SecAtor

2023-07-06 17:00:03 Cisco предупреждает клиентов о серьезной уязвимости, позволяющей злоумышленникам взламывать шифрование трафика.

CVE-2023-20185 была обнаружена в функции шифрования ACI Multi-Site CloudSec коммутаторов Cisco Nexus серии 9000 для ЦОДов.

Уязвимость затрагивает только коммутаторы Cisco Nexus 9332C, 9364C и 9500, только если они находятся в режиме ACI, являясь частью многосайтовой топологии, имеют включенную функцию шифрования CloudSec, с установленной прошивкой 14.0 и более поздние версии.

Она связана с проблемой реализации шифров, используемых функцией шифрования CloudSec на уязвимых коммутаторах.

Успешная эксплуатация позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно читать или изменять межсайтовый зашифрованный трафик, которым обмениваются сайты.

PSIRT компании не нашла доказательств того, что PoC нацелен на ошибку, а уязвимость использовалась в атаках.

Тем не менее, Cisco еще не выпустила обновления ПО для устранения CVE-2023-20185.

Поэтому клиентам, использующим затронутые коммутаторы, рекомендуется отключить уязвимую функцию и обратиться за помощью в службу поддержки для поиска альтернативных решений. Правда, в современных условиях она уже вряд ли поможет. Открыть/Комментировать

2023-07-06 15:10:11 В конце июня мы рассказывали про уязвимость, раскрытую исследователями из Jumpsec, которая позволяет доставлять вредоносное ПО через Microsoft Teams с учетной записью за пределами целевой организации, несмотря на ограничения в приложении для файлов из внешних источников.

Тогда, Microsoft, подтвердив наличие уязвимости, посчитала ее не заслуживающей срочного исправления, а зря.

На неделе один из участников Red Team из ВМС США разработал и представил инструмент на основе Python под названием TeamsPhisher, который использует эту проблему безопасности в Microsoft Teams для реализации автоматизированных атак на практике.

Он объединяет идею атаки Jumpsec, методы, разработанные Андреа Сантезе, а также аутентификацию и вспомогательные функции из инструмента TeamsEnum Бастиана Канбаха.

Работает утилита следующим образом: отправляется вложение, сообщение и список целевых пользователей Teams, после чего вложение загрузится в Sharepoint отправителя, а затем переберется список целей.

При этом TeamsPhisher сначала проверяет существование целевого пользователя и его способность получать внешние сообщения, что является необходимым условием для проведения атаки.

Затем он создает новый поток с целью, отправляет сообщение со ссылкой на вложение Sharepoint. Поток отображается в интерфейсе Teams отправителя для (потенциального) ручного взаимодействия.

TeamsPhisher требует, чтобы у пользователей была учетная запись Microsoft Business (поддерживается MFA) с действующей лицензией Teams и Sharepoint, что характерно для многих крупных компаний.

Инструмент также предлагает режим препросмотра, чтобы помочь проверить установленные целевые списки и оценить внешний вид сообщений с точки зрения получателя.

Среди других функций TeamsPhisher: отправка безопасных ссылок на файлы, которые может просматривать только предполагаемый получатель, указание задержки между передачами сообщений для обхода ограничения скорости, а также запись выходных данных в файл журнала.

Проблема, которую успешно реализует TeamsPhisher, все еще существует, и Microsoft до сих пор не намерена ее устранять, отмечая, что успех зависит от социальной инженерии и клиентам следует практиковать хорошие компьютерные привычки в Интернете.

Учитывая, что злоумышленники также могут использовать TeamsPhisher для доставки вредоносного ПО в целевые организации без срабатывания сигналов тревоги, пользователям настоятельно рекомендуется отключать связь с внешними арендаторами, если в этом нет необходимости, или же создать белый список с доверенными доменами, что уменьшит риск эксплуатации. Открыть/Комментировать

2023-07-06 12:55:32 Раскрыта серьезная уязвимость конфигурации ядра в версиях Linux с 6.1 по 6.4, которая отслеживается как CVE-2023-3269 и получила наименование StackRot.

