплатно.
🔹Аналитик SOC. Практический курс по мониторингу и реагированию на инциденты. Получите навыки выявления киберугроз и оперативного реагирования на ИБ-инциденты с помощью инструментов класса SIEM и IRP\SOAR.
Каждый модуль обучения содержит боевые задачи, с которыми ИБ-специалисты сталкиваются ежедневно.
🔹Threat Hunting. Практический курс по поиску киберугроз. Получите навыки выявления аномалий в инфраструктуре с помощью формулировки гипотез и их дальнейшей проверки. Начните бесплатно.
🔹Digital Forensics & Incident Response. Практический курс по цифровой криминалистике и реагированию на инциденты. Получите навыки, необходимые для расследования, анализа и реагирования на инциденты кибербезопасности. Начните бесплатно.
🔹Аналитик SOC. Практический курс по мониторингу и реагированию на инциденты. Получите навыки выявления киберугроз и оперативного реагирования на ИБ-инциденты с помощью инструментов класса SIEM и IRP\SOAR.
Глубоко полюбившиеся бандам ransomware решения американской Progress Software вновь тренде угроз.
Обошлось без новой MOVEit MFT 0-day, но критичность не менее серьезна.
Новая проблема затрагивает OpenEdge Authentication Gateway и AdminServer до версий 11.7.19, 12.2.14, 12.8.1 и и оценивается на все 10.0 баллов CVSS.
CVE-2023-1403 представляет собой обход аутентификации в связи с неправильной определенных типов имен пользователей и паролей, позволяя злоумышленникам обходить аутентификацию и получать доступ к затронутым системам с произвольными привилегиями.
Ошибка исправлена с выпуском обновлений OpenEdge LTS 11.7.19, 12.2.14 и 12.8.1. Следует отметить, что представленные поставщиком меры по смягчению последствий имеют краткосрочный характер.
Как заверяет Progress Software, никаких упоминаний об эксплуатации не получено.
Во всяком случае пока. Но будем посмотреть.
Обошлось без новой MOVEit MFT 0-day, но критичность не менее серьезна.
Новая проблема затрагивает OpenEdge Authentication Gateway и AdminServer до версий 11.7.19, 12.2.14, 12.8.1 и и оценивается на все 10.0 баллов CVSS.
CVE-2023-1403 представляет собой обход аутентификации в связи с неправильной определенных типов имен пользователей и паролей, позволяя злоумышленникам обходить аутентификацию и получать доступ к затронутым системам с произвольными привилегиями.
Ошибка исправлена с выпуском обновлений OpenEdge LTS 11.7.19, 12.2.14 и 12.8.1. Следует отметить, что представленные поставщиком меры по смягчению последствий имеют краткосрочный характер.
Как заверяет Progress Software, никаких упоминаний об эксплуатации не получено.
Во всяком случае пока. Но будем посмотреть.
Lazarus Group использовала CVE-2024-21338 в драйвере AppLocker в качестве 0-day для повышения привилегий в атаках, задействуя руткит FudModule.
Раскрыть коварных северокорейцев смогли исследователи Avast, которые в августе 2023 года проинформировали Microsoft об обнаружении CVE-2024-21338 и представили убедительный PoC.
Недостаток был закрыт Microsoft в рамках PatchTuesday в феврале 2024 года. Однако Microsoft при этом умолчала об использовании уязвимости как 0-day.
Уязвимость затрагивает драйвер appid.sys, связанный с функцией безопасности AppLocker от Microsoft, который обеспечивает возможность внесения приложений в белый список.
Нацелившись на уязвимость в драйвере через диспетчер управления вводом и выводом (IOCTL), которая присутствует во многих системах, вместо использования BYOVD, злоумышленник добился более высокой степени скрытности.
Используя такую уязвимость, злоумышленник в некотором смысле реализует Living off the Land без необходимости загружать какие-либо пользовательские драйверы, что делает атаку ядра фактически безфайловой, позволяя обходить большинство защитных решений.
Используя CVE-2024-21338, Lazarus смогли повысить свои привилегии на скомпрометированной системе и установить примитив чтения/записи ядра.
А это, в свою очередь, позволило им выполнить прямые манипуляции с объектами ядра (DKOM) в обновленной версии руткита FudModule, которая появилась в 2022 году и была задокументирована ESET.
Ранее руткит использовал драйвер Dell для атак BYOVD.
Новый же вариант руткита включает в себя несколько улучшений, прежде всего в части скрытности и функциональности, включая новые и обновленные методы уклонения от обнаружения и отключения средств защиты, таких как AhnLab V3 Endpoint, Windows Defender, CrowdStrike Falcon и HitmanPro.
При этом наблюдаемая кампания Lazarus помимо 0-day также отметилась применением нового RAT, о котором исследователи намерены подробно рассказать позже на конференции BlackHat Asia в апреле.
Avast отмечают, что эта новая тактика Lazarus знаменует собой значительную эволюцию возможностей доступа к ядру, позволяя проводить более скрытые атаки и обеспечивать присутствие в скомпрометированных системах в течение более длительных периодов времени.
Правила YARA, связанные с последней версией руткита FudModule, можно найти здесь.
Раскрыть коварных северокорейцев смогли исследователи Avast, которые в августе 2023 года проинформировали Microsoft об обнаружении CVE-2024-21338 и представили убедительный PoC.
Недостаток был закрыт Microsoft в рамках PatchTuesday в феврале 2024 года. Однако Microsoft при этом умолчала об использовании уязвимости как 0-day.
Уязвимость затрагивает драйвер appid.sys, связанный с функцией безопасности AppLocker от Microsoft, который обеспечивает возможность внесения приложений в белый список.
Нацелившись на уязвимость в драйвере через диспетчер управления вводом и выводом (IOCTL), которая присутствует во многих системах, вместо использования BYOVD, злоумышленник добился более высокой степени скрытности.
Используя такую уязвимость, злоумышленник в некотором смысле реализует Living off the Land без необходимости загружать какие-либо пользовательские драйверы, что делает атаку ядра фактически безфайловой, позволяя обходить большинство защитных решений.
Используя CVE-2024-21338, Lazarus смогли повысить свои привилегии на скомпрометированной системе и установить примитив чтения/записи ядра.
А это, в свою очередь, позволило им выполнить прямые манипуляции с объектами ядра (DKOM) в обновленной версии руткита FudModule, которая появилась в 2022 году и была задокументирована ESET.
Ранее руткит использовал драйвер Dell для атак BYOVD.
Новый же вариант руткита включает в себя несколько улучшений, прежде всего в части скрытности и функциональности, включая новые и обновленные методы уклонения от обнаружения и отключения средств защиты, таких как AhnLab V3 Endpoint, Windows Defender, CrowdStrike Falcon и HitmanPro.
При этом наблюдаемая кампания Lazarus помимо 0-day также отметилась применением нового RAT, о котором исследователи намерены подробно рассказать позже на конференции BlackHat Asia в апреле.
Avast отмечают, что эта новая тактика Lazarus знаменует собой значительную эволюцию возможностей доступа к ядру, позволяя проводить более скрытые атаки и обеспечивать присутствие в скомпрометированных системах в течение более длительных периодов времени.
Правила YARA, связанные с последней версией руткита FudModule, можно найти здесь.
