͏Жизненное от Рустэма про импортозамещение.

Более 360 000 доступных в сети серверов с запущенной службой Windows Message Queuing (MSMQ) потенциально уязвимы для атак, нацеленных на критическую CVE-2023-21554, которую Microsoft исправила последним PAtchTuesday наряду с сотней других.

Об ошибке сообщили исследователи Уэйн Лоу из FortiGuard Lab и Хайфей Ли из Check Point Research.

Она позволяет неавторизованным злоумышленникам добиться RCE на серверах Windows, используя специально созданные вредоносные пакеты MSMQ в атаках низкой сложности без взаимодействия с пользователем.

Затрагивает все поддерживаемые выпуски серверных и клиентских версий Windows.

Учитывая это, количество уязвимых систем, вероятно, намного больше, особенно если принимать во внимание, что служба MSMQ работает и на недоступных через Интернет машинах.

Кроме того, хотя и MSMQ является необязательным компонентом Windows, она обычно включается в фоновом режиме при установке корпоративных приложений и продолжает работать даже после удаления ПО со всеми вытекающими последствиями.

К примеру, в случае установки Exchange Server.

На фоне предыдущего опыта атак с использованием этого типа уязвимостей, разработчик пометил CVE-2023-21554 тегом вероятной эксплуатации. Тем временем, GreyNoise уже фиксирует попытки сканирования серверов с Windows MSMQ.

Microsoft предупреждает и советует администраторам, которые не могут развернуть исправление, отключить службу Windows MSMQ (если возможно) для исключения вектора атаки.

Кроме того, целесообразно заблокировать соединения 1801/TCP из ненадежных источников с помощью правил брандмауэра.

Очередные атаки на Израиль, а именно на житницу долину реки Иордан - один из самых важных сельскохозяйственных регионов Ближнего Востока, а также системы управления Galil Sewage Corporation.

Регион стал целью хакеров, которым удалось получить доступ к ICS оросительных систем. Хакеры атаковали ПЛК производства израильской Unitronics.

Согласно израильской The Jerusalem Post, атака была впервые замечена, когда фермеры в регионе начали замечать, что уровень воды не контролируется должным образом, в результате чего происходило падение урожайности сельскохозкультур.

Начавшееся расследования показало, что хакерам удалось получить доступ и манипулировать ICS системами контроля подачи воды, вызывав повреждение инфраструктуры.

Предполагается, что использовась техника «гидравлического удара». Суть ее заключается в отправке импульсов воды под высоким давлением через трубы и клапаны, нарушая таким образом их работоспособность.

Этот метод часто используется злоумышленниками для нанесения физического ущерба или проведения атак типа DoS, но считается, что это первый случай первый случай его успешного применения в отношении ирригационных систем.

В результате этого инцидента многие фермеры лишились надлежащего орошения и, как следствие, урожая, а некоторые и вовсе остались без своих ферм.

По мнению Radiflow, пострадавшие фермы, вероятно, оставили свои ICS открытыми для Интернета и использовали пароли по умолчанию. 

На текущий момент, как полагают в Otorio, за атаками на системы водоснабжения в Израиле могут стоять антиизраильские хактивисты OPIsrael, которые на протяжении последних десяти лет проводят аналогичные кибернападения в период посевных работ.

͏ФБР США вдруг предупреждает владельцев мобильных девайсов воздержаться от использования зарядных станций в аэропортах, отелях или торговых центрах.

Все объясняется тем, что злоумышленники нашли способы использовать общедоступные USB-порты для внедрения вредоносных ПО.

Представители ФБР советуют полагаться только на портативные зарядки и электрическую розетку.

В то же время АНБ 👇

Популярная платформа потокового мультимедиа Kodi взломана и протекла, теперь уже официально.

Компания признала утечку данных, которая затронула более 400 000 пользовательских записей и личных сообщений.

Нарушение было обнаружено специалистами WizCase, которые сообщили, что хакеры украли имена пользователей, адреса электронной почты и хешированные пароли со старого форума.

Kodi - бесплатное программное обеспечение, которое используется миллионами людей по всему миру для доступа к фильмам и телешоу на своих устройствах.

