Исследователи CyFirma обнаружили три вредоносных Android-приложения с названиями Device Basic Plus, nSure Chat и iKHfaa VPN, загруженные в официальный Google Play, которые они связали с индийской APT DoNot Team.
CyFirma сообщает, что приложения использовались в кампании, нацеленной на отдельных лиц в Пакистане, и, скорее всего, были установлены после социальной инженерии, проведенной через Telegram или WhatsApp, тогда как в прошлом злоумышленник использовал вредоносные документы Word и фишинг.
Все три приложения были загружены под учетной записью разработчика под названием SecurITY Industry. Они выдавали себя за VPN и мессенджеры, копируя функции легальных приложений, но содержали вредоносный код для кражи данных с зараженных устройств и загрузки дополнительных полезных данных.
Технический анализ показывает, что мотивом атаки является сбор информации с помощью полезной нагрузки стейджера и использование собранной информации для атаки второго этапа с использованием вредоносного ПО с более разрушительными свойствами.
Атрибуция основана на виктимологии и обнаружении ряда артефактов. Так, в ходе декомпиляции приложений встречались строки, зашифрованные с использованием алгоритма AES/CBC/PKCS5PADDING и запутывания кода посредством Proguard.
Кроме того, текстовый файл, сгенерированный приложением для Android, имеет то же имя, что и текстовый файл в ранее использовавшемся Android Malware от DoNot для локального хранения данных.
Все эти методы шифрования ранее использовались APT DoNot в их более раннем образце Android.
Однозначно, что это вредоносное ПО для Android было специально разработано для сбора информации. Получив доступ к спискам контактов и местонахождению жертв, злоумышленник может разработать стратегию будущих атак и использовать вредоносное ПО для Android с расширенными функциями для обнаружения и эксплуатации жертв.
Размещение вредоносное ПО для Android в магазине Google Play - в плане тактики, это шаг вперед.
Этот подход основан на доверии пользователей к магазину Google Play, поскольку люди редко подозревают его в размещении вредоносных приложений, хотя процесс загрузки Android-приложения — достаточно скрупулезный.
Индикаторы компрометации и подробный технический анализ - в отчете исследователей.
CyFirma сообщает, что приложения использовались в кампании, нацеленной на отдельных лиц в Пакистане, и, скорее всего, были установлены после социальной инженерии, проведенной через Telegram или WhatsApp, тогда как в прошлом злоумышленник использовал вредоносные документы Word и фишинг.
Все три приложения были загружены под учетной записью разработчика под названием SecurITY Industry. Они выдавали себя за VPN и мессенджеры, копируя функции легальных приложений, но содержали вредоносный код для кражи данных с зараженных устройств и загрузки дополнительных полезных данных.
Технический анализ показывает, что мотивом атаки является сбор информации с помощью полезной нагрузки стейджера и использование собранной информации для атаки второго этапа с использованием вредоносного ПО с более разрушительными свойствами.
Атрибуция основана на виктимологии и обнаружении ряда артефактов. Так, в ходе декомпиляции приложений встречались строки, зашифрованные с использованием алгоритма AES/CBC/PKCS5PADDING и запутывания кода посредством Proguard.
Кроме того, текстовый файл, сгенерированный приложением для Android, имеет то же имя, что и текстовый файл в ранее использовавшемся Android Malware от DoNot для локального хранения данных.
Все эти методы шифрования ранее использовались APT DoNot в их более раннем образце Android.
Однозначно, что это вредоносное ПО для Android было специально разработано для сбора информации. Получив доступ к спискам контактов и местонахождению жертв, злоумышленник может разработать стратегию будущих атак и использовать вредоносное ПО для Android с расширенными функциями для обнаружения и эксплуатации жертв.
Размещение вредоносное ПО для Android в магазине Google Play - в плане тактики, это шаг вперед.
Этот подход основан на доверии пользователей к магазину Google Play, поскольку люди редко подозревают его в размещении вредоносных приложений, хотя процесс загрузки Android-приложения — достаточно скрупулезный.
Индикаторы компрометации и подробный технический анализ - в отчете исследователей.
CYFIRMA
DoNot APT Elevates its Tactics by Deploying Malicious Android Apps on Google Play Store - CYFIRMA
EXECUTIVE SUMMARY The team at CYFIRMA recently obtained suspicious Android apps hosted on the Google Play Store under the account...
Американские ученые разработали новый метод вычисления геолокации абонента путем манипуляции с SMS. Новаторскую идею обозвали Freaky Leaky SMS, которая основана на времени отправки отчетов о доставке SMS.
Собственно, в чем диковинка: центр обслуживания коротких сообщений SMSC отвечает за обработку отчетов о доставке СМС-сообщений. Его основная функция - информировать отправителя о статусе сообщения (доставлено, отклонено, принято, истек срок и т.п).
Поскольку в этом процессе возникают задержки с маршрутизацией, связанные с распространением по сетевым узлам и обработкой, фиксированный характер мобильных сетей и специфические физические характеристики приводят к предсказуемому времени прохождения стандартных сигнальных маршрутов.
Ученые были бы не ученные если бы не разработали алгоритм машинного обучения, который анализирует временные данные в этих SMS-ответах и позволяет определить местоположение получателя с точностью до 96% для местоположений в разных странах и до 86% для двух локаций в рамках одной страны.
Наверняка уже ревнивые обыватели стали потирать руки в надежде по легкому наблюдать за своей второй половиной, но увы все не так-то просто.
Ведь для того, чтобы воспользоваться этим сценарием придется сначала собрать ряд данных и четко связать между собой отчеты о доставке SMS и известное местоположение своей цели.
Далее условному проказнику нужно отправить несколько сообщений своей жертве замаскировав их, например под рекламные месседжи или вовсе отправляя, так называемые болванки или «бесшумные» сообщения, уведомления о которых не выводятся на устройстве получателя.
Ну, а дальше уже начинается наука и холодный расчёт, так как нужно измерить время доставки SMS в каждом случае и объединить данные с соответствующими сигнатурами местоположения, дабы сгенерировать полный набор данных для оценки.
В своих экспериментах авторы статьи отправляли пакеты из 20 сообщений каждый час в течение трех дней на несколько тестовых устройств в США, ОАЭ и некоторых европейских странах, охватывающих с десяток операторов с различными коммуникационными технологиями.
Как итог, используя свою модель в ряде ситуаций исследователи достигли достаточно высокой точности при оценке местоположения.
Если в целом, то атака включает в себя утомительную подготовительную работу, нетривиальную реализацию, что плохо подходит для обычного обывателя при любых обстоятельствах, так как имеет несколько практических ограничений.
Однако, по мнению специалистов, в руках «Кулибиных» она по-прежнему представляет потенциальную угрозу конфиденциальности для пользователей.
Собственно, в чем диковинка: центр обслуживания коротких сообщений SMSC отвечает за обработку отчетов о доставке СМС-сообщений. Его основная функция - информировать отправителя о статусе сообщения (доставлено, отклонено, принято, истек срок и т.п).