Gendigital
Lazarus and the FudModule Rootkit: Beyond BYOVD with an Admin-to-Kernel Zero-Day
Zero-Day Exploit Powers Advanced Rootkit
Сегодня день не задался у многих: у Microsoft Office с их 365 (на самом деле помним, как было и 364), затем пользователей Xiaomi накрыла волна «окирпичивания» их мобильных девайсов после обновления Hyper OS, а владельцы 3D-принтеров Anycubic по всему миру получили месседж от хакера.
Послание отправил некий хакер-альтруист, которые обнаружил уязвимость, позволяющую потенциальным злоумышленникам контролировать печать на принтерах через API службы MQTT.
И дабы не тратить время на объяснения и оповещение разработчиков хакер пошел с козырей и продемонстрировал атаку на устройства сам, в результате которой смог загрузить файл с предупреждением о найденной проблеме.
В результате на девайсы был доставлен файл с названием hacked_machine_readme.gcode, содержащий месседж о критической ошибке и дружеский совет пользователям отключить свои принтеры от интернета до тех пор, пока компания не устранит проблему.
Сообщалось, что под угрозой находятся более 290 тыс. принтеров по всему миру, но позже на форуме Reddit хакер уточнил, что фактическое количество затронутых устройств может быть значительно меньше, поскольку одно и то же предупреждение могло быть отправлено на один и тот же принтер несколько раз.
После появления сообщений о взломе временно перестало работать приложение Anycubic, которое выдавало ошибку "сеть недоступна".
Вероятно, это было вызвано с действиями компании по отключению сетевых функций в целях безопасности.
Так уж получилось, что о насущной проблеме хакер уведомил клиентов сам, при этом он все же связался с Anycubic и транслировал о проблеме, что дает надежду на скорое ее решение.
Anycubic, в свою очередь, еще не предоставила никаких официальных комментариев по поводу инцидента.
Послание отправил некий хакер-альтруист, которые обнаружил уязвимость, позволяющую потенциальным злоумышленникам контролировать печать на принтерах через API службы MQTT.
И дабы не тратить время на объяснения и оповещение разработчиков хакер пошел с козырей и продемонстрировал атаку на устройства сам, в результате которой смог загрузить файл с предупреждением о найденной проблеме.
В результате на девайсы был доставлен файл с названием hacked_machine_readme.gcode, содержащий месседж о критической ошибке и дружеский совет пользователям отключить свои принтеры от интернета до тех пор, пока компания не устранит проблему.
Сообщалось, что под угрозой находятся более 290 тыс. принтеров по всему миру, но позже на форуме Reddit хакер уточнил, что фактическое количество затронутых устройств может быть значительно меньше, поскольку одно и то же предупреждение могло быть отправлено на один и тот же принтер несколько раз.
После появления сообщений о взломе временно перестало работать приложение Anycubic, которое выдавало ошибку "сеть недоступна".
Вероятно, это было вызвано с действиями компании по отключению сетевых функций в целях безопасности.
Так уж получилось, что о насущной проблеме хакер уведомил клиентов сам, при этом он все же связался с Anycubic и транслировал о проблеме, что дает надежду на скорое ее решение.
Anycubic, в свою очередь, еще не предоставила никаких официальных комментариев по поводу инцидента.
TechCrunch
Anycubic users say their 3D printers were hacked to warn of a security flaw | TechCrunch
Anycubic customers are reporting that their 3D printers have been hacked and now display a message warning of an alleged security flaw in the company's systems.
Forwarded from Social Engineering
• Из названия понятно, какую тему мы сегодня затронем. Автор данной статьи собрал материал с других источников и проверил методы на практике, придав им актуальный статус и структурированный вид:
- Введение;
- Краткие сведения об 1C:Предприятие;
- Сценарии компьютерных атак на 1С;
- Поиск кластера 1C;
- Получение первоначального доступа;
- Эксплуатация отсутствия пароля;
- Подбор учетных записей;
- Анализ резервных копий.
• Другие полезные ссылки по теме:
- 1C-Exploit-Kit;
- Взломать за 60 секунд!
- 1С глазами пентестера;
- Формат файлов выгрузки DT;
- 1С глазами злоумышленника;
- Взломать сервер 1С за 15 минут;
- Консоль кода для управляемых форм;
- Взламываем Windows Server через 1С;
- Технология восстановления пароля 1С v8;
- Найти и уничтожить Популярные уязвимости в проектах 1С;
- НеБезопасный прикладной программный интерфейс сервера;
- Практический опыт построения защищенного контура для 1С-приложений;
- История одного взлома 1С или проверьте вашу систему на безопасность видео;
- Мастер класс по инструментам кластера 1С для повышения уровня защищённости системы;
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
В общем, если Microsoft Office 365 и Xiaomi на Hyper OS как-то пережили 29 февраля, то вот заправочные станции Allied Petroleum, Gull, Z и Waitomo в Новой Зеландии не смогли.
Как сообщает NZ Herald, возникли общенациональные проблемы с платежами по картам из-за сбоя в программном обеспечении, который, по словам администрации АЗС, был вызван тем, что их системы попросту не были запрограммированы на работу с датой 29 февраля.
Благо спустя сутки 1 марта сети АЗС снова заработали штатно после массовых отключений насосов, виной которым стала ошибка «високосного» кода в ПО.
Речь идет о платежных решениях Invenco, которые реализуют сервисы оплаты топлива. Разработчики сообщают, что совместно с Worldline ведут работы по исправлению софта, который был внедрен год назад.
Как сообщает NZ Herald, возникли общенациональные проблемы с платежами по картам из-за сбоя в программном обеспечении, который, по словам администрации АЗС, был вызван тем, что их системы попросту не были запрограммированы на работу с датой 29 февраля.
Благо спустя сутки 1 марта сети АЗС снова заработали штатно после массовых отключений насосов, виной которым стала ошибка «високосного» кода в ПО.
Речь идет о платежных решениях Invenco, которые реализуют сервисы оплаты топлива. Разработчики сообщают, что совместно с Worldline ведут работы по исправлению софта, который был внедрен год назад.
NZ Herald
Petrol pumps back online after day-long outage blamed on leap year glitch
The curse of February 29 hits Waitomo, Gull and Allied pumps along with BP truckstops.
Как мы и полагали, все инсинуации с инфраструктурой вымогателей - лишь небольшой хук, который вряд ли приведет к нокдауну RaaS, с чем также солидарны исследователи Wired.
Вслед за подбитыми LockBit и уже замеченными Bl00dy и Black Basta к эксплуатации ConnectWise ScreenConnect приступили операторы банды вымогателей ALPHV/BlackCat.
Активность заметили исследователи Huntress в ходе реагирования на инцидент у одного из своих клиентов, экземпляр ScreenConnect которого был скомпрометирован 22 февраля 2024 года менее чем за три минуты для доставки исполняемого файла BlackCat ransomware.
Как и в случае с LockBit разработчики ALPHV успешно восстановились после атак спецслужб и вовсю используют новую своего штамма программы-вымогателя.
Новая версия, отслеживаемая как версия 2.0 обновление Sphynx, была замечена в недавних атаках в этом месяце. Программа способна шифровать файлы в системах Windows, Linux и VMware.
Некоторые из новых атак AlphV затронули учреждения здравоохранения в США, которые группировка ранее обещала не атаковать.
