͏Новые подробности инцидента с Western Digital стали известны после очередного слива ALPHV.
Также известная как BlackCat банда вымогателей опубликовала скрины из внутреннего контура компании, которые указывают на то, что хакеры сохранили доступ к системам WD даже после локализации взлома и следили за всем процессом реагирования на инцидент, который произошел 26 марта.
Тогда вымогателям удалось пробить периметр WD и выкрасть внушительные 10 ТБ различной конфиденциальной информации.
При этом системы остались в работоспособном состоянии - шифрования не было реализовано.
В ответ компания на две недели отключила все свои облачные сервисы, в том числе My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS 5, SanDisk ibi и SanDisk Ixpand Wireless Charger, а также связанные мобильные, настольные и веб-приложения.
Последняя утечка предшествовало предупреждение в адрес Western Digital. 17 апреля ALPHV угрожали новыми разоблачениями и более серьезными последствиями, если выкуп не будет выплачен.
Вероятно, не договорившись по деньгам, ALPHV обнародовали двадцать девять скриншотов электронных писем, документов и видеоконференций, связанных с расследованием атаки.
Кроме того, хакеры утверждают, что располагают также личной информацией клиентов и сумели сдампить SAP Backoffice от WD.
В свою очередь, Western Digital отказалась от каких-либо комментариев и заявлений.
При таком подходе WD может успеть и пошифроваться напоследок.
Также известная как BlackCat банда вымогателей опубликовала скрины из внутреннего контура компании, которые указывают на то, что хакеры сохранили доступ к системам WD даже после локализации взлома и следили за всем процессом реагирования на инцидент, который произошел 26 марта.
Тогда вымогателям удалось пробить периметр WD и выкрасть внушительные 10 ТБ различной конфиденциальной информации.
При этом системы остались в работоспособном состоянии - шифрования не было реализовано.
В ответ компания на две недели отключила все свои облачные сервисы, в том числе My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS 5, SanDisk ibi и SanDisk Ixpand Wireless Charger, а также связанные мобильные, настольные и веб-приложения.
Последняя утечка предшествовало предупреждение в адрес Western Digital. 17 апреля ALPHV угрожали новыми разоблачениями и более серьезными последствиями, если выкуп не будет выплачен.
Вероятно, не договорившись по деньгам, ALPHV обнародовали двадцать девять скриншотов электронных писем, документов и видеоконференций, связанных с расследованием атаки.
Кроме того, хакеры утверждают, что располагают также личной информацией клиентов и сумели сдампить SAP Backoffice от WD.
В свою очередь, Western Digital отказалась от каких-либо комментариев и заявлений.
При таком подходе WD может успеть и пошифроваться напоследок.
В выходные DumpForums заявили, что взломали BI.ZONE и выложили SQL-дампы нескольких бизоновских сайтов.
Вчера Бизоны дали подтверждение взлома, в котором сообщили, что был взломан сервер с бэкапами на внешнем хостинге.
Что можем сказать по этому поводу. Во-первых, Бизонам лучей добра и поддержки. Shit, как говорится, happens.
А во-вторых у нас жесточайшее дежавю. Опять взлом ресурсов на внешнем хостинге, да и способ первичной компрометации, бьемся об заклад, так и останется неизвестным...
Вчера Бизоны дали подтверждение взлома, в котором сообщили, что был взломан сервер с бэкапами на внешнем хостинге.
Что можем сказать по этому поводу. Во-первых, Бизонам лучей добра и поддержки. Shit, как говорится, happens.
А во-вторых у нас жесточайшее дежавю. Опять взлом ресурсов на внешнем хостинге, да и способ первичной компрометации, бьемся об заклад, так и останется неизвестным...
Telegram
BI.ZONE
В ходе расследования мы подтвердили, что злоумышленники получили доступ к резервным копиям сервера с лендинговыми страницами, созданным внешним сервисом бэкапирования. Сервер размещается на внешнем хостинге и не связан с нашей инфраструктурой или инфраструктурой…
В ответ на предыдущий пост про Бизонов к нам на почту аноним прислал забавный стишок (в письме так и было написано - у мене внутре неонка к Вашему предыдущему посту). Что он хотел им сказать - мы не знаем. Решили с подписчиками поделиться, может быть кто-нибудь поймет.
Вот город, совсем как у Гоголя, N.
А это компания,
Которая IT своим считает признанием
И модным ужасно гордится названием,
В городе, совсем как у Гоголя, N.
А это ПО для работы с web-сервером,
И с неплохим функционалом, наверное,
Написанное той самой компанией,
Которая IT своим считает признанием
И модным ужасно гордится названием,
В городе, совсем как у Гоголя, N.
А это система защиты дырявая,
Которая взлом превратила в халяву
И хакер чубатый смог тихо и гладко
Внедриться и в коде оставить закладку,
В том самом ПО для работы с web-сервером,
И с неплохим функционалом, наверное,
Написанном той самой компанией,
Которая IT своим считает признанием
И модным ужасно гордится названием,
В городе, совсем как у Гоголя, N.
А вот и владельцы слитых баз данных,
Которые с криком "Что за ерунда, нах!"
Не могут в утечках своих разобраться.
Они же не в курсе, если признаться,
Что это система защиты дырявая,
Которая взлом превратила в халяву
И хакер чубатый смог тихо и гладко
Внедриться и в коде оставить закладку,
В том самом ПО для работы с web-сервером,
И с неплохим функционалом, наверное,
Написанном той самой компанией,
Которая IT своим считает признанием
И модным ужасно гордится названием,
В городе, совсем как у Гоголя, N.
Вот город, совсем как у Гоголя, N.
А это компания,
Которая IT своим считает признанием
И модным ужасно гордится названием,
В городе, совсем как у Гоголя, N.
А это ПО для работы с web-сервером,
И с неплохим функционалом, наверное,
Написанное той самой компанией,
Которая IT своим считает признанием
И модным ужасно гордится названием,
В городе, совсем как у Гоголя, N.
А это система защиты дырявая,
Которая взлом превратила в халяву
И хакер чубатый смог тихо и гладко
Внедриться и в коде оставить закладку,
В том самом ПО для работы с web-сервером,
И с неплохим функционалом, наверное,
Написанном той самой компанией,
Которая IT своим считает признанием
И модным ужасно гордится названием,
В городе, совсем как у Гоголя, N.
А вот и владельцы слитых баз данных,
Которые с криком "Что за ерунда, нах!"
Не могут в утечках своих разобраться.
Они же не в курсе, если признаться,
Что это система защиты дырявая,
Которая взлом превратила в халяву
И хакер чубатый смог тихо и гладко
Внедриться и в коде оставить закладку,
В том самом ПО для работы с web-сервером,
И с неплохим функционалом, наверное,
Написанном той самой компанией,
Которая IT своим считает признанием
И модным ужасно гордится названием,
В городе, совсем как у Гоголя, N.
Telegram
SecAtor
В выходные DumpForums заявили, что взломали BI.ZONE и выложили SQL-дампы нескольких бизоновских сайтов.