Поскольку в этом процессе возникают задержки с маршрутизацией, связанные с распространением по сетевым узлам и обработкой, фиксированный характер мобильных сетей и специфические физические характеристики приводят к предсказуемому времени прохождения стандартных сигнальных маршрутов.
Ученые были бы не ученные если бы не разработали алгоритм машинного обучения, который анализирует временные данные в этих SMS-ответах и позволяет определить местоположение получателя с точностью до 96% для местоположений в разных странах и до 86% для двух локаций в рамках одной страны.
Наверняка уже ревнивые обыватели стали потирать руки в надежде по легкому наблюдать за своей второй половиной, но увы все не так-то просто.
Ведь для того, чтобы воспользоваться этим сценарием придется сначала собрать ряд данных и четко связать между собой отчеты о доставке SMS и известное местоположение своей цели.
Далее условному проказнику нужно отправить несколько сообщений своей жертве замаскировав их, например под рекламные месседжи или вовсе отправляя, так называемые болванки или «бесшумные» сообщения, уведомления о которых не выводятся на устройстве получателя.
Ну, а дальше уже начинается наука и холодный расчёт, так как нужно измерить время доставки SMS в каждом случае и объединить данные с соответствующими сигнатурами местоположения, дабы сгенерировать полный набор данных для оценки.
В своих экспериментах авторы статьи отправляли пакеты из 20 сообщений каждый час в течение трех дней на несколько тестовых устройств в США, ОАЭ и некоторых европейских странах, охватывающих с десяток операторов с различными коммуникационными технологиями.
Как итог, используя свою модель в ряде ситуаций исследователи достигли достаточно высокой точности при оценке местоположения.
Если в целом, то атака включает в себя утомительную подготовительную работу, нетривиальную реализацию, что плохо подходит для обычного обывателя при любых обстоятельствах, так как имеет несколько практических ограничений.
Однако, по мнению специалистов, в руках «Кулибиных» она по-прежнему представляет потенциальную угрозу конфиденциальности для пользователей.
Reddit
From the netsec community on Reddit: Freaky Leaky SMS: Extracting User Locations by Analyzing SMS Timings
Posted by nangaparbat - 182 votes and 9 comments
This media is not supported in your browser
VIEW IN TELEGRAM
И снова здравствуйте!
͏Как мы писали ранее, Exposed, пришедший на замену Breached, уходит с молотка, сам Breached торжественно вернулся.
Один из оставшихся на свободе его совладельцев, который работал с Pompompurin до его задержания, Baphomet решил возобновить проект, заручившись для этого поддержкой широко известной ShinyHunters.
Правда сразу после силовой операции Baphomet дал заднюю, но, по всей видимости, ему придали ускорение.
И по всей видимости, так и случилось.
Возвращение оказалось не долгим, обновленный BreachForums (http://breachforums[.]vc) был взломан конкурирующими хакерами, которые слили базу данных 4700 его участников.
Подлинность утечки подтверждена.
Утечка включала имена пользователей, пароли, ключи входа в систему, адреса электронной почты пользователей, статистика сообщений, и другие данные об их активности.
Кстати подкатили первые плоды аналогичной утечки, но только в отношении 478 тысяч участников RaidForums, предшественника оригинального BreachForums.
На днях Амстердамский суд приговорил, двадцатипятилетнего Эркана Сезгина, голландского хакера к 36 месяцам тюремного заключения.
Он был признан виновным в продаже взломанных данных на RaidForum, где он работал под псевдонимом DataBox.
На его счету налоговая утечка 9 миллионов австрийцев, медданные на 4,4 миллиона колумбийцев и база данных пользователей Lazada, а также еще не менее 16 баз данных, каждую из которых он продал по несколько тысяч евро.
Также ему инкриминировали фишинговые операции и отмывание более 700 000 евро в криптовалюте.
Начало положено, материала у спецслужб предостаточно. Результаты не заставят долго ждать - дальше только хардкор. Все - как мы и полагали.
Один из оставшихся на свободе его совладельцев, который работал с Pompompurin до его задержания, Baphomet решил возобновить проект, заручившись для этого поддержкой широко известной ShinyHunters.
Правда сразу после силовой операции Baphomet дал заднюю, но, по всей видимости, ему придали ускорение.
И по всей видимости, так и случилось.
Возвращение оказалось не долгим, обновленный BreachForums (http://breachforums[.]vc) был взломан конкурирующими хакерами, которые слили базу данных 4700 его участников.
Подлинность утечки подтверждена.
Утечка включала имена пользователей, пароли, ключи входа в систему, адреса электронной почты пользователей, статистика сообщений, и другие данные об их активности.
Кстати подкатили первые плоды аналогичной утечки, но только в отношении 478 тысяч участников RaidForums, предшественника оригинального BreachForums.
На днях Амстердамский суд приговорил, двадцатипятилетнего Эркана Сезгина, голландского хакера к 36 месяцам тюремного заключения.
Он был признан виновным в продаже взломанных данных на RaidForum, где он работал под псевдонимом DataBox.
На его счету налоговая утечка 9 миллионов австрийцев, медданные на 4,4 миллиона колумбийцев и база данных пользователей Lazada, а также еще не менее 16 баз данных, каждую из которых он продал по несколько тысяч евро.
Также ему инкриминировали фишинговые операции и отмывание более 700 000 евро в криптовалюте.
Начало положено, материала у спецслужб предостаточно. Результаты не заставят долго ждать - дальше только хардкор. Все - как мы и полагали.
Forwarded from Russian OSINT
ASUS выпустила новую прошивку с кумулятивными обновлениями безопасности, которые устраняют опасные уязвимости в роутерах. В разделе "Latest security updates" от 06/19/2023 компания предупреждает клиентов о необходимости немедленно обновить свои устройства.
В список затронутых устройств входят следующие модели: GT6, GT-AXE16000, GT-AX11000 PRO, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 и TUF-AX5400.
https://www.asus.com/content/asus-product-security-advisory/#:~:text=06/19/2023%20New%20firmware%20with%20accumulate%20security%20updates
Please open Telegram to view this post
VIEW IN TELEGRAM
В VMware очередная паника, так как недавно исправленная критическая уязвимость внедрения команд в Aria Operations for Networks (ранее vRealize Network Insight) стала активно использоваться в дикой природе.
Как мы помним, бага отслеживается как CVE-2023-20887 и может позволить если тогда потенциальному, то теперь вполне реальному злоумышленнику, имеющему сетевой доступ к продукту, выполнить атаку с внедрением команд, что приведет к RCE.
Недостаток влияет на VMware Aria Operations Networks версий 6.x, и если вы до сих пор этого не сделали, то учитывая тревогу разработчика, откладывать с установкой патчей может стать уже поздно, так как согласно объявлению поставщика услуг виртуализации, имя выявлено, что уязвимость была использована в реальных атаках.
Когда, в отношении кого и какие были последствия пока не разглашается, но началось все по классике жанра после публикации PoC на GitHub.
По тому же сценарию Дамоклов меч повис над Apache Software Foundation, в частности над RocketMQ, где злоумышленники используют уязвимость в серверах, известную как CVE-2023-33246, которая позволяет злоумышленникам обновлять файл конфигурации сервера и удаленно выполнять вредоносные команды.
