Исследователи Numen Labs сообщают об RCE-уязвимости (CVE-2023-41047) в популярном ПО с открытым исходным кодом для 3D печати OctoPrint.
Оно позволяет отображать состояние и основные параметры принтера, а также поддерживает планирование заданий печати и удаленное управление принтером.
Проблема затрагивает OctoPrint 1.9.2 и все нижестоящие версии и связана с тем, что во время выполнения задания печати настраивается специально созданный сценарий языка GCODE, позволяющий выполнять произвольный код во время рендеринга сценария.
Злоумышленник может использовать это для извлечения или манипулирования данными, управляемыми OctoPrint, а также выполнения произвольных команд с правами процесса OctoPrint в серверной системе.
Numen уведомила разработчика об ошибке 31 августа, которую OctoPrint почти сразу же подтвердила, а 10 октября выпустила обновление. В новой версии 1.9.3 была добавлена изолированная программная среда безопасности.
К настоящему времени, по данным Shodan, в сети доступно более 20 000 открытых OctoPrints.
В связи с чем, администраторам OctoPrint настоятельно рекомендуется перейти на обновленную версию ПО.
Кроме того, тщательно проверять админский доступ к своей установке и не настраивать вслепую произвольные сценарии GCODE, найденные в Интернете или предоставленные третьими лицами.
Оно позволяет отображать состояние и основные параметры принтера, а также поддерживает планирование заданий печати и удаленное управление принтером.
Проблема затрагивает OctoPrint 1.9.2 и все нижестоящие версии и связана с тем, что во время выполнения задания печати настраивается специально созданный сценарий языка GCODE, позволяющий выполнять произвольный код во время рендеринга сценария.
Злоумышленник может использовать это для извлечения или манипулирования данными, управляемыми OctoPrint, а также выполнения произвольных команд с правами процесса OctoPrint в серверной системе.
Numen уведомила разработчика об ошибке 31 августа, которую OctoPrint почти сразу же подтвердила, а 10 октября выпустила обновление. В новой версии 1.9.3 была добавлена изолированная программная среда безопасности.
К настоящему времени, по данным Shodan, в сети доступно более 20 000 открытых OctoPrints.
В связи с чем, администраторам OctoPrint настоятельно рекомендуется перейти на обновленную версию ПО.
Кроме того, тщательно проверять админский доступ к своей установке и не настраивать вслепую произвольные сценарии GCODE, найденные в Интернете или предоставленные третьими лицами.
Weixin Official Accounts Platform
Numen独家: OctoPrint远程代码执行漏洞
前言OctoPrint是一个开源的3D打印机控制器应用程序,它为连接的打印机提供Web 界面。它可以显示打印
Forwarded from Social Engineering
🖖🏻 Приветствую тебя, user_name.• Cobalt Strike — без преувеличения является одним из самых популярных инструментов, который используют хакеры и пентестеры. Этот фреймворк используют все, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков.
• Недавно у всех пользователей появилась возможность обновиться или скачать новую версию Cobalt Strike 4.9, которая может похвастаться существенными изменениями. В этом релизе внесены улучшения в возможности постэксплуатации Cobalt Strike, включая экспорт Beacon без рефлективного загрузчика, добавление официальной поддержки URL в prepend, поддержку обратных вызовов во многих встроенных функциях и многие другие обновления.
• Changelog доступен по ссылке: https://www.cobaltstrike.com
• Новость на RU и источник: https://www.securitylab.ru
• Официальный сайт: https://www.cobaltstrike.com
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
Если давно читаете канал SecAtor, то последний отчет Splunk с результатами опроса более 350 руководителей в сфере безопасности вряд ли вас шокирует.
Но неискушенную аудиторию точно удивят некоторые цифры из нового глобального исследования, которое проводилось посредством опросов CISO, CSO и другие руководители высшего звена в сфере безопасности в период с мая по июнь 2023 года при участии Enterprise Strategy Group.
Мероприятия проводились в 10 странах: Австралии, Канаде, Франции, Германии, Индии, Японии, Новой Зеландии, Сингапуре, Великобритании и США.
Оказывается, что 90% организаций пострадали как минимум от одной крупной кибератаки за последний год.
Причем многие отрасли промышленности подверглись атакам с использованием ransomware, которые существенно повлияли на их системы и бизнес-операции, включая финансовые услуги (59%), розничную торговлю (59%) и здравоохранение (52%).
Как мы и неоднократно говорили, результаты опроса показали, что 83% респондентов признались, что заплатили злоумышленникам выкуп в ходе реагирования на ransomware-инциденты.
95% респондентов сообщили, что они платили либо напрямую, либо через посредника - переговорщика или поставщика киберстрахования.
При этом сумма в 50% случаев составила не менее 100 000 долларов, а четверть всех выплаченных выкупов превышала 250 000 долларов, что продолжает делать вымогательство весьма прибыльным бизнесом вопреки прогнозам инфосек-специалистов.
Другим интересным выводом стало повышение приоритета кибербезопасности внутри организаций.
В 47% опрошенных организаций директора по информационной безопасности теперь подчиняются непосредственно руководителю компании.
93% респондентов-директоров по ИБ ожидают увеличения своего бюджета на кибербезопасность в следующем году, при том, что в 83% это совпадает с секвестированием бюджетов по другим статьям.
Большинство из опрошенных (70%) считают, что ИИ может предоставить злоумышленникам больше возможностей для совершения атак, но 35% уже экспериментируют с ним для киберзащиты, включая анализ вредоносного ПО, автоматизацию рабочих процессов и оценку рисков.
Приоритетом в работе большая часть опрошенных считают сокращение количества используемых инструментов и упрощения процессов за счет автоматизации (93% уже на этом пути).
Но неискушенную аудиторию точно удивят некоторые цифры из нового глобального исследования, которое проводилось посредством опросов CISO, CSO и другие руководители высшего звена в сфере безопасности в период с мая по июнь 2023 года при участии Enterprise Strategy Group.
Мероприятия проводились в 10 странах: Австралии, Канаде, Франции, Германии, Индии, Японии, Новой Зеландии, Сингапуре, Великобритании и США.
Оказывается, что 90% организаций пострадали как минимум от одной крупной кибератаки за последний год.
Причем многие отрасли промышленности подверглись атакам с использованием ransomware, которые существенно повлияли на их системы и бизнес-операции, включая финансовые услуги (59%), розничную торговлю (59%) и здравоохранение (52%).
Как мы и неоднократно говорили, результаты опроса показали, что 83% респондентов признались, что заплатили злоумышленникам выкуп в ходе реагирования на ransomware-инциденты.
95% респондентов сообщили, что они платили либо напрямую, либо через посредника - переговорщика или поставщика киберстрахования.
При этом сумма в 50% случаев составила не менее 100 000 долларов, а четверть всех выплаченных выкупов превышала 250 000 долларов, что продолжает делать вымогательство весьма прибыльным бизнесом вопреки прогнозам инфосек-специалистов.
Другим интересным выводом стало повышение приоритета кибербезопасности внутри организаций.
В 47% опрошенных организаций директора по информационной безопасности теперь подчиняются непосредственно руководителю компании.
93% респондентов-директоров по ИБ ожидают увеличения своего бюджета на кибербезопасность в следующем году, при том, что в 83% это совпадает с секвестированием бюджетов по другим статьям.
Большинство из опрошенных (70%) считают, что ИИ может предоставить злоумышленникам больше возможностей для совершения атак, но 35% уже экспериментируют с ним для киберзащиты, включая анализ вредоносного ПО, автоматизацию рабочих процессов и оценку рисков.
Приоритетом в работе большая часть опрошенных считают сокращение количества используемых инструментов и упрощения процессов за счет автоматизации (93% уже на этом пути).
