SecAtor

2023-07-21 16:30:02 Специалисты из Eclypsium раскрыли две новые уязвимости в ПО Baseboard Management Controller (BMC) от American Megatrends (AMI).

BMC позволяет администраторам удаленно контролировать устройство, не обращаясь к ОС или работающим на нем приложениям, давая возможность для обновления прошивок, установки операционных систем, анализа журналов и еще ряда функций, что однозначно делает BMC привлекательной целью для злоумышленников.

Более того BMC, произведенный AMI, присутствует в миллионах устройств по всему миру, поскольку используется в продуктах крупных компаний, таких как Ampere, Asrock, Asus, Arm, Dell, Gigabyte, HPE, Huawei, Inspur, Lenovo, Nvidia, Qualcomm, Quanta и Tyan.

Собственно, новые уязвимости, раскрытые Eclypsium, представляют собой критическую проблему обхода аутентификации, которую можно эксплуатировать, подделывая заголовки HTTP, а также RCE.

Используя обе эти уязвимости вместе, удаленный злоумышленник с доступом к сети и к интерфейсу управления BMC, без каких-либо учетных данных, может реализовать удаленное выполнение кода, обманув BMC http-запросом из внутреннего интерфейса.

Ошибки отслеживаются как CVE-2023-34329 (оценка CVSS: 9.1) и CVE-2023-34330 (оценка CVSS: 8.2) соответственно, а в совокупности при объединении двух багов общая оценка серьезности составляет 10 из 10.

Они позволяют злоумышленнику обойти аутентификацию Redfish и удаленно выполнить произвольный код на чипе BMC с наивысшими привилегиями.

Кроме того, вышеупомянутые недостатки могут быть объединены с CVE-2022-40258 для взлома паролей к учетным записям администратора.

Уязвимости являются дополнением к набору ошибок в AMI MegaRAC BMC, которые все вместе получили название BMC&C, некоторые из которых были раскрыты в декабре 2022 года (CVE-2022-40259, CVE-2022-40242 и CVE-2022-2827) и январе 2023 года (CVE-2022-26872 и CVE-2022-40258).

Подобно ранее раскрытым уязвимостям, эти новые недостатки могут представлять значительный риск для организаций.

Поскольку злоумышленник, получивший доступ к целевому серверу BMC, может проводить широкий спектр злонамеренных воздействий, последствия которых могут быть значительным, особенно в случае с дата-центрами и облачными средами.

Кроме того, специалисты Eclypsium описали один из сценариев при котором, злоумышленник использует существующую функциональность BMC, для создания непрерывного цикла выключения на хосте и блокируя доступ легитимных пользователей к нему.

Такой тип атаки будет трудно обнаружить и устранить, а хакеры смогут использовать этот метод для вымогательства у целевой организации. Открыть/Комментировать

2023-07-21 15:13:23 Meta (которая признана в России экстремистской) подкинула пользователям WhatsApp очередные ништяки, помимо известных проблем с конфиденциальностью и цензурой.

Как оказалось, деактивация учетной записи WhatsApp может произойти без ведома и без согласия ее владельца. Для этого любому желающему достаточно отправить сообщение электронной почты в службу поддержки WhatsApp и заявить о потере устройства.

Кажется невероятным, но любознательный Джейк Мур все же попробовал провернуть фокус на тестовом устройстве и все сработало. Деактивация аккаунта была реализована с помощью простого электронного письма.

Обычно функция используется в случае утраты телефона для того, чтобы защитить учетную запись WhatsApp от доступа других лиц. Ведь даже при блокировке SIM-карты, третья сторона может использовать доступ к аккаунту по Wi-Fi.

Согласно официальному FAQ, у пользователей WhatsApp в данной ситуации есть два варианта: либо восстановить SIM, а вместе с ней и доступ к аккаунту на новом устройстве, либо обратиться в техподдержку с просьбой блокировки.

WhatsApp деактивирует учетную запись. Причем деактивированные учетные записи будут по-прежнему видны контактам, и доступны для приема сообщений. В таком состоянии она пробудет 30 дней, после чего удалиться.

Но подвох в том, что по всей видимости, WhatsApp не проверяет заявления людей и без разбора просто сразу деактивирует аккаунт, не используя при этом какую-либо другую форму проверки или идентификации владельца.

