Xiaomi решила перестать блокировать смартфоны в «запрещённых» регионах

Помните, как жители Кубы, Крыма и других регионов столкнулись с полной блокировкой телефонов Xiaomi только из-за своего местоположения?

Так вот, компания сообщила, что она снимет эту блокировку в ближайшее время.

Как пояснил представитель Xiaomi, эта временная блокировка была связана с отслеживанием контрабанды.

Из его слов, конечно, мало что понятно, но пользователям больше ничего не угрожает.

Тем временем HP прикрыли серьезную уязвимость повышения привилегий в командном центре HP OMEN.

Расковыряли багу CVE-2021-3437 с оценкой CVSS 7,8 спецы из SentinelLabs. Ошибка касается миллионов устройств по всему миру, включая широкий спектр игровых ноутбуков и настольных компьютеров OMEN, а также моделей HP Pavilion и HP ENVY.

Игровой центр используется для управления настройками в соответствии с предпочтениями геймера, включая скорость вращения вентиляторов и разгон, а также для мониторинга общей производительности ПК и сети.

Применяемый в ПО HP драйвер HpPortIox64.sys выступает главным носителем угроз безопасности, которые перекочевали туда из WinRing0.sys, драйвера OpenLibSys, используемого для управления действиями, включая чтение/запись памяти ядра.

В прошлом в драйвере WinRing0.sys также обнаруживались ошибки повышения и привилегий, которые позволяли крутить интерфейс IOCTL для выполнения действий на более высоком уровне. В целом, уязвимость может позволить хакеру обходить решения безопасности.

Ошибки коснулись HP OMEN Gaming Hub до версии 11.6.3.0 и HP OMEN Gaming Hub SDK до 1.0.44. Свидетельств того, что ошибка была использована в дикой природе до настоящего времени не получено.

Об уязвимостях SentinelLabs сообщили ещё 17 февраля. К 14 мая HP разработали патч, однако он оказался малоэффективен. В итоге уязвимая функция была времени отключена до 7 июня. Исправленная версия ПО стала доступна 27 июля в Microsoft Store.

Кроме того, все же рекомендуем почитать на досуге рекомендации HP по CVE-2021-3437 и позаботиться о своих системах соответсвующим образом, пока о них не позаботились другие.

В результате атаки ransomware, произошедшей 6 сентября, в ЮАР оказались недоступны все электронные операции как для граждан, так и для чиновников.

Министерство юстиции и конституционного развития, чьи системы и службы полностью зашифровались, приостановило операции, будь то выплаты алиментов на детей, выдача доверенностей, услуги по освобождению под залог, электронная почта и многое другое.

В стране введен план действий в чрезвычайных ситуациях, чтобы обеспечить продолжение работы госаппарата. Судебная система и органы юстиции перешли на ручной режим оформления документации.

К настоящему времени удалось восстановить сервера электронной почты. Сколько потребуется ресурсов для нормализации остальных систем пока не ясно. Равно как и непонятно, кто стоит за этой атакой. До сих пор об атаке не заявляла ни одна из известных групп.

По заявлениям ИТ-специалистов Министерства, признаков компрометации данных не обнаружено. Но принимая в расчет столь долгий временной интервал после инцидента, хакеры, вероятно, так и не дождались выкупа и вскоре мы непременно узнаем все подробности атаки, как говориться из первых рук.

Siemens и Schneider Electric выпустили 25 рекомендаций по устранению более 40 уязвимостей в производимых системах промышленного управления (ICS).

Siemens предоставила 21 новую и обновила 25 ранее опубликованных рекомендаций по закрытию 36 уязвимостей, в том числе критических.

Одна из которых, например, касается платформы управления зданием Desigo CC и станции управления Cerberus (DMS), которые в случае подключения к Интернет несут риск выполнения неаутентифицированным злоумышленником произвольного кода в уязвимой системе.

Другая связана с проблемами вводом команд в приложении Siveillance Open Interface Services (OIS) для систем управления зданиями Siemens, и может использована удаленным злоумышленником, не прошедшим проверку подлинности, для выполнения кода с привилегиями root.