Но табу, по всей видимости, были сняты после посягательств со стороны силовиков и теперь RaaS станет только вредоноснее.
Будем посмотреть.
Вслед за подбитыми LockBit и уже замеченными Bl00dy и Black Basta к эксплуатации ConnectWise ScreenConnect приступили операторы банды вымогателей ALPHV/BlackCat.
Активность заметили исследователи Huntress в ходе реагирования на инцидент у одного из своих клиентов, экземпляр ScreenConnect которого был скомпрометирован 22 февраля 2024 года менее чем за три минуты для доставки исполняемого файла BlackCat ransomware.
Как и в случае с LockBit разработчики ALPHV успешно восстановились после атак спецслужб и вовсю используют новую своего штамма программы-вымогателя.
Новая версия, отслеживаемая как версия 2.0 обновление Sphynx, была замечена в недавних атаках в этом месяце. Программа способна шифровать файлы в системах Windows, Linux и VMware.
Некоторые из новых атак AlphV затронули учреждения здравоохранения в США, которые группировка ранее обещала не атаковать.
Но табу, по всей видимости, были сняты после посягательств со стороны силовиков и теперь RaaS станет только вредоноснее.
Будем посмотреть.
WIRED
Ransomware Groups Are Bouncing Back Faster From Law Enforcement Busts
Two months ago, the FBI “disrupted” the BlackCat ransomware group. They're already back—and their latest attack is causing delays at pharmacies across the US.
Подкатили подробности серьезных уязвимостей, затрагивающих MeshCentral, Cisco и Zyxel, некоторые из которых еще не обзавелись ни CVE, ни исправлениями.
Исследователи Praetorian обнаружили уязвимость CVE-2024-26135 с CVSS 8,3 в MeshCentral, популярном решении для удаленного мониторинга и управления конечными точками.
Уязвимость межсайтового перехвата веб-сокетов CSWSH затрагивает компонент control.ashx и влияет на все версии до 1.1.20 включительно, исправлена в 1.1.21. Сложность атаки высокая, но доступен PoC.
Уязвимость можно использовать, если злоумышленнику удается убедить жертву щелкнуть вредоносную ссылку на подконтрольный сайт, что позволяет создать межсайтовое соединение через веб-сокет, используя код JavaScript на стороне клиента, чтобы подключиться к control.ashx в качестве пользователя-жертвы.
Cisco выпустила полугодовой пакет рекомендаций по безопасности FXOS и NX-OS, в том числе с исправлениями двух уязвимостей высокой степени серьезности.
Первая из серьезных ошибок, CVE-2024-20321, позволяет неаутентифицированному удаленному злоумышленнику вызвать состояние DoS, посылая большие объемы трафика.
Она затрагивает коммутаторы серии Nexus 3600 и линейные карты Nexus 9500 серии R.
Вторая серьезная CVE-2024-20267 позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, инкапсулировать созданный пакет IPv6 в кадр MPLS и отправить его на уязвимое устройство, чтобы вызвать DoS-условие.
Проблема затрагивает коммутаторы серий Nexus 3000, Nexus 5500, Nexus 5600, Nexus 6000, Nexus 7000 и Nexus 9000, на которых настроен MPLS.
Исследователи Eclypsium предупреждают о множестве уязвимостей в линейке межсетевых экранов и VPN-устройств Zyxel USG с прошивкой версии 5.36 и ниже.
Злоумышленник, не прошедший проверку подлинности, может воспользоваться ими для полной компрометации необновленных устройств.
Несмотря на уведомления о уязвимостях, Zyxel отказалась давать рекомендации, поскольку уязвимости отсутствуют в последней версии прошивки.
В связи с тем, что уязвимостям не присвоены CVE, пользователи могут не знать об использовании уязвимых версий, в связи с чем следует обновить прошивку.
Исследователи Praetorian обнаружили уязвимость CVE-2024-26135 с CVSS 8,3 в MeshCentral, популярном решении для удаленного мониторинга и управления конечными точками.
Уязвимость межсайтового перехвата веб-сокетов CSWSH затрагивает компонент control.ashx и влияет на все версии до 1.1.20 включительно, исправлена в 1.1.21. Сложность атаки высокая, но доступен PoC.
Уязвимость можно использовать, если злоумышленнику удается убедить жертву щелкнуть вредоносную ссылку на подконтрольный сайт, что позволяет создать межсайтовое соединение через веб-сокет, используя код JavaScript на стороне клиента, чтобы подключиться к control.ashx в качестве пользователя-жертвы.
Cisco выпустила полугодовой пакет рекомендаций по безопасности FXOS и NX-OS, в том числе с исправлениями двух уязвимостей высокой степени серьезности.
Первая из серьезных ошибок, CVE-2024-20321, позволяет неаутентифицированному удаленному злоумышленнику вызвать состояние DoS, посылая большие объемы трафика.
Она затрагивает коммутаторы серии Nexus 3600 и линейные карты Nexus 9500 серии R.
Вторая серьезная CVE-2024-20267 позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, инкапсулировать созданный пакет IPv6 в кадр MPLS и отправить его на уязвимое устройство, чтобы вызвать DoS-условие.
Проблема затрагивает коммутаторы серий Nexus 3000, Nexus 5500, Nexus 5600, Nexus 6000, Nexus 7000 и Nexus 9000, на которых настроен MPLS.
Исследователи Eclypsium предупреждают о множестве уязвимостей в линейке межсетевых экранов и VPN-устройств Zyxel USG с прошивкой версии 5.36 и ниже.
Злоумышленник, не прошедший проверку подлинности, может воспользоваться ими для полной компрометации необновленных устройств.
Несмотря на уведомления о уязвимостях, Zyxel отказалась давать рекомендации, поскольку уязвимости отсутствуют в последней версии прошивки.
В связи с тем, что уязвимостям не присвоены CVE, пользователи могут не знать об использовании уязвимых версий, в связи с чем следует обновить прошивку.
Praetorian
MeshCentral Cross-Site Websocket Hijacking Vulnerability (CVE-2024-26135)
Overview In this article we discuss a recent cross-site websocket hijacking (CSWSH) vulnerability that we identified in MeshCentral, a web-based remote monitoring and endpoint management solution. MITRE assigned the CVE identifier CVE-2024-26135. End users…
Исследователи Apiiro раскрыли новую волну скоординированной кампании, в результате которой на GitHub было загружено более 100 000 вредоносных репозиториев (на самом деле, предположительно, - миллионы).
Акторы используют опечатки в именах и автоматизированное разветвление, имитируя популярные репозитории и нацеливаясь таким образом на разработчиков, побуждая загрузить вредоносную версию вместо реальной.
В случае успеха - скрытая полезная нагрузка раскрывает семь уровней обфускации, включая извлечение модифицированной версии BlackCap-Grabber.
Инфокрад собирает учетные данные для входа из различных приложений, пароли браузера и файлы cookie, а также другие конфиденциальные данные, после чего выполняется длинный ряд дополнительных вредоносных действий.
Ориентированная на широкий охват кампания имеет своего рода сетевой эффект социнженерии второго порядка, когда время от времени наивные пользователи разветвляют вредоносные репозитории, не осознавая, что они распространяют вредоносное ПО.