Вчера Бизоны дали подтверждение взлома, в котором сообщили, что был взломан сервер с бэкапами на внешнем хостинге.
Что можем сказать по этому поводу.…
Вчера Бизоны дали подтверждение взлома, в котором сообщили, что был взломан сервер с бэкапами на внешнем хостинге.
Что можем сказать по этому поводу.…
Apple решила озаботиться промежуточными улучшениями безопасности и анонсировала Rapid Security Response, но что-то пошло не так.
Исправления RSR представляют собой небольшие обновления для платформ iPhone, iPad и Mac, устраняющие проблемы безопасности между основными обновлениями ПО.
При этом некоторые из этих внеплановых обновлений безопасности также могут использоваться для оперативного устранения уязвимостей, активно используемых или имеющих реальный потенциал эксплуатации в реальных атаках.
И в качестве первого RSR для устройств Apple выпустила iOS 16.4.1 (a) и macOS 13.3.1 (a).
Но уже на старте, согласно многочисленным сообщениям [1, 2, 3, 4] возникли сложности с обновлением RSR для iPhone.
Патч на некоторых устройствах попросту не встает, уведомляя владельца об ошибке «невозможно проверить ответ безопасности».
Как полагают исследователи, вероятно, проблемы возникают из-за ошибки на стороне сервера.
Похоже, что с RSR разработчики решили не утруждаться не только по части софта, но и по части документации.
На традиционной странице обновлений Apple нет сведений о новых исправлениях RSR.
Apple в принципе не уведомила, где они будут делиться этой информацией.
Кстати, очень практично - и объясняться по поводу выпуска дефектного RSR не придется.
Исправления RSR представляют собой небольшие обновления для платформ iPhone, iPad и Mac, устраняющие проблемы безопасности между основными обновлениями ПО.
При этом некоторые из этих внеплановых обновлений безопасности также могут использоваться для оперативного устранения уязвимостей, активно используемых или имеющих реальный потенциал эксплуатации в реальных атаках.
И в качестве первого RSR для устройств Apple выпустила iOS 16.4.1 (a) и macOS 13.3.1 (a).
Но уже на старте, согласно многочисленным сообщениям [1, 2, 3, 4] возникли сложности с обновлением RSR для iPhone.
Патч на некоторых устройствах попросту не встает, уведомляя владельца об ошибке «невозможно проверить ответ безопасности».
Как полагают исследователи, вероятно, проблемы возникают из-за ошибки на стороне сервера.
Похоже, что с RSR разработчики решили не утруждаться не только по части софта, но и по части документации.
На традиционной странице обновлений Apple нет сведений о новых исправлениях RSR.
Apple в принципе не уведомила, где они будут делиться этой информацией.
Кстати, очень практично - и объясняться по поводу выпуска дефектного RSR не придется.
Apple Support
About Rapid Security Responses for iOS, iPadOS, and macOS
Rapid Security Responses deliver important security improvements between software updates.
Ресерчеры из французской технологической компании Thales впервые в истории продемонстрировали успешный взлом испытательного орбитального наноспутника Европейского космического агентства (ЕКА).
Специально приглашенной группе из четырех специалистов Thales удалось обнаружить уязвимости, которые потенциально могут позволить злоумышленникам вмешаться в работу спутника, используя при этом стандартные права доступа.
Демонстрация атаки проводилась на тестовом стенде, созданном ЕКА в рамках конференции CYSAT, одного из крупнейших в мире мероприятий по кибербезопасности в космической отрасли, которое состоялось в Париже на прошлой неделе.
Главная цель теста - моделирование и оценка киберугроз, разработка мер обнаружения и противодействия атакам.
Команда Thales смогла получить полный контроль над спутником, обеспечив доступ к бортовой системе, которая используется для управления системой глобального позиционирования, ориентации и бортовой камерой.
В совокупности это привело к возможности компрометации данных, отправляемых на наземную инфраструктуру, в частности, путем модификации изображений или маскировки определенных географических областей на спутниковых снимках, избегая при этом обнаружения ЕКА.
По данным CYSAT, ситуация еще более осложняется огромным действующим флотом устаревающих спутников, которые уязвимы для хакеров и обладают огромными возможностями кибератак.
Ведь спутники исторически разрабатывались как надежные, а не безопасные.
Теперь получается, что широко разрекламированная в кинематографе опция дайте мне картинку со спутника доступна не только спецслужбам.
Специально приглашенной группе из четырех специалистов Thales удалось обнаружить уязвимости, которые потенциально могут позволить злоумышленникам вмешаться в работу спутника, используя при этом стандартные права доступа.
Демонстрация атаки проводилась на тестовом стенде, созданном ЕКА в рамках конференции CYSAT, одного из крупнейших в мире мероприятий по кибербезопасности в космической отрасли, которое состоялось в Париже на прошлой неделе.
Главная цель теста - моделирование и оценка киберугроз, разработка мер обнаружения и противодействия атакам.
Команда Thales смогла получить полный контроль над спутником, обеспечив доступ к бортовой системе, которая используется для управления системой глобального позиционирования, ориентации и бортовой камерой.
В совокупности это привело к возможности компрометации данных, отправляемых на наземную инфраструктуру, в частности, путем модификации изображений или маскировки определенных географических областей на спутниковых снимках, избегая при этом обнаружения ЕКА.
По данным CYSAT, ситуация еще более осложняется огромным действующим флотом устаревающих спутников, которые уязвимы для хакеров и обладают огромными возможностями кибератак.
Ведь спутники исторически разрабатывались как надежные, а не безопасные.
Теперь получается, что широко разрекламированная в кинематографе опция дайте мне картинку со спутника доступна не только спецслужбам.
BusinessWire
Thales Seizes Control of ESA Demonstration Satellite in First Cybersecurity Exercise of Its Kind
The European Space Agency (ESA) challenged cybersecurity experts in the space industry ecosystem to disrupt the operation of the agency's OPS-SAT demo
Исследователи FortiGard Labs из компании Fortinet предупреждают о всплеске атак на незащищенные устройства TBK DVR с использованием критической уязвимости обхода аутентификации пятилетней давности и общедоступного PoC-эксплойта.
Как правило, видеорегистраторы TBK Vision являются неотъемлемой частью систем наблюдения, решения компании активно используются в банках, госорганах, на объектах розничной торговли и т.д.
При этом зачастую располагаются во внутренних сетях, что делает их идеальной точкой для первоначального доступа к корпоративным сетям и кражи данных.
Имеющая оценку CVSS v3: 9,8 CVE-2018-9995 позволяет злоумышленникам обходить аутентификацию на устройстве и получать доступ к уязвимой сети.
Она затрагивает TBK DVR4104 и TBK DVR4216, в том числе продаваемых под брендами Novo, CeNova, QSee, Pulnix, XVR 5 в 1, Securus, Night OWL, DVR Login, HVR Login и MDVR.
Эксплойт реализован в виде вредоносного файла cookie HTTP, на который уязвимые устройства TBK DVR отвечают учетными данными администратора в виде данных JSON.
