Конечно же, VPN-устройства серии SMA 1000 от SonicWall обеспечивают защиту удаленных подключений к корпоративным ресурсам в локальных, облачных и гибридных средах, но только в том случае, если у вас стоят последние обновления. Иначе ошибки SSLVPN SMA1000, наоборот, помогут злоумышленникам обойти авторизацию.

SonicWall категорично призывает клиентов исправить обнаруженные уязвимости с высокой степенью серьезности, влияющих на следующие модели SMA серии 1000: 6200, 6210, 7200, 7210, 8000v (ESX, KVM, Hyper-V, AWS, Azure). Как отмечает производитель, уязвимости не затрагивают серию SMA 1000 на более ранних версиях, чем 12.4.0.

Первая уязвимость (обход контроля доступа без проверки подлинности) отслеживается как CVE-2022-22282 и имеет оценку CVSS 8,2, две другие (жестко запрограммированный криптографический ключ и открытое перенаправление) имеют среднюю степень серьезности и не еще получили идентификатора CVE.

Из всех уязвимостей CVE-2022-22282 является наиболее серьезной, поскольку позволяет злоумышленникам, не прошедшим проверку подлинности, обходить контроль доступа и получать доступ к внутренним ресурсам. Ошибку можно использовать удаленно в атаках низкой сложности, которые не требуют вмешательства пользователя.

Ошибка, связанная с использованием жестко запрограммированного криптографического ключа, значительно повышает вероятность доступа к зашифрованным учетным данным и также может иметь серьезные последствия.

SonicWall не обнаружили никаких доказательств того, что эти уязвимости используются в дикой природе. Во всяком случае пока. Мы прекрасно знаем, что VPN-продукты серии SMA всегда находились под пристальным вниманием вымогателей и неоднократно подвергались атакам ransomware.

Siemens уходит из России, а проблемы остаются, особенно у собственников зданий, оснащенных системами автоматизации.

Хакеры могут сделать вывести из строя работу контроллеров на несколько дней, используя уязвимость в Siemens PXC4.E16, программируемой системе автоматизации зданий (BAS) семейства Desigo, предназначенной для HVAC и инженерных сетей зданий.

Исследователи Nozomi Networks обнаружили, что устройство, в частности его инструмент разработки и ввода в эксплуатацию ABT, содержит ошибку, которую можно использовать для атак типа «отказ в обслуживании» (DoS). Несмотря на то, что уязвимость имеет средний рейтинг серьезности по CVSS, DoS в промышленной среде физически может привести к более чем серьезным последствиям.

CVE-2022-24040 затрагивает функцию получения ключа PBKDF2 для защиты паролей пользователей. Злонамеренный инсайдер с привилегиями доступа к профилю пользователя может создать или обновить учетную запись, вызвав состояние DoS повторным входом в нее. Все обусловлено изменением уровня потребления ресурсов ЦП после установления производного ключа PBKDF2.

По данным Nozomi, в худшем случае злоумышленник может забанить устройство на несколько дней, повторяя вновь  процедуру для пролонгации времени простоя контроллера. Заглушив таким образом, к примеру, систему пожарной сигнализации, злоумышленник может усилить эффект атаки на другие системы управления производством (АСУ ТП) на объекте, что в комплексе приведет к серьезным авариям и значительному ущербу.

Siemens исправила эту уязвимость, а также шесть других недостатков, затрагивающих ее устройства Desigo PXC и DXR. И если владельцы за рубежом могут даже не задумываться о подобных атаках, то с возможностью решить проблему патчем у российские клиенты в скором времени уже вряд ли смогут воспользоваться. Но с другой стороны, и патчи бывают дырявые. В любом случае работки у российского инфосек изрядно поприбавится.

Еще немного из серии про безопасность промышленных систем.

17 уязвимостей обнаружены в промышленных маршрутизаторах InHand, большинство из которых критические и при объединении в цепочку дают root-доступ к устройству.

Уязвимости затрагивают компактный промышленный маршрутизатор LTE InRouter 302, ориентированный на коммерческий и промышленный сектора, в том числе для работы объектов в гостиничном, финансовом, автомобильном, коммунальном секторе, розничной торговле, общественной безопасности и энергетике.

Ошибки были обнаружены исследователями из Cisco Talos, которые выяснили, что ошибки приводят к произвольной загрузке файлов, выполнению кода, повышению привилегий, внедрению команд ОС и несанкционированным обновлениям прошивки. Уязвимости затрагивают IR302 версии 3.5.37 и более ранние, исправлены с выпуском версии 3.5.45.

Cisco Talos представили теоретический сценарий атаки, который начинается с эксплуатации уязвимости межсайтового скриптинга (XSS), позволяющей злоумышленнику выполнить произвольный код JavaScript и извлечь файл cookie сеанса пользователя, который нажимает на специально созданную ссылку, запускающую эксплойт.

Независимо от того, дает ли украденный файл cookie привилегированный или непривилегированный доступ, злоумышленник может использовать одну из трех уязвимостей для получения root-доступа, злоупотребляя скрытой командой, которая порождает корневую оболочку, и загружая специально созданный файл для удаленного выполнения кода.

