​​Команда FireEye Mandiant Advanced Practices обнаружила новый штамм вредоносного ПО PRIVATELOG с установщиком - STASHLOG.

По аналогии с методом задействования памяти GPU для хранения и выполнения вредоносного кода во избежание обнаружения средствами защиты, PRIVATELOG использует общую файловую систему журнала CLFS для сокрытия полезной нагрузки второго уровня в файлах транзакций реестра.

CLFS - это подсистема журналирования общего назначения в Windows, доступная как для режима ядра, так и для приложений пользовательского режима, таких как системы баз данных, системы OLTP, клиенты обмена сообщениями и системы управления сетевыми событиями, прежде всего, для создания и совместного использования высокопроизводительных журналов транзакций.

Поскольку формат файла широко не используется и не документируется, нет доступных инструментов, которые могли бы анализировать файлы журнала CLFS, злоумышленник получает отличные возможности для сокрытия своих данных в виде записей журнала с доступом через функции API Windows.

Таким образом, PRIVATELOG способен уверенно закрепляться на зараженных устройствах и избегать обнаружения за счет использования запутанных строк и методов управления потоком, специально разработанных для затруднения статического анализа, а установщик STASHLOG принимает в качестве аргумента полезную нагрузку следующего этапа, содержимое которой впоследствии сохраняется в определенном файле журнала CLFS.

PRIVATELOG в виде обфусцированной 64-битной DLL с именем prntvpt.dll поддерживает технику перехвата порядка поиска DLL, чтобы загрузить вредоносную библиотеку, когда она вызывается программой-жертвой, в данном случае, сервисом PrintNotify. PRIVATELOG также использует редко встречающуюся технику для выполнения полезной нагрузки DLL, которая полагается и на транзакции NTFS, процесс впрыска при этом схож Phantom DLL hollowing.

Конкретные данные о личности злоумышленника или их мотивах остаются неясными. Учитывая, что вредоносное ПО в дикой природе не было еще обнаружено, равно как и какие-либо полезные нагрузки второго уровня, Mandiant полагает, что PRIVATELOG находится в стадии разработки, которая ведется в рамках более крупной целевой операции.

Обнаружить PRIVATELOG и STASHLOG можно посредством правил YARA от Mandiant, которые также представили возможные варианты обнаружения, основанные на различных методологиях и уникальных строках, которые применяет ПО. Кроме того, спецы разработали правила для обнаружения контейнеров CLFS, соответствующих структурам PRIVATELOG или содержащих зашифрованные данные.

​​Мы уже писали ранее, за атакой на SolarWinds скорее стояли именно китайские APT, которые получили исходники Exhcange еще в ходе кампании Sunburst, провели их исследование и обнаружили уязвимости, которые потом легли в основу ProxyLogon. А уже в дальнейшем использовали выявленные ошибки для новой масштабной кибератаки.

Последние события если не дополняют нашу версию, то во всяком случае не противоречат уж точно. Microsoft Threat Intelligence Center раскрыли более подробную информацию об июльских атаках на SolarWinds, обвинив в атаках действующую из Китая DEV-0322.

В середине июля этого года техасский поставщик программного обеспечения SolarWinds выпустил экстренное обновление безопасности, чтобы исправить ошибку нулевого дня в своей технологии передачи файлов Serv-U, которая активно эксплуатировалась на тот момент в дикой природе.

В основе реализованной хакерами CVE-2021-35211 лежит отсутствующая защита рандомизация адресного пространства ASLR в двоичных файлах Serv-U, в связи с чем воспользоваться багой было «не так уж сложно», по мнению специалистов.

APT нацелена на SSH-серверы SolarWinds Serv-U, которые подвержены уязвимости удаленного выполнения кода до авторизации, которая может быть легко и надежно использована в конфигурации по умолчанию. Подключившись к открытому порту SSH и отправив искаженный запрос на предварительную аутентификацию, DEV-0322 запускают вредоносный код в целевой системе и захватывают уязвимые устройства. Что э происходило дальше, как в июльских атаках - не разглашается, но все и так понимают.

