Apple выпустила экстренные обновления безопасности (1, 2) для устранения 0-day, используемой в атаках для взлома iPhone, iPad и Mac.
CVE-2023-23529 представляет собой проблему путаницы WebKit и затрагивает широкий перечень устройств:
- iPhone 8 и новее,
- iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, а также iPad mini 5-го поколения и новее,
- компьютеры Mac под управлением macOS Ventura.
Успешная эксплуатация позволяет злоумышленникам выполнять произвольный код на уязвимых устройствах с iOS, iPadOS и macOS после открытия вредоносной веб-страницы (баг также затрагивает Safari 16.3.1 на macOS Big Sur и Monterey).
Apple устранила CVE-2023-23529, улучшив проверки в iOS 16.3.1, iPadOS 16.3.1 и macOS Ventura 13.2.1. Компания также признала использование ошибки в реальных атаках.
Помимо названной проблемы Apple также исправила другую RCE-уязвимость CVE-2023-23514 в Mac и iPhone, связанную с проблемой использования ядра, о которой сообщили Ксинру Чи из Pangu Lab и Нед Уильямсон из Google Project Zero.
Несмотря на то, что компания сообщила о своей осведомленности в эксплуатации уязвимостей в дикой природе, подробности инцидентов не разглашаются.
Исследователи полагают, что атаки носили преимущественно целевой характер.
Владельцам техники Apple настоятельно рекомендуется как можно скорее установить экстренные обновления и устранить риск потенциальных попыток атак.
CVE-2023-23529 представляет собой проблему путаницы WebKit и затрагивает широкий перечень устройств:
- iPhone 8 и новее,
- iPad Pro (все модели), iPad Air 3-го поколения и новее, iPad 5-го поколения и новее, а также iPad mini 5-го поколения и новее,
- компьютеры Mac под управлением macOS Ventura.
Успешная эксплуатация позволяет злоумышленникам выполнять произвольный код на уязвимых устройствах с iOS, iPadOS и macOS после открытия вредоносной веб-страницы (баг также затрагивает Safari 16.3.1 на macOS Big Sur и Monterey).
Apple устранила CVE-2023-23529, улучшив проверки в iOS 16.3.1, iPadOS 16.3.1 и macOS Ventura 13.2.1. Компания также признала использование ошибки в реальных атаках.
Помимо названной проблемы Apple также исправила другую RCE-уязвимость CVE-2023-23514 в Mac и iPhone, связанную с проблемой использования ядра, о которой сообщили Ксинру Чи из Pangu Lab и Нед Уильямсон из Google Project Zero.
Несмотря на то, что компания сообщила о своей осведомленности в эксплуатации уязвимостей в дикой природе, подробности инцидентов не разглашаются.
Исследователи полагают, что атаки носили преимущественно целевой характер.
Владельцам техники Apple настоятельно рекомендуется как можно скорее установить экстренные обновления и устранить риск потенциальных попыток атак.
Apple Support
About the security content of iOS 16.3.1 and iPadOS 16.3.1
This document describes the security content of iOS 16.3.1 and iPadOS 16.3.1.
🔥Предлагаем ознакомиться с самыми интересными Telegram-каналами в сфере информационной безопасности, OSINT и IT:
▶️ Russian OSINT — авторский новостной канал о кибербезопасности и IT.
▶️ Сводки частной разведки — канал российских osint-гуру, humint-инженеров и infopsy-технологов.
▶️ Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.
▶️ Mycroft Intelligence — реальные кейсы и самые крутые инструменты OSINT от действующего корпоративного разведчика.
▶️ Поисковик ЗВИ — наш источник в оценке военного потенциала зарубежных стран.
▶️ Масалович и партнеры: OSINT — Канал КиберДеда, также известного как "Любимый OSINTер Кремля", он же "Леший".
▶️ Inside — уникальный контент на тему информационной безопасности от эксперта - авторские статьи, образовательные материалы и многое другое.
▶️ Russian OSINT — авторский новостной канал о кибербезопасности и IT.
▶️ Сводки частной разведки — канал российских osint-гуру, humint-инженеров и infopsy-технологов.
▶️ Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.
▶️ Mycroft Intelligence — реальные кейсы и самые крутые инструменты OSINT от действующего корпоративного разведчика.
▶️ Поисковик ЗВИ — наш источник в оценке военного потенциала зарубежных стран.
▶️ Масалович и партнеры: OSINT — Канал КиберДеда, также известного как "Любимый OSINTер Кремля", он же "Леший".
▶️ Inside — уникальный контент на тему информационной безопасности от эксперта - авторские статьи, образовательные материалы и многое другое.
͏Пользователи Windows начали массово сообщать о проблемах при попытке установить или обновить приложения через пакетный менеджер WinGet.
Как оказалось, в работе Windows Package Manage возникли проблемы с установкой или обновлением пакетов из-за истечения срока действия сертификата SSL/TLS WinGet CDN. Разработчики Microsoft просто не продлили вовремя SSL-сертификат для этого проекта.
При переходе по URL-адресу CDN https://cdn.winget.microsoft.com будет выведена ошибка с датой истечения срока действия сертификата, а именно 12 февраля.
WinGet на самом деле отличный инструмент позволяет быстро и эффективно управлять приложениями благодаря интуитивно понятному интерфейсу командной строки, поддержке файлов MSI и ссылок из Windows Store.
Пока Microsoft не обновила SSL-сертификат, пользователи WinGet проявили смекалку и начали использовать обходной путь для решения этой проблемы.
Вместо того, чтобы полагаться на cdn.winget.microsoft.com, нужно добавить URL-адрес https://winget.azureedge.net/cache в список источников WinGet для получения пакетов.
Пожалуй, самое время открыть рубрику «худшие практики на канале Secator»
Как оказалось, в работе Windows Package Manage возникли проблемы с установкой или обновлением пакетов из-за истечения срока действия сертификата SSL/TLS WinGet CDN. Разработчики Microsoft просто не продлили вовремя SSL-сертификат для этого проекта.
При переходе по URL-адресу CDN https://cdn.winget.microsoft.com будет выведена ошибка с датой истечения срока действия сертификата, а именно 12 февраля.
WinGet на самом деле отличный инструмент позволяет быстро и эффективно управлять приложениями благодаря интуитивно понятному интерфейсу командной строки, поддержке файлов MSI и ссылок из Windows Store.
Пока Microsoft не обновила SSL-сертификат, пользователи WinGet проявили смекалку и начали использовать обходной путь для решения этой проблемы.
Вместо того, чтобы полагаться на cdn.winget.microsoft.com, нужно добавить URL-адрес https://winget.azureedge.net/cache в список источников WinGet для получения пакетов.
Пожалуй, самое время открыть рубрику «худшие практики на канале Secator»
Нарастает эскалация кампании с распространением вредоносного ПО Clipper, которая принимает новый оборот и создает угрозу для разработчиков на Python.
Специализирующаяся на безопасности цепочек поставок ПО компания Phylum обнаружила более 450 вредоносных пакетов в официальном репозитории Python Package Index (PyPI), которые пытаются заразить системы разработчиков вредоносной программой Clipper.
Первоначальный вектор предполагает использование типосквоттинга (регистрации адресов похожих на URL целевого сайта) с целью имитации популярных пакетов, таких как beautifulsoup, bitcoinlib, cryptofeed, matplotlib, pandas, pytorch, scikit-learn, scrapy, selenium, solana и tensorflow.
После установки такого пакета вредоносный JavaScript начинает выполняется в фоновом режиме любого сеанса просмотра веб-страницы и в случае если пользователь скопирует адрес криптовалютного кошелька в буфере обмена произойдет замена на адрес злоумышленника.
Сценарий реализуется путем создания расширения веб-браузера Chromium в папке Windows AppData и записи в него вредоносного Javascript с файлом manifest.json, который в свою очередь запрашивает разрешения пользователей на доступ и изменение буфера обмена.
Вредоносная кампания нацелена по большей части на невнимательность и содержит от 13 до 38 сценариев опечатки при вводе названий популярных пакетов.
