͏И снова здравствуйте!

Исследователи из Pulse Security сообщают о весьма простом способе взлома зашифрованного компьютера Linux.

Чтобы обойти полное шифрование TPM в Ubuntu достаточно лишь очень быстро нажать клавишу ENTER во время загрузки.

Используя уязвимость, злоумышленник, имеющий физический доступ к зашифрованной системе Ubuntu 20.04 Linux (если он использует RedHat Clevis и dracut), может получить локальный root-доступ к компьютеру во время раннего процесса загрузки, вручную разблокировать шифрование диска на основе TPM и прочитать конфиденциальную информацию, хранящуюся на диске компьютера.

Когда вы включаете зашифрованный компьютер Linux, вам, вероятно, придется ввести два пароля, прежде чем вы сможете его использовать: сначала вам нужно ввести пароль шифрования диска, чтобы разблокировать LUKS (настройка единого ключа Linux), а затем вам нужно ввести пароль пользователя для входа в систему

Как правило, компьютер с Linux, использующий автоматическое шифрование диска с защитой TPM, по-прежнему позволяет пользователю просматривать выходные данные процесса загрузки и, при необходимости, вручную вводить пароль для расшифровки с клавиатуры. Пока происходит автоматическая разблокировка TPM, пользователю предлагается запрос пароля и возможность ввести данные.

Еще в 2016 году в сценарии запуска Debian cryptsetup также была уязвимость, позволявшая злоумышленнику просто удерживать клавишу Enter, получить root-доступ к среде ранней загрузки. На этот раз спецы Pulse Security решили опробовать что-то подобное.

Существует ограниченный промежуток времени, прежде чем TPM разблокирует диск и процесс загрузки автоматически перейдет к приглашению для входа в систему. Используя микроконтроллер Atmel ATMEGA32U4, можно эмулировать клавиатуру, которая отправляет виртуальные нажатия клавиш с максимальной скоростью, которую принимает компьютер.

Через секунду после подключения эта программа начинает имитировать нажатие Enter на виртуальной клавиатуре каждые 10 миллисекунд. Это примерно в 10 раз быстрее, чем обычная частота повторения, которую можно получить, просто удерживая клавишу, и Linux, похоже, распознает около 70 символов в секунду, используя этот метод (или одно нажатие клавиши примерно каждые 15 миллисекунд).

Отправка таких быстрых нажатий клавиш позволяет быстро достигать максимального количества попыток ввода пароля, в то же время удерживая систему от автоматической разблокировки диска из-за ограничения скорости подбора пароля, что приводит к доступу к корневой оболочки в среде ранней загрузки.

Отсюда легко вручную использовать TPM, чтобы разблокировать диск с помощью инструмента Clevis и смонтировать корневой том для взлома.

В России продолжаются веерные блокировки VPN, и в случае с AtlasVPN Linux - это даже очень неплохо.

Анонимный исследователь опубликовал подробности [в архиве] об обнаруженной 0-day в клиенте AtlasVPN, которую он считает не ошибкой, а лазейкой, что также подтвердили независимые эксперты.

Linux-клиент AtlasVPN состоит из двух частей. Демон (atlasvpnd), который управляет подключениями, и клиент (atlasvpn), которым пользователь управляет для подключения, отключения и получения списка служб. 

Демон AtlasVPN в Linux запускает HTTP-сервер по адресу 127.0.0.1:8076, который принимает команды CLI без какой-либо аутентификации.

Уязвимость позволяет злоумышленникам заманивать пользователей AtlasVPN на вредоносные сайты, где они могут отправлять запросы на локальный сервер для выполнения вредоносных операций, включая POST на адрес 127.0.0.1:8076/connection/stop для мгновенного отключения вашего VPN.

Если затем он выполнит еще один запрос, это приведет к утечке реального IP-адреса пользователя на любой веб-сайт с использованием кода эксплойта.

Самое занимательное в этой истории то, что публикация подробностей и PoC на Reddit последовали после упорного молчания и игнорирования баги со стороны самой компании. Но для кого бага, а для кого - фича.

