Исследователи бьют тревогу, предупреждая о начавшейся массовой эксплуатации критической уязвимости обхода аутентификации в TeamCity On-Premises от JetBrains.

CVE-2024-27198 с CVSS 9,8 из 10 затрагивает все выпуски локальной версии TeamCity до 2023.11.4 и была устранена поставщиком в понедельник, но пользователи не спешат с обновлением.

Согласно статистике, приведенной LeakIX, более 1700 серверов TeamCity остаются непропатченными.

Причем большинство уязвимых хостов располагаются в Германии, США и России, за ними следуют Китай, Нидерланды и Франция.

При этом, что важно, из них LeakIX выделяет более 1440 экземпляров, которые уже взломаны хакерами. На них создано от 3 до 300 сотен пользователей, а шаблон наименований включает 8 буквенно-цифровых символов.

Выводы LeakIX подтверждают и в GreyNoise, которая также зафиксировала 5 марта резкое увеличение попыток эксплуатации CVE-2024-27198.

По их данным, большинство попыток исходит из хостинговой инфраструктуры DigitalOcean в США.

Как отмечают специалисты LeakIX, задетектированные серверы TeamCity представляют собой производственные машины, используемые для создания и развертывания ПО, что знаменует начала масштабной атаки на цепочку поставок.

Свою озабоченность выразила и Rapid7, подробно изучившая уязвимость и способы ее использования в атаках.

Компрометация сервера TeamCity позволяет злоумышленнику получить полный контроль над всеми проектами, сборками, агентами и артефактами и является подходящим вектором для атаки на цепочку поставок.

Поскольку массовая эксплуатация, о которой мы также предупреждали, уже в активной стадии, администраторам локальных экземпляров TeamCity следует принять срочные меры по защите своих экземпляров.

Специалисты Sucuri предупреждают о масштабной кампании, нацеленной на сайты WordPress, связанной с внедрением в них скриптов, которые реализуют через браузеры посетителей брут паролей для других ресурсов.

Вероятно, произошла переоценка целей, поскольку ранее злоумышленники использовали подобные скрипты для внедрения AngelDrainer и кражи криптовалюты, отправляя месседж пользователям, чтобы те подключали свои кошельки к зараженным сайтам.

Однако в конце февраля тактика хакеров изменилась с сторону использования скриптов для захвата браузеров посетителей с целью брутфорса. Исследователи полагают, что это может быть обусловлено желанием хакеров создать более обширный портфель сайтов, с которых можно будет запускать дальнейшие атаки в более крупном масштабе.

Вредоносный код встраивается в HTML-шаблоны и при посещении сайта скрипты загружаются в браузер. Эти скрипты заставляют браузер тихо связываться с сервером злоумышленников по адресу 'https://dynamic-linx[.]com/getTask.php', чтобы получить задачу по подбору паролей.

Эта задача представляет собой файл JSON, содержащий параметры атаки методом перебора: идентификатор, URL-адрес веб-сайта, имя учетной записи, число, обозначающее текущий пакет паролей, которые необходимо пройти, и сто паролей, которые нужно попробовать.

Сам же скрипт использует интерфейс XMLRPC сайта WordPress и, если пароль оказывается верным, злоумышленник получает уведомление и может далее может подключиться к сайту и получить загруженный файл, содержащий пару имени пользователя и пароля в кодировке Base64.

При этом вредоносный скрипт продолжит получать новые задачи, пока страница будет остаеаться открытой в браузере посетителя.

По данным Sucuri, уже более 1700 сайтов были взломаны и содержат эти скрипты или их загрузчики. К примеру, среди них был обнаружен веб-сайт Эквадорской ассоциации частных банков, который пылесосил пароли ничего не подозревающих его посетителей.

В отчете доступны индикаторы компрометации и рекомендации по выявлению угрозы.

Фактовики продолжают расчехлять вымогателей Shadow, проливая свет на ранее неизвестные атаки и TTPs АРТ-группировки.

По данным F.A.C.C.T., начиная с сентября 2022 года по август 2023 года злоумышленники атаковали как минимум сотню целей в России и получили доступы к инфраструктуре и базам данных десятка российских компаний, которые уже проинформированы об угрозах.

Причем злоумышленники выбирали цели, исходя из места их расположения — в России, а не по сфере деятельности или капитализации. 