Первые инциденты обнаружены в конце 2022 года и конечной целью атак было и остается перехват криптовалютных транзакций. С тех пор злоумышленники обновили набор вредоносных пакетов и добавили запутанный метод, используемый для сокрытия кода JavaScript.
Как отмечают специалисты, хакеры значительно увеличили свое присутствие в PyPI и такое наводнение вредоносными пакетами будет только продолжаться.
Причем их выводы совпадают с отчетом исследователей из Sonatype, которые только за январь 2023 года обнаружили 691 вредоносный пакет в реестре NPM и 49 вредоносных пакетов в PyPI.
Специализирующаяся на безопасности цепочек поставок ПО компания Phylum обнаружила более 450 вредоносных пакетов в официальном репозитории Python Package Index (PyPI), которые пытаются заразить системы разработчиков вредоносной программой Clipper.
Первоначальный вектор предполагает использование типосквоттинга (регистрации адресов похожих на URL целевого сайта) с целью имитации популярных пакетов, таких как beautifulsoup, bitcoinlib, cryptofeed, matplotlib, pandas, pytorch, scikit-learn, scrapy, selenium, solana и tensorflow.
После установки такого пакета вредоносный JavaScript начинает выполняется в фоновом режиме любого сеанса просмотра веб-страницы и в случае если пользователь скопирует адрес криптовалютного кошелька в буфере обмена произойдет замена на адрес злоумышленника.
Сценарий реализуется путем создания расширения веб-браузера Chromium в папке Windows AppData и записи в него вредоносного Javascript с файлом manifest.json, который в свою очередь запрашивает разрешения пользователей на доступ и изменение буфера обмена.
Вредоносная кампания нацелена по большей части на невнимательность и содержит от 13 до 38 сценариев опечатки при вводе названий популярных пакетов.
Первые инциденты обнаружены в конце 2022 года и конечной целью атак было и остается перехват криптовалютных транзакций. С тех пор злоумышленники обновили набор вредоносных пакетов и добавили запутанный метод, используемый для сокрытия кода JavaScript.
Как отмечают специалисты, хакеры значительно увеличили свое присутствие в PyPI и такое наводнение вредоносными пакетами будет только продолжаться.
Причем их выводы совпадают с отчетом исследователей из Sonatype, которые только за январь 2023 года обнаружили 691 вредоносный пакет в реестре NPM и 49 вредоносных пакетов в PyPI.
Phylum Research | Software Supply Chain Security
Phylum Discovers Revived Crypto Wallet Address Replacement Attack
Phylum discovers over 451 unique malicious packages targeting popular PyPI packages like Selenium.
Microsoft докатилась до того, что уже атрибутирует угрозы серией постов в Twitter.
Именно таким образом микромягкие представили анализ последней шпионской активности DEV-0147, связанной с атаками на южноамериканские дипломатические учреждения.
Аналитики приписывают кампанию китайской АРТ, которая была нацелена на правительственные учреждения и аналитические центры в Азии и Европе и использовала известные хакерские инструменты для проникновения в цели и поддержания постоянного доступа.
Это все та же заезженная пластинка про ShadowPad (также называемый PoisonPlug), который является преемником PlugX и широко использовался в свое время китайскими группами, тесно связанными с МГБ и НОАК, согласно Secureworks.
Одним из других вредоносных инструментов DEV-0147 был также загрузчик веб-пакетов QuasarLoader, который позволяет развертывать дополнительные полезные нагрузки в скомпрометированных средах.
Редмонд не стал раскрывать метод получения DEV-0147 первоначального доступа к целевой среде. Но не трудно догадаться, что наиболее вероятным вектором мог стать фишинг и произвольная эксплуатация известных непропатченных дыр.
Microsoft также описывает действия после эксплуатации, включающие злоупотребление локальной инфраструктурой идентификации для разведки и бокового перемещения, а также применение Cobalt Strike для управления и кражи данных.
Ресерчеры утверждают, что многие китайские АРТ помимо DEV-0147 продолжают использовать ShadowPad, несмотря на то, что он был детально задокументирован на протяжении многих лет, в силу своей эффективности в реализации национальных стратегических интересов.
Видать, в Twitter такие исследования прокатывают.
Именно таким образом микромягкие представили анализ последней шпионской активности DEV-0147, связанной с атаками на южноамериканские дипломатические учреждения.
Аналитики приписывают кампанию китайской АРТ, которая была нацелена на правительственные учреждения и аналитические центры в Азии и Европе и использовала известные хакерские инструменты для проникновения в цели и поддержания постоянного доступа.
Это все та же заезженная пластинка про ShadowPad (также называемый PoisonPlug), который является преемником PlugX и широко использовался в свое время китайскими группами, тесно связанными с МГБ и НОАК, согласно Secureworks.
Одним из других вредоносных инструментов DEV-0147 был также загрузчик веб-пакетов QuasarLoader, который позволяет развертывать дополнительные полезные нагрузки в скомпрометированных средах.
Редмонд не стал раскрывать метод получения DEV-0147 первоначального доступа к целевой среде. Но не трудно догадаться, что наиболее вероятным вектором мог стать фишинг и произвольная эксплуатация известных непропатченных дыр.
Microsoft также описывает действия после эксплуатации, включающие злоупотребление локальной инфраструктурой идентификации для разведки и бокового перемещения, а также применение Cobalt Strike для управления и кражи данных.
Ресерчеры утверждают, что многие китайские АРТ помимо DEV-0147 продолжают использовать ShadowPad, несмотря на то, что он был детально задокументирован на протяжении многих лет, в силу своей эффективности в реализации национальных стратегических интересов.
Видать, в Twitter такие исследования прокатывают.
В новом отчете исследователи AhnLab Security (ASEC) сообщают о новом штамме вредоносного ПО под названием M2RAT и стеганографии, которые теперь задействуются северокорейской APT37 (RedEyes или ScarCruft), чтобы нацеливаться на отдельных лиц для сбора разведданных.
В 2022 году хакерская группа использовала 0-day в Internet Explorer и распространяла широкий спектр вредоносных ПО в отношении целевых организаций и отдельных лиц.
Если ЕС атаковали с помощью новой версии мобильного бэкдора Dolphin, разворачивая специальный RAT Konni, то в отношении американских журналистов применялся Goldbackdoor.
Новое вредоносное ПО использует раздел общей памяти для команд и кражи данных с Windows и телефонов, практически не оставляя операционных следов на зараженной машине.
Последние наблюдаемые ASEC атаки начались в январе 2023 года с отправки целям фишинговых электронных писем, содержащих вредоносное вложение, посредством которого происходит эксплуатация старой уязвимости EPS (CVE-2017-8291) в текстовом процессоре Hangul, используемом повсеместно в Южной Корее.
Эксплойт вызывает запуск шелл-кода на компьютере жертвы, который загружает и запускает вредоносное ПО, хранящееся в изображении JPEG.
Файл использует стеганографию, скрывая код внутри, чтобы незаметно ввести исполняемый файл M2RAT (lskdjfei.exe) в систему и внедрить в explorer.exe.
Для сохранения в системе вредоносное ПО добавляет новое значение (RyPO) в ключ реестра «выполнить» с командами для выполнения сценария PowerShell через cmd.exe.
Последняя интеграция ранее попадала в поле зрения Лаборатории Касперского и фигурировала в отчете в 2021 году.
Бэкдор M2RAT действует как обычный RAT, реализуя кейлогинг, кражу данных, выполнение команд и создание скриншотов рабочего стола (причем эта функция активируется периодически и работает автономно).
Вредоносная программа собирают информацию с зараженного устройства, а затем отправляет ее на C2.
Особенно интересен функционал вредоносной ПО, позволяющий сканировать портативные устройства, подключенные к компьютеру с Windows, в частности, смартфоны или планшеты.
При подключении M2RAT сканирует содержимое устройства на наличие документов и файлов с записью голоса и, в случае обнаружения, скопирует их на ПК для передачи на C2.
Перед эксфильтрацией украденные данные сжимаются в защищенный паролем RAR-архив, после чего локальная копия стирается из памяти.
Другая особенность M2RAT заключается в том, что он использует секцию общей памяти для управления и контроля, кражи данных и прямой передачи украденных данных на C2 без сохранения их в скомпрометированной системе. Все это значительно усложняет анализ.
