SecAtor

2024-05-14 21:45:02 Открыть/Комментировать

2024-05-14 19:10:01 Исследователи предупреждают об активной эксплуатации N-day уязвимостей в популярном решении резервного копирования и восстановления Arcserve Unified Data Protection (UDP), которые используются для обеспечения доступа к сетям жертв.

Тревогу забили за рубежом, а точнее в Национальной системе здравоохранения Великобритании, которая сообщила о начале атак с использованием трех исправленных недостатков, среди которых:

- CVE-2024-0799 (9.8 критическая): обход аутентификации, которым может воспользоваться удаленный злоумышленник, не прошедший проверку подлинности, отправив HTTP-сообщение POST без параметра пароля в конечную точку /management/wizardLogin.

- CVE-2024-0800 (высота 8,8): уязвимость обхода пути позволяет удаленному злоумышленнику, прошедшему проверку подлинности, загружать произвольные файлы в любой каталог файловой системы, где установлена UDP-консоль.

- CVE-2024-0801 (ожидается оценка CVSS): уязвимость приводит к вызову состояния отказа в обслуживании (DoS).

Arcserve опубликовала рекомендации по безопасности для уязвимостей в марте 2024 года и уже на следующий день Tenable выпустила PoC для CVE-2024-0799, CVE-2024-0800 и CVE-2024-0801.

Вскоре после этого и последовали возможные попытки использования Arcserve UDP.

Затронутым организациям настоятельно рекомендуется ознакомиться с рекомендациями по безопасности и оперативно применить все соответствующие обновления для Arcserve UDP версий 8.1–9.2. Открыть/Комментировать

2024-05-14 17:40:01 Исследователи Cybernews сообщают об обнаружении 6 мая второй по величине утечки после Mother of All Breaches (MOAB) с 26 млрд. записей, которую назвали COMB (compilation of many breaches).

Но главная ее особенность заключается даже не в объеме утечки (более 1,2 миллиарда записей), а в ее содержании - колоссальный набор конфиденциальных данных ориентирован исключительно на граждан Китая, покрывая до 87% жителей страны.

Владелец COMB, вероятно, непреднамеренно произвел неправильные настройки экземпляра Elasticsearch, что сделало их доступными в Интернет.

Причем работу по созданию COMB неизвестный актор начал не так давно, первая запись была загружена 29 апреля. Неделю спустя конечная версия уже включала 1 230 703 487 записей личных данных граждан Китая, и их количество продолжает расти.

Полный набор данных имеет дубликаты, что по всей видимости, позволяет злоумышленникам просматривать все утекшие данные о человеке, связывая воедино различные данные из разных источников.

Несмотря на то, что COMB был размещен в одном из ЦОДов в Германии, настройки интерфейса Kibana с китайским языком указывают, что админ может иметь китайское происхождение.

Большая часть данных собрана из предыдущих публичных утечек, однако в компиляцию также включены некоторые частные и ранее не сливавшиеся наборы данных.

Как выяснили исследователи, COMB включает в себя: по 600 и 500 млн. записей идентификаторов и номеров телефонов в QQ и Weibo, а также несколько десятков миллионов записей с номерами телефонов и документов, именами, почтовыми и электронными адресами из ShunFeng, Pingan, Jiedai, Siyaosu.

Исследователи не располагают информацией о том, кому и зачем нужна была COMB, никто из киберподполья ответственности за утечку на себя не взял.

Cybernews проинформировала немецкого провайдера, полагая, что COMB определенно имеет преступный потенциал и будет использоваться для планирования и совершения широкомасштабных атак на КНР. Открыть/Комментировать

2024-05-14 16:10:01 Подкатил глобальный Apple Patch Day с исправлениями серьезных уявзвимостей в iPhone, iPad и macOS, включая 0-day на старых флагманских мобильных устройствах, которые, по всей видимости, уже подвергались атакам.

В целом специалисты из Купертино задокументировали как минимум 16 уязвимостей в iPhone и iPad, обращая особое внимание на CVE-2024-23296, ошибку повреждения памяти в RTKit, которая «могла быть использована» до появления исправлений.

Apple RTKit - это встроенная операционная система реального времени, которая работает практически на всех устройствах Apple и в прошлом подвергалась атакам с использованием эксплойтов, обходящих защиту памяти ядра.

Apple заявила, что ошибка использовалась в старых версиях iOS, и выпустила iOS 16.7.8 и iPadOS 16.7.8 с исправлениями.

Отдельно Apple задокументировала 14 дефектов безопасности в новейших версиях iOS и предупредила, что некоторые из этих проблем могут привести к RCE, раскрытию данных и конфиденциальности, а также к сбоям в системе.

