В копилку к уже раскрытым в первой половине 2021 года более 600 серьезным уязвимостям в системах промышленного контроля (АСУТП) компания Claroty добавила еще 17, которые были обнаружены в ПО Versiondog, разработанном немецкой компанией AUVESY.
AUVESY специализируется на разработках в области управления данными для автоматизации производства. Versiondog реализует функции автоматического резервного копирования данных, контроля и хранения версий различного ПО, интегрируясь в широкий спектр промышленных систем. К настоящему времени активно применяется в таких крупных компаниях, как Nestle, Coca Cola, Kraft Foods, Merck и др.
Выявленные уязвимости в компонентах OS Server API, Scheduler и WebInstaller могут использоваться удаленными злоумышленниками для обхода аутентификации, повышения привилегий, получения жестко закодированных криптографических ключей, выполнения произвольного кода, манипулирования файлами и данными и вызова отказа в обслуживании. Шести уязвимостям была присвоена критическая степень серьезности, а девяти уязвимостям - высокая степень серьезности.
При этом, по экспертному мнению разработчика, любое вмешательство в работу Versiondog может иметь разрушительные последствия для безопасности и целостности промышленных процессов.
Немецкий производитель со свойственной педантичностью не только выпустил исправления для уязвимостей (версия 8.1), но также устранил основные причины их возникновения.
Со своей стороны, Claroty дали высокую оценку оперативности AUVESY, поскольку в последнее время производители стали попросту забивать и устранять дыры только под давлением экспертного сообщества или СМИ, а по факту – чаще оставляя потенциально серьезные недостатки без исправлений.
Так что клиентам AUVESY, скажем так, повезло с выбором решения.
AUVESY специализируется на разработках в области управления данными для автоматизации производства. Versiondog реализует функции автоматического резервного копирования данных, контроля и хранения версий различного ПО, интегрируясь в широкий спектр промышленных систем. К настоящему времени активно применяется в таких крупных компаниях, как Nestle, Coca Cola, Kraft Foods, Merck и др.
Выявленные уязвимости в компонентах OS Server API, Scheduler и WebInstaller могут использоваться удаленными злоумышленниками для обхода аутентификации, повышения привилегий, получения жестко закодированных криптографических ключей, выполнения произвольного кода, манипулирования файлами и данными и вызова отказа в обслуживании. Шести уязвимостям была присвоена критическая степень серьезности, а девяти уязвимостям - высокая степень серьезности.
При этом, по экспертному мнению разработчика, любое вмешательство в работу Versiondog может иметь разрушительные последствия для безопасности и целостности промышленных процессов.
Немецкий производитель со свойственной педантичностью не только выпустил исправления для уязвимостей (версия 8.1), но также устранил основные причины их возникновения.
Со своей стороны, Claroty дали высокую оценку оперативности AUVESY, поскольку в последнее время производители стали попросту забивать и устранять дыры только под давлением экспертного сообщества или СМИ, а по факту – чаще оставляя потенциально серьезные недостатки без исправлений.
Так что клиентам AUVESY, скажем так, повезло с выбором решения.
Claroty
Secure Your VersionDog: Essential Cyber Security Measures
Protect your critical systems with robust cyber security measures for VersionDog. Learn about vulnerabilities and effective defense strategies in this comprehensive guide.
Forwarded from SecurityLab.ru
АНБ призывает Пентагон защитить истребитель F-35 от кибератак, новый метод на базе ИИ позволяет подсмотреть вводимый PIN-код в банкоматах, а Бывший генерал армии США рассказал об опасности ИИ-оружия. Эти и другие новости, а также еженедельные конкурсы с крутыми призами для подписчиков нашего канала! Смотрите 37-й выпуск наших новостей:
https://www.youtube.com/watch?v=jHPkRZP_0Ks
https://www.youtube.com/watch?v=jHPkRZP_0Ks
YouTube
ИИ подглядывает вводимый PIN в банкоматах, слиты данные всей Аргентины. Security-новости #37 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://xn--r1a.website/positive_investing
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:56…
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:56…
Компания Apple выпустила финальную версию iOS 15.1 для всех своих девайсов. Номер сборки — 19B74.
В новой версии ОС появилась возможность добавлять сертификаты о вакцинации в Wallet (не в России), появился выключатель макрорежима для iPhone 13, а также заработала функция SharePlay для совместного прослушивания музыки и просмотра фильмов.
Кроме того, появилась возможность записи видео ProRes на моделях iPhone 13 Pro и 13 Pro Max.
В результате мелких исправлений добавлена поддержка китайский язык путунхуа (Тайвань), добавлены новые триггеры автоматизации в HomeKit, обновлены функции «Быстрых команд», исправлены ошибки кода в «Фото», «Погода», оптимизирован алгоритм работы «Wallet» при использовании «VoiceOver», индикаторов изменения емкости аккумуляторов различных моделей iPhone 12.
А главное, принимая во внимание, объем обновления также исправлены бреши в безопасности (о которых, как выяснялось не раз, компания умалчивает) и, в целом, повышена стабильность.
Так что выделяем время и накатываем обновления.
В новой версии ОС появилась возможность добавлять сертификаты о вакцинации в Wallet (не в России), появился выключатель макрорежима для iPhone 13, а также заработала функция SharePlay для совместного прослушивания музыки и просмотра фильмов.
Кроме того, появилась возможность записи видео ProRes на моделях iPhone 13 Pro и 13 Pro Max.
В результате мелких исправлений добавлена поддержка китайский язык путунхуа (Тайвань), добавлены новые триггеры автоматизации в HomeKit, обновлены функции «Быстрых команд», исправлены ошибки кода в «Фото», «Погода», оптимизирован алгоритм работы «Wallet» при использовании «VoiceOver», индикаторов изменения емкости аккумуляторов различных моделей iPhone 12.
А главное, принимая во внимание, объем обновления также исправлены бреши в безопасности (о которых, как выяснялось не раз, компания умалчивает) и, в целом, повышена стабильность.
Так что выделяем время и накатываем обновления.
Группа компаний Robert Bosch GmbH попала под разрачу хакеров, которые скомпрометировали сервера Bosch iSite и выложили в сеть исходники для платформы 5G IoT.
Судя по утекших данным, опубликованных на хакерской площадке информация в основном носит корпоративный и технический характер.
Архив iSite размером 184 КБ включает 11 папок, в том числе те, которые являются кодом для аутентификации в iSite, службы обмена сообщениями и несколько других типов служб контроллеров устройств, написанных на JavaScript. Утечка не содержит личной информации пользователей, учетных данных сотрудников Bosch или других конфиденциальных сведений.
По предварительной информации, исходный код был получен путем эксплуатации одной или несколькими уязвимостями нулевого дня в платформе с открытым исходным кодом SonarQube, которые хакер обещал подробно описать в будущей ветке на хакерском форуме.
Вероятно, архив был опубликован в результате неудавшихся переговоров злоумышленников с Bosch о выкупе. Денег не заработали, но как минимум репутацию на площадке себе подняли.
Судя по утекших данным, опубликованных на хакерской площадке информация в основном носит корпоративный и технический характер.