Таким образом, APT37 продолжает совершенствовать свой набор инструментов, отдавая предпочтение сложно отлеживаемым программным средствам.
В 2022 году хакерская группа использовала 0-day в Internet Explorer и распространяла широкий спектр вредоносных ПО в отношении целевых организаций и отдельных лиц.
Если ЕС атаковали с помощью новой версии мобильного бэкдора Dolphin, разворачивая специальный RAT Konni, то в отношении американских журналистов применялся Goldbackdoor.
Новое вредоносное ПО использует раздел общей памяти для команд и кражи данных с Windows и телефонов, практически не оставляя операционных следов на зараженной машине.
Последние наблюдаемые ASEC атаки начались в январе 2023 года с отправки целям фишинговых электронных писем, содержащих вредоносное вложение, посредством которого происходит эксплуатация старой уязвимости EPS (CVE-2017-8291) в текстовом процессоре Hangul, используемом повсеместно в Южной Корее.
Эксплойт вызывает запуск шелл-кода на компьютере жертвы, который загружает и запускает вредоносное ПО, хранящееся в изображении JPEG.
Файл использует стеганографию, скрывая код внутри, чтобы незаметно ввести исполняемый файл M2RAT (lskdjfei.exe) в систему и внедрить в explorer.exe.
Для сохранения в системе вредоносное ПО добавляет новое значение (RyPO) в ключ реестра «выполнить» с командами для выполнения сценария PowerShell через cmd.exe.
Последняя интеграция ранее попадала в поле зрения Лаборатории Касперского и фигурировала в отчете в 2021 году.
Бэкдор M2RAT действует как обычный RAT, реализуя кейлогинг, кражу данных, выполнение команд и создание скриншотов рабочего стола (причем эта функция активируется периодически и работает автономно).
Вредоносная программа собирают информацию с зараженного устройства, а затем отправляет ее на C2.
Особенно интересен функционал вредоносной ПО, позволяющий сканировать портативные устройства, подключенные к компьютеру с Windows, в частности, смартфоны или планшеты.
При подключении M2RAT сканирует содержимое устройства на наличие документов и файлов с записью голоса и, в случае обнаружения, скопирует их на ПК для передачи на C2.
Перед эксфильтрацией украденные данные сжимаются в защищенный паролем RAR-архив, после чего локальная копия стирается из памяти.
Другая особенность M2RAT заключается в том, что он использует секцию общей памяти для управления и контроля, кражи данных и прямой передачи украденных данных на C2 без сохранения их в скомпрометированной системе. Все это значительно усложняет анализ.
Таким образом, APT37 продолжает совершенствовать свой набор инструментов, отдавая предпочтение сложно отлеживаемым программным средствам.
ASEC
스테가노그래피 기법 사용한 한글(HWP) 악성코드 : RedEyes(ScarCruft) - ASEC
ASEC(AhnLab Security Emergengy response Center) 분석팀은 지난 1월 RedEyes 공격 그룹(also known as APT37, ScarCruft)이 한글 EPS(Encapulated PostScript) 취약점(CVE-2017-8291)을 통해 악성코드를 유포하는 정황을 확인하였다. 본 보고서에서는 RedEyes 그룹의 최신 국내 활동에 대해 공유한다. 1. 개요 RedEyes 그룹은 기업이 아닌 특정 개인을 대상으로…
А вот и продолжение истории со взломом электронной почты члена британского парламента от шотландской партии SNP Стюарта Макдональда, который сразу же приписали российским и иранским АРТ.
Как выясняется, вся электронная переписка оказалась в руках бывшего британского дипломата Крейга Мюррея, который сам признался в этом, заявив о приобретении архива через доверенных лиц.
При этом он категорически отрицает свое участие в первоначальном взломе.
Мюррей пообещал журналистам Би-би-си публикации представляющих общественный интерес материалов, которые он считает служебными и не относящимися к личной жизни парламентария.
Кроме того, касающиеся избирателей сведения также не будут преданы огласке.
Сам Мюррей является давним критиком руководства SNP, а его бэкграунд связан с серьезными политическими скандалами.
В мае 2021 года экс-посол даже попадал за решетку на восемь месяцев за серию статей о судебном процессе над бывшим первым министром Алексом Салмондом в 2020 году.
Набирающий обороты новый скандал вокруг утечки будет включать переписку парламентария по вопросам взаимодействия с НАТО, минобороны, парламентскими комитетами, спецслужбами и иностранными державами.
Похоже, что в очередной раз англосаксы пытаются использовать образ суровых русских хакеров в своих внутриполитических играх.
Про атрибуцию все уже давно забыли или забили. Но будем следить за ситуацией.
Как выясняется, вся электронная переписка оказалась в руках бывшего британского дипломата Крейга Мюррея, который сам признался в этом, заявив о приобретении архива через доверенных лиц.
При этом он категорически отрицает свое участие в первоначальном взломе.
Мюррей пообещал журналистам Би-би-си публикации представляющих общественный интерес материалов, которые он считает служебными и не относящимися к личной жизни парламентария.
Кроме того, касающиеся избирателей сведения также не будут преданы огласке.
Сам Мюррей является давним критиком руководства SNP, а его бэкграунд связан с серьезными политическими скандалами.
В мае 2021 года экс-посол даже попадал за решетку на восемь месяцев за серию статей о судебном процессе над бывшим первым министром Алексом Салмондом в 2020 году.
Набирающий обороты новый скандал вокруг утечки будет включать переписку парламентария по вопросам взаимодействия с НАТО, минобороны, парламентскими комитетами, спецслужбами и иностранными державами.
Похоже, что в очередной раз англосаксы пытаются использовать образ суровых русских хакеров в своих внутриполитических играх.
Про атрибуцию все уже давно забыли или забили. Но будем следить за ситуацией.
BBC News
Former diplomat claims to have SNP MP's hacked emails
Police are assessing Craig Murray's blog claims over SNP MP Stewart McDonald's missing emails.
День святого Валентина навсегда останется в сердцах шведов, которых хакеры одарили букетом атак и инцидентов.
Особенно яркие признания в любви получила авиакомпания Scandinavian Airlines (SAS). В результате атаки лег сайт и отключилось мобильное приложение. Не обошлось и без утечки данных клиентов.
Причем накат продолжается по сей день, а представители компании призывают пользователей воздержаться от использования официальных ресурсов, пока SAS не локализует угрозу.
Журналисты шведского издания TT отмечают, что попытки входа в приложение SAS приводили к авторизации в чужих учетных записях и давали доступ к данным других людей.
Позже норвежская газета Verdens Gang также подтвердила аналогичные инциденты и с норвежскими клиентами.
Под раздачу в день влюбленных попала также национальная общественная телекомпания Швеции SVT, которая стала временно недоступна.
Причем на прошлой неделе было взломано еще несколько шведских организации в сфере здравоохранения, ответственность за которые также взяла на себя Anonymous Sudan.
В телекомпании сообщили, что ответственность за атаку взяла на себя группа под названием Anonymous Sudan, опубликовав в Telegram соответствующее предупреждение и угрожая другим шведским СМИ местью из-за скандала с сожжением Корана, но полагают, что последняя атака может оказаться кампанией под чужим флагом.
Все дело в том, что тележурналисты SVT также пообщались с экспертами, которые, использовав передовые принципы атрибуции, разработанные нашим каналом, заявили, что кибератака без сомнения осуществлена тысячами русских хакеров (хотя и под чужим флагом).
Особенно яркие признания в любви получила авиакомпания Scandinavian Airlines (SAS). В результате атаки лег сайт и отключилось мобильное приложение. Не обошлось и без утечки данных клиентов.
Причем накат продолжается по сей день, а представители компании призывают пользователей воздержаться от использования официальных ресурсов, пока SAS не локализует угрозу.
Журналисты шведского издания TT отмечают, что попытки входа в приложение SAS приводили к авторизации в чужих учетных записях и давали доступ к данным других людей.
Позже норвежская газета Verdens Gang также подтвердила аналогичные инциденты и с норвежскими клиентами.
Под раздачу в день влюбленных попала также национальная общественная телекомпания Швеции SVT, которая стала временно недоступна.
