ITsec NEWS

2022-06-20 17:53:02 ​ Cisco не будет исправлять критическую уязвимость в старых маршрутизаторах.

Компания Cisco рекомендует владельцам маршрутизаторов Small Business RV обновиться до более новых моделей, поскольку в старых обнаружили критическую уязвимость, которую производитель не будет исправлять.

Уязвимость существует из-за граничной ошибки при обработке HTTP-пакетов. Удаленный неавторизованный злоумышленник может отправлять специально созданные HTTP-пакеты в web-интерфейс управления, вызывать переполнение буфера и выполнять произвольный код. Успешная эксплуатация уязвимости может привести к полной компрометации уязвимой системы.

Проблема затрагивает четыре модели маршрутизаторов серии Small Business RV – RV110W Wireless-N VPN Firewall, RV130 VPN Router, RV130W Wireless-N Multifunction VPN Router и RV215W Wireless-N VPN Router. Уязвимыми являются только устройства с web-интерфейсом для удаленного управления, активированным по соединению WAN.

Хотя функция удаленного управления в настройках по умолчанию отключена, поиск в Shodan выдает множество уязвимых моделей, доступных через интернет.

Компания Cisco заявила, что не будет выпускать исправление для CVE-2022-20825 для более неподдерживаемых устройств. Единственный способ обезопасить старые модели – это отключить удаленное управление через WAN.

Пользователям рекомендуется внести изменения в настройки конфигурации до тех пор, пока они не смогут обновиться до более новых, поддерживаемых Cisco моделей маршрутизаторов Cisco Small Business RV132W, RV160 или RV160W Routers.

#Cisco #Уязвимость

ITsec NEWS Открыть/Комментировать

2022-06-20 16:20:06 ​ Утечка данных поставщика офтальмологического ПО затронула миллионы пациентов.

От утечки данных компании Eye Care Leaders, продающей программные решения для офтальмологии и оптометрии, пострадали как минимум 23 офтальмологических учреждения.

Eye Care Leaders отключила взломанные системы в течение 24 часов после обнаружения утечки, но злоумышленникам все равно удалось получить доступ к базам данных и файлам с информацией о пациентах. Потенциально скомпрометированная информация включает в себя:

«Экспертиза показала, что базы данных и файлы, скомпрометированные в ходе инцидента, не содержали банковские и финансовые данные», — говорится в письме, направленном пациентам Научного центра здоровья при Техасском технологическом университете.

TTUHSC проинформировал Министерство здравоохранения и социальных служб США об утечке данных более чем 1,29 миллиона пациентов. Но по состоянию на 19 июня это число выросло и составило 2,2 миллиона пациентов. Специалисты считают, что общее число пострадавших может быть гораздо больше, ведь Eye Care Leaders сотрудничала со множеством клиник по всей территории США.

#Утечка #ОфтальмологическоеПО

ITsec NEWS Открыть/Комментировать

2022-06-20 13:27:37 ​ Microsoft дважды исправляла уязвимость в Windows RDP.

На этой неделе исследователи из компании CyberArk поделились технической информацией об уязвимости именованного канала RDP в Windows, для которой Microsoft пришлось выпустить два пакета исправлений. RCE-уязвимость CVE-2022-21893 была устранена в январский вторник исправлений 2022 года, но вектор атаки не был исправлен. В апреле 2022 года Microsoft уже исправила новую ошибку CVE-2022-24533 .

CVE-2022-21893 представляет собой уязвимость службы удаленного рабочего стола Windows, которая может позволить непривилегированному пользователю через RDP получить доступ к файловой системе устройств подключенных пользователей.

Уязвимость позволяет злоумышленнику просматривать и изменять содержимое буфера обмена, отправленные файлы и PIN-коды смарт-карт. Злоумышленник может выдать себя за вошедшего в систему пользователя и получить доступ к подключенным устройствам жертвы (USB-устройства, жесткие диски и т.д.). «Это может привести к утечке конфиденциальных данных, боковому перемещению и повышению привилегий», — отметил CyberArk.

По словам исследователей, уязвимость существует из-за неправильной обработки разрешений именованных RDS-каналов, что позволяет пользователю с обычными привилегиями «перехватывать виртуальные RDP-каналы в других подключенных сеансах».

«Именованный канал позволял каждому пользователю в системе создавать дополнительные серверы каналов с тем же именем», — объяснила CyberArk. Microsoft изменила права доступа к каналам и запретила обычному пользователю создавать серверы именованных каналов. Однако, это не устранило возможность пользователя устанавливать разрешения для последующих экземпляров. После апрельского исправления для новых каналов создается новый уникальный идентификатор GUID, который не позволяет злоумышленнику предсказать имя следующего канала.

Сейчас уязвимостей нет, и пользователи находятся в безопасности. Специалисты порекомендовали обновить службу до последней версии для обеспечения защиты данных.

