Исследователи предупреждают о новых атаках ransomware ESXiArgs с обновленной версией, которая затрудняет восстановление виртуальных машин VMware ESXi.

Новый вариант был обнаружен менее чем через неделю после того, как CERT-FR и CISA выпустили предупреждения о масштабной вредоносной кампании с использованием ESXi, нацеленной на тысячи серверов VMware, уязвимых для критической CVE-2021-21974, которая была исправлена еще два года назад. Проблема связана с OpenSLP.

Тем не менее VMware не подтвердила эксплуатацию CVE-2021-21974, но заявила, что и 0-day не использовались.

В свою очередь, GreyNoise отмечают, что в последние годы в ESXi было обнаружено несколько связанных с OpenSLP уязвимостей, и любая из них могла быть использована в атаках ESXiArgs, включая CVE-2020-3992 и CVE-2019-5544.

Новый метод шифрования ESXiArgs разработчиками был реализован после того, как CISA выпустила инструмент, способный восстанавливать файлы без уплаты выкупа.

Все дело в том, что предыдущая версия ransomware, как заметили ресерчеры, была в основном нацелена на файлы конфигурации ВМ и не шифровала плоские файлы с данными.

Утилита позволяла восстанавливать зашифрованные файлы конфигурации на основе незашифрованных плоских файлов.

В образцах обновленного штамма size_step скрипта encrypt.sh имел значение 1, шифруя 1 МБ через пропуск 1 МБ данных.

Это изменение позволило программе-вымогателю зашифровать большие фрагменты данных в целевых файлах, что сделало невозможным их восстановление.

Особенностью последних инцидентов стала компрометация серверов даже с отключенными SLP. Также в зараженных системах отсутствовал ранее замеченный бэкдор vmtool.py.

Эксперты также заметили, что записка о выкупе ESXiArgs перестала включать адреса BTC. Жертвам предлагается связаться с операторами TOX, а сумма выкупа составляет 2 биткойна.

В целом имеющиеся на данный момент артефакт свидетельствуют о том, что вредоносное ПО для шифрования файлов основано на утекшем в 2021 году исходном коде Babuk.

Однако широкий таргетинг и низкая сумма выкупа дают основания полагать, что кампания не связана с известными бандами вымогателей.

Оставив в стороне вопросы атрибуции, исследователей Rapid7 больше волнует складывающаяся картина.

Согласно телеметрии Project Sonar, почти 19 000 серверов ESXi с выходом в Интернет по-прежнему уязвимы для CVE-2021-21974.

При том, что ресерчеры наблюдали и дополнительные инциденты, нацеленные на серверы ESXi, не связанные с кампанией ESXiArgs, которые также могут использовать CVE-2021-21974.

К их числу, например, относится новый вид программ-вымогателей RansomExx2, написанный на Rust.

Исследователи рекомендуют запретить по умолчанию доступ к серверам, кроме как из доверенного IP-пространства, следить за своевременным исправлением и использовать резервное копирование виртуальных машин.

Ресерчеры CYFIRMA обнаружили новые активности APT Bahamut.

Как известно, Bahamut связана с Ираном и специализируется на нацеливании на людей с помощью стратегических атак социальной инженерии, известна проведением кибератак в ближневосточном регионе и регионе Южной Азии.

В ноябре 2022 года CYFIRMA обнаружила кибератаку на оперативников индийской разведки с помощью вредоносного ПО для Android и социальной инженерии для доставки и установки APK.

Войдя в доверие к своей цели, хакеры пытались предложить задействовать для обмена файлами в зашифрованном виде приложение для Android с именем Vault. APK при этом пересылала в переписке Telegram.

После установки приложение выводило фиктивную страницу регистрации, ввода ключа блокировки и входа в систему.

При запуске запрашивало разрешение на доступ. Анализ разрешений из файла манифеста указывают на то, что вредоносного APK был использован для получения максимальной информации с мобильного телефона жертвы.

Приложение Vault на начальном этапе собирало информацию о контактах устройства, SMS и журналах вызовов. Кроме того, имелись модули для получения точного местоположения взломанного пользователя и отслеживания нажатий клавиш, злоупотребляя доступом таких приложений, как Telegram, Signal, Viber, IMO и Conion.