Причем на прошлой неделе было взломано еще несколько шведских организации в сфере здравоохранения, ответственность за которые также взяла на себя Anonymous Sudan.
В телекомпании сообщили, что ответственность за атаку взяла на себя группа под названием Anonymous Sudan, опубликовав в Telegram соответствующее предупреждение и угрожая другим шведским СМИ местью из-за скандала с сожжением Корана, но полагают, что последняя атака может оказаться кампанией под чужим флагом.
Все дело в том, что тележурналисты SVT также пообщались с экспертами, которые, использовав передовые принципы атрибуции, разработанные нашим каналом, заявили, что кибератака без сомнения осуществлена тысячами русских хакеров (хотя и под чужим флагом).
Telegram
SecAtor
Microsoft DTAC пора бы давать объявления "Проводим атрибуцию. Недорого. Правда хреново".
Microsoft приписывает недавнюю кибератаку на сатирический французский журнал Charlie Hebdo связанной с Ираном APT-группе NEPTUNIUM (он же Emennet Pasargad, Holy Souls).…
Microsoft приписывает недавнюю кибератаку на сатирический французский журнал Charlie Hebdo связанной с Ираном APT-группе NEPTUNIUM (он же Emennet Pasargad, Holy Souls).…
Forwarded from Social Engineering
⚙️ Топ 100 опенсорс проектов в сфере кибербезопасности.
• В удобной таблице можно найти ссылку на проект, кол-во звезд, краткое описание инструмента, автора, кол-во форков и другую полезную информацию.
• И не забывайте про хештег #tools, по нему можно найти огромное количество ресурсов и материала с различными инструментами.
S.E. ▪️ S.E.Relax ▪️ infosec.work
🖖🏻 Приветствую тебя user_name.
• Полезный и нужный рейтинг из 100 самых популярных инструментов с открытым исходным кодом для #ИБ специалистов и пентестеров: https://opensourcesecurityindex.io• В удобной таблице можно найти ссылку на проект, кол-во звезд, краткое описание инструмента, автора, кол-во форков и другую полезную информацию.
• И не забывайте про хештег #tools, по нему можно найти огромное количество ресурсов и материала с различными инструментами.
S.E. ▪️ S.E.Relax ▪️ infosec.work
Microsoft выпустила обновления, устраняющие 75 уязвимостей в своей линейке продуктов и это паровозом к 22 недостаткам, которые за последний месяц производитель исправил в браузере Edge.
Из обилия уязвимостей 9 оцениваются как критические, где 3 недостатка вовсе являются 0-day, которые активно используются в реальных условиях и были устранены в апреле и сентябре 2022 года.
Среди них:
- CVE-2023-21715 (оценка CVSS: 7,3): обход функций безопасности Microsoft Office;
- CVE-2023-21823 (оценка CVSS: 7,8): ошибка получения прав в графическом компоненте Windows;
- CVE-2023-23376 (оценка CVSS: 7,8): ошибка получения прав в драйвере Windows Common Log File System (CLFS).
В первом случае атака осуществляется локально пользователем с аутентификацией в целевой системе.
Эксплуатация реализуется с помощью социальной инженерии и специально созданным файлом, что приводит к локальной атаке на компьютер жертвы.
При этом совокупное использование проблем может позволить злоумышленнику обойти макрополитики Office, используемые для блокировки ненадежных или вредоносных файлов, а также получить системные привилегии.
Последний из трех недостатков затрагивает CLFS, достаточно важный компонент ОС Windows, управляющий высокопроизводительной файловой системой журналов на основе транзакций, ошибки которого могут иметь серьезные последствия для безопасности и надежности системы.
Отдельно отметим, что Microsoft OneNote для Android уязвим для CVE-2023-21823, а, поскольку теперь служба создания заметок все чаще становится каналом для доставки вредоносных программ, крайне важно применить исправления как можно скорее.
В последние годы серверы Exchange оказались важными целями, поскольку они могут обеспечивать доступ к конфиденциальной информации или способствовать атакам с компрометацией электронной почты.
Видимо, не зря три недостатка в Exchange Server классифицируются компанией как эксплуатирующиеся с большей вероятностью. Хоть и для успешной реализации потребуется прохождение аутентификации.
Из обилия уязвимостей 9 оцениваются как критические, где 3 недостатка вовсе являются 0-day, которые активно используются в реальных условиях и были устранены в апреле и сентябре 2022 года.
Среди них:
- CVE-2023-21715 (оценка CVSS: 7,3): обход функций безопасности Microsoft Office;
- CVE-2023-21823 (оценка CVSS: 7,8): ошибка получения прав в графическом компоненте Windows;
- CVE-2023-23376 (оценка CVSS: 7,8): ошибка получения прав в драйвере Windows Common Log File System (CLFS).
В первом случае атака осуществляется локально пользователем с аутентификацией в целевой системе.
Эксплуатация реализуется с помощью социальной инженерии и специально созданным файлом, что приводит к локальной атаке на компьютер жертвы.
При этом совокупное использование проблем может позволить злоумышленнику обойти макрополитики Office, используемые для блокировки ненадежных или вредоносных файлов, а также получить системные привилегии.
Последний из трех недостатков затрагивает CLFS, достаточно важный компонент ОС Windows, управляющий высокопроизводительной файловой системой журналов на основе транзакций, ошибки которого могут иметь серьезные последствия для безопасности и надежности системы.
Отдельно отметим, что Microsoft OneNote для Android уязвим для CVE-2023-21823, а, поскольку теперь служба создания заметок все чаще становится каналом для доставки вредоносных программ, крайне важно применить исправления как можно скорее.
В последние годы серверы Exchange оказались важными целями, поскольку они могут обеспечивать доступ к конфиденциальной информации или способствовать атакам с компрометацией электронной почты.
Видимо, не зря три недостатка в Exchange Server классифицируются компанией как эксплуатирующиеся с большей вероятностью. Хоть и для успешной реализации потребуется прохождение аутентификации.
͏Эксперты Лаборатории Касперского оценили возможность использования ChatGPT в процессе выявления угроз ИБ.
Splunk анонсировала обновления Splunk Enterprise, устраняющие несколько уязвимостей высокой степени серьезности, включая дефекты безопасности, влияющие на сторонние пакеты.
Наиболее серьезными являются CVE-2023-22939 и CVE-2023-22935 с оценкой CVSS 8,1. Обе затрагивают экземпляры с включенным Splunk Web и могут привести к обходу средств защиты языка обработки поиска (SPL) для рискованных команд. Для эксплуатации требуются запросы в браузере пользователем с высокими привилегиями.
CVE-2023-22934 связана с еще одним обходом защиты SPL в Splunk Enterprise и требует, чтобы аутентифицированный пользователь создал сохраненное задание, прежде чем запрос будет сделан в браузере.
Splunk также выпустила исправления для двух XSS-уязвимостей высокой степени серьезности (CVE-2023-22932 и CVE-2023-22933) и представила ресурсы для поиска признаков злонамеренной эксплуатации.
Другие исправления закрывают уязвимости средней степени серьезности, которые могут привести к раскрытию информации, отправке электронных писем в качестве экземпляра Splunk, загрузке таблиц поиска с ненужными расширениями имен файлов и подделке запросов на стороне сервера (SSRF).
Ряд других проблем приводят к перезаписи существующих RSS-каналов, сбоям демона Splunk, несанкционированным обновлениям коллекций SSG App Key Value Store и запросам к сторонним API, которые неправильно возвращаются к HTTP.
Кроме того, были выпущены исправления для многочисленных уязвимостей в сторонних библиотеках в Splunk Enterprise, наиболее серьезными из которых являются CVE-2021-3518 (оценка CVSS 8,8) и CVE-2021-3517 (оценка CVSS 8,6) в библиотеке разбора XML-документов libxml2.
Проблемы связаны с использованием после освобождения и чтением за пределами границ соответственно, и их можно использовать, отправив созданный файл для обработки уязвимым приложением. Успешная эксплуатация может повлиять на доступность, конфиденциальность и целостность приложений.