В случае, если злоумышленник получает непривилегированный доступ после эксплуатации уязвимости XSS, он может использовать одну из двух уязвимостей, которые позволяют пользователю с более низкими привилегиями повысить разрешения, в том числе путем изменения или получения пароля привилегированного пользователя.

Получая при реализации XSS-атаки привилегированный доступ, распоряжении злоумышленника оказывается как минимум две уязвимости, которые ему дадут root-доступ к операционной системе Linux, работающей на маршрутизаторе. Получение же корневого доступа к маршрутизатору обеспечит дальнейшее проникновение в сеть.

Выводы Talos с техническим описанием доступны в блоге, а InHand, в свою очередь, представила собственные необходимые рекомендации в отношении обнаруженных проблем.

Тем временем в Евросоюзе, с деловитым видом отпиливающем себе ноги, под шум разгоревшегося геополитического конфликта происходит самая настоящая зрада.

Вслед за мифами о царящих в Европе неприкосновенности частной собственности, независимости и беспристрастности журналистики и нетерпимости к национализму, похоже накрываются влажные рассказы про соблюдение конфиденциальности личной жизни европейских граждан.

В конце прошлой недели Еврокомиссия приняла Регламент, регулирующий процесс выявления и борьбы с распространением материалов сексуальной эксплуатации детей в Интернет.

И хотя само дело, безусловно, благое, некоторые тезисы нового регламента вызвали подобие истерики у сторонников пользовательской приватности.

Заинтересовавшись мы изучили сей документ и имеем сказать следующее. Во-первых, нам еще до европейской бюрократии далеко - так писать документы надо постараться. Количество воды на один квадратный абзац документа превышает все допустимые нормы. Но мы все-таки пробились сквозь заросли изящной брюссельской капусты словесности и нашли в этом 135-страничном монстре ключевой, на наш взгляд, момент.

Регламентом учреждается Центр ЕС по вопросам борьбы с сексуальной эксплуатацией детей, с которым обязаны сотрудничать вообще все компании, работающие в digital - хостинги, провайдеры, мессенджеры и пр., вплоть до создателей онлайн-игр, потому что там есть встроенный чат.

И вот среди кучи параграфов, в которых описывается прозрачность и подконтрольность, а также расчитываются командировочные бюджеты членов правления, есть Статьи 43 и 50 Раздела 2 Главы IV, в соответствии с которыми Центр ЕС поставляет всем причастным компаниям некие "технологии для выполнения обнаружения". Никакой уточняющей информации по этим технологиям нет.

Так что вероятно, что под знаменем борьбы с детской порнографией в ЕС будет развернут самый большой СОРМ отсюда и до орбиты Плутона. Какая тут Яровая, вы о чем...

Conti решили всерьез заняться Коста-Рикой, вновь избранный президент которой Родриго Чавес ввел чрезвычайное положение в стране после атаки ransomware на правительственные ресурсы, муниципалитеты и коммунальные службы.

На пресс-конференции Чавес высказал предположение, что атака была совершена как внутри, так и за пределами Коста-Рики, а в завершение объявил войну хакерам. По его словам, официальные лица борются с национальной террористической группой, у которой есть пособники в Коста-Рике. Не обошлось и без критики предшественника Карлоса Альварадо, который мало инвестировал в кибербезопасность страны.

Conti в стороне, конечно же, не остались, заявив новую цель — свергнуть правительство. В качестве первого шага хакеры увеличили сумму выкупа до 20 миллионов долларов.

Привлеченные к инциденту ресечеры Emsisoft, в свою очередь, не видят реальной возможности свержения власти, однако отмечают беспрецедентный характер атаки. Кроме того, не исключают продолжения кампании, полагая угрозу потенциально реальной.

Как мы и предполагали, решение ввести ЧС даже с формальной стороны свидетельствует о наличии реальной угрозы безопасности: в руках у хакеров оказались, по всей видимости, весьма интересные сведения. Во всяком случае спустя месяц критическая инфраструктура все еще лежит.

Объявилась и другая жертва банды. Корпорация Parker-Hannifin объявила об утечке данных с личной информацией на сотрудников, после того, как Conti начала публиковать их на DLS. Компания специализируется на передовых в области транспорта, уделяя особое внимание аэрокосмическому гидравлическому оборудованию и топливным системам для Airbus, Boeing, Sikorsky, Rolls-Royce, Lockheed Martin и Китайской корпорации коммерческих самолетов.

Доход компании составляет 15,6 миллиарда долларов, а штат включает более 58 000 человек. Инцидент произошел в период с 11 по 14 марта 2022 года. Причем украденные сведения затрагивают не только сотрудников, но и их членов их семей, а также сотрудников и бенефициаров дочерних компаний.

До настоящего времени не сообщается о возможности получения Conti техническим данным и коммерческим секретам. И вряд ли Parker-Hannifin сообщит о таком публично. Скорее всего, где-то просто оформится НИОКР или запустится новое производство. Но это уже другая история.