Команда RocketMQ выпустила исправления еще в мае, но атаки начались на этой неделе сразу после того, как также на GitHub был опубликован экспериментальный эксплойт.
По данным поисковой системы ZoomEye IoT, было скомпрометировано более 6000 серверов, большинство из которых находится в Китае.
О необходимости обновляться, особенно после публикации PoC осталось написать только кровью, а так напомним, что обычно есть около 48 часов, до тех пор пока злоумышленники адаптируют экспериментальный эксплойт в боевой и начнут штудировать сеть.
Как мы помним, бага отслеживается как CVE-2023-20887 и может позволить если тогда потенциальному, то теперь вполне реальному злоумышленнику, имеющему сетевой доступ к продукту, выполнить атаку с внедрением команд, что приведет к RCE.
Недостаток влияет на VMware Aria Operations Networks версий 6.x, и если вы до сих пор этого не сделали, то учитывая тревогу разработчика, откладывать с установкой патчей может стать уже поздно, так как согласно объявлению поставщика услуг виртуализации, имя выявлено, что уязвимость была использована в реальных атаках.
Когда, в отношении кого и какие были последствия пока не разглашается, но началось все по классике жанра после публикации PoC на GitHub.
По тому же сценарию Дамоклов меч повис над Apache Software Foundation, в частности над RocketMQ, где злоумышленники используют уязвимость в серверах, известную как CVE-2023-33246, которая позволяет злоумышленникам обновлять файл конфигурации сервера и удаленно выполнять вредоносные команды.
Команда RocketMQ выпустила исправления еще в мае, но атаки начались на этой неделе сразу после того, как также на GitHub был опубликован экспериментальный эксплойт.
По данным поисковой системы ZoomEye IoT, было скомпрометировано более 6000 серверов, большинство из которых находится в Китае.
О необходимости обновляться, особенно после публикации PoC осталось написать только кровью, а так напомним, что обычно есть около 48 часов, до тех пор пока злоумышленники адаптируют экспериментальный эксплойт в боевой и начнут штудировать сеть.
Тем временем американские правоохранители решили назначить награду в 10 млн. долларов за информацию в отношении cl0p.
И не зря. Ведь число жертв их последней атаки MOVEit Transfer с 11 перевалило за 85.
На свой DLS вымогатели выкатили таких маститых жертв, как PwC, Ernst & Young, Medibank PwC, Ernst & Young, Medibank, Metro Vancouver Transit Police.
А вишенкой на торте стала NortonLifeLock (aka Gen), которая подтвердила журналистам BleepingComputer, что столкнулась с инцидентом MOVEit Transfer Clop.
В результате утекли данные сотрудников, и, вероятно, еще много чего интересного.
Учитывая репутацию и послужной список клопов, счетчик жертв еще будет серьезно накручиваться, как и общие показатели выкупа, который явно превысит все обещанные Минюстом США награды за головы злоумышленников.
Но будем посмотреть.
И не зря. Ведь число жертв их последней атаки MOVEit Transfer с 11 перевалило за 85.
На свой DLS вымогатели выкатили таких маститых жертв, как PwC, Ernst & Young, Medibank PwC, Ernst & Young, Medibank, Metro Vancouver Transit Police.
А вишенкой на торте стала NortonLifeLock (aka Gen), которая подтвердила журналистам BleepingComputer, что столкнулась с инцидентом MOVEit Transfer Clop.
В результате утекли данные сотрудников, и, вероятно, еще много чего интересного.
Учитывая репутацию и послужной список клопов, счетчик жертв еще будет серьезно накручиваться, как и общие показатели выкупа, который явно превысит все обещанные Минюстом США награды за головы злоумышленников.
Но будем посмотреть.
X (formerly Twitter)
vx-underground (@vxunderground) on X
The United States government has put a $10,000,000 bounty on any individual associated with cl0p ransomware group.
Власти Албании решили больше не шутить с Ираном и инициировали силовую операцию в отношении членов иранской оппозиционной партии Муджахедин-и-Хальк (или МЕК), признанной в Иране террористической организацией и причастной к организации кибератак.
Основной удар был пришелся на лагере беженцев в округе города Манез в Западной Албании. С 2013 года лагерь стал пристанищем для более 3 тысяч членов МЕК после того, как их предыдущий лагерь в Ираке подвергся нападению со стороны ирано-иракских сил.
По оперативным данным МВД Албании, представители MEK нарушили соглашение от 2014 года с правительством Албании об использовании лагеря исключительно в гуманитарных целях.
Вместо этого лагерь использовали как «хакерский центр», где размещалась инфраструктура, которая использовались для взлома иностранных организаций.
Никаких подробностей о кибератаках не сообщается, но как полагают журналисты, дело связано с антииранскими хактивистами, которые стояли за атаками на офис президента и МИД Ирана, а также системы видеонаблюдения Тегерана.
Как сообщил албанскому новостному агентству SOT один из бывших членов организации, в числе обитателей лагеря были не мало тех, кто «профессионально изучал кибербезопасность и очень хорошо разбираются в технологиях».
Вопреки ожиданиям, сотрудники полиции столкнулись с ожесточенным сопротивлением со стороны МЕК, и, по слухам, после ожесточенных столкновений были и погибшие.
Несмотря на это, албанским силовикам удалось изъять некоторые из серверов, использовавшихся для кибератак. Тем не менее, официальных обвинений пока не выдвигалось.
Силовая операция, по мнению экспертов, направлена на нейтрализацию киберподполья МЕК, инспирирующего хактивистские проявления, в опасении повторных жестких ответных мер со стороны Ирана.
В прошлый раз подобный игнор требований Тегерана привел албанцев к разрыву дипломатических отношений после крупнейшей разрушительной ransomware-атаки со стороны Europium (Hazel Sandstorm), последствия которой до сих пор не устранены.
Чем на самом деле закончится расследование и последуют за ними ли политические процессы - будем посмотреть. Но авторитета у иранских хакеров определенно поприбавилось.
Основной удар был пришелся на лагере беженцев в округе города Манез в Западной Албании. С 2013 года лагерь стал пристанищем для более 3 тысяч членов МЕК после того, как их предыдущий лагерь в Ираке подвергся нападению со стороны ирано-иракских сил.
По оперативным данным МВД Албании, представители MEK нарушили соглашение от 2014 года с правительством Албании об использовании лагеря исключительно в гуманитарных целях.
Вместо этого лагерь использовали как «хакерский центр», где размещалась инфраструктура, которая использовались для взлома иностранных организаций.
Никаких подробностей о кибератаках не сообщается, но как полагают журналисты, дело связано с антииранскими хактивистами, которые стояли за атаками на офис президента и МИД Ирана, а также системы видеонаблюдения Тегерана.
Как сообщил албанскому новостному агентству SOT один из бывших членов организации, в числе обитателей лагеря были не мало тех, кто «профессионально изучал кибербезопасность и очень хорошо разбираются в технологиях».