Splunk
The CISO Report: The Path to Digital Resilience Starts With Your Board | Splunk
Boards and CISOs have opportunities to better communicate, deepen relationships, and bridge the divide on critical goals, KPIs, and future investments.
Илон Маск в очередной раз хочет удивить мир и, если SpaceX получит разрешение регулятора, то обычному обывателю не придется иметь ТеслаФон, чтоб пользоваться его услугами.
Собственно, в чем изюминка! Starlink предлагает технологию Direct to Cell, которая позволит существующими LTE-телефонам пользоваться услугами связи от слова везде, где есть небо.
Запуск нового сервиса для отправки SMS-сообщений запланирован уже на 2024 год, а голосовые, данные и IoT-услуги ожидаются в 2025.
Новый веб-сайт Starlink уже размещает рекламу прямого подключения к сотовым телефонам, которое работает с существующими мобильными устройствами без необходимости вносить изменения в оборудование или ПО.
Starlink обещает "всеобщий доступ, будь то на суше, озерах или прибрежных водах". Компания рекламирует новую функциональность своим бизнес-партнерам, предлагая интеграцию сетей, аналогичную стандартному роумингу.
Ноу-хау позволит Starlink конкурировать напрямую с телеком-компаниями, а многие из них и вовсе канут в лета.
Однако SpaceX должна получить специальное разрешение от Федеральной комиссии по связи на использование радиочастот.
Некоторые крупные игроки телекома уже подсуетились в этом вопросе, пытаясь помешать конкуренту. Например, AT&T занесла в FCC соответствующую петицию.
Как обещает Starlink, спутники Direct to Cell будут первоначально будут запущены на ракете SpaceX Falcon 9, а затем на Starship. На орбите спутники подключаться по лазерной обратной связи к созвездию Starlink и обеспечат глобальную связь.
Компания ведет разработку в коллаборации с T-Mobile и пока нет никаких дополнительных подробностей о ценах или о том, ожидается ли внедрение услуг для конечного потребителя, но однозначно решение не будет удовлетворено до тех пор, пока SpaceX и T-Mobile не проведут соответствующие испытания и демонстрацию.
Так что будем посмотреть.
Собственно, в чем изюминка! Starlink предлагает технологию Direct to Cell, которая позволит существующими LTE-телефонам пользоваться услугами связи от слова везде, где есть небо.
Запуск нового сервиса для отправки SMS-сообщений запланирован уже на 2024 год, а голосовые, данные и IoT-услуги ожидаются в 2025.
Новый веб-сайт Starlink уже размещает рекламу прямого подключения к сотовым телефонам, которое работает с существующими мобильными устройствами без необходимости вносить изменения в оборудование или ПО.
Starlink обещает "всеобщий доступ, будь то на суше, озерах или прибрежных водах". Компания рекламирует новую функциональность своим бизнес-партнерам, предлагая интеграцию сетей, аналогичную стандартному роумингу.
Ноу-хау позволит Starlink конкурировать напрямую с телеком-компаниями, а многие из них и вовсе канут в лета.
Однако SpaceX должна получить специальное разрешение от Федеральной комиссии по связи на использование радиочастот.
Некоторые крупные игроки телекома уже подсуетились в этом вопросе, пытаясь помешать конкуренту. Например, AT&T занесла в FCC соответствующую петицию.
Как обещает Starlink, спутники Direct to Cell будут первоначально будут запущены на ракете SpaceX Falcon 9, а затем на Starship. На орбите спутники подключаться по лазерной обратной связи к созвездию Starlink и обеспечат глобальную связь.
Компания ведет разработку в коллаборации с T-Mobile и пока нет никаких дополнительных подробностей о ценах или о том, ожидается ли внедрение услуг для конечного потребителя, но однозначно решение не будет удовлетворено до тех пор, пока SpaceX и T-Mobile не проведут соответствующие испытания и демонстрацию.
Так что будем посмотреть.
TESMANIAN
SpaceX Starlink debuts new website for Direct to Cell service
SpaceX's Starlink has debuted a new website dedicated to its upcoming Starlink service for mobile phones, known as "Starlink Direct to Cell," designed for "Seamless access to text, voice, and data for LTE phones across the globe." This system will harness…
͏Equifax Ltd согласилась выплатить штраф в 11 миллионов фунтов стерлингов (13,4 миллиона долларов США) за утечку данных компании в 2017 году, назначенный финансовым регулятором Великобритании, за что получила 30% скидки.
Как сообщает FCA, Equifax UK передала данные граждан Великобритании своей
материнской компании в США, которая, в свою очередь, не смогла и, по всей видимости, даже на стала должным образом их защищать.
Equifax узнала о доступе к данным Великобритании лишь спустя через 6 недель после того, как Equifax Inc обнаружила взлом.
В результате взлома компании в 2017 году были раскрыты персональные данные 163 миллионов пользователей, в том числе 13,8 миллиона потребителей из Великобритании.
Как сообщает FCA, Equifax UK передала данные граждан Великобритании своей
материнской компании в США, которая, в свою очередь, не смогла и, по всей видимости, даже на стала должным образом их защищать.
Equifax узнала о доступе к данным Великобритании лишь спустя через 6 недель после того, как Equifax Inc обнаружила взлом.
В результате взлома компании в 2017 году были раскрыты персональные данные 163 миллионов пользователей, в том числе 13,8 миллиона потребителей из Великобритании.
Жители островного государства Джерси в проливе Ла-Манш на неделю лишились электричества и газа в результате кибератаки.
Официальные власти связывают аварию со сбоем программного обеспечения на заводе Island Energy (IE) St Helier, который вызвал остановку всех систем, включая и резервные.
После чего 7 октября подача газа 4500 клиентам была остановлена и для налоговой гавани (40 % экономики острова Джерси приходится на сектор оказания финансовых услуг) настали темные времена.
Как позже признался исполнительный директор IE Джо Кокс, завод La Collette был закрыт после того, как вредоносный код вызвал сбои в поставках электроэнергии, подтвердив таким образом успешную атаку на инфраструктуру национальной КИИ.
Расследование продолжается, выводы еще не озвучены. Так что будем посмотреть.
Официальные власти связывают аварию со сбоем программного обеспечения на заводе Island Energy (IE) St Helier, который вызвал остановку всех систем, включая и резервные.
После чего 7 октября подача газа 4500 клиентам была остановлена и для налоговой гавани (40 % экономики острова Джерси приходится на сектор оказания финансовых услуг) настали темные времена.
Как позже признался исполнительный директор IE Джо Кокс, завод La Collette был закрыт после того, как вредоносный код вызвал сбои в поставках электроэнергии, подтвердив таким образом успешную атаку на инфраструктуру национальной КИИ.
Расследование продолжается, выводы еще не озвучены. Так что будем посмотреть.
BBC News
Jersey residents' gas supplies restored after island-wide outage
People across Jersey have not had access to gas since 7 October after a software failure.
Исследователи из Лаборатории Касперского выкатили подробный отчет с результатами анализа новых имплантатов группировки ToddyCat для кражи данных.
ToddyCat — это сложная группа APT, которая активна с декабря 2020 и сосредоточена на кибершпионаже с использованием различных методов по уходу от обнаружения.
В поле зрения исследователей АРТ попала в прошлом году, когда исследователям удалось связать злоумышленника с резонансными атаками на госорганизации и военные структуры в Европе и Азии.
Причем буквально за день до Касперских о применении связанных с инфраструктурой ToddyCat «одноразовых» инструментов в атаках на телеком-провайдеров в Средней Азии, Вьетнаме и Пакистане сообщали CheckPoint.
Как еще раньше было замечено, в арсенале группы были широко представлены троян Ninja и бэкдор Samurai.