Проблема безопасности может быть использована для компрометации ядра и повышения привилегий, с «минимальными усилиями».

Обнаружение приписывается исследователю Руихану Ли, который рассказал о влиянии недостатка на подсистему управления памятью ядра, отвечающей за реализацию виртуальной памяти и подкачки по требованию.

Отчет об уязвимости был отправлен разработчикам 15 июня, патч стал доступен с 1 июля.

StackRot представляет собой проблему UAF и возникает из-за того, что ядро Linux определеным образом обрабатывает расширение стека в своей подсистеме управления памятью, связанной с управлением областями виртуальной памяти VMA.

В частности, слабое место - в maple tree, новой системе структуры данных для VMA, представленной в ядре Linux 6.1, которая заменила red-black trees и опиралась на механизм RCU.

Руихан Ли отмечает, что эксплуатация StackRot — сложная задача. Несмотря на это, CVE-2023-3269 может быть первым примером теоретически пригодной для эксплуатации уязвимости использование после освобождения RCU (UAFBR).

Кроме того, исследователь объявил о планах раскрыть полные технические подробности о StackRot и PoC к концу июля.

В связи с чем, пользователям рекомендуется проверить версию ядра, на которой работает дистрибутив Linux, и перейти на версию, на которую не влияет StackRot, либо обновленную версию, содержащую исправление. Открыть/Комментировать

2023-07-05 20:30:02 Порт Нагоя, который является одним из крупнейших портов Японии и обслуживает грузовые корабли и нефтетанкеры, вынужден был поставить на стоп всю работу, поскольку попал под раздачу ransomware.

Для справки, на долю порта приходится примерно 10% от общего объема торговли Японии, он управляет 21 пирсом и 290 причалами, ежегодно обрабатывая более двух миллионов контейнеров и 165 миллионов тонн грузов.

Кроме того, порт используется Toyota Motor Corporation для экспорта большинства своих автомобилей по миру.

В администрации порта сообщили, что ее системы были заражены вредоносным ПО, каким пока не уточняется, но это привело к приостановке всех операций, связанных с погрузкой и разгрузкой контейнеров со вчерашнего дня.

В результате инцидента порт уже несет огромные финансовые потери, связанные с серьезным нарушением перевозок в Японию и из нее.

В настоящее время не ясно, кто стоял за атакой, какое вредоносное ПО использовалось. Непонятно также и то, были ли украдены какие-либо конфиденциальные данные.

В общем, фактуры пока кот наплакал, но порт атакуют уже не впервые. В прошлом году его прокатили по-легкому и всего лишь DDoS-ли сайт около 40 минут. Открыть/Комментировать

2023-07-05 19:00:03 Группа ученых из Университета Ватерлоо в Канаде раскрыла технические подробности новой атаки, которая позволяет успешно обходить системы безопасности голосовой аутентификации VA.

VA позволяет компаниям подтверждать личность своих клиентов с помощью уникального «голосового отпечатка» и в последнее время все чаще используется в банковскиом секторе, работе колл-центров и реализуется в других сценариях, критически важных с точки зрения безопасности.

После того, как была принята концепция голосовых отпечатков, злоумышленники быстро поняли, что они могут использовать ПО для дипфейков с поддержкой машинного обучения и создавать убедительные копий голоса жертвы, используя всего пять минут записанного звука.

Уязвимость систем автоматической проверки говорящих ASV к атакам спуфинга спровоцировала разработку контрмер CM, которые в совокупности образуют современный неприступный механизм контроля доступа. 

Исследователи из Ватерлоо разработали метод, который позволяет уверенно обходить все контрмеры и обманывать большинство систем голосовой аутентификации. 

Их система работает на основе обнаружения типичных для дипфейк-аудио маркеров, которые и выдают речь за сгенерированную компьютером.

Новая атака удаляет эти маркеры, делая аудио неотличимым от подлинного звука таким образом, чтобы злоумышленники могли пройти аутентификацию, не будучи обнаруженными.