В начале сентября 2023 года им удалось выйти на сервер, который использовался неизвестным актором для атак на российские компании, и обнаружить директорию с логами SQLMap, Metasploit, ProxyShell-Scanner и др. Зафрахтовали его еще в 2020, но в работу включили позже в сентябре 2022 года.

Анализируя артефакты, стало понятно, что к найденный арсенал прямым образом связан с преступной группой Shadow (ака Twelve/Comet/DARKSTAR), входящая в преступный синдикат Shadow-Twelve, который может проводить как финансово (с помощью билетера LockBit 3.0 и модифицированного Babuk), так и политически мотивированные атаки.

Содержание киберсхрона указывает на то, что злоумышленники полагаются исключительно на ограниченный набор общедоступных инструментов с открытым исходным кодом, предназначенных для тестирования на проникновение.

За период вредоносной кампании в пользовании злоумышленника были следующие инструменты: SQLMap, Metasploit, ProxyShell-Scanner, DockerRegistryGrabber, Cobalt Strike, Mythic Athena, Sliver.

Была замечена команда, указывающая на попытку загрузить и запустить дроппер руткита Facefish. Также на исследуемом сервере были обнаружены файлы CrackMapExec.

Кроме инструментов, непосредственно заточенных под атаку, были и Ngrok, socat, PsExec64, XenArmor, redis-cli.

В целом, аналитики предполагают, что злоумышленник использовал как минимум четыре сервера под инфраструктуру разных инструментов и три домена.

По итогам анализа действий Shadow был выявлен четкий паттерн в выборе целей. В центре внимания атакующих оказались преимущественно малозащищенные компании из широкого спектра отраслей и сфер деятельности. 

Кроме того, замечено, что несмотря на использование публично доступных и относительно простых в освоении инструментов, такие утилиты могут также применяться и более продвинутыми группировками, что подчеркивают необходимость учитывать помимо прочего вредоносные сценарии использования легитимных утилит.

Исследователь из Университета Центральной Флориды обнаружил критические уязвимости в плагине Ethercat для инструмента мониторинга сетевой безопасности с открытым исходным кодом Zeek, которые позволяют взломать сеть ICS

По данным Zeek, затронутый инструмент имеет более 10 000 развертываний по всему миру, и хотя является необязательным, автоматически включается в состав Zeek в ряде популярных пакетов ПО безопасности, таких как Security Onion.

Плагины анализатора сетевых протоколов промышленной системы управления (ICSNPP) расширяют возможности Zeek, позволяя искать вредоносный трафик, связанный с специфичными для АСУ ТП протоколами, такими как Bacnet, Ethernet/IP, Modbus, OPC UA, S7comm и Ethercat.

Но, как установил c, в случае с проблем уже на стороне платина - реализуют обратную функцию. Теперь они отлеживаются как CVE-2023-7244, CVE-2023-7243 и CVE-2023-7242.

Эксплуатация уязвимостей предполагает отправку злоумышленником специально созданных пакетов по сети, контролируемой Zeek. 

В некоторых случаях для этого требуется доступ к сети целевой организации, но также возможно проведение атак непосредственно из Интернета.

В самом простом сценарии атаки, которая включает в себя отправку только одного UDP-пакета, злоумышленник может воспользоваться одной из уязвимостей, чтобы неоднократно вызывать сбой процесса Zeek.

В более сложном, предполагающем использование всех трех уязвимостей, злоумышленник, имеющий ограниченный доступ к машине, на которой работает Zeek, может выполнить произвольный код с повышенными привилегиями.

Наиболее серьезный потенциальный сценарий атаки предполагает нацеливание на системы, в которых определенные функции безопасности, такие как ASLR, отключены или недоступны.

Злоумышленник может легко скомпрометировать компьютер, контролирующий сеть, и получить доступ к возможности просмотра всего трафика в сети, потенциально имея возможность перехватывать конфиденциальную информацию и использовать ее в качестве плацдарма для дальнейших атак в среде.

Достигается это путем отправки пары UDP-пакетов на любой компьютер в отслеживаемой сети, что, вероятно, можно сделать из любой точки в глобальной сети.

Исследователь также отметил, что на исправление уязвимостей плагина Ethercat потребовалось около шести недель, что сопровождалось редизайном и модификацией большей части логики кода.

Причем другие платины оказались не подвержены такому типу ошибкам.