Хакеры получили доступ к базе данных форума через уязвимость в ПО, используемом для управления учетными записями пользователей на сайте, через учетную запись доверенного, но неактивного члена команды из числа админов форума.

Злоумышленники злоупотребили ею для создания резервных копий базы данных.

Это позволило им выгрузить более 400 тысяч пользовательских аккаунтиов, а также получить доступ к их приватной переписке.

Помимо прочего доступ был получен и к другой конфиденциальной информации, такой как IP-адреса и личные данные, полные имена или номера телефонов, если они были указаны в профиле пользователей. Более того, хакеры пытались продать дамп данных, на ныне несуществующей торговой площадке BreachForums.

В настоящее время Kodi работает с правоохранительными органами в рамках расследования инцидента и принятия.

В качестве мер реагирования разработчики внедрили двухфакторную аутентификацию для всех новых учетных записей, а также призвали пользователей как можно скорее сменить свои пароли.

Критическая CVE-2023-28808 обхода аутентификации в решениях для хранения данных Hikvision раскрывает видеоданные, хранящиеся в продуктах Hybrid SAN и кластерных хранилищах.

На этой неделе Hikvision проинформировала об устранении критической уязвимости, которая была описана поставщиком как проблема контроля доступа, которую можно использовать для получения разрешений администратора путем отправки специально созданных сообщений на целевое устройство.

Уязвимость была обнаружена еще в конце декабря 2022 года, о чем в январе поставщику сообщили через CERT India.

Хранилище Hybrid SAN, в первую очередь предназначено для хранения видеозаписей видеонаблюдения. Но его также можно настроить для хранения бизнес-данных, в связи с чем потенциальное воздействие достаточно широкое — злоумышленник может удалить как данные, так и резервные копии.

Hikvision заявляет, что злоумышленнику необходимо иметь сетевой доступ к целевому устройству, чтобы использовать CVE-2023-28808 и не обнаружила сведений об эксплуатации ошибки в дикой природе.

Однако представители индийской инфосек-компании Redinent, которой приписывают обнаружение уязвимости, уже подтвердили, что многие затронутые системы могут быть подвергнуты воздействию удаленно из Интернета.

Исправления включены в версии 2.3.8-8 для гибридных SAN и версии 1.1.4 для кластерных устройств хранения. Производитель предоставил подробные инструкции по установке обновлений.

Все ждали, чем же закончится перепалка между вымогателями LockBit и сингапурской инфосек-компанией DarkTracer.

В итоге - под замес попала британская инфосек-компания Darktrace, которая, ошеломленная столь высоким вниманием, сутки отмалчивалась, а затем заявила, что вообще не в курсе того, что происходит.

А дело было так.

В среду DarkTracer у себя в Twitter выдала пост с критикой в адрес вымогателей, в частности, отметив многочисленные непонятные записи на DLS в отношении несуществующих жертв и в целом упрекнув RaaS в надежности и адекватности.

Как позже выяснилось, опубликованные записи на сайте LockBit, по-видимому, были тестовыми данными, сгенерированными в ходе технического обслуживания. 

Однако LockBit, полные решимости отстоять свою честь и софт, выкатили сообщение на DLS о взломе Darktrace, но не сингапурской, а британской. В сообщении утверждалось, что данные были украдены и назначен выкуп в размере 1 миллиона долларов.

Раздосадованные англосаксы принялись копать журналы, логи и искать прочие следы пребывания гостей, но увы не нашли, во всяком случае - официально опровергли инцидент.

К слову, ни одна из публикаций LockBit реально не содержит ссылок на какие-либо скомпрометированные данные Darktrace.

Как полагают исследователи, похоже, что Darktrace не был взломан, вымогатели перепутали обидчика с британским аналогом, которая — и даже не была целью LockBit.

Учитывая, что LockBit в прошлом году успешно препарировала Entrust, то ошибку можно считать выданной черной меткой и ожидать корректировки записи на DLS со всеми возможными пруфами.

С другой стороны, сообщество уже ловило вымогателей на лукавстве, когда оказалось, что заявленный взлом Mandiant оказался уткой в отместку за отчет, связывающий группу с Evil Corp.

В общем, будем посмотреть.