Серьезные ошибки также устранены: в веб-сервере для устройств автоматизации APOGEE (вызывает переполнение буфера для выполнения произвольного кода с привилегиями root), приложении Siemens Industrial Edge (позволяет неаутентифицированному злоумышленнику изменять пароль любого пользователя в системе, выдавать себя за этого пользователя), реле SIPROTEC 5 (дает возможность вызывать состояние отказа в обслуживании (DoS) или выполнять произвольный код).

Исправления также коснулись устройств Ruggedcom ROX (получение контроля над устройством), Simcenter STAR-CCM и Viewer (выполнение кода или извлечение данных), Siemens NX (нарушение доступа и выполнение кода), SINEC NMS (загрузка файлов из файловой системы и управление конфигурацией), переключатели SCALANCE (DoS), Teamcenter (захват учетной записи и несанкционированный доступ к данным), модули SIMATIC NET CP (DoS), LOGO CMR и SIMATIC RTU 3000 (DoS), SIPROTEC 5 (DoS), RFID-терминалы (выполнение кода) и SINEMA Remote Connect Server (DoS), Teamcenter Active Workspace, SINEMA Server и Simcenter Fema (раскрытие информации, перехват соединения и обход пути).

Schneider Electric выпустила исправления для 7 уязвимостей, в том числе 2 критические баги в StruxureWare Data Center Expert, который предназначен для управления физической инфраструктурой. Ошибки дают возможность злоумышленнику удаленно выполнить произвольный код, что, по словам промышленного гиганта, может привести к простою или отключению оборудования.

Уязвимости в EcoStruxure Control Expert, EcoStruxure Process Expert и SCADAPack RemoteConnect могут быть реализованы злоуымшленником лишь после открытия жертвой файла вредоносного проекта, тогда он получит доступ для выполнения произвольного кода.

Еще 3 серьезных недостатка исправлены в компонентах веб-сервера ПЛК Modicon M340, которые позволяли получать конфиденциальную информацию или вызывать состояние DoS.

Ответственным за ICS следует внимательно отнестись к рекомендациям и исправлениям производителей, ведь мы прекрасно помним о том, что промышленные системы были и остаются в фокусе кибератак.

​​Отличился и немецкий разработчик SAP, выпустив 17 новых и обновив 2 прежних рекомендаций по безопасности, при этом 7 из них связаны с критическими уязвимостями в продуктах компании.

Самое важное исправление касается отсутствующей проверки авторизации в SAP NetWeaver Application Server для Java. CVE-2021-37535 имеет 10 баллов по CVSS. Устранены и другие критические уязвимости в Hot News для NetWeaver (с оценкой CVSS 9,9): CVE-2021-38163 (ошибка неограниченной загрузки файлов в Visual Composer 7.0 RT) и CVE-2021-37531 (проблема внедрения кода в системе управления знаниями). Обе уязвимости реализуются лишь при наличии минимальных привилегий в уязвимой системе.

Еще одна критическая уязвимость CVE-2021-38176 (оценка CVSS 9,9) заключается в неправильной очистке ввода в 25 функциональных модулях с поддержкой RFC, которые могут позволить аутентифицированному пользователю с определенными конкретными привилегиями удаленно вызывать эти функциональные модули и выполнять управляемые запросы для получения доступа к серверной базе данных.

Еще одно примечание по безопасности Hot News касается внедрения критического кода и отражает уязвимости межсайтового скриптинга (XSS) в контакт-центре SAP. Исправленные ошибки CVE-2021-33672, CVE-2021-33673, CVE-2021-33674 и CVE-2021-33675 имеют оценку CVSS 9,6.

На этой неделе SAP туда же включила 2 обновленных примечания по безопасности для ошибок с оценкой CVSS 10: обновление браузере Chromium в Business Client, проблема неограниченной загрузки файлов в Business One.

Кроме того, в сентябрьский SAP 2021 также попали 2 высокоприоритетных примечания по безопасности для CVE-2021-38162 в Web Dispatcher и CVE-2021-38177 в CommonCryptoLib.

Остальные рекомендации SAP касаются различных проблем в Analysis для Microsoft Office, Business Client, Business One, BusinessObjects, ERP Financial Accounting, NetWeaver и 3D Visual Enterprise Viewer.

Клиентам немецкого разработчика - в работу.