Согласно Fortinet, по состоянию на апрель 2023 года совершено более 50 000 попыток взлома устройств TBK DVR с использованием уязвимости.
Помимо нее Fortinet фиксирует попытки эксплуатации другой RCE-уязвимости, которая отслеживается как CVE-2016-20016 (CVSS v3: 9.8) и затрагивает MVPower TV-7104HE и TV-7108HE.
Ошибка также позволяет злоумышленникам выполнять команды без проверки подлинности, используя вредоносные HTTP-запросы.
Она активно эксплуатируется с 2017 года, но в последнее время ресерчеры наблюдают признаки роста вредоносной активности.
Учитывая отсутствие у поставщиков исправлений для упомянутых проблем, пользователям уязвимых систем наблюдения следует модернизировать их новыми устройствами или изолировать их от глобальной сети.
Как правило, видеорегистраторы TBK Vision являются неотъемлемой частью систем наблюдения, решения компании активно используются в банках, госорганах, на объектах розничной торговли и т.д.
При этом зачастую располагаются во внутренних сетях, что делает их идеальной точкой для первоначального доступа к корпоративным сетям и кражи данных.
Имеющая оценку CVSS v3: 9,8 CVE-2018-9995 позволяет злоумышленникам обходить аутентификацию на устройстве и получать доступ к уязвимой сети.
Она затрагивает TBK DVR4104 и TBK DVR4216, в том числе продаваемых под брендами Novo, CeNova, QSee, Pulnix, XVR 5 в 1, Securus, Night OWL, DVR Login, HVR Login и MDVR.
Эксплойт реализован в виде вредоносного файла cookie HTTP, на который уязвимые устройства TBK DVR отвечают учетными данными администратора в виде данных JSON.
Согласно Fortinet, по состоянию на апрель 2023 года совершено более 50 000 попыток взлома устройств TBK DVR с использованием уязвимости.
Помимо нее Fortinet фиксирует попытки эксплуатации другой RCE-уязвимости, которая отслеживается как CVE-2016-20016 (CVSS v3: 9.8) и затрагивает MVPower TV-7104HE и TV-7108HE.
Ошибка также позволяет злоумышленникам выполнять команды без проверки подлинности, используя вредоносные HTTP-запросы.
Она активно эксплуатируется с 2017 года, но в последнее время ресерчеры наблюдают признаки роста вредоносной активности.
Учитывая отсутствие у поставщиков исправлений для упомянутых проблем, пользователям уязвимых систем наблюдения следует модернизировать их новыми устройствами или изолировать их от глобальной сети.
FortiGuard Labs
TBK DVR Authentication Bypass Attack | Outbreak Alert | FortiGuard Labs
FortiGuard Labs observed "Critical" level of attack attempts to exploit an Authentication Bypass Vulnerability in TBK DVR devices (4104/4216) with ...
В ближайшее время от судебных исков по кейсу нарушения политики конфиденциальности придется отбиваться Qualcomm.
Многонациональную корпорацию, чьи чипы, используются примерно в трети всех устройств Android, включая Samsung и Apple, уличили в тайном соборе личных пользовательских данных.
Обвинения вытекают из исследования Nitrokey, в котором утверждается, что оборудование Qualcomm загружало личные данные пользователей, включая IP-адреса, в облако компании без согласия владельцев.
Поскольку обмен данными с Qualcomm не упоминается в условиях предоставления услуг Sony (поставщика тестового устройства), Android или /e/OS также, то это вполне может нарушать GDPR.
Автор отчета утверждает, что передаваемые пакеты данных не шифруются с использованием HTTPS, SSL или TLS, что делает их уязвимыми для атак.
По убеждению специалиста, собирая эти данные и создавая историю записей, используя уникальный идентификатор телефона и серийный номер, что позволяет легко шпионить за пользователями.
Пока в компании ответили, что сбор данных соответствует политике конфиденциальности Qualcomm XTRA и услуга связана с вспомогательными функциями GPS (A-GPS), помогая предоставлять мобильному устройству более точные спутниковые координаты.
Если вкратце, то в политике конфиденциальности XTRA Service говорится, что с помощью программных приложений компания может собирать данные о:
- местоположении,
- уникальных идентификаторах (такие как серийный номер набора микросхем или международный идентификатор абонента),
- об установленных или запущенных на устройстве приложениях,
- конфигурации, модели и операторе беспроводной связи,
- операционной системе и ее версии,
- производительности устройства.
А про персональные данные в компании заявили, что они могут получать их из сторонних источников, например брокеров данных, социальных сетей и других партнеров или общедоступных источников.
При этом в отчете специалистов отдельно отмечено, что в политике изначально не указывалось, что собираются IP-адреса, но после выхода исследования компания внезапно дополнила ее, включив и IP-адреса.
Вот так одним росчерком пера можно сгладить углы и собирать, что потребуется. Но такая позиция вряд ли устроит представителей закона, особенно некоторых звездно-полосатых штатов. Как минимум, если собираешь - делись.
Но будем посмотреть.
Многонациональную корпорацию, чьи чипы, используются примерно в трети всех устройств Android, включая Samsung и Apple, уличили в тайном соборе личных пользовательских данных.
Обвинения вытекают из исследования Nitrokey, в котором утверждается, что оборудование Qualcomm загружало личные данные пользователей, включая IP-адреса, в облако компании без согласия владельцев.
Поскольку обмен данными с Qualcomm не упоминается в условиях предоставления услуг Sony (поставщика тестового устройства), Android или /e/OS также, то это вполне может нарушать GDPR.
Автор отчета утверждает, что передаваемые пакеты данных не шифруются с использованием HTTPS, SSL или TLS, что делает их уязвимыми для атак.
По убеждению специалиста, собирая эти данные и создавая историю записей, используя уникальный идентификатор телефона и серийный номер, что позволяет легко шпионить за пользователями.
Пока в компании ответили, что сбор данных соответствует политике конфиденциальности Qualcomm XTRA и услуга связана с вспомогательными функциями GPS (A-GPS), помогая предоставлять мобильному устройству более точные спутниковые координаты.
Если вкратце, то в политике конфиденциальности XTRA Service говорится, что с помощью программных приложений компания может собирать данные о:
- местоположении,
- уникальных идентификаторах (такие как серийный номер набора микросхем или международный идентификатор абонента),
- об установленных или запущенных на устройстве приложениях,
- конфигурации, модели и операторе беспроводной связи,
- операционной системе и ее версии,
- производительности устройства.
А про персональные данные в компании заявили, что они могут получать их из сторонних источников, например брокеров данных, социальных сетей и других партнеров или общедоступных источников.
При этом в отчете специалистов отдельно отмечено, что в политике изначально не указывалось, что собираются IP-адреса, но после выхода исследования компания внезапно дополнила ее, включив и IP-адреса.
Вот так одним росчерком пера можно сгладить углы и собирать, что потребуется. Но такая позиция вряд ли устроит представителей закона, особенно некоторых звездно-полосатых штатов. Как минимум, если собираешь - делись.
Но будем посмотреть.