Однако дальнейшее расследование выявило совершенно новый набор вредоносного ПО.
Он включал широкий арсенал загрузчиков, разработанных с нуля и в некоторых случаях под конкретных жертв, компактный пассивный UDP-бэкдор, LoFiSe для поиска и сбора интересующих файлов, а также различные инструменты эксфильтрации в файлообменники DropBox и Microsoft OneDrive.
Также было замечено, что ToddyCat использует специальные сценарии для сбора данных, Cobalt Strike для последующей эксплуатации и скомпрометированные учетные данные администратора домена для облегчения горизонтального перемещения для продолжения своей шпионской деятельности.
Кроме того, исследователи наблюдали варианты скриптов, предназначенные исключительно для сбора данных и копирования файлов в определенные папки, но без включения их в сжатые архивы.
В этих случаях злоумышленник выполнял сценарий на удаленном хосте, используя стандартную технику удаленного выполнения задач.
Затем собранные файлы вручную переносились на хост для эксфильтрации с помощью утилиты xcopy и, наконец, сжимались с использованием двоичного файла 7z.
Обновленные индикаторы компрометации ToddyCat и подробный обзор каждого инструмента, а также методы горизонтального перемещения и проведения шпионских операций представлены в отчете.
ToddyCat — это сложная группа APT, которая активна с декабря 2020 и сосредоточена на кибершпионаже с использованием различных методов по уходу от обнаружения.
В поле зрения исследователей АРТ попала в прошлом году, когда исследователям удалось связать злоумышленника с резонансными атаками на госорганизации и военные структуры в Европе и Азии.
Причем буквально за день до Касперских о применении связанных с инфраструктурой ToddyCat «одноразовых» инструментов в атаках на телеком-провайдеров в Средней Азии, Вьетнаме и Пакистане сообщали CheckPoint.
Как еще раньше было замечено, в арсенале группы были широко представлены троян Ninja и бэкдор Samurai.
Однако дальнейшее расследование выявило совершенно новый набор вредоносного ПО.
Он включал широкий арсенал загрузчиков, разработанных с нуля и в некоторых случаях под конкретных жертв, компактный пассивный UDP-бэкдор, LoFiSe для поиска и сбора интересующих файлов, а также различные инструменты эксфильтрации в файлообменники DropBox и Microsoft OneDrive.
Также было замечено, что ToddyCat использует специальные сценарии для сбора данных, Cobalt Strike для последующей эксплуатации и скомпрометированные учетные данные администратора домена для облегчения горизонтального перемещения для продолжения своей шпионской деятельности.
Кроме того, исследователи наблюдали варианты скриптов, предназначенные исключительно для сбора данных и копирования файлов в определенные папки, но без включения их в сжатые архивы.
В этих случаях злоумышленник выполнял сценарий на удаленном хосте, используя стандартную технику удаленного выполнения задач.
Затем собранные файлы вручную переносились на хост для эксфильтрации с помощью утилиты xcopy и, наконец, сжимались с использованием двоичного файла 7z.
Обновленные индикаторы компрометации ToddyCat и подробный обзор каждого инструмента, а также методы горизонтального перемещения и проведения шпионских операций представлены в отчете.
Securelist
ToddyCat: Keep calm and check logs
In this article, we’ll describe ToddyCat new toolset, the malware used to steal and exfiltrate data, and the techniques used by this group to move laterally and conduct espionage operations.
Не успела коварная рука злоумышленника дотянуться до пользователя Signal, как разработчики мессенджера уже успели опровергнуть слухи о 0-day, связанной с функцией генерации предпросмотра ссылок.
Инсайд об этой нулевой уязвимости начал распространяться в сети на выходных.
Как утверждали некоторые источники, обнаруженная бага позволяет полностью захватить устройство.
В ходе расследования в компании не без сарказма заявили, что кроме невнятных вирусных отчетов о предполагаемой уязвимости Signal 0-day, ничего не обнаружили и на данный момент нет доказательств, что эта угроза вообще реальна.
Несмотря на отсутствие доказательств представители Signal все же попросил тех, у кого есть новая и "реальная" информация, связаться с их командой безопасности.
Ну, а пока идет разбор полетов, особо переживающим пользователям, возможно, стоит отключить функцию предварительного просмотра ссылок.
Инсайд об этой нулевой уязвимости начал распространяться в сети на выходных.
Как утверждали некоторые источники, обнаруженная бага позволяет полностью захватить устройство.
В ходе расследования в компании не без сарказма заявили, что кроме невнятных вирусных отчетов о предполагаемой уязвимости Signal 0-day, ничего не обнаружили и на данный момент нет доказательств, что эта угроза вообще реальна.
Несмотря на отсутствие доказательств представители Signal все же попросил тех, у кого есть новая и "реальная" информация, связаться с их командой безопасности.
Ну, а пока идет разбор полетов, особо переживающим пользователям, возможно, стоит отключить функцию предварительного просмотра ссылок.
Cyber Kendra
Signal Denies Rumors of Zero-day Vulnerability Bug
Zero-Day Vulnerability in Signal - Rumor or Reality?
Давненько в нашей ленте не было аналитики по вредоносным ПО, но тут как раз словенский CERT выкатил технический анализ загрузчика GuLoader.
Обнаруженный в 2019 году GuLoader, также называемый как vbdropper или CloudEyE, представляет собой продвинутый VBS-загрузчик, который используется для распространения различных RAT-троянов (таких как Agent Tesla, Arkei/Vidar, Formbook, Lokibot, Netwire и Remcos и др.).
Загрузчик использует VBS-скрипт для помещения упакованной полезной нагрузки в раздел реестра и затем выполняет ее с помощью PowerShell. Реализует различные методы антианализа, антиотладки и антидизассемблирования для обхода средств безопасности.
Все технические аспекты описывать не будем, но уверены, что вирусным аналитикам материал определенно будет полезен.
Обнаруженный в 2019 году GuLoader, также называемый как vbdropper или CloudEyE, представляет собой продвинутый VBS-загрузчик, который используется для распространения различных RAT-троянов (таких как Agent Tesla, Arkei/Vidar, Formbook, Lokibot, Netwire и Remcos и др.).
Загрузчик использует VBS-скрипт для помещения упакованной полезной нагрузки в раздел реестра и затем выполняет ее с помощью PowerShell. Реализует различные методы антианализа, антиотладки и антидизассемблирования для обхода средств безопасности.
Все технические аспекты описывать не будем, но уверены, что вирусным аналитикам материал определенно будет полезен.
SI CERT
SI-CERT TZ014 / Analiza prenašalnika GuLoader - SI CERT
V tokratnem tehničnem zapisu bomo analizirali in opisali delovanje prenašalnika GuLoader. Prenašalnik (angl. “Downloader”) je vrsta škodljive kode, katere namen je prenos tovora na sistem in zagon le-tega. Tovor je običajno …
Cisco предупреждает клиентов об использовании новой 0-day, затрагивающей IOS XE и отслеживаемой как CVE-2023-20198, для взлома устройств.
Критическая уязвимость представляет собой проблему повышения привилегий и влияет на веб-интерфейс пользователя IOS XE, который поставляется с образом по умолчанию.
Уязвимостью можно воспользоваться из сети или непосредственно из Интернета.
Удаленный злоумышленник, не прошедший проверку подлинности, может воспользоваться уязвимостью, чтобы создать учетную запись с наивысшими привилегиями (уровень доступа 15) и использовать ее для получения контроля над устройством.
При таком уровне доступа злоумышленник может изменять правила сетевой маршрутизации, а также открывать порты для доступа к контролируемым злоумышленниками серверам с целью кражи данных.