Архив iSite размером 184 КБ включает 11 папок, в том числе те, которые являются кодом для аутентификации в iSite, службы обмена сообщениями и несколько других типов служб контроллеров устройств, написанных на JavaScript. Утечка не содержит личной информации пользователей, учетных данных сотрудников Bosch или других конфиденциальных сведений.
По предварительной информации, исходный код был получен путем эксплуатации одной или несколькими уязвимостями нулевого дня в платформе с открытым исходным кодом SonarQube, которые хакер обещал подробно описать в будущей ветке на хакерском форуме.
Вероятно, архив был опубликован в результате неудавшихся переговоров злоумышленников с Bosch о выкупе. Денег не заработали, но как минимум репутацию на площадке себе подняли.
Разработчики Discourse бьют тревогу и призывают своих клиентов обновиться до исправленной версии 2.7.9 или более поздней ПО, а также применить необходимые обходные пути.
Дело в том, что немецкий исследователь из Phenoelit обнаружил в Discourse критическую уязвимость удаленного выполнения кода CVE-2021-41163 с рейтингом CVSS 10, причина возникновения которой кроется в отсутствии проверки значений subscribe_url. Злоумышленник может воспользоваться уязвимостью с помощью вредоносного запроса.
Discourse - это программное обеспечение с открытым исходным кодом для управления чатами, форумами и списками рассылки с функциями оперативного обновления и перетаскивания вложений. Discourse обслуживает более 2000 клиентов. Согласно метрике BuiltWith, платформа была развернута на более чем 31 000 сайтов, и около 14 300 из них в настоящее время работают и потенциально уязвимы. При этом 8,639 потенциально дырявых систем располагаются именно в США.
По этому поводу CISA выступило с требованием к админам применить исправления или воспользоваться обходными путями, заблокировав на восходящем прокси-сервере каждый запрос, начинающийся с пути /webhooks/aws, а также ознакомиться с рекомендациями разрабов.
Дело в том, что немецкий исследователь из Phenoelit обнаружил в Discourse критическую уязвимость удаленного выполнения кода CVE-2021-41163 с рейтингом CVSS 10, причина возникновения которой кроется в отсутствии проверки значений subscribe_url. Злоумышленник может воспользоваться уязвимостью с помощью вредоносного запроса.
Discourse - это программное обеспечение с открытым исходным кодом для управления чатами, форумами и списками рассылки с функциями оперативного обновления и перетаскивания вложений. Discourse обслуживает более 2000 клиентов. Согласно метрике BuiltWith, платформа была развернута на более чем 31 000 сайтов, и около 14 300 из них в настоящее время работают и потенциально уязвимы. При этом 8,639 потенциально дырявых систем располагаются именно в США.
По этому поводу CISA выступило с требованием к админам применить исправления или воспользоваться обходными путями, заблокировав на восходящем прокси-сервере каждый запрос, начинающийся с пути /webhooks/aws, а также ознакомиться с рекомендациями разрабов.
Ни дня без ransomware: клиентов BQE Software вдоль и поперек шифруют вымогатели, эксплуатирующие критическую ошибку SQL-инъекции в биллинговом решений BillQuick Web Suite. Потенциальных жертв - 400 000 пользователей по всему миру.
В массе своей атаки вымогателей нацелены на непропатченные сервера BillQuick, уязвимые для CVE-2021-42258, которая может быть достаточно просто легко вызвана запросами на вход с недопустимыми символами (одинарная кавычка) в поле имени пользователя.
Несмотря на то, что ошибка была исправлена еще 7 октября в версии 22.0.9.1 BQE Software, обнаружившие багу специалисты команды Huntress ThreatOps выкатили еще восемь других 0-day уязвимостей в BillQuick (CVE-2021-42344, CVE-2021-42345, CVE-2021-42346, CVE-2021-42571, CVE-2021-42572, CVE-2021-42573, CVE-2021-42741, CVE-2021-42742). Все ошибки позволяют использовать их для начального доступа, выполнения вредоносных команд на своих локальных серверах Windows, а главное - до сих пор непропатчены.
Атрибутировать атакующих Huntress Labs к какой-либо известной банде пока не удается: ресерчеры предполагают, что в деле более мелкая группа. Выявленный ransomware используется по крайней мере с мая 2020 года и в значительной степени заимствует код из других семейств программ-вымогателей на основе AutoIT. Хакеры после развертывания ВПО не оставляют записок о выкупе в зашифрованных системах, а лишь добавляют расширение pusheken91@bk.ru ко всем зашифрованным файлам в качестве обратной связи для обсуждения выкупа.
Тем временем, BQE Software вовсю ведут работу над ошибками, впрочем, как и хакеры. По мнению экспертов, к атакам BillQuick уже в самое ближайшее время будут присоединяться более крупные акторы.
В массе своей атаки вымогателей нацелены на непропатченные сервера BillQuick, уязвимые для CVE-2021-42258, которая может быть достаточно просто легко вызвана запросами на вход с недопустимыми символами (одинарная кавычка) в поле имени пользователя.
Несмотря на то, что ошибка была исправлена еще 7 октября в версии 22.0.9.1 BQE Software, обнаружившие багу специалисты команды Huntress ThreatOps выкатили еще восемь других 0-day уязвимостей в BillQuick (CVE-2021-42344, CVE-2021-42345, CVE-2021-42346, CVE-2021-42571, CVE-2021-42572, CVE-2021-42573, CVE-2021-42741, CVE-2021-42742). Все ошибки позволяют использовать их для начального доступа, выполнения вредоносных команд на своих локальных серверах Windows, а главное - до сих пор непропатчены.
Атрибутировать атакующих Huntress Labs к какой-либо известной банде пока не удается: ресерчеры предполагают, что в деле более мелкая группа. Выявленный ransomware используется по крайней мере с мая 2020 года и в значительной степени заимствует код из других семейств программ-вымогателей на основе AutoIT. Хакеры после развертывания ВПО не оставляют записок о выкупе в зашифрованных системах, а лишь добавляют расширение pusheken91@bk.ru ко всем зашифрованным файлам в качестве обратной связи для обсуждения выкупа.
Тем временем, BQE Software вовсю ведут работу над ошибками, впрочем, как и хакеры. По мнению экспертов, к атакам BillQuick уже в самое ближайшее время будут присоединяться более крупные акторы.
Huntress
Hackers Are Exploiting a Vulnerability in Billing Software | Huntress
Huntress discovered threat actors abusing a blind SQL injection vulnerability in BillQuick Web Suite. Follow our analysis and latest findings in this blog.
Forwarded from Social Engineering
🤑 Black Friday || Черная пятница. Фишинг.
#Фишинг — один из самых распространенных векторов атак на сегодняшний день, и одно из популярнейших направлений Социальной Инженерии.
• Особенно в настоящее время, когда пандемия является источником вдохновения для социальных инженеров, будет всплеск активности фишеров, в течении последних 7-6 недель. Предполагаю, что число фишинговых рассылок, которые будут распространяться под видом "специальных предложений", увеличится на 40-70%. Помимо этого, в рассылках могут распространять малварь под видом купонов на различные скидки. Также, атакующие могут использовать метод с дефицитом товара (об этом я расскажу в отдельном посте).
