В России могут легализовать пиратство
На фоне набирающих оборот санкций российские власти экстренно готовят меры поддержки. Согласно плану Минцифры, для поддержки российских информационных технологий предлагается механизм принудительного лицензирования в отношении ПО, без согласия патентообладателя
Также власти предлагают отмену уголовной и административной ответственности за использование пиратского программного обеспечения «из стран, поддержавших санкции».
Такой шаг мог бы временно смягчить уход из России Microsoft, IBM, Oracle и других, допускают эксперты. Но большая часть значимого софта этих компаний продается по подписке, а значит, доступ к нему в любом случае будет заблокирован.
Эти шаги позволят российскому рынку некоторое время существовать «по инерции, не делая резких движений по импортозамещению».
На фоне набирающих оборот санкций российские власти экстренно готовят меры поддержки. Согласно плану Минцифры, для поддержки российских информационных технологий предлагается механизм принудительного лицензирования в отношении ПО, без согласия патентообладателя
Также власти предлагают отмену уголовной и административной ответственности за использование пиратского программного обеспечения «из стран, поддержавших санкции».
Такой шаг мог бы временно смягчить уход из России Microsoft, IBM, Oracle и других, допускают эксперты. Но большая часть значимого софта этих компаний продается по подписке, а значит, доступ к нему в любом случае будет заблокирован.
Эти шаги позволят российскому рынку некоторое время существовать «по инерции, не делая резких движений по импортозамещению».
Уязвимость ядра Linux
Уязвимость ядра Linux, отслеживаемая как CVE-2022-0492, может позволить злоумышленнику выйти из контейнера и выполнить произвольные команды на хосте контейнера.
Исправленная уязвимость ядра Linux высокой степени серьезности, отслеживаемая как CVE-2022-0492 (CVSS score: 7.0), может быть использована злоумышленником для выхода из контейнера и выполнения произвольных команд на хосте контейнера.
Проблема представляет собой недостаток повышения привилегий, затрагивающий функцию ядра Linux под названием control groups (группы), которая ограничивает, учитывает и изолирует использование ресурсов (CPU, память, дисковый ввод/вывод, сеть и т.д.) набора процессов.
"Обнаружена уязвимость в функции cgroupreleaseagentwrite ядра Linux в файле kernel/cgroup/cgroup-v1.c. Этот недостаток при определенных обстоятельствах позволяет использовать функцию cgroups v1 releaseagent для повышения привилегий и неожиданного обхода изоляции пространства имен." - говорится в консультативном письме, опубликованном для этого недостатка.
Уязвимость ядра Linux, отслеживаемая как CVE-2022-0492, может позволить злоумышленнику выйти из контейнера и выполнить произвольные команды на хосте контейнера.
Исправленная уязвимость ядра Linux высокой степени серьезности, отслеживаемая как CVE-2022-0492 (CVSS score: 7.0), может быть использована злоумышленником для выхода из контейнера и выполнения произвольных команд на хосте контейнера.
Проблема представляет собой недостаток повышения привилегий, затрагивающий функцию ядра Linux под названием control groups (группы), которая ограничивает, учитывает и изолирует использование ресурсов (CPU, память, дисковый ввод/вывод, сеть и т.д.) набора процессов.
"Обнаружена уязвимость в функции cgroupreleaseagentwrite ядра Linux в файле kernel/cgroup/cgroup-v1.c. Этот недостаток при определенных обстоятельствах позволяет использовать функцию cgroups v1 releaseagent для повышения привилегий и неожиданного обхода изоляции пространства имен." - говорится в консультативном письме, опубликованном для этого недостатка.
Уязвимость безопасности затрагивает тысячи самоуправляемых установок GitLab
Проблема связана с отсутствием проверки аутентификации при выполнении определенных запросов GitLab GraphQL API. Удаленный злоумышленник, не прошедший проверку подлинности, может использовать эту уязвимость для сбора зарегистрированных имен пользователей, имен и адресов электронной почты GitLab.