28 сентября Cisco Talos сообщила об атаках с использованием CVE-2023-20198, столкнувшись с необычной активность на устройстве клиента, обратившегося на техподдержку.
Дальнейший анализ показал, что вредоносная деятельность включала создание новой учетной записи пользователя с именем «cisco_tac_admin» и началась еще 18 сентября.
Позже она прекратилась 1 октября, но 12 октября Cisco снова начала наблюдать вредоносную активность — предположительно, осуществляемую тем же злоумышленником.
Если в сентябре была лишь создана новая учетная запись, то в октябре хакеры также внедрили имплант, состоящий из файла конфигурации, позволяет злоумышленнику выполнять произвольные команды на уровне системы или IOS.
Злоумышленник доставил имплантат, воспользовавшись CVE-2021-1435, уязвимостью внедрения команд IOS XE, исправленной Cisco в марте 2021 года.
Однако компания также наблюдала установку имплантата на устройствах, с исправлениями CVE-2021-1435, механизм доставки при этом пока остается неизвестным.
Сетевой гигант также отметил, что имплант не является постоянным — он удаляется при перезагрузке устройства — но учетные записи, созданные злоумышленниками, остаются активны.
Исследователи пока не разглашают, кто может стоять за этими атаками. Пока же Cisco работает над исправлением для CVE-2023-20198.
Пока патч не доступен, поставщик рекомендует клиентам отключать функцию HTTP-сервера в своих системах с выходом в Интернет.
Компания также поделилась списком IoC, которые организации могут использовать для проверки того, были ли их устройства взломаны.
Критическая уязвимость представляет собой проблему повышения привилегий и влияет на веб-интерфейс пользователя IOS XE, который поставляется с образом по умолчанию.
Уязвимостью можно воспользоваться из сети или непосредственно из Интернета.
Удаленный злоумышленник, не прошедший проверку подлинности, может воспользоваться уязвимостью, чтобы создать учетную запись с наивысшими привилегиями (уровень доступа 15) и использовать ее для получения контроля над устройством.
При таком уровне доступа злоумышленник может изменять правила сетевой маршрутизации, а также открывать порты для доступа к контролируемым злоумышленниками серверам с целью кражи данных.
28 сентября Cisco Talos сообщила об атаках с использованием CVE-2023-20198, столкнувшись с необычной активность на устройстве клиента, обратившегося на техподдержку.
Дальнейший анализ показал, что вредоносная деятельность включала создание новой учетной записи пользователя с именем «cisco_tac_admin» и началась еще 18 сентября.
Позже она прекратилась 1 октября, но 12 октября Cisco снова начала наблюдать вредоносную активность — предположительно, осуществляемую тем же злоумышленником.
Если в сентябре была лишь создана новая учетная запись, то в октябре хакеры также внедрили имплант, состоящий из файла конфигурации, позволяет злоумышленнику выполнять произвольные команды на уровне системы или IOS.
Злоумышленник доставил имплантат, воспользовавшись CVE-2021-1435, уязвимостью внедрения команд IOS XE, исправленной Cisco в марте 2021 года.
Однако компания также наблюдала установку имплантата на устройствах, с исправлениями CVE-2021-1435, механизм доставки при этом пока остается неизвестным.
Сетевой гигант также отметил, что имплант не является постоянным — он удаляется при перезагрузке устройства — но учетные записи, созданные злоумышленниками, остаются активны.
Исследователи пока не разглашают, кто может стоять за этими атаками. Пока же Cisco работает над исправлением для CVE-2023-20198.
Пока патч не доступен, поставщик рекомендует клиентам отключать функцию HTTP-сервера в своих системах с выходом в Интернет.
Компания также поделилась списком IoC, которые организации могут использовать для проверки того, были ли их устройства взломаны.
Cisco Talos Blog
Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities
Cisco has identified active exploitation of two previously unknown vulnerabilities in the Web User Interface (Web UI) feature of Cisco IOS XE software — CVE-2023-20198 and CVE-2023-20273 — when exposed to the internet or untrusted networks.
Исследователи Rapid7 в рамках ведущегося исследовательского проекта по изучению угроз управляемой передачи файлов множественные уязвимости в South River Technologies Titan MFT и Titan SFTP.
Titan MFT и Titan SFTP - это серверы управляемой передачи файлов бизнес-класса, которые обеспечивают отказоустойчивость и кластеризацию с высокой доступностью, первый при этом имеет ряд дополнительных функций, включая WebDAV.
Ошибкам подвержены Titan MFT и Titan SFTP 2.0.16.2277 и 2.0.17.2298, а также более ранних (в зависимости от поставщика), причем как Linux, так и Windows версии.
Успешная эксплуатация некоторых из этих проблем позволяет злоумышленнику удаленно выполнить код от имени пользователя root или пользователя системы.
Однако все проблемы возникают после аутентификации и требуют конфигураций, отличных от настроек по умолчанию, и поэтому, маловероятно, что станут объектом широкомасштабного использования.
Первая из них, CVE-2023-45685, представляет собой удаленное выполнение кода с проверкой подлинности с помощью zip-листа.
В виду отсутствия проверки файлов в ZIP-архиве на наличие символов обхода пути, злоумышленник, прошедший проверку подлинности, может загрузить ZIP-файл, который может быть извлечен за пределы домашнего каталога пользователя.
Другая, CVE-2023-45686 реализует удаленное выполнение кода с проверкой подлинности через обход пути WebDAV.
Пользователь может записывать файлы за пределами своего домашнего каталога, добавляя ../символы в URL-адрес WebDAV. Успешная эксплуатация позволяет аутентифицированному злоумышленнику записать произвольный файл в любое место файловой системы, что приводит к RCE.
CVE-2023-45687 - это проблема фиксации сеанса на удаленном сервере администрирования. Злоумышленник может либо украсть токен сеанса, либо обманом заставить администратора авторизовать произвольный токен, а административный доступ можно использовать для записи произвольного файла в файловую систему.
Еще одна CVE-2023-45688 и CVE-2023-45689 связаны с раскрытием информации посредством обхода пути на FTP и в интерфейсе администратора соответственно.
И, наконец, последняя CVE-2023-45690 вызывает утечку информации через общедоступную базу данных и журналы.
Хэши паролей появляются в общедоступных файлах, включая базы данных и файлы журналов. Учетные записи без полномочий root, имеющие доступ к хосту, могут использовать эти файлы для повышения своих привилегий до root.
Для всех перечисленных уязвимостей South River Technologies представил исправления, выпустив Titan SFTP или Titan MFT версии 2.0.18.
Кроме того, эти проблемы можно устранить, настроив службу Titan SFTP или Titan MFT так, чтобы она не запускалась под учетной записью локальной системы, а вместо этого использовала определенную учетную запись пользователя Windows или Linux с ограниченными привилегиями.
Titan MFT и Titan SFTP - это серверы управляемой передачи файлов бизнес-класса, которые обеспечивают отказоустойчивость и кластеризацию с высокой доступностью, первый при этом имеет ряд дополнительных функций, включая WebDAV.
Ошибкам подвержены Titan MFT и Titan SFTP 2.0.16.2277 и 2.0.17.2298, а также более ранних (в зависимости от поставщика), причем как Linux, так и Windows версии.
Успешная эксплуатация некоторых из этих проблем позволяет злоумышленнику удаленно выполнить код от имени пользователя root или пользователя системы.
Однако все проблемы возникают после аутентификации и требуют конфигураций, отличных от настроек по умолчанию, и поэтому, маловероятно, что станут объектом широкомасштабного использования.
Первая из них, CVE-2023-45685, представляет собой удаленное выполнение кода с проверкой подлинности с помощью zip-листа.