Исследование показало, что за нападением стоит Bahamut. Ресерчеры обнаружили, что IOC, которые были извлечены из вредоносного пакета Android, ранее были связаны с АРТ.

Причем код в предыдущих вредоносных ПО Bahamut аналогичен обнаруженной в последней атаке APK. Ранее APK SecureVpn широко использовался для массовых атак на пользователей Android.

Тем не менее, исследователи впервые наблюдают, как Bahamut использует поддельное приложение для безопасного обмена файлами для атак на интеллектуальные активы.

Последние атаки показывают, насколько хорошо хакеры изучают свою цель и реализуют узкотаргетирвоанные атаки. Довольно интересен функционал марвари, нацеленный на Conion, которые представляет собой малоизвестный мессенджер на основе Tor, который в настоящее время считается альтернативой Signal.

Новая шпионская кампания Bahamut APT все еще активна и реализует функциональность, аналогичную предыдущим кампаниям, включая сбор данных для эксфильтрации в локальной базе данных перед их отправкой на С2 и другие, представленные в отчете.

Известная китайская АРТ Tonto Team всерьез взялась за Group-IB.

Исследователи сообщили об очередной безуспешной атаке APT, которая была предпринята в июне 2022 года.

Компания обнаружила и заблокировала вредоносные фишинговые электронные письма в адрес ее сотрудников. Первые аналогичные случае фиксировались еще в марте 2021 года.

Впрочем, ничего удивительного, ведь сингапурская инфосек компания входит в орбиту интересов Tonto Team.

АРТ (также известная как Bronze Huntley, Cactus Pete, Earth Akhlut, Karma Panda и UAC-0018) активна с 2009 года и связана с атаками на широкий круг организаций в Азии и Восточной Европе.

Согласно имеющимся данным, группа связана с подразделением 65016 НОАК, или как его называют третьим отделом (3PLA).

Цепочки атак включают фишинговые приманки с вредоносными вложениями, созданные с использованием Royal Road Rich Text Format (RTF) для сброса бэкдоров Bisonal, Dexbia и ShadowPad.

По данным Trend Micro, в 2020 году было замечено, что АРТ переключилась на взломанную корпоративную почту для рассылки фишинга другим пользователям.

Позже в марте 2021 года Tonto Team активно отрабатывали уязвимости ProxyLogon в Microsoft Exchange Server в атаках на компаний в Восточной Европе.

Под прицел хакеров попадали и российские научно-технические и государственные учреждения, которые были атакованы с помощью вредоносного ПО Bisonal.

Выявленные Group-IB попытки атак не отличались от характерных АРТ TTPs и включали фишинг с использованием вредоносных документов Microsoft Office, созданных с помощь Royal Road, для развертывания Bisonal.

Вместе с тем, замечен и ранее недокументированный загрузчик QuickMute, который отвечает за извлечение вредоносного ПО следующей стадии с удаленного сервера.

Как полагают исследователи, несомненно, Tonto Team продолжит атаковать IT и ИБ компании целевым фишингом для доставки вредоносных документов с использованием уязвимостей со специально подготовленными приманками.

Порой хакеры, как террористы, берут на себя ответственность за те или иные инциденты, то ли жажда славы, то ли желание поднять репутацию в среде, не понятно.

Так или иначе, но вымогатели Clop решили обозначиться и признались в недавних атаках с использованием 0-day в GoAnywhere MFT.

Как утверждают злоумышленники, они в течение 10 дней смогли украсть данные более 130 организаций, нацелившись на RCE-уязвимость CVE-2023-0669 в неисправленных экземплярах GoAnywhere MFT с открытой в сеть административной консолью.

Более того, Clop благодаря 0-day могли перемещаться по сетям жертв и разворачивать ransomware, но почему-то отказались от этого и ограничились только кражей документов, хранящихся на скомпрометированных серверах GoAnywhere MFT.

Правда, без демонстрации каких-либо доказательств.

Fortra, разработчик GoAnywhere MFT, также отказалась комментировать заявления банды относительно CVE-2023-0669.

Специалисты связывают атаки GoAnywhere MFT с TA505, связанной с Clop и TrueBot.