Успешная эксплуатация уязвимости может служить плацдармом для совершения дальнейших атак, включая подбор пароля, распыление пароля и подстановка учетных данных.
CVE-2021-4191 (оценка CVSS: 5,3) затрагивает все версии GitLab Community Edition и Enterprise Edition, начиная с 13.0, и все версии, начиная с 14.4 и до 14.8.
25 февраля 2022 г были выпущены исправления для самоуправляемых серверов в рамках критических выпусков безопасности GitLab 14.8.2, 14.7.4 и 14.6.5.
Проблема связана с отсутствием проверки аутентификации при выполнении определенных запросов GitLab GraphQL API. Удаленный злоумышленник, не прошедший проверку подлинности, может использовать эту уязвимость для сбора зарегистрированных имен пользователей, имен и адресов электронной почты GitLab.
Успешная эксплуатация уязвимости может служить плацдармом для совершения дальнейших атак, включая подбор пароля, распыление пароля и подстановка учетных данных.
CVE-2021-4191 (оценка CVSS: 5,3) затрагивает все версии GitLab Community Edition и Enterprise Edition, начиная с 13.0, и все версии, начиная с 14.4 и до 14.8.
25 февраля 2022 г были выпущены исправления для самоуправляемых серверов в рамках критических выпусков безопасности GitLab 14.8.2, 14.7.4 и 14.6.5.
Вирусу Микеланджело — 30 лет
Michelangelo — первое вредоносное ПО, которое получило широкую огласку в новостных СМИ. Одним из первых его заметил владелец компьютерного магазина в австралийском Мельбурне. После установки нескольких программ на мониторе появилось большое количество странных символов. Дальнейшее расследование показало, что он невольно загрузил вирус в систему. 6 марта 1992 года вирус активировался, перезаписав данные на жёстком диске компьютеров, которые были заражены.
Статья
Michelangelo — первое вредоносное ПО, которое получило широкую огласку в новостных СМИ. Одним из первых его заметил владелец компьютерного магазина в австралийском Мельбурне. После установки нескольких программ на мониторе появилось большое количество странных символов. Дальнейшее расследование показало, что он невольно загрузил вирус в систему. 6 марта 1992 года вирус активировался, перезаписав данные на жёстком диске компьютеров, которые были заражены.
Статья
Украденными сертификатами Nvidia подписывают вредоносы
Nvidia была скомпрометирована хакерской группой Lapsus$, которая похитила у производителя учетные данные 71 000 сотрудников, исходные коды и другую информацию.
В ходе утечки пострадали и два сертификата для подписи кода, которые разработчики Nvidia использовали для подписи своих драйверов и исполняемых файлов. Срок действия этих сертификатов истек, однако Windows по-прежнему позволяет использовать их для подписи драйверов.
ИБ-специалисты обнаружили, что недавно украденные сертификаты уже используются злоумышленниками для подписания исходных кодов малвари. Это трюк позволяет маскироваться под легитимное ПО, в итоге загружая в Windows вредоносные драйверы.
Nvidia была скомпрометирована хакерской группой Lapsus$, которая похитила у производителя учетные данные 71 000 сотрудников, исходные коды и другую информацию.
В ходе утечки пострадали и два сертификата для подписи кода, которые разработчики Nvidia использовали для подписи своих драйверов и исполняемых файлов. Срок действия этих сертификатов истек, однако Windows по-прежнему позволяет использовать их для подписи драйверов.
ИБ-специалисты обнаружили, что недавно украденные сертификаты уже используются злоумышленниками для подписания исходных кодов малвари. Это трюк позволяет маскироваться под легитимное ПО, в итоге загружая в Windows вредоносные драйверы.
Дефекты TLStorm позволяют удаленно манипулировать питанием миллионов корпоративных устройств ИБП
Исследователи из компании Armis, занимающейся вопросами безопасности IoT, обнаружили три серьезных дефекта безопасности, получивших общее название TLStorm, в устройствах APC Smart-UPS.
