Вслед за RCE-уязвимостью в vRealize Log Insight, на этой неделе VMware пофиксила 0-day в гипервизорах VMware Workstation и Fusion, которые использовались в цепочке эксплойтов исследователями из STAR Labs в ходе хакерского конкурса Pwn2Own Vancouver 2023.

Первая CVE-2023-20869 представляет собой уязвимость переполнения буфера стека в функции совместного использования устройств Bluetooth, которая позволяет локальным злоумышленникам выполнять код в качестве процесса VMX виртуальной машины на хосте.

Вторая ошибка (CVE-2023-20870) представляет собой уязвимость раскрытия информации в функции совместного использования хост-устройств Bluetooth с виртуальной машиной и позволяет считывать привилегированную информацию, содержащуюся в памяти гипервизора.

VMware также поделилась временным обходным решением для администраторов, которые не могут сразу установить исправления для двух недостатков в своих системах, для чего можно отключить поддержку Bluetooth на виртуальной машине

Кроме того, компания закрыла еще две уязвимости в гипервизорах VMware Workstation и Fusion.

CVE-2023-20871 — это серьезная уязвимость локального повышения привилегий VMware Fusion Raw Disk, которой могут злоупотреблять злоумышленники с доступом на чтение или запись к ОС хоста для повышения привилегий и получения root-доступа.

Другая CVE-2023-20872 описывается как уязвимость, связанная с выходом за пределы диапазона чтения или записи в эмуляции устройства SCSI CD/DVD и влияет как на продукты Workstation, так и на продукты Fusion.

Она может быть использована локальными злоумышленниками с доступом к виртуальным машинам с физическим CD/DVD-приводом, подключенным и настроенным для использования виртуального контроллера SCSI, для достижения RCE на гипервизоре с виртуальной машины.

Временный обходной путь для CVE-2023-20872 блокирует попытки эксплуатации, требуя от администраторов удалить устройство CD/DVD из виртуальной машины или настроить виртуальную машину НЕ для использования виртуального контроллера SCSI.

Новая уязвимость SLP может привести к массовым DDoS-атакам с 2200-кратным усилением.

SLP был разработан в 1997 году и позволяет устройствам (ПК, принтерам, маршрутизаторам и серверам) легко обнаруживать друг друга внутри локальных сетей.

Однако зачастую оказывается открытым в глобальную сеть, поскольку присутствует в качестве стандартной функции в широком спектре современного корпоративного программного и аппаратного обеспечения.

Так, к настоящему времени более 70 000 серверов имеют отертые в Интернет порты SLP (427 как для UDP, так и для TCP), включая такие устройства, как гипервизоры VMware ESXi, принтеры Konica Minolta, маршрутизаторы Planex, серверы Supermicro IPMI и множество единиц оборудования IBM.

Ошибка в протоколе была обнаружено исследователями из Bitsight и Curesec.

Она отслеживается как CVE-2023-29552 и позволяет злоумышленнику отправить небольшой запрос на сервер SLP, который затем перенаправляется в сеть жертвы в гораздо большем размере.

Этот трюк может быть использован злоумышленниками для выполнения отраженных DDoS-атак.

В случае SLP, по мнению ресечеров, коэффициент усиления составляет колоссальные 2200x, что делает SLP третьим по величине коэффициентом усиления за всю историю.

Cloudflare и Netscout считают, что внушительный потенциал задействования SLP для DDoS-атак будет реализован в самое ближайшее время, как только злоумышленники научатся применять багу. 

Особенно, если учесть, что SLP использовался ранее в этом году для развертывания ESXiArgs ransomware на серверах VMWare.

Будем надеяться, что после того случая хотя бы какая-то часть компаний задумывалась о защите своих портов SLP.

Но будем посмотреть.

Почти две тысячи серверов Apache Superset подвержены уязвимостям для обхода аутентификации и удаленного выполнения кода в конфигурациях по умолчанию, о чем предупреждают исследователи Horizon3 в своем новом отчете.

