VMware исправила три критические ошибки обхода аутентификации в инструменте удаленного доступа Workspace ONE Assist.

Workspace ONE Assist обеспечивает дистанционное управление, совместное использование экрана, управление файловой системой и удаленное выполнение команд из консоли.

Проблемы отслеживаются как CVE-2022-31685 (обход аутентификации), CVE-2022-31686 (неверный метод аутентификации) и CVE-2022-31687 (неверный контроль аутентификации) и получили базовые оценки CVSSv3 9,8/10.

Злоумышленники, не прошедшие проверку подлинности, могут использовать их в несложных атаках, не требующих взаимодействия с пользователем для повышения привилегий.

Таким образом, пользователь с сетевым доступом к Workspace ONE Assist может получить административный доступ без необходимости аутентификации в приложении.

Кроме того, VMware устранила и другую XSS-уязвимость CVE-2022-31688, которая позволяет злоумышленникам внедрять код javascript в окно целевого пользователя, а также уязвимость фиксации сеанса (CVE-2022-31689), позволяющую пройти аутентификацию после получения действительный токен сеанса.

Все ошибки были обнаружены и переданы в VMware Джаспером Вестерманом, Яном ван дер Путом, Яником де Патером и Хармом Бланкерсом из REQON IT-Security.

Все проблемы затрагивают версии 21.x и 22.x VMware Workspace ONE Assist и были устранены в версии 22.10.

Компания также заявила, что не существует обходных путей, устраняющих недостатки.

Ноябрьский Patch Tuesday от Microsoft исправляет 68 уязвимостей в Windows, в том числе и 6 активно эксплуатируемых 0-day.

Среди исправленных: 12 классифицируются как критические, 2 -с серьезные и 55 - важные.

По категориям: 27 - повышение привилегий, 4 - обход функций безопасности, 16 - RCE, 11 - раскрытие информации, 6 - DoS, 3 - спуфинг.

Главная изюминка патча - исправления для двух CVE нулевого дня в Exchange Server, также известных как ProxyNotShell.

В целом же, список активно эксплуатируемых 0-day выглядит следующим образом:

- CVE-2022-41128: уязвимость удаленного выполнения кода в языках сценариев Windows, обнаружена Клементом Лесинем из группы анализа угроз Google. Бага требует, чтобы пользователь с уязвимой версией Windows получил доступ к вредоносному серверу.

- CVE-2022-41091: уязвимость Windows Mark of the Web Security Bypass. Злоумышленник может создать вредоносный файл, который сможет обойти защиту MOTW, что приведет к ограничению работы защищенного просмотра в Microsoft Office. Обновление исправляет два обхода Mark of the Web, также обнаруженных Уиллом Дорманном, который продемонстрировал, как можно создать специально созданный Zip-файл для блокировки функции безопасности Windows.

- CVE-2022-41073: уязвимость диспетчера очереди печати Windows, связанная с несанкционированным получением прав, обнаружена центром Microsoft Threat Intelligence Center (MSTIC). Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить системные привилегии.

- CVE-2022-41125: уязвимость службы изоляции ключей Windows CNG, связанная с повышением привилегий, обнаружена Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC).

- CVE-2022-41040: уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав, обнаружена GTSC и раскрыта в рамках инициативы Zero Dat. Привилегии, полученные злоумышленником, будут заключаться в возможности запускать PowerShell в контексте системы.

- CVE-2022-41082: уязвимость, связанная с удаленным выполнением кода сервера Microsoft Exchange, обнаружена GTSC и раскрыта в рамках инициативы Zero Dat. Злоумышленник, использующий эту уязвимость, может атаковать учетные записи сервера с помощью произвольного или удаленного выполнения кода.

Среди других критических уязвимостей в ноябрьском патче, на которые стоит обратить внимание, — это уязвимости повышения привилегий в Windows Kerberos (CVE-2022-37967), Kerberos RC4-HMAC (CVE-2022-37966) и Microsoft Exchange Server (CVE-2022-41080) и отказ в обслуживании, затрагивающий Windows Hyper-V (CVE-2022-38015).