Google выпустила экстренное обновление безопасности для устранения первой за этот год 0-day в Chrome, эксплойт для которой был замечен в дикой природе.

Согласно бюллетеню уязвимость высокой степенью серьезности (CVE-2023-2033) связана с путаницей типов в механизме JavaScript Chrome V8.

Недостатки путаницы типов обычно позволяют злоумышленникам вызывать сбои браузера после успешного использования путем чтения или записи памяти за пределы буфера.

Однако злоумышленники также могут использовать их для выполнения RCE на скомпрометированных устройствах.

Об ошибке сообщил Клеман Лесин из Google (TAG), участия в раскрытии которого указывает на задействование 0-day в атаках, прежде всего, со стороны АРТ.

Не исключаются и новые разоблачения в отношении поставщиков spyware.

В любом случае Google, несмотря на свою осведомленность, не разглашает дополнительную информацию об инцидентах.

Новая версия Chrome для Windows, Mac и Linux в ближайшие дни станет доступной для всех пользователей, которым следует как можно скорее обновиться до 112.0.5615.121.

Вообще же, в этом году уже зарегистрировано 20 реальных компрометаций с использованием 0-day. Причем 12 из них затрагивали решения от ведущих разработчиков: Microsoft, Apple и Google.

͏Студенты на Мальте, начинающие исследователи, в качестве гонорара по BugBounty получили уголовное дело и могут присесть на 4 года после раскрытия уязвимости в ПО FreeHour, которое используется местными образовательными учреждениями.

Как сообщает Times of Malta, студенты сообщили об уязвимости разработчику приложения в октябре прошлого года, предоставив ему трехмесячный срок для исправление и намекнули на вознаграждение.

Джорджио Григоло, Майкл Дебоно, Люк Бьорн Шерри и Люк Коллинз сканировали ПО, когда обнаружили уязвимость, которую, по их словам, могли использовать злоумышленники.

Обнаруженная ими уязвимость могла привести к потенциальной утечке личных данных пользователей ПО, включая адреса электронной почты, данные о местоположении и календаря Google.

Ошибка также позволяла вносить изменения в интерфейс приложения, чем они однажды воспользовались, чтобы убедиться в ее практической применимости.

Все получилось, поскольку основанная на Parse инфраструктура FreeHour, как оказалось, не была должным образом адаптирована.

После апробации студенты решили направить результаты своих изысканий по электронке разработчику. Намекнув на гонорар, тем не менее не называли конкретную сумму.

К удивлению юных ресерчеров через месяц после этого к ним нагрянули силовики с арестом и обысками. Им предъявили обвинения в несанкционированном доступе и изъяли компьютерную технику.

В свою очередь, FreeHour в своем блоге заявили, что неправильно истолковали первоначальный отчет и приняли его за попытку вымогательства, уведомив об этом власти соответствующим образом.

По итогу рецепт BugBounty по-мальтийски: FreeHour отрапортовала об и исправлении уязвимости и сохранности всех пользовательских данных, киберполицейские срубили галку, а юные дарования - уголовку.

Угроза программ-вымогателей становится все более серьезной проблемой для пользователей компьютеров по всему миру, и теперь оказывается, что мишенями становятся и устройства Mac.

Недавно исследователи по информационной безопасности обнаружили новую разновидность программы-вымогателя LockBit, специально предназначенную для компьютеров из Купертино.

Ранее считалось, что этот вредоносный софт работает только на Windows, но прогресс и желание наживы взял верх и теперь злоумышленники стали активно атаковать устройства Mac.

О проблеме сообщил специалист из MalwareHunterTeam, который на досуге чилил под кофе и ковырял VirusTotal, вдруг обнаружив ZIP-архив, содержащий, большой пул доступных шифровальщиков LockBit.

Среди них также был с именем locker_Apple_M1_64, очевидно предназначенный для новых компьютеров Mac, работающих на Apple Silicon.

Помимо прочего в архиве содержались сборки и для процессоров PowerPC, которые используются на старых компьютерах маках.

Учитывая, что locker_Apple_M1_64 был загружен на Virus Total ещё в декабре 2022, то очевидно, что эти образцы уже используются некоторое время.