🔞 Администрация Twitter забанила один из аккаунтов Anonymous с 300'000 подписчиками

На фоне разговоров о покупке Илоном Маском Twitter, модерация социальной сети наконец-то решила заняться чисткой платформы. Под горячую руку на этот раз попался один из аккаунтов анонимусов «LiteMods» с 300k подписчиками за нарушение "Правил Twitter".

Подобные аккаунты-филиалы Anonymous в последнее время не гнушаются публично распространять утечки, призывы к насилию и оскорбления в адрес русскоговорящих пользователей.

🔥Из-за бана подгорело в комментариях к посту у отдельных персон так, что тушением одной пятой точки явно не обошлось 🚒👨‍🚒.

Один из недовольных пользователей с 🇺🇦аватаркой охарактеризовал происходящее следующей фразой: "Welcome to elonmusk‘s Soviet Twitter.", позабыв что Маск ещё пока не принял окончательное решение о покупке Twitter.

Если обновления касаются Microsoft, то возможно иногда все же стоит и повременить. 

Не прошло и недели, как гигант из Редмонда выпустил майские обновления, а агентство по кибербезопасности и безопасности инфраструктуры (CISA) удалили уязвимость Windows из своего каталога. Произошло это после того, как в компании сообщили, что недавнее обновление может вызвать проблемы на некоторых типах систем.

Уязвимость, о которой идет речь, — CVE-2022-26925 и в Microsoft описывают ее как уязвимость спуфинга Windows LSA. Проблема была решена с помощью обновлений, выпущенных во вторник, но в Microsoft в то время предупредили, что бага была публично раскрыта и ранее использовалась в атаках.

Как говорится в сообщении Microsoft серьезность уязвимости возрастает, если она связана с другой уязвимостью. В данном случае злоумышленник, не прошедший проверку подлинности, мог вызвать метод интерфейса LSARPC и заставить контроллер домена пройти аутентификацию с помощью NTLM.

CISA быстро добавила уязвимость в свой каталог эксплуатируемых уязвимостей, который также известен как список «обязательных исправлений», поскольку федеральные агентства обязаны исправлять уязвимости в этом каталоге в течение определенного периода времени. Кроме того, частным организациям также рекомендуется использовать этот список для определения приоритетности важных исправлений.

Однако после информирования от Microsoft в CISA заявили, что майское обновление может вызвать сбои аутентификации при установке на контроллерах домена. Сюда входят проблемы аутентификации на сервере или клиенте для служб сервера политики сети (NPS), службы маршрутизации и удаленного доступа (RRAS), Radius, протоколов аутентификации EAP и PEAP.

Проблема связана с тем, как сопоставление сертификатов с учетными записями компьютеров обрабатываются контроллерами домена и пользователям рекомендуется прочитать статью базы знаний, предоставленную Microsoft для смягчения угроз.

Багу обнаружил специалист Рафаэль Джон из Bertelsmann Printing Group, по заверению которого уязвимость на самом деле представляет собой ошибку, известную как PetitPotam (CVE-2021-36942), которая как мы помним была исправлена летом 2021 года и активно использовалась в атаках, в том числе в постэксплуатационных действиях в рамках операций программ-вымогателей.

Apple выпустила экстренное обновление безопасности для устранения шестой за год 0-day уязвимости, которую злоумышленники могут использовать в атаках на Mac и Apple Watch.

Согласно вышедшему бюллетеню по безопасности, Apple известно о возможной активной эксплуатации ошибки, которая представляет собой проблему записи за пределами памяти (CVE-2022-22675) в AppleAVD (расширение ядра для декодирования аудио и видео) и позволяет приложениям выполнять произвольный код с привилегиями ядра. Об ошибке сообщили анонимные исследователи.

Уязвимость устранена Apple в macOS Big Sur 11.6., watchOS 8.6 и tvOS 15.5, в число уязвимых устройств вошли: Apple Watch Series 3 или более поздней версии, компьютеры Mac с macOS Big Sur, Apple TV 4K, Apple TV 4K (2-го поколения) и Apple TV HD.

Несмотря на то, что Apple признала эксплуатацию в дикой природе, компания не опубликовала никакой дополнительной информации об атаках. По мнению ресерчеров, 0-day скорее всего, использовался только в целевых атаках.

В дополнение к 0-day  исследователи из Лаборатории безопасных мобильных сетей Технического университета Дармштадта обнаружили проблемы с реализацией режима низкого энергопотребления (LPM) на iPhone, позволяющие запускать вредоносное ПО на выключенных устройствах.

Режим LPM активируется, когда пользователь выключает iPhone или когда устройство выключается из-за низкого заряда батареи. Даже в выключенном состоянии некоторые системы беспроводной связи Bluetooth, NFC и сверхширокополосной (UWB) связи остаются активными.

Чипы Bluetooth и UWB жестко подключены к элементу безопасности (SE) в чипе NFC и хранят секреты, которые должны быть доступны в LPM. Поскольку поддержка LPM реализована аппаратно, ее нельзя убрать программным способом.

После тестов исследователи выяснили, что если злоумышленник имел привилегированный доступ к встроенному ПО после компрометации прошивки, то при выключении устройства он сохранит ограниченный контроль, что может быть полезно для постоянных эксплойтов.