В дополнение к этим проблемам, исправление во вторник также устраняет ряд недостатков удаленного выполнения кода в протоколе туннелирования точка-точка (PPTP), Microsoft Excel, Word, драйвере ODBC, Office Graphics, SharePoint Server, JScript9, Chakra и Visual Studio, а также ряд ошибок повышения привилегий в Win32k, Overlay Filter и Group Policy.

Полный список устраненных уязвимостей и выпущенных рекомендаций в Patch Tuesday доступен здесь.

͏Австралийская медицинская страховая компания Medibank пошла на принцип и отказалась от выплаты выкупа вымогателям, в результате чего личные данные 9,7 миллионов ее нынешних и бывших клиентов утекли в сеть.

Ставшая одной из крупнейших по объему утечка включает полные установочные и контактные данные, а также медицинская информация, включающая коды диагнозов и перечни выполненных услуг.

Так, например слиты и записи с кодом: p_diag: F122, которые соответствует «зависимости от каннабиса» по международной классификации болезней ВОЗ.

При этом финансовая информация и сведения об удостоверяющих личность документах остались не тронутыми.

Пикантности инциденту придает и наличие в утечке вип-персон и международных клиентов: в числе клиентов Medibank был и премьер-министр Энтони Альбанезе.

Он уже высказал беспокойство, что часть этой информации была опубликована, а сам инцидент является «тревожным звонком» для корпоративного сектора Австралии.

Кроме того, обиженные неконструктивной позицией жертвы хакеры за 24 часа до публикации данных призвали акционеров избавляться от акции Medibank.

В итоге нарушение продавило рыночную стоимость Medibank на сотни миллионов долларов, а цена акций компании упала более чем на 20 процентов, с момента когда впервые появились новости об утечке.

Сумму выкупа публично не озвучена, как и ответственная за взлом группа. Однако утекшие данные были размещены на теневом портале, связанным с REvil, которая как известно возобновила свою деятельность с мая этого года.

Теперь же австралийцы достаточно серьезны озабочены проблемами защиты персональных данных и намерены кратно повысить санкции за нарушения со стороны ответственных за их безопасность операторов.

Штраф за "крупный инцидент" теперь может составлять не 1,4 млн. долларов США, а 32 миллиона этих же долларов либо сумму до 30% от дохода за определенный период.

А в России тем временем, как сообщают наши авторитетные коллеги из Утечки информации, вчера злоумышленник, причастный к ранним резонансным «сливам» Tele2, Почты России, GeekBrains, Delivery Club, Tutu и др., выложил в открытый доступ данные пользователей сервиса коротких видео Yappy.media.

В общем-то, все что, нужно знать о защите персданных в отечественных компаниях - читатели канала уже и так уже знают, повторяться не будем 👇

Siemens и Schneider Electric выпустили бюллетени исправлений за ноябрь 2022 года.

При этом Siemens выпустила 9 новых бюллетеней по безопасности, охватывающих в общей сложности 30 уязвимостей, а Schneider опубликовала только один новый бюллетень.

Из девяти бюллетеней Siemens три описывают критические уязвимости. В устройствах измерения мощности Sicam Q100 были обнаружены четыре уязвимости — одна с высокой степенью серьезности и три критические. Они могут позволить злоумышленнику перехватить пользовательские сеансы, вывести устройство из строя или RCE.

Устройства Scalance W1750D имеют более дюжины уязвимостей, в том числе многие из них имеют рейтинг «критических», которые могут позволить злоумышленнику RCE или вызвать состояние DoS.

Исправления недоступны, но поставщик предоставил некоторые средства для устранения. Компания указала, что точка доступа представляет собой фирменное устройство производства Aruba Networks, которая объявила о выпуске исправлений еще в конце сентября.

В последнем бюллетене Siemens, касающемся критической уязвимости, описывается слабая защита ключа в продуктах Sinumerik.

Уязвимости высокой степени серьезности также были исправлены в продуктах Teamcenter Visualization и JT2Go (RCE и DoS), Parasolid (RCE) и QMS Automotive (раскрытие учетных данных).