Хотя не может не радовать позитивный энтузиазм исследователя из Cisco Talos Азима Ходжибаева, который считает, что шифраторы, скорее всего, не готовы к развертыванию в реальных атаках на устройства macOS и предназначались для тестирования, а не для использования в реальных кибератаках.

Другой эксперт по кибербезопасности macOS Патрик Уордл также подтвердил теорию, что эти сборки находятся в стадии разработки и тестирования, так как на данный момент ему не хватает требуемой функциональности для правильного шифрования Mac.

Тем не менее звоночек тревожный и не за горами тот день, когда и маководы вздрогнут под гнетем вездесущего и в страхе держащего все киберпространство банды вымогателей LockBit.

Kaspersky на страже цифровых рубежей!

Что такое Kaspersky Scan Engine? Это не только сканирование файлов, которые пользователи выкладывают на веб-портал клиента, но и проведение проверки на любом этапе процесса передачи файлов от отправителя к получателю, а также проверка вложений и ссылок в IM-сообщениях.

На вебинаре 20 апреля в 11:00 по МСК расскажем подробнее о:

✔️сценариях интеграции и pain points, закрываемых решением
✔️технологических преимуществах и условиях лицензирования
✔️компаниях, которым может пригодиться решение в работе
✔️историях успеха

А также у каждого участника будет возможность задать вопрос, на который ответят наши эксперты.

До встречи на вебинар !

Десятки уязвимостей закрыла Juniper Networks, в том числе критические ошибки в ОС Junos и STRM.

В одном из бюллетеней перечислены многочисленные критические баги в Expat (libexpat), сторонней библиотеке синтаксического анализатора XML, ориентированной на потоки.

7 из 15 исправленных в последних выпусках ОС Junos уязвимостей Expat имеют оценку CVSS 9,8. Все они были раскрыты за последние два года и неизвестно используются ли они для злонамеренных атак.

Обновления доступны для версий ОС Junos с 19.4 по 22.2. Juniper рекомендует использовать списки доступа или фильтры брандмауэра, чтобы снизить риски, связанные с этими ошибками.

Juniper также сообщила о выпуске исправлений для CVE-2022-42889 в Security Threat Response Manager, критической уязвимости в Apache Commons Text, приводящей к RCE.

Компания также устранила нескольких серьезных уязвимостей, затрагивающих ОС Junos и ОС Junos Evolved, наиболее серьезные из которых могут привести к внедрению команд и RCE.

Две серьезные уязвимости в ОС Junos Evolved могут позволить локальному злоумышленнику с низким уровнем привилегий изменять файлы или выполнять команды с привилегиями root или выполнять административные команды соответственно.

Ряд других серьезных уязвимостей в Junos OS и Junos OS Evolved могут позволить злоумышленнику вызвать DoS. Одна из ошибок в Paragon Active Assurance (ранее Netrounds) позволяла осуществить обход существующих правил и ограничений брандмауэра.

Juniper не упоминает об использовании уязвимостей в атаках. Дополнительная информация об уязвимостях доступна на странице рекомендаций по безопасности Juniper Networks.

Банкер QBot распространяется через деловую переписку.

В начале апреля мы обнаружили попытки распространения банковских троянцев семейства QBot (оно же QakBot, QuackBot и Pinkslipbot) через вредоносные рассылки, за основу которых были взяты реальные деловые письма.

#Новости #Отчет

Печально известная хакерская группа Fin7 вернулась с новым штаммом вредоносного ПО под названием Domino.

На этот раз они объединились с бывшими участниками Conti, чтобы начать свою вредоносную кампанию.

Исследователи из IBM Security Intelligence отслеживают бывших участников Conti и TrickBot, использующих новую малварь для атак на корпоративные сети США и Европы, с февраля 2023 года.

Еще с осени 2022 года исследователи IBM наблюдали за атаками с использованием загрузчика под названием "Dave Loader", который также был связан с бывшими участниками Conti ransomware и TrickBot.

Domino — это сложная вредоносная программа, которая может красть данные из зараженных систем, включая пароли, документы и другую конфиденциальную информацию. Он также содержит возможности программ-вымогателей, которые можно использовать для шифрования файлов в зараженной системе.