Apache Superset — это инструмент визуализации и исследования данных с открытым исходным кодом, изначально разработанный для Airbnb, а затем ставший в 2021 году проектом высшего уровня в Apache Software Foundation.

Основная проблема заключается в том, что Apache Superset использовал секретный ключ Flask по умолчанию для подписи файлов cookie сеанса аутентификации, который злоумышленники могут использовать для подделки этих файлов для входа с правами администратора на сервер.

Для этого они могут использовать flask-unsign и подделывать свои собственные cookie, чтобы получить доступ администратора к цели и подключенным базам данных или выполнить произвольные операторы SQL на сервере приложений.

Уязвимость была обнаружена Horizon3 11 октября 2021 года и доведена до группы безопасности Apache.

11 января 2022 года разработчики ПО выпустили версию 1.4.1, в которой значение по умолчанию SECRET_KEY было изменено на новую строку.

Несмотря на это, Horizon3 обнаружили также два других ключа по умолчанию, используемых в документации и шаблонах, после чего снова связалась с Apache.

И в конце концов, 5 апреля 2023 года команда Superset выпустила версию 2.1, которая не позволяет запускать сервер, если он использует SECRET_KEY по умолчанию.

Однако вопреки требованиям документации Apache, предписывающим менять секретные ключи, и выпущенным обновлениям, исследователи Horizon3 обнаружили опасную конфигурацию примерно примерно на 2124 (67% от общего числа) открытых в Интернете серверах, принадлежащих организациям в различных, в том числе критических сферах.

В настоящее время исследователи не раскрывают какие-либо детали эксплойта, но полагают, что заинтересованным злоумышленникам будет несложно разобраться самим.

Важно отметить, что если администраторы изменили ключ по умолчанию, их установки не уязвимы для этой атаки.

Тем не менее, компания поделилась скриптом на GitHub, который администраторы Apache Superset могут использовать, чтобы определить, уязвим ли их экземпляр для атак.

Ряд авторитетных инфосек-компаний, специализирующихся на ICS и OT, анонсировали новый проект с открытым исходным кодом под названием ETHOS (Emerging THreat Open Sharing).

Новая независимая технологическая платформа реализована для анонимного обмена информацией об угрозах в режиме реального времени и служит в качестве системы раннего предупреждения для критически важной инфраструктуры.

Доступная участникам проекта общая информация включает индикаторы компрометации (IoC), такие как IP-адреса, хэши и домены, которые могут быть полезны подразделениям ИБ для обнаружения новых угроз.

Решение в режиме реального времени консолидирует информацию от крупных поставщиков средств безопасности для выявления аномального поведения на этапе разведки потенциальных атак.

В настоящее время у ETHOS есть бета-версия API, обеспечивающая функции обмена данными, а сервер - в разработке.

Заявившие участие в проекте организации могут выступать в качестве клиентов и/или размещать свой собственный сервер для сопоставления информации, которой обмениваются.

Учредители ETHOS отметили, что проект не является общедоступным проприетарным каналом информации об угрозах, его цель — дополнить существующие платформы для обмена информацией.

ETHOS разработан специально для OT/ICS, но API может задействоваться любым продуктом безопасности.

Среди учредителей ETHOS - 1898 & Co., ABS Group, Claroty, Dragos, Forescout, NetRise, Network Perception, Nozomi Networks, Schneider Electric, Tenable и Waterfall Security, заявки на участие еще будут открыты до конца июня 2023 года.

Cisco раскрыла 0-day в инструменте управления серверами Prime Collaboration Deployment (PCD), которую можно использовать для атак с использованием межсайтовых сценариев.

Утилита предназначена для выполнения задач миграции или обновлений на серверах, находящихся в контуре организации.

CVE-2023-20060 была обнаружена в веб-интерфейсе управления Cisco PCD 14 (включая и более ранние версии) исследователем Пьером Вивеньсом из Центра кибербезопасности НАТО (NCSC).

Успешная эксплуатация позволяет злоумышленникам, не прошедшим проверку подлинности, запускать XSS-атаки удаленно, но требует взаимодействия с пользователем.