Nitrokey
Smartphones With Popular Qualcomm Chip Secretly Share Private Information With US Chip-Maker
История с SolarWinds заиграла новыми красками, после появления закулисных подробностей.
На самом деле Министерство юстиции США столкнулось с атакой на цепочку поставок SolarWinds еще в мае 2020 года после запуска пробной версии программного пакета Orion, за шесть месяцев до того, как об инциденте стало известно широкой общественности в декабре того же года.
Привлеченные Минюстом к расследованию вторжения Mandiant и Microsoft не смогли тогда дать объективную оценку и адекватно среагировать на инцидент, по сути проморгав атаку на цепочку поставок, охватывающую около 18 000 клиентов компании.
Даже сама SolarWinds после обращения к ней за помощью в расследовании, не смогла найти уязвимости в своем коде, после его спустя месяц Минюст приобрел систему Orion, убедившись в ее безопасности.
Затем с аналогичным инцидентом в этот период также столкнулась Volexity, которая расследовала утечку данных в американском аналитическом центре. Позже в сентябре Palo Alto Networks также обнаружила аналогичную аномальную активность, связанную с Orion.
В обоих случаях привлекалась SolarWinds, которая снова не нашла ничего подозрительного.
В результате изощренной атаки хакеры проникли и находились в сетях как минимум 9 правительственных органов и более 100 ведущих технологических компаний от четырех до девяти месяцев со всеми вытекающими уже известными последствиями.
На фоне такой цепочки расследований, сопутствовавшей успешной атаке на цепочку поставок, по нашему мнению - все обвинения в причастности к инциденту российских хакеров выглядят еще более нелепо и представляют не более, чем политические манипуляции.
Во всяком случае до сих пор вразумительных доказательств так никто и не привел.
На самом деле Министерство юстиции США столкнулось с атакой на цепочку поставок SolarWinds еще в мае 2020 года после запуска пробной версии программного пакета Orion, за шесть месяцев до того, как об инциденте стало известно широкой общественности в декабре того же года.
Привлеченные Минюстом к расследованию вторжения Mandiant и Microsoft не смогли тогда дать объективную оценку и адекватно среагировать на инцидент, по сути проморгав атаку на цепочку поставок, охватывающую около 18 000 клиентов компании.
Даже сама SolarWinds после обращения к ней за помощью в расследовании, не смогла найти уязвимости в своем коде, после его спустя месяц Минюст приобрел систему Orion, убедившись в ее безопасности.
Затем с аналогичным инцидентом в этот период также столкнулась Volexity, которая расследовала утечку данных в американском аналитическом центре. Позже в сентябре Palo Alto Networks также обнаружила аналогичную аномальную активность, связанную с Orion.
В обоих случаях привлекалась SolarWinds, которая снова не нашла ничего подозрительного.
В результате изощренной атаки хакеры проникли и находились в сетях как минимум 9 правительственных органов и более 100 ведущих технологических компаний от четырех до девяти месяцев со всеми вытекающими уже известными последствиями.
На фоне такой цепочки расследований, сопутствовавшей успешной атаке на цепочку поставок, по нашему мнению - все обвинения в причастности к инциденту российских хакеров выглядят еще более нелепо и представляют не более, чем политические манипуляции.
Во всяком случае до сих пор вразумительных доказательств так никто и не привел.
WIRED
DOJ Detected SolarWinds Breach Months Before Public Disclosure
In May 2020, the US Department of Justice noticed Russian hackers in its network but did not realize the significance of what it had found for six months.
Важнейший компонент инфраструктуры маршрутизации в Интернете протокол BGP, отвечающий за обмен информацией между автономными системами (AS) и обеспечение доставки пакетов подвержен ряду уязвимостей, которые могут привести к массовым сбоям и кибератакам.
Исследователи Forescout обнаружили слабые места в программной реализации протокола, которые могут быть использованы для вызова состояния DoS на уязвимых узлах BGP.
Три уязвимости затрагивают версию 8.4 FRRouting для платформ Linux и Unix и используются крупными поставщиками, такими как NVIDIA Cumulus, DENT и SONiC, что создает риски в том числе и для цепочки поставок.
Речь идет об ошибках CVE-2022-40302, CVE-2022-40318 и CVE-2022-43681 (все с оценкой CVSS: 6,5), связанных с возможностью чтения за пределами границ при обработке специально сформированного сообщения BGP OPEN.
Раскрытие недостатков произошло в результате анализа семи различных реализаций BGP, выполненных Forescout Vedere: FRRouting, BIRD, OpenBGPD, Mikrotik RouterOS, Juniper JunOS, Cisco IOS и Arista EOS.
Как отмечают специалисты в своем отчете, выявленные недостатки можно использовать для вызова сбоя в работе BGP-пиров и сброса всех сессий.
Forescout также представила инструмент BGP Fuzzer с открытым исходным кодом на базе Python, который позволяет организациям тестировать безопасность пакетов, используемых внутри компании, а также находить новые недостатки в реализациях BGP.
Исследователи Forescout обнаружили слабые места в программной реализации протокола, которые могут быть использованы для вызова состояния DoS на уязвимых узлах BGP.
Три уязвимости затрагивают версию 8.4 FRRouting для платформ Linux и Unix и используются крупными поставщиками, такими как NVIDIA Cumulus, DENT и SONiC, что создает риски в том числе и для цепочки поставок.
Речь идет об ошибках CVE-2022-40302, CVE-2022-40318 и CVE-2022-43681 (все с оценкой CVSS: 6,5), связанных с возможностью чтения за пределами границ при обработке специально сформированного сообщения BGP OPEN.
Раскрытие недостатков произошло в результате анализа семи различных реализаций BGP, выполненных Forescout Vedere: FRRouting, BIRD, OpenBGPD, Mikrotik RouterOS, Juniper JunOS, Cisco IOS и Arista EOS.
Как отмечают специалисты в своем отчете, выявленные недостатки можно использовать для вызова сбоя в работе BGP-пиров и сброса всех сессий.
Forescout также представила инструмент BGP Fuzzer с открытым исходным кодом на базе Python, который позволяет организациям тестировать безопасность пакетов, используемых внутри компании, а также находить новые недостатки в реализациях BGP.
Forescout
3 New BGP Message Parsing Vulnerabilties in FRRouting Software - Forescout
Security of the ubiquitous BGP protocol has long been studied, but analysis of FRRouting and other popular BGP implementation finds 3 new vulnerabilities.
И снова лучшие инфосек-практики на канале SecAtor.
По данным Google, после введения возрастных ограничений по новому закону на интернет-трафик PornHub в американском штате Юте стало происходить что-то очень странное 😂
По данным Google, после введения возрастных ограничений по новому закону на интернет-трафик PornHub в американском штате Юте стало происходить что-то очень странное 😂
Forwarded from Social Engineering
Mimikatz сделал для повышения безопасности больше, чем любой другой известный инструмент.
🖖🏻 Приветствую тебя user_name.