В виду отсутствия проверки файлов в ZIP-архиве на наличие символов обхода пути, злоумышленник, прошедший проверку подлинности, может загрузить ZIP-файл, который может быть извлечен за пределы домашнего каталога пользователя.
Другая, CVE-2023-45686 реализует удаленное выполнение кода с проверкой подлинности через обход пути WebDAV.
Пользователь может записывать файлы за пределами своего домашнего каталога, добавляя ../символы в URL-адрес WebDAV. Успешная эксплуатация позволяет аутентифицированному злоумышленнику записать произвольный файл в любое место файловой системы, что приводит к RCE.
CVE-2023-45687 - это проблема фиксации сеанса на удаленном сервере администрирования. Злоумышленник может либо украсть токен сеанса, либо обманом заставить администратора авторизовать произвольный токен, а административный доступ можно использовать для записи произвольного файла в файловую систему.
Еще одна CVE-2023-45688 и CVE-2023-45689 связаны с раскрытием информации посредством обхода пути на FTP и в интерфейсе администратора соответственно.
И, наконец, последняя CVE-2023-45690 вызывает утечку информации через общедоступную базу данных и журналы.
Хэши паролей появляются в общедоступных файлах, включая базы данных и файлы журналов. Учетные записи без полномочий root, имеющие доступ к хосту, могут использовать эти файлы для повышения своих привилегий до root.
Для всех перечисленных уязвимостей South River Technologies представил исправления, выпустив Titan SFTP или Titan MFT версии 2.0.18.
Кроме того, эти проблемы можно устранить, настроив службу Titan SFTP или Titan MFT так, чтобы она не запускалась под учетной записью локальной системы, а вместо этого использовала определенную учетную запись пользователя Windows или Linux с ограниченными привилегиями.
SRT Help Desk
Security Patch for CVE-2023-45685 Through CVE-2023-45690
An independent cyber security team (Rapid7) has identified several security issues mainly effecting the Linux versions of Titan SFTP and Titan MFT NextGen servers. The versions effected are version 2.0.17 and earlier of Titan SFTP and Titan MFT ...
Исследователи из Лаборатории Касперского рассказали, почему важно тщательно изучать природу скомпрометированных данных, способ их получения и возможно используемые при этом уязвимости в рамках расследования инцидентов.
Особенно актуально это становится в современных условиях, когда традиционные военные операции дополняются изощренной кибертактикой и где границы между спонсируемыми государством, хактивистами и независимыми субъектами стираются.
Достаточно четко исследователями был разобран кейс со взломом израильской частной электростанции Dorad, о котором заявили 8 октября хакеры из Cyber Av3ngers.
Группа поделилась фотографиями предполагаемого взлома с логотипом палестинского флага и политическими посланиями. Кроме того, сайт Dorad подвергся DDoS-атаке, что, вероятно, по замыслу хакеров должно было легитимизировать последующую утечку.
Ресерчеры проанализировали данные, опубликованные Cyber Av3ngers, и обнаружили, что они являются переработкой или перепрофилированием предыдущего инцидента, за которым стояла иранская Moses Staff, нацеленная на компании из Израиля, Италии, Индии, Германии, Чили, Турции, ОАЭ и США путем кражи и публикации конфиденциальных данных.
Однако доказательств какой-либо связи группы с Cyber Av3ngers так и не было получено.
Но участники группы, создав 15 сентября в Telegram был свой канал CyberAveng3rs, запостили сообщения, связывающие группу с одноименной группировкой Cyber Avengers, которая активна с 2020 и прославилась взломом объектов электроэнергетики и железнодорожной инфраструктуры.
Как пояснили специалисты, опубликованные Cyber Av3ngers файлы были впервые впервые опубликованы в июне 2022 и включали в себя утечку из нескольких компаний в Израиле, а те, что связаны со взломом Dorad (11 файлов) имели временные метки от августа 2020.
При этом утечка данных, судя по всему, является результатом хактивистской кампании MosesStaff, реализованной с использованием специального ПО PyDCrypt, DCSrv и StrifeWater.
Результаты сопоставительного анализа утечек и индикаторы компрометации - наглядно представлены в отчете, который в очередной раз подчеркивает важность соблюдения строгих мер кибербезопасности для защиты как от новых, так и от уже известных угроз IT и ОТ-систем.
Особенно актуально это становится в современных условиях, когда традиционные военные операции дополняются изощренной кибертактикой и где границы между спонсируемыми государством, хактивистами и независимыми субъектами стираются.
Достаточно четко исследователями был разобран кейс со взломом израильской частной электростанции Dorad, о котором заявили 8 октября хакеры из Cyber Av3ngers.
Группа поделилась фотографиями предполагаемого взлома с логотипом палестинского флага и политическими посланиями. Кроме того, сайт Dorad подвергся DDoS-атаке, что, вероятно, по замыслу хакеров должно было легитимизировать последующую утечку.
Ресерчеры проанализировали данные, опубликованные Cyber Av3ngers, и обнаружили, что они являются переработкой или перепрофилированием предыдущего инцидента, за которым стояла иранская Moses Staff, нацеленная на компании из Израиля, Италии, Индии, Германии, Чили, Турции, ОАЭ и США путем кражи и публикации конфиденциальных данных.
Однако доказательств какой-либо связи группы с Cyber Av3ngers так и не было получено.
Но участники группы, создав 15 сентября в Telegram был свой канал CyberAveng3rs, запостили сообщения, связывающие группу с одноименной группировкой Cyber Avengers, которая активна с 2020 и прославилась взломом объектов электроэнергетики и железнодорожной инфраструктуры.
Как пояснили специалисты, опубликованные Cyber Av3ngers файлы были впервые впервые опубликованы в июне 2022 и включали в себя утечку из нескольких компаний в Израиле, а те, что связаны со взломом Dorad (11 файлов) имели временные метки от августа 2020.
При этом утечка данных, судя по всему, является результатом хактивистской кампании MosesStaff, реализованной с использованием специального ПО PyDCrypt, DCSrv и StrifeWater.
Результаты сопоставительного анализа утечек и индикаторы компрометации - наглядно представлены в отчете, который в очередной раз подчеркивает важность соблюдения строгих мер кибербезопасности для защиты как от новых, так и от уже известных угроз IT и ОТ-систем.
Securelist
A hack in hand is worth two in the bush
We analyzed the data published by Cyber Av3ngers and found it to be sourced from older leaks by another hacktivist group called Moses Staff.
А исследователи Group-IB анонсировали новую серию блогов под названием Нерассказанная история реагирования на инциденты, в рамках которой решили рассказать про некоторые из наиболее заметных случаев из своей 70 000 часовой практики.
Первая часть под названием Рождественское чудо повествует о триумфе специалистов, которым удалось оперативно отсечь банду вымогателей до того, как они успели пошифровать корпоративные файлы, что бывает достаточно редко.
В общем, в разгар тождественных праздников Group-IB расчехлили С2, связанный с бэкдором SystemBC, который использовался в ransomware-кампаниях. Благодаря этому в распоряжении исследователей оказался перечень зараженных хостов с IP-адресами.
Одной из последних оказалась европейская компания, которую уведомили о продолжающейся кибератаке через местные силовые структуры. Долго не думая, представители жертвы инициировали процесс реагирования на инцидент.
Изучая события, предшествовавшие взлому, специалисты выяснили, что 21 декабря в 18:00 журнал событий зараженной системы был очищен, а 20:20 в нем был обнаружен сценарий PowerShell, предназначенный для сброса «lsass.exe» с целью потенциального извлечения учетных данных с помощью Mimikatz.
При дальнейшем рассмотрении выяснилось, что netscan.exe, известная утилита сетевого сканера SoftPerfect, была запущена 21 декабря в 19:57, что указывала на раннюю стадию вторжения.