Рабочий эксплойт может позволить злоумышленнику выполнить произвольный код сценария в контексте уязвимого интерфейса или получить доступ к конфиденциальной информации в браузере.

Проблема вызвана неправильной проверкой веб-интерфейсом управления введенных пользователем данных.

Злоумышленник может воспользоваться этой уязвимостью, убедив пользователя интерфейса щелкнуть созданную ссылку.

На данный момент для XSS-уязвимости нет обходных путей, а обновления безопасности для ее устранения компания обещает выпустить в следующем месяце.

Но в случае с Cisco «обещать - не значит жениться», уже полгода поставщик с таким же успехом обещает исправить другую 0-day.

CVE-2022-20968 в IP-телефонах с прошивкой серий 7800 и 8800 версии 14.2 была раскрыта еще начале декабря 2022 года и успела обзавестись PoC, хотя должна была быть закрыта еще в январе.

Пока же клиентов Cisco (PSIRT) утешают лишь заявлениями об отсутствии доказательства злонамеренного использования новой 0-day в дикой природе.

Уже более пяти лет GReAT из Лаборатории Касперского публикует ежеквартальные сводки об активности APT с отражением наиболее ключевых событий и обобщением результатов более частных исследований.

В новом отчете исследователи рассказали о примечательных находках и тенденциях за 1 квартал 2023 г.

Одно из расследований Turla привело к обнаружению имплантата Tomiris, через который составлялся бэкдор TunnusSched (QUIETCANARY).

Исследователи пришли к выводу, что либо Tomiris проводит атаки под чужим флагом с участием Turla, либо (что более вероятно) Turla и Tomiris сотрудничают.

Tomiris также был замечен с использованием неизвестного имплантата на Rust под названием JLORAT.

Обнаружен новый имплантат в памяти TargetPlug, который применялся для нацеливания на разработчиков игр в Южной Корее с октября 2022 года и по имеет связь с Winnti (общая инфраструктура, подпись кода и виктимология).

Не остались без внимания продолжающиеся кампании целевого фишинга, нацеленные на страны Ближнего Востока, начиная с июля 2021 года, за которыми стоит MuddyWater. Актор смог заразить нескольких жертв на Ближнем Востоке и в Северной Африке.

В конце декабря прошлого года замечено вредоносное ПО, использующее Microsoft Exchange для C2 и кражи данных. Дальнейший анализ образцов показал, что это новый вариант вредоносного ПО Oilrig Lookout.

В отчете также представлены кампании недавно обнаруженных субъектов угроз, среди которых - Trila, нацеленная на правительственные учреждения Ливана, а также ливийская LoneZerda, модуль кейлоггера которых все еще активен на компьютерах высокопоставленных жертв на Ближнем Востоке.

Два новых загрузчика MinHus и Stage появилось на вооружении группы Origami Elephant. Также было замечено, что группа начала использовать более сложные алгоритмы для запутывания строк.

Новые штаммы вредоносных программ обнаружились и у нацеленной на КНДР ScarCruft. В качестве механизма C2 использовался легитимный облачный сервис обмена сообщениями, а новая полезная нагрузка SidLevel имела широкий спектр возможностей для кражи конфиденциальной информации.

Lazarus же использовала бэкдор-клиент UltraVNC для доставки обновленной полезной нагрузки BLINDINCAN.

Серьезно эволюционировал бэкдор DTrack, используемый Andariel (он же StonedFly и Silent Chollima), анализ привел к новой виктимологии.

Найден новый штамм вредоносного ПО DreamLand, нацеленный на Пакистан. Вредоносная ПО является модульной и использует язык сценариев Lua в сочетании с компилятором Just-in-Time (JIT) для выполнения вредоносного кода.

Исследователи отмечают, что по-прежнему злоумышленники используют различные языки программирования, включая Go, Rust и Lua.

Кампании APT, как и ранее сильно рассредоточены географически. В этом квартале акторы таргетировали свои атаки на Европу, США, Ближний Восток и регионы Азии.