• В общем, методы которые применяются фишерами и социальными инженерами, зависят только от фантазии. Важно понимать, что во время таких крупных распродаж как черная пятница или новогодние праздники, жертва теряет бдительность и действует необдуманно.
📌 Хочу обратить твое внимание на полезный материал, который отлично подходит к сегодняшнему посту и будет актуален в настоящее время:
• Социальная инженерия в сфере криптовалюты.
• Методы, применяемые при фишинговых атаках.
• Оформляем письмо для максимального отклика.
• Социальная инженерия. Советы. LifeHack.
• Обходим спам-фильтр.
• Фишинг, 0day и атаки на разработчика баллистических ракет.
• Phishing Methodology. Методология фишинга.
‼️ О различных методах, которые применяют социальные инженеры, о методах при фишинговых атаках, различные статьи на тему социальной инженерии, манипуляции и т.д., ты можешь найти по хештегам #Фишинг и #СИ. Твой @S.E.
#Фишинг — один из самых распространенных векторов атак на сегодняшний день, и одно из популярнейших направлений Социальной Инженерии.
🖖🏻 Приветствую тебя user_name.
• Сразу хочу напомнить, что с того момента, как люди начали переходить на удаленку, открылось огромное количество направлений для атакующих. Если затрагивать тему #СИ, то любая громкая новость или событие в мире, генерирует у социальных инженеров массу идей. И это не обходит стороной такое событие как Черная Пятница.• Особенно в настоящее время, когда пандемия является источником вдохновения для социальных инженеров, будет всплеск активности фишеров, в течении последних 7-6 недель. Предполагаю, что число фишинговых рассылок, которые будут распространяться под видом "специальных предложений", увеличится на 40-70%. Помимо этого, в рассылках могут распространять малварь под видом купонов на различные скидки. Также, атакующие могут использовать метод с дефицитом товара (об этом я расскажу в отдельном посте).
• В общем, методы которые применяются фишерами и социальными инженерами, зависят только от фантазии. Важно понимать, что во время таких крупных распродаж как черная пятница или новогодние праздники, жертва теряет бдительность и действует необдуманно.
📌 Хочу обратить твое внимание на полезный материал, который отлично подходит к сегодняшнему посту и будет актуален в настоящее время:
• Социальная инженерия в сфере криптовалюты.
• Методы, применяемые при фишинговых атаках.
• Оформляем письмо для максимального отклика.
• Социальная инженерия. Советы. LifeHack.
• Обходим спам-фильтр.
• Фишинг, 0day и атаки на разработчика баллистических ракет.
• Phishing Methodology. Методология фишинга.
‼️ О различных методах, которые применяют социальные инженеры, о методах при фишинговых атаках, различные статьи на тему социальной инженерии, манипуляции и т.д., ты можешь найти по хештегам #Фишинг и #СИ. Твой @S.E.
Microsoft вступила в очередной раунд с PrintNightmare, выпустив дополнительное накопительное обновление KB5006738 Preview для Windows 10 2004, Windows 10 20H2 и Windows 10 21H1.
Основной пакет исправлений будет выпущен в рамках предстоящего в ноябре 2021 года Patch Tuesday.
Тем не менее, Microsoft заявляет, что они устранили проблему, препятствующую установке принтеров по протоколу Internet Printing Protocol (IPP). Как мы помним, проблемы и жалобы пользователей начались после выхода обновления Windows 10 KB5006670.
Кроме того, отдельным предварительным обновлением Windows Server KB5006745, согласно утверждениям Microsoft, решены проблемы, связанные с запросом админских прав при каждой попытке печати, установкой принтеров с использованием протокола Интернет-печати (IPP), а также взаимодействием сервера печати и клиента при изменений свойств принтера.
Обновление Windows 10 KB5006738 включает около 20 улучшений и исправлений (посколько оно накопительное - исправления по безопасности отсутствуют), которые представлены в соответствующем бюллетене.
Ждем, что же скажет Benjamin Delpy, собственно, как и весь Microsoft.
Основной пакет исправлений будет выпущен в рамках предстоящего в ноябре 2021 года Patch Tuesday.
Тем не менее, Microsoft заявляет, что они устранили проблему, препятствующую установке принтеров по протоколу Internet Printing Protocol (IPP). Как мы помним, проблемы и жалобы пользователей начались после выхода обновления Windows 10 KB5006670.
Кроме того, отдельным предварительным обновлением Windows Server KB5006745, согласно утверждениям Microsoft, решены проблемы, связанные с запросом админских прав при каждой попытке печати, установкой принтеров с использованием протокола Интернет-печати (IPP), а также взаимодействием сервера печати и клиента при изменений свойств принтера.
Обновление Windows 10 KB5006738 включает около 20 улучшений и исправлений (посколько оно накопительное - исправления по безопасности отсутствуют), которые представлены в соответствующем бюллетене.
Ждем, что же скажет Benjamin Delpy, собственно, как и весь Microsoft.
70% Wi-Fi-сетей в городе Тель-Авив были взломаны исследователем Идо Хорвичем из CyberArk. Используя сетевую карту AWUS036ACH ALFA стоимостью около 50 долларов и ноут с Ubuntu в рюкзаке, он смог сосканить более 5000 домашних и корпоративных Wi-Fi-точек в ходе движения по улицам мегаполиса.
Для перехвата хэша PMKID (хэш для роуминга между точками доступа) сетей Wi-Fi исследователь использовал утилиту Hcxdumptool от ZerBea для атаки на уязвимость в RSN IE (надежный сетевой информационный элемент безопасности), которая позволяет получить PMKID. Он управляется PMK (сгенерированным из SSID и пароля WiFi), MAC-адресом точки доступа и MAC-адресом клиента.
После сбора необходимой телеметрии сетей исследователь воспользовался инструментом восстановления паролей hashcat, работающим по словарю, правилам и маске. Хорвич признался, что ему удалось успешно взломать около 3600 паролей, тем самым скомпрометировав все соответствующие сети Wi-Fi.
Большинство паролей были 10-значными числами, представляющими телефонные номера владельцев Wi-Fi-точек. Сотни паролей состояли из восьми или девяти цифр или восьми строчных букв. Вероятность успешного взлома паролей длиной более 10 букв/цифр сводилась к минимуму.
Как выяснилось, доля маршрутизаторов без поддержки функции (а значит и неуязвимых для атаки PMKID) роуминга оказалась весьма незначительной. Почти известные модели маршрутизаторы крупнейших производителей уязвимы по умолчанию (хотя ее можно отключить вручную - если нет необходимости в роуминге).
Неутешительные результаты научного эксперимента дают все основания полагать, что в каком-нибудь Мурманске, Саратове или Челябинске потенциальный злоумышленник и вовсе сможет добиться показателя 80-90%, а может и еще выше, особенно расширив арсенал или методологию атак. И второй неутешительный вывод: не стоит полагать, что такие масштабные атаки еще ни кем не совершались.