• Если говорить простыми словами, то Mimikatz — это инструмент, позволяющий извлечь данные аутентификации залогинившегося в системе пользователя в открытом виде.• Я уже много писал и делился полезными ссылками для изучения данного инструмента. Весь материал можно найти по хэштегу #Mimikatz. Сегодня добавим к этому списку еще один полезный ресурс, где представлены 64 способа запуска нашего инструмента. Материал будет полезен пентестерам и этичным хакерам:
• https://redteamrecipe.com/64-Methods-For-Execute-Mimikatz/
• В дополнение: самое объемное и полноценное руководство по использованию Mimikatz в сети на сегодняшний день: https://adsecurity.org
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #Mimikatz
Please open Telegram to view this post
VIEW IN TELEGRAM
Royal зарансомили девятый по величине город США с населением около 2,6 млн человек.
В результате атаки с использованием ransomware в минувший понедельник легла связь и отключились ИТ-системы в Далласе (штат Техас).
В первую очередь, инцидент затронул муниципальные объекты и службы, сотрудникам пришлось отказаться от компьютеров и перейти на ручки и журналы.
Утром в среду городские власти Далласа подтвердили, что причиной сбоя стала ransomware-атака.
Ряд серверов был скомпрометирован, что затронуло несколько функциональных областей, включая и системы Департамента полиции и единой диспетчерской службы DFR.
Городские суды также отменили все судедные заседания, начиная со 2 мая, поскольку их ИТ-системы тоже не работают.
IT-службы города вместе с поставщиками активно работают над локализацией последствий инцилента и восстановлением сервисов городских услуг жителям.
По словам аналитика Бретта Кэллоу из Emsisoft, в последнее время атаки вымогателей на местные органы власти стали широко распространены и происходят чаще, чем раз в неделю.
И если большинство инцидентов связано с небольшими муниципалитетами, то Даллас - является крупнейшим к настоящему моменту пострадавшим городом.
О причастности Royal к инциденту стало известно после того, как вчера утром принтеры в сети города Даллас массово начали печатать записки с требованием выкупа.
Если в начале своего становления в 2022 году последователи синдиката Conti использовали чужие шифраторы в ходе атак (такие как ALPHV/BlackCat), то концу 2022 года банда обзавелась собственным шифровальщиком Zeon.
В купе с умелым поиском уязвимостей во внешнем контуре, передовым фишингом с обратным вызовом и грамотной социнженерией Royal быстро стала одной из самых активных групп.
Как и другие банды вымогателей, Royal крадет данные из сетей перед шифрованием. В настоящее время пока не известно, были ли украдены данные из систем Далласа во время атаки. Но по всей видимости, были.
Будем посмотреть.
В результате атаки с использованием ransomware в минувший понедельник легла связь и отключились ИТ-системы в Далласе (штат Техас).
В первую очередь, инцидент затронул муниципальные объекты и службы, сотрудникам пришлось отказаться от компьютеров и перейти на ручки и журналы.
Утром в среду городские власти Далласа подтвердили, что причиной сбоя стала ransomware-атака.
Ряд серверов был скомпрометирован, что затронуло несколько функциональных областей, включая и системы Департамента полиции и единой диспетчерской службы DFR.
Городские суды также отменили все судедные заседания, начиная со 2 мая, поскольку их ИТ-системы тоже не работают.
IT-службы города вместе с поставщиками активно работают над локализацией последствий инцилента и восстановлением сервисов городских услуг жителям.
По словам аналитика Бретта Кэллоу из Emsisoft, в последнее время атаки вымогателей на местные органы власти стали широко распространены и происходят чаще, чем раз в неделю.
И если большинство инцидентов связано с небольшими муниципалитетами, то Даллас - является крупнейшим к настоящему моменту пострадавшим городом.
О причастности Royal к инциденту стало известно после того, как вчера утром принтеры в сети города Даллас массово начали печатать записки с требованием выкупа.
Если в начале своего становления в 2022 году последователи синдиката Conti использовали чужие шифраторы в ходе атак (такие как ALPHV/BlackCat), то концу 2022 года банда обзавелась собственным шифровальщиком Zeon.
В купе с умелым поиском уязвимостей во внешнем контуре, передовым фишингом с обратным вызовом и грамотной социнженерией Royal быстро стала одной из самых активных групп.
Как и другие банды вымогателей, Royal крадет данные из сетей перед шифрованием. В настоящее время пока не известно, были ли украдены данные из систем Далласа во время атаки. Но по всей видимости, были.
Будем посмотреть.
CBS News
Ransomware attack hampering Dallas police operations
The outage is impacting the computer system that directs police to emergencies and other calls.
Chrome 113 выпущен с исправлением 15 уязвимостей безопасности в стабильном канале и доступен в версиях 113.0.5672.63 для Linux и macOS, а также версии 113.0.5672.63/.64 для Windows.
Тем не менее, даже если ни один из недостатков, о которых сообщалось извне, не был серьезным, интернет-гигант выплатил исследователям более 30 000 долларов в качестве вознаграждения за обнаружение ошибок, говорится в бюллетене.
Самая крупная награда досталась за ошибку реализации средней степени серьезности CVE-2023-2459 в Prompts. Исследователь Ронг Цзянь заработал за нее 7500 долларов.
В этом выпуске браузера также были устранены четыре других аналогичных ошибки средней степени серьезности в компонентах «подсказки», «режим экрана», «картинка в картинке» и CORS, а также две другие, связанные с недостаточной проверкой входных данных в расширениях и использованием после освобождения во входных данных ОС.
Новая версия появилась спустя две недели после того, как Google устранила две 0-day в популярном браузере и устраняет недостатки лишь средней и низкой степени серьезности, несмотря на основное изменение версии.
Но несмотря на это, во многом благодаря исследователям из Google ChromeOS, появились первые в истории обновления безопасности для продуктов Apple - Beats и AirPods с исправлением уязвимости доступа к наушникам через Bluetooth-атаку.
CVE-2023-27964 была обнаружена исследоввателями Юн-хао Чанг и Арчи Пусака и описывается как проблема аутентификации.
В момент, когда наушники ищут запрос на подключение к одному из ранее сопряженных устройств, злоумышленник в диапазоне Bluetooth может подделать предполагаемое исходное устройство и получить доступ к наушникам.
Обновление прошивки для AirPods (5E133), включая модели Pro и Max, было выпущено еще 11 апреля, а обновление для Beats (5B66), в том числе для Powerbeats Pro и Beats Fit Pro, стало доступно 2 мая.
Они доставляются автоматически, когда устройства заряжаются и находятся в зоне действия Bluetooth iPhone, iPad или Mac пользователя.
В довесок к обновлениям Apple и Google объявили о необходимости разработки стандарта для предотвращение неправомерного задействования устройств, использующих Bluetooth для отслеживания местоположения, для негласного наблюдения за пользователями.
Тем не менее, даже если ни один из недостатков, о которых сообщалось извне, не был серьезным, интернет-гигант выплатил исследователям более 30 000 долларов в качестве вознаграждения за обнаружение ошибок, говорится в бюллетене.
Самая крупная награда досталась за ошибку реализации средней степени серьезности CVE-2023-2459 в Prompts. Исследователь Ронг Цзянь заработал за нее 7500 долларов.