Вслед за Южной Кореей на стороне США с обвинениями в тайных кибероперациях и кибершпионаже в адрес КНР подключилась теперь и Германия.

Правительство ФРГ заявило, что китайские APT захватывают маршрутизаторы SOHO, устройства NAS и системы умного дома для проведения операций кибершпионажа, используя взломанные в качестве сети прокси-серверов для сокрытия источника атак.

Согласно рекомендациям, опубликованным Федеральным ведомством по защите конституции Германии (BFV) на прошлой неделе, отмечено, что китайские АРТ, в частности, APT15 (Vixen Panda, Ke3chang Vixen Panda, Ke3chang) и APT31 (Zirconium, Judgment Panda), активно используют эту тактику.

Как заявляют в BFV, не называя конкретных жертв, объектами атак стали правительственные и политические органы.

Однако, как сообщают DerStandardDerStandard, DerSpeigelDerSpeigel и ZDF, одной из жертв APT15 в ходе атак с использованием взломанных маршрутизаторов могло стать скомпрометированное в декабре 2021 года Федеральное агентство картографии и геодезии (BKG), которое готовит высокодетализированные карты для спецслужб.

Стоит отметить, что взломанные маршрутизаторы и IoT-устройств в качестве прокси для сокрытия атакующей инфраструктуры за последнее десятилетие получило широкое распространение.

Впервые, его использовали именно спецслужбы США, а затем уже технологию освоили и другие. Причем, некоторые APT, такие как APT28 и OceanLotus, создают и управляют собственными прокси-сетями, такими как VPNFilter и Torii Torii, а некоторые арендуют прокси у операторов IoT-ботнетов. Mirai и еже с ними хорошо подсобили в этом вопросе.

В свою очередь, китайские APT можно сказать опоздали с внедрением прокси-сетей для сокрытия своих операций, как видно из недавних отчетов.

Всего через несколько дней после выпуска крупного обновления безопасности, опубликован код эксплойта для критической уязвимости обхода аутентификации SSH в инструменте анализа VMware Aria Operations for Networks (ранее известном как vRealize Network Insight).

CVE-2023-34039 была обнаружена аналитиками из ProjectDiscovery Research и исправлена VMware в прошлую среду с выпуском версии 6.11.

Успешная эксплуатация позволяет удаленным злоумышленникам обойти аутентификацию SSH на непропатченных устройствах и получить доступ к интерфейсу командной строки инструмента в атаках низкой сложности, которые не требуют взаимодействия с пользователем из-за «отсутствия генерации уникального криптографического ключа».

VMware подтвердила, что код эксплойта CVE-2023-34039 был опубликован в Интернете, через два дня после раскрытия критической баги.

PoC нацелен на все версии Aria Operations for Networks с 6.0 по 6.10. Он был разработан и выпущен исследователем Summoning Team Синой Хейркхой.

Основной причиной проблемы он назвал - жестко запрограммированные ключи SSH, оставшиеся после того, как VMware забыла повторно сгенерировать авторизованные ключи SSH, и чтобы создать полнофункциональный эксплойт, ему пришлось собрать все ключи из разных версий этого продукта.

На неделе VMware также исправила уязвимость записи произвольного файла (CVE-2023-20890), которая позволяет злоумышленникам реализовать RCE после получения доступа администратора к целевому устройству (PoC CVE-2023-34039 может позволить им получить root-права после успешного атаки).

В свете этого администраторам настоятельно рекомендуется как можно скорее обновить свои устройства Aria Operations for Networks до последней версии в качестве превентивной меры против потенциальных входящих атак.

Interlabs в своем отчете сообщают о новом RAT на открытом исходном коде, который используется северокорейской APT Kimsuky (aka APT43, Emerald Sleet, Nickel Kimball и Velvet Chollima) для нацеливанная на журналистов и активистов в Южной Корее.

Обнаружить и изучить новый троян, получивший название SuperBear, удалось после того, как была атакована одна из ненадеванных жертв фишинговой кампании, с которой связались в конце августа 2023 года и направили вредоносный файл LNK.