#Microsoft #Windows #Уязвимость

ITsec NEWS Открыть/Комментировать

2022-06-20 13:00:14 ​ В WhatsApp можно скрыть фото и описание профиля.

Пользователи WhatsApp теперь могут указать контакты , от которых нужно скрыть фотографию профиля, время последнего посещения, статус и сведения. Для включения функции нужно перейти в настройки приложения, выбрать «Учетная запись», затем «Конфиденциальность» и выбрать личную информацию, которую вы хотите скрыть.

Меню «Мои контакты, кроме...» позволяет выбрать контакты, с которыми вы не хотите делиться информацией профиля. Новая опция для увеличения приватности поддерживается в последней версии WhatsApp.

Напомним, что хакеры могут похитить аккаунта WhatsApp с помощью переадресации вызовов . Мошенник звонит пользователю и просит его набрать определенный номер. Если жертва делает, что ее просит хакер, то злоумышленник легко получает доступ к учетной записи.

#WhatsApp #Мессенджер

ITsec NEWS Открыть/Комментировать

2022-06-20 11:48:23 ​ В системе Siemens обнаружены RCE-уязвимости.

В системе управления сетью Siemens SINEC обнаружены 15 уязвимостей, некоторые из которых могут быть использованы для удаленного выполнения кода.

«Для устройств Siemens в сети уязвимости представляют риски DoS-атаки, утечки учетных данных и удаленного выполнения кода», — говорится в новом отчете компании по промышленной безопасности Claroty.

Недостатки CVE-2021-33722 - CVE-2021-33736 были устранены Siemens 12 октября 2021 года в версии V1.0 SP2 Update 1. «Самая серьезная из них может позволить удаленному авторизованному злоумышленнику выполнить произвольный код в системе с системными привилегиями», — отметил тогда Siemens в бюллетене.

Уязвимость CVE-2021-33723 позволяет повысить привилегии до учетной записи администратора и может быть объединена с уязвимостью обхода пути CVE-2021-33722 для удаленного выполнения произвольного кода.

Еще один недостаток CVE-2021-33729 связан с SQL-инъекцией, которая может быть использована авторизованным злоумышленником для выполнения произвольных команд в локальной базе данных.

«SINEC занимает центральное положение в сети, поскольку ему требуется доступ к учетным данным, криптографическим ключам и другим данным, предоставляющим SINEC доступ администратора для управления устройствами в сети», — сказал Ноам Моше из Claroty.

«Злоумышленнику, выполняющего LotL-атаку, (когда используются легитимные учетные данные и сетевые инструменты), SINEC помогает выполнить разведку, боковое перемещение и повышение привилегий», — добавил эксперт.

#Siemens #Уязвимость

ITsec NEWS Открыть/Комментировать

2022-06-20 11:36:41 ​ Расширения Chrome отслеживают пользователей в интернете.

Исследователь создал веб-сайт, который использует установленные расширения Google Chrome для создания цифрового отпечатка браузера и отслеживания пользователя в Интернете. 19 июня разработчик z0ccc создал сайт для снятия отпечатков Extension Fingerprints, который может генерировать хэш отслеживания на основе установленных в браузере расширений Google Chrome.

При создании расширения для браузера Chrome можно объявить определенные активы «ресурсами, доступными в Интернете (web accessible resources)», к которым могут иметь доступ веб-страницы или другие расширения. Ресурсы можно использовать для проверки установленных расширений и создания отпечатка браузера посетителя на основе комбинации найденных расширений.

Сайт Extension Fingerprints проверяет браузер посетителя на наличие расширения из 1170 популярных расширений, доступных в магазине Google Chrome. На основе комбинации установленных расширений веб-сайт генерирует хэш отслеживания, который можно использовать для отслеживания браузера.

Сайт Extensions Fingerprints работает только с браузерами Chromium и расширениями из магазина Chrome. Сайт может работать с Microsoft Edge, но его необходимо изменить, чтобы использовать идентификаторы расширений из магазина Microsoft. Сайт не поддерживает Mozilla Firefox, поскольку идентификаторы расширений Firefox уникальны для каждого экземпляра браузера.

Более того, по словам исследователя, самым популярным расширением является ublock. Также наличие более 3-х расширений делает отпечаток браузера уникальным. Extension Fingerprints был выпущен как проект React с открытым исходным кодом на GitHub, поэтому любой пользователь может увидеть, как запрашивать наличие установленных расширений.

#Chrome #MozillaFirefox #Google

ITsec NEWS Открыть/Комментировать

2022-06-19 15:46:19 ​ Вымогательское ПО ech0raix снова атакует сетевые накопители QNAP.

На официальном сайте американской корпорации Microsoft для жителей России появилось ограничение на скачивание операционных систем Windows 10 и 11, а также их образов и программы Media Creation Tool.