На аппаратным уровнем исследователи смогли изменить прошивку Bluetooth LPM для запуска вредоносных программ на выключенном iPhone 13, что стало возможным в виду того, что прошивка не подписана и не зашифрована, а в чипе Bluetooth не включена безопасная загрузка.

Find My после отключения питания превращает выключенные iPhone в устройства слежения, а реализация в прошивке Bluetooth не защищена от манипуляций. При этом функции слежения могут быть скрытно изменены злоумышленниками с доступом на системном уровне.

Исследователи представили инструменты с открытым исходным кодом — InternalBlue и Frankenstein, которые можно использовать для анализа и модификации прошивки.

Если в случае с 0-day и удастся пофиксить багу, то отключить питание вряд ли, возможно даже в будущем. Apple никак не прокомментировали доводы тайных сотрудников, и скорее всего не будут этого делать.

Уязвимость RCE в плагине Tatsu Builder для WordPress стала причиной миллионов атак.

По данным Wordfence, с 10 по 14 мая заблокировано 5,9 миллиона попыток эксплуатации CVE-2021-25094 в плагине, который установлен почти на 100 000 сайтах.

Tatsu Builder - это достаточно популярный плагин, предлагающий мощные функции редактирования шаблонов, встроенные прямо в веб-браузер. Обнаруженная уязвимость позволяет удаленному злоумышленнику выполнять произвольный код на серверах с устаревшей версией плагина (все сборки до 3.3.12).

Ошибка была обнаружена независимым исследователем Винсентом Мишелем, который публично раскрыл ее 28 марта 2022 года вместе с эксплойтом (PoC).

Несмотря на то, что исправления с версией 3.3.13 доступны с начала апреля, в настоящее время эксплуатация активно продолжается, ведь 50 000 сайтов все еще используют уязвимую версию Tatsu Builder.

Атакующие пытаются внедрить дроппер «sp3ctra_XO.php» (имеет хэш MD5 3708363c5b7bf582f8477b1c82c8cbf8) в каталог «wp-content/uploads/typehub/custom/» и скрыть его. При этом Wordfence сообщает, что более миллиона атак было совершено всего с трех IP-адресов: 148.251.183[.]254, 176.9.117[.]218 и 217.160.145[.]62. 

Всем пользователям плагина Tatsu Builder настоятельно рекомендуется обновиться до версии 3.3.13.

Конечно, представленные индикаторы компрометации не являются стабильными, но добавить IP-адреса в свой черный список все же стоит.

Новая версия вредоносного ПО UpdateAgent для macOS, написанного на Swift, вовсю применяется в дикой природе. Авторы продолжают свои разработки, добавляя в него функциональные возможности. Новый вариант обнаружили исследователи Jamf Threat Labs.

Но одна особенность вредоносного ПО остается неизменной: мальварь полагается на инфраструктуру AWS для размещения различных полезных нагрузок и выполнения обновлений статуса заражения на сервере

Впервые UpdateAgent был обнаружен Microsoft 365 Defender Threat Intelligence Team в конце 2020 года и с тех пор превратился в дроппер вредоносных программ, обеспечивающий полезную нагрузку второго этапа, например от вредоносного до шпионского или рекламного ПО, а также обход средств защиты macOS Gatekeeper. Обладает многими характеристиками типичных программ-дропперов, включая fingerprinting, регистрацию конечных точек и сохраняемость. 

Новая версия на основе Swift маскируется под двоичные файлы Mach-O с именами PDFCreator и ActiveDirectory, которые после выполнения устанавливают соединение с удаленным сервером и извлекают скрипт bash для последующего выполнения. Основное различие между исполняемыми файлами заключается в разных URL-адресам, с которого мальварь должен загрузить сценарий bash. На момент обнаружения бинарный файл не детектировался в VirusTotal.

Выполнение этого сценария bash является основной задачей исполняемого файла mach-O. После извлечения его из URL-адреса он запускается непосредственно из дроппера Swift, не используя жесткий диск.

Сценарии с именами activedirec.sh или bash_qolveevgclr.sh содержат URL-адрес Amazon S3, обеспечивая загрузку и запуск файла образа диска второго этапа (DMG) на скомпрометированной машине. Приложение копируется в каталог /tmp. Затем путь к вновь созданному приложению сохраняется в созданной ранее переменной $TMPFILE. Вредоносное ПО изменяет файл /etc/sudoers таким образом, что обычный пользователь может выполнить скрипт ($TMPFILE) от имени root, не требуя пароля.

Далее вредоносная программа создает LaunchAgent пользовательского уровня, выполняя серию команд PlistBuddy. Несмотря на то, что он работает от имени пользователя LaunchAgent, он может перейти в root без пароля из-за ранее упомянутой модификации, внесенной в файл /etc/sudoers. После загрузки LaunchAgent вредоносный bash-скрипт ненадолго приостанавливается, а затем выполняет очистку, размонтируя файл DMG и удаляя изменения, внесенные им в файл sudoers.

Исследователи отмечают, что развитие этой вредоносной программы указывает но то, что разработчикам удалось хорошенько поработать с бэкендом, выстроим серьезную инфраструктуру для будущих более серьезных атак с использованием UpdateAgent.