Компания также выкатила исправления для всей линейки настольных ОС: macOS Sonoma, macOS Ventura и macOS Monterey, отметив, что закрытые недостатки могут привести к выполнению RCE, повышению привилегий и несанкционированному доступу к данным. Открыть/Комментировать

2024-05-06 15:21:37 В Mullvad VPN обнаружили интересную особенность в Android, которую даже ошибкой то сложно назвать.

Во всяком случае в Google о ней знают, но исправлений пока планируют.

Дело в том, что даже при активированной функции Always-on VPN в Android все равно происходит утечка DNS-запросов, несмотря на блокировку любого сетевого графика вне VPN-туннеля.

Проблема была обнаружена 22 апреля и присутствовала в последней версии ОС, Android 14.

Как выяснилось, Android пропускает DNS-трафик, когда VPN активен (но DNS-сервер не настроен) или когда приложение VPN перенастраивает туннель, выходит из строя или принудительно останавливается.

Подобное поведение возникает при использовании приложений, которые напрямую вызывают функцию getaddrinfo, которая обеспечивает независимый от протокола перевод текстового имени хоста в IP-адрес.

Как в случае с браузером Chrome, который напрямую использует getaddrinfo.

При этом исслкедователи из Mullvad VPN не обнаружили никаких утечек из приложений, которые используют только Android API, такие как DnsResolver.

Вообще же задействование getaddrinfo для разрешения доменных имен вполне приемлемо, проблемы следует решать на стороне самой ОС, как считают в Mullvad VPN.

В качестве мер по смягчению и для снижения риска таких утечек Mullvad VPN рекомендуют временно отказаться от Android-устройств, пока Google не устранит ошибку и не перенесет исправление на более старые версии Android.

В Google пока не особо комментируют результаты исследования, ссылаясь на осведомленность и изучение проблемы.

В АНБ, по всей видимости, тоже пока думают и еще не спускали директив. Открыть/Комментировать

2024-05-03 17:58:17 Microsoft сообщила о новой атаке Dirty Stream, которая затрагивает приложения Android с миллиардами установок. 

Проблема связана с механизмом обмена данными и файлами в Android, в частности с компонентом поставщика контента и классом FileProvider, который обеспечивает общий доступ к файлам между установленными приложениями.

Он обеспечивает изоляцию данных, разрешения URI и меры безопасности проверки пути для предотвращения несанкционированного доступа, утечек данных и атак с обходом пути.

Неправильная реализация этого механизма может привести к потенциально серьезным уязвимостям.

Microsoft обнаружила, что вредоносные приложения могут использовать Dirty Stream для перезаписи файлов в домашнем каталоге целевого приложения, что может привести к выполнению произвольного кода и краже токенов. 

Компания раскрыла подробности Dirty Stream, акцентируясь на уязвимые приложения Xiaomi File Manager и WPS Office, которые в совокупности имеют более 1,5 миллиардов установок из Google Play.

Исследователи выявили и другие уязвимые приложения в Google Play Store с совокупным числом установок в более четырех миллиардов.

Но в Microsoft полагают, что эта уязвимость может присутствовать и в других приложениях Android, открывая достаточно широкую поверхность для атак.

В связи с чем рассчитывают, что после публикации результатов исследования, в том числе в статье на сайте Android Developers, авторы проверят свои приложения на наличие аналогичных проблем и предотвратят их в будущих сборках.

Google также обновила руководство по безопасности приложений, чтобы выделить распространенные ошибки реализации в системе поставщика контента, которые позволяют обойти безопасность.

Что же касается конечных пользователей, то для них рекомендации остаются все теми же: поддерживать актуальность используемых ими приложений и избегать загрузки APK-файлов из неофициальных источников. Открыть/Комментировать

2024-04-22 21:45:02 ͏Как я ворвался в инфосек. Часть 4. Открыть/Комментировать

2024-04-22 16:14:29 Героем новой серии Ivanti Zero-Days вслед за CISA стала другая небезызвестная американская структура - MITRE, также вынужденная рапортовать о киберинцидленте.

Как оказалось, ее сеть исследований и разработок NERVE взломала еще в начале января неназванная APT благодаря тем самым нулям в Ivanti, но заметить нападение удалось только недавно.

Атакующие за это время успешно препарировали сетевую среду экспериментирования, исследований и виртуализации MITRE NERVE для совместной работы, которая используется для исследований, разработок и прототипирования.

В ходе предварительного расследования MITRE установила, что атака включала эксплуатацию двух уязвимостей в устройствах Ivanti Connect Secure VPN для первоначального доступа.

Злоумышленники провели разведку, воспользовались нулями в Ivanti и обошли его систему многофакторной аутентификации с помощью перехвата сеанса.

После чего глубоко проникли в инфраструктуру VMware сети, используя скомпрометированную учетную запись администратора. А для обеспечения устойчивости и сбора учетных данных задействовали комбинацию сложных бэкдоров и веб-шеллов.