Для перехвата хэша PMKID (хэш для роуминга между точками доступа) сетей Wi-Fi исследователь использовал утилиту Hcxdumptool от ZerBea для атаки на уязвимость в RSN IE (надежный сетевой информационный элемент безопасности), которая позволяет получить PMKID. Он управляется PMK (сгенерированным из SSID и пароля WiFi), MAC-адресом точки доступа и MAC-адресом клиента.
После сбора необходимой телеметрии сетей исследователь воспользовался инструментом восстановления паролей hashcat, работающим по словарю, правилам и маске. Хорвич признался, что ему удалось успешно взломать около 3600 паролей, тем самым скомпрометировав все соответствующие сети Wi-Fi.
Большинство паролей были 10-значными числами, представляющими телефонные номера владельцев Wi-Fi-точек. Сотни паролей состояли из восьми или девяти цифр или восьми строчных букв. Вероятность успешного взлома паролей длиной более 10 букв/цифр сводилась к минимуму.
Как выяснилось, доля маршрутизаторов без поддержки функции (а значит и неуязвимых для атаки PMKID) роуминга оказалась весьма незначительной. Почти известные модели маршрутизаторы крупнейших производителей уязвимы по умолчанию (хотя ее можно отключить вручную - если нет необходимости в роуминге).
Неутешительные результаты научного эксперимента дают все основания полагать, что в каком-нибудь Мурманске, Саратове или Челябинске потенциальный злоумышленник и вовсе сможет добиться показателя 80-90%, а может и еще выше, особенно расширив арсенал или методологию атак. И второй неутешительный вывод: не стоит полагать, что такие масштабные атаки еще ни кем не совершались.
Cyberark
Cracking WiFi at Scale with One Simple Trick
How I Cracked 70% of Tel Aviv’s Wifi Networks (from a Sample of 5,000 Gathered WiFi). In the past seven years that I’ve lived in Tel Aviv, I’ve changed apartments four times. Every time I...
Прокатилась очередная крупная волна задержаний представителей теневого закулисья.
Европол провел спецоперацию под названием Dark HunTOR в восьми странах Европы и США. В общей сложности полицейские арестовали 150 подозреваемых, конфисковали более €26 млн, изъяли 234 кг наркотических веществ и 45 единиц огнестрельного оружия.
Массовые аресты стали возможны благодаря операции спецслужб, которым удалось после ареста админов DarkMarket и ее закрытия в январе этого года, получить доступ к инфраструктуре крупнейшего в мире рынка даркнета нелегальных услуг.
Между делом, итальянские силовики также воспользовались случаем с DarkMarket и отследили администраторов DeepSea и Berlusconi Market - два аналогичных теневых сервиса, обслуживающие итальянских пользователей. Теперь завсегдатаи двух теневых структур также попали под прицел силовиков.
По словам немецких представителей правопорядка, объем торговых сделок на DarkMarket превысил €140 млн. Торговали, конечно, преимущественно наркотиками, но опредленную весому часть занимали и услуги хакерской направленности.
Эта новость для тех, кто наивно верит в сетевую анонимность и различные луковые проекты, за которыми, как правило, всегда стоят бравые парни в черном, ну, или в край – в военном.
Европол провел спецоперацию под названием Dark HunTOR в восьми странах Европы и США. В общей сложности полицейские арестовали 150 подозреваемых, конфисковали более €26 млн, изъяли 234 кг наркотических веществ и 45 единиц огнестрельного оружия.
Массовые аресты стали возможны благодаря операции спецслужб, которым удалось после ареста админов DarkMarket и ее закрытия в январе этого года, получить доступ к инфраструктуре крупнейшего в мире рынка даркнета нелегальных услуг.
Между делом, итальянские силовики также воспользовались случаем с DarkMarket и отследили администраторов DeepSea и Berlusconi Market - два аналогичных теневых сервиса, обслуживающие итальянских пользователей. Теперь завсегдатаи двух теневых структур также попали под прицел силовиков.
По словам немецких представителей правопорядка, объем торговых сделок на DarkMarket превысил €140 млн. Торговали, конечно, преимущественно наркотиками, но опредленную весому часть занимали и услуги хакерской направленности.
Эта новость для тех, кто наивно верит в сетевую анонимность и различные луковые проекты, за которыми, как правило, всегда стоят бравые парни в черном, ну, или в край – в военном.
Хакеры вновь обрушились на Иран.
Случилось это ровным счетом по тому же сценарию, или так скажем, с тем же почерком, что в ходе июльской атаки на железнодорожную отрасль, когда были приостановлены ж/д-сообщения, а на экранах и мониторах вокзалов был указан номер офиса верховного лидера Аятоллы Али Хаменеи в качестве номера техподдержки. Июльская атака на иранские вокзалы позже была связана с вредоносным ПО для удаления данных под названием Meteor.
На этот раз хакеры дезорганизовали работу автозаправочных станций по всей стране, атаковав ИТ-сеть государственной газораспределительной компании NIOPDC, под управлением которой находится более чем 3500 АЗС по всему Ирану. Помимо того, что оборудование отказало в работе, экраны и табло на АЗС массово начали отображать надпись «cyberattack 64411». Как вы догадались 64411 - тот же самый номер того же самого абонента.
Обслуживание транспорта было приостановлено, NIOPDC прекратило работу после того, как специалисты подтвердили возможность хищения денежных средств клиентов злоумышленниками, которые еще оставались в зараженной системе.
Власти страны признали инцидент программным сбоем, после чего национальные новостные агентства подчистили новостные ленты и сводки, несмотря на многочисленные изображения и видеоролики в соцсетях. К настоящему времени работоспособность NIOPDC уже восстановлена, АЗС вновь разливают топливо.
А вот иранские спецслужбы сейчас по ходу активно будут узнать телефонный номер оппонента для совершения обратного звоночка.
Случилось это ровным счетом по тому же сценарию, или так скажем, с тем же почерком, что в ходе июльской атаки на железнодорожную отрасль, когда были приостановлены ж/д-сообщения, а на экранах и мониторах вокзалов был указан номер офиса верховного лидера Аятоллы Али Хаменеи в качестве номера техподдержки. Июльская атака на иранские вокзалы позже была связана с вредоносным ПО для удаления данных под названием Meteor.
На этот раз хакеры дезорганизовали работу автозаправочных станций по всей стране, атаковав ИТ-сеть государственной газораспределительной компании NIOPDC, под управлением которой находится более чем 3500 АЗС по всему Ирану. Помимо того, что оборудование отказало в работе, экраны и табло на АЗС массово начали отображать надпись «cyberattack 64411». Как вы догадались 64411 - тот же самый номер того же самого абонента.
Обслуживание транспорта было приостановлено, NIOPDC прекратило работу после того, как специалисты подтвердили возможность хищения денежных средств клиентов злоумышленниками, которые еще оставались в зараженной системе.
Власти страны признали инцидент программным сбоем, после чего национальные новостные агентства подчистили новостные ленты и сводки, несмотря на многочисленные изображения и видеоролики в соцсетях. К настоящему времени работоспособность NIOPDC уже восстановлена, АЗС вновь разливают топливо.
А вот иранские спецслужбы сейчас по ходу активно будут узнать телефонный номер оппонента для совершения обратного звоночка.