Splunk также устранил CVE-2022-32212 (оценка CVSS 8,1, внедрение команды ОС в Node.js), а также CVE-2022-24785 и CVE-2022-31129 (недостаток обхода пути и проблему с неэффективным алгоритмом синтаксического анализа в Moment. js).
Другие ошибки сторонних пакетов, исправленные в Splunk Enterprise, включают CVE-2021-28957 (XSS-уязвимость в чистом модуле python-lxml) и CVE-2021-3537 (недостаток разыменования NULL в libxml2).
Splunk Enterprise 8.1.13, 8.2.10 и 9.0.4 содержат исправления для всех перечисленных уязвимостей. Пользователям рекомендуется как можно скорее обновиться до исправленной версии и следовать рекомендациям по безопасности.
Наиболее серьезными являются CVE-2023-22939 и CVE-2023-22935 с оценкой CVSS 8,1. Обе затрагивают экземпляры с включенным Splunk Web и могут привести к обходу средств защиты языка обработки поиска (SPL) для рискованных команд. Для эксплуатации требуются запросы в браузере пользователем с высокими привилегиями.
CVE-2023-22934 связана с еще одним обходом защиты SPL в Splunk Enterprise и требует, чтобы аутентифицированный пользователь создал сохраненное задание, прежде чем запрос будет сделан в браузере.
Splunk также выпустила исправления для двух XSS-уязвимостей высокой степени серьезности (CVE-2023-22932 и CVE-2023-22933) и представила ресурсы для поиска признаков злонамеренной эксплуатации.
Другие исправления закрывают уязвимости средней степени серьезности, которые могут привести к раскрытию информации, отправке электронных писем в качестве экземпляра Splunk, загрузке таблиц поиска с ненужными расширениями имен файлов и подделке запросов на стороне сервера (SSRF).
Ряд других проблем приводят к перезаписи существующих RSS-каналов, сбоям демона Splunk, несанкционированным обновлениям коллекций SSG App Key Value Store и запросам к сторонним API, которые неправильно возвращаются к HTTP.
Кроме того, были выпущены исправления для многочисленных уязвимостей в сторонних библиотеках в Splunk Enterprise, наиболее серьезными из которых являются CVE-2021-3518 (оценка CVSS 8,8) и CVE-2021-3517 (оценка CVSS 8,6) в библиотеке разбора XML-документов libxml2.
Проблемы связаны с использованием после освобождения и чтением за пределами границ соответственно, и их можно использовать, отправив созданный файл для обработки уязвимым приложением. Успешная эксплуатация может повлиять на доступность, конфиденциальность и целостность приложений.
Splunk также устранил CVE-2022-32212 (оценка CVSS 8,1, внедрение команды ОС в Node.js), а также CVE-2022-24785 и CVE-2022-31129 (недостаток обхода пути и проблему с неэффективным алгоритмом синтаксического анализа в Moment. js).
Другие ошибки сторонних пакетов, исправленные в Splunk Enterprise, включают CVE-2021-28957 (XSS-уязвимость в чистом модуле python-lxml) и CVE-2021-3537 (недостаток разыменования NULL в libxml2).
Splunk Enterprise 8.1.13, 8.2.10 и 9.0.4 содержат исправления для всех перечисленных уязвимостей. Пользователям рекомендуется как можно скорее обновиться до исправленной версии и следовать рекомендациям по безопасности.
Splunk Vulnerability Disclosure
Splunk Security Advisories Archive
В рамках ежемесячного обновления за февраль 2023 года Siemens и Schneider Electric устранили в общей сложности около 100 уязвимостей в своих продуктах.
Компания Siemens опубликовала 13 новых бюллетеней, охватывающих в общей сложности 86 уязвимостей, при том, что согласно отчету компании SynSaber в 2022 году компания устранила 544 уязвимостей.
Самая серьезная уязвимость в 10 баллов по шкале CVSS связана с повреждением памяти, что может привести к DoS или RCE в ПО для проектирования предприятия Comos.
Около дюжины критических и особо серьезных уязвимостей закрыты в Brownfield Connectivity, их использование может привести к DoS.
Некоторые из серьезных недостатков связаны с BIOS, в частности, с устраненными Intel и Insyde в ноябре 2022 года, включая проблемы, реализуемые при атаке RingHopper.
В Tecnomatix Plant Simulation, JT Open Toolkit, JT Utilities, Parasolid, Solid Edge и Simcenter Femap были устранены серьезные уязвимости, которые могут быть использованы для RCE и DoS путем обмана целевых пользователей, заставляющих их обрабатывать специально созданные файлы.
Уязвимость повышения привилегий высокой степени серьезности пропатчена в ACC SiPass, аналогичная уровню DoS-ошибка закрыта в некоторых коммутаторах Scalance.
При этом для некоторых уязвимых решений Siemens обновления еще не выпущены.
Schneider Electric выпустила три бюллетеня по 10 уязвимостям.
В одном из них описываются девять проблем высокой и средней степени серьезности, обнаруженных в ПО для мониторинга StruxureWare Data Center Expert. Эксплуатация может привести к RCE или повышению привилегий.
В другом бюллетене описывается серьезный недостаток, связанный с неправильной аутентификацией и затрагивающий Merten KNX.
Третье уведомление информирует клиентов Schneider Electric о проблеме средней степени серьезности в EcoStruxure Geo SCADA Expert, которая может позволить сфальсифицировать журналы.
Компания Siemens опубликовала 13 новых бюллетеней, охватывающих в общей сложности 86 уязвимостей, при том, что согласно отчету компании SynSaber в 2022 году компания устранила 544 уязвимостей.
Самая серьезная уязвимость в 10 баллов по шкале CVSS связана с повреждением памяти, что может привести к DoS или RCE в ПО для проектирования предприятия Comos.
Около дюжины критических и особо серьезных уязвимостей закрыты в Brownfield Connectivity, их использование может привести к DoS.
Некоторые из серьезных недостатков связаны с BIOS, в частности, с устраненными Intel и Insyde в ноябре 2022 года, включая проблемы, реализуемые при атаке RingHopper.
В Tecnomatix Plant Simulation, JT Open Toolkit, JT Utilities, Parasolid, Solid Edge и Simcenter Femap были устранены серьезные уязвимости, которые могут быть использованы для RCE и DoS путем обмана целевых пользователей, заставляющих их обрабатывать специально созданные файлы.
Уязвимость повышения привилегий высокой степени серьезности пропатчена в ACC SiPass, аналогичная уровню DoS-ошибка закрыта в некоторых коммутаторах Scalance.
При этом для некоторых уязвимых решений Siemens обновления еще не выпущены.
Schneider Electric выпустила три бюллетеня по 10 уязвимостям.
В одном из них описываются девять проблем высокой и средней степени серьезности, обнаруженных в ПО для мониторинга StruxureWare Data Center Expert. Эксплуатация может привести к RCE или повышению привилегий.
В другом бюллетене описывается серьезный недостаток, связанный с неправильной аутентификацией и затрагивающий Merten KNX.
Третье уведомление информирует клиентов Schneider Electric о проблеме средней степени серьезности в EcoStruxure Geo SCADA Expert, которая может позволить сфальсифицировать журналы.
Siemens
Siemens ProductCERT and Siemens CERT
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services, or infrastructure.
Как в случае с GoAnywhere MFT, исправленная две недели назад уязвимость в ПО для передачи файлов Aspera Faspex от IBM уже активно эксплуатируется в дикой природе.
CVE-2022-47986 высокой степени серьезности представляет собой недостаток десериализации YAML, который может быть использован удаленным злоумышленником, не прошедшим проверку подлинности, для выполнения произвольных команд на целевом сервере с использованием специально созданных вызовов API.
Как мы уже сообщали, проблема была обнаружена исследователями из Assetnote, уведомившими разработчика о баге в октябре 2022 года. В январе 2023 года IBM выпустила исправление и проинформировала клиентов.
Примерно через неделю после публикации бюллетеня 2 февраля, Assetnote представила подробное описание уязвимости и PoC. Вскоре аналогичные эксплойты появились на различных сайтах и были интегрированы в сканеры уязвимостей.
После этого последовали сообщения о первых попытках эксплуатации. 3 февраля активность обнаружил охотник за угрозами N3sfox, опубликовав индикаторы компрометации (IoC).