NVIDIA исправили десять уязвимостей, в том числе 4 - высокой степени серьезности и 6 - средней, в драйверах графического процессора Windows для широкого спектра моделей видеокарт.

Обновления доступны для программных продуктов Tesla, RTX/Quadro, NVS, Studio и GeForce, охватывая ветки драйверов R450, R470 и R510. Патч также распространяется на карты серий GTX 600 и GTX 700 Kepler, поддержка которых закончилась в октябре 2021 года.

В числе серьезных баг, эксплуатации которых не требуют высоких привилегий или взаимодействия с пользователем, следующие:

• CVE-2022-28181 (оценка CVSS v3: 8,5) — запись за пределами границ на уровне режима ядра, вызванная специально созданным шейдером, отправленным по сети, что может привести к выполнению кода, отказу в обслуживании, повышению привилегий, информации. разглашение и фальсификация данных.

• CVE-2022-28182 (оценка CVSS v3: 8,5) — ошибка в драйвере пользовательского режима DirectX11, позволяющая неавторизованному злоумышленнику отправлять специально созданный общий ресурс по сети и вызывать отказ в обслуживании, повышение привилегий, раскрытие информации и фальсификацию данных.

• CVE-2022-28183 (оценка CVSS v3: 7,7) — уязвимость на уровне режима ядра, когда непривилегированный обычный пользователь может вызвать чтение за пределами границ, что может привести к отказу в обслуживании и раскрытию информации.

• CVE-2022-28184 (оценка CVSS v3: 7,1) — уязвимость в обработчике уровня режима ядра (nvlddmkm.sys) для DxgkDdiEscape, связанная с тем, что непривилегированный пользователь может получить доступ к регистрам с привилегиями администратора, что может привести к отказу в обслуживании, раскрытию информации и фальсификация данных.

Cisco Talos, обнаружившие CVE-2022-28181 и CVE-2022-28182, представили  подробный сценарии уязвимости повреждения памяти, предоставив искаженный вычислительный шейдер. Используявредоносный шейдер в браузере с помощью WebAssembly и WebGL, злоумышленники могут запускать эксплуатацию удаленно.

NVIDIA раскрыл подробную информацию обо всех исправлениях в ПО в недавнем бюллетене. Всем пользователям рекомендуется ознакомиться, и применить обновления либо с помощью центрального раздела загрузки либо через NVIDIA GeForce Experience.

Как известно на войне, помимо решения военных задач заинтересованные стороны делят рынки сбыта своих вооружений. И Украина не стала исключением: только демонстрируется не военная техника, а передовые технологии гибридной войны, которые поставляются ведущими американскими поставщиками.

Своеобразным подтверждением стало интервью с генеральным директором Clearview AI Хоан Тон-Тат, компании-разработчика системы распознавания лиц с крупнейшей в мире базой, которую в течение года пополнят еще на 100 миллиардов изображений (то есть по 13 фото каждого человека на планете).

Руководитель Clearview AI открыто признала, что технология распознавания используется военными и спецслужбами Украины (всего в шести ведомствах). Информацию о предоставлении Украине доступа к системе также подтверждает Министерство цифровой трансформации Украины. Помимо доступа сотрудники Clearview проводили обучение работе с системой для украинцев.

Говоря о злоупотреблениях системой, все очень просто: контроль возможных злоупотреблений возложен на самих же пользователей, а точнее закреплённых среди них администраторов из их числа, чей допуск позволяет отрубать токены пользователей. Но, как вы уже поняли, до настоящего момента не отозвано ни одного аккаунта, а руководство сервиса смотрит на это закрытыми глазами, как впрочем и на весь европейский правовой режим.

Если отбросить все мантры про социальный характер системы, позволяющей устанавливать личность военнопленных и погибших, то в реальности представители ВСУ используют сведения системы для отправки угроз и неописуемо мерзких роликов членам семей идентифицированных россиян. Хоан Тон-Тат не скрывает этого и полагает, что таким образом «русские должны почувствовать истинную цену войны».

Кроме того, система используется и для расследования дел о военных преступлениях, для этого в журналах поиска указываются номер и вид дела, а также его уголовная окраска. Приговоры и доказательственную базу, вероятно, также верстать будут на распечатках из Clearview.

Кстати, почти все вопросы в интервью можно заменить утвердительными предложениями, ответы можно не читать. Кроме одного вопроса - в котором прямо указывается на попадание доступа в систему представителями IT-армии Украины, хакеры которой засветили скрины из системы. На него ответа и не требуется.

Если кто-то до сих пор считает и верит в пушистых американки айтишников, которые несут гуманитарную благодать на Украину, то взгляните на одного из топов Clearview, кто конкретно стоял за решением предоставить доступ к технологии: Ли Волоски, входил в Совет национальной безопасности США при трех президентах, занимая должность директора по транснациональным угрозам, неоднократно лично свидетельствовал перед Конгрессом и является пожизненным членом Совета по международным отношениям.

Весь NSO-скандал - спектакль для европейцев, играющих в демократию и борьбу за права человека. Дядя Сэм дал четко понять, что Clearview AI в его исключительной юрисдикции, впрочем как и вся Европа.