Большинство разветвленных репозиториев быстро удаляются GitHub, который оперативно идентифицирует автоматизацию, что затрудняет документирование.
Тем не менее, небольшой процент остается и составляет тысячи вредоносных репозиториев. С учетом удаленных количество таких репозиториев достигает миллионных значений.
Исследователи Apiiro полагают, что вредоносная кампания началась еще в мае 2023 года, когда в PyPI было загружено несколько вредоносных пакетов, содержащих ранние части текущей полезной нагрузки.
Затем в июле того же года на GitHub было загружено еще несколько вредоносных репозиториев, на полезная нагрузка уже доставлялась напрямую, а не через импорт пакетов PyPI.
Тогда по этому поводу Trend Micro опубликовала подробный технический анализ.
А в ноябре 2023 Apiiro обнаружила более 100 000 репозиториев, содержащих аналогичные вредоносные полезные нагрузки, и их число продолжает расти.
Новая кампания достаточно эффективна, что обусловлено переходом от вредоносных пакетов в PyPI к репозиториям GitHub (с простотой автоматизации), а целевые репозитории занимают небольшую нишу и имеют низкую популярность.
А это позволяет ничего не подозревающим разработчикам совершить ошибку и клонировать своих злонамеренных подражателей.
Акторы используют опечатки в именах и автоматизированное разветвление, имитируя популярные репозитории и нацеливаясь таким образом на разработчиков, побуждая загрузить вредоносную версию вместо реальной.
В случае успеха - скрытая полезная нагрузка раскрывает семь уровней обфускации, включая извлечение модифицированной версии BlackCap-Grabber.
Инфокрад собирает учетные данные для входа из различных приложений, пароли браузера и файлы cookie, а также другие конфиденциальные данные, после чего выполняется длинный ряд дополнительных вредоносных действий.
Ориентированная на широкий охват кампания имеет своего рода сетевой эффект социнженерии второго порядка, когда время от времени наивные пользователи разветвляют вредоносные репозитории, не осознавая, что они распространяют вредоносное ПО.
Большинство разветвленных репозиториев быстро удаляются GitHub, который оперативно идентифицирует автоматизацию, что затрудняет документирование.
Тем не менее, небольшой процент остается и составляет тысячи вредоносных репозиториев. С учетом удаленных количество таких репозиториев достигает миллионных значений.
Исследователи Apiiro полагают, что вредоносная кампания началась еще в мае 2023 года, когда в PyPI было загружено несколько вредоносных пакетов, содержащих ранние части текущей полезной нагрузки.
Затем в июле того же года на GitHub было загружено еще несколько вредоносных репозиториев, на полезная нагрузка уже доставлялась напрямую, а не через импорт пакетов PyPI.
Тогда по этому поводу Trend Micro опубликовала подробный технический анализ.
А в ноябре 2023 Apiiro обнаружила более 100 000 репозиториев, содержащих аналогичные вредоносные полезные нагрузки, и их число продолжает расти.
Новая кампания достаточно эффективна, что обусловлено переходом от вредоносных пакетов в PyPI к репозиториям GitHub (с простотой автоматизации), а целевые репозитории занимают небольшую нишу и имеют низкую популярность.
А это позволяет ничего не подозревающим разработчикам совершить ошибку и клонировать своих злонамеренных подражателей.
Apiiro | Deep Application Security Posture Management (ASPM)
Over 100,000 Infected Repos Found on GitHub
The Apiiro research team has detected a repo confusion campaign that has evolved and expanded, impacting over 100k GitHub repos with malicious code.
Исследователи из Semperis раскрыли новую технику атаки Silver SAML, которая представляет угрозу для организаций, использующих SAML для аутентификации в приложениях, например, в Salesforce.
Эта метода является альтернативой ранее известной атаке Golden SAML, которая позволяет атакующим подделывать идентификационные данные без доступа к Active Directory Federation Services (AD FS).
Golden SAML был впервые задокументирован CyberArk в 2017 году.
Вкратце, вектор атаки влечет за собой злоупотребление совместимым стандартом аутентификации для выдачи себя за практически любую личность в организации.
Реальные атаки с использованием Golden SAML достаточно редкое явление, а первое зарегистрированное использование было связано со взломом SolarWinds путем подделки токенов SAML с использованием скомпрометированных сертификатов подписи токенов.
В Silver SAML эксплуатируется возможность использования внешне сгенерированных сертификатов для подписи ответов SAML в системах идентификации, таких как Microsoft Entra ID.
Соответственно, если злоумышленник получит доступ к закрытому ключу такого сертификата, он сможет создавать поддельные ответы SAML, позволяющие ему выдавать себя за любого пользователя.
Microsoft после уведомления об этой уязвимости сообщила, что не считает её критической и заявила о намерении предпринимать меры по защите клиентов по мере необходимости.
Хотя нет доказательств, что Silver SAML был использован в дикой природе все же рекомендуется использовать самоподписанные сертификаты Entra ID для подписи SAML и мониторить журналы аудита на предмет подозрительной активности.
Эта метода является альтернативой ранее известной атаке Golden SAML, которая позволяет атакующим подделывать идентификационные данные без доступа к Active Directory Federation Services (AD FS).
Golden SAML был впервые задокументирован CyberArk в 2017 году.
Вкратце, вектор атаки влечет за собой злоупотребление совместимым стандартом аутентификации для выдачи себя за практически любую личность в организации.
Реальные атаки с использованием Golden SAML достаточно редкое явление, а первое зарегистрированное использование было связано со взломом SolarWinds путем подделки токенов SAML с использованием скомпрометированных сертификатов подписи токенов.
В Silver SAML эксплуатируется возможность использования внешне сгенерированных сертификатов для подписи ответов SAML в системах идентификации, таких как Microsoft Entra ID.
Соответственно, если злоумышленник получит доступ к закрытому ключу такого сертификата, он сможет создавать поддельные ответы SAML, позволяющие ему выдавать себя за любого пользователя.
Microsoft после уведомления об этой уязвимости сообщила, что не считает её критической и заявила о намерении предпринимать меры по защите клиентов по мере необходимости.
Хотя нет доказательств, что Silver SAML был использован в дикой природе все же рекомендуется использовать самоподписанные сертификаты Entra ID для подписи SAML и мониторить журналы аудита на предмет подозрительной активности.
Semperis
Meet Silver SAML: Golden SAML in the Cloud | Semperis
Semperis researchers have discovered Silver SAML: a new application of Golden SAML that can be exploited in Entra ID and without AD FS.
This media is not supported in your browser
VIEW IN TELEGRAM
Когда в полпятого вечера пятницы тебе падает срочная задача
Исследователи из BI.ZONE сообщают об обнаружении ранее неизвестного злоумышленника, который активен как минимум с 2022 года и теперь отслеживается как Fluffy Wolf.
Группировка Fluffy Wolf действует просто, но достаточно эффективно: как минимум 5% сотрудников организаций скачивают и открывают вредоносные вложения.
Первоначальный доступ реализуется с помощью фишинговой рассылки с вложенными архивами, защищенными паролем.
Архивы содержат исполняемые файлы, замаскированные под акты сверки расчетов. Основная цель — доставить в скомпрометированную систему набор инструментов, который мог включать легитимное средство Remote Utilities, стилер Meta Stealer, WarZone RAT или майнер XMRig.