В устройствах Ruggedcom ROS, промышленных контроллерах и системе управления сетью Sinec были обнаружены недостатки средней степени серьезности.

Кроме того, между этим и предыдущим вторником исправлений Siemens опубликовала бюллетень, описывающий критическую уязвимость обхода аутентификации, затрагивающую мобильные серверы Siveillance Video.

Schneider Electric опубликована только один новый бюллетень.

Он охватывает три уязвимости, из-за которых мониторы безопасности и среды NetBotz подвергаются атакам межсайтового скриптинга (XSS), захвату учетных записей и кликджекингу.

Французский промышленный гигант выпустил патчи.

Lenovo исправила две серьезные уязвимости, затрагивающие различные модели ноутбуков ThinkBook, IdeaPad и Yoga, которые могут позволить злоумышленнику деактивировать UEFI Secure Boot.

UEFI Secure Boot — это система защиты, гарантирующая блокировку выполнения вредоносного кода в процессе загрузки компьютера.

В противном случае злоумышленники могут обойти все средства защиты и внедрить вредоносное ПО, сохраняющееся даже в случае переустановки ОС.

Проблема связана с тем, что Lenovo по ошибке включила драйвер ранней разработки, который мог изменить параметры безопасной загрузки из ОС в окончательных производственных версиях.

Присутствие этих драйверов в нескольких продуктах Lenovo было обнаружено исследователями ESET, которые и сообщили об этом поставщику.

ESET пояснила, что уязвимости можно использовать, просто создавая специальные переменные NVRAM, ссылаясь в Твиттере на Николая Шлея, который объяснил, почему разработчики прошивки UEFI не должны использовать NVRAM в качестве надежного хранилища.

По итогу Lenovo исправила следующие уязвимости:

- CVE-2022-3430: уязвимость в драйвере настройки WMI на некоторых потребительских ноутбуках Lenovo может позволить злоумышленнику с повышенными привилегиями изменить параметр безопасной загрузки, изменив переменную NVRAM.

- CVE-2022-3431: уязвимость в драйвере, используемом в процессе производства на некоторых потребительских ноутбуках Lenovo, который по ошибке не был деактивирован, может позволить злоумышленнику с повышенными привилегиями изменить параметр безопасной загрузки, изменив переменную NVRAM.

Существует также третья уязвимость аналогичного характера, отслеживаемая как CVE-2022-3432 и затрагивающая только Ideapad Y700-14ISK. Однако производитель не намерен устранять ее, поскольку срок службы уязвимого продукта истек (EOL).

Пользователям Lenovo рекомендуется сверить свои устройства со списком уязвимых моделей, представленных в бюллетене безопасности поставщика, при необходимости произвести обновление прошивки.

Продолжаются тектонические сдвиги в сфере коммерческого шпионского ПО.

Google Project Zero раскрыл подробности о трех 0-day в девайсах Samsung, которые использовались поставщиком шпионского ПО для третированных атак и наблюдения.

CVE-2021-25337, CVE-2021-25369 и CVE-2021-25370 были объединены разработчиками шпионского софта и нацелены на телефоны Android с пользовательскими компонентами Samsung.

Уязвимости относятся к ошибкам чтения/записи произвольного файла через пользовательский поставщик контента буфера обмена, утечки информации ядра и использования после освобождения в драйвере процессора дисплея.

Все три уязвимости затрагивают пользовательские компоненты производителя, а не относятся к платформе AOSP или ядру Linux.

При этом 2 из 3 уязвимостей связаны с логикой и дизайном, а не с безопасностью памяти.

Исследователи Google так и не смогли определить приложение, используемое для доставки эксплойта, или конечную полезную нагрузку, развернутую злоумышленником.

Однако они установили, что уязвимости использовались для записи вредоносного файла на целевое устройство, обхода механизмов безопасности и получения доступа к ядру для чтения и записи.

Google сообщил об уязвимостях Samsung в конце 2020 года, когда обнаружил образцы эксплойтов. Технический гигант выпустил исправления в марте 2021 года.