Ну, а мы все же настаиваем, что обвинения российских хакеров в атаке на SolarWinds являются не более, чем политическими манипуляциями, когда перевести стрелки на Россию выгодно. До сих пор вразумительных доказательств так никто и не представил, а тем временем имеем - что имеем.

Испытываем сложные чувства: вышел в свет не плохой ликбез по ransomware's для мамкиных хацкеров, исходники программы-вымогателя Babuk просочились на хакерские площадки еще и в русегменте.

Babuk Locker, известный как Babyk, - это программа-вымогатель, попавшая в поле зрения в начале 2021 года,  когда она начала активно использоваться для кражи и шифрования данных с помощью атак с двойным вымогательством.

Известность локер получил после дерзкого нападения на Управление полиции Вашингтона, но почувствовав накал страстей со стороны правоохранительных органов США, банда вымогателей заявила, что якобы прекратила свою деятельность.

Фактически же члены группы отделились и выпустили Babuk V2, посредством которой продолжают шифровать жертв по сей день. Но данный инцидент даже для этих, далеко не самых этичных ребят сыграл ключевую роль.

Известно, что причиной публикации исходников стал раскол среди группировки, несмотря на то что один админ группы заявил, что страдает неизлечимой формой рака и поэтому решил опубликовать исходный код, содержащий различные проекты вымогателей для шифровальщиков VMware ESXi, NAS и Windows. При этом утечка, по мнению экспертов, содержит все, что необходимо злоумышленнику для создания функционального исполняемого файла вымогателя.

В приватах не мало интриг по поводу внутренней кухни Babyk, но учитывая с каким бэкграундом ребята получили общественную известность следить за их деятельностью становится все более интересно.

​👨🏻‍💻 Форензика. Интересные задачи по цифровой криминалистике.

🖖🏻 Приветствую тебя user_name.

• За­дачи на форен­зику (кри­мина­лис­тику) в сорев­новани­ях Capture The Flag делят­ся на нес­коль­ко боль­ших типов: ана­лиз оперативной памяти, жес­тко­го дис­ка и иссле­дова­ние дампов трафика. Ниже по ссылке, ты найдешь отличный ресурс, где собраны 5 полезных задач посвящённых форензике. Благодаря этим задачам, ты сможешь прокачать свой скилл в области цифровой криминалистики:

🧷 https://www.ashemery.com/dfir.html
За ссылку отдельное спасибо @OrderOfSixAngles

• Обязательно обрати внимание на дополнительный материал: https://www.ashemery.com/publications.html

• Полезный видеоматериал по форензике, ты можешь найти на ютубе и в нашем канале по хештегу #Форензика

SANS DFIR Summit 2020. Конференция в которой освещается тема цифровой криминалистики (Форензики) и реагированию на инциденты: https://youtube.com/playlist?list=PLfouvuAjspTo4SbbY-ykIdD7MPFWaloSh

‼️ Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.

ProtonMail официально все. В смысле - еще теплый, но уже начал подванивать.

Вчера сервис выпустил слезливое сообщение, в котором пояснил, что в соответствии с требованиями юридического приказа швейцарских властей был зафиксирован адрес одного из пользователей почты.

Вся фишка в том, что Швейцария издала этот приказ в соответствии с просьбой французских правоохранительных органов, которые этого пользователя ProtonMail, гражданина Франции, и законопатили в кутузку.

И теперь швейцарский "приватный" почтовый сервис прикидывается ветошью и пытается разъяснить, что все всё не так поняли. Но верится с трудом.

Во-первых, как говорят в ProtonMail, они не передают данные иностранным правительствам. Это утверждение совершенно лишено смысла, поскольку иностранные правительства всегда могут обратиться к правительству Швейцарии, как в данном случае.