Хакеры, стоящие за Domino, активно атакуют компании индустрии гостеприимства (туризм, гостиничный и ресторанный бизнес), поскольку эти организации, как правило, менее защищены и более уязвимы для атак.

После установки в уязвимой системе Domino способен отключать функции безопасности, такие как Защитник Windows и UAC. Затем он собирает учетные данные из таких браузеров, как Chrome и Firefox и передает их на сервер злоумышленников.

Считается, что хакеры, стоящие за Domino, являются бывшими членами Conti и похоже, что они объединили усилия с Fin7 — одной из самых активных на сегодняшний день киберпреступных групп — которые используют свой опыт в разработке вредоносного программного обеспечения для этой новой кампании.

Схема взаимодействия достаточно запутанная и коррелируется с использованием целого арсенала вредоносного ПО, что означает, что придется иметь дело с запутанной сетью нескольких субъектов угроз.

Опубликован PoC-эксплойт для последней критической уязвимости, который позволяет выполнять код на хосте с запущенной песочницей VM2.

VM2 — это специализированная изолированная среда JavaScript, используемая широким спектром программных инструментов для запуска и тестирования кода.

Библиотека встречается в интегрированных средах разработки (IDE), редакторах кода, инструментах безопасности и различных средах пентестинга и имеет несколько миллионов загрузок в месяц в репозитории пакетов NPM.

За последние две недели в VM2 было обнаружено несколько критических уязвимостей, связанных с выходом из песочницы.

Первая уязвимость CVE-2023-29017 была обнаружена исследователем Seongil Wi две недели назад, а две последние (CVE-2023-29199  и CVE-2023-30547) - SeungHyun Lee, аналитиком из KAIST.

Последняя имеет оценку CVSS: 9,8 и затрагивает все версии библиотек, начиная с 3.9.16 и ранее. Причем неясно, являются ли последние уязвимости выхода из песочницы совершенно новыми или они вызваны кривыми исправлениями для исходной CVE-2023-29017, обнаруженной Wi.

Ошибка представляет собой уязвимость очистки исключения, позволяющую злоумышленнику обойти ограничения «песочницы» и выполнить произвольный код в контексте хоста, что позволяет проводить потенциально серьезные атаки.

Всем пользователям, сопровождающим пакетов и разработчикам ПО, чьи проекты включают VM2, рекомендуется как можно скорее обновиться до версии 3.9.17 с исправлением критического недостатка, PoC для которого теперь доступен на GitHub.

Тем не менее, учитывая сложности цепочки поставок в проектах ПО с открытым исходным кодом в сочетании с общедоступностью PoC, можно полагать, что риски атак будут сохраняться еще на протяжении длительного времени.

Citizen Lab выяснила, что NSO Group использовала как минимум 3 эксплойта iOS Zero-Click в 2022 году.

Согласно новому отчету, в 2022 году израильский поставщик шпионского использовал как минимум три ранее неизвестных Zero-Click-эксплойта для iOS.

Несмотря на то, что Apple предпринимала шаги для предотвращения атак на своих клиентов, разработчики из NSO продолжали находить способы обойти смягчения последствий.

Citizen Lab наткнулась на новые эксплойты для iOS при расследовании заражений вредоносным ПО на iPhone правозащитников в Мексике.

Один из новых Zero-Click-эксплойтов получил название PwnYourHome. Этот двухэтапный эксплойт нацелен на HomeKit и iMessage и использовался против устройств iOS 15 и 16, начиная с октября 2022 года.

Другой двухэтапный эксплойт, нацеленный на функцию «Найти меня» и iMessage, получил название FindMyPwn. Этот эксплойт использовался против iPhone под управлением iOS 15 как минимум с июня 2022 года. 

Третий, названный LatentImage, был замечен только на одном устройстве, и, похоже, это первый новый эксплойт, использованный NSO в 2022 году.

Apple была проинформирована о результатах в октябре 2022 г. и январе 2023 г.

Одной из уязвимостей, связанных с этими атаками, является CVE-2023-23529, которую Apple исправила в феврале.