CVE-2023-46805 и CVE-2024-21887 на момент атаки относились к категории 0-day и 10 января благодаря Volexity стало известно об их активной эксплуатации.

Тогда Ivanti выкатила бесполезные меры по смягчению, а исправления смогла представить лишь спустя три недели.

В связи с чем, заложенный Ivanti временной лаг был реализован хакерами, которые развернули широкомасштабную кампанию по эксплуатации нулей. Вероятно, в тот момент и MITRE попала под раздачу.

Расследование MITRE продолжается, но на данный момент пока не получено никаких свидетельств, что инцидент затронул основную корпоративную сеть или системы партнеров.

Но будем посмотреть. Открыть/Комментировать

2024-04-16 20:20:02 Как одна маленькая ошибка может подорвать безопасность целой индустрии?

А очень просто поскольку в популярном клиенте SSH и Telnet в версиях PuTTY с 0.68 по 0.80, выпущенных до обновления 0.81, была найдена критическая уязвимость (CVE-2024-31497), позволяющая атакующему восстановить секретный ключ пользователя.

Эта уязвимость особенно опасна в сценариях, когда злоумышленник может читать сообщения, подписанные с помощью PuTTY или Pageant. Набор подписанных сообщений может быть доступен публично, например, если они хранятся на общедоступном Git-сервисе, использующем SSH для подписи коммитов.

Это означает, что злоумышленник может уже иметь достаточно информации для компрометации частного ключа жертвы, даже если уязвимые версии PuTTY больше не используются.

Ахтунг, собственно, кроется в том, что после компрометации ключа злоумышленник может провести атаки на цепочку поставок программного обеспечения, хранящегося в Git.

Более того, существует второй, независимый сценарий, который включает в себя злоумышленника, управляющего SSH-сервером, к которому жертва аутентифицируется (для удаленного входа или копирования файлов), даже если этот сервер не полностью доверен жертвой.

Оператор такого сервера может вывести частный ключ жертвы и использовать его для несанкционированного доступа к другим сервисам. Если эти сервисы включают в себя Git-сервисы, то злоумышленник снова может провести атаки на цепочку поставок.

Уязвимость затрагивает не только PuTTY, но и другие популярные инструменты, такие как FileZilla до версии 3.67.0, WinSCP до версии 6.3.3, TortoiseGit до версии 2.15.0.1 и TortoiseSVN до версии 1.14.6.

Предупрежден, значит обновлен. Увы не тот случай, когда с обновлением можно повременить. Открыть/Комментировать

2024-04-11 15:22:02 Границы между технологическим прогрессом и злонамеренным использованием становятся всё более размытыми, что отражает последнее открытие исследователей из Proofpoint.

Они установили, что Scully Spider (или TA547) начала применять в своих атаках скрипт PowerShell, созданный, с применением ИИ, открывая новую эру в киберпреступности, где ИИ становится оружием в руках хакеров.

С марта этого года скрипт был задействован в кампании по рассылке электронной почты в Германии, выдавая себя за немецкий бренд Metro cash-and-carry.

Целью атаки была доставка вредоносной ПО Rhadamanthys с целью последующей кражи информации.

TA547 активна с 2017 года и ранее задействовала разнообразный арсенал вредоносного ПО для систем Windows и Android, но в последнее время отдавая предпочтение модульному грабберу Rhadamanthys, постоянно расширяющему свои возможности.

Признаки использования ИИ в создании скрипта, такие как исключительная детализация комментариев и использование хеш-символов, указывают на возможное применение систем, подобных ChatGPT, Gemini или CoPilot.

Уж слишком идеально был написан код, что не соответствует обычной практике разработчиков, чьи комментарии зачастую скупы и содержат бытовые ошибки.

Такое использование ИИ может свидетельствовать о генерации кода с безупречной грамматикой и подробным описанием, что ранее было нехарактерно для вредоносных ПО.

Сторонний эксперимент, проведенный специалистами с использованием ChatGPT-4, также подтвердил возможность создания подобных сценариев ИИ, что еще больше усиливает опасения относительно новых методов кибератак.

Кроме того, финансово мотивированные злоумышленники и прогосударственные APT уже начали активно использовать ИИ для создания фишинговых писем, сканирования сетей и разработки фейковых страниц, что открывает новые горизонты для махинаций в киберпространстве.

Подобно выстрелу в пустоту, OpenAI сказала, что приняла меры для блокировки аккаунтов, связанных с APT, которые использовали их систему для злонамеренных целей.

ИИ — штука удобная, но не совершенная, и непонятно, по каким критериям будут оценивать вредоносную активность аккаунтов.

Также интересно, что предложат мастодонты кибербезопасности на новые вызовы, поскольку хакеры не стоят на месте и занимаются разработкой собственных ИИ-инструментов для своих злодеяний. Открыть/Комментировать