Во-вторых, основной фишкой сервиса было декларируемое отсутствие логирования активности пользователя. Что, как теперь оказалось, в нужный для правоохранителей момент быстро исправляется.

И в-третьих, Proton отчаянно пытается дистанцировать Mail от VPN, и заявляет что "ProtonVPN в соответствии с швейцарским законодательством не может быть принужден к логированию действий пользователя в отличие от электронной почты". Само собой - ведь за отсутствие логов ProtonVPN денежки берет.

Ну а завтра швейцарское правительство выпустит очередной юридический приказ и Proton будут размазывать в своем бложике сопли по поводу того, как они рыдали, но выдали логи пользователя VPN.

Мы-то сами уже давненько с Proton свалили...

Пиксель в сформированный отчет прилагается

https://xn--r1a.website/russicatop/27328

​​Известная своими громкими «крестовыми походами» на компании-миллиардеры банда вымогателей Ragnar Locker обещает применять жесткие санкции к своим нынешним и потенциальным жертвам, которые будут ими уличены в связях с правоохранительными органами, спецслужбами или инфосек компаниями.

К «нарушителям тишины» хакеры будут применять репрессивные меры и сливать украденные данные независимо от этапа переговоров и выплаты выкупа, планка которого у Ragnar и без того достаточно высока. В случае с Capcom сумма выкупа достигла 11 млн. долларов.

Аналогичные действия будут предприниматься и в ситуации с обращением к «профессиональным переговорщикам» или специалистам по по восстановлению данных, которые, по мнению хакеров, так или иначе сотрудничают со спецслужбами.

Учитывая, что Ragnar Locker вручную развертывают полезные нагрузки, предварительно проводя тщательную разведку сетевых ресурсов, резервных копий компании и других конфиденциальных файлов до этапа шифрования, вымогатели теперь каждый раз будут готовиться к возможным утечкам, реализуя максимально высокий репетиционный или экономический ущерб для нарушителей своего нового джентльменского соглашения.

Дополнительные тактические уловки, к которым прибегают операторы ransomware, - не что иное, как ответная реакция на попытки лишить компании-жертвы возможности оплаты выкупа, которые предпринимаются правительствами ряда стран на законодательном и административном уровнях.

Рынок трансформируется и обретает новые контуры в виде появления datamarketplace, переходу к тайным операциям и переговорам без анонсирования атак на сайтах утечек, соглашения о ненападении на критические отрасли или объекты, ребрендинг и качественное обновление арсенала вредоносных программ, собственно о чем мы писали последнее время.

Уверены, первые показательные утечки будут весьма резонансны, особенно зная характер клиентов Ragnar Locker, а в целом будет понятен профит нового метода, который также может быть быстро заимствован и другими группами.

​​Если в вашей сети используются девайсы производителя Netgear, то самое время накатить патч, который компания экстренно выпустила для прошивки интеллектуальных коммутаторов, преимущественно используемых в корпоративных сетях.

Все дело в том, что в 20 различных моделях серий GC, GS и MS различных версий были обнаружены 3 критические уязвимости безопасности PSV-2021-0140, PSV-2021-0144, PSV-2021-0145 с крайне высокой степенью риска, так как позволяет злоумышленнику управлять облачным хранилищем и производить настройку оборудования через Интернет.

Технические подробности и PoC для двух баг уже были опубликованы Гинваэлем Колдвиндом, который как раз и обнаружил их.

Первая уязвимость Demon's Cries позволяет обходить аутентификацию, что может позволить злоумышленнику получить контроль над уязвимым устройством. Главным условием реализации сценария является включенная функция Netgear Smart Control Center (SCC), которая в конфигурациях по умолчанию отключена.

Вторая ошибка Draconian Fear определяется как «захват аутентификации». Для ее воплощения злоумышленнику потребуется тот же IP-адрес, что и у администратора, чтобы «захватить информацию о начальной загрузке сеанса». В результате атаки он сможет получить полный доступ к пользовательскому веб-интерфейсу устройства, что обеспечит ему контроль над устройством.