Присмотревшись более пристально к SoftPerfect, было обнаружено, что инструмент содержал список учетных записей пользователей компании и связанные с ними пароли.
Кроме того, в папке «загрузки» на зараженном хосте был обнаружен выходной файл Mimikatz, датированный 20 декабря, что указывает на то, что первоначальное вторжение произошло несколько раньше, а чистка журнала была попыткой скрыть следы.
При более внимательном рассмотрении действий злоумышленника было установлено, что накануне 17 декабря (пятница) от имени администратора на сервере был расшарен RDP, после чего установлен AnyDesk и последовала загрузка различных хакерских инструментов.
Кульминацией стало создание 20 декабря новой папки под названием C:/NL/ , в которой размещался ряд хакерских инструментов, таких как Mimikatz, что означало вторжение в сеть жертвы второго злоумышленника.
Первоначальным злоумышленником оказался брокер первоначального доступа, который выкрал учетные данные и провел разведку сети. После этого продал доступ группе вымогателей.
По мере развития инцидента второй злоумышленник 24 декабря добавил в свой арсенал дополнительные инструменты.
В канун Рождества злоумышленники загрузили в папку «Музыка» зараженной системы dfControl (для отключения Защитника Windows) и PCHunter (инструмент визуализации процессов).
В финальном противостоянии после блокировки Mimikatz и dfControl, злоумышленник попытался запустить Cobalt Strike, чем в итоге поспособствовал быстрой идентификации сервера С2, который специалистам удалось нейтрализовать.
Вся операция по реагированию на инцидент длилась около шести часов и по итогу завершилась более чем успешно, а дальнейшее расследование SystemBC выявило более 100 жертв.
Таким образом, наглядно можно понять, что оперативное реагирование на инциденты в совокупности с умелым обращением с инструментами разведки угроз помогает обеспечить широкий охват ландшафта угроз и защититься от атак иногда даже до того, как наступят тяжелые последствия.
Первая часть под названием Рождественское чудо повествует о триумфе специалистов, которым удалось оперативно отсечь банду вымогателей до того, как они успели пошифровать корпоративные файлы, что бывает достаточно редко.
В общем, в разгар тождественных праздников Group-IB расчехлили С2, связанный с бэкдором SystemBC, который использовался в ransomware-кампаниях. Благодаря этому в распоряжении исследователей оказался перечень зараженных хостов с IP-адресами.
Одной из последних оказалась европейская компания, которую уведомили о продолжающейся кибератаке через местные силовые структуры. Долго не думая, представители жертвы инициировали процесс реагирования на инцидент.
Изучая события, предшествовавшие взлому, специалисты выяснили, что 21 декабря в 18:00 журнал событий зараженной системы был очищен, а 20:20 в нем был обнаружен сценарий PowerShell, предназначенный для сброса «lsass.exe» с целью потенциального извлечения учетных данных с помощью Mimikatz.
При дальнейшем рассмотрении выяснилось, что netscan.exe, известная утилита сетевого сканера SoftPerfect, была запущена 21 декабря в 19:57, что указывала на раннюю стадию вторжения.
Присмотревшись более пристально к SoftPerfect, было обнаружено, что инструмент содержал список учетных записей пользователей компании и связанные с ними пароли.
Кроме того, в папке «загрузки» на зараженном хосте был обнаружен выходной файл Mimikatz, датированный 20 декабря, что указывает на то, что первоначальное вторжение произошло несколько раньше, а чистка журнала была попыткой скрыть следы.
При более внимательном рассмотрении действий злоумышленника было установлено, что накануне 17 декабря (пятница) от имени администратора на сервере был расшарен RDP, после чего установлен AnyDesk и последовала загрузка различных хакерских инструментов.
Кульминацией стало создание 20 декабря новой папки под названием C:/NL/ , в которой размещался ряд хакерских инструментов, таких как Mimikatz, что означало вторжение в сеть жертвы второго злоумышленника.
Первоначальным злоумышленником оказался брокер первоначального доступа, который выкрал учетные данные и провел разведку сети. После этого продал доступ группе вымогателей.
По мере развития инцидента второй злоумышленник 24 декабря добавил в свой арсенал дополнительные инструменты.
В канун Рождества злоумышленники загрузили в папку «Музыка» зараженной системы dfControl (для отключения Защитника Windows) и PCHunter (инструмент визуализации процессов).
В финальном противостоянии после блокировки Mimikatz и dfControl, злоумышленник попытался запустить Cobalt Strike, чем в итоге поспособствовал быстрой идентификации сервера С2, который специалистам удалось нейтрализовать.
Вся операция по реагированию на инцидент длилась около шести часов и по итогу завершилась более чем успешно, а дальнейшее расследование SystemBC выявило более 100 жертв.
Таким образом, наглядно можно понять, что оперативное реагирование на инциденты в совокупности с умелым обращением с инструментами разведки угроз помогает обеспечить широкий охват ландшафта угроз и защититься от атак иногда даже до того, как наступят тяжелые последствия.
Group-IB
Christmas Miracle: The untold story of incident response | Group-IB
Twas the night before Christmas, when out came the cry, a cyberattack is happening, so stop them, won’t you try?
Исследователи фиксируют массовые атаки с использованием 0-day в операционной системе Cisco IOS XE.
Отслеживаемая как CVE-2023-20198 уязвимость затрагивает веб-интерфейс и позволяет удаленному злоумышленнику, не прошедшему аутентификацию, создать учетную запись, имеющую полный доступ к устройству.
В список продуктов, работающих под управлением IOS XE, входят корпоративные коммутаторы, агрегационные и промышленные маршрутизаторы, точки доступа, беспроводные контроллеры и многое другое.
Cisco обнаружила атаки еще в конце сентября, расследуя жалобы клиентов. Уровень серьезности ошибки составляет 10/10, и это уже вторая серия атак с использованием 0-day на IOS XE за последний месяц после CVE-2023-20109.
Компания заявляет, что работает над исправлением, и попросила клиентов отключить функцию HTTP-сервера на своих маршрутизаторах и коммутаторах IOS XE.
А тем временем, исследователи наперегонки рапортуют об инцидентах. VulnCheck обнаружила тысячи взломанных систем Cisco IOS XE с включенной функцией веб-интерфейса пользователя и выпустила сканер для обнаружения вредоносных имплантатов, а LeakIX насчитали уже более 30 000.
Координационный центр CERT Orange сообщает о более чем 34,5 тысячах устройств Cisco IOS XE, скомпрометированных в результате атак CVE-2023-20198.
Согласно данным Shodan, общее число устройств Cisco с включенным веб-интерфейсом в настоящее время доступных в Интернете составляет более 140 000.
Так что все еще впереди.
Отслеживаемая как CVE-2023-20198 уязвимость затрагивает веб-интерфейс и позволяет удаленному злоумышленнику, не прошедшему аутентификацию, создать учетную запись, имеющую полный доступ к устройству.
В список продуктов, работающих под управлением IOS XE, входят корпоративные коммутаторы, агрегационные и промышленные маршрутизаторы, точки доступа, беспроводные контроллеры и многое другое.
Cisco обнаружила атаки еще в конце сентября, расследуя жалобы клиентов. Уровень серьезности ошибки составляет 10/10, и это уже вторая серия атак с использованием 0-day на IOS XE за последний месяц после CVE-2023-20109.
Компания заявляет, что работает над исправлением, и попросила клиентов отключить функцию HTTP-сервера на своих маршрутизаторах и коммутаторах IOS XE.
А тем временем, исследователи наперегонки рапортуют об инцидентах. VulnCheck обнаружила тысячи взломанных систем Cisco IOS XE с включенной функцией веб-интерфейса пользователя и выпустила сканер для обнаружения вредоносных имплантатов, а LeakIX насчитали уже более 30 000.