Производитель сетевого оборудования MikroTik призывает своих клиентов поменять пароли к своим корпоративным девайсам, так как маршрутизаторы, которые были взломаны с помощью эксплоита CVE-2018-14847 Winbox, а так же те кто до сих пор не обновились, сами того не осознавая служат верой и правдой в интересах крупнейшего ботнета Mēris, известного своими DDoS-атаками с рекордными 21,8 миллионов запросов в секунду, которые обрушились на "непотопляемого" интернет-гиганта Яндекс.

Представители MicroTik заявили, что в этих атаках используются те же маршрутизаторы, которые были взломаны ещё в 2018 году, когда в MikroTik RouterOS была обнаружена уязвимость. Багу быстро исправили, но далеко не все успели накатить соответствующий патч.

Ну, и помня о правиле 72 часов - эмпирически выявленный временной интервал, когда есть возможность без последствий успеть обновиться, после официальной публикации уязвимости. Однако, закрытие уязвимости не обеспечило немедленной защиты маршрутизаторов и если кто-то установил пароль от устройства в 2018.

Исследователи Qrator Labs, которые предоставили подробную информацию об атаке на Яндекс заявили, что Mēris - ботнет, созданный на основе вредоносного кода Mirai - в настоящее время продолжает контролировать более 250 000 устройств, большинство из которых являются сетевыми шлюзами и маршрутизаторами MikroTik.

Как обезопасить свой роутер MikroTik, представители компании рассказали в блоге. Если вкратце, то все очень прозаично - нужно выбирать надежные пароли, которые должны защищать устройства от атак bruteforce и поддерживать обновления в актуальном состоянии.

​​Совсем недавно мы писали, как неизвестные хактивисты объявили вендетту антиабьюзному хостингу MskHost, сливая данные клиентов чернушников в сеть.

В этот раз EpikFail настал для сторонников Трампа, альтернативных правых и ультраправых организаций, а вместе с ними и для владельцев весьма пикантных Интернет-ресурсов.

Все дело в том, что ещё 28 февраля хактивисты Anonymous взломали мутного хостинг-оператора и регистратора доменов Epik. А в понедельник опубликовали дампы баз данных всех пользователей, дополнительно анонсировав утечку на интернет-форуме 4chan.

Хостинг все опроверг и не сознается в протечке, однако исследователи, проводившие расследование, утверждают об обратном. Якобы пруфы есть.

В торрент-файле объемом 32 ГБ, размещенном на портале DDoSecrets, хакеры включили несколько дампов базы данных SQL, содержащих массивы конфиденциальной информации такой, как сведения о владельце домена, транзакциях домена, данные учетнвх записей и точек входа. Кроме того, хакеры украли и ключи SSH, исходные коды, содержимое почтовых ящиков и множество закрытых ключей.

Только за последние несколько лет Epik хостил Gab, Parler и The Donald. По мнению хактивистов, больший интерес может представлять содержащаяся в дампах информация о доменах, связанных с национальными хакерскими группами, операциями влияния, террористическими объектами и нацистскими сайтами, а также порноресурсами.

Базу Epik в настоящее время распространяются через независимый портал журналистских расследований DDoSecrets, который ранее слил в сеть 296 ГБ внутренних данных правоохранительных органов США, украденных Anonymous в июне 2020 года после протестов Black Lives Matter.

Нынешнюю операцию EpikFail хакеры связывают с проектом OperationJane, направленным на компрометацию и противодействие законопроекту Техас 8, который серьезно ограничивает права женщин на аборты. Незадолго до этого они предпринимали атаки на Республиканскую партию Техаса, стоявшую за указанными инициативами.

Похоже, что останавливаться они не намерены и, точно, припрятали пару козырей. В любом случае, легенда у ребят так себе конечно, но кураторы по партийной линии согласовали, собственно как и цели.

Ой, ну надо же. Какие страсти-то творятся.

А скажите, и в магазине можно так же стенку приподнять? (с)

https://xn--r1a.website/potokchannel/177

​​Пошла жара. Критическую багу CVE-2021-40539 в Zoho начали активно эксплуатировать АРТ, о чем мы предупреждали еще на прошлой неделе.

Ошибка в ПО Zoho ManageEngine ADSelfService Plus позволяет злоумышленникам захватывать уязвимые системы после успешной эксплуатации. Атаки фиксируются с августа 2021 года.