Подробности о третьей уязвимости, получившей название Seventh Inferno, станут доступны лишь 13 сентября.

Мы уже писали о том, как эффективно эксплуатируются уязвимости Netgear операторами ботнетов ZHtrap и Mozi, поэтому дожидаться новых анонсов не стоит, лучше всего сразу перейти к патчам.

ProtonMail убрал пункт в политике конфиденциальности об отсутствии отслеживания IP-адреса

Случилось это почти сразу после того, как её обязали передать IP одного из экоактивистов — это привело к его аресту.

До этого сайт ProtonMail гласил, что она по умолчанию не ведёт журналы IP, которые могут быть связаны с анонимной учётной записью электронной почты.

Теперь же, в политике конфиденциальности сервиса указано: «если пользователь нарушает швейцарский закон, ProtonMail может быть юридически вынуждена зарегистрировать ваш IP-адрес».

​​Космос - становится новым полигоном для хакеров. По крайней мере, такой концепции придерживаются США которые всерьез рассматривают возможные киберугрозы своей космической экосистеме.

Дело даже не в русских суровых хакерах или в амбициозных планах Рогозина, современный космос - это сложная сеть современных спутников, на которых держится критическая инфраструктура, связанная с Интернетом и телекоммуникациями.

К настоящему времени число искусственных спутников стремительно растет, по данным ОНН: в 2020 - выведено на ортиту 1272 спутника, а в 2021 - уже 1385, и тысячи спутников SpaceX, OneWeb, Kuiper и Lightspeed запланированы к запуску в ближайшие годы, не говоря о получении Илоном Маском лицензии на запуск 12 тысячной группировки.

Но оказывается, взломать спутник не так сложно, как кажется: используя софт и телевизионную аппаратуру за 300 долларов специалист по безопасности спутниковых систем Джеймс Павур, успешно перехватил реальные конфиденциальные данные 18 спутников над Северного полушарием.

По данным DarkOwl, атаки на искусственные спутники и космические системы уже активно обсуждаются в даркнете. Взлом спутников - это не надуманный научно-фантастический сценарий, а доказанный факт, который, по мнению onShore Security, несет серьезные последствия для гражданской и военной инфраструктуры. Особенно, если учесть цепной эффект орбитальных столкновений, названный именем ученого НАСА Дональда Дж. Кесслера, когда с каждым новым столкновением орбитальных объектов увеличивается вероятность еще большего числа аварий.

Именно поэтому Космические силы США в тандеме с ВВС США задействовали хакеров для в рамках ежегодного мероприятия Hack-a-Sat, на котором участникам предлагается реализовать взлом настоящего спутника.

В декабре этого состоится финал второго Hack-a-Sat (HAS2) с призовым фондом в 100 тыс. долларов. В ходе отборочного турнира соревновались более 3 тысяч участников, которые атаковали наземный спутник.

В финале лучшим 10 командам предстоит атаковать сателлиты соперников и одновременно защищать свои космические системы. Претенденты получат плоские САТ, имитирующие космическую среду с использованием того же программного обеспечения, которое инженеры НАСА используют для тестирования спутников перед запуском.

По мнению организаторов, Hack-a-Sat призван объединить лучшие умы в сфере IT и в области космических технологий. Недостаточно быть квалифицированным хакером для проведения атак, поскольку команды должны уметь разбираться в космической сфере. Эффективность коллаборации была доказана еще в ходе первого этапа, когда хакерам удалось полностью перехватывать спутниковые сигналы.

Впрочем, на 2023 у ВВС более амбициозные планы - Hack-a-Sat 2023 будет реализован в киберпространстве реальной орбиты.

Советский союз запустил в космос первого человека, а США в 2023 - первого хакера, к удивлению многих - даже без применения батута.

​​В деле вымогателей REvil, также известных как Sodinokibi, тайн становится все больше и больше.

Сетевая инфраструктура группы после двухмесячного простоя вновь начала функционировать.