Координационный центр CERT Orange сообщает о более чем 34,5 тысячах устройств Cisco IOS XE, скомпрометированных в результате атак CVE-2023-20198.
Согласно данным Shodan, общее число устройств Cisco с включенным веб-интерфейсом в настоящее время доступных в Интернете составляет более 140 000.
Так что все еще впереди.
Cisco
Cisco Security Advisory: Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature
Cisco is providing an update for the ongoing investigation into observed exploitation of the web UI feature in Cisco IOS XE Software. We are updating the list of fixed releases and adding the Software Checker.
Fix information can be found in the Fixed Software…
Fix information can be found in the Fixed Software…
Исследователи TXOne Networks предупреждают о критических и серьезных уязвимостях в HMI серии cMT, тайваньской Weintek, которые эксплуатируются в дикой природе.
TXOne Networks обнаружила в HMI в общей сложности три уязвимости.
Объединив уязвимости, удаленный злоумышленник может получить доступ к системе или удаленно выполнить команды без аутентификации через веб-сервер.
Недостатки могут позволить злоумышленнику получить полный контроль над HMI.
Однако злоумышленнику не требуются какие-либо специальные разрешения для запуска DoS-атаки, для выполнения произвольных команд требуется пароль HMI.
Исследователи отмечают, что уже есть некоторые затронутые HMI Weintek, которые напрямую подключены к Интернету, но такие случаи весьма ограничены.
По данным CISA, затронутый продукт, Weintek cMT HMI, используется во всем мире, в том числе на критически важных производственных объектах.
Поставщик выпустил исправления для продуктов серий cMT3000, cMT-HDM и cMT-FHD, а TXOne опубликовала технические подробности каждой из уязвимостей.
Стоит отметить, что это не первый случай, когда исследователи TXOne находят уязвимости в продуктах Weintek.
Ранее в этом году несколько проблем было выявлено в облачном HMI Weincloud, которые могут позволить злоумышленнику манипулировать и повредить ICS.
TXOne Networks обнаружила в HMI в общей сложности три уязвимости.
Объединив уязвимости, удаленный злоумышленник может получить доступ к системе или удаленно выполнить команды без аутентификации через веб-сервер.
Недостатки могут позволить злоумышленнику получить полный контроль над HMI.
Однако злоумышленнику не требуются какие-либо специальные разрешения для запуска DoS-атаки, для выполнения произвольных команд требуется пароль HMI.
Исследователи отмечают, что уже есть некоторые затронутые HMI Weintek, которые напрямую подключены к Интернету, но такие случаи весьма ограничены.
По данным CISA, затронутый продукт, Weintek cMT HMI, используется во всем мире, в том числе на критически важных производственных объектах.
Поставщик выпустил исправления для продуктов серий cMT3000, cMT-HDM и cMT-FHD, а TXOne опубликовала технические подробности каждой из уязвимостей.
Стоит отметить, что это не первый случай, когда исследователи TXOne находят уязвимости в продуктах Weintek.
Ранее в этом году несколько проблем было выявлено в облачном HMI Weincloud, которые могут позволить злоумышленнику манипулировать и повредить ICS.
Тайваньский производитель сетевого оборудования D-Link подтвердил киберинцидент и утечку данных.
Предварительно, инцидент привел к раскрытию некой информации низкой чувствительности полудоступного характера, как сообщили в компании.
Утверждается, что данные, вероятно, относятся к старой системе D-View 6, которая использовались для регистрации и была снята с производства еще в 2015 году.
Содержались ли идентификаторы пользователей, финансовая или иная чувствительная информация доподлинно не известно.
Нарушение было обнаружено около двух недель назад, когда неустановленные злоумышленники заявила о краже личных данных многих государственных чиновников в Тайване, а также исходного кода ПО для управления сетью D-Link D-View.
Привлеченные к расследованию специалисты Trend Micro пролили свет общественности.
По их данным, в результате нарушения было скомпрометировано примерно 700 устаревших и фрагментированных записей, вопреки утверждениям об утечке данных миллионов пользователей.
Детали атаки пока не раскрываются, кроме того, что нарушение произошло в результате фишинговой атаки, на которую повелся один из сотрудников компании.
D-Link отдельно подчеркнула, что его текущие активные клиенты не пострадают от этого инцидента.
Предварительно, инцидент привел к раскрытию некой информации низкой чувствительности полудоступного характера, как сообщили в компании.
Утверждается, что данные, вероятно, относятся к старой системе D-View 6, которая использовались для регистрации и была снята с производства еще в 2015 году.
Содержались ли идентификаторы пользователей, финансовая или иная чувствительная информация доподлинно не известно.
Нарушение было обнаружено около двух недель назад, когда неустановленные злоумышленники заявила о краже личных данных многих государственных чиновников в Тайване, а также исходного кода ПО для управления сетью D-Link D-View.
Привлеченные к расследованию специалисты Trend Micro пролили свет общественности.
По их данным, в результате нарушения было скомпрометировано примерно 700 устаревших и фрагментированных записей, вопреки утверждениям об утечке данных миллионов пользователей.
Детали атаки пока не раскрываются, кроме того, что нарушение произошло в результате фишинговой атаки, на которую повелся один из сотрудников компании.
D-Link отдельно подчеркнула, что его текущие активные клиенты не пострадают от этого инцидента.
Cyber Kendra
D-Link Suffers Data Breach Impacting Old Customer Information
Разработчики почтового сервера Exim выпустили обновление безопасности для исправления оставшихся трех из шести 0-day, раскрытых в рамках ZDI.
Ранее, как мы сообщали, в начале октября сначала исправили три самые критичные из раскрытых уязвимостей.
В этом последнем обновлении закрыты уже все шесть, первоначально обнаруженные исследователями в рамках ZDI.
Кроме того, Exim объявила устаревшими все предыдущие версии сервера Exim, и теперь официально поддерживается только текущая версия 4.96.2.
Ранее, как мы сообщали, в начале октября сначала исправили три самые критичные из раскрытых уязвимостей.
В этом последнем обновлении закрыты уже все шесть, первоначально обнаруженные исследователями в рамках ZDI.
Кроме того, Exim объявила устаревшими все предыдущие версии сервера Exim, и теперь официально поддерживается только текущая версия 4.96.2.
GitHub
Release exim-4.96.2 · Exim/exim
Security release 4.96.2
͏Ресерчеры Outpost24 проанализировали более чем 1,8 миллиона аутентификационных данных администраторов, собранных в период с января по сентябрь этого года с помощью своего решения Threat Compass, и обнаружили, что более 40 000 из них имели admin в качестве пароля.
Причем Threat Compass включает в себя аналитику на основе реально украденных учетных данных пользователей.
Вообще же, как оказалось, ИТ-администраторы используют десятки тысяч слабых паролей для защиты доступа к порталам, оставляя широкие возможности для кибератак на корпоративные сети, даже несмотря на то, что собранные данные не были представлены в виде простого текста.
Проанализировав весь объем, Outpost24 выкатили топ-20 самых слабых учетных данных для аутентификации, только взгляните - это вообще без комментариев:
Причем Threat Compass включает в себя аналитику на основе реально украденных учетных данных пользователей.
Вообще же, как оказалось, ИТ-администраторы используют десятки тысяч слабых паролей для защиты доступа к порталам, оставляя широкие возможности для кибератак на корпоративные сети, даже несмотря на то, что собранные данные не были представлены в виде простого текста.
Проанализировав весь объем, Outpost24 выкатили топ-20 самых слабых учетных данных для аутентификации, только взгляните - это вообще без комментариев:
Похоже, что план украинских силовиков подмять под себя рынок ransomware продолжает реализовываться. А чего стесняться, с колл-центрами же прокатило.