Но уже на этой неделе ФБР и CISA, и даже Киберкомандование береговой охраны (CGCYBER), выпустили совместное заявление с предупреждением о рисках использования ManageEngine ADSelfService Plus для критически важных инфраструктурных компаний, американских оборонных подрядчиков, академических институтов и прочих организаций в сфере транспорта, информационных технологий, производства, связи, логистики и финансов, которые уже попали под удар хакеров.

В выявленных инцидентах с применением эксплойтов под CVE-2021-40539 злоумышленники развертывали веб-оболочку JavaServer Pages (JSP), замаскированную под сертификат x509, которая в дальнейшем позволяла им проводить постэксплуатационные действия: компрометацию учетных данных администратора, выполнение бокового перемещения через инструментарий управления Windows (WMI), доступ к контроллерам домена, дампам NTDS.dit, значениям реестра SECURITY/SYSTEM, файлам Active Directory.

Опасения американских правоохранителей обоснованы, ведь в список клиентов Zoho входят три из пяти компаний из списка Fortune 500, включая Apple, Intel, Nike, PayPal, HBO и многие другие.

6 сентября 2021 Zoho выпустила исправления Zoho ManageEngine ADSelfService Plus build 6114 и уведомила клиентов об использовании уязвимости в дикой природе.

Полагаем, что к словам ФБР, CISA и CGCYBER следует отнестись более чем серьезно и принять соответствующие меры: накатить обновление ADSelfService Plus build 6114, сбросить пароль для всего домена и дважды сбросить пароль Kerberos Ticket Granting Ticket (TGT), ограничить доступ к ADSelfService Plus из открытой сети.

​​Seventh Inferno - такое наименование получила третья и, пожалуй, самая серьезная уязвимость в интеллектуальных коммутаторах Netgear, технические подробности которой и РоС преданы общественности.

Описание прошлых дыр, о которых мы писали, стали известны вскоре после выпуска исправлений, еще 3 сентября 2021.

В общей сложности Netgear исправила в своих интеллектуальных коммутаторах 3 критические уязвимости: Demon's Cries (оценка по CVSS: 7,8), Draconian Fear (CVSS: 9,8) and Seventh Inferno (CVSS: 9,8), которые могут быть использованы злоумышленниками для удаленного выполнения вредоносного кода и получения контроля над уязвимыми устройствами.

Если Demon's Cries и Draconian Fear предоставляют злоумышленнику возможность изменять пароль администратора без необходимости знать предыдущий пароль, а также перехватить информацию о загрузке сеанса для полной компрометации устройства, то в Seventh Inferno основная проблема связана с ошибкой внедрения новой строки в поле ввода пароля во время аутентификации в веб-интерфейсе.

Данная бага позволяет злоумышленнику создавать поддельные файлы сеанса и что более интересно сочетать это с отказом в обслуживании при перезагрузке с последующим внедрением полезной нагрузки после аутентификации, чтобы получить полностью действующий сеанс и выполнить любой код от имени пользователя root.

Еще раз напомним, что все три компоненты дыр в коммутаторах Netgear эффективно эксплуатируются, в том числе пополняя ботами ZHtrap и Mozi, в связи с чем настоятельно рекомендуем обновить свои устройства как можно скорее.

Румынская инфосек-компания Bitdefender опубликовала универсальную утилиту дешифрования для жертв вымогателей REvil (Sodinokibi), которые подвергались атакам ransomware до момента таинственного исчезновения группы, то есть до 13 июля 2021 года.

Особо не скрывая, Bitdefender признали, что дешифратор был разработан в сотрудничестве с доверенным правоохранительным партнером, и, сославшись на продолжающееся расследование, не стали уточнять детали операции.

Напомним, что с 7 сентября, после двухмесячного перерыва, группа вернулась в дело. По данным Avast и AdvIntel, операторы REvil развернули свои старые сайты, создали новые профили на форумах и в течение двух дней начали проводить новые вторжения.

Все это еще раз подтверждает наши предположения о том, что после передачи информации спецслужбами США силовики прихватили представителей группировки, оставшаяся часть которой ненадолго прикрыла лавочку и перебазировалась. После небольшой реорганизации REvil вновь приступили к прежней работе, а со стороны США, в очередной раз, прозвучали критические высказывания.