Предполагаемая эксплуатация Clop уязвимости GoAnywhere MFT похожа на то, как в декабре 2020 года ими была использована 0-day в Accellion FTA для кражи данных у более чем 100 компаний.

Тогда потерпевшие компании получали электронные письма с требованием выплатить выкуп в размере 10 млн. дол., дабы избежать утечки информации.

Приличный ценник, но и организации, сервера которых были скомпрометированы, не менее серьезные.

Среди них, к примеру, были Shell, Kroger и даже Qualys, не считая ряд известных по всему миру университетов.

Основываясь на наблюдаемых действиях и предыдущих отчетах, специалисты склонны считать, что активность была направлена все же для развертывания ransomware.

Но будем посмотреть.

͏Шедеврально 😂
By Mark C.

Apple выпустила экстренные обновления безопасности (1, 2) для устранения 0-day, используемой в атаках для взлома iPhone, iPad и Mac.

CVE-2023-23529 представляет собой проблему путаницы WebKit и затрагивает широкий перечень устройств:
- iPhone 8 и новее,
- iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, а также iPad mini 5-го поколения и новее,
- компьютеры Mac под управлением macOS Ventura.

Успешная эксплуатация позволяет злоумышленникам выполнять произвольный код на уязвимых устройствах с iOS, iPadOS и macOS после открытия вредоносной веб-страницы (баг также затрагивает Safari 16.3.1 на macOS Big Sur и Monterey).

Apple устранила CVE-2023-23529, улучшив проверки в iOS 16.3.1, iPadOS 16.3.1 и macOS Ventura 13.2.1. Компания также признала использование ошибки в реальных атаках.

Помимо названной проблемы Apple также исправила другую RCE-уязвимость CVE-2023-23514 в Mac и iPhone, связанную с проблемой использования ядра, о которой сообщили Ксинру Чи из Pangu Lab и Нед Уильямсон из Google Project Zero.

Несмотря на то, что компания сообщила о своей осведомленности в эксплуатации уязвимостей в дикой природе, подробности инцидентов не разглашаются.

Исследователи полагают, что атаки носили преимущественно целевой характер.

Владельцам техники Apple настоятельно рекомендуется как можно скорее установить экстренные обновления и устранить риск потенциальных попыток атак.

🔥Предлагаем ознакомиться с самыми интересными Telegram-каналами в сфере информационной безопасности, OSINT и IT:

▶️ Russian OSINT — авторский новостной канал о кибербезопасности и IT.

▶️ Сводки частной разведки — канал российских osint-гуру, humint-инженеров и infopsy-технологов.

▶️ Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.

▶️ Mycroft Intelligence — реальные кейсы и самые крутые инструменты OSINT от действующего корпоративного разведчика.

▶️ Поисковик ЗВИ — наш источник в оценке военного потенциала зарубежных стран.

▶️ Масалович и партнеры: OSINT — Канал КиберДеда, также известного как "Любимый OSINTер Кремля", он же "Леший".

▶️ Inside — уникальный контент на тему информационной безопасности от эксперта - авторские статьи, образовательные материалы и многое другое.

͏Пользователи Windows начали массово сообщать о проблемах при попытке установить или обновить приложения через пакетный менеджер WinGet.

Как оказалось, в работе Windows Package Manage возникли проблемы с установкой или обновлением пакетов из-за истечения срока действия сертификата SSL/TLS WinGet CDN. Разработчики Microsoft просто не продлили вовремя SSL-сертификат для этого проекта.

При переходе по URL-адресу CDN https://cdn.winget.microsoft.com будет выведена ошибка с датой истечения срока действия сертификата, а именно 12 февраля.

WinGet на самом деле отличный инструмент позволяет быстро и эффективно управлять приложениями благодаря интуитивно понятному интерфейсу командной строки, поддержке файлов MSI и ссылок из Windows Store.

Пока Microsoft не обновила SSL-сертификат, пользователи WinGet проявили смекалку и начали использовать обходной путь для решения этой проблемы.

Вместо того, чтобы полагаться на cdn.winget.microsoft.com, нужно добавить URL-адрес https://winget.azureedge.net/cache в список источников WinGet для получения пакетов.

Пожалуй, самое время открыть рубрику «худшие практики на канале Secator»

Нарастает эскалация кампании с распространением вредоносного ПО Clipper, которая принимает новый оборот и создает угрозу для разработчиков на Python.