Поздравляем всех девушек из инфосек, которых, на самом деле, не мало, с Международным Женским Днем!

Желаем всего самого светлого: радости, душевной теплоты, гармонии и процветания!

Вы действительно особенные! Где еще найдешь таких очаровательных и умных одновременно! Конечно же, нигде и никогда!

Ура, товарищи!

Исследователи Shadowserver дают неутешительную статистику, согласно которой около 150 000 веб-шлюзов Fortinet FortiOS и FortiProxy остаются уязвимы для критической CVE-2024-21762, позволяющей выполнять код без аутентификации.

Причем более 24 000 - находятся в США, за ними следуют Индия, Бразилия и Канада.

И все это при том, что американская CISA подтвердила активную эксплуатацию и добавила эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), а исправления доступны с прошлого месяца.

Удаленный злоумышленник может воспользоваться CVE-2024-21762 (CVSS 9,8, согласно NIST), отправив специально созданные HTTP-запросы на уязвимые машины.

Подробности о том, кто и как реализует проблему в своих кампаниях, в настоящее время ограничены и, вероятно, уязвимость используется в отдельных атаках более изощренными злоумышленниками.

Глубоко проанализировавшая коренные причины двух недавних уязвимостей, включая помимо названной и CVE-2024-23113, BishopFox поделились скриптом Python для проверки, уязвимы ли их системы SSL VPN.

Но, по всей видимости, начавшуюся атаку на цепочку мудаков уже вряд ли остановить. Будем следить.

Не MOVEit 0-day, конечно, но не менее опасная CVE-2024-1403 в Progress Software OpenEdge Authentication Gateway и AdminServer с максимальным уровнем серьезности 10,0 CVSS обзавелась PoC-эксплойтом.

Уязвимость влияет на версии OpenEdge 11.7.18, 12.2.13 (и более ранние) и 12.8.0, позволяя потенциально реализовать обход аутентификации и привести к несанкционированному доступу для входа в систему.

Progress Software отметила, что проблема обусловлена неправильной обработкой непредвиденных типов имен пользователей и паролей и устранена в версиях OpenEdge LTS Update 11.7.19, 12.2.14 и 12.8.1.

Horizon3.ai провела реверс-инжиниринг уязвимой службы AdminServer и по результатам выпустила PoC для CVE-2024-1403, заявив, что проблема связана с функцией под названием Connect(), которая вызывается при установке удаленного соединения.

Эта функция, в свою очередь, вызывает другую функцию, authorizeUser(), которая проверяет, соответствуют ли предоставленные учетные данные определенным критериям, и передает управление другой части кода, которая напрямую аутентифицирует пользователя, если предоставленное имя пользователя соответствует NT AUTHORITY\SYSTEM. В этом и есть уязвимость.

Помимо PoC исследователи также нашли подходы к развитию атаки и увеличению ее поверхности за счет злоупотребления функциями в доступных интерфейсах RMI, чтобы добиться удаленного выполнения кода.

Обещают приложить больше исследовательских усилий и показать результат. Так что будем посмотреть.

Тайваньский QNAP вновь латает дыры в своих программных продуктах NAS, включая QTS, QuTS Hero, QuTScloud и myQNAPcloud, которые могут позволить злоумышленникам получить доступ к устройствам.

На этот раз клиентов предупреждают о трех уязвимости в NAS, которые могут привести к обходу аутентификации, внедрению команд и внедрению SQL.

Если два недостатка требуют от злоумышленника аутентификации в целевой системе, что значительно снижает риск, то третий CVE-2024-21899 может быть выполнен удаленно без аутентификации и имеет низкая сложность атаки.

Упомянутые менее серьезные CVE-2024-21900 и CVE-2024-21901 позволяют прошедшим проверку пользователям выполнять произвольные команды в системе и внедрять вредоносный код SQL через сеть, что потенциально может привести к несанкционированному доступу к системе или управлению ею, а также нарушить целостность базы данных.

Недостатки затрагивают различные версии операционных систем QNAP, включая QTS 5.1.x, QTS 4.5.x, QuTS Hero h5.1.x, QuTS Hero h4.5.x, QuTScloud c5.x и службу myQNAPcloud 1.0.x.

Пользователям с доступными онлайн сетевыми хранилищами рекомендуется выполнить обновление, в противном случае есть риск познакомиться с вымогателями DeadBolt, Checkmate и Qlocker, которые, можно сказать, специализируются на устройствах QNAP.