При этом цели APT-угроз оставались достаточно дифференцированы. К ним относятся правительственные и дипломатические органы, объекты авиации, энергетики, производства, сферы недвижимости, финансов, телекоммуникации, научных исследований, информационные технологии и игровой сектор.

Традиционно таргетинг определялся геополитикой, оставаясь ключевым фактором развития APT, а кибершпионаж соответственно - основной целью большинства кампаний APT.

Популярная платформа электронной коммерции с открытым исходным кодом Prestashop, недавно исправила критическую уязвимость, которая позволяла любому бэкэнд-пользователю удалить всю базу данных интернет-магазина.

Ошибка была обнаружена исследователями безопасности из Check Point Research, о чем Prestashop сообщили 28 апреля.

Уязвимость отслеживается как CVE-2023-30839 с оценкой 9.9 и позволяет любому пользователю, независимо от их привилегий, выполнять несанкционированные изменения в базе данных.

Это означает, что злоумышленники могли использовать эту уязвимость, чтобы полностью стереть данные интернет-магазина и нанести существенный финансовый ущерб владельцам пострадавшего бизнеса.

Недостаток, который невозможно устранить, влияет на все установки PrestaShop начиная с версии 8.0.3 и старше.

Необходимость иметь учетную запись пользователя на уязвимом сайте немного смягчает проблему, но учитывая, что интернет-магазины часто нанимают большие команды для обработки заказов, то проблема создает угрозу если вдруг их хосты скомпрометируют мошенники или банально нанести ущерб могут недовольные сотрудники.

Более того, для хакеров открывается широкое поле атаки, которые позволяет скомпрометировать любую учетную запись пользователя на сайтах электронной коммерции, внедрить вредоносный код или бэкдор.

Бэкдор-инъекции давно не ноу-хау и тактики скрытых атак, о которых сообщали специалисты Sucuri, набирают популярность в дикой природе, хоть пока и нацелены в основном на сайты WordPress.

Поставщик программного обеспечения устранил недостаток, а вместе с ним и две другие уязвимости CVE-2023-30535 (CVSS: 7.7) и CVE-2023-30838 (CVSS: 8.0), выпустив версии 8.0.4 и 1.7.8.9, до которых всем владельцам веб-сайтов PrestaShop рекомендуется перейти как можно скорее.

Как и предполагалось, за атаками с использованием критических уязвимостей (CVE-2023-27350 и CVE-2023-27351) на PaperCut MF/NG, похоже, стоят вымогатели Clop и LockBit.

Ситуация ухудшается тем, что вопреки заявлениям обнаруживших проблемы Trend Micro раскрыть подробности к 10 мая, Horizon3 на пару с Huntress выложили не только техническую информацию, но и PoC для них.

Ошибки позволяют удаленным злоумышленникам обходить аутентификацию и выполнять RCE на скомпрометированных серверах PaperCut в атаках низкой сложности, не требующих взаимодействия с пользователем.

Кроме того, согласно PaperCut, определить компрометацию со 100% уверенностью невозможно.

А если верить поставщику ПО для управления печатью PaperCut MF/NG, то решение используется более 100 миллионов пользователей из более чем 70 000 компаний по всему миру.

Гипотезу о причастности Clop и LockBit озвучили в Microsoft Threat Intelligence, которые обнаружили, что названные преступные группировки используют схожие инструменты для осуществления своей деятельности.

Например, обе банды используют аналогичные методы для уклонения от обнаружения и криминалистического анализа после успешной атаки.

Кроме того, банды имеют схожую виктимологию и нацелены, в первую очередь, на компании в США и Западной Европе.

Однако прямых доказательств, связывающих Clop или LockBit с недавними атаками на серверы Papercut, пока нет.

Эксперты в стотысячный раз предупреждают клиентов Papercut о срочной необходимости применения последних обновлений, прежде чем их серверы будут скомпрометированы, учитывая, что в свободном доступе гуляет PoC, с которым уже упражняются хакеры.

А администраторам, подозревающим, что их серверы скомпрометированы, рекомендуется делать резервные копии, стирать сервер и восстанавливать все из безопасной точки резервного копирования.