При этом пользователи не получают информацию об отключении через SMS или иным способом на привязанный номер телефона. После дезактивации и удаления, пользователь, конечно, сможет восстановить аккаунт в течение еще 30 дней, но кому нужны такие качели.

Фактически единственное, что пользователи WhatsApp сделать для защиты своих учетных записей от деактивации или удаления - постоянно следить за ее состоянием. Открыть/Комментировать

2023-07-21 13:53:28 Джеймс Кэмерон: "Я предупреждал вас в 1984 году, а вы не послушали меня!"

Режиссер фильма "Терминатор" Джеймс Кэмерон в новом интервью с телеканалом CTV News рассказал о потенциальных рисках, которые несёт в себе ИИ.

"Я думаю, что наибольшую опасность представляет использование ИИ в военных целях. Мы ввяжемся в эквивалент гонки ядерных вооружений, только теперь с ИИ", — считает Кэмерон.

"Вы можете представить себе ИИ на театре военных действий...всё это [военные действия] будет вестись компьютерами с такой скоростью, что человек даже не будет способен вмешаться, не будет возможности деэскалировать", — дополняет свои мысли режиссёр.

В настоящее время Голливуд размышляет над тем, чтобы передать ИИ часть обязанностей ремесленников киноиндустрии.

@Russian_OSINT Открыть/Комментировать

2023-07-20 20:41:13 Ушла легенда.

Все, кто хоть как-то интересовался темой информационной безопасности, так или иначе слышали имя Кевина Митника. Самого главного хакера в мире. Первого, которого посадили в тюрьму за взломы.

Перечислять его подвиги на хакерской ниве не будем, множество их описаний можно найти в сети, - Митник был человеком творческим и изобретательным.

Но главное не это. Главное - Митник был настоящим исследователем, осуществлявшем взломы из любви к искусству, а не ради денег. Таких больше не делают.

Good night sweet prince. Открыть/Комментировать

2023-07-20 18:17:44 Гэнг-бэнг или дабл пенетрейшен совершили в отношении компания по производству косметики Estée Lauder, которая, как сообщают источники, подверглась акту группового вымогательства одновременно от BlackCat и Clop.

В Estée Lauder подтвердили инцидент в заявлении для Комиссии по ценным бумагам (SEC), указав, что злоумышленники получили доступ к некоторым ее системам и, возможно, украли данные.

Компания пока не раскрывает подробности происшествия, но с ее слов принимаются соответствующие меры и отключение некоторых систем, дабы предотвратить действия злоумышленников в сети.

В общем все в ружье и привлечены даже ведущие эксперты и правоохранители, однако BlackCat высмеяли меры безопасности Estée Lauder, заявив, что они все еще находятся в сети компании и настаивают на полюбовных переговорах.

Даже если дело дойдет до откупа монетой, то как быть с ребятами из Clop, которые тоже получили доступ к компании, используя уязвимость в пресловутой платформе MOVEit Transfer.

На своем сайте утечек Clop указал Estée Lauder с громогласной пометкой, что компания не заботится о своих клиентах и игнорирует их безопасность, поскольку в руках злоумышленников дамп более чем 130 ГБ данных компании.

BlackCat также решила добавить Estée Lauder в свой DLS с угрозами раскрыть больше деталей об украденных данных, если жертва не начнет переговоры.

Вероятно, уже не так важно кто больше, кто меньше и кто там просит барыш, в компании решили не вступать в переговоры с злоумышленниками, а сосредоточиться на устранении последствий и восстановлению затронутых систем и услуг.

В Estée Lauder предупредили, что инцидент вызвал и, как ожидается, еще будет продолжать вызывать, нарушения в некоторых бизнес-процессах компании. Открыть/Комментировать

2023-07-20 16:20:01 Positive Technoligies похоже впечатлились нашим недавним протестом против падения качества исследований инфосек компаний и стали на гора выдавать неплохие статьи на своем сайте.

Вот что SecAtor животворящий делает! (почти с)

Новое исследование основано на результатах 53 внутренних и внешних пентестов, реализованных в 30 организациях в период 2021-2022 гг, которые были изучены Positive Technoligies для выделения 10 наиболее распространенных методов MITRE ATT&CK , успешно применяемых на практике.