Специализирующаяся на безопасности цепочек поставок ПО компания Phylum обнаружила более 450 вредоносных пакетов в официальном репозитории Python Package Index (PyPI), которые пытаются заразить системы разработчиков вредоносной программой Clipper.

Первоначальный вектор предполагает использование типосквоттинга (регистрации адресов похожих на URL целевого сайта) с целью имитации популярных пакетов, таких как beautifulsoup, bitcoinlib, cryptofeed, matplotlib, pandas, pytorch, scikit-learn, scrapy, selenium, solana и tensorflow.

После установки такого пакета вредоносный JavaScript начинает выполняется в фоновом режиме любого сеанса просмотра веб-страницы и в случае если пользователь скопирует адрес криптовалютного кошелька в буфере обмена произойдет замена на адрес злоумышленника.

Сценарий реализуется путем создания расширения веб-браузера Chromium в папке Windows AppData и записи в него вредоносного Javascript с файлом manifest.json, который в свою очередь запрашивает разрешения пользователей на доступ и изменение буфера обмена.

Вредоносная кампания нацелена по большей части на невнимательность и содержит от 13 до 38 сценариев опечатки при вводе названий популярных пакетов.

Первые инциденты обнаружены в конце 2022 года и конечной целью атак было и остается перехват криптовалютных транзакций. С тех пор злоумышленники обновили набор вредоносных пакетов и добавили запутанный метод, используемый для сокрытия кода JavaScript.

Как отмечают специалисты, хакеры значительно увеличили свое присутствие в PyPI и такое наводнение вредоносными пакетами будет только продолжаться.

Причем их выводы совпадают с отчетом исследователей из Sonatype, которые только за январь 2023 года обнаружили 691 вредоносный пакет в реестре NPM и 49 вредоносных пакетов в PyPI.

Microsoft докатилась до того, что уже атрибутирует угрозы серией постов в Twitter.

Именно таким образом микромягкие представили анализ последней шпионской активности DEV-0147, связанной с атаками на южноамериканские дипломатические учреждения.

Аналитики приписывают кампанию китайской АРТ, которая была нацелена на правительственные учреждения и аналитические центры в Азии и Европе и использовала известные хакерские инструменты для проникновения в цели и поддержания постоянного доступа.

Это все та же заезженная пластинка про ShadowPad (также называемый PoisonPlug), который является преемником PlugX и широко использовался в свое время китайскими группами, тесно связанными с МГБ и НОАК, согласно Secureworks.

Одним из других вредоносных инструментов DEV-0147 был также загрузчик веб-пакетов QuasarLoader, который позволяет развертывать дополнительные полезные нагрузки в скомпрометированных средах.

Редмонд не стал раскрывать метод получения DEV-0147 первоначального доступа к целевой среде. Но не трудно догадаться, что наиболее вероятным вектором мог стать фишинг и произвольная эксплуатация известных непропатченных дыр.

Microsoft также описывает действия после эксплуатации, включающие злоупотребление локальной инфраструктурой идентификации для разведки и бокового перемещения, а также применение Cobalt Strike для управления и кражи данных.

Ресерчеры утверждают, что многие китайские АРТ помимо DEV-0147 продолжают использовать ShadowPad, несмотря на то, что он был детально задокументирован на протяжении многих лет, в силу своей эффективности в реализации национальных стратегических интересов.

Видать, в Twitter такие исследования прокатывают.

͏Передовые инфосек-практики только на канале Secator!
By Tom Malka

В новом отчете исследователи AhnLab Security (ASEC) сообщают о новом штамме вредоносного ПО под названием M2RAT и стеганографии, которые теперь задействуются северокорейской APT37 (RedEyes или ScarCruft), чтобы нацеливаться на отдельных лиц для сбора разведданных.

В 2022 году хакерская группа использовала 0-day в Internet Explorer и распространяла широкий спектр вредоносных ПО в отношении целевых организаций и отдельных лиц.

Если ЕС атаковали с помощью новой версии мобильного бэкдора Dolphin, разворачивая специальный RAT Konni, то в отношении американских журналистов применялся Goldbackdoor.