Исследователи отмечают, что их атака может обойти системы безопасности VA с вероятностью успеха до 99% всего после шести попыток. Открыть/Комментировать

2023-07-05 17:25:02 Mozilla выпустила Firefox 115 с исправлениями дюжины уязвимостей, в том числе двух серьезных уязвимостей.

Отслеживаемая как CVE-2023-37201, первая из проблем с высокой степенью серьезности описывается как ошибка использования после освобождения и затрагивает WebRTC, который обеспечивает связь в реальном времени в браузерах и мобильных приложениях через API.

Злоумышленник может реализовать уязвимость при создании соединения WebRTC через HTTPS.

Вторая серьезная CVE-2023-37202 также связана с использованием после освобождения и касается движка WebAssembly SpiderMonkey.

Кроме того, исправлены ошибки безопасности памяти в Firefox 115, Firefox ESR 102.13 и Thunderbird 102.13 (CVE-2023-37211 и CVE-2023-37212), которые могли привести к RCE.

Firefox 115 также включает исправления для восьми уязвимостей средней степени серьезности, которые допускали RCE, спуфинг, размещение трекеров, подделку URL-адресов, отправке конфиденциальных данных на вредоносные сайты, а также загрузку файлов, содержащих вредоносный код.

Пять уязвимостей, включая серьезные ошибки использования после освобождения и безопасности памяти, были исправлены в обновленных Firefox ESR 102.13 и Thunderbird 102.13. Открыть/Комментировать

2023-07-05 15:30:02 Нас спрашивают, что мы думаем по поводу свежего слива американской NY Times в отношении "линейки продуктов легального spyware" от компании Цитадель.

Думаем следующее.

По нашему скромному мнению, вся суть статьиой NY Times в содержится в следующем абзаце:
Some of the encrypted app tools and other surveillance technologies have begun spreading beyond Russia. Marketing documents show efforts to sell the products in Eastern Europe and Central Asia, as well as Africa, the Middle East and South America. In January, Citizen Lab reported that Protei equipment was used by an Iranian telecom company for logging internet usage and blocking websites.

Если в двух словах - американцы переживают, что новые игроки выходят на рынок легального spyware. Хотя это никакое и не spyware. Мы уже неоднократно говорили, что истеблишмент США всеми способами стремится монополизировать рынок кибершпионского ПО. NSO Group не даст соврать. Отсюда и фантомные боли ниже поясницы у NY Times.

Казалось бы, уже и так санкции на российский инфосек накладывали-накладывали, в Касперского с Позитивами тапками кидались, а тут на тебе - Цитадель со своими продуктами на рынке нарисовалась так, что хрен сотрешь...

Поэтому искренне надеемся, что Цитадель продаст как можно больше своего ПО "in Eastern Europe and Central Asia, as well as Africa, the Middle East and South America". Лично нам они симпатичнее, чем Meta и прочие Intellexa. Открыть/Комментировать

2023-07-05 11:30:01 Предлагаем ознакомиться с самыми крупными и интересными проектами Telegram в сфере информационной безопасности:

Hack Proof — твой справочник в мире информационной безопасности. Доксинг, инструменты с github, книги, видеоуроки, пентест.

Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.

CyberYozh — подборка бесплатных лекций по анонимности, безопасности, хакингу, мультиаккаунтингу от известных экспертов (КиберДед, Люди PRO, Codeby, BespalePhone, VektorT13 и др.).

Russian OSINT — авторский канал про кибербезопасность, хакеров, искусственный интеллект и IT.

Open Source — крупнейший в Telegram агрегатор полезных программ с открытым исходным кодом. Открыть/Комментировать

2023-07-04 22:00:03 Многострадальная криптоплатформа Poly Network вновь попала под раздачу хакеров и судя по громогласным заголовкам решила перебить свой рекорд по количеству украденных средств.

Ранним воскресным утром компания потревожила клиентов и общественность заявлением, что приостанавливает услуги из-за атаки.