Пытавшаяся оседлать Group-IB в июне 2022 года и активная с 2009 года китайская АРТ Tonto Team нацелилась на южнокорейские учреждения в сфере иностранных дел, образования, строительства и политики.

Согласно AhnLab Security (ASEC), главной отличительной особенностью новой кампании стало использование файла, связанного с продуктами для защиты от вредоносных ПО, чтобы в конечном итоге выполнять атаки.

Причастность Tonto Team к распространению вредоносного ПО CHM в Корее подтверждается с 2021 года, и они различными способами меняли свои ТТР, чтобы обойти обнаружение.

Последовательность атаки, обнаруженная ASEC, начинается с файла Microsoft Compiled HTML Help (.CHM), который выполняет двоичный файл для боковой загрузки вредоносного DLL-файла (slc.dll) и запускает ReVBShell.

Он представляет собой бэкдор VBScript с открытым исходным кодом, который использовался также другой китайской группой Tick, также известный как Bronze Butler, REDBALDKNIGHT, Stalker Panda и Stalker Taurus.

Впоследствии ReVBShell реализует загрузку второго исполняемого файла, законного файла конфигурации ПО Avast (wsc_proxy.exe), для боковой загрузки второй мошеннической DLL (wsc.dll), что в конечном итоге приводит к развертыванию трояна удаленного доступа Bisonal.

Количество случаев заражения с использованием CHM увеличилось по сравнению с прошлым. При этом задействование CHM в качестве вектора распространения вредоносных ПО используется не только китайскими злоумышленниками.

Подобные цепочки атак предпринимались и северокорейской ScarCruft в атаках, направленных на целевые хосты в Южной Корее.

Как отмечают исследователи ASEC, АРТ Tonto постоянно развивается, в том числе с помощью различных средств, включая обычного программного обеспечения для совершения более сложных атак.

Инфосек-компания Deepwatch Adversary Tactics and Intelligence (ATI) сообщает о продолжающихся атаках с использованием RCE-уязвимости без проверки подлинности в Avaya Aura, корпоративном решении для управления IP-телефонией, с которыми они столкнулись в ходе расследования инцидента в клиентской среде

На самом деле атаки были обнаружены еще в феврале после того, как охранная компания AssetNote опубликовала описание двух уязвимостей в AADS до версии 8.1.4.1.40.

Первая обнаруженная уязвимость позволяет выполнять межсайтовые сценарии (XSS) без необходимости аутентификации, а вторая уязвимость - реализовать RCE. Обеим не присвоен CVE-идентификатор.

Эксплуатация проста: киберпреступник может загрузить файл .php и запустить его: ничто не препятствует его выполнению.

В рамках инцидента Deepwatch наблюдали использование ошибки для установки веб-оболочек и утилиты очистки журнала Linux на серверах Avaya Aura.

Кроме того, киберпреступники добавляли свои SSH-ключи к SSH на хост-компьютере для получения постоянного удаленного доступа, а также фиксировались попытки сбросить майнер XMRig.

Подозревая с определенной степенью уверенности, что за инцидентом может стоять ботнет Mirai, ресечреры полагают, что вероятность компрометации организаций, использующих Avaya Aura Device Services до версии 8.1.4.1.40, значительно выше, особенно учитывая специфику таргетинга.

По оценкам ATI, в сети доступно до 1 млн. устройств Avaya Aura, а значит число инцидентов будет только нарастать.

Вместе с тем, уязвимости были устранены в Avaya Aura Device Services версии 8.1.4.1.40, а клиентам следует принять меры по смягчению последствий и обновиться.

Также рекомендуется анализировать потенциальную вредоносную активность, которая может указывать на компрометацию в соответствии с рекомендациями Avaya (здесь).

Исследователи из команды Unit 42 Paloaltonetworks обнаружили новый вариант вредоносного ПО PingPull, используемого APT Alloy Taurus, предназначенного для атак на системы Linux.