Новое вредоносное ПО использует раздел общей памяти для команд и кражи данных с Windows и телефонов, практически не оставляя операционных следов на зараженной машине.

Последние наблюдаемые ASEC атаки начались в январе 2023 года с отправки целям фишинговых электронных писем, содержащих вредоносное вложение, посредством которого происходит эксплуатация старой уязвимости EPS (CVE-2017-8291) в текстовом процессоре Hangul, используемом повсеместно в Южной Корее.

Эксплойт вызывает запуск шелл-кода на компьютере жертвы, который загружает и запускает вредоносное ПО, хранящееся в изображении JPEG.

Файл использует стеганографию, скрывая код внутри, чтобы незаметно ввести исполняемый файл M2RAT (lskdjfei.exe) в систему и внедрить в explorer.exe.

Для сохранения в системе вредоносное ПО добавляет новое значение (RyPO) в ключ реестра «выполнить» с командами для выполнения сценария PowerShell через cmd.exe.

Последняя интеграция ранее попадала в поле зрения Лаборатории Касперского и фигурировала в отчете в 2021 году.

Бэкдор M2RAT действует как обычный RAT, реализуя кейлогинг, кражу данных, выполнение команд и создание скриншотов рабочего стола (причем эта функция активируется периодически и работает автономно).

Вредоносная программа собирают информацию с зараженного устройства, а затем отправляет ее на C2.

Особенно интересен функционал вредоносной ПО, позволяющий сканировать портативные устройства, подключенные к компьютеру с Windows, в частности, смартфоны или планшеты.

При подключении M2RAT сканирует содержимое устройства на наличие документов и файлов с записью голоса и, в случае обнаружения, скопирует их на ПК для передачи на C2.

Перед эксфильтрацией украденные данные сжимаются в защищенный паролем RAR-архив, после чего локальная копия стирается из памяти.

Другая особенность M2RAT заключается в том, что он использует секцию общей памяти для управления и контроля, кражи данных и прямой передачи украденных данных на C2 без сохранения их в скомпрометированной системе. Все это значительно усложняет анализ.

Таким образом, APT37 продолжает совершенствовать свой набор инструментов, отдавая предпочтение сложно отлеживаемым программным средствам.

А вот и продолжение истории со взломом электронной почты члена британского парламента от шотландской партии SNP Стюарта Макдональда, который сразу же приписали российским и иранским АРТ.

Как выясняется, вся электронная переписка оказалась в руках бывшего британского дипломата Крейга Мюррея, который сам признался в этом, заявив о приобретении архива через доверенных лиц.

При этом он категорически отрицает свое участие в первоначальном взломе.

Мюррей пообещал журналистам Би-би-си публикации представляющих общественный интерес материалов, которые он считает служебными и не относящимися к личной жизни парламентария.

Кроме того, касающиеся избирателей сведения также не будут преданы огласке.

Сам Мюррей является давним критиком руководства SNP, а его бэкграунд связан с серьезными политическими скандалами.

В мае 2021 года экс-посол даже попадал за решетку на восемь месяцев за серию статей о судебном процессе над бывшим первым министром Алексом Салмондом в 2020 году.

Набирающий обороты новый скандал вокруг утечки будет включать переписку парламентария по вопросам взаимодействия с НАТО, минобороны, парламентскими комитетами, спецслужбами и иностранными державами.

Похоже, что в очередной раз англосаксы пытаются использовать образ суровых русских хакеров в своих внутриполитических играх.

Про атрибуцию все уже давно забыли или забили. Но будем следить за ситуацией.

День святого Валентина навсегда останется в сердцах шведов, которых хакеры одарили букетом атак и инцидентов.

Особенно яркие признания в любви получила авиакомпания Scandinavian Airlines (SAS). В результате атаки лег сайт и отключилось мобильное приложение. Не обошлось и без утечки данных клиентов.

Причем накат продолжается по сей день, а представители компании призывают пользователей воздержаться от использования официальных ресурсов, пока SAS не локализует угрозу.

Журналисты шведского издания TT отмечают, что попытки входа в приложение SAS приводили к авторизации в чужих учетных записях и давали доступ к данным других людей.

Позже норвежская газета Verdens Gang также подтвердила аналогичные инциденты и с норвежскими клиентами.