В этом выпуске браузера также были устранены четыре других аналогичных ошибки средней степени серьезности в компонентах «подсказки», «режим экрана», «картинка в картинке» и CORS, а также две другие, связанные с недостаточной проверкой входных данных в расширениях и использованием после освобождения во входных данных ОС.
Новая версия появилась спустя две недели после того, как Google устранила две 0-day в популярном браузере и устраняет недостатки лишь средней и низкой степени серьезности, несмотря на основное изменение версии.
Но несмотря на это, во многом благодаря исследователям из Google ChromeOS, появились первые в истории обновления безопасности для продуктов Apple - Beats и AirPods с исправлением уязвимости доступа к наушникам через Bluetooth-атаку.
CVE-2023-27964 была обнаружена исследоввателями Юн-хао Чанг и Арчи Пусака и описывается как проблема аутентификации.
В момент, когда наушники ищут запрос на подключение к одному из ранее сопряженных устройств, злоумышленник в диапазоне Bluetooth может подделать предполагаемое исходное устройство и получить доступ к наушникам.
Обновление прошивки для AirPods (5E133), включая модели Pro и Max, было выпущено еще 11 апреля, а обновление для Beats (5B66), в том числе для Powerbeats Pro и Beats Fit Pro, стало доступно 2 мая.
Они доставляются автоматически, когда устройства заряжаются и находятся в зоне действия Bluetooth iPhone, iPad или Mac пользователя.
В довесок к обновлениям Apple и Google объявили о необходимости разработки стандарта для предотвращение неправомерного задействования устройств, использующих Bluetooth для отслеживания местоположения, для негласного наблюдения за пользователями.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 113 to the stable channel for Windows, Mac and Linux. This will roll out ov...
Исследователи Flashpoint раскрыли серьезные уязвимости в системе управления сетью Netgear после того, поставщик положил болт на представленные ими отчеты по недостаткам, для которых так и не выпущены исправления.
Обнаруженные проблемы в NMS300 ProSAFE позволяют злоумышленникам получать учетные данные в открытом виде и повышать привилегии.
Решение Netgear реализует для пользователей веб-интерфейс управления сетевыми устройствами, используя TCP-порт 8080 для связи и поддерживая учетные записи администратора и роли оператора (наблюдателя) с более низкими привилегиями.
Flashpoint обнаружил, что при доступе к функции управления пользователями Netgear NMS300 отправляет два запроса: один для запуска страницы, а другой для получения информации о пользователе для заполнения страницы.
Первая уязвимость возникает в результате того, что при втором запросе в фоновом режиме выполняется SQL-запрос для получения информации из базы данных, а ответ включает все хранящиеся в ней учетные записи пользователей, в том числе и пароли в открытом виде для каждой отдельной учетной записи.
Несмотря на то, что эта информация не отображается на странице для пользователя, ее можно получить, просто просмотрев данные JSON в HTTP-ответе.
Вторая проблема, как объясняют исследователи, возникает из-за недостаточной проверки разрешений при доступе к панели управление пользователями пользователем с учетной записью наблюдателя
Злоумышленник может обойти ограничения, отправив сформированные запросы на изменение пароля учетной записи администратора, а затем войти в систему, используя измененные учетные данные, получив административный доступ.
Кроме того, как выяснили в Flashpoint, система управления сетью Netgear ProSAFE использует несколько сторонних компонентов, которые уже содержат известные уязвимости, включая более старые версии MySQL Server, Apache Log4J и Apache Tomcat.
Несмотря на все попытки Flashpoint донести до Netgear результаты своей работы, поставщик не смог выстроить диалог и фактически устранился от обсуждения проблем, которые теперь автоматически перекладываются на плечи ее клиентов.
Flashpoint рекомендуют им подумать об отказе от использования этого продукта в производственной среде или в качестве альтернативы, ограничении любого ненадежного доступа к системам, на которых он работает.
Обнаруженные проблемы в NMS300 ProSAFE позволяют злоумышленникам получать учетные данные в открытом виде и повышать привилегии.
Решение Netgear реализует для пользователей веб-интерфейс управления сетевыми устройствами, используя TCP-порт 8080 для связи и поддерживая учетные записи администратора и роли оператора (наблюдателя) с более низкими привилегиями.
Flashpoint обнаружил, что при доступе к функции управления пользователями Netgear NMS300 отправляет два запроса: один для запуска страницы, а другой для получения информации о пользователе для заполнения страницы.
Первая уязвимость возникает в результате того, что при втором запросе в фоновом режиме выполняется SQL-запрос для получения информации из базы данных, а ответ включает все хранящиеся в ней учетные записи пользователей, в том числе и пароли в открытом виде для каждой отдельной учетной записи.
Несмотря на то, что эта информация не отображается на странице для пользователя, ее можно получить, просто просмотрев данные JSON в HTTP-ответе.
Вторая проблема, как объясняют исследователи, возникает из-за недостаточной проверки разрешений при доступе к панели управление пользователями пользователем с учетной записью наблюдателя
Злоумышленник может обойти ограничения, отправив сформированные запросы на изменение пароля учетной записи администратора, а затем войти в систему, используя измененные учетные данные, получив административный доступ.
Кроме того, как выяснили в Flashpoint, система управления сетью Netgear ProSAFE использует несколько сторонних компонентов, которые уже содержат известные уязвимости, включая более старые версии MySQL Server, Apache Log4J и Apache Tomcat.
Несмотря на все попытки Flashpoint донести до Netgear результаты своей работы, поставщик не смог выстроить диалог и фактически устранился от обсуждения проблем, которые теперь автоматически перекладываются на плечи ее клиентов.
Flashpoint рекомендуют им подумать об отказе от использования этого продукта в производственной среде или в качестве альтернативы, ограничении любого ненадежного доступа к системам, на которых он работает.
Flashpoint
FP-2023-01 - NETGEAR’s ProSAFE® Network Management System NMS300
Flashpoint disclosed a new vulnerability affecting NETGEAR's ProSAFE® Network Management System NMS300.
И у ransomware порой просыпается совесть.
Не так давно под горячую руку вымогателей попала компания в сфере детской психиатрии Brightline, в результате чего произошла утечка данных, затронувшая 783 тыс. пациентов с психическими расстройствами.
Всему виной пресловутая 0-day в защищенной платформе обмена файлами Fortra GoAnywhere MFT, отслеживаемая как CVE-2023-0669, от которой в общем пострадало почти 130 компаний.
В своем уведомлении Brightline подтвердила, что данные были украдены из ее сервиса GoAnywhere MFT, где помимо персональной информации содержались еще и конфиденциальные медицинские сведения.
Ответственность за атаки взяла на себя банда Clop, которая начала использовать эту уязвимость с 18 января 2023 года. Brightline была размещена на портале банды 16 марта 2023 года.
Однако после огласки СМИ о том, что дело касается мало того, что детей, так еще и с понятными проблемами, в сердцах злоумышленников пробудились морально-нравственные порывы.
Данные Brightline были удалены с DLS вымогателей, о чем они публично сообщили и принесли извинения.