Попытки установки операционных систем завершаются ошибкой «404 — File or Directory not found». С подключением VPN загрузка происходит, заявляют в издании.

На данный момент корпорация Microsoft не комментировала происходящее.

Стоит отметить, что иностранные ИТ-гиганты массово отказываются от работы с российскими компаниями и государственными организациями — прекращают продажи и поддержку своего ПО.

#ВымогательскоеПО #ech0raix #QNAP

ITsec NEWS Открыть/Комментировать

2022-06-19 15:46:19 ​ Microsoft запретила российским пользователям скачивать Windows 10 и 11.

На официальном сайте американской корпорации Microsoft для жителей России появилось ограничение на скачивание операционных систем Windows 10 и 11, а также их образов и программы Media Creation Tool. Об этом сообщает ТАСС.

Попытки установки операционных систем завершаются ошибкой «404 — File or Directory not found». С подключением VPN загрузка происходит, заявляют в издании.

На данный момент корпорация Microsoft не комментировала происходящее.

Стоит отметить, что иностранные ИТ-гиганты массово отказываются от работы с российскими компаниями и государственными организациями — прекращают продажи и поддержку своего ПО.

#Microsoft #Windows #VPN

ITsec NEWS Открыть/Комментировать

2022-06-19 12:00:32 ​ Хакеры рассылают спам с загрузчиком Matanbuchus, заражающим системы Cobalt Strike.

ИБ-эксперты обнаружили новую спам-кампанию: злоумышленники заражают системы жертв вредоносным ПО Matanbuchus, которое загружает на скомпрометированные машины маячки Cobalt Strike.

Cobalt Strike — это набор инструментов для тестирования на проникновение. Киберпреступники используют его для бокового перемещения по скомпрометированным сетям и загрузки дополнительных файлов.

Matanbuchus распространяется по бизнес-модели «вредоносное ПО как услуга» с февраля 2021 года. Специалисты подразделения Unit 42 ИБ-компании Palo Alto Networks проанализировали вредонос в июне 2021 года и создали карту обширных частей его операционной инфраструктуры.

Исследователю безопасности Брэду Дункану удалось заполучить образец Matanbuchus и изучить его в лабораторных условиях. Вредонос оснащен такими функциями запуска команд PowerShell, загрузки DLL-библиотек и обеспечения постоянства на системе путем добавления запланированных задач.

В ходе спам-кампании, активной и в настоящее время, злоумышленники подделывают вредоносные электронные письма под ответ на якобы отправленное жертвой письмо, добавляя в строку темы «Re:».

В вредоносном письме содержится ZIP-архив с HTML-файлом, генерирующим второй ZIP-архив. Этот второй архив извлекает MSI-пакет, подписанный действительным цифровым сертификатом, выданным компании Westeast Tech Consulting удостоверяющим центром DigiCert.

Запуск MSI-установщика инициирует обновление каталога шрифтов для Adobe Acrobat, которое завершается сообщением об ошибке с целью отвлечь внимание жертвы от происходящего на фоне. А на фоне в две разные локации загружаются две DLL-библиотеки Matanbuchus (main.dll), создается запланированная задача для сохранения постоянства на системе после перезагрузок и устанавливается соединение с C&C-сервером.

В конечном итоге Matanbuchus загружает с C&C-сервера Cobalt Strike, обеспечивая хакерам возможности для дальнейших атак.

#CobaltStrike #Хакеры #Matanbuchus

ITsec NEWS Открыть/Комментировать

2022-06-18 19:00:48 ​ Банк России планирует заменить ApplePay и GooglePay.

Во время Петербургского международного экономического форума, заместитель председателя Банка России Ольга Скоробогатова рассказала журналистам, что ЦБ РФ рассмотрит идею создания единого платежного приложения для россиян, аналогом которой выступали ушедшие из России Google Pay и Apple Pay. Об этом сообщает «Коммерсант».

«Мы считаем возможным рассмотреть идею одного из банков по созданию некоего унифицированного мобильного приложения для проведения платежей. Но поскольку эта идея появилась только за этим круглым столом, я думаю, нам ее нужно проработать совместно с банками», - заявила чиновница.

Одним из вариантов является доработка существующего платежного сервиса «СБПэй», который в настоящее время активно внедряется банками. Однако существует риск, что в результате таких доработок данный платежный сервис может быть заблокирован на смартфонах Apple.

Напомним, в марте Apple Pay и Google Pay оказались фактически недоступны российским пользователям, SamsungPay позволяет привязывать только карты «Мир». Сервисы «СберПэй» или «Тинькофф-пэй» работают только в онлайн-магазинах. Офлайн можно использовать «Мир-Пэй», но к нему подключаются только карты «Мир».

#ApplePay #GooglePay #БанкРоссии

ITsec NEWS Открыть/Комментировать