Вагон и маленькую тележку секретных материалов банда вымогателей Play вынесла в мае прошлого года из компании Xplain, который считается одним из основных поставщиков IT для правительства Швейцарии.

Правительство страны тогда распорядилось провести проверку инцидента с использованием ransomware в августе 2023 года, и в четверг Швейцарский национальный центр кибербезопасности представил свои первоначальные выводы, подтвердив утечку секретных данных.

В общей сложности швейцарские власти обнаружили, что 1,3 миллиона файлов объемом 907 ГБ оказались в руках хакеров 23 мая, а затем 1 июня были слиты в даркнет.

Как оказалось, 5% из них были связаны с федеральным правительством страны и включали 65 000 документов с секретной информацией и конфиденциальными личными данными.

Утечка затронула швейцарскую армию, несколько кантональных полицейских сил и Федеральное управление полиции. Она включала личные данные, техническую и инженерную информацию, секретные документы, пароли и многое другое.

Расследование обещают завершить к концу марта, отчет будет направлен в Федеральный совет страны. Вероятно, затем приведет к отставкам уголовным делам и судебным претензиям. Может и сейфы прикупят, да бумаги побольше.

Похоже, что американская CISA начала предупреждать об угрозах, связанных с уязвимостями Ivanti, после того, как сама была взломана через решения этого поставщика.

Обнаружив в феврале вредоносную активность, указывающую на эксплуатацию уязвимостей в решениях поставщика, CISA пришлось отключить несколько своих систем (каких именно не понятно), дабы предотвратить дальнейшее распространение угрозы.

Также CISA воздержалась от комментариев относительно того, кто может стоять за этим инцидентом и были ли украдены данные злоумышленниками.

Но знакомые с ситуацией источники, которые указали, что среди скомпрометированных систем был шлюз защиты инфраструктуры (IP Gateway) и Инструмент мониторинга химической безопасности (CSAT).

Причем в CSAT хранится часть наиболее важная и приватная информация по промышленной ифнраструктуре США, в том числе система Top Screen для химических предприятий высокого риска, планы и оценки безопасности критически важных объектов.

CISA опровергла слухи, но призвала организации пересмотреть консультативное заключение от 29 февраля, предупреждающее об эксплуатации уязвимостей в шлюзах Ivanti Connect Secure и Ivanti Policy Secure CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893.

Причем делая акцент на том, что хакеры нашли способы обхода инструментов Ivanti для защиты от компрометации.

Сюжет нового сезона захватывающего сериала под названием Ivanti 0 day продолжает удивлять, в том числе появлением достаточно неожиданных персонажей.

Но концовки, по всей видимости, так и не предвидится.

͏Сценарий остросюжетного мистического инфосек-детектива с элементами бурлеска "Трудности перевода". Краткое содержание.

В далеком конце мая 2023 года Лаборатория Касперского объявляет, что вскрыла массовую кампанию по заражению iPhone российских пользователей неизведанным вредоносным ПО. Эта кампания получает название Operation Triangulation. Несмотря на то, что сама Лаборатория никакой атрибуции не проводит, российские СМИ со ссылкой на российские же госорганы спешат сообщить, что за вирусной атакой стоят спецслужбы США. Всем становится тревожно.

Спустя полторы недели китайская инфосек компания Qihoo 360 сообщает, что к Операции Триангуляции причастна некая APT-C-63 aka Sand Eagle, а также, что используемый вредоносный инструмент имеет версию не только под iOS, но и под Windows. Однако спустя два дня отчет таинственным образом исчезает. Становится еще тревожнее.

В начале 2024 года Qihoo 360 выпускает годовой отчет по активности APT, в котором китайские исследователи помечают APT Sand Eagle как Middle East based, а Триангуляцию теперь относят к активности APT-C-40. Так китайцы издревле называют постоянную продвинутую угрозу, которая, как гласят свитки времен Династии Хань, исходит с запада, с южных берегов Потомака, из штаб-квартиры АНБ. Другое название APT-C-40 - Equation. Тревога нарастает.