Не так давно под горячую руку вымогателей попала компания в сфере детской психиатрии Brightline, в результате чего произошла утечка данных, затронувшая 783 тыс. пациентов с психическими расстройствами.
Всему виной пресловутая 0-day в защищенной платформе обмена файлами Fortra GoAnywhere MFT, отслеживаемая как CVE-2023-0669, от которой в общем пострадало почти 130 компаний.
В своем уведомлении Brightline подтвердила, что данные были украдены из ее сервиса GoAnywhere MFT, где помимо персональной информации содержались еще и конфиденциальные медицинские сведения.
Ответственность за атаки взяла на себя банда Clop, которая начала использовать эту уязвимость с 18 января 2023 года. Brightline была размещена на портале банды 16 марта 2023 года.
Однако после огласки СМИ о том, что дело касается мало того, что детей, так еще и с понятными проблемами, в сердцах злоумышленников пробудились морально-нравственные порывы.
Данные Brightline были удалены с DLS вымогателей, о чем они публично сообщили и принесли извинения.
Cisco обнаружила RCE-уязвимость в веб-интерфейсе управления 2-портовыми телефонными адаптерами Cisco SPA112, для которой исправления не доступны.
Найденная CVE-2023-20126 имеет оценку CVSS 9,8 и обусловлена отсутствием процесса аутентификации в функции обновления прошивки.
Согласно бюллетеню Cisco, злоумышленник может воспользоваться этой уязвимостью, обновив уязвимое устройство до специально созданной версии прошивки.
Успешный эксплойт может позволить злоумышленнику выполнить произвольный код на уязвимом устройстве с полными привилегиями.
Эти модели телефонных адаптеров являются весьма популярными и используются для включения аналоговых телефонов в сети VoIP без модернизации.
По большей части они не подключены к Интернету, поэтому эксплуатация ошибок возможна из локальной сети.
Однако получение к устройствам доступа может помочь злоумышленнику распространиться по сети без обнаружения, поскольку программное обеспечение безопасности обычно не отслеживает эти типы устройств.
Ситуация усугубляется еще и тем, что срок службы Cisco SPA112 вышел и адаптеры больше не поддерживается поставщиком.
Кроме того, Cisco не предоставила никаких других мер защиты от CVE-2023-20126.
Компании не известно о каких-либо случаях активной эксплуатации CVE-2023-20126 в дикой природе, во всяком случае пока. Но после в любое время это может измениться
В любом случае администраторам рекомендуется срочно принять соответствующие меры предосторожности, потому как критические недостатки в популярных устройствах нередко задействуются в атаках, которые приводят к крупномасштабным инцидентам.
Найденная CVE-2023-20126 имеет оценку CVSS 9,8 и обусловлена отсутствием процесса аутентификации в функции обновления прошивки.
Согласно бюллетеню Cisco, злоумышленник может воспользоваться этой уязвимостью, обновив уязвимое устройство до специально созданной версии прошивки.
Успешный эксплойт может позволить злоумышленнику выполнить произвольный код на уязвимом устройстве с полными привилегиями.
Эти модели телефонных адаптеров являются весьма популярными и используются для включения аналоговых телефонов в сети VoIP без модернизации.
По большей части они не подключены к Интернету, поэтому эксплуатация ошибок возможна из локальной сети.
Однако получение к устройствам доступа может помочь злоумышленнику распространиться по сети без обнаружения, поскольку программное обеспечение безопасности обычно не отслеживает эти типы устройств.
Ситуация усугубляется еще и тем, что срок службы Cisco SPA112 вышел и адаптеры больше не поддерживается поставщиком.
Кроме того, Cisco не предоставила никаких других мер защиты от CVE-2023-20126.
Компании не известно о каких-либо случаях активной эксплуатации CVE-2023-20126 в дикой природе, во всяком случае пока. Но после в любое время это может измениться
В любом случае администраторам рекомендуется срочно принять соответствующие меры предосторожности, потому как критические недостатки в популярных устройствах нередко задействуются в атаках, которые приводят к крупномасштабным инцидентам.
Cisco
Cisco Security Advisory: Cisco SPA112 2-Port Phone Adapters Remote Command Execution Vulnerability
A vulnerability in the web-based management interface of Cisco SPA112 2-Port Phone Adapters could allow an unauthenticated, remote attacker to execute arbitrary code on an affected device.
This vulnerability is due to a missing authentication process within…
This vulnerability is due to a missing authentication process within…
Печально известная китайская APT Earth Longzh, вновь появилась на ландшафте угроз после более чем шести месяцев бездействия.
Новая активность связана с кампанией, нацеленной на правительственные, медицинские, технологические и производственные предприятия, базирующиеся в Тайване, Таиланде, Филиппинах и Фиджи.
Группа, которая в прошлом была связана с различными видами кибершпионажа, славится своими кампаниями со сложной тактикой.
Также известная как APT41 была впервые обнаружена в начале 2021 года и использовала различные изощрённые TTP для проникновения в целевые системы.
Злоумышленники ориентированы преимущественно на организации в Азиатско-Тихоокеанском регионе.
Новая кампания, о которой рассказали исследователи из Trend Micro теперь отличается тем, что хакеры стали использовать исполняемые файлы Защитника Windows и уязвимый драйвер для отключения продуктов безопасности с помощью атаки BYOVD.
Также злоумышленники стали использовать новое вредоносное ПО SPHijacker, где применяется новая техника «stack rumbling», посредством которой, через параметры выполнения файла изображения (IFEO) обеспечивается отказ в обслуживании целевых приложений.
Кроме того, злоумышленники используют уязвимые общедоступные приложения в качестве точек входа для развертывания веб-оболочки BEHINDER, а затем используют этот доступ для сброса дополнительных полезных нагрузок, включая новый вариант загрузчика Cobalt Strike под названием CroxLoader.
В ходе анализа субъекта угрозы исследователи обнаружили компонент dwm.exe, который представляет собой новый инструмент повышения привилегий, злоупотребляющий планировщиком в Windows.
Утилита для повышения привилегий основана на PoC с открытым исходным кодом на GitHub.
Вредонос заменяет путь к изображению и информацию командной строки для обхода защиты, а также использует COM-объект для обхода механизма контроля учетных записей Windows, регистрируя полезную нагрузку как запланированную задачу с наивысшими правами.
Последние данные говорят, что группировка ориентирована на организации в Филиппинах, Таиланде, Тайване и Фиджи.
Однако, судя по документам, включенным в образцы исследования, в ближайшее время следующими целевыми странами могут стать Вьетнам и Индонезия.
Новая активность связана с кампанией, нацеленной на правительственные, медицинские, технологические и производственные предприятия, базирующиеся в Тайване, Таиланде, Филиппинах и Фиджи.
Группа, которая в прошлом была связана с различными видами кибершпионажа, славится своими кампаниями со сложной тактикой.
Также известная как APT41 была впервые обнаружена в начале 2021 года и использовала различные изощрённые TTP для проникновения в целевые системы.
Злоумышленники ориентированы преимущественно на организации в Азиатско-Тихоокеанском регионе.