Исследователи NCC Group без труда вскрыли Tesla Model 3 и Y в ходе ретрансляционной атаки Bluetooth с низким энергопотреблением (BLE), которая обходит все существующие средства защиты для аутентификации на целевых устройствах.

Технология BLE используется от электроники, такой как ноутбуки, мобильные телефоны, умные замки и системы контроля доступа в здания, до автомобилей, таких как Tesla Model 3 и Model Y. Решения с BLE для аутентификацией на основе сближения защищают от известных методов ретрансляционных атак посредством проверок, основанных на точном количестве задержек, а также с помощью шифрования на уровне канала.

Ретрансляционная атака работает на канальном уровне, что позволяет пересылать зашифрованные PDU канального уровня, а также способен обнаруживать зашифрованные изменения параметров соединения (таких как интервал соединения, WinOffset, режим PHY и карта каналов), продолжая ретранслировать соединения посредством изменений параметров. 

По мнению исследователей, ни шифрование канального уровня, ни изменение параметров зашифрованного соединения не являются защитой от этого типа ретрансляционных атак.
 
Группа NCC разработала инструмент, который работает на канальном уровне с задержкой 8 мс (в пределах допустимого диапазона 30 мс ответа GATT (Generic ATTtribute Profile). Для запуска атаки требуется около десяти секунд, и ее можно повторять бесконечно.
 
Tesla Model 3 и Model Y используют систему входа на основе BLE, поэтому атака NCC может быть использована для разблокировки и запуска автомобиля, чего добились исследователи в ходе тестирования метода на Tesla Model 3 2020 года с использованием iPhone 13 mini с приложением Tesla. Эксперимент также был успешно воспроизведен и на Tesla Model Y 2021 года, поскольку в нем используются аналогичные технологии.  По понятным причинам технические детали новой ретрансляционной атаки BLE не были опубликованы, но оценить тесты вы можете сами на видео.

Исследование NCC Group в отношении новой бесконтактной атаки доступно в трех отдельных бюллетенях: для BLE в целом, одно для автомобилей Tesla и другое для замков Kwikset/Weiser. В целом, проблема влияет на достаточно широкий набор устройств, товаров и решений других производителей.

Производители Tesla также изучали ролики и детали атак, о которых им сообщили 21 апреля, однако спустя неделю компания ответила, что ретрансляционные атаки являются известным ограничением системы пассивного входа. И с ними не поспоришь. Однако всегда принять меры защиты все же возможно.

Среди альтернатив исследователи выделяют: переход на метод аутентификации, требующий взаимодействия с пользователем, использование решения для ограничения расстояния (радиотехнология UWB (сверхширокополосная связь) вместо Bluetooth), использованием функцию «ПИН-кода», отключение функции пассивного входа в мобильном приложении в условиях, когда девайс неподвижен.

VMware исправила критическую уязвимость обхода аутентификации в своих продуктах Workspace ONE Access, VMware Identity Manager (vIDM) и vRealize Automation.

Об уязвимости CVE-2022-22972 сообщил Бруно Лопес из Innotec Security. Как пояснил исследователь, злоумышленник с сетевым доступом к пользовательскому интерфейсу может получить административный доступ без необходимости аутентификации. Последствия ее эксплуатации достаточно серьезны.

Компания также исправила вторую уязвимость локального повышения привилегий высокой степени серьезности, которая отслеживается как CVE-2022-22973 и может позволить злоумышленникам повысить права доступа на неисправленных устройствах до уровня «root». Ошибка затрагивает VMware Workspace ONE, VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), Облачный фонд VMware, vRealize Suite.

Учитывая критический характер выявленных баг, разработки призывает как можно скорее применить обновления в соответствии с инструкциями в VMSA-2021-0014
 
VMware предлагает также обходные пути для администраторов, которые не могут возможности оперативно пропатчить свои устройства. Эти меры предполагают отключение всех пользователей, кроме одного администратора, с последующим входом в систему через SSH для перезапуска службы Horizon-Workspace.

В тоже время компания не рекомендует их применять, склоняясь к единственному надежному варианта - установке соответствующих исправлений для уязвимых продуктов.

VMware не раскрывает сведений об использовании уязвимостей в дикой природе, однако если обратить внимание на вышедшую вчера чрезвычайную директиву 22-03 Агентства кибербезопасности и безопасности инфраструктуры США (CISA) в отношении исправления CVE-2022-22972 и CVE-2022-22973 в течение 5 дней, то вероятнее всего, риск атак потенциально неизбежен.

В прошлый раз злоумышленникам понадобилось 48 часов на реверс-инжинеринг патчей (апрельские исправления CVE-2022-229600 и CVE-2022-22954) и разработку эксплойта для начала атак.

Буквально на прошлой неделе в посте про взлом Rutube мы написали, что для серьезного усиления информационной безопасности в России требуется "для начала создать российский аналог CISA с соответствующими полномочиями выпускать правила и ТРЕБОВАТЬ их исполнения от всех организаций, государственных и коммерческих".

И вот сегодня эффективное использование подобного подхода нам показывают наши "найкращi друзi назавжди", а именно - расовые национальные пендосы в лице Министерства национальной безопасности США (DHS).