Twitter
Iran International English
As gas stations around #Iran are out of service today, a photo is circulating showing one station with a message on a small monitor saying "cyber attack 64411." 64411 is the phone number for the Office of Iran's Supreme Leader.
Forwarded from Social Engineering
😈 APT-атаки на промышленные компании.
• Обратите внимание, что в описании каждой атаки с участием АРТ, ключевым и самым популярным способом атаки - является социальная инженерия.
• Читать статью.
❗️ Обзор основан на результатах исследований «Лаборатории Касперского» и дает репрезентативную картину ситуации. В этом обзоре описаны основные события первого полугодия 2021 года, связанные с APT-атаками, и приведены выводы экспертов, которые, могут быть полезны как исследователям киберугроз, так и тем, кто решает практические задачи по обеспечению кибербезопасности промышленных предприятий на местах.
‼️ Другой полезный материал ты можешь найти по хештегу #СИ. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• В этом обзоре описаны основные APT-атаки на промышленные организации, сведения о которых были опубликованы в первой половине 2021 года, и соответствующая деятельность группировок, замеченных в атаках на промышленные организации и критическую инфраструктуру.• Обратите внимание, что в описании каждой атаки с участием АРТ, ключевым и самым популярным способом атаки - является социальная инженерия.
• Читать статью.
❗️ Обзор основан на результатах исследований «Лаборатории Касперского» и дает репрезентативную картину ситуации. В этом обзоре описаны основные события первого полугодия 2021 года, связанные с APT-атаками, и приведены выводы экспертов, которые, могут быть полезны как исследователям киберугроз, так и тем, кто решает практические задачи по обеспечению кибербезопасности промышленных предприятий на местах.
‼️ Другой полезный материал ты можешь найти по хештегу #СИ. Твой S.E.
Более 10 000 сотрудников в минувшие выходные отправились в отпуск после атаки ransomware, в результате которой руководство немецкой компании Eberspächer Group было вынуждено приостановить деятельность 80 предприятий в 28 странах.
Группа Eberspächer является крупнейшим поставщиком автозапчастей, прежде всего, для систем кондиционирования, отопления и выхлопа. Клиентами корпорации выступают почти все ведущие автомобильные бренды.
В ходе инцидента официальные веб-сайты, почтовые системы, офисные сети, клиентские порталы и производственные системы компании были отключены из соображений безопасности, а компания утратила возможность координировать производство и управлять заказами.
Несмотря на уклонение компании от каких-либо комментариев по поводу случившегося, в СМИ просочились некоторые подробности инцидента. В частности, органы прокуратуры Штутгарта начали расследование с квалификацией «компьютерного саботажа и шантажа», что прямо указывает на то, что техгигант стал жертвой вымогателей.
На текущий момент удалось восстановить работу Easy Start, который позволяет владельцам автомобилей дистанционно запускать обогреватели Eberspächer.
Полагаем, чей-то сайт утечек в самое ближайшее время обновиться новой позицией.
Группа Eberspächer является крупнейшим поставщиком автозапчастей, прежде всего, для систем кондиционирования, отопления и выхлопа. Клиентами корпорации выступают почти все ведущие автомобильные бренды.
В ходе инцидента официальные веб-сайты, почтовые системы, офисные сети, клиентские порталы и производственные системы компании были отключены из соображений безопасности, а компания утратила возможность координировать производство и управлять заказами.
Несмотря на уклонение компании от каких-либо комментариев по поводу случившегося, в СМИ просочились некоторые подробности инцидента. В частности, органы прокуратуры Штутгарта начали расследование с квалификацией «компьютерного саботажа и шантажа», что прямо указывает на то, что техгигант стал жертвой вымогателей.
На текущий момент удалось восстановить работу Easy Start, который позволяет владельцам автомобилей дистанционно запускать обогреватели Eberspächer.
Полагаем, чей-то сайт утечек в самое ближайшее время обновиться новой позицией.
Twitter
Eberspächer Group
(1/2) #Eberspaecher was target of an organized cyberattack. The IT infrastructure is affected. To protect our customers, employees and partners, the necessary steps were taken immediately to counter the attack with targeted measures.
—Партнерский пост—
Хотите стать частью The Standoff, который пройдет уже 15-16 ноября 2021 года?💪
Positive Technologies и ГК Innostage объявляют конкурс для молодых специалистов по информационной безопасности
💣 The Standoff Young Hats 💣
❗️К участию приглашаются все неравнодушные к ИБ студенты, которым есть чем поделиться с коммьюнити.
Подробности здесь.
Каждый доклад будет оцениваться экспертами по ИБ, которые определят его технический интерес и выберут победителей. Лучшие выступления будут размещены на сайте The Standoff.
🤘 Кроме этого, все участники, чьи доклады будут выбраны для презентации на платформе The Standoff, будут приглашены на следующий PHDays и получат призы от компаний Positive Technologies и ГК Инностейдж.
Хотите стать частью The Standoff, который пройдет уже 15-16 ноября 2021 года?💪
Positive Technologies и ГК Innostage объявляют конкурс для молодых специалистов по информационной безопасности
💣 The Standoff Young Hats 💣
❗️К участию приглашаются все неравнодушные к ИБ студенты, которым есть чем поделиться с коммьюнити.
Подробности здесь.
Каждый доклад будет оцениваться экспертами по ИБ, которые определят его технический интерес и выберут победителей. Лучшие выступления будут размещены на сайте The Standoff.
🤘 Кроме этого, все участники, чьи доклады будут выбраны для презентации на платформе The Standoff, будут приглашены на следующий PHDays и получат призы от компаний Positive Technologies и ГК Инностейдж.
Специалисты чешской инфосек компании Avast Threat Labs в сотрудничестве с аналитиком вредоносных программ RE-CERT Иржи Винопалом смогли обнаружить и изучить уязвимость в коде AtomSilo.
Как известно, Atom Silo - это недавно обнаруженная банда вымогателей, операторы которой недавно атакуют непропатченные серверы Confluence Server и Data Center.
По словам исследователей SophosLabs, программа-вымогатель, используемая Atom Silo, практически идентична LockFile, однако ее операторы используют новые методы, которые чрезвычайно затрудняют расследование их атак, включая загрузку вредоносных динамически подключаемых библиотек, которые нарушают работу решений защиты конечных точек. LockFile, свою очередь, впервые был замечен в июле 2021 года после того, как банда была начала активно атаковать эксплуатировать ProxyShell и PetitPotam.
Установив схожесть двух штаммов, Avast Threat Labs разработали унифицированный декриптор сразу под обе ransomware, доступный в свободном доступе для жертв вымогателя. Но есть нюанс, дешифратор не работает с файлами с неизвестным, проприетарным форматом или вообще без формата, поскольку полагается на известный формат файла, чтобы убедиться, что файл был успешно расшифрован.
Кроме того, Avast Threat Labs порадовали жертв программы-вымогателя Babuk утилитой восстановления залоченных файлов благодаря использованию утекшего исходного кода и ключей дешифрования ransomware. Дешифратор может использоваться для файлов следующих расширений: .babuk, .babyk, .doydo. Как мы помним, исходный код вымогателя слил участник хакерской группы после того, как узнал, что болен неизлечимым заболеванием.
