Подкатили подробности столь срочного выпуска Apple обновлений для исправления 0-day в ОС iPhone, iPad, Mac и Apple Watch.

Как несложно было предположить в связи участием в раскрытии исследователей Citizen Lab и Google TAG, эксплуатация CVE-2023-41991, CVE-2023-41992 и CVE-2023-41993 была связана со spyware Predator от Cytrox.

В частности, на этот раз жертвой стал египетский политик Ахмед Альтантави, который подвергся атаке почти сразу после того, как объявил о выдвижении своей кандидатуры для участия в предстоящих выборах президента в 2024 году.

При этом за атакой, по данным исследователей, стояли действующие власти Египта.

При этом ранее телефон Альтантави уже успешно взломывался с помощью Cytrox spyware еще в 2021 году в рамках отдельного инцидента, как и телефоны ряда других оппозиционных деятелей.

В ходе совместного расследования с Facebook (признана в РФ экстремистской) тогда было установлено что Cytrox имеет широкую клиентуру в Армении, Греции, Индонезии, Мадагаскаре, Омане, Саудовской Аравии и Сербии.

Citizen Lab пояснила, что в период с мая по сентябрь 2023 года злоумышленники реализовали атаку с использованием фейковых SMS и сообщений WhatsApp, а также компрометируя подключение девайса к сети Vodaphone Egypt с позиции оператора для перенаправления на вредоносный сайт через определенные ресурсы без HTTPS.

На устройствах iOS использовался эксплойт для первоначального удаленного выполнения кода (RCE) в Safari через вредоносные страницы, ошибка CVE-2023-41991 для обхода проверки подписи и CVE-2023- 41992 для повышения привилегий ядра.

Кроме того, Google TAG отмечает, что злоумышленники использовали отдельную цепочку эксплойтов для установки шпионского ПО Predator на устройства Android в Египте, эксплуатируя CVE-2023-4762 в Chrome, исправленную 5 сентября — в качестве 0-day для удаленного выполнения кода.

Тем не менее, детали того, как удалось обнаружить цепочку шпионских эксплойтов, исследователи пояснять не стали.

И без того понятно что, после внесения США в июле поставщика Predator, Cytrox, в свой черный список, стали вдруг нужны разоблачительные кейсы, которых в ближайшее время станет еще больше.

Ведь прошлогодний скандал с Predator в Греции обеспечил ускоренную отставку двух высокопоставленных правительственных чиновников, включая директора национальной разведки. Теперь - Египет.

#DevOps #Roadmap

Исследователи Dr.Web сообщают, что киберпреступники активно используют серьезную уязвимость Openfire в актах для шифрования серверов и установки криптомайнеров.

Openfire — это широко используемый сервер XMPP на основе Java с более чем 9 миллионами загрузок и широко используемый для организации безопасных межплатформенных чатов.

CVE-2023-32315 представляет собой обход аутентификации в консоли администрирования Openfire, позволяющий неаутентифицированным злоумышленникам создавать учетные записи администратора на уязвимых серверах.

Используя новые учетные записи, злоумышленники могут устанавливать вредоносные плагины Java (файлы JAR), посредством которых выполнять команды, полученные через HTTP-запросы GET и POST.

Ошибка затрагивает все версии Openfire от 3.10.0, начиная с 2015 года, до 4.6.7 и от 4.7.0 до 4.7.4.

Несмотря на то, что разработчики устранили проблему в версиях 4.6.8, 4.7.5 и 4.8.0 еще в мае 2023 года, исследователи VulnCheck к середине августа 2023 года наблюдали более 3000 серверов Openfire, работающих под управлением уязвимых версий.

Первый случай активной эксплуатации исследователи Dr. Web заметили в июне 2023 года в ходе расследования атаки ransomnware, реализованную с использованием CVE-2023-32315 для взлома сервера.

Злоумышленники создали нового пользователя-администратора в Openfire, вошли в систему для установки вредоносного плагина JAR, который позволял выполнять команды оболочки на сервере, запускал и передавал в POST-запросе написанный на Java код.

Некоторые из вредоносных JAVA-плагинов, обнаруженных Dr. Web, включали: helloworld-openfire-plugin-assembly.jar, Product.jar и bookmarks-openfire-plugin-assembly.jar.