В феврале 2024 года российская компания F.A.C.C.T представляет отчет, в котором, вероятно под влиянием летних прозрений китайских мудрецов, приписывает Операцию Триангуляцию группе Sand Eagle. Отчет внимательно просматривают товарищи из vx-underground, после чего инфосек сообщество начинает активно спорить - это таки русская пропаганда или нет? Кто-то, отчаявшись найти правду, задает вопрос про Sand Eagle созданному Франкенштейном Илоном Маском искусcтвенному интеллекту Grok, который сообщает, что это группа высокопрофессиональных хакеров, которая, как считается, базируется в США. Эксперты бьются в падучей, "Грок знает то, чего не ведаем мы!" - восклицают они. Тревога достигает немыслимых высот.

В финале на помощь приходят Чип и Дейл журналисты-исследователи CyberNews, которые наконец выясняют, что на самом деле Sand Eagle - это художественный роман 2006 года под названием Орел на песке. Все счастливы, играют на ситаре, поют песни, танцуют танец живота, пьют ром.

To be continued...

Исследователи из Лаборатории Касперского представили аналитику по итогам 2023 года в отношении спама и фишинга.

Статистические показатели не радуют: 45,60% писем по всему миру и 46,59% писем в Рунете были спамом, причем 31,45% всех спамовых писем были отправлены из России.

По телеметрии показатели также растут: решения ЛК заблокировали 135 980 457 вредоносных почтовых вложений и 709 590 011 попыток перехода по фишинговым ссылкам, включая более 62 тысяч в Telegram.

Киберпреступники чаще всего таргетировали фишинг на геймеров под видом рассылки выгодных предложений, приглашений к тестированию новых версий игр и участию в сделках с внутриигровыми ценностями.

Традиционно задействовалась схема со льготами и компенсациями, особенно по части налогов. Для этого дизайн сайтов, предлагающих компенсации, в деталях соответствовал реальным ресурсам налоговых органов США, Великобритании, Сингапура, Франции и других стран.

Скамеры в 2023 году заманивали жертв не только деньгами. Так, была придумана довольно оригинальная схема, где пользователей приглашали поучаствовать в лотерее, чтобы выиграть визу для иммиграции в другую страну ради работы или учебы.

Помимо выплат и лотерей, в 2023 году мошенники распространяли предложения быстрого заработка: задания, опросы и тп.

Но самым прибыльным для киберподполья в 2023 году являлся фишинг, направленный на кражу учетных данных криптокошельков. Для этого хакеры имитировали новый проект CryptoGPT (с мая 2023 года — LayerAI), а также криптовалютную биржу CommEX.

Криптовалюту в качестве приманки использовали и скам-ресурсы, заманивая предложениями заработка через «чудесный» скрипт.

Примечательно, что в 2023 году киберпреступники также расширили свой арсенал приманок. Например, попался сайт, имитирующий электронную книгу о пенсионной реформе, для ознакомления с которой нужно было зарегистрироваться и оформить бесплатную подписку, привязав к аккаунту банковскую карту.

Значительная доля фишинговых атак в 2023 году приходилась на социальные сети и мессенджеры. В русскоязычном сегменте стала популярной тема голосования за участников онлайн-конкурсов, благодаря которой злоумышленники получали доступ к аккаунту WhatsApp жертвы.

Учитывая рост популярности Telegram 2023 году злоумышленники придумали тонну приманок для пользователей мессенджера. Не обошлось без ИИ и QR, которые, можно сказать, стали одними из главных трендов в сфере фишинга и сама.

Не обошлось в 2023 году и без писем от вымогателей. Например, в декабре фиксировалась рассылка, в которой злоумышленники угрожали разослать близким получателя видео интимного характера, якобы снятое в результате взлома устройства.

Для распространения вредоносных файлов мошенники в 2023 году продолжили маскировать свои рассылки под письма от государственных органов.

На самом деле, отчет получился достаточно объемный и содержательный, всего не перескажешь, особенно массу примеров и инфографики. Так что настоятельно рекомендуем.

Уязвимости в TeamCity JetBrains теперь в арсенале ransomware-банд.

Как выяснили специалисты, за атаками стояли операторы BianLian, уже известные своими кампаниями в отношении объектов КИИ.

В последнем случае злоумышленники воспользовались недостатками CVE-2024-27198 и CVE-2024-27199 для обхода аутентификации и получения полного контроля над сервером.

Все возможно бы обошлось, поскольку в JetBrains объявили об исправлении этих уязвимостей 4 марта, однако исследователи Rapid7 произвели выстрел в спину и раскрыли детали уязвимости слишком рано, что привело к их активной эксплуатации злоумышленниками.