Однако до сих пор неясно, какие еще CVE-идентификаторы были присвоены уязвимостям, связанным с этими эксплойтами. За последний год  технический гигант исправил примерно дюжину нулевых дней iOS.

Apple разослала уведомления целевым пользователям в ноябре и декабре 2022 года, а также в марте 2023 года. 

С тех пор NSO Group, возможно, переработала свои эксплойты, но Citizen Lab не заметила, чтобы эксплойт PwnYourHome работал в отношении устройств, на которых была включена функция Apple Lockdown Mode.

Citizen Lab обнаружила новые эксплойты после обнаружения индикаторов компрометации, которые, как известно, связаны с атаками Pegasus, но организация решила не раскрывать их, поскольку NSO Group может использовать эту информацию для сокрытия будущих атак. 

После разоблачения Citizen Lab и Microsoft другой израильский поставщик шпионского ПО QuaDream заявил о закрытии меньше, чем за неделю.

Последние же отчеты по NSO больше похожи на то, как подранков на охоте добивают, а они продолжают сопротивляться.

͏Крупнейший американский телекомгигант CommScope пал жертвой вымогателей. Отличились Vice Society.

Компания-провайдер глобальной сетевой инфраструктуры, базирующаясяя в Хикори, штат Северная Каролина, была основана в 1976 году и насчитывает более 30 000 сотрудников.

Поставщик коммуникационной и технологической инфраструктуры из списка Fortune 500 помимо прочего имеет обширную сеть дочерних компаний, включая Arris, Surfboard, Ruckus и Systimax, а также завязана но многие цепочки поставок в более чем 130 странах.

Спустя несколько недель CommScope официально подтвердила, что стала жертвой мартовской атаки ransomware, которая привела к компрометации конфиденциальных данных сотрудников.

Атака была совершена 27 марта и по прошествии двух недель вымогатели отметили компанию на своем сайте утечки. Вероятно, после проваленных переговоров украденные данные начали публиковаться.

Банда разместила более двух десятков ссылок, датированных 14–15 апреля, которые включают якобы на данные на сотрудников, в том числе: паспорта сотрудников, счета-фактуры компании, файлы и банковские документы.

Несмотря на это, CommScope расследует инцидент, а теперь и предполагаемую утечку данных. Не называя наименования конкретного актора, компания подтвердила, что группа, осуществившая атаки, — это та же самая группа, которая утверждает, что владеет украденными данными.

Вместе с тем, CommScope заявила, что не нашла доказательств того, что какая-либо информация о клиентах была скомпрометирована во время атаки. Кроме того, хакерам не удалось повлиять на операционную деятельность.

Но, как говорится, еще не вечер.

Немецкая корпорация Siemens, которая является мастодонтом в сфере промышленных технологий, столкнулась с утечкой данных своей платформы Metaverse (метавселенная).

Siemens Metaverse — это виртуальное пространство, созданное для отражения реальных машин, заводов и других сложных критических инфраструктур.

Платформа используется компаниями для управления своими цифровыми активами и обеспечения безопасного обмена информацией между различными системами.

Утечка данных была раскрыта исследователями CyberNews, которые обнаружили, что платформа Metaverse непреднамеренно допускала утечку конфиденциальной информации о клиентах, такую как имена пользователей, пароли и другие личные данные.

Платформа, целью которой является создание цифровых "двойников" своих заводов и офисов по сути раскрывала сведения, если бы которые попали в руки злоумышленникам, то могли бы иметь разрушительные последствия для компании и других крупных корпораций, пользующихся ее услугами, включая атаки ransomware.

К счастью, специалисты Siemens быстро отреагировали и приняли незамедлительные меры для решения проблемы. Они исправили уязвимость в системе и уведомили пострадавших клиентов об инциденте.

Однако до сих пор неясно, как долго данные были раскрыты и могли кто-либо получить к ним доступ в течение этого периода времени.

Хоть Siemens и заявила, что считает проблему некритичной и уже устранена ее, тем не менее это очередной пример, когда транснациональная корпорация с доходом более 71 млрд. долларов и 300 000 сотрудников по всему миру могла или возможно столкнулась с утечкой данных из-за неадекватных мер безопасности или банальной халатности.