Причем та же кампания наблюдалась исследователями Qihoo 360.

Файл LNK при выполнении запускает команду PowerShell для выполнения сценария Visual Basic, который, в свою очередь, извлекает полезные данные следующего этапа с реального, но скомпрометированного веб-сайта WordPress.

К ним относятся двоичный файл Autoit3.exe («solmir.pdb») и сценарий AutoIt («solmir_1.pdb»), запускаемый с использованием первого.

Сценарий AutoIt, в свою очередь, выполняет внедрение процесса, используя технику очистки процесса, при которой вредоносный код вставляется в процесс, находящийся в приостановленном состоянии.

В этом случае создается экземпляр Explorer.exe для внедрения ранее не встречавшегося RAT, SuperBear, который устанавливает связь с удаленным сервером для извлечения данных, загрузки и запуска дополнительных команд оболочки и библиотек динамической компоновки (DDL).

Действие по умолчанию для сервера C2, по всей видимости, дает указание клиентам извлечь и обработать системные данные.

При этом вредоносное ПО названо так потому, что вредоносная DLL попытается создать для него случайное имя файла, и если он не может быть назван SuperBear.

Атаку со средней степенью уверенностью связывают с северокорейской Kimsuky, ссылаясь на сходство с первоначальным вектором и используемыми командами PowerShell.

Ранее в феврале Interlab уже наблюдала, как представители северокорейских АРТ атаковали журналиста в Южной Корее с помощью вредоносного ПО для Android, получившего название RambleOn, использую социнженерию.

Очередной скандал в благородном семействе произошел в последние деньки минувшего лета.

Известные своим вредным поведением исследователи из канадской Citizen Lab, ранее неоднократно курощавшие коммерческие компании, специализирующиеся на легальном взломе (от их рук "пострадали" NSO Group, Cytrox, FinFisher и другие), наконец-то обратили свое внимание на SS7.

Кто не знает, что такое SS7 (он же ОКС-7) и его дырки, - тот счастливый человек. Кто знает - тот конченный параноик, использующий вместо телефонной связи почтовых голубей. Либо оптихуист.

Не будем растекаться мыслью по древу - с помощью SS7 можно делать с телефонной связью (в том числе с мобильной) в приципе все, вплоть до введения в состояние грогги целых региональных коммутаторов путем пробития с ноги в щщи HLR. Конечно от этого можно защититься. Но, во-первых, это геморрно, во-вторых - дорого. "Хрен с ними, с абонентами" - так думают большинство телефонных компаний в мире.

Хотя и тут есть один подвох. Заключается он в том, что для атак через SS7 необходимо иметь доступ в этот самый SS7. А туда не всех пускают, а только авторизованных операторов связи. Поэтому многие операторы в странах третьего мира (и не только) дают за денежки доступ в сигнальную сеть всяким фейковым ОПСОСам, а те уже не стесняются. Помогает этим негодяям то, что SS7 хреново защищен, все что хочешь можно подделать, а в самом сигнальном сегменте шарят ровно 3,5 коммутаторщика. Terra Incognita, етить!

Citizen Lab обнаружили, что GT (Global Title), своеобразный аналог IP-адресов в SS7, принадлежащие оператору Digital Pacific, базирующемуся на островах Тихого Океана, активно используются различными мутными фирмешками для идентификации сотовых телефонов и пробива их геолокации. В том числе разных журналистов и правозащитных правозащитников.

Вишенка на торте - прошлым летом Digital Pacific была куплена австралийским оператором Telstra, при этом 1,3 млрд долларов США было выделено в качестве поддержки сделки австралийским правительством. Под предлогом "противодействию китайскому шпионажу в Тихоокеанском регионе".

Китайских шпионов, понятное дело, не пустили. Пустили побольше своих.

Ведь совершенно понятно, совершенно, что существенная часть мутных частных компаний по мобильному пробиву является не более чем прокладкой между спецслужбами разведсообщества FiveEyes и операторами сотовой связи. Потому что буратинку всегда можно слить в случае кипеша и поставить нового.