Затем Shadowserver Foundation также сообщила о попытках эксплуатации, атаках 3 и 4 февраля, а затем начиная с 11 февраля.
В свою очередь, Shodan показывает более 100 доступных в Интернете серверов Aspera Faspex, в основном расположенных в США и Великобритании.
Безусловно, некоторые из наблюдаемых попыток эксплуатации, вероятно, инициировались исследователями и компаниями, ищущими уязвимые системы.
Но до конца неясно, сколько из этих атак были реально вредоносными и к чему они могут привести в скомпрометированных средах.
CVE-2022-47986 высокой степени серьезности представляет собой недостаток десериализации YAML, который может быть использован удаленным злоумышленником, не прошедшим проверку подлинности, для выполнения произвольных команд на целевом сервере с использованием специально созданных вызовов API.
Как мы уже сообщали, проблема была обнаружена исследователями из Assetnote, уведомившими разработчика о баге в октябре 2022 года. В январе 2023 года IBM выпустила исправление и проинформировала клиентов.
Примерно через неделю после публикации бюллетеня 2 февраля, Assetnote представила подробное описание уязвимости и PoC. Вскоре аналогичные эксплойты появились на различных сайтах и были интегрированы в сканеры уязвимостей.
После этого последовали сообщения о первых попытках эксплуатации. 3 февраля активность обнаружил охотник за угрозами N3sfox, опубликовав индикаторы компрометации (IoC).
Затем Shadowserver Foundation также сообщила о попытках эксплуатации, атаках 3 и 4 февраля, а затем начиная с 11 февраля.
В свою очередь, Shodan показывает более 100 доступных в Интернете серверов Aspera Faspex, в основном расположенных в США и Великобритании.
Безусловно, некоторые из наблюдаемых попыток эксплуатации, вероятно, инициировались исследователями и компаниями, ищущими уязвимые системы.
Но до конца неясно, сколько из этих атак были реально вредоносными и к чему они могут привести в скомпрометированных средах.
Ibm
Security Bulletin: IBM Aspera Faspex 4.4.2 PL2 has addressed multiple vulnerabilities (CVE-2022-28330, CVE-2023-22868, CVE-2022…
This Security Bulletin addresses security vulnerabilities that have been remediated in IBM Aspera Faspex 4.4.2 PL2.
Intel выпустила исправления для множества критических и серьезных уязвимостей в продуктах, в том числе и для 10 бальной по шкале CVSS, обнаруженной еще в 2021 году.
CVE-2021-39296 влияет на интегрированный контроллер управления основной платой (BMC) и прошивку OpenBMC на нескольких платформах Intel, затрагивая интерфейс netipmid (IPMI lan+).
Ошибка позволяет злоумышленнику получить root-доступ к BMC в обход аутентификации с использованием созданных сообщений IPMI.
В BMC и OpenBMC были устранены еще четыре уязвимости, в том числе серьезная проблема чтения за пределами границ, которая могла привести к DoS.
Intel устранила ошибки, выпустив Integrated BMC 2.86, 2.09 и 2.78, а также версии прошивки OpenBMC 0.72, wht-1.01-61 и egs-0.91-179.
Исправления коснулись и проблемы повышения привилегий высокой серьезности в процессорах Xeon с SGX (CVE-2022-33196), которая решена обновлением BIOS и микрокода.
Компания предупредила о серьезной уязвимости повышения привилегий (CVE-2022-21216) в процессорах Atom и Xeon, и выпустила обновления микрокода для Xeon, устраняющие CVE-2022-33972 (проблема неверных вычислений), которая может привести к раскрытию информации.
Производитель объявил об обновлениях, устраняющих дефекты повышения привилегий с высоким уровнем серьезности в BIOS и модулях защищенной инициализации (SINIT) Trusted Execution Technology (TXT) с проверкой подлинности (ACM) некоторых процессоров.
Обновления устраняют также уязвимости высокой степени серьезности в ПО Driver Support Assistant (DSA), а также баги высокой и средней степени серьезности в инструменте диагностики срока службы батареи, oneAPI, SUR, прошивке Server Platform Services (SPS), а также в ПО Quartus Prime Pro и Standard.
В SDK FPGA для ПО OpenCL Quartus Prime Pro, Integrated Sensor Solution, Media Software Development Kit (SDK), Trace Analyzer and Collector и драйверах Xe MAX для Windows были устранены различные уязвимости средней степени серьезности.
Пользователям рекомендуется как можно скорее применить обновления. Подробности исправлений доступны на странице центреа безопасности Intel.
CVE-2021-39296 влияет на интегрированный контроллер управления основной платой (BMC) и прошивку OpenBMC на нескольких платформах Intel, затрагивая интерфейс netipmid (IPMI lan+).
Ошибка позволяет злоумышленнику получить root-доступ к BMC в обход аутентификации с использованием созданных сообщений IPMI.
В BMC и OpenBMC были устранены еще четыре уязвимости, в том числе серьезная проблема чтения за пределами границ, которая могла привести к DoS.
Intel устранила ошибки, выпустив Integrated BMC 2.86, 2.09 и 2.78, а также версии прошивки OpenBMC 0.72, wht-1.01-61 и egs-0.91-179.
Исправления коснулись и проблемы повышения привилегий высокой серьезности в процессорах Xeon с SGX (CVE-2022-33196), которая решена обновлением BIOS и микрокода.
Компания предупредила о серьезной уязвимости повышения привилегий (CVE-2022-21216) в процессорах Atom и Xeon, и выпустила обновления микрокода для Xeon, устраняющие CVE-2022-33972 (проблема неверных вычислений), которая может привести к раскрытию информации.
Производитель объявил об обновлениях, устраняющих дефекты повышения привилегий с высоким уровнем серьезности в BIOS и модулях защищенной инициализации (SINIT) Trusted Execution Technology (TXT) с проверкой подлинности (ACM) некоторых процессоров.
Обновления устраняют также уязвимости высокой степени серьезности в ПО Driver Support Assistant (DSA), а также баги высокой и средней степени серьезности в инструменте диагностики срока службы батареи, oneAPI, SUR, прошивке Server Platform Services (SPS), а также в ПО Quartus Prime Pro и Standard.
В SDK FPGA для ПО OpenCL Quartus Prime Pro, Integrated Sensor Solution, Media Software Development Kit (SDK), Trace Analyzer and Collector и драйверах Xe MAX для Windows были устранены различные уязвимости средней степени серьезности.
Пользователям рекомендуется как можно скорее применить обновления. Подробности исправлений доступны на странице центреа безопасности Intel.
Intel
Security Center
Многотысячные жалобы в адрес автопроизводителей Hyundai и KIA из-за возможности угона авто с помощью USB-кабеля таки побудило к выпуску экстренного обновления для линейки своих автомобилей. Хорошо хоть не по WiFi.
Волна негодования прокатилась после публикации в TikTok элементарнейшего вектора атаки для взлома авто.
Метод оказался настолько простой, что народ стал по фану угонять чужие машины или практиковаться на своих, а в США все вовсе переросло в полномасштабный Kia Challenge и вызвало значительный рост краж автомобилей.
Только в Лос-Анджелесе у двух брендов в 2022 году количество краж увеличилось на 85% по сравнению с предыдущим годом, в то время как в Чикаго тот же показатель увеличился в 9 раз. В целом за 2022 год рост краж автомобилей в США вырос на 2500 %.
Проблема кроется в логической ошибке, которая позволяет системе «turn-key-to-start» обходить иммобилайзер проверяющий подлинность кода транспондера ключа на ЭБУ автомобиля. Злоумышленники могут принудительно активировать ключ зажигания с помощью любого USB-кабеля и завести автомобиль.
Уязвимость в системе безопасности затрагивает примерно 3,8 миллиона автомобилей Hyundai и 4,5 миллиона автомобилей KIA.
Если сначала уязвимость была устранена для автомобилей 2022 года, то теперь обновление доступно для ряда других авто таких как Elantra 2017–2020 годов, Sonata 2015–2019 годов и автомобилей Venue 2020–2021 годов.