Отслеживая инфраструктуру, используемую злоумышленником для этого варианта PingPull, исследователи также вышли и на другой бэкдор, который отслеживается как Sword2033.

Первые образцы вредоносного ПО PingPull были найдены еще в сентябре 2021 года, а затем встречались в рамках нескольких последующих кампаний, позволивших приписать использование этого инструмента Alloy Taurus.

Действующая по крайней мере с 2012 годакитайская АРТ обнаружили новый (также известная как GALLIUM, Softcell) которая регулярно проводит кампании кибершпионажа и исторически нацеливается на телекоммуникационные компании в Азии, Европе и Африке.

В последние годы расширила свою целевую аудиторию, включив в нее финансовые учреждения и государственные структуры.

Первый образец PingPull для Linux был загружен на VirusTotal 7 марта 2023 года (детектировался 3 из 62 поставщиков), сходство с Windows-вариантом основано на соответствии структуры связи HTTP, параметров POST, ключа AES и команд C2.

Sword2033 - это простой бэкдор с поддержкой небольшого числа основных функций. Один из наблюдаемых образцов был замечен в июле 2022 года.

Результаты анализа домена C2 (yrhsywu2009.zapto[.]org), обнаруженного в PingPull Linux и Sword2033, позволили выявить IoC, указывающими на деятельность Alloy Taurus.

Таким образом, Alloy Taurus продолжает оставаться активной угрозой для телеком, финансовых и правительственных организаций в Юго-Восточной Азии, Европе и Африке.

Идентификация вредоносного ПО PingPull для Linux, а также недавнее использование Sword2033 позволяют предположить, что АРТ развивает потенциал свои операции в поддержку своей шпионской деятельности.

͏Новые подробности инцидента с Western Digital стали известны после очередного слива ALPHV.

Также известная как BlackCat банда вымогателей опубликовала скрины из внутреннего контура компании, которые указывают на то, что хакеры сохранили доступ к системам WD даже после локализации взлома и следили за всем процессом реагирования на инцидент, который произошел 26 марта.

Тогда вымогателям удалось пробить периметр WD и выкрасть внушительные 10 ТБ различной конфиденциальной информации.

При этом системы остались в работоспособном состоянии - шифрования не было реализовано.

В ответ компания на две недели отключила все свои облачные сервисы, в том числе My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS 5, SanDisk ibi и SanDisk Ixpand Wireless Charger, а также связанные мобильные, настольные и веб-приложения.

Последняя утечка предшествовало предупреждение в адрес Western Digital. 17 апреля ALPHV угрожали новыми разоблачениями и более серьезными последствиями, если выкуп не будет выплачен.

Вероятно, не договорившись по деньгам, ALPHV обнародовали двадцать девять скриншотов электронных писем, документов и видеоконференций, связанных с расследованием атаки.

Кроме того, хакеры утверждают, что располагают также личной информацией клиентов и сумели сдампить SAP Backoffice от WD.

В свою очередь, Western Digital отказалась от каких-либо комментариев и заявлений.

При таком подходе WD может успеть и пошифроваться напоследок.

В выходные DumpForums заявили, что взломали BI.ZONE и выложили SQL-дампы нескольких бизоновских сайтов.

Вчера Бизоны дали подтверждение взлома, в котором сообщили, что был взломан сервер с бэкапами на внешнем хостинге.

Что можем сказать по этому поводу. Во-первых, Бизонам лучей добра и поддержки. Shit, как говорится, happens.

А во-вторых у нас жесточайшее дежавю. Опять взлом ресурсов на внешнем хостинге, да и способ первичной компрометации, бьемся об заклад, так и останется неизвестным...

В ответ на предыдущий пост про Бизонов к нам на почту аноним прислал забавный стишок (в письме так и было написано - у мене внутре неонка к Вашему предыдущему посту). Что он хотел им сказать - мы не знаем. Решили с подписчиками поделиться, может быть кто-нибудь поймет.

Вот город, совсем как у Гоголя, N.

А это компания,
Которая IT своим считает признанием
И модным ужасно гордится названием,
В городе, совсем как у Гоголя, N.