По данным Google, версии ядра, на которые был нацелен эксплойт, работали на смартфонах Samsung S10, A50 и A51 в конце 2020 года, а сам эксплойт был разработан неназванным поставщиком шпионского ПО.

При этом Google отметил, что механизм первоначального выполнения кода через приложение был аналогичен другим кампаниям, в том числе нацеленной на смартфоны Apple и Android пользователей Италии и Казахстане и связанной с итальянской компанией RCS Lab.

Google также известно о некоторых других уязвимостях Samsung с идентификаторами CVE 2021 года, которые использовались в атаках, но подробности пока не разглашаются.

Project Zero отметил, что в бюллетенях Samsung по-прежнему не упоминается использование этих уязвимостей в реальных условиях.

Вместе с тем, поставщик пообещал, что в будущем будет предупреждать клиентов об обнаружении злонамеренной эксплуатации.

Когда-нибудь, обязательно.

Ресерчеры команды Team82 из Claroty обнаружили уязвимость высокой степени серьезности в популярной компьютерной системе шведско-швейцарскоого гиганта по производству электрооборудования ABB, широко используемого крупными нефтегазовыми компаниями по всему миру.

Ошибка затрагивает компьютеры контроля расхода ABB - устройства, которые рассчитывают объемы и лимиты нефти и газа.

Расходомеры имеют решающее значение для обеспечения безопасности критических объектов, но также играют важную роль для расчетов за услуги.

Обнаруженная CVE-2022-0902 имеет оценку CVSS v3 8,1 из 10 и затрагивает ABB RMC-100 (Standard), RMC-100-LITE, XIO, XFCG5, XRCG5, uFLOG5 и UDC.

Claroty объясняют, что злоумышленники могут использовать эту уязвимость для получения root-доступа к компьютеру потока ABB, чтения и записи файлов и удаленного выполнения кода.

Расходомеры считывают необработанные данные с подключенных датчиков, которые измеряют объем вещества несколькими способами, в зависимости от того, газ или жидкость измеряются.

Эксплуатация уязвимости позволит злоумышленнику захватить контроль над расходными компьютерами и удаленно нарушить их точность измерения значения параметра, что прямым образом повлияет на финансовые расчеты и обслуживание клиентов.

Нарушение работы расходомеров — это тонкий вектор атаки, который может аналогичным образом повлиять не только на ИТ-системы, но и на OT-системы, как это было при инциденте на Colonial Pipeline в прошлом году.

Представитель ABB подтвердил, что компании известно о частных сообщениях об уязвимости в версиях продуктов расходомера и пульта дистанционного управления, перечисленных в вышедшем бюллетене от 14 июля 2022 года.

Уязвимость была недавно была исправлена с выпуском обновления микроПО от ABB. При этом смягчение может быть достигнуто путем надлежащей сегментации сети.

​🔖 Подборка полезной информации и ресурсов. Часть 13.

🖖🏻 Приветствую тебя user_name.

• 13 часть подборок полезного материала, благодаря этой информации ты можешь прокачать свои навыки в нужной для тебя категории и получить полезные знания — бесплатно. Обязательно ознакомься с каждой частью, в любой из ссылок представленных ниже, ты можешь найти ТЫСЯЧИ полезных ресурсов, инструментов, книг, курсов, статей и т.д.

• Часть 1 • Часть 2 • Часть 3 • Часть 4 • Часть 5 • Часть 6 • Часть 7 • Часть 8 • Часть 9 • Часть 10 • Часть 11 • Часть 12.