Эти дефекты могут позволить удаленным злоумышленникам манипулировать питанием миллионов корпоративных устройств, осуществляя экстремальные киберфизические атаки.
APC насчитывает более 20 миллионов устройств по всему миру, по данным исследователей, почти 8 из 10 компаний подвержены уязвимостям TLStorm.
Две из уязвимостей TLStorm кроются в реализации TLS, используемой устройствами Smart-UPS, подключенными к облаку, а третья представляет собой дефект конструкции в процессе обновления прошивки устройств Smart-UPS.
Этот третий недостаток может быть использован злоумышленником для достижения стойкости путем установки вредоносного обновления на уязвимые устройства ИБП.
Ниже приведен список недостатков, обнаруженных экспертами:
CVE-2022-22806 - Обход аутентификации TLS: Путаница состояний в рукопожатии TLS приводит к обходу аутентификации, что дает возможность удаленного выполнения кода (RCE) с помощью обновления сетевой прошивки.
CVE-2022-22805 - Переполнение буфера TLS: Ошибка повреждения памяти при повторной сборке пакетов (RCE).
CVE-2022-0715 - обновление неподписанной прошивки, которая может быть обновлена по сети (RCE).
Исследователи из компании Armis, занимающейся вопросами безопасности IoT, обнаружили три серьезных дефекта безопасности, получивших общее название TLStorm, в устройствах APC Smart-UPS.
Эти дефекты могут позволить удаленным злоумышленникам манипулировать питанием миллионов корпоративных устройств, осуществляя экстремальные киберфизические атаки.
APC насчитывает более 20 миллионов устройств по всему миру, по данным исследователей, почти 8 из 10 компаний подвержены уязвимостям TLStorm.
Две из уязвимостей TLStorm кроются в реализации TLS, используемой устройствами Smart-UPS, подключенными к облаку, а третья представляет собой дефект конструкции в процессе обновления прошивки устройств Smart-UPS.
Этот третий недостаток может быть использован злоумышленником для достижения стойкости путем установки вредоносного обновления на уязвимые устройства ИБП.
Ниже приведен список недостатков, обнаруженных экспертами:
CVE-2022-22806 - Обход аутентификации TLS: Путаница состояний в рукопожатии TLS приводит к обходу аутентификации, что дает возможность удаленного выполнения кода (RCE) с помощью обновления сетевой прошивки.
CVE-2022-22805 - Переполнение буфера TLS: Ошибка повреждения памяти при повторной сборке пакетов (RCE).
CVE-2022-0715 - обновление неподписанной прошивки, которая может быть обновлена по сети (RCE).
Злоумышленники используют контактные формы веб-сайтов для распространения вредоносного ПО BazarLoader
Исследователи из компании Abnormal Security, специализирующейся на кибербезопасности, заметили, что злоумышленники распространяют вредоносную программу BazarLoader/BazarBackdoor через контактные формы веб-сайтов.
Операция TrickBot недавно подошла к концу, по данным AdvIntel, некоторые из ее ведущих членов переходят в банду Conti ransomware, которая планирует заменить популярного банковского троянца на более скрытный BazarBackdoor.
BazarBackdoor был разработан основной командой разработчиков TrickBot и использовался для получения удаленного доступа в корпоративные сети и использования их для развертывания ransomware.
С ростом популярности TrickBot его стало легко обнаружить с помощью антивирусных решений, по этой причине банда начала использовать BazarBackdoor для первоначального доступа к сетям.
Исследователи из компании Abnormal Security, специализирующейся на кибербезопасности, заметили, что злоумышленники распространяют вредоносную программу BazarLoader/BazarBackdoor через контактные формы веб-сайтов.
Операция TrickBot недавно подошла к концу, по данным AdvIntel, некоторые из ее ведущих членов переходят в банду Conti ransomware, которая планирует заменить популярного банковского троянца на более скрытный BazarBackdoor.