А это ПО для работы с web-сервером,
И с неплохим функционалом, наверное,
Написанное той самой компанией,
Которая IT своим считает признанием
И модным ужасно гордится названием,
В городе, совсем как у Гоголя, N.

А это система защиты дырявая,
Которая взлом превратила в халяву
И хакер чубатый смог тихо и гладко
Внедриться и в коде оставить закладку,
В том самом ПО для работы с web-сервером,
И с неплохим функционалом, наверное,
Написанном той самой компанией,
Которая IT своим считает признанием
И модным ужасно гордится названием,
В городе, совсем как у Гоголя, N.

А вот и владельцы слитых баз данных,
Которые с криком "Что за ерунда, нах!"
Не могут в утечках своих разобраться.
Они же не в курсе, если признаться,
Что это система защиты дырявая,
Которая взлом превратила в халяву
И хакер чубатый смог тихо и гладко
Внедриться и в коде оставить закладку,
В том самом ПО для работы с web-сервером,
И с неплохим функционалом, наверное,
Написанном той самой компанией,
Которая IT своим считает признанием
И модным ужасно гордится названием,
В городе, совсем как у Гоголя, N.

Apple решила озаботиться промежуточными улучшениями безопасности и анонсировала Rapid Security Response, но что-то пошло не так.

Исправления RSR представляют собой небольшие обновления для платформ iPhone, iPad и Mac, устраняющие проблемы безопасности между основными обновлениями ПО.

При этом некоторые из этих внеплановых обновлений безопасности также могут использоваться для оперативного устранения уязвимостей, активно используемых или имеющих реальный потенциал эксплуатации в реальных атаках.

И в качестве первого RSR для устройств Apple выпустила iOS 16.4.1 (a) и macOS 13.3.1 (a).

Но уже на старте, согласно многочисленным сообщениям [1, 2, 3, 4] возникли сложности с обновлением RSR для iPhone.

Патч на некоторых устройствах попросту не встает, уведомляя владельца об ошибке «невозможно проверить ответ безопасности».

Как полагают исследователи, вероятно, проблемы возникают из-за ошибки на стороне сервера.

Похоже, что с RSR разработчики решили не утруждаться не только по части софта, но и по части документации.

На традиционной странице обновлений Apple нет сведений о новых исправлениях RSR.

Apple в принципе не уведомила, где они будут делиться этой информацией.

Кстати, очень практично - и объясняться по поводу выпуска дефектного RSR не придется.

Ресерчеры из французской технологической компании Thales впервые в истории продемонстрировали успешный взлом испытательного орбитального наноспутника Европейского космического агентства (ЕКА).

Специально приглашенной группе из четырех специалистов Thales удалось обнаружить уязвимости, которые потенциально могут позволить злоумышленникам вмешаться в работу спутника, используя при этом стандартные права доступа.

Демонстрация атаки проводилась на тестовом стенде, созданном ЕКА в рамках конференции CYSAT, одного из крупнейших в мире мероприятий по кибербезопасности в космической отрасли, которое состоялось в Париже на прошлой неделе.

Главная цель теста - моделирование и оценка киберугроз, разработка мер обнаружения и противодействия атакам.

Команда Thales смогла получить полный контроль над спутником, обеспечив доступ к бортовой системе, которая используется для управления системой глобального позиционирования, ориентации и бортовой камерой.

В совокупности это привело к возможности компрометации данных, отправляемых на наземную инфраструктуру, в частности, путем модификации изображений или маскировки определенных географических областей на спутниковых снимках, избегая при этом обнаружения ЕКА.

По данным CYSAT, ситуация еще более осложняется огромным действующим флотом устаревающих спутников, которые уязвимы для хакеров и обладают огромными возможностями кибератак.

Ведь спутники исторически разрабатывались как надежные, а не безопасные.

Теперь получается, что широко разрекламированная в кинематографе опция дайте мне картинку со спутника доступна не только спецслужбам.

Исследователи FortiGard Labs из компании Fortinet предупреждают о всплеске атак на незащищенные устройства TBK DVR с использованием критической уязвимости обхода аутентификации пятилетней давности и общедоступного PoC-эксплойта.