Тестирование на проникновение — по сути это смоделированная атака, поэтому, разобрав 10 самых популярных техник и подтехник, можно понять, как противостоять реальным злоумышленникам.

В своем отчете рессерчеры Positive Technoligies объясняют, как их обнаружить, и какие превентивные меры предпринять, чтобы усложнить проведение атак или свести к минимуму вероятность того, что она поразит целевую организацию.

При этом все приемы и подприемы были сгруппированы по тактикам.

Примечательно, что исследователи сравнили профилактические меры защиты, предложенное сообществом ИБ, с требованиями Приказа № 17 ФСТЭК от 11 февраля 2013 года.

Как оказалось, предложенные меры коррелируют с приказом и охватывают 33 из 113 его требований.

Поэтому качественное выполнение нормативных требований регулятора все же позволяет выстроить полноценную систему защиты от реальных атак.

В целом же, исследование показывает, что организация противодействия атакам с акцентом на 10 выделенных методов MITRE ATT&CK повысит эффективность систем защиты и поможет обнаруживать больше атак.

Для этого крайне важно анализировать журналы событий ОС, сетевой трафик, журналы событий приложений и журналы событий контроллера домена, а также использовать современные инструменты безопасности для сбора данных и оповещения о действиях злоумышленников.

Ну, и конечно же - начать с детального ознакомления с исследованием. Открыть/Комментировать

2023-07-20 14:10:01 Исследователи Palo Alto Networks Unit 42 обнаружили нового однорангового (P2P) червя под названием P2PInfect, нацеленного на уязвимые серверы Redis для последующей эксплуатации.

Написанный на Rust P2PInfect использует серверы Redis, работающие как в ОС Linux, так и в Windows, что делает его более масштабируемым и более мощным, нежели другие черви.

По оценкам, до 934 уникальных систем Redis могут быть уязвимы для этой угрозы. Первый известный экземпляр P2PInfect был обнаружен 11 июля 2023 года.

Примечательной характеристикой червя является его способность заражать уязвимые экземпляры Redis, используя критическую уязвимость для выхода из песочницы Lua.

CVE-2022-0543 имеет оценку CVSS: 10,0 и ранее использовалась для доставки нескольких семейств вредоносных ПО, включая Muhstik, Redigo и HeadCrab, за последний год.

Первоначальный доступ после успешной эксплуатацией используется для доставки полезной нагрузки - дроппера, которая устанавливает P2P-связь с более крупной сетью и извлекает дополнительные вредоносные двоичные файлы, включая ПО для сканирования и распространения на другие открытые хосты Redis и SSH.

Зараженный экземпляр затем присоединяется к сети P2P, чтобы обеспечить доступ к другим полезным нагрузкам для будущих скомпрометированных экземпляров Redis.

Вредоносное ПО также использует сценарий PowerShell для установления и поддержания связи между скомпрометированным хостом и P2P-сетью, предлагая злоумышленникам постоянный доступ.

Более того, вариант P2PInfect для Windows включает в себя компонент Monitor для самостоятельного обновления и запуска новой версии.

Неизвестно, какова конечная цель кампании, поскольку Unit 42 отмечает, что нет четких доказательств криптоджекинга, несмотря на наличие упоминания майнера в исходном коде набора инструментов.

Но, как говорится, еще вечер. Открыть/Комментировать

2023-07-20 12:14:43 Adobe выпустила экстренное обновление для ColdFusion, которое устраняет критические уязвимости, в том числе исправление для новой 0-day, используемой в реальных атаках.

Исправление устраняет три уязвимости: критическую RCE CVE-2023-38204 (с оценкой 9,8), критическую CVE-2023-38205 неправильного контроля доступа (с оценкой 7,8) и аналогичную CVE-2023-38206 (с оценкой 5,3).

Самая критичная CVE-2023-38204 еще не экспортировалась, в то время как CVE-2023-38205 была замечена Adobe в ограниченных атаках, нацеленных на ColdFusion.

Она представляет собой обходной патч для исправления CVE-2023-29298, обхода аутентификации ColdFusion, обнаруженного исследователями Rapid7 11 июля.

13 июля Rapid7 увидели, что злоумышленники объединяют эксплойты для CVE-2023-29298 и, как оказалось, недостатки CVE-2023-29300/CVE-2023-38203 для установки веб-оболочек на уязвимые серверы ColdFusion для получения удаленного доступа к устройствам.