Второй этап установки патча планируют завершить до июня 2023 года и будет касаться следующих моделей: 2018-2022 Accent, 2011-2012 Elantra, 2011-2014 Genesis, 2018-2022 Kona, 2020-2021 Palisade, 2013-2012 Santa Fe, 2011-2014 Sonata, 2011-2022 Tucson, 2012-9-2021 Veloster.
Если в США бесплатное обновление будет устанавливаться у официальных дилеров Hyundai, то как будут обстоят дела в РФ пока не понятно. Полагаем, любителям марки стоит самостоятельно обратиться в дилерские центры для соответствующих пояснений.
Также Hyundai должен предоставить своим клиентам наклейку на окно, которая даст понять угонщикам, что ПО автомобиля было обновлено.
Для моделей без иммобилайзеров двигателя, которые не могут получить обновление, производитель покроет стоимость замков рулевого колеса.
В KIA тоже пообещали вскоре начать развертывание обновлений, но пока не опубликовали никаких объявлений с конкретными сроками.
Так что фанатам корейских авто в пору задуматься и прибегнуть к дедовским методам защиты от угона своего автомобиля.
Волна негодования прокатилась после публикации в TikTok элементарнейшего вектора атаки для взлома авто.
Метод оказался настолько простой, что народ стал по фану угонять чужие машины или практиковаться на своих, а в США все вовсе переросло в полномасштабный Kia Challenge и вызвало значительный рост краж автомобилей.
Только в Лос-Анджелесе у двух брендов в 2022 году количество краж увеличилось на 85% по сравнению с предыдущим годом, в то время как в Чикаго тот же показатель увеличился в 9 раз. В целом за 2022 год рост краж автомобилей в США вырос на 2500 %.
Проблема кроется в логической ошибке, которая позволяет системе «turn-key-to-start» обходить иммобилайзер проверяющий подлинность кода транспондера ключа на ЭБУ автомобиля. Злоумышленники могут принудительно активировать ключ зажигания с помощью любого USB-кабеля и завести автомобиль.
Уязвимость в системе безопасности затрагивает примерно 3,8 миллиона автомобилей Hyundai и 4,5 миллиона автомобилей KIA.
Если сначала уязвимость была устранена для автомобилей 2022 года, то теперь обновление доступно для ряда других авто таких как Elantra 2017–2020 годов, Sonata 2015–2019 годов и автомобилей Venue 2020–2021 годов.
Второй этап установки патча планируют завершить до июня 2023 года и будет касаться следующих моделей: 2018-2022 Accent, 2011-2012 Elantra, 2011-2014 Genesis, 2018-2022 Kona, 2020-2021 Palisade, 2013-2012 Santa Fe, 2011-2014 Sonata, 2011-2022 Tucson, 2012-9-2021 Veloster.
Если в США бесплатное обновление будет устанавливаться у официальных дилеров Hyundai, то как будут обстоят дела в РФ пока не понятно. Полагаем, любителям марки стоит самостоятельно обратиться в дилерские центры для соответствующих пояснений.
Также Hyundai должен предоставить своим клиентам наклейку на окно, которая даст понять угонщикам, что ПО автомобиля было обновлено.
Для моделей без иммобилайзеров двигателя, которые не могут получить обновление, производитель покроет стоимость замков рулевого колеса.
В KIA тоже пообещали вскоре начать развертывание обновлений, но пока не опубликовали никаких объявлений с конкретными сроками.
Так что фанатам корейских авто в пору задуматься и прибегнуть к дедовским методам защиты от угона своего автомобиля.
YouTube
‘As easy as 1-2-3′: Social media trend encourages people to steal Kia, Hyundai cars using USB ca...
Police are warning about a social media trend that shows how criminals can use a USB cable — instead of a key — to start Kias and Hyundais.
Forwarded from Russian OSINT
Как сообщает The Guardian, 50-ти летний бывший оперативник израильского спецназа Тал Ханан под псевдонимом "Хорхе" более 20 лет тайно занимался вмешательствами в выборы различных странах по всему миру.
Он был якобы "случайно" разоблачен международным консорциумом журналистов-расследователей, которые поделились информацией с The Guardian. Ханан с обвинениями не согласился.
В расследовании утверждается, что тайное подразделение бывшего спецназовца под названием “Team Jorge” использовало специальное ПО Advanced Impact Media Solutions для решения различных "вопросов" cвоих клиентов, способное контролировать армию из тысяч профилей в социальных сетях Twitter, LinkedIn, Facebook*, Telegram, Gmail, Instagram* и YouTube, а также аккаунты на Amazon аккаунты с кредитными картами, биткоин-кошельками и аккаунты Airbnb.
"В течение более чем 6 часов тайно записанных встреч, Ханан и его команда рассказали о том, как они могут собирать разведданные о конкурентах, в том числе с помощью хакерских технологий с
Ханан в качестве пруфа продемонстрировал хакерские возможности своей команды, показав репортерам то, как он может проникнуть в аккаунты Telegram и Gmail. В одном случае он вывел на экран
"Я знаю, что в некоторых странах считают, что Telegram безопасен. Сейчас я вам покажу, насколько это безопасно", - сообщил Ханан.
"Я не только смотрю",- сказал Ханан, набрав текст "привет как твои дела?" от имени политика и отправил сообщение контакту из телефонной книги.
⚔️"Одна из самых главных вещей - это вбивать клинья между нужными людьми, ну вы понимаете о чём я", - сказал он. "Или могу написать ему, то что думаю о его жене, или то, что думаю о его последней речи, или то, что обещал ему стать моим следующим начальником штаба".
Каким способом команде “Team Jorge” удалось получить доступ к Telegram и Gmail не раскрывается в статье, однако, по словам Ханана, речь может идти об уязвимостях в дырявом протоколе SS7, которые существуют бородатые десятки лет. Компания Google от комментариев отказалась.
👆🤔 Абстрагируясь от политических разборок, хочется подчеркнуть то, что даже коммерческие компании, не говоря уже о более серьезных конторах, могут получить доступ к большинству защищенных мессенджеров, вопрос лишь в цене. Чуваку якобы приходили счета за услуги по $400-600к, однако без скринов и пруфов со стороны The Guardian.
*Meta (Facebook, Instagram) - признана в РФ экстремистской организацией и запрещена
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Story Guardian
Исследователи Zscaler ThreatLabz сообщают о новой тенденции, которую они наблюдали в ходе анализа недавней вредоносной кампании, нацеленной на правительственную организацию, связанную с использованием злоумышленниками новую структуру C2 с открытым исходным кодом под названием Havoc.
Все чаще субъекты угроз стали искать альтернативы наиболее распространенному инструменту - Cobalt Strike, поскольку средства защиты начали лучше обнаруживать и локализовывать их атаки.
Среди других вариантов, которые помогают обходить антивирусы и решения EDR - Brute Ratel и Sliver.
Первый набор инструментов для постэксплуатации разработан бывшим сотрудником Mandiant и CrowdStrike Четаном Наяком. В то время как платформу Sliver C2 на основе Go разработали исследователи BishopFox как альтернативу Cobalt Strike.
Обе платформы уже активно задействуются в полевых условиях широким кругом акторов, от финансово мотивированных групп до АРТ.
Фреймворк постэксплуатации Havoc включает в себя широкий спектр модулей для решения различных задач на эксплуатируемых устройствах, включая выполнение команд, управление процессами, загрузку дополнительных полезных данных, манипулирование токенами Windows и выполнение шелл-кода.
Все это реализуется посредством веб-консоли управления, позволяющей злоумышленнику видеть все свои скомпрометированные устройства, события и выходные данные задач. Havoc также отличает кроссплатформенность: он обходит Microsoft Defender на устройствах с Windows 11, используя sleep obfuscation, подмену стека адресов возврата и непрямые системные вызовы.
В наблюдаемой в начале января Zscaler кампании загрузчик шелл-кода, сброшенный в скомпрометированные системы, отключал отслеживание событий для Windows (ETW), а окончательная полезная нагрузка Havoc Demon загружалась без заголовков DOS и NT, чтобы избежать обнаружения.