Браво, Avast Threat Labs!
Как известно, Atom Silo - это недавно обнаруженная банда вымогателей, операторы которой недавно атакуют непропатченные серверы Confluence Server и Data Center.
По словам исследователей SophosLabs, программа-вымогатель, используемая Atom Silo, практически идентична LockFile, однако ее операторы используют новые методы, которые чрезвычайно затрудняют расследование их атак, включая загрузку вредоносных динамически подключаемых библиотек, которые нарушают работу решений защиты конечных точек. LockFile, свою очередь, впервые был замечен в июле 2021 года после того, как банда была начала активно атаковать эксплуатировать ProxyShell и PetitPotam.
Установив схожесть двух штаммов, Avast Threat Labs разработали унифицированный декриптор сразу под обе ransomware, доступный в свободном доступе для жертв вымогателя. Но есть нюанс, дешифратор не работает с файлами с неизвестным, проприетарным форматом или вообще без формата, поскольку полагается на известный формат файла, чтобы убедиться, что файл был успешно расшифрован.
Кроме того, Avast Threat Labs порадовали жертв программы-вымогателя Babuk утилитой восстановления залоченных файлов благодаря использованию утекшего исходного кода и ключей дешифрования ransomware. Дешифратор может использоваться для файлов следующих расширений: .babuk, .babyk, .doydo. Как мы помним, исходный код вымогателя слил участник хакерской группы после того, как узнал, что болен неизлечимым заболеванием.
Браво, Avast Threat Labs!
Если в данный момент вы живете в Израиле, или просто решили посетить страну, и вдруг вам пришло в голову загрузить с любого сайта, кроме Google Play Store мессенджеры Threema или Telegram, PDF ридер, приложения Al-Aqsa Mosque, Al-Aqsa Radio и даже обычный путеводитель Jerusalem Guide, то смеем вас заверить, что содержимое вашего дейваса на Android теперь принадлежит не только вам, а еще и представителям хакерской группировки APT-C-23.
Исследователи из Qihoo 360 считают, что в отношении граждан Израиля ведется целенаправленная информационная слежка со стороны группы APT-C-23, поддерживаемой Хамасом, которую уже неоднократно связывали и с другими кампаниями нацеленных на Израиль. Со слов экспертов еще с 2018 года набор якобы безобидных приложений для Android заражает израильских потребителей шпионским ПО и атаки продолжаются по сей день.
Наиболее часто используемым приложением для установки вредоносного ПО является Threema. По словам экспертов, вектором для доставки зловреда являются сообщения в Facebook или WhatsApp, которое в последующем перенаправляет на веб-сайт с APK.
В некоторых случаях сообщения включают ссылку на "важный" документ PDF в Google-диске. Где жертву просят загрузить мобильную версию Adobe Reader которая на самом деле является вредоносной программой. Исследователи просмотрели несколько образцов и обнаружили, что злоумышленники используют различные популярные вредоносные программы, в том числе SpyNote, WH-RAT, Mobihok и 888RAT. Все эти проги позволяют вести запись разговоров, эксфильтрацию файлов, кейлоггинг, отслеживание местоположения, выполнение других команд, в том числе фото- и видеосъемку.
В общем, шпионские игры обычным обывателям ни к чему, учимся на чужих ошибках, если вдруг что-то скачали не из официального Google Play, то рекомендуется немедленно удалить приложения, просканировать устройство с помощью антивируса или вовсе сбросить девайс к заводским настройкам, ну или сбросить устройство.
Исследователи из Qihoo 360 считают, что в отношении граждан Израиля ведется целенаправленная информационная слежка со стороны группы APT-C-23, поддерживаемой Хамасом, которую уже неоднократно связывали и с другими кампаниями нацеленных на Израиль. Со слов экспертов еще с 2018 года набор якобы безобидных приложений для Android заражает израильских потребителей шпионским ПО и атаки продолжаются по сей день.
Наиболее часто используемым приложением для установки вредоносного ПО является Threema. По словам экспертов, вектором для доставки зловреда являются сообщения в Facebook или WhatsApp, которое в последующем перенаправляет на веб-сайт с APK.
В некоторых случаях сообщения включают ссылку на "важный" документ PDF в Google-диске. Где жертву просят загрузить мобильную версию Adobe Reader которая на самом деле является вредоносной программой. Исследователи просмотрели несколько образцов и обнаружили, что злоумышленники используют различные популярные вредоносные программы, в том числе SpyNote, WH-RAT, Mobihok и 888RAT. Все эти проги позволяют вести запись разговоров, эксфильтрацию файлов, кейлоггинг, отслеживание местоположения, выполнение других команд, в том числе фото- и видеосъемку.
В общем, шпионские игры обычным обывателям ни к чему, учимся на чужих ошибках, если вдруг что-то скачали не из официального Google Play, то рекомендуется немедленно удалить приложения, просканировать устройство с помощью антивируса или вовсе сбросить девайс к заводским настройкам, ну или сбросить устройство.
Forwarded from Эксплойт | Live
Facebook меняет название на Meta
Новое название получила именно корпорация, а не сама соцсеть.
Так компания хочет подчеркнуть,что (бывшая) корпорация Facebook представляет из себя не только саму соцсеть, но и WhatsApp, Instagram и другие сервисы.
Ещё в Июле компания обновила, что она нанимает сотрудников по разработке «метавселенной», где упор будет делаться на VR и AR-проекты.
Марк, к слову, надеется, что если в ближайшие 5 лет компания сделает прорыв в этой области, то она «перестанет ассоциироваться только с соцсетями и будет связана именно с метавселенной».
Новое название получила именно корпорация, а не сама соцсеть.
Так компания хочет подчеркнуть,что (бывшая) корпорация Facebook представляет из себя не только саму соцсеть, но и WhatsApp, Instagram и другие сервисы.
Ещё в Июле компания обновила, что она нанимает сотрудников по разработке «метавселенной», где упор будет делаться на VR и AR-проекты.
Марк, к слову, надеется, что если в ближайшие 5 лет компания сделает прорыв в этой области, то она «перестанет ассоциироваться только с соцсетями и будет связана именно с метавселенной».
Немецкие спецслужбы вышли на одного из основных членов банды вымогателей REvil.
Как мы неоднократно писали совсем недавно, задержание участников группы - теперь, как говорится, дело техники, а все расследование немцев - не более чем отработка по наводке «большого брата».
Реальная личность подозреваемого не раскрывается, однако известно, что соучредителем REvil является россиянин под вымышленным именем Николай К., который позиционирует себя инвестором и трейдером криптовалюты.
Согласно официальным сообщениям немцев, все операции Николая были объектом пристального внимания силовиков еще с 2019 года. Немцам удалось идентифицировать платежи в битках по двум преступным эпизодам (инциденты с фирмой по разработке ПО и Государственным театром в Штутгарте) и связать их с легализацией выкупа в интересах GandCrab, которых, в свою очередь, они атрибутировали с REvil.
Примечательно, что по этим эпизодам обвиняемому вменяется вымогательство на сумму в 15 000 евро. Именно такая сумма стала поводом для такого серьезного расследования.