Сайт оплаты/переговоров и сайт утечки данных в Tor, Happy Blog внезапно снова подключились к сети. Последняя жертва на сайте утечки данных REvil добавлена 8 июля 2021 года, всего за пять дней до их загадочного исчезновения.

В отличие от сайта утечки, Tor-ресурс для переговоров функционирует не в полном объеме: отображается экран входа в систему, он не позволяет жертвам авторизоваться. Кроме того, decoder.re в настоящее время все еще не в сети.

До конца не ясно, вернулись ли REvil в дело, или же устрашающий перфоманс преследует другие цели.

ESET сообщили о кампании, проводимой хакерской группой BladeHawk в отношении пользователей из числа курдов.

Для шпионажа за целевой категорией использованы поддельные приложения для устройств Android, которые BladeHawk распространяются через Facebook с марта 2020 года.

Фейки на Facebook позиционировали себя как сторонники курдов, размещая ссылки на вредоносное ПО. BladeHawk маскировали полезную нагрузку в виде троянов удаленного доступа под Android (RAT) 888 RAT и SpyNote в этнические новостные сервисы. По данным исследователей, вредоносные приложения успешно инсталлировалось на 1481 устройство. 

Разворачиваемый в рамках кампании коммерческий malware позволял выполнять на заражённом устройстве 42 команды, в том числе: создание скриншотов и фотографий; отправку файлов на C2; удаление контента, запись аудио и мониторинг телефонных звонков; перехват или отправка SMS-сообщений; сканирование списка контактов; определение местоположения GPS; а также фильтрацию учетных данных из Facebook.

Реализованный в атаках на курдов RAT ранее попадал в поле зрения инфосек и был замечен в шпионских кампаниях: Zscaler и Kasablanca.

Классика, одним словом.

​​Очередной zeroday для пользователей Windows.

Ошибка удаленного выполнения кода с высокой степенью опасности CVE-2021-40444 (CVSS: 8,8) обнаружена в движке браузера Windows MSHTML. Компания заявила, что уязвимость используется в целевых атаках посредством специально созданных документов Microsoft Office, которые позволяют  злоумышленнику захватить уязвимую систему.

Проблема кроется в возможности создания вредоносного элемента управления ActiveX, который будет использоваться документом Microsoft Office (Word, Excel и PowerPoint), где реализован механизм визуализации браузера. Да, да, того самого браузера для установки других браузеров - Internet Explorer. Конечно злоумышленнику нужно убедить пользователя открыть документ, но это уже как говорится дело техники.

Хотя патч еще не доступен, Microsoft заявила, что по умолчанию Office открывает документы из Интернета в режиме защищенного просмотра или Application Guard для Office, что по заявлению представителей компании должно предотвратить атаку. Однако уже просочились сведения, что обнаруженные атаки, направлены против клиентов, использующих Microsoft 365 и Office 2019 в Windows 10.

В свою очередь Агентство по кибербезопасности CISA уже призвало пользователей и администраторов реализовать необходимые меры защиты, предложенные Microsoft в целях снижения риска.

Очередной "эпик фейл" от крупнейшего поставщика систем безопасности Fortinet, учетные записи которого опубликованы хакерами на новом русскоязычном форуме RAMP.

Речь идет о скомпрометированных учетках SSL-VPN с паролями почти от 87000 устройств FortiGate, а общий список составляет около 500 000 записей. Утечка является серьезным инцидентом, поскольку  данные VPN могут быть использованы злоумышленниками для доступа к корпоративным сетям со всеми вытекающими последствиями.

Компания заявила, что скомпрометированными оказались те системы, которые не были пропатчены от CVE-2018-13379. Суть баги заключалась в уязвимости веб-портала FortiOS SSL VPN, которая позволяет злоумышленникам, не прошедшим проверку аутентификации, читать произвольные системные файлы, включая файл сеанса, содержащий имена пользователей и их пароли, который на удивление хранился в открытом виде.