Ранее в этом месяце ReversingLabs также наблюдали, что фреймворк разворачивался с помощью вредоносного пакета npm (Aabquerys), опечатывающего законный модуль, как показано в отчете исследовательской группы.
Как полагают исследователи, популярность нового фреймворка будет только расти, кампания Havoc C2 подчеркивает также важность совершенствования мер защиты.
Все чаще субъекты угроз стали искать альтернативы наиболее распространенному инструменту - Cobalt Strike, поскольку средства защиты начали лучше обнаруживать и локализовывать их атаки.
Среди других вариантов, которые помогают обходить антивирусы и решения EDR - Brute Ratel и Sliver.
Первый набор инструментов для постэксплуатации разработан бывшим сотрудником Mandiant и CrowdStrike Четаном Наяком. В то время как платформу Sliver C2 на основе Go разработали исследователи BishopFox как альтернативу Cobalt Strike.
Обе платформы уже активно задействуются в полевых условиях широким кругом акторов, от финансово мотивированных групп до АРТ.
Фреймворк постэксплуатации Havoc включает в себя широкий спектр модулей для решения различных задач на эксплуатируемых устройствах, включая выполнение команд, управление процессами, загрузку дополнительных полезных данных, манипулирование токенами Windows и выполнение шелл-кода.
Все это реализуется посредством веб-консоли управления, позволяющей злоумышленнику видеть все свои скомпрометированные устройства, события и выходные данные задач. Havoc также отличает кроссплатформенность: он обходит Microsoft Defender на устройствах с Windows 11, используя sleep obfuscation, подмену стека адресов возврата и непрямые системные вызовы.
В наблюдаемой в начале января Zscaler кампании загрузчик шелл-кода, сброшенный в скомпрометированные системы, отключал отслеживание событий для Windows (ETW), а окончательная полезная нагрузка Havoc Demon загружалась без заголовков DOS и NT, чтобы избежать обнаружения.
Ранее в этом месяце ReversingLabs также наблюдали, что фреймворк разворачивался с помощью вредоносного пакета npm (Aabquerys), опечатывающего законный модуль, как показано в отчете исследовательской группы.
Как полагают исследователи, популярность нового фреймворка будет только расти, кампания Havoc C2 подчеркивает также важность совершенствования мер защиты.
Zscaler
Havoc Across the Cyberspace | Blog | Zscaler
ThreatLabz observed a new campaign targeting a Government organization in which the threat actors utilized a new Command & Control (C2) framework named Havoc
Исследователи Forescout предупреждают о критических уязвимостях в ПЛК Schneider Electric Modicon.
Две новые уязвимости CVE-2022-45788 (оценка CVSS: 7,5) и CVE-2022-45789 (оценка CVSS: 8,1) реализуют обход аутентификации, раскрытие информации, а также приводят к RCE и DoS.
Начиная с появления в 1968 первого серийно выпускаемого ПЛК семейство Modicon стало одним из самых популярных в мире, а Schneider Electric - его крупнейшим продавцом.
Преобладание этих продуктов на рынке было выявлено в ходе простого поиска, который Forescout провели в Shodan, несмотря на то, что эксперты по безопасности не рекомендуют подключать их к Интернету.
Forescout обнаружили, что Франция (33%), Испания (17%), Италия (15%) и США (6%) являются странами с наибольшим количеством незащищенных устройств, а в общем - более 1000 незащищенных ПЛК: от аэропортов, горнодобывающей промышленности, солнечной и гидроэнергетики до химического производства.
Ошибки были обнаружены еще в апреле - июле 2022 года и являются частью более широкого спектра проблем безопасности под общим названием ICEFALL, в состав которого вошли 56 ошибок, затрагивающих также решения Siemens, Motorola и Honeywell.
Причем Schneider просила исследователей воздержаться от включения двух ошибок в список ICEFALL, чтобы он мог работать с клиентами над устранением проблем до того, как о них будет объявлено публично. Компания тесно сотрудничала с2022-45788 (оцена протяжении всего процесса раскрытия и в прошлом месяце опубликовала два уведомления о безопасности.
Forescout также выяснили, что потенциальный актор может связать новые баги с известными недостатками других поставщиков (например, CVE-2021-31886) для достижения горизонтального перемещения в сетях операционных технологий (OT).
Глубокое боковое перемещение позволяет злоумышленникам получить глубокий доступ к промышленным системам управления и пересечь часто упускаемые из виду периметры безопасности, что позволяет им выполнять очень детальные и скрытые манипуляции, а также преодолевать функциональные ограничения и ограничения безопасности.
Чтобы не быть голословными ресерчеры разработали сложную киберфизическую атаку в рамках проверки концепции (PoC), показав как недостатки могут быть использованы для обхода мер безопасности и нанесения ущерба инфраструктуре разводного моста.
Ресерчеры Forescout заявили, что цель их отчета заключалась в том, чтобы заставить критически важные инфраструктурные организации проводить более тщательную оценку рисков, основанную на последствиях, и глубже подумать о том, как злоумышленник может обойти меры безопасности, принятые для защиты физической среды.
В совокупности недостатки подчеркивают реальные угрозы физическим операциям со стороны устройств IoT, облачных платформ управления и вложенных сетей OT. Для защиты Schneider Electric также представила клиентам «рекомендуемые передовые методы кибербезопасности».
Две новые уязвимости CVE-2022-45788 (оценка CVSS: 7,5) и CVE-2022-45789 (оценка CVSS: 8,1) реализуют обход аутентификации, раскрытие информации, а также приводят к RCE и DoS.
Начиная с появления в 1968 первого серийно выпускаемого ПЛК семейство Modicon стало одним из самых популярных в мире, а Schneider Electric - его крупнейшим продавцом.
Преобладание этих продуктов на рынке было выявлено в ходе простого поиска, который Forescout провели в Shodan, несмотря на то, что эксперты по безопасности не рекомендуют подключать их к Интернету.
Forescout обнаружили, что Франция (33%), Испания (17%), Италия (15%) и США (6%) являются странами с наибольшим количеством незащищенных устройств, а в общем - более 1000 незащищенных ПЛК: от аэропортов, горнодобывающей промышленности, солнечной и гидроэнергетики до химического производства.
Ошибки были обнаружены еще в апреле - июле 2022 года и являются частью более широкого спектра проблем безопасности под общим названием ICEFALL, в состав которого вошли 56 ошибок, затрагивающих также решения Siemens, Motorola и Honeywell.
Причем Schneider просила исследователей воздержаться от включения двух ошибок в список ICEFALL, чтобы он мог работать с клиентами над устранением проблем до того, как о них будет объявлено публично. Компания тесно сотрудничала с2022-45788 (оцена протяжении всего процесса раскрытия и в прошлом месяце опубликовала два уведомления о безопасности.
Forescout также выяснили, что потенциальный актор может связать новые баги с известными недостатками других поставщиков (например, CVE-2021-31886) для достижения горизонтального перемещения в сетях операционных технологий (OT).
Глубокое боковое перемещение позволяет злоумышленникам получить глубокий доступ к промышленным системам управления и пересечь часто упускаемые из виду периметры безопасности, что позволяет им выполнять очень детальные и скрытые манипуляции, а также преодолевать функциональные ограничения и ограничения безопасности.
Чтобы не быть голословными ресерчеры разработали сложную киберфизическую атаку в рамках проверки концепции (PoC), показав как недостатки могут быть использованы для обхода мер безопасности и нанесения ущерба инфраструктуре разводного моста.
Ресерчеры Forescout заявили, что цель их отчета заключалась в том, чтобы заставить критически важные инфраструктурные организации проводить более тщательную оценку рисков, основанную на последствиях, и глубже подумать о том, как злоумышленник может обойти меры безопасности, принятые для защиты физической среды.
В совокупности недостатки подчеркивают реальные угрозы физическим операциям со стороны устройств IoT, облачных платформ управления и вложенных сетей OT. Для защиты Schneider Electric также представила клиентам «рекомендуемые передовые методы кибербезопасности».
Forescout
Deep Lateral Movement in OT Networks | Forescout Research
Forescout’s Vedere Labs demonstrates deep lateral movement, an advanced tactic used to gain access to complex OT systems via Purdue L1 devices and wreak havoc.