В Poly Network заявили, что в данный момент работают с партнерами над оценкой того, что было украдено, и призывают специалистов по безопасности блокчейна помочь в реагировании на инцидент.

Собственно, что случилось: по имеющимся данным, злоумышленникам удалось сгенерировать миллиарды несуществующих криптовалютных токенов в десятках разных блокчейнах на сумму в космические $42 млрд.

План вероятно был амбициозный и, наверное, хотелось дыхнуть в затылок Илону Маску, но нехватка ликвидности помешала злоумышленникам монетизировать гигантский токеновый тайник.

Разработчики Metis подтвердили, что для BNB и BUSD не было доступной ликвидности для продажи, в то время как начеканенные токены METIS были заблокированы разработчиками на мосту PolyNetwork.

В сообщении Poly Network сказано, что злоумышленники использовали уязвимость, которая позволила манипулировать функцией смарт-контракта в протоколе межсетевого моста.

По данным платформы, проблема затронула 57 криптовалютных активов в 10 блокчейнах, включая Ethereum, BNB Chain, Polygon, Avalanche, Heco, OKX и Metis.

Однако пока не уточняется, какую сумму все же хакерам удалось похитить.

Эпичности с Poly Network добавляет тот факт, что это не первый случай взлома криптовалютной платформы.

В 2021 году по сюжету событий можно было отснять блокбастер, ведь тогда хакер под псевдонимом Белая Шляпа смог нагнуть компанию на сумму более $600 млн.

Однако позднее он согласился вернуть украденные средства и даже получил от Poly Network солидное вознаграждение.

Чем закончится эта история посмотрим, но есть большие сомнения, что в сей раз компании повезет договориться со злоумышленником, как прежде. Открыть/Комментировать

2023-07-04 18:00:01 Сочи. Август. Багбаунти

Готов затусить с нами на Standoff Hacks? Разминай пальцы и активируй трехнедельный режим поиска уязвимостей

Кто еще в деле? Все семь компаний с открытыми программами на Standoff 365.
А это, на минуточку:
Positive Technologies
VK
Tinkoff
Азбука вкуса
Standoff 365
Rambler
Консоль

Выбирай любую (или несколько) и начинай охоту за багами прямо сегодня. На все про все — 20 дней (конкурс заканчивается в 23:59 24 июля). Тем, кто сможет найти самые дорогие для каждой программы уязвимости, и достанутся семь инвайтов (по одному на программу) на Standoff Hacks.

Что дальше? Тусовка на Красной Поляне в теплой компании, ощущение собственной крутости и, конечно, получение заслуженных ништяков

Вечеринка будет камерной: всего на 30 человек. Помимо 7 победителей, 11 приглашений получат самые скиллованые, приносящие максимальный импакт и участвующие в развитии площадки хакеры Standoff 365. Топ-3 из них смогут взять с собой +1. Еще 9 инвайтов вручат три компании, которые привезут на Standoff Hacks эксклюзивный скоуп.

Что предполагает инвайт?
Всем хакерам мы оплатим перелет и проживание.

Если два человека сдадут на одну программу самую дорогую уязвимость?
Приглашение получит тот, кто сделает это первым.

Меня уже пригласили, но еще я нашел самую дорогую уязвимость, могу ли я съездить в Сочи дважды?
Нет, второе приглашение получит хакер, сдавший второй самый дорогой баг по той же программе.

Будут ли промежуточные результаты?
Каждую неделю мы будем рассказывать о результатах в этом канале.

А что, если по одной из программ не будет сдано ни одной уязвимости?
Приглашение получит участник, сдавший самый дорогой баг, но еще не получивший приглашения.

Когда разошлют прямые приглашения и приглашения на +1?
Часть мы уже разослали, часть придет до сегодняшнего вечера.

Если у тебя остались вопросы, задавай, ответим на них в комментариях.

Участвуешь? Тогда увидимся в Сочи в августе. Открыть/Комментировать