• Полезный материал для изучения Reverse Engineering и анализа вредоносных программ. Большинство репо уже давно не обновлялись, однако можно найти полезную информацию для обучения. Особенно будет полезно новичкам:
- https://github.com/ytisf/theZoo
- https://github.com/secrary/SSMA
- https://github.com/merces/aleph
- https://github.com/nheijmans/malzoo
- https://github.com/topics/malware-analys
- https://github.com/mentebinaria/retoolkit
- https://github.com/topics/reverse-engineering
- https://github.com/arxlan786/Malware-Analysis
- https://github.com/SpiderLabs/malware-analysis
- https://github.com/wtsxDev/reverse-engineering
- https://github.com/tylerha97/awesome-reversing
- https://github.com/NationalSecurityAgency/ghidra
- https://github.com/rshipp/awesome-malware-analysis
- https://github.com/hax0rtahm1d/Reverse-Engineering
- https://github.com/mytechnotalent/Reverse-Engineering
- https://github.com/0xZ0F/Z0FCourse_ReverseEngineering
- https://github.com/mikesiko/PracticalMalwareAnalysis-Labs
- https://github.com/Apress/malware-analysis-detection-engineering

• Огромная коллекция различного материала на тему усиления безопасности. От подробных гайдов до необходимых инструментов и бенчмарков:
https://github.com/decalage2/awesome-security-hardening

• Advanced SQL Injection Cheatsheet. Шпаргалка по разным типам SQL-инъекций, которая содержит информацию способах обхода WAF, поиске точек входа, обнаружения уязвимостей и многое другое:
https://github.com/kleiton0x00/Advanced-SQL-Injection-Cheatsheet

• Список разнообразных полезных сервисов для обеспечения приватности и безопасности в сети:
https://github.com/Igglybuff/awesome-piracy

• Awesome Bluetooth Security. Данный репо содержит информацию по безопасности Bluetooth BR/EDR/LE или Mesh. Очень много полезного материала:
https://github.com/engn33r/awesome-bluetooth-security

• Bug Bounty Tools. Коллекция инструментов для багхантеров, разбитая по категориям:
https://github.com/vavkamil/awesome-bugbounty-tools

• https://github.com/trickest/cve, тут собраны почти все CVE, начиная с 1999 года, присутствует удобная сортировка (по годам) и есть ежедневные обновления.

@S.E. #ИБ #Подборка

Веб-технологии прогрессируют и ориентированы большинстве своем на облегчение жизнь конечному потребителю, но далеко не всегда ноу-хау применяются по назначению.

Так, например, протокол IPFS (InterPlanetary File System) для децентрализованного хранения и доступа к контенту стал мощным оружием в руках злоумышленников.

IPFS представляет собой одноранговую распределённую файловую систему, которая соединяет все вычислительные устройства единой системой файлов.

Исследователи Cisco Talos сообщили, что обнаружили множество вредоносных кампаний, использующих IPFS для размещения фишинговых ссылок с полезной нагрузкой и вредоносным ПО.

Для злоумышленников IPFS стала хорошей альтернативой абузоустойчивого хостинг-провайдера и серьезно усложняет работу антивирусных средств, так как IPFS часто используется в легитимных целях.

Сложность состоит в том, что URL-адрес целевого файла — это хэш содержимого, а не определение местоположения сервера. Файлы вводятся в систему, а затем автоматически копируются на несколько узлов.

Физическое расположение узлов неизвестно пользователю, поскольку файл извлекается по хэшу содержимого, а не по IP-адресу.

Привлекательность для злоумышленников очевидна: нет необходимости заморачиваться с хранением вредоносного ПО, а их узлы IPFS нельзя отключить так же, как можно отключить сервера по IP.

Специалисты из Talos в своем отчете рекомендуют организациям ознакомиться с этими новыми технологиями и с тем, как они используются злоумышленниками для защиты от новых методов, которые их используют.

Пренебрегать рекомендациями не стоит, так как за последние месяцы исследователи неоднократно били тревогу, когда IPFS становился очагом киберпреступности.

Например, только в июле компания SpiderLabs за три месяца выявила более 3000 электронных писем с фишинговыми URL-адресами в IPFS. Они эмулировали страницы входа в Microsoft Outlook, домены Google и службы облачного хранения, такие как Filebase.io и nftstorage.link.

Злоумышленники также активно используют одноранговую сеть для распространения вредоносных полезных нагрузок.