Но стоит отметить, что Bitdefender сослались на расследование, последствиями которого могут стать новые задержания или публичные обвинения с занесениями в списки «самых разыскиваемых» преступников по версии ФБР.

Под гнетом общественного внимания и всплеском инцидентов Microsoft таки пролили свет и раскрыли подробности целевой фишинг-кампании, которая использовала уязвимость нулевого дня в MSHTML. Microsoft Threat Intelligence Center сообщает, что уязвимость CVE-2021-40444 использовалась для начального доступа с последующим развертыванием Cobalt Strike Beacon в скомпрометированных системах Windows.

Механизм доставки эксплойтов реализован путем отправки электронных писем, выдающих себя за контракты и юридические соглашения, размещенные на сайтах обмена файлами. Открытие документа, зараженного вредоносным ПО, приводит к загрузке файла архива кабинета, содержащего DLL с расширением файла INF, который при распаковке выполнял функции в этой DLL. Библиотека, в свою очередь, извлекает удаленно размещенный шелл-код - пользовательский загрузчик Cobalt Strike Beacon - и загружает его в инструмент импорта адресов Microsoft. Наблюдаемый вектор атаки основан на вредоносном элементе управления ActiveX, который может быть загружен механизмом визуализации браузера с использованием вредоносного документа Office.

Самое интересное что эти загрузчики взаимодействовали с инфраструктурой, которую Microsoft связывает с несколькими киберпреступными кампаниями, включая ransomware. В ходе независимого расследования дочерняя компания Microsoft RiskIQ с высокой степенью уверенности заявила, что к атакам причастен синдикат Wizard Spider, отметив, что сетевая инфраструктура, использовалась в прошлом для доставки полезной нагрузки BazaLoader и Trickbot, обеспечивает управление модулями Cobalt Strike Beacon и охватывает более 200 активных серверов.

Не менее смелым стало и заявление о том, что готовые инструменты с использованием уязвимости CVE-2021-40444 нашли свое применение у АРТ, нацеленных на традиционный шпионаж, которые также используют контролируемую преступниками инфраструктуру, чтобы ввести в заблуждение и затруднить атрибуцию.

Самая, пожалуй, интересная политическая новость сегодняшнего утра в нашем неполитическом канале - Вассерман идет ноздря в ноздрю в борьбе с конкурентом из КПРФ за место в Госдуме.

Ньюфаги в этих самых ваших Интернетах спешат обозвать Вассермана по-всячески, но на то они и ньюфаги. Олды-то помнят, кто такой Онотоле на самом деле...

Жепь ебрило!!!

До конца 2021 года Google реализует активацию функции защиты конфиденциальности Android 11 на устройствах под управлением более старых версий ОС. В настоящее время ОС Android установлена на более чем 3 миллиардах устройств по всему миру.

Речь идет о функции автоматического сброса разрешений, предназначенной для защиты конфиденциальности пользователей путем автоматического удаления runtime permissions в приложениях, которые не использовались в течение нескольких месяцев.

Runtime permissions также известны как опасные разрешения и используют частные пользовательские данные с ограниченным доступом, такие как: местоположение или контактная информация.

Опция будет доступна на всех устройствах с сервисами Google Play и под управлением Android 6.0 (уровень API 23) до Android 10 (уровень API 29) включительно. Пользователи смогут перейти на страницу настроек автоматического сброса и включить/отключить ее для определенных приложений. При этом система начнет автоматически сбрасывать разрешения неиспользуемых приложений через несколько недель после запуска функции на устройстве.

Запуск стартует в декабре 2021 года и завершится, по расчетам разработчиков, в 1 квартале 2022 года, когда функция будет доступна на всех совместимых устройствах Android.

Google все же пытается изображать озабоченность по поводу защиты конфиденциальности своих пользователей, в отличие от конкурента Apple, действия которой по продвижению системы слежения за пользователями вызвали даже протесты жителей США накануне презентации новой линейки гаджетов.

Следуя своему плану Администрация Байдена намерена нанести серьезный удар по экономике операторов ransomware, для чего разрабатывает пакет санкций в отношении криптобирж, кошельков и трейдеров, задействуемых хакерами для обналичивания полученного выкупа и прочих преступных дивидендов.