Цепочка атак, включала в себя эксплуатацию уязвимого экземпляра TeamCity с использованием CVE-2024-27198 или CVE-2023-42793 для получения первоначального доступа к среде с последующим созданием новых пользователей на сервере сборки, выполнением вредоносных команд и бокового перемещения.

В настоящее время неясно, какой из двух недостатков злоумышленник использовал для проникновения, но массовое использование CVE-2024-27198 было зафиксировано 6 марта и включало, как раз таки, создание мошеннических пользовательских аккаунтов и развертывание PowerShell-реализации бэкдора Go от BianLian.

Известно, что злоумышленники BianLian внедряют собственный бэкдор, написанный на Go для каждой жертвы, а также удаляют инструменты удаленного рабочего стола, такие как AnyDesk, Atera, SplashTop и TeamViewer.

Бэкдор отслеживается Microsoft как BianDoor.

JetBrains утверждает, что многие клиенты успели установить исправления до начала атак, но увы не все смогли это сделать вовремя, что привело к компрометации некоторых серверов, последующим ransomware-атакам и попыткам организации DDoS.

Поставщик обвинил Rapid7 в преждевременном раскрытии информации, но дойдут ли разборки до чего-то большего, чем просто публичные распри или как всегда: проблемы спасения утопающих, будут на стороне самих утопающих, а клиент итак все стерпит.

Еще раз вернемся к разговору про трудности перевода.

Пытаясь выцедить молекулы «правильной» атрибуции ведущих RaaS из отчета F.A.C.C.T. за 2023 года, исследователи из vx-underground с недоумением обнаруживают, что Lockbit и Babuk упоминаются в качестве ПО и не имеют привязки к каким-либо группам.

В качестве примера приводится раздел про Shadow (Comet) APT, где Lockbit и Babuk указаны в числе прочих как используемые а атаках инструменты.

Заподозрив неладное и разложив отчет на буквы, vx-underground так и нашли отсылки к операторам или владельцам RaaS, что показалось им очень подозрительным, даже несмотря на вразумительные доводы в комментариях.

Но мы неоднократно обозревали деятельность Shadow в контексте исследований F.A.C.C.T., отмечая наличие в арсенале хакеров билдера Lockbit и модифицированного ПО Babuk, которые задействовались в финансово мотивированных кампаниях в отношении организации в России и странах СНГ.

Поэтому, если бы специалисты занимались делом, а не погоней за русской пропагандой, то никаких трудностей у них бы не возникало. Но имеем, что имеем.

͏"Как работает ваша машина времени на Марсе?" - спрашивают подписчики.

А вот так!

Подкатил мартовский Patch Tuesday от Microsoft с исправлениями 60 уязвимостей, среди которых только две имеют рейтинг критических, а 18 относятся к RCE.

При этом, к всеобщему удивлению, обошлось без 0-day и эксплуатации в дикой природе. По крайней мере, согласно официальным сообщениям.

В целом разбивка по категориям выглядит следующим образом: 24 - уязвимости повышения привилегий, 3 - обхода функций безопасности, 18 - RCE, по 6 - раскрытия информации и DoS, а также 2 - спуфинга.

Помимо этого 4 ошибки исправлены в Microsoft Edge.

Две критические уязвимости затрагивают Hyper-V.

Первая CVE-2024-21407 с CVSS 8.1 позволяет коду в гостевой VM инициировать RCE и, по мнению Microsoft, достаточно сложна в эксплуатации.

Вторая CVE-2024-21408 вызывает отказ в обслуживании.

Среди уязвимостей, которые хоть и не признаны критическими, но вполне будут интересны сообществу:
- CVE-2024-21400 - EoP в Azure Kubernetes Service;
- CVE-2024-20671 - обход Microsoft Defender;
- CVE-2024-26198 - RCE в Exchange Server;
- CVE-2024-21334 - RCE в Open Management Infrastructure с CVSS 9,8 из 10;
- CVE-2024-26199 - EoP в MS Office;
- CVE-2024-21411 - RCE в Skype.

Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.

ChatGPT-Next-Web, более известный как NextChat подвержен SSRF-уязвимости, позволяющей получать доступ к файлам на серверах, на которых запущен его виджет.