В ходе одной из кампаний, за которой наблюдали исследователи Talos, злоумышленник отправлял жертвам фишинговое электронное письмо с вложением ZIP, содержащим дроппер в виде исполняемого файла PE32.

При запуске загрузчик обращался к шлюзу IPFS и извлекал полезную нагрузку второго уровня, размещенную в той же одноранговой сети.

Цепочка атак заканчивалась тем, что в систему жертвы попал троянец удаленного доступа Agent Tesla.

Кроме того, исследователи обнаружили в узлах IPFS вредоносный инструмент Hannabi Grabber, ворующий информацию и очищающий диск.

Специалисты предупреждают, что новая тенденция только набирает обороты, организациям следует четко понимать, какое место занимают новые технологии на современном ландшафте угроз.

Ресерчеры Avast в новом отчете сообщают об АРТ Workok, которая вредоносное ПО в PNG с помощью стеганографии.

Результаты исследования основан на дополнительных артефактах, полученных в ходе расследования атак Workok, и дополняют выводы ESET, первой обнаружившей и сообщившей об активности Workok в начале сентября (отчет).

Как известно, Workok нацеливается на правительственные учреждения на Ближнем Востоке, в Юго-Восточной Азии и Южной Африке.

Несмотря на то, что используемый для взлома сетей метод остается неизвестным, Avast предполагает вероятное использование неопубликованной загрузки DLL для запуска загрузчика вредоносного ПО CLRLoader в память.

Затем CLRLoader загружает DLL второго этапа отчете сообщаюткоторая извлекает байты, встроенные в файлы PNG, и использует их для сборки двух исполняемых файлов. Стеганография скрывает код внутри файлов изображений.

По данным Avast, злоумышленники использовали технику, называемую кодированием наименее значимых битов (LSB), встраивая небольшие фрагменты вредоносного кода в наименее важные биты пикселей изображения.

Первая полезная нагрузка, извлеченная из этих битов с помощью PNGLoader, — это сценарий PowerShell, который не удалось получить ни ESET, ни Avast.

Вторая полезная нагрузка, скрывающаяся в файлах PNG, представляет собой специальный похититель информации .NET C# DropBoxControl, который злоупотребляет службой размещения файлов DropBox для связи C2, извлечения файлов и многого другого.

Вредоносная программа DropBoxControl использует подконтрольную злоумышленнику учетку для загрузки файлов со взломанного компьютера или получения данных и команд, которые хранятся в зашифрованных файлах в репозитория DropBox.

Вредоносный функционал указывают на то, что Workok сосредоточена на обеспечении скрытности при проведении эксфильтрации данных, бокового перемещения и наблюдения за зараженным хостом.

Avast отмечает, что задействоваанные в атаках Workok инструменты не замечены и не распространяются в дикой природе, а используются исключительно в интересах АРТ.

Исследовательская группа Palo Alto Unit 42 обнаружила три различные уязвимости в веб-сервере OpenLiteSpeed с открытым исходным кодом, которые также затрагивают корпоративную версию LiteSpeed Web Server.

OpenLiteSpeed - это версия LiteSpeed Web Server Enterprise с открытым исходным кодом, разработанная LiteSpeed Technologies.

ПО занимает шестое место среди самых популярных веб-серверов.

По данным Palo Alto Networks Cortex Xpanse и Shodan, ПО обеспечивает примерно 2% всех приложений веб-сервера с почти 1,9 миллионами уникальных серверов по всему миру.

Среди выявленных проблем:
- удаленное выполнение кода (CVE-2022-0073) с CVSS 8.8;
- повышение привилегий (CVE-2022-0074) с CVSS 8.8;
- обход каталога (CVE-2022-0072) с CVSS 5.8.

Первая уязвимость затрагивает функцию External App Command в панеле администрирования веб-сервера OpenLiteSpeed.

Злоумышленник, которому удалось получить учетные данные для доступа к панели управления с помощью брута или социнженерии, может воспользоваться уязвимостью для выполнения кода на сервере.

Получив выполнение кода на сервере, злоумышленник может использовать вторую уязвимость для повышения привилегий с none до root.