Вопреки ожиданиям, сотрудники полиции столкнулись с ожесточенным сопротивлением со стороны МЕК, и, по слухам, после ожесточенных столкновений были и погибшие.
Несмотря на это, албанским силовикам удалось изъять некоторые из серверов, использовавшихся для кибератак. Тем не менее, официальных обвинений пока не выдвигалось.
Силовая операция, по мнению экспертов, направлена на нейтрализацию киберподполья МЕК, инспирирующего хактивистские проявления, в опасении повторных жестких ответных мер со стороны Ирана.
В прошлый раз подобный игнор требований Тегерана привел албанцев к разрыву дипломатических отношений после крупнейшей разрушительной ransomware-атаки со стороны Europium (Hazel Sandstorm), последствия которой до сих пор не устранены.
Чем на самом деле закончится расследование и последуют за ними ли политические процессы - будем посмотреть. Но авторитета у иранских хакеров определенно поприбавилось.
Wikipedia
2013 Camp Ashraf massacre
Terror attack at Camp Ashraf in Iraq
Крупный японский разработчик Purpose сообщил о серьезном инциденте, который почти на две недели вывел из строя ЦОД с облачной платформой Cloud AZ Tower.
Атака с использованием вредоносного ПО по итогу оказала мощное влияние фактически на всю Японию, где услугами AZ Tower пользуются более 1100 компаний.
При этом наибольшее удар пришелся на объекты по производству сжиженного газа. Многие поставщики газа были вынуждены приостановить работу своих клиентских порталов и газовых счетчиков.
По результатам предварительного расследования стало понятно, что злоумышленнику удалось проникнуть в систему с использованием аутентификационных данных одного из пользователей облачной AZ.
Атака была направлена на системную операционную среду, актору удалось добраться и до сервера с БД. Правда, Purpose не подтверждает того, что данные были повреждены. Кроме того, в компании говорят, что в ходе инцидента не было доступа к данным клиентов.
В целом, несмотря на опровержения о причастности к инциденту вымогателей Trigona, на лицо все признаки ransomware, а уверенные заявления - результат, по всей видимости, успешных переговоров.
Но будем посмотреть.
Атака с использованием вредоносного ПО по итогу оказала мощное влияние фактически на всю Японию, где услугами AZ Tower пользуются более 1100 компаний.
При этом наибольшее удар пришелся на объекты по производству сжиженного газа. Многие поставщики газа были вынуждены приостановить работу своих клиентских порталов и газовых счетчиков.
По результатам предварительного расследования стало понятно, что злоумышленнику удалось проникнуть в систему с использованием аутентификационных данных одного из пользователей облачной AZ.
Атака была направлена на системную операционную среду, актору удалось добраться и до сервера с БД. Правда, Purpose не подтверждает того, что данные были повреждены. Кроме того, в компании говорят, что в ходе инцидента не было доступа к данным клиентов.
В целом, несмотря на опровержения о причастности к инциденту вымогателей Trigona, на лицо все признаки ransomware, а уверенные заявления - результат, по всей видимости, успешных переговоров.
Но будем посмотреть.
piyolog
エネルギー事業者向けクラウドサービスに対するサイバー攻撃についてまとめてみた - piyolog
2023年6月8日、ガス関連の住宅設備など製造するパーパスは、同社がエネルギー事業者向けに提供している管理サービス「クラウドAZタワー」が稼働するデータセンター内のサーバーでマルウエアの感染を確認したとして、同サービスの停止などを行ったことを公表しました。その後パーパスによる復旧作業が行われ、同サービスは6月18日に復…
Лаборатория Касперского продолжает расчехлять вредоносную кампанию Операция Триангуляция, представляя все новые подробности о проделках Apple и их друзей из Ленгли (или из форта Мид, кто их там знает).
Для этого исследователи даже сделали целую отдельную страницу, посвященную Триангуляции, которая буквально в унисон с обновлениями от Apple пополнилась свеженьким обзором шпионского импланта TriangleDB.
Схема многоступенчатой загрузки вредоноса включала скрытые сообщения iMessage, 0-click и полноценный боевой эксплойт-кит.
После получения root-прав на целевом устройстве в результате успешной эксплуатации уязвимости в ядре iOS, TriangleDB развертывается в памяти, а исходное сообщение iMessage удаляется.
Имплантат не имеет механизма персистентности, и если в случае перезагрузки вся цепочка заражения повторяется заново. По истечении 30 дней имплантат самоликвидируется, если срок его работы не продлевается.
Написанный на Objective-C, имплантат TriangleDB взаимодействует со своим С2 с помощью библиотеки Protobuf для обмена данными. Конфигурация импланта содержит два сервера: основной и резервный.
Сообщения шифруются с использованием симметричной (3DES) и асимметричной (RSA) криптографии и передаются по протоколу HTTPS в запросах POST.
TriangleDB периодически отправляет heartbeat-сообщения на C2-сервер с указанием версии зловреда, идентификаторов устройства и статуса службы обновлений, который отвечает командами, переданными в виде сообщений Protobuf с неясными именами типов.
Ресерчеры ЛК обнаружили 24 команды, которые позволяют взаимодействовать с файлами и процессами, извлекать данные из связки ключей, отслеживать геолокацию и запускать дополнительные модули в виде исполняемых файлов Mach-O.
Шпионское ПО отслеживает изменения папок на устройстве, все новые или модифицированые файлы ставит в очередь на эксфильтрацию.
Изучая ряд артефактов исследователи также пришли к выводу, что схожий имплант используется в атаках на macOS, а запрашиваемый набор прав у ОС в полной мере не реализуется в коде, например, доступ к камере, микрофону, адресной книге или же взаимодействие через Bluetooth, что указывает на существование дополнительных модулей.
Индикаторы компрометации TriangleDB, iOS-импланта с примечательными деталями, представлены в отчете, а специалисты обещают продолжение.
Для этого исследователи даже сделали целую отдельную страницу, посвященную Триангуляции, которая буквально в унисон с обновлениями от Apple пополнилась свеженьким обзором шпионского импланта TriangleDB.
Схема многоступенчатой загрузки вредоноса включала скрытые сообщения iMessage, 0-click и полноценный боевой эксплойт-кит.
После получения root-прав на целевом устройстве в результате успешной эксплуатации уязвимости в ядре iOS, TriangleDB развертывается в памяти, а исходное сообщение iMessage удаляется.
Имплантат не имеет механизма персистентности, и если в случае перезагрузки вся цепочка заражения повторяется заново. По истечении 30 дней имплантат самоликвидируется, если срок его работы не продлевается.
Написанный на Objective-C, имплантат TriangleDB взаимодействует со своим С2 с помощью библиотеки Protobuf для обмена данными. Конфигурация импланта содержит два сервера: основной и резервный.
Сообщения шифруются с использованием симметричной (3DES) и асимметричной (RSA) криптографии и передаются по протоколу HTTPS в запросах POST.
TriangleDB периодически отправляет heartbeat-сообщения на C2-сервер с указанием версии зловреда, идентификаторов устройства и статуса службы обновлений, который отвечает командами, переданными в виде сообщений Protobuf с неясными именами типов.