Уязвимость в приложении NextChat отслеживается как CVE-2023-49785 и затрагивает все версии до 2.11.2, потенциально влияя на более чем 7500 серверов, подключенных к Интернету.

NextChat представляет собой кроссплатформенный пользовательский интерфейс чата, разработанный для использования с ChatGPT.

Обнаруженный специалистами Horizon3 баг обеспечивает доступ для чтения к внутренним конечным точкам HTTP, а также доступ для записи с использованием HTTP POST, PUT и других методов.

Как говорят исследователи, злоумышленники также могут использовать эту уязвимость для маскировки исходного IP-адреса, перенаправляя вредоносный трафик, предназначенный для других целей в сети, через эти открытые прокси.

Исследователи заявили, что они вынуждены были раскрыть информацию о данной уязвимости, поскольку поставщик не смог выпустить исправление в течение почти трех месяцев.

Более того и на данный момент патч не доступен, соответственно пользователи должны быть осведомлены о рисках и принимать меры для минимизации потенциального ущерба самостоятельно.

Fortinet выпустила патчи для критических RCE-уязвимостей в FortiOS, FortiProxy и FortiClientEMS.

Одна из них CVE-2023-42789, проблема записи за вне границ в FortiOS и FortiProxy, может позволить злоумышленникам выполнять код или команды с помощью созданных HTTP-запросов.

Обнаруженная командой безопасности Fortinet проблема была решена в совокупности с другой CVE-2023-42790, уязвимостью переполнения буфера на основе стека, которая также приводит к RCE.

Обе проблемы были устранены с выпуском FortiOS 7.4.2, 7.2.6, 7.0.13, 6.4.15 и 6.2.16, а также FortiProxy 7.4.1, 7.2.7, 7.0.13 и 2.0.14.

Второй недостаток критической степени тяжести - CVE-2023-48788, проблема SQL-инъекции в FortiClientEMS, которая позволяет неаутентизованным злоумышленникам выполнять код или команды через созданные запросы.

Проблема решена с выпуском FortiClientEMS 7.2.3 и 7.0.11.

Следует отметить, что Fortinet оценил как CVE-2023-42789, так и CVE-2023-48788 на 9,3 по CVSS, в то время как NIST NVD указывает оба с CVSS 9,8.

Fortinet также объявила об исправлениях ряда других ошибок высокой серьезности в FortiOS и FortiProxy (ведущую к раскрытию информации), FortiClientEMS (ведущую к выполнению команд) и в FortiWLM MEA для FortiManager (приводящую к RCE).

Хотя Fortinet и не упоминает об использовании уязвимостей в дикой природе, но мы то знаем, что это неизбежно произойдет в перспективе, учитывая нацеленность хакеров на такие активы, ведь успешное препарирование проблем может позволить захватить уязвимые системы.

Админы даркнет-площадки Incognito, специализирующейся на утечках, наркотрафике и продаже прочей запрещенки, решили обчистить своих участников и слиться.

Как сообщает KrebsOnSecurity, наркорынок № 1 сначала 6 марта заморозил все активы пользователей, ссылаясь на технические сбои и обновление платформы, а затем и вовсе лишил их доступа к аккаунтам и средствам.

Но на этом проблемы у завсегдатаев Incognito не закончились.

Теперь один из владельцев маркета Pharoah потребовал от каждого селлера отступные в размере до $20 тысяч в качестве выкупа за неразглашение данных об активности на площадке.

В противном случае все чаты, транзакции валюты и прочие логи будут переданы всеобщей огласке, включая и блюстителей закона, которые уже потирают ручки в ожидании заветной даты слива, запланированной на май месяц.

Анонсированный дамп содержит 557 тысяч заказов и 862 тысяч идентификаторов криптотранзакций.

Причем при открытии админы платформы анонсировали внедренную ими систему автоматического шифрования, которая, как они утверждали, должна была обеспечивать конфиденциальность и зачистку всех следов активности участников.

Но оказалось, что это блеф, а на сайте к настоящему висит таблица со статусом платежа и обозначением тех, кто выплатил отступные, и тех, кто остается в красной зоне.

Как говорят исследователи, удивляться нечему, такая схема закрытия маркетов практикуется еще со времен Shadowcrew, а заплативших барыш по итогу тоже кинут, хотя бы в том, что в назначенную дату никакого слива не будет.

Но будем посмотреть.