В начале месяца мы рассказывали про интервью главы СБУ, где тот делился подробностями, как СБУ привлекает к работе осужденных киберпреступников, а также проникает в банды ransomware, завербовав их членов из разных стран. Чудное комбо!
На днях украинские "хактивисты" из Ukrainian Cyber Alliance взломали и уничтожили инфраструктуру группы вымогателей Trigona через свежую уязвимость в Confluence. Забрали криптокошельки, бэкапы, исходники, а также отдефейсили сайт ransomware. Естественно, говорят, что группа российская (что вполне вероятно, но общей картины это не меняет).
Нам интересен сам выбор цели. С какой стати UCA, последние годы работавшие преимущественно по ресурсам российских ведомств и должностных лиц, вдруг переключились на борьбу с вымогателями?
Все это вполне укладывается в мозаику, когда СБУ и их подшефные хакерские группы активно мочат конкурентов на рынке вымогателей под ритуальные возгласы про борьбу за мир во всем мире, чтобы подмять его под своих хлопчиков. Никто же не будет отрицать, что существенная доля банд ransomware сидят на Украине?
Ведь главное в борьбе с Кровавым Мордором что? Главное - гешефт!
В начале месяца мы рассказывали про интервью главы СБУ, где тот делился подробностями, как СБУ привлекает к работе осужденных киберпреступников, а также проникает в банды ransomware, завербовав их членов из разных стран. Чудное комбо!
На днях украинские "хактивисты" из Ukrainian Cyber Alliance взломали и уничтожили инфраструктуру группы вымогателей Trigona через свежую уязвимость в Confluence. Забрали криптокошельки, бэкапы, исходники, а также отдефейсили сайт ransomware. Естественно, говорят, что группа российская (что вполне вероятно, но общей картины это не меняет).
Нам интересен сам выбор цели. С какой стати UCA, последние годы работавшие преимущественно по ресурсам российских ведомств и должностных лиц, вдруг переключились на борьбу с вымогателями?
Все это вполне укладывается в мозаику, когда СБУ и их подшефные хакерские группы активно мочат конкурентов на рынке вымогателей под ритуальные возгласы про борьбу за мир во всем мире, чтобы подмять его под своих хлопчиков. Никто же не будет отрицать, что существенная доля банд ransomware сидят на Украине?
Ведь главное в борьбе с Кровавым Мордором что? Главное - гешефт!
Telegram
SecAtor
Внимание! Внимание! Приближается ватный пост!
Американское неправительственное издание NPR .ORG разместило интервью с руководителем Управления компьютерной и информационной безопасности СБУ Ильей Витюком. В принципе, ничего интересного. Но.
Посреди камланий…
Американское неправительственное издание NPR .ORG разместило интервью с руководителем Управления компьютерной и информационной безопасности СБУ Ильей Витюком. В принципе, ничего интересного. Но.
Посреди камланий…
Mandiant предупреждает, что недавно исправленная 0-day в Citrix NetScaler Application Delivery Controller (ADC) и NetScaler Gateway CVE-2023-4966 используется в атаках августа.
Проблема, отслеживаемая как CVE-2023-4966 с оценкой CVSS 9,4 может быть использована без аутентификации для кражи конфиденциальной информации из локальных устройств, настроенных как шлюз или виртуальный сервер AAA.
Citrix объявила об исправлениях ошибок в NetScaler ADC и Gateway 10 октября, но не упомянула при этом о потенциальной эксплуатации.
Однако позже обновили свои рекомендации, предупредив клиентов о наблюдаемой эксплуатации CVE-2023-4966 и призвав их как можно скорее обновить свои экземпляры.
Ошибка устранена в версиях NetScaler ADC и NetScaler Gateway 14.1-8.50, 13.1-49.15 и 13.0-92.19, а также в версиях NetScaler ADC 13.1-FIPS 13.1-37.164, 12.1-FIPS 12.1-55.300 и 12.1-NDcPP 12.1- 55.300.
Mandiant же добавил, что уязвимость использовалась с августа в атаках, направленных на правительственный сектор и технологические организации.
Успешная эксплуатация может позволить злоумышленнику перехватить существующие сеансы с аутентификацией, минуя многофакторную аутентификацию.
Причем эти сеансы могут сохраняться после развертывания обновления для устранения CVE-2023-4966.
Кроме того, исследователи наблюдали перехват сеанса, когда данные были украдены еще до установки исправлений и впоследствии использовались злоумышленником.
В зависимости от разрешений и объема доступа к сеансу перехват может предоставить злоумышленникам дальнейший нисходящий доступ, позволяя им собирать учетные данные, перемещаться в горизонтальном направлении и получать доступ к дополнительным ресурсам в скомпрометированной среде.
В руководстве по исправлению Mandiant рекомендует изолировать экземпляры NetScaler ADC и шлюза при подготовке к установке исправлений, ограничить доступ к непропатченным устройствам, обновить устройства, завершить все активные сеансы после обновления и сканировать устройства на наличие вредоносной активности.
Компания рекомендует восстанавливать зараженные устройства из чистых образов, менять учетные данные, если разрешен удаленный доступ с однофакторной аутентификацией, и ограничивать входящий доступ только доверенными или заранее определенными диапазонами исходных IP-адресов.
Проблема, отслеживаемая как CVE-2023-4966 с оценкой CVSS 9,4 может быть использована без аутентификации для кражи конфиденциальной информации из локальных устройств, настроенных как шлюз или виртуальный сервер AAA.
Citrix объявила об исправлениях ошибок в NetScaler ADC и Gateway 10 октября, но не упомянула при этом о потенциальной эксплуатации.
Однако позже обновили свои рекомендации, предупредив клиентов о наблюдаемой эксплуатации CVE-2023-4966 и призвав их как можно скорее обновить свои экземпляры.
Ошибка устранена в версиях NetScaler ADC и NetScaler Gateway 14.1-8.50, 13.1-49.15 и 13.0-92.19, а также в версиях NetScaler ADC 13.1-FIPS 13.1-37.164, 12.1-FIPS 12.1-55.300 и 12.1-NDcPP 12.1- 55.300.
Mandiant же добавил, что уязвимость использовалась с августа в атаках, направленных на правительственный сектор и технологические организации.
Успешная эксплуатация может позволить злоумышленнику перехватить существующие сеансы с аутентификацией, минуя многофакторную аутентификацию.
Причем эти сеансы могут сохраняться после развертывания обновления для устранения CVE-2023-4966.
Кроме того, исследователи наблюдали перехват сеанса, когда данные были украдены еще до установки исправлений и впоследствии использовались злоумышленником.
В зависимости от разрешений и объема доступа к сеансу перехват может предоставить злоумышленникам дальнейший нисходящий доступ, позволяя им собирать учетные данные, перемещаться в горизонтальном направлении и получать доступ к дополнительным ресурсам в скомпрометированной среде.
В руководстве по исправлению Mandiant рекомендует изолировать экземпляры NetScaler ADC и шлюза при подготовке к установке исправлений, ограничить доступ к непропатченным устройствам, обновить устройства, завершить все активные сеансы после обновления и сканировать устройства на наличие вредоносной активности.
Компания рекомендует восстанавливать зараженные устройства из чистых образов, менять учетные данные, если разрешен удаленный доступ с однофакторной аутентификацией, и ограничивать входящий доступ только доверенными или заранее определенными диапазонами исходных IP-адресов.
Google Cloud Blog
Investigation of Session Hijacking via Citrix NetScaler ADC and Gateway Vulnerability (CVE-2023-4966) | Google Cloud Blog