Свет на произошедшее пролили результаты журналистского расследования репортеров BR и Zeit Online, которые сейчас активно тиражируют немецкие СМИ, понятно, действуя по команде своих кураторов.
Репортеры нашли Николая в соцсетях и рассказали о его роскошном образе жизни, называя часы стоимостью несколько десятков тысяч долларов, дорогие автомобили, дом с бассейном на юге России, яхта, отпуска на Мальдивах.
Более того, они раскопали его email и нашли более 60 авторизаций на различных ресурсах, установили его номер телефона и чикнули по телеге, где нашли его аккаунты, которые он использует для трейдинга. Им также удалось проследить за движениями крипты на сумму почти 400000 евро по кошелькам Николая. Все это они увязали с активностью вымогателей.
Как сообщают журналисты, после тщательного расследования следователи из Федерального управления криминальной полиции (BKA) и следственных органов Баден-Вюртемберга оформили в отношении россиянина ордер на арест.
Но вот казус в чем, совсем недавно он отдыхал на турецком побережье Средиземного моря с друзьями и женой. Однако запроса об экстрадиции от немецкой стороны не поступало, хотя уже в тот момент вовсю велось следствие.
Учитывая публичный характер претензий и наигранную скандальность, полагаем, что дело REvil станет поводом для серьезных международных политических разборок, а на подходе новые репортажи от американских партнеров.
Как мы неоднократно писали совсем недавно, задержание участников группы - теперь, как говорится, дело техники, а все расследование немцев - не более чем отработка по наводке «большого брата».
Реальная личность подозреваемого не раскрывается, однако известно, что соучредителем REvil является россиянин под вымышленным именем Николай К., который позиционирует себя инвестором и трейдером криптовалюты.
Согласно официальным сообщениям немцев, все операции Николая были объектом пристального внимания силовиков еще с 2019 года. Немцам удалось идентифицировать платежи в битках по двум преступным эпизодам (инциденты с фирмой по разработке ПО и Государственным театром в Штутгарте) и связать их с легализацией выкупа в интересах GandCrab, которых, в свою очередь, они атрибутировали с REvil.
Примечательно, что по этим эпизодам обвиняемому вменяется вымогательство на сумму в 15 000 евро. Именно такая сумма стала поводом для такого серьезного расследования.
Свет на произошедшее пролили результаты журналистского расследования репортеров BR и Zeit Online, которые сейчас активно тиражируют немецкие СМИ, понятно, действуя по команде своих кураторов.
Репортеры нашли Николая в соцсетях и рассказали о его роскошном образе жизни, называя часы стоимостью несколько десятков тысяч долларов, дорогие автомобили, дом с бассейном на юге России, яхта, отпуска на Мальдивах.
Более того, они раскопали его email и нашли более 60 авторизаций на различных ресурсах, установили его номер телефона и чикнули по телеге, где нашли его аккаунты, которые он использует для трейдинга. Им также удалось проследить за движениями крипты на сумму почти 400000 евро по кошелькам Николая. Все это они увязали с активностью вымогателей.
Как сообщают журналисты, после тщательного расследования следователи из Федерального управления криминальной полиции (BKA) и следственных органов Баден-Вюртемберга оформили в отношении россиянина ордер на арест.
Но вот казус в чем, совсем недавно он отдыхал на турецком побережье Средиземного моря с друзьями и женой. Однако запроса об экстрадиции от немецкой стороны не поступало, хотя уже в тот момент вовсю велось следствие.
Учитывая публичный характер претензий и наигранную скандальность, полагаем, что дело REvil станет поводом для серьезных международных политических разборок, а на подходе новые репортажи от американских партнеров.
swp.de
Hacker greifen Staatstheater Stuttgart an und erbeuten Lösegeld
Cyber-Kriminelle haben die Staatstheater Stuttgart angegriffen und mehrere Tausend Euro erpresst. Die Staatsanwaltschaft ermittelt.
Крестовый поход Европола и Евроюста на банд вымогателей продолжается. На этот раз под раздачу попали организаторы атаки на Norsk Hydro.
Согласно данным Европола, арестованные считались особо важными целями.
Злоумышленники применяли штаммы LockerGoga, MegaCortex и Dharma, а также вредоносные ПО Trickbot и инструменты для постэксплуатации Cobalt Strike. Впервые LockerGoga засветился еще в январе 2019 года, когда он поразил французскую компанию Altran Technologies, входящую в группу Capgemini. Наиболее резонансной стала атака на норвежского алюминиевого гиганта Norsk Hydro, которая вызвала серьезные сбои в работе и обошлась металлургам в 800 миллионов норвежских крон.
Поэтому инициатором оперативной разработки была именно норвежская полиция.
Европейские силовики арестовали 12 человек, которые, как считается, были связаны с атаками программ-вымогателей, жертвами которых стали более 1800 компании на территории 71 страны. Аресты прошли в Украине и Швейцарии 26 октября 2021 года, и в результате одновременных рейдов полиция изъяла пять роскошных автомобилей, электронные устройства и 52 тысячи долларов наличными.
Задержанные представляли высокоорганизованное преступное сообщество, где каждый участник выполнял определенные роли. Некоторые из них занимались проникновением в сеть, другие - Brute-force attack, а третьи выполняли SQL-инъекции или фишинг.
После заражения развертывали вредоносные программы, средства сетевой разведки и бокового перемещения. В конце концов, злоумышленники зашифровали скомпрометированные системы, оставляя записки о выкупе. Кроме того, среди задержанных оказались и те, кто осуществлял отмывание преступных доходов.
В операции приняли участие более чем 50 следователей из семи европейских полицейских департаментов, шести специалистам Европола, а также сотрудникам ФБР и Секретной службы США. Последние в списке, скорее всего, и являются виновниками торжества.
Согласно данным Европола, арестованные считались особо важными целями.
Злоумышленники применяли штаммы LockerGoga, MegaCortex и Dharma, а также вредоносные ПО Trickbot и инструменты для постэксплуатации Cobalt Strike. Впервые LockerGoga засветился еще в январе 2019 года, когда он поразил французскую компанию Altran Technologies, входящую в группу Capgemini. Наиболее резонансной стала атака на норвежского алюминиевого гиганта Norsk Hydro, которая вызвала серьезные сбои в работе и обошлась металлургам в 800 миллионов норвежских крон.
Поэтому инициатором оперативной разработки была именно норвежская полиция.
Европейские силовики арестовали 12 человек, которые, как считается, были связаны с атаками программ-вымогателей, жертвами которых стали более 1800 компании на территории 71 страны. Аресты прошли в Украине и Швейцарии 26 октября 2021 года, и в результате одновременных рейдов полиция изъяла пять роскошных автомобилей, электронные устройства и 52 тысячи долларов наличными.
Задержанные представляли высокоорганизованное преступное сообщество, где каждый участник выполнял определенные роли. Некоторые из них занимались проникновением в сеть, другие - Brute-force attack, а третьи выполняли SQL-инъекции или фишинг.
После заражения развертывали вредоносные программы, средства сетевой разведки и бокового перемещения. В конце концов, злоумышленники зашифровали скомпрометированные системы, оставляя записки о выкупе. Кроме того, среди задержанных оказались и те, кто осуществлял отмывание преступных доходов.