Bleeping Computer сообщает, что DHS издало приказ (!) всем агентствам FCEB (Federal Civilian Executive Branch - короче, всем федеральным ведомствам, включая министерства) в пятидневный срок обновить или удалить из своих сетей все продукты VMware. Кто не сделает - тому пожизненный эцих с гвоздями.

Связано это в первую очередь с тем, что буквально сегодня VMware исправили две уязвимости, одна из которых критическая. А относительно прошлых дырок, которые компания устранила в апреле, стало известно, что хакеры начали использовать их в дикой природе спустя всего 48 часов после выхода патча - реверс-инжиниринг рулит.

Таким образом авторитарный подход DHS по принуждению IT-подразделений федеральных ведомств к срочному обновлению уязвимого ПО представляется крайне необходимым в сложившихся условиях. И, хотя в США в текущем моменте является нашим геостратегическим противником, поучиться хорошим правильным практикам в области инфосек - это дело совершенно богоугодное.

Аналитики Wordfence Threat Intelligence обнаружили ряд уязвимостей в плагинах Jupiter Theme и JupiterX Core для WordPress, одна из которых CVE-2022-1654 имеет оценку CVSS 9,9 (критическая).

Jupiter — это высококачественный конструктор тем для сайтов WordPress, используемый более чем 90 000 популярных блогов, онлайн-журналов и платформ с большим трафиком пользователей.

Уязвимость CVE-2022-1654 позволяет любому прошедшему проверку подлинности пользователю на сайте, использующему уязвимые подключаемые модули, получить административные привилегии.

После эксплуатации уязвимости злоумышленники могут совершать на сайте неограниченное количество действий, включая изменение его содержимого, внедрение вредоносных скриптов или полное его удаление. Для этого достаточно быть простым подписчиком или клиентом на сайте.

CVE-2022-1654 затрагивает следующие версии: Jupiter Theme версии 6.10.1 и старше (исправлено в 6.10.2), JupiterX Theme версии 2.0.6 и старше (исправлено в 2.0.7) и JupiterX Core Plugin версии 2.0.7. и старше (исправлено в 2.0.8).

Проблема связана с функцией uninstallTemplate, которая перезагружает сайт после удаления темы и повышает привилегии до администратора. Если вошедший в систему пользователь отправляет запрос AJAX с параметром действия для вызова функции, он может повысить свои привилегии без какой-либо проверки.

Исследователи обнаружили проблему 5 апреля 2022 г., после чего уведомили разработчика модуля, предоставив полными техническими подробности. 28 апреля 2022 г. поставщик выпустил частичное исправление, а 10 мая Artbees выпустила полный патч.

В обновление также были включены исправления и других менее серьезных недостатков, среди которых: CVE-2022-1656 (оценка CVSS: 6,5, произвольная деактивация плагина и изменение настроек); CVE-2022-1657 (оценка CVSS: 8,1, обход пути и включение локального файла); CVE-2022-1658 (произвольное удаление подключаемого модуля средней серьезности, оценка CVSS: 6,5); CVE-2022-1659 (раскрытие информации, модификация и отказ в обслуживании средней степени серьезности, оценка CVSS: 6,3).

Для решения проблем с безопасностью владельцам сайтов WordPress с плагином рекомендуем как можно скорее обновиться до последних доступных версий, или же деактивировать плагин, заменив тему сайта.

Тайваньский производитель сетевых хранилищ (NAS) QNAP вновь вынужден вступить в противостояние с вымогателями DeadBolt, которые организовали новую волну атак.

Настоящая дуэль между производителем и хакерами началась в январе этого года после волны массового шифрования NAS-устройств вымогателями DeadBolt, когда QNAP были вынуждены принудительно накатить патчи или позже вовсе рекомендовать отключать устройства от сети.

Согласно расследованию QNAP PSIRT атака была нацелена на устройства NAS серий TS-x51 и TS-x53, использующие QTS 4.3.6 и QTS 4.4.1. 

QNAP призывает всех пользователей NAS как можно скорее проверить и обновить QTS до последней версии, по возможности отключить переадресацию порта службы управления NAS (порт 8080 и 433 по умолчанию) портов маршрутизатора и функцию UPnP QNAP NAS.

Кроме того, QNAP выпустили подробные инструкции по отключению подключений SSH и Telnet, изменению номера системного порта, изменению паролей устройств и включению защиты доступа к IP-адресу и учетной записи.

Для тех, кому необходим доступ к устройствам NAS без прямого доступа к Интернету, рекомендуется включить функцию VPN на маршрутизаторе (если она доступна), использовать службу myQNAPcloud Link и сервер VPN на устройствах QNAP, предоставляемый приложением QVPN Service, или QuWAN SD-WAN.

Поскольку на устройства QNAP нацелены и другие штаммы ransomware, включая Qlocker и eCh0raix, владельцам следует позаботиться о своей безопасности для защиты данных.

Стартовал Pwn2Own Vancouver 2022, участники которого должны будут проявить себя в категориях веб-браузера, виртуализации, локального повышения привилегий, серверов, корпоративных коммуникаций и автомобилей.