Она обеспечивается неправильной конфигурацией в переменной окружения PATH и применением ненадежного пути поиска.

Последняя проблема могла позволить злоумышленнику обойти защиту и получить доступ к запрещенным файлам.

Злоумышленник, скомпрометировавший сервер, может создать бэкдор и использовать уязвимость для доступа к нему.

Объединяя и используя уязвимости, злоумышленники могут скомпрометировать веб-сервер и получить полностью привилегированное RCE.

После информирования ресерчерами об уязвимостях в течение двух недель к 18 октября LiteSpeed Technologies выпустила исправленную версию (v1.7.16.1).

Использующим OpenLiteSpeed версий от 1.5.11 до 1.7.16 и LiteSpeed версий от 5.4.6 до 6.0.11, рекомендуется обновить свое ПО до последней соответствующей версии — v1.7.16.1 и 6.0.12.

Не нужно откладывать на выходные то, что стоит сделать сегодня, особенно когда речь идет о внеплановых исправлениях безопасности.

Исправления были выпущены ИТ-гигантом из Купертино для обновления линейки продуктов под управлением iOS и macOS с целью устранения двух критических уязвимостей в библиотеке libxml2.

Написанная на языке программирования C и первоначально разработанная для проекта Gnome, libxml2 представляет собой программную библиотеку для анализа XML-документов.

Баги получили идентификаторы CVE-2022-40303 и CVE-2022-40304 и могут позволить потенциальному злоумышленнику вызвать неожиданное завершение работы приложения или RCE.

Обнаружить ошибки в библиотеки Apple помогли коллеги по цеху из Google Project Zero.

Apple устранила недостатки, выпустив macOS Ventura 13.0.1 и iOS 16.1.1 и iPadOS 16.1.1 (для iPhone 8 и новее, iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, и iPad mini 5-го поколения и новее).

Заявлений от Apple об использовании в атаках не поступало.

Однако PoC, нацеленный на CVE-2022-40303, а также полные технические сведения о CVE-2022-40304, уже были опубликованы, что собственно объясняет внеплановое обновление от Apple.

͏Cisco объявила о выпуске исправлений для 33 уязвимостей высокой и средней степени серьезности, влияющих на корпоративные межсетевые экраны с ПО Cisco Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) и Firepower Management Center (FMC).

Наиболее серьезной из проблем является CVE-2022-20927 - ошибка в функциях политик динамического доступа DAP ПО ASA и FTD, позволяющая удаленному злоумышленнику, не прошедшему проверку подлинности, вызвать состояние DoS.

Из-за неправильной обработки данных, полученных от модуля Posture (HostScan), злоумышленник может отправить сформированные данные HostScan, чтобы вызвать перезагрузку устройства.

Не менее серьезной с CVSS 8,6 является CVE-2022-20946, DoS-уязвимость в функции декапсуляции туннеля общей инкапсуляции маршрутизации GRE в ПО FTD версии 6.3.0 и более поздних. Проблема возникает из-за ошибок обработки памяти при обработке трафика GRE.

Злоумышленник может воспользоваться уязвимостью, отправив созданные полезные данные GRE через уязвимое устройство, что приведет к его перезапуску.

Три другие DoS-уязвимости высокой степени серьезности затрагивают Simple Network Management Protocol (SNMP) и клиент SSL/TLS ASA и FTD, а также обработку SSH-соединений FMC и FTD.

Согласно Cisco, эти ошибки возникают из-за недостаточной проверки ввода, неправильного управления памятью при инициации соединений SSL/TLS и неправильной обработки ошибок при сбое установления сеанса SSH соответственно.

Другие серьезные недостатки, которые Cisco устранила на этой неделе, включают проблему с дефолтными учетными данными в ASA и FMC, а также безопасный обход загрузки в Secure Firewall серии 3100 с ASA или FTD.

Cisco выпустила бюллетени по 26 уязвимостям средней степени серьезности. Наиболее важные рекомендации касаются 15 XSS-ошибок в веб-интерфейсе управления FMC.