Поэтому этот скандал, так же как и большинство предыдущих, касающихся деятельности госорганов AUKUS и прочих НАТО, ничем не закончится. А поскольку мы относим себя к оптихуистам, то скажем на это - ну и хрен с ним.

Во Франции уголовное дело PyLocky с обвиняемым алжирским хакером BX1 (ака Daniel HB) дошло до суда и развалилось из-за технической ошибки в судебных документах.

Но и это еще не все.

Французские прокуроры обвинили 34-летнего Хамзу Бенделладжа в организации атак с помощью программы-вымогателя PyLocky на французские компании, которые он проводил прямо из тюремной камеры в США.

За Бенделладжем, входившим в десятку самых разыскиваемых хакеров, пять лет гонялись американские спецслужбы по обвинению в хищении десятков миллионов долларов у более чем двухсот американских и европейских финучреждений с помощью трояна SpyEYE, заразившим более 60 миллионов компьютеров по всему миру.

Бенделладж был арестован 7 января 2013 года тайской полицией во время остановки в Бангкоке. Он получил прозвище Smiling Hacker из-за постоянной улыбки на лице во время задержания и следственных действий.

В мае 2013 года его экстрадировали в США. Его судили в Атланте, где 25 июня 2015 года он признал себя виновным. Через год суд приговорил его к 15 годам тюремного заключения и 3 годам условно.

В ходе судебного процесса во Франции юристы хакера обнаружили, что в следственных документах содержались неправильные формулировки, в которых упоминалась программа-вымогатель JobCrypter, а не инкриминируемая PyLocky.

В результате чего судья был вынужден прекратить дело после того, как обвинение подтвердило процессуальную ошибку.

Так что BX1 продолжает улыбаться, и, вероятно, подрабатывать с зоны.

͏Мы хотели было написать очередной новостной пост по следам последнего отчета Security Joes в отношении наблюдения в дикой природе атак на объектное хранилище MinIO, однако подумали - какого черта?!

Две критичные уязвимости были выявлены и закрыты еще в марте этого года, а в апреле в паблике появился их эксплойт. Между тем, как утверждают Security Joes, в сети доступны более 52 тысяч экземпляров MinIO, из которых только 38% обновлены до неуязвимой версии. В России, кстати, всего наружу торчит около 1800 MinIO, а значит примерно 1100 установок дырявые.

Если админ за полгода (!) не обновил один из ключевых объектов своей инфраструктуры, то нам его совершенно не жаль - он просто мудак. И его начальник, который его держит на должности - мудак. И директор HR, который нанял таких специалистов - мудак. И генеральный директор компании вместе с учредителями, допустившие такую кадровую политику в ущерб информационной безопасности своих данных, - мудаки. Нам их всех ничуть не жаль, они должны страдать.

Пора вводить новый вид атак - атака на цепочку мудаков. Она куда более распространена, чем атаки на цепочку поставок или цепочку зависимостей.

Давненько не было LockBit в нашей ленте, но зато, если редко - то всегда метко.

На днях группа опубличила гигабайты конфиденциальных данных британской компании Zaun, в том числе связанная с британскими военными, разведывательными и исследовательскими базами.

Компания со штаб-квартирой в Вулвергемптоне специализируется на строительстве оградительных сооружений для исправительных учреждений, военных баз и объектов коммунального назначения.

В уведомлении об утечке, Zaun сообщила, что кибератака произошла в 5-6 августа. При этом компания смогла предотвратить ее до того, как данные были зашифрованы, а инцидент не прервал операционную деятельность.

Но при всем этом, как они сами признались, взлом произошел через компьютер с Windows 7, на котором было установлено ПО для одной из наших производственных машин. И дословно: Машина удалена, уязвимость закрыта.

LockBit взяла на себя ответственность за эту атаку 13 августа. Банда поставила Zaun условие в срок до 29 августа произвести выплату выкупа – после чего опубликовала часть данных на своем DLS.