Как оказалось исправление уязвимости CVE-2023-29298 можно было обойти, о чем Rapid7 и сообщили в Adobe. Тривиально модифицированный эксплойт все еще работал на последней версии ColdFusion (выпущенной 14 июля).

В свою очередь, Adobe подтвердила, что исправление CVE-2023-29298 включено в APSB23-47 как исправление CVE-2023-38205.

Поскольку эта уязвимость активно используется в атаках для получения контроля над серверами ColdFusion, настоятельно рекомендуется установить обновление как можно скорее. Открыть/Комментировать

2023-07-06 20:30:01 Специалисты Zscaler ThreatLabz обнаружили малварь RedEnergy, предназначенную для атак на предприятия энергетического, нефтегазового, телекоммуникационного и машиностроительного секторов.

Вирус позволяет злоумышленникам красть информацию из различных браузеров, а также обладает функционалом вымогателя.

Злоумышленники распространяют вредоносное ПО маскируя его под фальшивые обновления веб-браузера.

В рамках исследуемого образца Stealer-as-a-Ransomware было выявлено, что злоумышленники используют тактику FAKEUPDATES, дабы обмануть жертву и заставить их обновить свои браузеры, ну а попав в систему, вредонос тайно извлекает конфиденциальную информацию и шифрует файлы.

Примечательна оказалась тактика, в которой злоумышленники использовали страницы LinkedIn для атак на своих жертв.

Причем использовались достаточно авторитетные страницы профилей, включая филиппинскую компанию по производству промышленного оборудования и несколько организаций в Бразилии.

Дальнейший вектор атаки развивался если пользователи нажимали на веб-сайты целевой компании через свой профиль LinkedIn, а затем перенаправлялись на мошеннический url, который предлагал им установить обновление браузера с заряженным RedStealer на борту.

Вирус написан на .NET и обладает продвинутыми функциями для уклонения от обнаружения и антианализа.

Он взаимодействует с серверами через HTTPS, сохраняет себя в каталоге запуска Windows и создает запись в меню Пуск.

Исследователи также обнаружили подозрительную активность, связанную с протоколом передачи файлов (FTP), что предполагает его использование злоумышленниками для кражи данных.

После успешной атаки, когда все что нужно уже обнесли используется модуль для шифрования данных с добавлением незамысловатого расширения .FACKOFF! к зашифрованным файлам, попутно удаляя резервные копии.

Специалисты отдельно отметили, что проведенный анализ в очередной раз показал эволюционный и сложный характер киберугроз, направленных против различных отраслей и организаций. Открыть/Комментировать

2023-07-06 18:26:09 Бесплатный курс по этичному хакингу.

Приветствую тебя, user_name.

• На протяжении 6 лет существования канала, в боте обратной связи скопилось огромное кол-во вопросов, но самый распространенный из всего списка был — "С чего начать?".

• Иногда хочется ответить, что если человек не умеет искать ответы на простые вопросы, то и "начинать" вкатываться в сферу, которую освещает канал, рановато... Воспользуйтесь поиском по каналу, введите нужный запрос и получите ответ. Ведь я кропотливо отбираю для тебя только качественную и нужную информацию, которая поможет тебе "начать" изучение в различных сферах #ИБ и #СИ.

• Это было лирическое отступление, которое имеет непосредственное отношение к сегодняшней теме: курсом по этичному хакингу для начинающих. Учитывайте, что курс даст тебе только поверхностные знания, а продолжить обучение можно как раз через поиск в нашем канале, либо на сайте автора. Приятного просмотра:

Краткий список затрагиваемых тем:
• Обзор, установка и обновление Kali Linux;
• NetCat и всё что с ним связано;
• Reverse Shell;
• Powercat - Обратный шелл;
• Как правильно использовать Wireshark;
• Дорки, как средство взлома;
• Сканирование портов;
• Движок NMap NSE;
• Взлом FTP и RDP с помощью Hydra;
• Взлом RDP с помощью Crowbar;
• Взлом SSH с помощью Hydra;

• Полный описание курса (134 урока) доступно по ссылке: www.youtube.com

S.E. infosec.work Открыть/Комментировать