Ресерчеры ЛК обнаружили 24 команды, которые позволяют взаимодействовать с файлами и процессами, извлекать данные из связки ключей, отслеживать геолокацию и запускать дополнительные модули в виде исполняемых файлов Mach-O.
Шпионское ПО отслеживает изменения папок на устройстве, все новые или модифицированые файлы ставит в очередь на эксфильтрацию.
Изучая ряд артефактов исследователи также пришли к выводу, что схожий имплант используется в атаках на macOS, а запрашиваемый набор прав у ОС в полной мере не реализуется в коде, например, доступ к камере, микрофону, адресной книге или же взаимодействие через Bluetooth, что указывает на существование дополнительных модулей.
Индикаторы компрометации TriangleDB, iOS-импланта с примечательными деталями, представлены в отчете, а специалисты обещают продолжение.
securelist.ru
Анализ TriangleDB, импланта “Операции Триангуляция”
Во время исследования «Операции Триангуляция» мы поставили цель получить как можно больше компонентов цепочки заражения. На данный момент мы завершили анализ шпионского импланта, о котором и хотим рассказать.
Обеспокоенные Операцией Триангуляция владельцы мобильных гаджетов Apple, в числе которых оказался даже сам Илон Маск, наконец-то получили заветное плацебо обновление.
Apple выпустила множество обновлений для iOS, iPadOS, macOS, watchOS и браузера Safari для устранения ряда проблем, которые, по ее словам, активно использовались в дикой природе.
В центре внимание - конечно же, два 0-day, которые были связаны со. шпионской кампанией, раскрытой исследователями Лаборатории Касперского.
Первая из них CVE-2023-32434 — это уязвимость переполнения целых чисел в ядре, которую может использовать вредоносное приложение для RCE с привилегиями ядра.
Другая CVE-2023-32435 представляет собой проблему в WebKit, которая приводит к повреждению памяти и RCE при обработке специально созданного веб-контента.
Apple также исправила сегодня уязвимость нулевого дня WebKit (CVE-2023-32439), о которой сообщил анонимный исследователь, которая может позволить злоумышленникам выполнить произвольный код на неисправленных устройствах, используя проблему путаницы типов.
В целом список затронутых устройств довольно обширен, включает старые и новые модели, для которых теперь доступны обновления: macOS Ventura 13.4.1, macOS Monterey 12.6.7, macOS Big Sur 11.7.8, iOS 16.5.1 и iPadOS 16.5.1, iOS 15.7.7 и iPadOS 15.7.7, watchOS 9.5.2 и watchOS 8.8.1 с улучшенными проверками, проверкой ввода и управлением состоянием.
Вообще же с начала года Apple исправила в общей сложности 9 уязвимостей нулевого дня, которые использовались для взломов iPhone, Mac и iPad.
Но это ничего, ведь представитель Apple заверил, что "We have never worked with any government to insert a backdoor into any Apple product and never will".
И, конечно, добавил "Бля буду!".
Apple выпустила множество обновлений для iOS, iPadOS, macOS, watchOS и браузера Safari для устранения ряда проблем, которые, по ее словам, активно использовались в дикой природе.
В центре внимание - конечно же, два 0-day, которые были связаны со. шпионской кампанией, раскрытой исследователями Лаборатории Касперского.
Первая из них CVE-2023-32434 — это уязвимость переполнения целых чисел в ядре, которую может использовать вредоносное приложение для RCE с привилегиями ядра.
Другая CVE-2023-32435 представляет собой проблему в WebKit, которая приводит к повреждению памяти и RCE при обработке специально созданного веб-контента.
Apple также исправила сегодня уязвимость нулевого дня WebKit (CVE-2023-32439), о которой сообщил анонимный исследователь, которая может позволить злоумышленникам выполнить произвольный код на неисправленных устройствах, используя проблему путаницы типов.
В целом список затронутых устройств довольно обширен, включает старые и новые модели, для которых теперь доступны обновления: macOS Ventura 13.4.1, macOS Monterey 12.6.7, macOS Big Sur 11.7.8, iOS 16.5.1 и iPadOS 16.5.1, iOS 15.7.7 и iPadOS 15.7.7, watchOS 9.5.2 и watchOS 8.8.1 с улучшенными проверками, проверкой ввода и управлением состоянием.
Вообще же с начала года Apple исправила в общей сложности 9 уязвимостей нулевого дня, которые использовались для взломов iPhone, Mac и iPad.
Но это ничего, ведь представитель Apple заверил, что "We have never worked with any government to insert a backdoor into any Apple product and never will".
И, конечно, добавил "Бля буду!".
Apple Support
Apple security releases
This document lists security updates and Rapid Security Responses for Apple software.
Известная еще с 2004 года APT15 разработала новый бэкдор под названием Graphican, который активно применялся в кампании, нацеленной на министерства иностранных дел в Северной и Южной Америке в период с 2022 по 2023 гг.
По данным Symantec, среди других целей был департамент государственных финансов, некая корпорация, которая реализует продукцию в Центральной и Южной Америке, а также жертва из Европы, что больше похоже на попытку пустить исследователей по ложному следу.
Кибердеды с 20-летним стажем также известны под именами Flea, BackdoorDiplomacy, ke3chang, Nylon Typhoon, Playful Taurus, Royal APT или Vixen Panda и вписали свои имена в вехи инфосека своими атаками преимущественно на правительства и дипмиссии.
Собственно, о новом вредоносном ПО Graphican специалисты говорят, что оно является эволюционированной версией Ketrican, старого вредоносного кода APT15 и может использоваться для сбора различных данных с зараженных устройств: имя хоста, локальный IP, версия Windows и идентификатор системного языка, а также подключается к C2-серверу для выполнения дополнительных команд.
Среди поддерживаемых Graphican команд: создание интерактивной командной строки, работа с файлами на удаленном компьютере, эксфильтрация данных с удаленного компьютера на С2, внедрение нового процесса PowerShell со скрытым окном.
Однако, в отличие от Ketrican, Graphican использует платформу Graph API от Microsoft и функции OneDrive для получения инфраструктуры C2, вместо использования жестко закодированного сервера С2, что создает определенные трудности при обнаружении малвари в сети жертвы, поскольку она подключается только к доменам Microsoft и может легко обходить мониторинг трафика.
Graphican оснащен опросом сервера C2 для получения новых команд и их выполнения, включая создание интерактивной командной строки, которая может контролироваться с сервера, а также загрузку файлов на хост и настройку скрытых процессов для сбора интересующих данных.
Использование нового бэкдора показывает, что группировка, несмотря на долгие годы своей работы, не вышла на пенсию и продолжает активно разрабатывать новые инструменты.
Причем сходство в функциональности между Graphican и известным бэкдором Ketrican показывает, что АРТ не особо волнует возможность их четкой атрибуции.
По данным Symantec, среди других целей был департамент государственных финансов, некая корпорация, которая реализует продукцию в Центральной и Южной Америке, а также жертва из Европы, что больше похоже на попытку пустить исследователей по ложному следу.