Как отмечают представители Zaun, вымогателям в ходе атаки удалось все же эксфильтровать данные, предполагая, что это 10 ГБ, потенциально включающих некоторые электронные письма, заказы, чертежи и файлы проектов, но не содержащих секретные сведения.

Вместе с тем, The Daily Mirror отмечают, что в опубликованных LockBit файлах были тысячи страниц проектов и чертежей, которые могут помочь потенциальным нарушителям или диверсантам проникнуть, к примеру, на военно-морскую базу HMNB Клайд, базу атомных подводных лодок, лабораторию химического оружия Портон-Даун и комплекс связи GCHQ в Буде, Корнуолл.

Кроме того, утекли подробные чертежи ограждений по периметру Каудора, объекта британской армии в Пембрукшире, и документы, относящиеся к ряду тюрем, включая категории А - Лонг Лартин в Вустершире и Уайтмур в Кембриджшире.

Региональный отдел по борьбе с киберпреступностью Уэст-Мидлендса совместно с Национальным центром кибербезопасности (NCSC) в настоящее время начал расследование.

Парламентарии тем временем считают, что инцидент может нанести очень серьезный ущерб безопасности, требуя пояснений от правительства, почему компьютерные системы этой фирмы были настолько уязвимы.

К слову, еще один из примеров атаки на цепочку мудаков - на лицо, как говорится.

Positive Technologies поделились подробностями реализации атаки, которая привела к остановке центрифуги для обогащения урана, пусть хоть и на виртуальной, но АЭС.

В рамках Standoff 11 организаторы представили виртуальное государство F с атомной промышленностью. В атомной промышленности выделили основные отраслевые элементы и этапы — от добычи урановой руды до захоронения отходов.

По сценарию кибербитвы для атак были доступны АЭС (включая электроподстанцию) и завод по обогащению урана. Задачей атакующих (red team) было реализовать недопустимые события на виртуальной АЭС, а защитников (blue team) — расследовать атаку.

На второй день противостояния на виртуальном заводе перестали работать несколько центрифуг. Атакующим удалось проникнуть во внутреннюю сеть предприятия и отправить контроллеру соответствующую команду.

Цепочка реализованных в ходе Standoff событий наглядно демонстрирует, что даже самые защищенные системы и критическая инфраструктура подвержены уязвимостям.

Атака началась с обычного фишингового письма. После того, как пользователь открыл зараженный документ, red team удалось переместиться через несколько устройств и по итогу получить доступ к узлу оператора ПЛК. Именно оттуда они остановили центрифугу для обогащения урана.

В реальной жизни изменение скорости вращения центрифуг может привести к остановке обогащения урана и обнулить весь процесс.

К тому же при неправильном изменении частоты вращения центрифуга может выйти из строя, а ее восстановление займет месяцы, как это было в случае со Stuxnet, отбросившим ядерную программу Ирана на два года назад.

Ретроспективу событий, сохранившихся в SOC, распутали специалисты PT Expert Security Center, о чем в подробностях поведали в блоге.

͏Asshole chain attack!

Как избежать киберштормов в 2023 году?

Поговорим об этом и о многом другом на нашем вебинаре, который состоится 7 сентября в 11:00 по МСК.

Уже меньше чем через неделю наши коллеги Михаил Березин, руководитель отдела развития продуктов ICS CERT, и Андрей Бондюгин, руководитель группы по сопровождению проектов защиты промышленных инфраструктур, встретятся и расскажут о защите промышленных инфраструктур!

Программа:

➡️ Обзор экспертизы и сервисов экосистемы промышленной кибербезопасности Kaspersky OT CyberSecurity
➡️ Отчеты по угрозам и аналитика уязвимостей: Kaspersky ICS Threat Intelligence Reporting
➡️ Дополнительная информация об уязвимостях АСУ ТП: Kaspersky Ask the Analyst
➡️ Предотвращение атак и расследование киберинцидентов: Kaspersky ICS Threat Data Feeds
➡️ Демонстрация усиления защиты промышленных сред: интеграция Kaspersky ICS Vulnerability Data Feed c XDR-платформой KICS

Регистрируйтесь и не пропустите!