Далее с использование приманки Dr. Web обнаружила другие дополнительные трояны, которые применяются в реальных атаках.

Первая из дополнительных полезных нагрузок - троян для майнинга криптовалют на базе Go, известный как Kinsing.

Его операторы используют уязвимость для создания учетной записи администратора с именем OpenfireSupport, а затем устанавливают вредоносный плагин под названием plugin.jar, который извлекает полезную нагрузку майнера и устанавливает ее на сервер.

В другом случае злоумышленники вместо него установили бэкдор на базе C, упакованный в UPX, следуя аналогичной цепочке заражения.

Третий сценарий атаки, наблюдаемый аналитиками, заключается в использовании вредоносного плагина Openfire для получения информации о скомпрометированном сервере (сетевых подключениях, IP-адресах, пользовательских данных и версии ядра системы).

В общей сложности Dr. Web наблюдала наблюдала четыре различных сценария атак с использованием CVE-2023-32315. В связи с чем, настоятельно рекомендуют клиентам как можно скорее применить доступные обновления безопасности.

📓 Секреты безопасности и анонимности в Интернете.

• Рассматриваются способы предотвратить утечку персональных данных, обеспечить безопасность мобильных устройств под управлением Android. Особое внимание уделено вопросам конфиденциальности в социальных сетях и личной переписки. Рассматриваются актуальные технологии информационной безопасности и современные версии программ.

📌 Download.

#RU #security

VT INTELLIGENCE CHEAT SHEET.

📓 Black Hat Python.

• Когда речь идет о создании мощных и эффективных хакерских инструментов, большинство аналитиков по безопасности выбирают Python. Во втором издании бестселлера Black Hat Python вы исследуете темную сторону возможностей Python — все от написания сетевых снифферов, похищения учетных данных электронной почты и брутфорса каталогов до разработки мутационных фаззеров, анализа виртуальных машин и создания скрытых троянов.

📌 Download.

#RU #python #Пентест

Новая уязвимость Linux, известная как Looney Tunables, позволяет локальным злоумышленникам получить root-привилегии, используя проблемы переполнения буфера в динамическом загрузчике ld.so библиотеки GNU C.

GNU C (glibc) — это библиотека C системы GNU, которая присутствует в большинстве систем на базе ядра Linux и обеспечивает основные функции, включая системные вызовы, такие как open, malloc, printf, выход и другие, необходимые для выполнения программы. 

Динамический загрузчик в glibc имеет первостепенное значение, поскольку он отвечает за подготовку и выполнение программ в системах Linux, использующих glibc.

Обнаруженная Qualys уязвимость (CVE-2023-4911) была замечена в апреле 2021 года с выпуском glibc 2.34 через коммит, описанный как исправление поведения SXID_ERASE в программах с setuid.

Уязвимость срабатывает при обработке переменной среды GLIBC_TUNABLES в установках по умолчанию Debian 12 и 13, Ubuntu 22.04 и 23.04, а также Fedora 37 и 38 (Alpine Linux не затрагивается), а успешная эксплуатация приводит к получению root-прав.

Как поясняют Red Hat, проблема может позволить локальному злоумышленнику использовать злонамеренно созданные переменные среды GLIBC_TUNABLES при запуске двоичных файлов с разрешением SUID для выполнения кода с повышенными привилегиями.

Злоумышленники с низкими привилегиями могут использовать эту серьезную уязвимость для проведения атак низкой сложности, не требующих взаимодействия с пользователем.

Несмотря на то, что PoC не раскрывается, исследователи полагают, что легкость эксплуатации может привести к появлению эксплойтов в самое ближайшее время, в связи с чем системным администраторам необходимо действовать быстро.

📓 Практический хакинг интернета вещей.

• Из этой книги вы узнаете, как тестировать системы, устройства и протоколы интернета вещей (IoT) на безопасность и предотвращать атаки злоумышленников. Вы научитесь моделировать угрозы, испытаете на практике различные методы проверки безопасности, откроете для себя искусство пассивной разведки и оцените уровень защиты своей IoT-системы.

📌 Download.

#IoT #ИБ #RU