С их помощью атакующие получают удаленный доступ, крадут учетные данные или используют ресурсы взломанной инфраструктуры для майнинга.
В одной из последних кампаний злоумышленники рассылали фишинговые электронные письма с темой «Акты на подпись» от имени одной из строительных компаний с архивом, пароль для которого был в названии файла.
Архив включал Akt_Sverka_1C_Doc_28112023_PDF.com, который загружал и инсталлировал средство удаленного доступа Remote Utilities, а также запускал коммерческое ВПО Meta Stealer.
Арендовать клон популярного стилера RedLine на месяц можно за 150 долларов, купить пожизненную лицензию - за 1000 долларов, а главное у него отсутствуют ограничения для атак по России и СНГ.
Исследователи также отследили предыдущие кампании Fluffy Wolf и выявили варианты атак с различными комбинациями загрузчиков и полезной нагрузки.
Таким образом злоумышленники продолжают экспериментировать с легитимным ПО для удаленного доступа, добавляя в свой арсенал всё новые варианты.
При этом коммерческое ВПО и его «взломанные» варианты способствуют расширению ландшафта угроз, позволяя реализовывать успешные атаки даже злоумышленникам с низким уровнем технической подготовки.
Группировка Fluffy Wolf действует просто, но достаточно эффективно: как минимум 5% сотрудников организаций скачивают и открывают вредоносные вложения.
Первоначальный доступ реализуется с помощью фишинговой рассылки с вложенными архивами, защищенными паролем.
Архивы содержат исполняемые файлы, замаскированные под акты сверки расчетов. Основная цель — доставить в скомпрометированную систему набор инструментов, который мог включать легитимное средство Remote Utilities, стилер Meta Stealer, WarZone RAT или майнер XMRig.
С их помощью атакующие получают удаленный доступ, крадут учетные данные или используют ресурсы взломанной инфраструктуры для майнинга.
В одной из последних кампаний злоумышленники рассылали фишинговые электронные письма с темой «Акты на подпись» от имени одной из строительных компаний с архивом, пароль для которого был в названии файла.
Архив включал Akt_Sverka_1C_Doc_28112023_PDF.com, который загружал и инсталлировал средство удаленного доступа Remote Utilities, а также запускал коммерческое ВПО Meta Stealer.
Арендовать клон популярного стилера RedLine на месяц можно за 150 долларов, купить пожизненную лицензию - за 1000 долларов, а главное у него отсутствуют ограничения для атак по России и СНГ.
Исследователи также отследили предыдущие кампании Fluffy Wolf и выявили варианты атак с различными комбинациями загрузчиков и полезной нагрузки.
Таким образом злоумышленники продолжают экспериментировать с легитимным ПО для удаленного доступа, добавляя в свой арсенал всё новые варианты.
При этом коммерческое ВПО и его «взломанные» варианты способствуют расширению ландшафта угроз, позволяя реализовывать успешные атаки даже злоумышленникам с низким уровнем технической подготовки.
BI.ZONE
«Давайте сверимся»: как Fluffy Wolf использует акты сверки в атаках
Группировка действует просто, но эффективно: фишинговая рассылка для первоначального доступа, а в ней — исполняемый файл. Так Fluffy Wolf получает удаленный доступ, крадет учетные данные или использует ресурсы взломанной инфраструктуры для майнинга
Группа ученых из университетов Вашингтона и Чикаго раскрыла подробности новой атаки, получившей название ArtPrompt, которая позволяет обойти проверки безопасности пяти популярных на сегодняшний день программ LLM с помощью символов ASCII.
ArtPrompt успешно апробирована на таких LLM, как GPT OpenAI, Google Gemini и Llama2 от Meta.
Так, с помощью нее исследователи получили от ChatGPT инструкцию по изготовлению фальшивых денег, их сбыту, а также узнали, как изготовить бомбу.
Секрет в том, что если зашифровать стоп-слова с помощью символов в ASCII-арт (форма текстового изображения), то нейросеть ответит на запрещённые вопросы.
Исследователи утверждают, что основные виды защиты языковых моделей основаны на семантике.
Это значит, что нейросеть может выполнить запрос, но фильтрация контента этого не позволяет, а для своеобразного джейлбрейка нужно лишь обмануть систему фильтрации.
На первом этапе атаки исследователи замаскировали все запрещённые слова в запросе под слово «mask».
После этого они сгенерировали ASCII-изображение запрещённого слова и отправили его в чат LLM.
Далее модель попросили заменить mask в запросе на слово из изображения и ответить на вопрос.
В этом случае нейросеть проигнорировала все запреты и выдала пошаговую инструкцию.
По результатам экспериментов ArtPrompt оказался более эффективным, чем все ныне известные способы обхода фильтров.
ArtPrompt успешно апробирована на таких LLM, как GPT OpenAI, Google Gemini и Llama2 от Meta.
Так, с помощью нее исследователи получили от ChatGPT инструкцию по изготовлению фальшивых денег, их сбыту, а также узнали, как изготовить бомбу.
Секрет в том, что если зашифровать стоп-слова с помощью символов в ASCII-арт (форма текстового изображения), то нейросеть ответит на запрещённые вопросы.
Исследователи утверждают, что основные виды защиты языковых моделей основаны на семантике.
Это значит, что нейросеть может выполнить запрос, но фильтрация контента этого не позволяет, а для своеобразного джейлбрейка нужно лишь обмануть систему фильтрации.
На первом этапе атаки исследователи замаскировали все запрещённые слова в запросе под слово «mask».
После этого они сгенерировали ASCII-изображение запрещённого слова и отправили его в чат LLM.
Далее модель попросили заменить mask в запросе на слово из изображения и ответить на вопрос.
В этом случае нейросеть проигнорировала все запреты и выдала пошаговую инструкцию.
По результатам экспериментов ArtPrompt оказался более эффективным, чем все ныне известные способы обхода фильтров.
arXiv.org
ArtPrompt: ASCII Art-based Jailbreak Attacks against Aligned LLMs
Safety is critical to the usage of large language models (LLMs). Multiple techniques such as data filtering and supervised fine-tuning have been developed to strengthen LLM safety. However,...
Forwarded from Пакет Безопасности
Попался
Пока все массово обсуждают и пытаются понять, как это за пару месяцев в 2024 году утекло уже более 510 000 000 данных граждан нашей страны (что уже побило рекорд за весь прошлый год), предлагаю обсудить один достаточно интересный тип инструментов, который из профессиональной сферы начинает перетекать в бытовую, а имя ему – Honey Tokens. Да, это пост не только для кибербезопасников, а для всех, кто интересуется кибергигиеной.
Мы с вами уже как-то разбирались в том, что такое HoneyPot, так вот, это его родственник. Если коротко, то эта штука позволяет обнаружить признаки и факт взлома любого вашего устройства или сервиса. Происходит это благодаря специальным меткам, маркерам или триггерам, которые умеют расставлять инструменты класса Honey Tokens. Более того, в некоторых случаях, можно даже вычислить источник взлома.
Как же это работает. На самом деле, всё очень просто. Вы выбираете нужную приманку – например, текстовый файл с названием "Пароли" или папку с названием "Документы" (только не надо класть туда реальные пароли или сканы настоящих документов), а затем буквально устанавливаете на них сигнализацию. То есть, как только кто-то попробуем открыть этот файл или зайти в конкретную папку, вам отправится уведомление о том, что это произошло.