По мнению спецслужб Австралии, Великобритании и США, данная уязвимость стала одной из самых часто используемых в хакерском арсенале в 2020 году.

Пугает масштаб угрозы, так как IP-адреса скомпрометированных систем расположены по всему миру, 2959 устройств из которых в США. Печальный факт, в том что ссылка на базу, размещена в Tor на сервере хранения, который банда-вымогателей Groove использует для размещения украденных файлов.

​​Google выпустила исправления для Android с исправления аж 40 уязвимостей, 7 из которых были признаны критическими.

Основная проблема крылась в безопасности компонента Framework, включая 6 критических уязвимостей. К ним относятся пять ошибок, связанных с повышением привилегий и одна уязвимость с раскрытием информации.

Самая серьёзная из проблем - CVE-2021-0687, представляющая угрозу для Android 8.1, 9, 10, 11, позволяющая злоумышленнику с помощью специально созданного файла вызвать постоянный отказ в обслуживании.

Google заявила, что набор сентябрьских патчей уже поступил на устройства и включает исправления в компонентах ядра, MediaTek, Unisoc, и Qualcomm. Патчи для Android также включают обновление системы Google Play, которым прикрыта уязвимость CVE-2021-0690.

Так что не дожидаемся факапов, обновляем девайсы и спим спокойно.

​​AT&T Alien Labs представили отчет о последней широкомасштабной кампании APT TeamTNT под названием Chimaera.

Chimaera, как и предыдущие кампании TeamTNT ориентирована на кражу учетных данных облачных систем, использование зараженных систем для добычи криптовалюты и злоупотребления машинами жертв для поиска и распространения на другие уязвимые системы. В фокусе группы различные операционные системы: Windows, Linux, включая Alpine, AWS, Docker и Kubernetes.

Кампания активна с 25 июля 2021 года и до настоящего времени многие образцы задействованного вредоносного ПО имеют низкие показатели обнаружения антивирусными средствами. Все благодаря тому, что TeamTNT использует новые инструменты с открытым исходным кодом. Например, в январе он использовал инструмент обнаружения-уклонения libprocesshider, чтобы скрыть свое вредоносное ПО под Linux с помощью предзагрузчика.

По данным аналитики Trend Micro, TeamTNT является одной из самых многочисленных и устойчивых APT за последнее время, активна с 2011 года, а с прошлого года активизировалась, внедрив новые TTP, включая вредоносное ПО для криптоджекинга Black-T, сложные сетевые сканеры, нацеливание на инструменты майнинга XMR конкурентов в сети и использование скребков паролей. Незадолго до конца 2020 года группа запустила еще одну кампанию, развернув TNTbotinger: бот IRC (Internet Relay Chat) с возможностями распределенного отказа в обслуживании (DDoS).

В текущей кампании TeamTNT использует новый усовершенствованный арсенал:
- Masscan и сканер портов для поиска новых уязвимостей;
- libprocesshider для запуска своего бота прямо из памяти;
- 7z для распаковки загруженных файлов;
- b374k shell, который является веб-администратором PHP и может использоваться для управления зараженными системами;
- LaZagne •, приложение с открытым исходным кодом, используемое для получения паролей от нескольких приложений и нескольких веб-операционных систем, которые хранятся на локальном компьютере, в том числе от Chrome, Firefox, Wi-Fi, OpenSSH и различных программ баз данных.

Кроме того, согласно Palo Alto Networks, группа также добавила Kubernetes с открытым исходным кодом и набор инструментов для проникновения в облако Peirates в ходе разведки. В связи с чем TeamTNT получают еще больше возможностей для сбора информации в целевых средах AWS и Google Cloud, а также горизонтального перемещения и потенциальных атак с повышением привилегий, которые позволяют хакерам получить административный доступ ко всей облачной среде организации.

Поэтому за короткий срок хакерами реализовано более 5000 заражений, о чем теперь TeamTNT публично сообщает со страниц своего сайта, прикрутив к нему статистику заражений.