BazarBackdoor был разработан основной командой разработчиков TrickBot и использовался для получения удаленного доступа в корпоративные сети и использования их для развертывания ransomware.
С ростом популярности TrickBot его стало легко обнаружить с помощью антивирусных решений, по этой причине банда начала использовать BazarBackdoor для первоначального доступа к сетям.
Крупнейший хакер из REvil экстрадирован в США
Гражданин Украины Ярослав Васинский был экстрадирован в США, где теперь предстанет перед судом. В сети он был известен под ником MrRabotnik (а также Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, и Affiliate 22). С 2019 года он взламывал компании по всему миру (совершив не менее 2500 атак) и разворачивал в их инфраструктуре малварь REvil.
Подозреваемого задержали польские власти на пограничном пункте между Украиной и Польшей. Если он будет признан виновным по всем пунктам обвинения, ему грозит в общей сложности 115 лет лишения свободы.
Гражданин Украины Ярослав Васинский был экстрадирован в США, где теперь предстанет перед судом. В сети он был известен под ником MrRabotnik (а также Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, и Affiliate 22). С 2019 года он взламывал компании по всему миру (совершив не менее 2500 атак) и разворачивал в их инфраструктуре малварь REvil.
Подозреваемого задержали польские власти на пограничном пункте между Украиной и Польшей. Если он будет признан виновным по всем пунктам обвинения, ему грозит в общей сложности 115 лет лишения свободы.
Карта санкционных рисков Рунета и способы их упреждения
В связи со стремительным ростом масштабов блокировок и санкций возникает необходимость составить список наиболее критических угроз инфраструктуре Рунета и способов их упреждения.
Данная статья подразумевается в качестве инструкции для ИТ-организаций, государственных учреждений и рядовых пользователей с целью избежать информационной блокады.
Статья
В связи со стремительным ростом масштабов блокировок и санкций возникает необходимость составить список наиболее критических угроз инфраструктуре Рунета и способов их упреждения.
Данная статья подразумевается в качестве инструкции для ИТ-организаций, государственных учреждений и рядовых пользователей с целью избежать информационной блокады.
Статья
‼️Важно‼️
В связи с последними событиями, мы ищем проекты в IT отрасли для финансирования и кооперации, а так же IT специалистов в найм.
Приоритетные направления:
⁃ Медицина
⁃ AI и Big Data
⁃ Blockchain, в том числе high risk
⁃ Сельское хозяйство
⁃ WEB 3.0 / Metaverse
⁃ Платежные системы
Готовы выкупать и рассматривать для финансирования замороженные проекты, а также находящиеся в стадии разработки или уже готовые решения для помощи выхода на рынок.
Резюме и описание проектов просьба присылать на эл. почту:
leadteamhr@protonmail.com
Или Телеграм: @LEAD_TEAM_HR
В связи с последними событиями, мы ищем проекты в IT отрасли для финансирования и кооперации, а так же IT специалистов в найм.
Приоритетные направления:
⁃ Медицина
⁃ AI и Big Data
⁃ Blockchain, в том числе high risk
⁃ Сельское хозяйство
⁃ WEB 3.0 / Metaverse
⁃ Платежные системы
Готовы выкупать и рассматривать для финансирования замороженные проекты, а также находящиеся в стадии разработки или уже готовые решения для помощи выхода на рынок.
Резюме и описание проектов просьба присылать на эл. почту:
leadteamhr@protonmail.com
Или Телеграм: @LEAD_TEAM_HR
Исследователи узнали, как можно усилить DDoS-атаку в 4 миллиарда раз
Новые атаки назвали TP240PhoneHome (CVE-2022-26143). Они уже использовались для запуска DDoS’а, нацеленного на интернет-провайдеров, финансовые учреждения, логистические компании, игровые фирмы и другие организации.