Новая кампания, о которой рассказали исследователи из Trend Micro теперь отличается тем, что хакеры стали использовать исполняемые файлы Защитника Windows и уязвимый драйвер для отключения продуктов безопасности с помощью атаки BYOVD.
Также злоумышленники стали использовать новое вредоносное ПО SPHijacker, где применяется новая техника «stack rumbling», посредством которой, через параметры выполнения файла изображения (IFEO) обеспечивается отказ в обслуживании целевых приложений.
Кроме того, злоумышленники используют уязвимые общедоступные приложения в качестве точек входа для развертывания веб-оболочки BEHINDER, а затем используют этот доступ для сброса дополнительных полезных нагрузок, включая новый вариант загрузчика Cobalt Strike под названием CroxLoader.
В ходе анализа субъекта угрозы исследователи обнаружили компонент dwm.exe, который представляет собой новый инструмент повышения привилегий, злоупотребляющий планировщиком в Windows.
Утилита для повышения привилегий основана на PoC с открытым исходным кодом на GitHub.
Вредонос заменяет путь к изображению и информацию командной строки для обхода защиты, а также использует COM-объект для обхода механизма контроля учетных записей Windows, регистрируя полезную нагрузку как запланированную задачу с наивысшими правами.
Последние данные говорят, что группировка ориентирована на организации в Филиппинах, Таиланде, Тайване и Фиджи.
Однако, судя по документам, включенным в образцы исследования, в ближайшее время следующими целевыми странами могут стать Вьетнам и Индонезия.
Trend Micro
Attack on Security Titans: Earth Longzhi Returns With New Tricks
͏📥 [Вы получили инвайт на закрытую тусовку багхантеров] — такую смску вы можете получить от платформы Standoff 365 Bug Bounty, если являетесь ее активным участником (и находите много уязвимостей).
На прошлой неделе платформа запустила новую движуху — первые priv8 багбаунти-ивенты в России Standoff Hacks. Группа исследователей в закрытом режиме и в экстремально сжатые сроки ломает ранее не исследованный скоуп или уже известный, но с повышенными выплатами.
И уже есть первые результаты: за 5 дней было получено 130 отчетов на 2 программы от 37 багхантеров. Для сравнения: всего с момента запуска платформы (за год) было получено 1650 отчетов.
В таком формате поиска уязвимостей профит есть для всех: багхантеры быстро получают свое вознаграждение, а компании результат, который поможет им укрепить безопасность своих продуктов.
13 мая на ивенте в Москве будут объявлены результаты двухнедельного набега на инфраструктуру компаний, а исследователи разом получат все вознаграждения за найденные уязвимости и классно проведут время (all inclusive) 🤑
Следующий Standoff Hacks пройдет в августе, но уже не в Москве. Прокачивайте свой рейтинг на платформе, чтобы повысить шанс получить инвайт!
На прошлой неделе платформа запустила новую движуху — первые priv8 багбаунти-ивенты в России Standoff Hacks. Группа исследователей в закрытом режиме и в экстремально сжатые сроки ломает ранее не исследованный скоуп или уже известный, но с повышенными выплатами.
И уже есть первые результаты: за 5 дней было получено 130 отчетов на 2 программы от 37 багхантеров. Для сравнения: всего с момента запуска платформы (за год) было получено 1650 отчетов.
В таком формате поиска уязвимостей профит есть для всех: багхантеры быстро получают свое вознаграждение, а компании результат, который поможет им укрепить безопасность своих продуктов.
13 мая на ивенте в Москве будут объявлены результаты двухнедельного набега на инфраструктуру компаний, а исследователи разом получат все вознаграждения за найденные уязвимости и классно проведут время (all inclusive) 🤑
Следующий Standoff Hacks пройдет в августе, но уже не в Москве. Прокачивайте свой рейтинг на платформе, чтобы повысить шанс получить инвайт!
Google в новых майских обновлениях безопасности для Android исправила более 40 уязвимостей, включая проблему ядра, используемую в качестве 0-day поставщиками spyware.
В целом патч содержит исправления уязвимостей в компонентах framework, system, kernel, Arm, Imagination Technologies, MediaTek, Unisoc и Qualcomm.
Причем большинству ошибок был присвоен рейтинг высокой степени серьезности. Они могут быть использованы для повышения привилегий, DoS-атак и раскрытия информации.
Исправленная 0-day отслеживается как CVE-2023-0266 и описывается Google как недостаток ядра, который может быть использован для повышения локальных привилегий без взаимодействия с пользователем.
Об эксплуатации уязвимости Google впервые сообщила еще в конце марта, когда компания описала несколько уязвимостей для Android и iOS, которые использовались поставщиками spyware.
Конкретно CVE-2023-0266 задействовалась как часть цепочки эксплойтов, включающей несколько уязвимостей, в том числе влияющих на Chrome и драйвер ядра графического процессора Mali.
Злоумышленники доставляли эксплойты в виде ссылок целевому лицу через SMS.
При этом хакеры нацеливались на браузер Samsung, который основан на Chromium, но не имеет некоторых важных смягчений, присутствующих в Chrome.
Целями в кампании были пользователи в ОАЭ, которым доставлялось полнофункциональное шпионского ПО Android.
Считается, что за атаками стояли клиентом испанского поставщика шпионских ПО Variston, чья деятельность освещалась Google в ноябре 2022 года.
Вообще же, по данным Google, в этом году в атаках использовались три уязвимости Android.
Учитывая все вышесказанное, напомнить в стотысячный раз о важности своевременного обновления ПО не будет лишним.
В целом патч содержит исправления уязвимостей в компонентах framework, system, kernel, Arm, Imagination Technologies, MediaTek, Unisoc и Qualcomm.
Причем большинству ошибок был присвоен рейтинг высокой степени серьезности. Они могут быть использованы для повышения привилегий, DoS-атак и раскрытия информации.
Исправленная 0-day отслеживается как CVE-2023-0266 и описывается Google как недостаток ядра, который может быть использован для повышения локальных привилегий без взаимодействия с пользователем.
Об эксплуатации уязвимости Google впервые сообщила еще в конце марта, когда компания описала несколько уязвимостей для Android и iOS, которые использовались поставщиками spyware.
Конкретно CVE-2023-0266 задействовалась как часть цепочки эксплойтов, включающей несколько уязвимостей, в том числе влияющих на Chrome и драйвер ядра графического процессора Mali.
Злоумышленники доставляли эксплойты в виде ссылок целевому лицу через SMS.
При этом хакеры нацеливались на браузер Samsung, который основан на Chromium, но не имеет некоторых важных смягчений, присутствующих в Chrome.
Целями в кампании были пользователи в ОАЭ, которым доставлялось полнофункциональное шпионского ПО Android.
Считается, что за атаками стояли клиентом испанского поставщика шпионских ПО Variston, чья деятельность освещалась Google в ноябре 2022 года.
Вообще же, по данным Google, в этом году в атаках использовались три уязвимости Android.
Учитывая все вышесказанное, напомнить в стотысячный раз о важности своевременного обновления ПО не будет лишним.