Кибердеды с 20-летним стажем также известны под именами Flea, BackdoorDiplomacy, ke3chang, Nylon Typhoon, Playful Taurus, Royal APT или Vixen Panda и вписали свои имена в вехи инфосека своими атаками преимущественно на правительства и дипмиссии.
Собственно, о новом вредоносном ПО Graphican специалисты говорят, что оно является эволюционированной версией Ketrican, старого вредоносного кода APT15 и может использоваться для сбора различных данных с зараженных устройств: имя хоста, локальный IP, версия Windows и идентификатор системного языка, а также подключается к C2-серверу для выполнения дополнительных команд.
Среди поддерживаемых Graphican команд: создание интерактивной командной строки, работа с файлами на удаленном компьютере, эксфильтрация данных с удаленного компьютера на С2, внедрение нового процесса PowerShell со скрытым окном.
Однако, в отличие от Ketrican, Graphican использует платформу Graph API от Microsoft и функции OneDrive для получения инфраструктуры C2, вместо использования жестко закодированного сервера С2, что создает определенные трудности при обнаружении малвари в сети жертвы, поскольку она подключается только к доменам Microsoft и может легко обходить мониторинг трафика.
Graphican оснащен опросом сервера C2 для получения новых команд и их выполнения, включая создание интерактивной командной строки, которая может контролироваться с сервера, а также загрузку файлов на хост и настройку скрытых процессов для сбора интересующих данных.
Использование нового бэкдора показывает, что группировка, несмотря на долгие годы своей работы, не вышла на пенсию и продолжает активно разрабатывать новые инструменты.
Причем сходство в функциональности между Graphican и известным бэкдором Ketrican показывает, что АРТ не особо волнует возможность их четкой атрибуции.
Security
Graphican: Flea Uses New Backdoor in Attacks Targeting Foreign Ministries
Backdoor leverages Microsoft Graph API for C&C communication.
VMware устранила несколько серьезных недостатков безопасности в vCenter Server, которые могут позволить злоумышленникам выполнить код и обойти проверку подлинности в уязвимых системах.
Ошибки были обнаружены в реализации протокола DCE/RPC, который обеспечивает бесперебойную работу нескольких систем, создавая виртуальную унифицированную вычислительную среду.
Все уязвимости были обнаружены и разрыты исследователями Cisco Talos Димитриосом Тацисом и Александром Николичем.
Среди серьезных недостатков: переполнение кучи (CVE-2023-20892), использование после освобождения (CVE-2023-20893), чтение за пределами границ (CVE-2023-20895), ошибки записи за пределы допустимого диапазона (CVE-2023-20894).
Первые два (CVE-2023-20892, CVE-2023-20893) могут быть использованы злоумышленниками, не прошедшими проверку подлинности и имеющими доступ к сети, для получения доступа к выполнению кода в атаках высокой сложности, которые не требуют взаимодействия с пользователем.
Злоумышленник, нацеленный на CVE-2023-20895, может вызвать чрезмерное чтение и повреждение памяти, что позволит обойти аутентификацию на неисправленных устройствах vCenter Server.
Пятая уязвимость vCenter Server, связанная с чтением за границу, отслеживаемая как CVE-2023-20896, может быть удаленно использована в атаках типа DoS, нацеленных на несколько служб VMware на целевом хосте (например, vmcad, vmdird, vmafdd).
Ошибки были обнаружены в реализации протокола DCE/RPC, который обеспечивает бесперебойную работу нескольких систем, создавая виртуальную унифицированную вычислительную среду.
Все уязвимости были обнаружены и разрыты исследователями Cisco Talos Димитриосом Тацисом и Александром Николичем.
Среди серьезных недостатков: переполнение кучи (CVE-2023-20892), использование после освобождения (CVE-2023-20893), чтение за пределами границ (CVE-2023-20895), ошибки записи за пределы допустимого диапазона (CVE-2023-20894).
Первые два (CVE-2023-20892, CVE-2023-20893) могут быть использованы злоумышленниками, не прошедшими проверку подлинности и имеющими доступ к сети, для получения доступа к выполнению кода в атаках высокой сложности, которые не требуют взаимодействия с пользователем.
Злоумышленник, нацеленный на CVE-2023-20895, может вызвать чрезмерное чтение и повреждение памяти, что позволит обойти аутентификацию на неисправленных устройствах vCenter Server.
Пятая уязвимость vCenter Server, связанная с чтением за границу, отслеживаемая как CVE-2023-20896, может быть удаленно использована в атаках типа DoS, нацеленных на несколько служб VMware на целевом хосте (например, vmcad, vmdird, vmafdd).
Forwarded from Russian OSINT
Европейский Союз собирается разрешить
Представители европейских стран в 🇧🇪Брюсселе решили, что согласно новому законопроекту🕷шпионские программы могут быть установлены на компьютеры или телефоны журналистов, которые работают непосредственно в рамках уголовных расследований - от терроризма до пиратства музыки или кражи велосипедов.
Европейская федерация журналистов (EFJ), представляющая интересы более 300 000 представителей прессы в 45 странах, обвинила лидеров ЕС в "опасном пренебрежении" принципов свободы СМИ.
👆"А что не так? Пускай шпионят за журналистами 24/7. Им всего лишь хотят помочь улучшить качество публикуемых статей, чем вы недовольны?", - троллят статью пользователи в
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи Макс Корбридж и Том Эллсон из Jumpsec раскрыли атаку, которая позволяет доставлять вредоносное ПО через Microsoft Teams с учетной записью за пределами целевой организации, несмотря на ограничения в приложении для файлов из внешних источников.
К слову, Microsoft Teams, являясь частью облачных сервисов Microsoft 365, используется многими организациями в качестве платформы для совместной работы и насчитывает более 280 миллионов активных пользователей.
Атака работает с Microsoft Teams, использующими конфигурацию по умолчанию, которая разрешает связь с учетными записями за пределами компании.
Помимо широких возможностей для социнженерии и фишинга обнаруженный метод является более мощным, поскольку позволяет отправлять вредоносную полезную нагрузку непосредственно в целевой почтовый ящик.
Причем для обхода защиты на стороне клиента в Microsoft Teams, предусматривающей блокировку доставки файлов из учетных записей внешних клиентов, Jumpsec Red Team смогли модифицировать внутренний и внешний идентификатор получателя в POST-запросе сообщения, тем самым обманывая систему и выдавая внешнего пользователя как внутреннего.
При отправке такой полезной нагрузки она фактически размещается в домене Sharepoint, и цель загружает ее оттуда. Однако она отображается в папке «Входящие» как файл, а не ссылка.
Эта атака обходит существующие меры безопасности, открывая злоумышленникам довольно простой способ заразить любую организацию, использующую Microsoft Teams с конфигурацией по умолчанию.
Кроме того, если злоумышленник зарегистрирует домен, аналогичный целевым организациям, их сообщения могут выглядеть так, как будто они исходят от адресата внутри организации, что еще больше увеличит вероятность того, что цель загрузит файл.
Но вот, Microsoft не разделяет выводы исследователей, несмотря на то, что подтвердила наличие уязвимости.