Ну а теперь переходим от теории к практике – вы сами можете попробовать, как это работает, например, с Сanary Tokens. Через него вы сможете настроить ту самую сигнализацию на любой файл, ссылку, айпишник, электронную почту, папку и еще много чего. Уведомления именно в этом сервисе можно настроить на вашу почту. И да, всё это бесплатно и с понятным интерфейсом. Так что пользуйтесь на здоровье и делитесь с близкими.
#Полезное
Твой Пакет Безопасности
Пока все массово обсуждают и пытаются понять, как это за пару месяцев в 2024 году утекло уже более 510 000 000 данных граждан нашей страны (что уже побило рекорд за весь прошлый год), предлагаю обсудить один достаточно интересный тип инструментов, который из профессиональной сферы начинает перетекать в бытовую, а имя ему – Honey Tokens. Да, это пост не только для кибербезопасников, а для всех, кто интересуется кибергигиеной.
Мы с вами уже как-то разбирались в том, что такое HoneyPot, так вот, это его родственник. Если коротко, то эта штука позволяет обнаружить признаки и факт взлома любого вашего устройства или сервиса. Происходит это благодаря специальным меткам, маркерам или триггерам, которые умеют расставлять инструменты класса Honey Tokens. Более того, в некоторых случаях, можно даже вычислить источник взлома.
Как же это работает. На самом деле, всё очень просто. Вы выбираете нужную приманку – например, текстовый файл с названием "Пароли" или папку с названием "Документы" (только не надо класть туда реальные пароли или сканы настоящих документов), а затем буквально устанавливаете на них сигнализацию. То есть, как только кто-то попробуем открыть этот файл или зайти в конкретную папку, вам отправится уведомление о том, что это произошло.
Ну а теперь переходим от теории к практике – вы сами можете попробовать, как это работает, например, с Сanary Tokens. Через него вы сможете настроить ту самую сигнализацию на любой файл, ссылку, айпишник, электронную почту, папку и еще много чего. Уведомления именно в этом сервисе можно настроить на вашу почту. И да, всё это бесплатно и с понятным интерфейсом. Так что пользуйтесь на здоровье и делитесь с близкими.
#Полезное
Твой Пакет Безопасности
Очередной Дамоклов меч повис над инфраструктурой мобильных операторов, поскольку исследователями была обнаружена новая угроза: неизвестный ранее бэкдор для Linux под названием GTPDOOR, который использует уникальный метод для скрытого проникновения в сети телекоммуникационных компаний.
Малварь разработана для выполнения операций в сетях мобильных операторов, используя протокол GTP (GPRS Tunnelling Protocol) для связи с C2, а отличительной особенностью является его способность атаковать системы GRX (GPRS roaming eXchange), включая SGSN (Serving GPRS Support Node), GGSN (Gateway GPRS Support Node) и P-GW (Packet Data Network Gateway для 4G LTE).
Как говорят эксперты, эти элементы сетевой инфраструктуры играют ключевую роль в работе операторов, обеспечивая роуминг данных между различными географическими зонами и сетями.
Атака на такие системы может представлять злоумышленникам прямой доступ к основной сети оператора связи, что ставит под угрозу безопасность пользовательских данных, целостность сетевой инфраструктуры и не только.
Первым обнаружил эту угрозу спец под псевдонимом HaxRob и он же предположил, что за GTPDOOR стоит хакерская группа LightBasin (UNC1945), ранее замеченная в кибершпионских операциях против телекоммуникационных компаний.
Фишкой GTPDOOR является, то, что он использует протокол GTP-C для скрытой связи со своим управляющим сервером, что, в свою очередь, позволяет маскироваться под обычный трафик и использовать уже разрешенные порты, которые на практике редко контролируются системами защиты, что делает обнаружение и блокировку малвари особенно сложной задачей.
Если учесть, что бэкдор предназначен для развертывания в Linux-системах, связанных с GRX, то можно представить весь масштаб новой угрозы для мобильных сетей.
Для защиты сетевой инфраструктуры специалисты разработали YARA-правила, позволяющие обнаруживать GTPDOOR, а также набор рекомендаций.
Малварь разработана для выполнения операций в сетях мобильных операторов, используя протокол GTP (GPRS Tunnelling Protocol) для связи с C2, а отличительной особенностью является его способность атаковать системы GRX (GPRS roaming eXchange), включая SGSN (Serving GPRS Support Node), GGSN (Gateway GPRS Support Node) и P-GW (Packet Data Network Gateway для 4G LTE).
Как говорят эксперты, эти элементы сетевой инфраструктуры играют ключевую роль в работе операторов, обеспечивая роуминг данных между различными географическими зонами и сетями.
Атака на такие системы может представлять злоумышленникам прямой доступ к основной сети оператора связи, что ставит под угрозу безопасность пользовательских данных, целостность сетевой инфраструктуры и не только.
Первым обнаружил эту угрозу спец под псевдонимом HaxRob и он же предположил, что за GTPDOOR стоит хакерская группа LightBasin (UNC1945), ранее замеченная в кибершпионских операциях против телекоммуникационных компаний.
Фишкой GTPDOOR является, то, что он использует протокол GTP-C для скрытой связи со своим управляющим сервером, что, в свою очередь, позволяет маскироваться под обычный трафик и использовать уже разрешенные порты, которые на практике редко контролируются системами защиты, что делает обнаружение и блокировку малвари особенно сложной задачей.
Если учесть, что бэкдор предназначен для развертывания в Linux-системах, связанных с GRX, то можно представить весь масштаб новой угрозы для мобильных сетей.
Для защиты сетевой инфраструктуры специалисты разработали YARA-правила, позволяющие обнаруживать GTPDOOR, а также набор рекомендаций.
BNN
GTPDOOR Malware Threatens Global Telecom via GPRS Exploitation, Targets Linux Servers
Discover GTPDOOR, a new malware exploiting Linux servers in telecom networks for stealthy attacks, posing serious threats to data security.
͏Исследователи связывают очередное таинственное исчезновение ALPHV/BlackCat с кидаловом в отношении одного из партнеров.
Как было замечено, DLS перестал работать с пятницы, сайты для переговоров проработали выходные и также ушли в оффлайн.
Подозрение на скам возникло после того, как якобы от одного из операторов просочилась информация о выводе бандой 22 млн. зеленых, которые причитались партнеру банды в качестве выкупа за атаку на Optum (оператора платформы Change Healthcare).
В свою очередь, сами BlackCat отстучались в Tox, сообщив, что все отключили и занимаются решением вопроса.
Позже статус был заменен на «GG» («хорошая игра»). Но контекст этого сообщения непонятен.
Конфискация актива якобы последовала после нарушения оператором ограничений, установленных бандой.
Как бы то ни было, 1 марта криптовыкуп поступил на кошель за удаление данных, украденных с платформы Change Healthcare, и расшифровщик.
Однако положенного распределения наживы не последовало, а вместо этого, по слухам, партнера кинули, а его аккаунт заблокировали.