Как правило, видеорегистраторы TBK Vision являются неотъемлемой частью систем наблюдения, решения компании активно используются в банках, госорганах, на объектах розничной торговли и т.д.

При этом зачастую располагаются во внутренних сетях, что делает их идеальной точкой для первоначального доступа к корпоративным сетям и кражи данных.

Имеющая оценку CVSS v3: 9,8 CVE-2018-9995 позволяет злоумышленникам обходить аутентификацию на устройстве и получать доступ к уязвимой сети.

Она затрагивает TBK DVR4104 и TBK DVR4216, в том числе продаваемых под брендами Novo, CeNova, QSee, Pulnix, XVR 5 в 1, Securus, Night OWL, DVR Login, HVR Login и MDVR.

Эксплойт реализован в виде вредоносного файла cookie HTTP, на который уязвимые устройства TBK DVR отвечают учетными данными администратора в виде данных JSON.

Согласно Fortinet, по состоянию на апрель 2023 года совершено более 50 000 попыток взлома устройств TBK DVR с использованием уязвимости.

Помимо нее Fortinet фиксирует попытки эксплуатации другой RCE-уязвимости, которая отслеживается как CVE-2016-20016 (CVSS v3: 9.8) и затрагивает MVPower TV-7104HE и TV-7108HE.

Ошибка также позволяет злоумышленникам выполнять команды без проверки подлинности, используя вредоносные HTTP-запросы.

Она активно эксплуатируется с 2017 года, но в последнее время ресерчеры наблюдают признаки роста вредоносной активности.

Учитывая отсутствие у поставщиков исправлений для упомянутых проблем, пользователям уязвимых систем наблюдения следует модернизировать их новыми устройствами или изолировать их от глобальной сети.

В ближайшее время от судебных исков по кейсу нарушения политики конфиденциальности придется отбиваться Qualcomm.

Многонациональную корпорацию, чьи чипы, используются примерно в трети всех устройств Android, включая Samsung и Apple, уличили в тайном соборе личных пользовательских данных.

Обвинения вытекают из исследования Nitrokey, в котором утверждается, что оборудование Qualcomm загружало личные данные пользователей, включая IP-адреса, в облако компании без согласия владельцев.

Поскольку обмен данными с Qualcomm не упоминается в условиях предоставления услуг Sony (поставщика тестового устройства), Android или /e/OS также, то это вполне может нарушать GDPR.

Автор отчета утверждает, что передаваемые пакеты данных не шифруются с использованием HTTPS, SSL или TLS, что делает их уязвимыми для атак.

По убеждению специалиста, собирая эти данные и создавая историю записей, используя уникальный идентификатор телефона и серийный номер, что позволяет легко шпионить за пользователями.

Пока в компании ответили, что сбор данных соответствует политике конфиденциальности Qualcomm XTRA и услуга связана с вспомогательными функциями GPS (A-GPS), помогая предоставлять мобильному устройству более точные спутниковые координаты.

Если вкратце, то в политике конфиденциальности XTRA Service говорится, что с помощью программных приложений компания может собирать данные о:
- местоположении,
- уникальных идентификаторах (такие как серийный номер набора микросхем или международный идентификатор абонента),
- об установленных или запущенных на устройстве приложениях,
- конфигурации, модели и операторе беспроводной связи,
- операционной системе и ее версии,
- производительности устройства.

А про персональные данные в компании заявили, что они могут получать их из сторонних источников, например брокеров данных, социальных сетей и других партнеров или общедоступных источников.

При этом в отчете специалистов отдельно отмечено, что в политике изначально не указывалось, что собираются IP-адреса, но после выхода исследования компания внезапно дополнила ее, включив и IP-адреса.

Вот так одним росчерком пера можно сгладить углы и собирать, что потребуется. Но такая позиция вряд ли устроит представителей закона, особенно некоторых звездно-полосатых штатов. Как минимум, если собираешь - делись.

Но будем посмотреть.