И поэтому не считает уязвимость заслуживающей немедленного обслуживания и не видит особой срочности в ее исправлении.
Тем не менее, исследователи рекомендуют пользователям Microsoft Teams отключить эту функцию внешнего доступа, если в ней нет необходимости, либо выделить отдельные домены в списке разрешений, снизив таким образом риск эксплуатации.
К слову, Microsoft Teams, являясь частью облачных сервисов Microsoft 365, используется многими организациями в качестве платформы для совместной работы и насчитывает более 280 миллионов активных пользователей.
Атака работает с Microsoft Teams, использующими конфигурацию по умолчанию, которая разрешает связь с учетными записями за пределами компании.
Помимо широких возможностей для социнженерии и фишинга обнаруженный метод является более мощным, поскольку позволяет отправлять вредоносную полезную нагрузку непосредственно в целевой почтовый ящик.
Причем для обхода защиты на стороне клиента в Microsoft Teams, предусматривающей блокировку доставки файлов из учетных записей внешних клиентов, Jumpsec Red Team смогли модифицировать внутренний и внешний идентификатор получателя в POST-запросе сообщения, тем самым обманывая систему и выдавая внешнего пользователя как внутреннего.
При отправке такой полезной нагрузки она фактически размещается в домене Sharepoint, и цель загружает ее оттуда. Однако она отображается в папке «Входящие» как файл, а не ссылка.
Эта атака обходит существующие меры безопасности, открывая злоумышленникам довольно простой способ заразить любую организацию, использующую Microsoft Teams с конфигурацией по умолчанию.
Кроме того, если злоумышленник зарегистрирует домен, аналогичный целевым организациям, их сообщения могут выглядеть так, как будто они исходят от адресата внутри организации, что еще больше увеличит вероятность того, что цель загрузит файл.
Но вот, Microsoft не разделяет выводы исследователей, несмотря на то, что подтвердила наличие уязвимости.
И поэтому не считает уязвимость заслуживающей немедленного обслуживания и не видит особой срочности в ее исправлении.
Тем не менее, исследователи рекомендуют пользователям Microsoft Teams отключить эту функцию внешнего доступа, если в ней нет необходимости, либо выделить отдельные домены в списке разрешений, снизив таким образом риск эксплуатации.
JUMPSEC Labs
Advisory: IDOR in Microsoft Teams Allows for External Tenants to Introduce Malware
TL;DR
Check Point обнаружила новое вредоносное ПО, связанное с китайской APT Camaro Dragon (ака Mustang Panda или LuminousMoth), названное WispRider и HopperTick.
Причем новый штамм распространяется через скомпрометированные USB-накопители.
Это новейший продукт в растущем арсенале группы, который также включает в себя веб-оболочку HorseShell, развернутую с помощью встроенного программного обеспечения, и бэкдор на основе Go под названием TinyNote.
Несмотря на то, что основное внимание АРТ традиционно уделялось странам Юго-Восточной Азии, последняя кампания показывает более глобальный охват.
Следы заражения USB вредоносными ПО были найдены в Мьянме, Южной Корее, Великобритании, Индии и России.
Задетектить артефакт удалось в ходе расследования киберинцидента в неназванной европейской больнице еще в начале 2023 года.
При этом объект не был непосредственно атакован злоумышленником, а скорее подвергся взлому через USB-накопитель сотрудника, который был заражен после подключения к компьютеру коллеги на конференции в Азии.
Соответственно, по возвращении в медицинское учреждение в Европе сотрудник вставил зараженный USB-накопитель, что привело к распространению инфекции на компьютерные системы больницы.
Последняя цепочка заражения включает в себя средство запуска Delphi, известное как HopperTick, которое распространяется через USB-накопители, и его основную полезную нагрузку WispRider, которая отвечает за заражение устройств, когда они подключены к машине.
Когда в зараженный компьютер вставляется USB, вредоносное ПО обнаруживает новое устройство и манипулирует его файлами, создавая несколько скрытых папок в корне флэш-накопителя.
WispRider, помимо заражения текущего хоста, если это еще не сделано, выполняет связь с удаленным сервером, компрометацию любых вновь подключенных USB-устройств, выполнение произвольных команд и выполнение операций с файлами.
Некоторые варианты WispRider также функционируют как бэкдор с возможностью обхода индонезийского антивирусного решения под названием Smadav, а также прибегают к боковой загрузке DLL с использованием компонентов ПО безопасности, такого как G-DATA Total Security.
Другая полезная нагрузка после эксплуатации, поставляемая вместе с WispRider, — это модуль кражи, называемый монитором диска (HPCustPartUI.dll), который размещает файлы с предопределенными расширениями (например, docx, mp3, wav, m4a, wma, aac, cda и mid) для эксфильтрации.
Новая разработка является признаком того, что Camaro Dragon APT продолжает использовать USB-устройства в качестве метода заражения целевых систем, эффективно сочетая эту технику с другими устоявшимися тактиками.
Причем новый штамм распространяется через скомпрометированные USB-накопители.
Это новейший продукт в растущем арсенале группы, который также включает в себя веб-оболочку HorseShell, развернутую с помощью встроенного программного обеспечения, и бэкдор на основе Go под названием TinyNote.
Несмотря на то, что основное внимание АРТ традиционно уделялось странам Юго-Восточной Азии, последняя кампания показывает более глобальный охват.
Следы заражения USB вредоносными ПО были найдены в Мьянме, Южной Корее, Великобритании, Индии и России.
Задетектить артефакт удалось в ходе расследования киберинцидента в неназванной европейской больнице еще в начале 2023 года.
При этом объект не был непосредственно атакован злоумышленником, а скорее подвергся взлому через USB-накопитель сотрудника, который был заражен после подключения к компьютеру коллеги на конференции в Азии.
Соответственно, по возвращении в медицинское учреждение в Европе сотрудник вставил зараженный USB-накопитель, что привело к распространению инфекции на компьютерные системы больницы.
Последняя цепочка заражения включает в себя средство запуска Delphi, известное как HopperTick, которое распространяется через USB-накопители, и его основную полезную нагрузку WispRider, которая отвечает за заражение устройств, когда они подключены к машине.
Когда в зараженный компьютер вставляется USB, вредоносное ПО обнаруживает новое устройство и манипулирует его файлами, создавая несколько скрытых папок в корне флэш-накопителя.
WispRider, помимо заражения текущего хоста, если это еще не сделано, выполняет связь с удаленным сервером, компрометацию любых вновь подключенных USB-устройств, выполнение произвольных команд и выполнение операций с файлами.
Некоторые варианты WispRider также функционируют как бэкдор с возможностью обхода индонезийского антивирусного решения под названием Smadav, а также прибегают к боковой загрузке DLL с использованием компонентов ПО безопасности, такого как G-DATA Total Security.
Другая полезная нагрузка после эксплуатации, поставляемая вместе с WispRider, — это модуль кражи, называемый монитором диска (HPCustPartUI.dll), который размещает файлы с предопределенными расширениями (например, docx, mp3, wav, m4a, wma, aac, cda и mid) для эксфильтрации.