Атакуемый сервис в уязвимых системах Mitel называется tp240dvr (TP-240 driver). Драйвер содержит команду генерации трафика, которая нужна для стресс-тестирования клиентов и обычно используется для отладки и тестов производительности. Злоупотребляя этой командой, злоумышленники могут генерировать мощные потоки трафика с этих устройств. К тому же эта проблемная команда активна по умолчанию.
Специалисты обнаружили в интернете около 2600 незащищенных устройств Mitel, которые уязвимы для атак и могут использоваться для усиления DDoS, причем подобная атака может длиться порядка 14 часов.
Разработчики Mitel уже выпустили обновления для своего ПО, которые отключают публичный доступ к тестовой функции.
Новые атаки назвали TP240PhoneHome (CVE-2022-26143). Они уже использовались для запуска DDoS’а, нацеленного на интернет-провайдеров, финансовые учреждения, логистические компании, игровые фирмы и другие организации.
Атакуемый сервис в уязвимых системах Mitel называется tp240dvr (TP-240 driver). Драйвер содержит команду генерации трафика, которая нужна для стресс-тестирования клиентов и обычно используется для отладки и тестов производительности. Злоупотребляя этой командой, злоумышленники могут генерировать мощные потоки трафика с этих устройств. К тому же эта проблемная команда активна по умолчанию.
Специалисты обнаружили в интернете около 2600 незащищенных устройств Mitel, которые уязвимы для атак и могут использоваться для усиления DDoS, причем подобная атака может длиться порядка 14 часов.
Разработчики Mitel уже выпустили обновления для своего ПО, которые отключают публичный доступ к тестовой функции.
Конкурсы и задачи по OSINT и геолокации
Лучший способ прокачаться в OSINT — это практика. А если эта практика еще и с игровыми механиками, с мировым комьюнити и с фаном, то мотивация повышать свое мастерство возрастает невероятно. Предлагаем вашему вниманию подборку самых топовых и самых интересных челленджей и квизов по всем разновидностям OSINT.
Статья
Лучший способ прокачаться в OSINT — это практика. А если эта практика еще и с игровыми механиками, с мировым комьюнити и с фаном, то мотивация повышать свое мастерство возрастает невероятно. Предлагаем вашему вниманию подборку самых топовых и самых интересных челленджей и квизов по всем разновидностям OSINT.
Статья
Qnap предупредила, что уязвимость Dirty Pipe затрагивает большинство NAS компании
Уязвимость Dirty Pipe (CVE-2022-0847; 7,8 балла по шкале CVSS) появилась в коде ядра Linux еще в версии 5.8 (даже на устройствах под управлением Android) и недавно была исправлена в версиях 5.16.11, 5.15.25 и 5.10.102.
Dirty Pipe позволяет непривилегированному локальному пользователю внедрять и перезаписывать данные в файлы, доступные только для чтения, включая процессы SUID, работающие под root.
Также в начале месяца был опубликован PoC-эксплоит для уязвимости. Он позволяет локальным пользователям внедрять собственные данные в конфиденциальные файлы, предназначенные только для чтения, снимая ограничения или изменяя конфигурацию таким образом, чтобы обеспечить себе более широкий доступ, чем положено.
«В настоящее время для этой уязвимости нет доступных средств защиты. Мы рекомендуем пользователям проверять и устанавливать обновления безопасности сразу, как только они станут доступны», — гласит официальный бюллетень безопасности производителя.
Уязвимость представляет угрозу для весьма широкого спектра устройств, включая девайсы с QTS 5.0.x и QuTS hero h5.0.x на борту. Qnap подчеркивает, что устройства, работающих под управлением QTS 4.x не подвержены свежей проблеме.
Уязвимость Dirty Pipe (CVE-2022-0847; 7,8 балла по шкале CVSS) появилась в коде ядра Linux еще в версии 5.8 (даже на устройствах под управлением Android) и недавно была исправлена в версиях 5.16.11, 5.15.25 и 5.10.102.