0-day в SCADA, обнаруженная в рамках Zerodayinitiative, остается неисправленной, несмотря на истечение 90-дневного срока и раскрытие подробностей об уязвимости.

На днях китайский исследователь Y4er представил анализ CVE-2023-39476 (CVSS 9.8), RCE-уязвимости в Inductive Automation Ignition.

Стоит отметить, что платформа Ignition Ignition platform — это центральный узел, который можно использовать для управления и автоматизации оборудования SCADA на многих производствах.

Конкретный недостаток затрагивает класс JavaSerializationCodec и возникает из-за отсутствия надлежащей проверки данных, предоставленных пользователем, что может привести к десериализации ненадежных данных.

Для использования этой уязвимости аутентификация не требуется.

Она позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках Inductive Automation Ignition.

Уязвимость была публично раскрыта еще в августе и до сих пор остается не исправленной.

Поставщик заявляет, что проблема находится в стадии разработки, но не может сообщить точные сроки исправления.

Хакеры, предположительно, в начале этого года взломали и украли более 175 ГБ данных из систем Национальной полиции Парагвая.

Сообщается, что утечка включает более 500 000 внутренних документов, в том числе управления внутренних дел, департамента идентификации и регистрации иностранцев, отдела технологий и развития, а также 175 гигабайт баз данных SQL.

Хакеры поделились данными с DDoSecrets project, которые в свою очередь, готовы поделиться документами только журналистами и исследователями. Для этого им следует подать заявку на сайт.

Официальные лица Парагвая заявили, что расследуют инцидент вместе с Центром реагирования и инцидентов, Министерством информационных и коммуникационных технологий (Митич) и полицией других стран, но официально не подтвердили факт взлома, полагая, что это может быть случаем мошенничества.

Полицейские при этом ссылаются на то, что в утечке говорится об подразделениях или департаментах, которых нет в Национальной полиции, а за доступ к базе необходимо предварительно заплатить.

Вместе с тем, руководство полиции официально признают, что у организации недостаточно бюджета для принятия всех необходимых мер защиты, утверждая, что вся информация, находящаяся в сети, всегда подвергается риску утечки.

Но будем посмотреть.

Позиция канала SecAtor относительно подключенных к сети свистоперделок неоднократно нами озвучивалась и не поменялась - нет! Потому что, чем их больше - тем больше уязвимостей.

На этот раз китайская компания по производству умных секс-игрушек оставила одну из своих баз данных открытой в Интернете благодаря двум уязвимостям, раскрыв информацию о клиентах, которые приобрели мужские цифровые замки целомудрия.

Утечка включала адреса электронной почты, пароли в виде открытого текста, домашние адреса, IP-адреса и даже GPS-координаты некоторых из ее пользователей.

В общей сложности более пострадало 10 000 пользователей, благодаря двум уязвимостям.

Анонимный исследователь, обнаруживший баги и извлекший базу данных, сообщил об утечке поставщику девайсов и китайской CERT еще в июне, но безрезультатно.

В итоге, в поисках справедливости исследователь 23 августа оставил месседж на сайте поставщика, донеся таким образом до производителя информацию об утечке базы данных.

Компания в ответ восстановила свой сайт, но все равно не предприняла никаких мер по защите.

Компания по соображениям безопасности не называется. Но в прошлом аналогичный инцидент произошел с Qiui Cellmate.

В мобильном приложении оказался ряд уязвимостей, которые позволяли не только в течение пары дней собрать базу всех пользователей, но и дистанционно блокировать устройство в закрытом состоянии.

Патрик Гаррити из Nucleus Security отмечает, что в этом году в базу данных CISA KEV было добавлено 117 активно эксплуатируемых уязвимостей, в прогнозе - в этом году их число превысит 150.