Под раздачу в день влюбленных попала также национальная общественная телекомпания Швеции SVT, которая стала временно недоступна.

Причем на прошлой неделе было взломано еще несколько шведских организации в сфере здравоохранения, ответственность за которые также взяла на себя Anonymous Sudan.

В телекомпании сообщили, что ответственность за атаку взяла на себя группа под названием Anonymous Sudan, опубликовав в Telegram соответствующее предупреждение и угрожая другим шведским СМИ местью из-за скандала с сожжением Корана, но полагают, что последняя атака может оказаться кампанией под чужим флагом.

Все дело в том, что тележурналисты SVT также пообщались с экспертами, которые, использовав передовые принципы атрибуции, разработанные нашим каналом, заявили, что кибератака без сомнения осуществлена тысячами русских хакеров (хотя и под чужим флагом).

⚙️ Топ 100 опенсорс проектов в сфере кибербезопасности.

🖖🏻 Приветствую тебя user_name.

• Полезный и нужный рейтинг из 100 самых популярных инструментов с открытым исходным кодом для #ИБ специалистов и пентестеров: https://opensourcesecurityindex.io

• В удобной таблице можно найти ссылку на проект, кол-во звезд, краткое описание инструмента, автора, кол-во форков и другую полезную информацию.

• И не забывайте про хештег #tools, по нему можно найти огромное количество ресурсов и материала с различными инструментами.

S.E. ▪️ S.E.Relax ▪️ infosec.work

Microsoft выпустила обновления, устраняющие 75 уязвимостей в своей линейке продуктов и это паровозом к 22 недостаткам, которые за последний месяц производитель исправил в браузере Edge.

Из обилия уязвимостей 9 оцениваются как критические, где 3 недостатка вовсе являются 0-day, которые активно используются в реальных условиях и были устранены в апреле и сентябре 2022 года.

Среди них:

- CVE-2023-21715 (оценка CVSS: 7,3): обход функций безопасности Microsoft Office;
- CVE-2023-21823 (оценка CVSS: 7,8): ошибка получения прав в графическом компоненте Windows;
- CVE-2023-23376 (оценка CVSS: 7,8): ошибка получения прав в драйвере Windows Common Log File System (CLFS).

В первом случае атака осуществляется локально пользователем с аутентификацией в целевой системе.

Эксплуатация реализуется с помощью социальной инженерии и специально созданным файлом, что приводит к локальной атаке на компьютер жертвы.

При этом совокупное использование проблем может позволить злоумышленнику обойти макрополитики Office, используемые для блокировки ненадежных или вредоносных файлов, а также получить системные привилегии.

Последний из трех недостатков затрагивает CLFS, достаточно важный компонент ОС Windows, управляющий высокопроизводительной файловой системой журналов на основе транзакций, ошибки которого могут иметь серьезные последствия для безопасности и надежности системы.

Отдельно отметим, что Microsoft OneNote для Android уязвим для CVE-2023-21823, а, поскольку теперь служба создания заметок все чаще становится каналом для доставки вредоносных программ, крайне важно применить исправления как можно скорее.

В последние годы серверы Exchange оказались важными целями, поскольку они могут обеспечивать доступ к конфиденциальной информации или способствовать атакам с компрометацией электронной почты.

Видимо, не зря три недостатка в Exchange Server классифицируются компанией как эксплуатирующиеся с большей вероятностью. Хоть и для успешной реализации потребуется прохождение аутентификации.

͏Минутка кино на канале SecAtor 😂

͏Эксперты Лаборатории Касперского оценили возможность использования ChatGPT в процессе выявления угроз ИБ.

Splunk анонсировала обновления Splunk Enterprise, устраняющие несколько уязвимостей высокой степени серьезности, включая дефекты безопасности, влияющие на сторонние пакеты.

Наиболее серьезными являются CVE-2023-22939 и CVE-2023-22935 с оценкой CVSS 8,1. Обе затрагивают экземпляры с включенным Splunk Web и могут привести к обходу средств защиты языка обработки поиска (SPL) для рискованных команд. Для эксплуатации требуются запросы в браузере пользователем с высокими привилегиями.