Dirty Pipe позволяет непривилегированному локальному пользователю внедрять и перезаписывать данные в файлы, доступные только для чтения, включая процессы SUID, работающие под root.
Также в начале месяца был опубликован PoC-эксплоит для уязвимости. Он позволяет локальным пользователям внедрять собственные данные в конфиденциальные файлы, предназначенные только для чтения, снимая ограничения или изменяя конфигурацию таким образом, чтобы обеспечить себе более широкий доступ, чем положено.
«В настоящее время для этой уязвимости нет доступных средств защиты. Мы рекомендуем пользователям проверять и устанавливать обновления безопасности сразу, как только они станут доступны», — гласит официальный бюллетень безопасности производителя.
Уязвимость представляет угрозу для весьма широкого спектра устройств, включая девайсы с QTS 5.0.x и QuTS hero h5.0.x на борту. Qnap подчеркивает, что устройства, работающих под управлением QTS 4.x не подвержены свежей проблеме.
Множество хостящихся у GoDaddy сайтов оказались одновременно заражены бэкдором
Эксперты обнаружили, что множество сайтов на WordPress, использующих хостинг GoDaddy Managed WordPress, были заражены одинаковым бэкдором. Проблема затронула крупных реселлеров, включая MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet, а также Host Europe Managed WordPress.
Проблему еще 11 марта заметили аналитики Wordfence, которые сообщают, что за сутки бэкдором было заражено 298 сайтов, 281 из которых были размещены у GoDaddy.
Сам бэкдор представляет собой старый инструмент для отравления SEO (SEO poisoning) в Google, датированный 2015 годом. Он имплантируется в wp-config.php, извлекает шаблоны спам-ссылок с управляющего сервера, а затем использует их для внедрения вредоносных страниц в результаты поиска.
Преимущественно такие шаблоны связаны с фармацевтическим спамом, и они показываются посетителям взломанных сайтов вместо фактического контента. Похоже, таким образом злоумышленники хотят вынудить жертв покупать поддельные продукты, теряя при этом деньги и сливая свои платежные реквизиты хакерам.
Вектор этой массовой атаки пока не определен, однако происходящее очень похоже на атаку на цепочку поставок. Стоит вспомнить, что в декабре 2021 года GoDaddy пострадал о утечки данных, которая затрагивала 1,2 млн клиентов компании, использующих WordPress. В их числе были и реселлеры Managed WordPress хостинга, упомянутые выше. Можно предположить, что эти инциденты связаны, и теперь мы наблюдаем последствия прошлогодней утечки.
Эксперты обнаружили, что множество сайтов на WordPress, использующих хостинг GoDaddy Managed WordPress, были заражены одинаковым бэкдором. Проблема затронула крупных реселлеров, включая MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet, а также Host Europe Managed WordPress.
Проблему еще 11 марта заметили аналитики Wordfence, которые сообщают, что за сутки бэкдором было заражено 298 сайтов, 281 из которых были размещены у GoDaddy.
Сам бэкдор представляет собой старый инструмент для отравления SEO (SEO poisoning) в Google, датированный 2015 годом. Он имплантируется в wp-config.php, извлекает шаблоны спам-ссылок с управляющего сервера, а затем использует их для внедрения вредоносных страниц в результаты поиска.
Преимущественно такие шаблоны связаны с фармацевтическим спамом, и они показываются посетителям взломанных сайтов вместо фактического контента. Похоже, таким образом злоумышленники хотят вынудить жертв покупать поддельные продукты, теряя при этом деньги и сливая свои платежные реквизиты хакерам.
Вектор этой массовой атаки пока не определен, однако происходящее очень похоже на атаку на цепочку поставок. Стоит вспомнить, что в декабре 2021 года GoDaddy пострадал о утечки данных, которая затрагивала 1,2 млн клиентов компании, использующих WordPress. В их числе были и реселлеры Managed WordPress хостинга, упомянутые выше. Можно предположить, что эти инциденты связаны, и теперь мы наблюдаем последствия прошлогодней утечки.