Проанализировав статистику и оценив эксплуатируемые уязвимости, исследователь визуализировал CISA KEV и выявить некоторые новые тенденции.

Подавляющее большинство приходится на Microsoft и соответствует ежемесячному циклу PatchTuesday, за некоторыми исключениями. В виду распространенности продуктов на рынке и более пристального внимания к ПО со стороны исследователей, в последние годы в портфеле старых уязвимостей подприбавилось.

Наметилась тенденция кластерных уязвимостей, которая прослеживается у нескольких поставщиков, прежде всего, Microsoft, Apple, Samsung Electronics, Cisco, Zyxel и др., обусловленная добавлением в KEV одновременно целого ряда недостатков.

У Samsung Electronics фиксируется заметный рост числа уязвимостей, преимущественно, из-за включения нескольких 0-day 2021 года из списка Google Project Zero.

Произошло множество серьезных инцидентов безопасности с участием поставщиков, имеющих только одну уязвимость в списке, включая Fortinet, Progress MoveIT и Barracuda Networks (Citrix отличился наличием в списке двух уязвимостей).

Ресерчер подчеркнул важность надежного управления уязвимостями, внедрения дополнительных мер по смягчению последствий и соблюдения лучших практик безопасности для любых систем, подключенных к Интернету, а также формулировки стратегии быстрого реагирования.

Заметьте, в этом случае мы не говорим про Asshole Chain Attack, поскольку она относится исключительно к профессионально подготовленным специалистам.

͏Не только лишь все могут улететь на Марс

Сентябрьские обновления безопасности Google для Android устраняют 32 уязвимости, включая одну активно эксплуатируемую ошибку высокой степени серьезности.

Android Zero-Day, получившая обозначение CVE-2023-35674, связана с повышением привилегий в компоненте Android Framework.

Согласно рекомендациям Google, для использования этой ошибки не требуется никаких дополнительных прав на выполнение или взаимодействия с пользователем.

Кроме того, компания обнаружила свидетельства, указывающие на то, что CVE-2023-35674 может подвергаться ограниченному целенаправленному использованию, не раскрывая подробностей о наблюдаемых атаках.

Вероятно, речь идет о целевых атаках, которые реализуются с использованием spyware, как это уже было ранее с предыдущими исправленными 0-day Android.

В Framework были устранены еще 5 уязвимостей высокой степени серьезности: 3 из них приводили к повышению привилегий, а 2 — к раскрытию информации.

Все 6 проблем были решены в рамках обновления безопасности Android от 2023-09-01, которое также включает исправления для 14 уязвимостей в системных компонентах.

Из них три (CVE-2023-35658, CVE-2023-35673, CVE-2023-35681) являются критическими ошибками, которые могут привести к RCE без необходимости дополнительных привилегий и взаимодействия с пользователем, а остальные являются ошибками высокой степени серьезности: 6 приводят к повышению привилегий, 4 — к раскрытию информации и 1 — к DoS.

Google также объявила, что две другие проблемы были закрыты в компонентах Project Mainline с помощью обновлений, доставленных в фоновом режиме через Google Play.

Вторая часть обновлений для Android, выпущенного в этом месяце, поставляется на устройствах в виде патча безопасности от 05 сентября 2023, в котором исправлены 12 других уязвимостей в компонентах Qualcomm.

Последний уровень исправлений включает в себя все исправления безопасности из исходного набора и дополнительные исправления для сторонних компонентов с закрытым исходным кодом и компонентов ядра, которые могут не относиться ко всем устройствам Android.

Исследователи BugProve обнаружили десятки неисправленных уязвимостей в широко распространенных камерах видеонаблюдения китайской компании Zavio. 

До 2022 года Zavio являлся крупных китайским производителем систем видеонаблюдения гражданского и промышленного назначения с достаточно большой долей на мировом рынке.

К настоящему времени поставщик прекратил свою деятельность, но, как сообщается, ее камеры видеонаблюдения до сих пор используются, преимущественно, в США и Европе, представлены и в России.