CVE-2023-22934 связана с еще одним обходом защиты SPL в Splunk Enterprise и требует, чтобы аутентифицированный пользователь создал сохраненное задание, прежде чем запрос будет сделан в браузере.

Splunk также выпустила исправления для двух XSS-уязвимостей высокой степени серьезности (CVE-2023-22932 и CVE-2023-22933) и представила ресурсы для поиска признаков злонамеренной эксплуатации.

Другие исправления закрывают уязвимости средней степени серьезности, которые могут привести к раскрытию информации, отправке электронных писем в качестве экземпляра Splunk, загрузке таблиц поиска с ненужными расширениями имен файлов и подделке запросов на стороне сервера (SSRF).

Ряд других проблем приводят к перезаписи существующих RSS-каналов, сбоям демона Splunk, несанкционированным обновлениям коллекций SSG App Key Value Store и запросам к сторонним API, которые неправильно возвращаются к HTTP.

Кроме того, были выпущены исправления для многочисленных уязвимостей в сторонних библиотеках в Splunk Enterprise, наиболее серьезными из которых являются CVE-2021-3518 (оценка CVSS 8,8) и CVE-2021-3517 (оценка CVSS 8,6) в библиотеке разбора XML-документов libxml2.

Проблемы связаны с использованием после освобождения и чтением за пределами границ соответственно, и их можно использовать, отправив созданный файл для обработки уязвимым приложением. Успешная эксплуатация может повлиять на доступность, конфиденциальность и целостность приложений.

Splunk также устранил CVE-2022-32212 (оценка CVSS 8,1, внедрение команды ОС в Node.js), а также CVE-2022-24785 и CVE-2022-31129 (недостаток обхода пути и проблему с неэффективным алгоритмом синтаксического анализа в Moment. js).

Другие ошибки сторонних пакетов, исправленные в Splunk Enterprise, включают CVE-2021-28957 (XSS-уязвимость в чистом модуле python-lxml) и CVE-2021-3537 (недостаток разыменования NULL в libxml2).

Splunk Enterprise 8.1.13, 8.2.10 и 9.0.4 содержат исправления для всех перечисленных уязвимостей. Пользователям рекомендуется как можно скорее обновиться до исправленной версии и следовать рекомендациям по безопасности.

В рамках ежемесячного обновления за февраль 2023 года Siemens и Schneider Electric устранили в общей сложности около 100 уязвимостей в своих продуктах. 

Компания Siemens опубликовала 13 новых бюллетеней, охватывающих в общей сложности 86 уязвимостей, при том, что согласно отчету компании SynSaber в 2022 году компания устранила 544 уязвимостей.

Самая серьезная уязвимость в 10 баллов по шкале CVSS связана с повреждением памяти, что может привести к DoS или RCE в ПО для проектирования предприятия Comos.

Около дюжины критических и особо серьезных уязвимостей закрыты в Brownfield Connectivity, их использование может привести к DoS. 

Некоторые из серьезных недостатков связаны с BIOS, в частности, с устраненными Intel и Insyde в ноябре 2022 года, включая проблемы, реализуемые при атаке RingHopper.

В Tecnomatix Plant Simulation, JT Open Toolkit, JT Utilities, Parasolid, Solid Edge и Simcenter Femap были устранены серьезные уязвимости, которые могут быть использованы для RCE и DoS путем обмана целевых пользователей, заставляющих их обрабатывать специально созданные файлы.

Уязвимость повышения привилегий высокой степени серьезности пропатчена в ACC SiPass, аналогичная уровню DoS-ошибка закрыта в некоторых коммутаторах Scalance.

При этом для некоторых уязвимых решений Siemens обновления еще не выпущены. 

Schneider Electric выпустила три бюллетеня по 10 уязвимостям.

В одном из них описываются девять проблем высокой и средней степени серьезности, обнаруженных в ПО для мониторинга StruxureWare Data Center Expert. Эксплуатация может привести к RCE или повышению привилегий. 

В другом бюллетене описывается серьезный недостаток, связанный с неправильной аутентификацией и затрагивающий Merten KNX.

Третье уведомление информирует клиентов Schneider Electric о проблеме средней степени серьезности в EcoStruxure Geo SCADA Expert, которая может позволить сфальсифицировать журналы.