В первый день которого хакеры взломали операционную систему Microsoft Windows 11 и коммуникационную платформу Teams, продемонстрировали успешную эксплуатацию 16 0-day и сорвали куш в 800 000 долларов США.

Первой полегла Microsoft Teams в категории корпоративных коммуникаций после того, как Гектор Перальта воспользовался неправильной конфигурацией. После чего команда STAR Labs (в составе: Билли Дженг Бинг-Джхонг, Мухаммад Алифа Рамдхан и Нгуен Хоанг Тхок) красиво отработала свою цепочку эксплойтов с нулевым кликом из двух ошибок (внедрение и запись произвольного файла).

Третий раз Microsoft Teams был взломан в третий раз Масато Кинугавой, который использовал цепочку из трех ошибок: внедрение, неправильная конфигурация и выход из песочницы.

Каждая атака с использованием 0-day в Microsoft Teams принесла участника по 150 000 долларов.

Команда STAR Labs смогла дополнительно заработать 40 000 долларов США после за демонстрацию успешного повышения привилегий в ОС Windows 11 с использованием уязвимости Use-After-Free и еще 40 000 долларов США за повышение привилегий в Oracle Virtualbox.

Без внимания хакеров не осталась Mozilla Firefox и Apple Safari, который препарировал Манфред Пол и смог реализовать две ошибки (загрязнение прототипа и неправильная проверка ввода), за что получил вознаграждение в размере 150 000 долларов.

Свои 0-day в Windows 11 и Ubuntu Desktop в ходе первого дня Pwn2Own также показали Марцин Визовски, Team Orca из Sea Security и Кит Йео.

Вообще в период с 18 по 20 мая участники смогут заработать более 1 000 000 долларов наличными и призами, включая автомобили Tesla Model 3 и Tesla Model S. Самая крупная награда назначена за взлом Tesla и составляет 600 000 долларов (бонусом сам автомобиль), что и предстоит хакерам на следующем этапе.

͏Если уходишь - уходи красиво.

Именно так и поступили Conti, историю которых, по мнению исследователей Advanced Intel, официально можно считать законченной. Последняя беспрецедентная атака на Коста-Рику, по замыслу вымогателей, должна была стать отвлекающим маневром и создавать видимость их активности.

В реальности вместо заявленных 10, а потом 20 миллионов долларов, запрошенная сумма выкупа была намного меньше 1 миллиона. Такая цифра фигурировала во внутренней переписке членов группы.

Проводившие плотное наблюдение за группировкой исследователи полагают, что как бренда ransomware Conti больше нет, в то время как участники перегруппировались и заняли позиции в нижестоящих по иерархии группах.

К настоящему времени инфраструктура Conti отключена. Генеральный директор Advintel Виталий Кремез вообще утверждает,  что технически программа-вымогатель Conti была свернута еще две недели назад, преемники Ryuk с того времени прекратили выпускать новые сборки. Несмотря на то, что «Conti News» и сайты переговоров все еще висят в сети, внутренние панели и хосты не работают, что свидетельствует о начале передела цифровой структуры группы.

Вместо традиционного ребрендинга руководители Conti решили раствориться в разветвленной сети ransomware-банд, которые им удалось собрать вокруг себя, начиная с 2021 года, включая HelloKitty, AvosLocker, Hive, BlackCat, BlackByte и многих других.

В рамках нового партнерства небольшие банды вымогателей получают приток опытных пентестеров, переговорщиков и операторов бывших Conti, а киберсиндикат получает мобильность и большую способность уклоняться от правоохранительных органов, разделяясь на более мелкие «ячейки», управляемые центральным руководством.

Кроме того, Advanced Intel заявляет, что к настоящему моменту Conti были созданы новые автономные группы, которые сосредоточены исключительно на краже данных и включают Karakurt, BlackByte и Bazarcall.

Ресерчеры полагают, что даже используя ransomware и ресурсы для переговоров других брендов, участники по-прежнему будут являться частью более крупного объединения, но уже без официального наименования Conti.

Эстафету есть кому передать, на подходе обновленные REvil, да и LockBit в ударе. Можно сказать грамотный ход со стороны участников банды, за головы которых американскими властями назначено вознаграждение в размере 15 миллионов долларов США.

СЕНСАЦИЯ! ИНФОСЕК ИНДУСТРИЯ В ШОКИ! КИБЕРВОЙНЫ ЗАКОНЧИЛИСЬ!

Британское издание Evening Standart вчера вечером выпустило статью, в которой рассказало о разработанном исследователями Университета Кардиффа инструменте, которые "уничтожает кибератаки за 0.3 секунды". Краткое содержание статьи - производители антивирусного ПО тупые, а исследователи из Кардиффа умные.

Народ ржет и отправляет индустрию на пенсию. Ну потому что кибератаки - все! Уничтожены за 0.3 секунды.

Следующими открытиями исследователей из Кардиффа, видимо, будут Баролгин (понижает риск, уничтожает простату и стимулирует выделения) и способ по борьбе с расследованием терроризма.

"Британские ученые", грохоча мослами, ворвались в информационную безопасность.