В связи с ее закрытием исследователям пришлось координировать процесс раскрытия уязвимости с CCTV Camera Pros, основным дистрибьютором камер Zavio в Северной Америке и представителями CISA.

В совокупности BugProve выявила более 34 уязвимостей, связанных с повреждением памяти и внедрением команд, затрагивающих различные модели IP-камер Zavio, а также Onvif, который используется для интеграции с различными системами наблюдения.

По данным компании, семь уязвимостей могут быть использованы для удаленного выполнения кода без аутентификации с правами root, позволяя злоумышленникам получить полный контроль над целевым устройством.

IP-камеры могут быть использованы для перехвата видеопотока, но в реальной жизни - чаще становятся объектами атак ботнетов и задействуется в дальнейшем для DDoS-кампаний.

Несмотря на то, что BugProve обнаружила множество отдельных уязвимостей, CISA присвоила только два идентификатора CVE — CVE-2023-4249 и CVE-2023-3959 с учетом того, что недостатки связаны с теми же основными проблемами.

Поскольку затронутые камеры Zavio не получат исправлений, пользователям рекомендуется заменить устройства, чтобы избежать хакерских атак, о чем CCTV Camera Pros уже информирует клиентов, предлагая альтернативы.

Уязвимости были обнаружены еще в конце 2022 года, но процесс раскрытия затянулся из-за отсутствия ответа со стороны поставщика и длительной проверки уязвимостей со стороны CISA.

Технические подробности всех выявленных недостатков в продуктах Zavio исследователи BugProve в своем блоге.

В нашей практике мы еще не сталкивались с тем, чтобы китайская инфосек-компания публиковала отчет о активности иранской АРТ, нацеленной на организации в США.

Теперь столкнулись.

Китайские исследователи NSFOCUS опубликовали отчет о недавней целевой фишинговой кампании, проведенной иранской APT34, также известной как Cobalt Gypsy, Hazel Sandstorm, Helix Kitten и OilRig.

APT34 активна, как минимум, с 2014 года и ранее была нацелена на госучреждения и компании в сфере телекоммуникаций, обороны, ТЭК, финансов, химпромышленности на Ближнем Востоке посредством фишинга в рамках операции по кибершпионажу и кибердиверсиям.

Как отмечают исследовали, APT34 обладает высоким уровнем технологии атак, способна разрабатывать уникальные методы проникновения для разных типов целей и проводить атаки на цепочку поставок.

Одной из ключевых особенностей хакерской организации является ее способность создавать новые и обновляемые инструменты, позволяющие свести к минимуму вероятность обнаружения, а также закрепляться на скомпрометированных хостах на длительный период времени.

После того, как основные инструменты атаки этой группы были раскрыты в утечке в 2019 году, она начала разрабатывать новые инструменты атаки, включая RDAT, SideTwist и Saitama.

SideTwist использовался APT34 впервые в апреле 2021 года. Исследователи Check Point описали его как имплант, способный загружать/выгружать файлы и выполнять команды.

Новая кампания была нацелена на организации США и привела к заражению жертв новой версией трояна SideTwist.

Цепочка атак, выявленная NSFOCUS, начиналась с документа-приманки Microsoft Word, который встраивается во вредоносный макрос, который, в свою очередь, извлекал и запускал полезные данные в кодировке Base64.

Полезная нагрузка представляла собой вариант SideTwist, который был скомпилирован с использованием GCC и устанавливал связь с удаленным сервером (11.0.188[.]38) для получения дальнейших команд.

Специфика этого IP-адреса, по мнению ресерчеров, предполагает, что злоумышленник APT34, вероятно, использовал его в качестве проверки и не демонстрируя реальный адрес C2.

Особенно, если учесть, что принадлежал сегменту 11.0.188.0/22, принадлежащему Министерству обороны США.

По нашему мнению, подобный отчет может быть свидетельством противодействия китайской стороны наметившемуся политическому сближению Ирана и США, в рамках которого штаты даже разморозили конфискованные у Ирана 6 млрд.дол. для их использования в гуманитарных целях.

Но будем посмотреть.