В поисках справедливости notchy (предполагаемый оператор ALPHV), выдал все в эфир и заявил о наличии у него 4 ТБ критических данных Optum - производственные данные, которые повлияют на всех клиентов Change Healthcare и Optum.
Помимо этого, со слов notchy, в его распоряжении данные «десятков страховых компаний» и других поставщиков широкого спектра услуг — от здравоохранения до расчетно-кассового обслуживания и аптек.
В качестве пруфа notchy поделился данными по движениям крипты на своей кошельке (с входящим переводом на 350 биткойнов или чуть более 23 миллионов долларов).
Optum UnitedHealth Group от комментариев относительно выкупа отказались.
Так что ситуация пока до конца неясная.
Тут и версия о новом финте со стороны вымогателей (чтобы развести клиента по второму кругу), тут и спецслужбы могут продолжать свою операцию (чтобы напрочь подпортить репутацию банды, а может и сама банда, решившая уйти красиво.
Будем посмотреть.
Как было замечено, DLS перестал работать с пятницы, сайты для переговоров проработали выходные и также ушли в оффлайн.
Подозрение на скам возникло после того, как якобы от одного из операторов просочилась информация о выводе бандой 22 млн. зеленых, которые причитались партнеру банды в качестве выкупа за атаку на Optum (оператора платформы Change Healthcare).
В свою очередь, сами BlackCat отстучались в Tox, сообщив, что все отключили и занимаются решением вопроса.
Позже статус был заменен на «GG» («хорошая игра»). Но контекст этого сообщения непонятен.
Конфискация актива якобы последовала после нарушения оператором ограничений, установленных бандой.
Как бы то ни было, 1 марта криптовыкуп поступил на кошель за удаление данных, украденных с платформы Change Healthcare, и расшифровщик.
Однако положенного распределения наживы не последовало, а вместо этого, по слухам, партнера кинули, а его аккаунт заблокировали.
В поисках справедливости notchy (предполагаемый оператор ALPHV), выдал все в эфир и заявил о наличии у него 4 ТБ критических данных Optum - производственные данные, которые повлияют на всех клиентов Change Healthcare и Optum.
Помимо этого, со слов notchy, в его распоряжении данные «десятков страховых компаний» и других поставщиков широкого спектра услуг — от здравоохранения до расчетно-кассового обслуживания и аптек.
В качестве пруфа notchy поделился данными по движениям крипты на своей кошельке (с входящим переводом на 350 биткойнов или чуть более 23 миллионов долларов).
Optum UnitedHealth Group от комментариев относительно выкупа отказались.
Так что ситуация пока до конца неясная.
Тут и версия о новом финте со стороны вымогателей (чтобы развести клиента по второму кругу), тут и спецслужбы могут продолжать свою операцию (чтобы напрочь подпортить репутацию банды, а может и сама банда, решившая уйти красиво.
Будем посмотреть.
Бурю негодований и критики получила JetBrains от инфосек-сообщества за попытку нескоординированного раскрытия и исправления двух серьезных уязвимостей в TeamCity, о которых им сообщили исследователи Rapid7 в конце февраля.
Обе проблемы связаны с веб-компонентом TeamCity On-Premises CI/CD и влияют на все версии локальных установок до 2023.11.3.
Самая критичная из них - CVE-2024-27198 (CVSS 9,8), обход аутентификации, обусловлена проблемой альтернативного пути и позволяет удаленному злоумышленнику, не прошедшему аутентификацию, получить контроль над сервером с административными разрешениями.
Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами и является подходящим вектором для проведения атаки на цепочку поставок.
Другая CVE-2024-27199 (CVSS 7.3), хотя и менее серьезная, - это уязвимость обхода пути в веб-компоненте TeamCity, позволяющая обойти аутентификацию и изменять ограниченное количество системных настроек, но злоумышленнику уже необходимо находиться в сети жертвы.
Злоумышленник может использовать ее для атак типа DoS или для прослушивания клиентских подключений посредством MiTM.
JetBrains выпустила новую версию TeamCity 2023.11.4, которая устраняет две уязвимости, не предоставив при этом никаких подробностей об исправленных проблемах безопасности.
Позже во втором сообщении у себя в блоге компания все же раскрыла серьезность проблем и последствия их использования.
В свою очередь, Rapid7 продемонстрировали серьезность основной уязвимости, создав PoC, который генерировал аутентификацию и позволял получить доступ к оболочке (сеанс Meterpreter) на целевом сервере TeamCity.
Кроме того, Rapid7 представила полное техническое пояснение относительно причин уязвимости, описав, как ее можно активировать для создания новой учетной записи администратора или создания нового токена доступа администратора для получения контроля над сервером.
Администраторам настоятельно рекомендуется обновить свой сервер до версии 2023.11.4.
Если это невозможно, доступен плагин исправления безопасности для TeamCity 2018.2 и новее, а также для TeamCity 2018.1 и старше.
Пока же никаких признаков эксплуатации не наблюдается, но это лишь дело времени. Безусловно, хакеры не упустят из виду такую возможность для атак на цепочку поставок (мудаков).
Обе проблемы связаны с веб-компонентом TeamCity On-Premises CI/CD и влияют на все версии локальных установок до 2023.11.3.
Самая критичная из них - CVE-2024-27198 (CVSS 9,8), обход аутентификации, обусловлена проблемой альтернативного пути и позволяет удаленному злоумышленнику, не прошедшему аутентификацию, получить контроль над сервером с административными разрешениями.
Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами и является подходящим вектором для проведения атаки на цепочку поставок.
Другая CVE-2024-27199 (CVSS 7.3), хотя и менее серьезная, - это уязвимость обхода пути в веб-компоненте TeamCity, позволяющая обойти аутентификацию и изменять ограниченное количество системных настроек, но злоумышленнику уже необходимо находиться в сети жертвы.
Злоумышленник может использовать ее для атак типа DoS или для прослушивания клиентских подключений посредством MiTM.
JetBrains выпустила новую версию TeamCity 2023.11.4, которая устраняет две уязвимости, не предоставив при этом никаких подробностей об исправленных проблемах безопасности.
Позже во втором сообщении у себя в блоге компания все же раскрыла серьезность проблем и последствия их использования.
В свою очередь, Rapid7 продемонстрировали серьезность основной уязвимости, создав PoC, который генерировал аутентификацию и позволял получить доступ к оболочке (сеанс Meterpreter) на целевом сервере TeamCity.
Кроме того, Rapid7 представила полное техническое пояснение относительно причин уязвимости, описав, как ее можно активировать для создания новой учетной записи администратора или создания нового токена доступа администратора для получения контроля над сервером.
Администраторам настоятельно рекомендуется обновить свой сервер до версии 2023.11.4.
Если это невозможно, доступен плагин исправления безопасности для TeamCity 2018.2 и новее, а также для TeamCity 2018.1 и старше.
Пока же никаких признаков эксплуатации не наблюдается, но это лишь дело времени. Безусловно, хакеры не упустят из виду такую возможность для атак на цепочку поставок
Rapid7
JetBrains TeamCity Multiple Authentication Bypass Vulnerabilities | Rapid7 Blog
͏Про слив Симоньян переговоров немецких высокопоставленных офицеров наверняка многие уже слышали. Если кто не в курсе - там боши обсуждали как бы можно было крылатыми ракетами Таурус распетрушить Крымский мост.