Новая разработка является признаком того, что Camaro Dragon APT продолжает использовать USB-устройства в качестве метода заражения целевых систем, эффективно сочетая эту технику с другими устоявшимися тактиками.
Check Point Research
Beyond the Horizon: Traveling the World on Camaro Dragon’s USB Flash Drives - Check Point Research
Executive summary Introduction In early 2023, CPIRT investigated an incident at a European hospital. The investigation showed that the malicious activity observed was likely not targeted but was simply collateral damage from Camaro Dragon’s self-propagating…
Fortinet исправила критическую ошибку в FortiNAC, которую злоумышленники могут использовать для выполнения кода и команд.
Уязвимость CVE-2023-33299 была обнаружена Флорианом Хаузером из Code White и получила критическую оценку серьезности 9,6 из 10.
Представляет собой десериализацию ненадежных данных, которая может привести к RCE без проверки подлинности с помощью специально созданных запросов к службе TCP/1050.
Перечень затронутых версий FortiNAC включает 9.4.0-9.4.2, 9.2.0-9.2.7, 9.1.0-9.1.9, 7.2.0-7.2.1, а также 8.3, 8.5-8.8 (все версии).
Обновления реализованы в 9.4.3, 9.2.8, 9.1.10 и 7.2.2 (или выше).
Поставщик не предоставил рекомендаций по смягчению последствий, поэтому ничего не остается кроме, как обновиться.
Наряду с критической RCE, Fortinet также объявила об устранении уязвимости средней степени серьезности CVE-2023-33300, связанную с проблемой ненадлежащего контроля доступа и затрагивающую FortiNAC 9.4.0-9.4.3 и 7.2.0-7.2.1.
Она может позволить злоумышленнику, не прошедшему проверку подлинности, скопировать локальные файлы устройства в другие локальные каталоги устройства через специально созданные поля ввода.
Правда, может быть использована лишь локально злоумышленником с достаточно высокими привилегиями для доступа к скопированным данным.
Учитывая особый интерес со стороны хакерского подполья к продуктам Fortinet, админов и специалистов ИБ впереди ожидают продуктивные выходные.
Ведь как мы помним критическая RCE (CVE-2022-39952) в FortiNAC после исправления в середине февраля начала эксплуатироваться в дикой природе буквально через пару дней.
Но, про выходные - попозже.
Уязвимость CVE-2023-33299 была обнаружена Флорианом Хаузером из Code White и получила критическую оценку серьезности 9,6 из 10.
Представляет собой десериализацию ненадежных данных, которая может привести к RCE без проверки подлинности с помощью специально созданных запросов к службе TCP/1050.
Перечень затронутых версий FortiNAC включает 9.4.0-9.4.2, 9.2.0-9.2.7, 9.1.0-9.1.9, 7.2.0-7.2.1, а также 8.3, 8.5-8.8 (все версии).
Обновления реализованы в 9.4.3, 9.2.8, 9.1.10 и 7.2.2 (или выше).
Поставщик не предоставил рекомендаций по смягчению последствий, поэтому ничего не остается кроме, как обновиться.
Наряду с критической RCE, Fortinet также объявила об устранении уязвимости средней степени серьезности CVE-2023-33300, связанную с проблемой ненадлежащего контроля доступа и затрагивающую FortiNAC 9.4.0-9.4.3 и 7.2.0-7.2.1.
Она может позволить злоумышленнику, не прошедшему проверку подлинности, скопировать локальные файлы устройства в другие локальные каталоги устройства через специально созданные поля ввода.
Правда, может быть использована лишь локально злоумышленником с достаточно высокими привилегиями для доступа к скопированным данным.
Учитывая особый интерес со стороны хакерского подполья к продуктам Fortinet, админов и специалистов ИБ впереди ожидают продуктивные выходные.
Ведь как мы помним критическая RCE (CVE-2022-39952) в FortiNAC после исправления в середине февраля начала эксплуатироваться в дикой природе буквально через пару дней.
Но, про выходные - попозже.
FortiGuard Labs
PSIRT | FortiGuard Labs
None
После недавних резонансных инцидентов с управляемыми приложениями для передачи файлов исследователи Rapid7 решили расчехлить баги в Globalscape EFT.
Разработчик решения Fortra уже оценила всю привлекательность приложений подобного типа для вымогателей после атаки клопов на другое ПО в ее линейке - GoAnywhere. Последствия аукаются до сих пор.
Теперь же исследователи обнаружили и раскрыли информацию о четырех уязвимостях в серверах администрирования Fortra Globalscape EFT, наиболее серьезная из которых может привести к удаленному выполнению кода от имени пользователя SYSTEM в случае успешного использования
Обнаруженные ошибки отслеживаются как CVE-2023-2989 (обход аутентификации за счет чтения за пределами памяти), CVE-2023-2990 (DoS из-за рекурсивного DeflateStream), CVE-2023-2991 (раскрытие серийного номера удаленного жесткого диска, пока не исправлена).
Дополнительно была выявлена проблема, связанная с утечкой пароля из-за небезопасной конфигурации по умолчанию.
Следует отметить, что эксплуатация критической RCE-уязвимости имеет крайне низкие шансы на эксплуатацию в дикой природе, но только если только кто-то не найдет способ разработать более надежный эксплойт.
Однако на примере cl0p сомневаться не стоит, что он найдется.
Проблемы затрагивают Fortra Globalscape 8.0.x до 8.1.0.14, и все, кроме одной, пропатчены в версии 8.1.0.16 (нерешенная проблема в настоящее время не исправлена, но незначительна).
Разработчик решения Fortra уже оценила всю привлекательность приложений подобного типа для вымогателей после атаки клопов на другое ПО в ее линейке - GoAnywhere. Последствия аукаются до сих пор.
Теперь же исследователи обнаружили и раскрыли информацию о четырех уязвимостях в серверах администрирования Fortra Globalscape EFT, наиболее серьезная из которых может привести к удаленному выполнению кода от имени пользователя SYSTEM в случае успешного использования
Обнаруженные ошибки отслеживаются как CVE-2023-2989 (обход аутентификации за счет чтения за пределами памяти), CVE-2023-2990 (DoS из-за рекурсивного DeflateStream), CVE-2023-2991 (раскрытие серийного номера удаленного жесткого диска, пока не исправлена).
Дополнительно была выявлена проблема, связанная с утечкой пароля из-за небезопасной конфигурации по умолчанию.
Следует отметить, что эксплуатация критической RCE-уязвимости имеет крайне низкие шансы на эксплуатацию в дикой природе, но только если только кто-то не найдет способ разработать более надежный эксплойт.
Однако на примере cl0p сомневаться не стоит, что он найдется.
Проблемы затрагивают Fortra Globalscape 8.0.x до 8.1.0.14, и все, кроме одной, пропатчены в версии 8.1.0.16 (нерешенная проблема в настоящее время не исправлена, но незначительна).
Rapid7
Multiple Vulnerabilities in Fortra Globalscape EFT Administration Server [FIXED] | Rapid7 Blog
Rapid7 has uncovered four issues in Fortra Globalscape EFT, the worst of which can lead to remote code execution.