Чтобы не попасть в тину Chimaera, рекомендуем внимательно ознакомиться с техническими деталями новой кампании легендарной APT и взять на вооружение рекомендованные методы обнаружения возможных атак.

Возобновляю рубрику розыска книг. В прошлом проекте @S_E_Oblako, благодаря читателям, была собрана отличная подборка крутых книг, которые с трудом можно было найти на просторах Telegram.

Начнем с книги которая вышла 2 дня назад — Little Black Book of Lockpicking

Для обратной связи, используйте бота в описании канала.

​​Microsoft выпустили патч для исправления уязвимости Azurescape.

Контейнер Azure (ACI) от Microsoft - это облачная служба, которая позволяет компаниям развертывать пакетные приложения (контейнеры) в облаке. Когда контейнеры развернуты, ACI изолирует их от других запущенных контейнеров, чтобы они не могли совместно работать в памяти и взаимодействовать друг с другом.

Эксплуатация уязвимости позволяет хакерам получать контроль над контейнерами Azure, в том числе выполнять команды в контейнерах других пользователей и получать доступ ко всем данным, развернутым на платформе.

Несмотря на то, что в результате собственного расследования Microsoft не выявила ни атак Azurescape, ни признаков несанкционированного доступа в кластерах, тем не менее оповестила потенциальных жертв из числа своих пользователей. И не зря.

Ведь обнаружившие ошибку Palo Alto Networks представили технические подробности Azurescape. 

Исследователи установили, что в ACI используется код RunC v1.0.0-rc2, датированный аж 2016 годом, который и позволял скомпрометировать многопользовательские кластеры Kubernetes, в которых размещены ACI. 

Дело в том, что этот код содержал ошибки, обнаруженные ещё в 2019 году, одна из которых CVE-2019-5736 как раз обеспечивала выход из контейнера и выполнение кода с повышенными привилегиями на базовом хосте, узле Kubernetes.

Вектор атаки Azurescape реализуется путём перехвата в трафике на скомпрометированном узле запроса с токеном JWT в заголовке авторизации. 

Как это выглядит на практике - смотрите на видео👇

Агентство по кибербезопасности США CISA предупреждает об активном использовании уязвимостей в Zoho ManageEngine ADSelfService.

ManageEngine ADSelfService - интегрированное решение для самостоятельного управления паролями и единого входа для Active Directory в Microsoft Windows, позволяющее администраторам применять 2FA для входа в приложения, а пользователям - сбрасывать свои пароли. ADSelfService Plus также предоставляет пользователям безопасный мгновенный доступ ко всем корпоративным приложениям с поддержкой SAML, включая Office 365, Salesforce и G Suite.

Речь идет об уязвимости нулевого дня CVE-2021-40539. Ошибка связана с возможностью обхода аутентификации REST API, что может привести к произвольному выполнению кода (RCE) и позволить злоумышленнику получить контроль над уязвимой системой. Под угрозой находятся сборки ADSelfService Plus до 6113 версии.

Напоминаем, что это уже пятая уязвимость безопасности, обнаруженная в ManageEngine ADSelfService Plus с начала года, три из которых - CVE-2021-37421, CVE-2021-37417 и CVE-2021-33055 были исправлены в последних обновлениях. Четвертая уязвимость, CVE-2021-28958 была исправлена в марте 2021 года. Все выявленные уязвимости имеют высокую степень риска и имеют оценку CVSS: 9,8.

Присоединяемся к CISA и настоятельно рекомендуем накатить обновления на ManageEngine, реальные атаки с эксплуатацией данной уязвимости уже фиксируются. Скептикам же следует вспомнить прошлогодние мартовские инциденты, когда APT41 реализовали RCE в ManageEngine Desktop Central (CVE-2020-10189) для загрузки и выполнения вредоносных полезных нагрузок в корпоративных сетях в рамках глобальной кампании нашумевших вторжений.