В операции приняли участие более чем 50 следователей из семи европейских полицейских департаментов, шести специалистам Европола, а также сотрудникам ФБР и Секретной службы США. Последние в списке, скорее всего, и являются виновниками торжества.
Europol
12 targeted for involvement in ransomware attacks against critical infrastructure – These cyber actors represented a dangerous…
A total of 12 individuals wreaking havoc across the world with ransomware attacks against critical infrastructure have been targeted as the result of a law enforcement and judicial operation involving eight countries. These attacks are believed to have affected…
Спешим сообщить об очередном обновлении от Google в своем браузере Chrome 95, которое исправляет две активно эксплуатируемые уязвимости Chrome, а также ряд недостатков, обнаруженных в ходе китайского хакатона Tianfu Cup.
Исправленные уязвимости отслеживаются как CVE-2021-38000 (связана с некорректной проверкой ввода в функции Intents), CVE-2021-38003 (связана с проблемой в реализации движков JavaScript V8 и WebAssembly) и позволяют злоумышленникам удаленно выполнять код или перехватывать контроль над целевой системой.
Согласно данным группы Google Project Zero, более дюжины уязвимостей Chrome, обнаруженных в этом году, активно эксплуатировались злоумышленниками в сети.
Последнее обновление Chrome 95 включает 8 исправлений безопасности, 7 из которых относятся к критическим.
На выявленных ошибках в безопасности браузера энтузиастам удалось неплохо заработать, так например Вэй Юань из MoyunSec VLab заработал 10000 долларов за ошибку CVE-2021-37997, и хотя это самая высокая награда, присуждаемая Google, 2 из исправленных на этой неделе CVE принесли двум исследовательским группам в общей сложности 300000 долларов на хакерском хакатоне Tianfu Cup в Китае.
Стоит отметить что в конкурсе принимали участие достаточно талантливые ребята и заработали в общей сложности 1,9 миллиона долларов за демонстрацию эксплойтов для Windows 10, Ubuntu, iOS 15 на iPhone 13 Pro, Microsoft Exchange, Chrome, Safari, Adobe Reader, Parallels Desktop, QEMU, Docker, VMware ESXi и Workstation, и роутеры ASUS.
Так что порадуемся за ребят и установим соответствующие обновления.
Исправленные уязвимости отслеживаются как CVE-2021-38000 (связана с некорректной проверкой ввода в функции Intents), CVE-2021-38003 (связана с проблемой в реализации движков JavaScript V8 и WebAssembly) и позволяют злоумышленникам удаленно выполнять код или перехватывать контроль над целевой системой.
Согласно данным группы Google Project Zero, более дюжины уязвимостей Chrome, обнаруженных в этом году, активно эксплуатировались злоумышленниками в сети.
Последнее обновление Chrome 95 включает 8 исправлений безопасности, 7 из которых относятся к критическим.
На выявленных ошибках в безопасности браузера энтузиастам удалось неплохо заработать, так например Вэй Юань из MoyunSec VLab заработал 10000 долларов за ошибку CVE-2021-37997, и хотя это самая высокая награда, присуждаемая Google, 2 из исправленных на этой неделе CVE принесли двум исследовательским группам в общей сложности 300000 долларов на хакерском хакатоне Tianfu Cup в Китае.
Стоит отметить что в конкурсе принимали участие достаточно талантливые ребята и заработали в общей сложности 1,9 миллиона долларов за демонстрацию эксплойтов для Windows 10, Ubuntu, iOS 15 на iPhone 13 Pro, Microsoft Exchange, Chrome, Safari, Adobe Reader, Parallels Desktop, QEMU, Docker, VMware ESXi и Workstation, и роутеры ASUS.
Так что порадуемся за ребят и установим соответствующие обновления.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 95.0.4638.69 for Windows, Mac and Linux which will roll out over the coming days/weeks. A full list o...
Один из самых популярных плагинов WordPress, используемых для создания форм подписки и регистрации постоянных пользователей, содержит уязвимость, которая затрагивает более 1 млн. сайтов, допуская вредоносные перенаправления.
Плагин OptinMonster, по сути, является инструментом для генерации лидов и монетизации. Обнаруженная исследователем Хлоей Чемберленд 28 сентября и исправленная 7 октября этого года уязвимость CVE-2021-39341 предоставляет неавторизованный доступ к API и способствует раскрытию конфиденциальной информации на сайтах WordPress.
Как объясняет Чемберленд, OptinMonster зависит от конечных точек API, которые обеспечивают полную интеграцию и упрощенный процесс проектирования. Однако реализация этих конечных точек не всегда безопасна, как например, с конечной точкой /wp-json/omapp/v1/support, которая может раскрывать такие данные, как полный путь к сайту на сервере, ключи API, используемые для запросов на сайте, и многое другое.
Злоумышленник, владеющий ключом API, может внести изменения в учетные записи OptinMonster или даже разместить вредоносные фрагменты кода JavaScript на сайте. Сайт будет выполнять этот код каждый раз при активации элемента OptinMonster.
Что еще хуже, злоумышленнику даже не пришлось бы проходить аутентификацию на целевом сайте для доступа к конечной точке API, поскольку HTTP-запрос обходит все проверки безопасности при определенных, легко выполняемых условиях.
Несмотря на то, что все ключи API, которые могли быть украдены, аннулированы и сгенерированы новые, всем владельцам сайтов с OptinMonster рекомендуется поскорее обновиться до версии 2.6.5 или более поздней, и обновляться еще в течении нескольких последующих раз, поскольку разработчики популярного плагина WordPress будут перерабатывать весь API.
Плагин OptinMonster, по сути, является инструментом для генерации лидов и монетизации. Обнаруженная исследователем Хлоей Чемберленд 28 сентября и исправленная 7 октября этого года уязвимость CVE-2021-39341 предоставляет неавторизованный доступ к API и способствует раскрытию конфиденциальной информации на сайтах WordPress.
Как объясняет Чемберленд, OptinMonster зависит от конечных точек API, которые обеспечивают полную интеграцию и упрощенный процесс проектирования. Однако реализация этих конечных точек не всегда безопасна, как например, с конечной точкой /wp-json/omapp/v1/support, которая может раскрывать такие данные, как полный путь к сайту на сервере, ключи API, используемые для запросов на сайте, и многое другое.
Злоумышленник, владеющий ключом API, может внести изменения в учетные записи OptinMonster или даже разместить вредоносные фрагменты кода JavaScript на сайте. Сайт будет выполнять этот код каждый раз при активации элемента OptinMonster.
Что еще хуже, злоумышленнику даже не пришлось бы проходить аутентификацию на целевом сайте для доступа к конечной точке API, поскольку HTTP-запрос обходит все проверки безопасности при определенных, легко выполняемых условиях.
Несмотря на то, что все ключи API, которые могли быть украдены, аннулированы и сгенерированы новые, всем владельцам сайтов с OptinMonster рекомендуется поскорее обновиться до версии 2.6.5 или более поздней, и обновляться еще в течении нескольких последующих раз, поскольку разработчики популярного плагина WordPress будут перерабатывать весь API.