Операции вымогателей рассчитаны, зачастую, на выкуп в BTC или Monero (или иной крипте), за исключением юрисдикции США, где Monero считается конфиденциальной монетой и не реализуется в свободном доступе. При этом под санкции также попадут криптомиксеры, способствующие сокрытию транзакций крипты.

Учитывая, что криптовалюта является обязательным элементом в операциях вымогателей, Администрация Байдена рассчитывает реально подорвать экономику ransomeware и значительно затруднить работу банд вымогателей.

На самом деле подобная тактика уже применялась американскими властями еще в 2019 году, в санкционный список Управления по контролю за иностранными активами (OFAC) тогда попали Evil Corp. Кроме того, были предусмотрены серьёзные штрафы для жертв, в случае оплаты выкупа включенным в санкционный список хакерским группам. Результат - налицо.

Новый пакет санкционных мер Минфина США скорее позволит национальным спецслужбам переформатировать современный криптокластер с учетом своих национальных интересов. Лицензий на транзакции получать самые лояльные или нужные, которые будут следовать директивам своих кураторов.

Но на первом этапе пострадать должны все: и криминальные элементы, и, главное, добропорядочные представители криптосообщества, коих среди клиентов бирж значительно больше. Таким образом, в ближайшее время санкции так или иначе могут коснуться почти каждого держателя криптовалюты.

Шпионские баталии разыгрались в самом северном штате США. Под удар попал Департамент здравоохранения и социальной защиты Аляски (DHSS).

В расследовании инцидента принимали участие такие фавориты инфосека как FireEye и Mandiant, которые выяснили, что в сеть DHSS проникли через уязвимость одного из веб-ресурсов http://dhss.alaska.gov.

Примечательно, что никаких признаков ransomware не обнаружено, а злоумышленники предпринимали попытки закрепиться в заражённой сети даже после того, когда они были раскрыты. Все указывает на тщательно подготовленную законспирированную атаку, рассчитанную на длительный период.

Об атаке стало известно ещё 2 мая, однако первые официальные сообщения появились лишь на прошлой неделе. Расследование инцидента все еще продолжается. Злоумышленника локализовали из своей сети, но до сих пор не ясно, что могло утечь во время кибератаки - полные имена, даты рождения, номера социального страхования, адреса, телефонные номера, водительские права, данные медицинских карт, финансовые реквизиты и другая личная информация.

При этом отсутствие каких-либо публичных сведений об обстоятельствах случившегося, не помешало представителям DHSS заявить, что злоумышленники представляют очень изощренную АРТ, которая, проводит комплексные кибератаки против государственных организаций, включая правительства штатов и учреждения здравоохранения.

Так что ждём отчетов и атрибуций, хотя бы формальных, ведь необходимые выводы уже сделаны.

​​Под руководством Аллана Лиска из CSIRT Recorded Future группой исследователей проведён анализ материалов расследования инцидентов с использованием ransomware, на основе которого составлен арсенал уязвимостей, которые используют банды вымагателей для обеспечения первичного доступа к целевым системам.

Стоит отметить, что получился достаточно впечатляющий список CVE, включающий в себя более дюжины производителей и поставщиков программного обеспечения.

Для администраторов и служб информационной безопасности данная диаграмма должна являться отправной точкой для проведения ревизии и защиты своей сетевой инфраструктуры от кибератак.

Настоятельно рекомендуем взять на карандаш как пособие к руководству.

​​Однажды мы когда-то рассказывали как в сети датского Центробанка в течение 7 месяцев сидел бэкдор и никто ничего не увидел.

На этот раз Центральный банк Кюрасао на Синт-Мартене (CBCS) 2 сентября 2021 года подвергся мощной кибератаке, в результате которой хакеры положили всю операционную сеть. Фактически CBCS вынужден был отключить всю инфраструктуру, чтобы избежать дальнейших негативных последствий, защитить все данные и восстановить целостность системы.

В настоящий момент CBCS пытаются понять, к каким данным был осуществлен неправомерный доступ. При этом сервисы электронной почты и удаленные телефонные службы также были отключены, по заверению регулятора: в целях предосторожности.

В интересах расследования CBCS не раскрывает подробности инцидента. Однако дежурные камлания "немедленно начато полное расследование в тесном сотрудничестве с соответствующими органами, международными и местными экспертами в области кибербезопасности" и "расследование показывает, что платформа платежной системы не была взломана", как обычно, прилагаются.