Однако тут The Stack подвез подробности этого инцидента. Если пересказывать сюжет драмы в двух словах - у Бундесвера с информационной безопасностью "все хорошо".
Немцы просто вели сверхсекретные переговоры в Cisco WebEx, а кто-то скоммуниздил ссылку для захода в конференцию и невозбранно ею воспользовался. И фрицы такие: "Ой, а кто это с нами в конференции сидит, наверное так надо".
Журналисты The Stack задаются вопросом - а почему военные не воспользовались защищенным BwMessenger, созданным IT-подрядчиком специально для Бундесвера? Отвечает господин Друзь - "А потому что мудакам пофигу на какие правила информационной безопасности забивать, на порядок обновления или на запрет ведения конфиденциальных переговоров по открытой связи. Мудакам так хочется!"
Этот киберинцидент лишний раз доказывает, что мудаки - явление интернациональное и трансграничное, всепроникающее как межгалактический эфир. Перефразируя военкома из винрарного фильма ДМБ, можно сказать - Мудак это не профессия, это половая ориентация!
Однако тут The Stack подвез подробности этого инцидента. Если пересказывать сюжет драмы в двух словах - у Бундесвера с информационной безопасностью "все хорошо".
Немцы просто вели сверхсекретные переговоры в Cisco WebEx, а кто-то скоммуниздил ссылку для захода в конференцию и невозбранно ею воспользовался. И фрицы такие: "Ой, а кто это с нами в конференции сидит, наверное так надо".
Журналисты The Stack задаются вопросом - а почему военные не воспользовались защищенным BwMessenger, созданным IT-подрядчиком специально для Бундесвера? Отвечает господин Друзь - "А потому что мудакам пофигу на какие правила информационной безопасности забивать, на порядок обновления или на запрет ведения конфиденциальных переговоров по открытой связи. Мудакам так хочется!"
Этот киберинцидент лишний раз доказывает, что мудаки - явление интернациональное и трансграничное, всепроникающее как межгалактический эфир. Перефразируя военкома из винрарного фильма ДМБ, можно сказать - Мудак это не профессия, это половая ориентация!
На фоне громогласных обвинений в адрес КНР в тотальном кибершпионаже и попыток навязать образ кибердиверсантов ученые Georgia Tech из США не стесняются заявлять о разработке аналога Stuxnet.
Новое условно названное веб-вредоносное ПО PLC способно фактически реализовать сценарии разрушительных удаленных кибератак в отношении основных сред ICS, включая Siemens, Emerson, Schneider Electric, Mitsubishi Electric и Allen Bradley.
В случае современных ПЛК многие включают в себя веб-сервер, и их можно дистанционно настраивать, управлять и контролировать с помощью выделенных API и обычного веб-браузера, который служит в качестве HMI.
Несмотря на эти преимущества для организаций, исследователи Georgia Tech предупреждают, что они также могут значительно расширить поверхность атаки ICS.
Условно названное веб-вредоносное ПО PLC находится в памяти контроллера, но выполняется на стороне клиента устройствами, оснащенными браузером, присутствующими в среде ICS.
Первоначальная инфекция может быть выполнена через физический или сетевой доступ к целевому веб-HMI, но вредоносное ПО также может быть развернуто непосредственно через Интернет
Попадая в кэш браузера, вредоносное ПО может пережить обновления прошивки, новые веб-HMI и даже замену оборудования.
После развертывания возможности вредоносного ПО зависят от функционала задействованных веб-API и могут быть использованы для широкого спектра вредоносных действий.
Исследователи заявили также, что вредоносное ПО может реализовать соединение С2, даже если целевой ПЛК находится в изолированной сети. А при необходимости затем - самоуничтожиться и затереть все следы.
Прототип ПО получил наименование IronSpider и был успешно протестирован на ПЛК Wago. Смоделированная атака включала в себя использование ранее неизвестных уязвимостей для развертывания вредоносного ПО после того, как целевой оператор просмотрел на специально созданный рекламный баннер.
По итогу IronSpider смог саботировать промышленный двигатель, вызвав повреждение, при этом отображая экран HMI с нормальными значениями и избегая каких-либо подозрений.
В отличие от Stuxnet прототип веб-ВПО смог осуществить принципиально похожую атаку, используя совершенно иной подход, злоупотребляя законными веб-интерфейсами PLC.
Если Stuxnet атаковал ПЛК с помощью вредоносной ПО логики управления, которую он развернул через скомпрометированные инженерные рабочие станции, то в атаке IronSpider использовалось веб-вредоносное ПО, которое было развернуто с вредоносного веб-сайта без необходимости компрометировать какие-либо периферийные системы.
Все подробности с техническим описанием этого проекта безопасности ICS исследователи из Технологического института Джорджии представили в документе.
Так что заезженная пластинка под названием I-SOON и рядом не стоит.
Новое условно названное веб-вредоносное ПО PLC способно фактически реализовать сценарии разрушительных удаленных кибератак в отношении основных сред ICS, включая Siemens, Emerson, Schneider Electric, Mitsubishi Electric и Allen Bradley.
В случае современных ПЛК многие включают в себя веб-сервер, и их можно дистанционно настраивать, управлять и контролировать с помощью выделенных API и обычного веб-браузера, который служит в качестве HMI.
Несмотря на эти преимущества для организаций, исследователи Georgia Tech предупреждают, что они также могут значительно расширить поверхность атаки ICS.
Условно названное веб-вредоносное ПО PLC находится в памяти контроллера, но выполняется на стороне клиента устройствами, оснащенными браузером, присутствующими в среде ICS.
Первоначальная инфекция может быть выполнена через физический или сетевой доступ к целевому веб-HMI, но вредоносное ПО также может быть развернуто непосредственно через Интернет
Попадая в кэш браузера, вредоносное ПО может пережить обновления прошивки, новые веб-HMI и даже замену оборудования.
После развертывания возможности вредоносного ПО зависят от функционала задействованных веб-API и могут быть использованы для широкого спектра вредоносных действий.
Исследователи заявили также, что вредоносное ПО может реализовать соединение С2, даже если целевой ПЛК находится в изолированной сети. А при необходимости затем - самоуничтожиться и затереть все следы.
Прототип ПО получил наименование IronSpider и был успешно протестирован на ПЛК Wago. Смоделированная атака включала в себя использование ранее неизвестных уязвимостей для развертывания вредоносного ПО после того, как целевой оператор просмотрел на специально созданный рекламный баннер.
По итогу IronSpider смог саботировать промышленный двигатель, вызвав повреждение, при этом отображая экран HMI с нормальными значениями и избегая каких-либо подозрений.
В отличие от Stuxnet прототип веб-ВПО смог осуществить принципиально похожую атаку, используя совершенно иной подход, злоупотребляя законными веб-интерфейсами PLC.
Если Stuxnet атаковал ПЛК с помощью вредоносной ПО логики управления, которую он развернул через скомпрометированные инженерные рабочие станции, то в атаке IronSpider использовалось веб-вредоносное ПО, которое было развернуто с вредоносного веб-сайта без необходимости компрометировать какие-либо периферийные системы.
Все подробности с техническим описанием этого проекта безопасности ICS исследователи из Технологического института Джорджии представили в документе.
Так что заезженная пластинка под названием I-SOON и рядом не стоит.