Проблемы возникают из-за недостаточной проверки введенных пользователем данных, что позволяет злоумышленнику выполнить код в контексте уязвимого интерфейса или выкрасть информацию из браузера.

Cisco исправила недостатки с выпуском полугодового патча для ПО ASA, FTD и FMC, выпуск которого задержала почти на две недели.

Компания не располагает информацией о каких-либо общедоступных эксплойтах, нацеленных на любую из этих уязвимостей.

͏SecAtor наблюдает за тем, как российские инфосек-компании спорят, кому из них принадлежит SecAtor. В красном - GroupIB.

͏Ресерчер раскрыл уязвимость Android, которая позволяет обходить экран блокировки фактически любому пользователю, имеющему физический доступ к устройству.

Ошибка повышения привилегий отслеживается как CVE-2022-20465 и была обнаружена исследователем Дэвидом Шутцем, который получил за нее от Google вознаграждение в размере 70 000 долларов США.

Эксплуатация позволяет злоумышленнику разблокировать телефон Android, запустив механизм сброса PIN-кода SIM-карты, который требует от пользователя ввода PUK-кода.

В этом сценарии злоумышленник, имеющий физический доступ к заблокированному устройству, должен будет заменить SIM-карту на свою, а затем ввести неправильный ПИН три раза для запуска процесса его сброса. Он предполагает запрос 8-значного кода персонального ключа разблокировки PUK.

Как только злоумышленник вводит PUK-код, ему открывается полный доступ к устройству без необходимости ввода пароля или графического ключа для разблокировки.

Проблема обусловлена ошибкой в функции .dismiss(), вызываемой после ввода PUK-кода и затрагивает устройства под управлением Android 10, 11, 12 и 13. Она предназначена для закрытия текущего экрана безопасности, который должен был быть подсказкой PUK.

Из-за этой уязвимости компонент, отслеживающий состояние SIM-карты в фоновом режиме, меняет экран безопасности прямо перед вызовом функции .dismiss(), что приводит к закрытию экрана PIN-кода/пароля и в итоге - к разблокировке телефона.

Для исправления Google изменил функцию, добавив новый параметр, в котором вызывающая функция указывает, какой тип экрана безопасности следует закрыть.

Но интересно другое: исследователь сообщил об уязвимости в Google еще в середине июня. Через пару месяцев ему ответили, что отчет является дубликатом и отклонил его.

Однако Шутц решил не останавливаться и продемонстрировал проблему на публичном мероприятий ESCAL8 в Лондоне, что не осталось незамеченным и участниками из инженерного состава Google.

В итоге гигант был вынужден признать ошибку и выплатить гонорар. Уязвимость была закрыта с выпуском ноябрьских исправлений для Android.

Дело в том, что это вовсе не бага, а фитча, и, вероятно, предназначенная для узкого круга посвященных, учитывая предельную скорость и простоту эксплуатации, как показано на видео

Многочисленные RCE-ошибки использования после освобождения были устранены в ПО для чтения PDF-документов Foxit Reader.

Исследователи Cisco Talos опубликовали информацию о четырех уязвимостях в механизме JavaScript Foxit Reader, которые могут быть использованы для выполнения произвольного кода.

CVE-2022-32774, CVE-2022-38097, CVE-2022-37332 и CVE-2022-40129 имеют оценку CVSS 8,8 и описываются как уязвимости, требующие использования после освобождения. О них Cisco сообщила в Foxit еще в сентябре. 

Как поясняют ресерчеры Cisco, специально созданный PDF-документ может инициировать повторное использование ранее освобожденной памяти, что может привести к выполнению произвольного кода.

Злоумышленнику, желающему воспользоваться этими уязвимостями, потребуется обманом заставить пользователя открыть вредоносный файл.

Если расширение подключаемого модуля браузера Foxit включено, ошибки могут быть вызваны, когда пользователь переходит на вредоносный веб-сайт.

Foxit выпустила исправленную версию 12.0.1.124306 устраняющую все проблемы. Пользователям рекомендуется как можно скорее обновиться.