В третий день Pwn2Own Toronto 2023 команде STEALIEN удалось выполнить атаку на переполнение буфера стека в Wyze Cam v3, что привело к повреждению корневой оболочки. Они зарабатали 15 000 долларов.
Эту же камеру успешно скомпрометировал Рафаль Горил, реализовав цепочку из двух ошибок и заработав тем самым 15 000 долларов.
Команде Orca из Sea Security все же удалось провести атаку на Samsung Galaxy S23. Однако использованная ими ошибка была ранее известна.
А вот Xiaomi 13 Pro так и не смогли похакать ни Orca из Sea Security, ни ToChim, ни Interrupt Labs, ни ANHTUD.
Viettel смогла провести атаку на переполнение буфера стека, что привело к RCE в Lexmark CX331adwe. За это их вознаградили 10 штуками.
Synacktiv смогли выполнить переполнение буфера в куче ядра, вызванное через Wi-Fi и приведшее к RCE, на Wyze Cam v3, за что получили 15 000 долларов.
Сине Хейркхе удалось использовать переполнение буфера стека и отсутствие аутентификации для критически важных функций против гигабитного маршрутизатора TP-Link Omada и Lexmark CX331adwe. Однако одна из использованных им ошибок была известна ранее.
Таким образом общая сумма призовых выплат составила $938 250, пока не преодолев планку предыдущего рекорда Ванкувера. Но будем еще посмотреть.
Эту же камеру успешно скомпрометировал Рафаль Горил, реализовав цепочку из двух ошибок и заработав тем самым 15 000 долларов.
Команде Orca из Sea Security все же удалось провести атаку на Samsung Galaxy S23. Однако использованная ими ошибка была ранее известна.
А вот Xiaomi 13 Pro так и не смогли похакать ни Orca из Sea Security, ни ToChim, ни Interrupt Labs, ни ANHTUD.
Viettel смогла провести атаку на переполнение буфера стека, что привело к RCE в Lexmark CX331adwe. За это их вознаградили 10 штуками.
Synacktiv смогли выполнить переполнение буфера в куче ядра, вызванное через Wi-Fi и приведшее к RCE, на Wyze Cam v3, за что получили 15 000 долларов.
Сине Хейркхе удалось использовать переполнение буфера стека и отсутствие аутентификации для критически важных функций против гигабитного маршрутизатора TP-Link Omada и Lexmark CX331adwe. Однако одна из использованных им ошибок была известна ранее.
Таким образом общая сумма призовых выплат составила $938 250, пока не преодолев планку предыдущего рекорда Ванкувера. Но будем еще посмотреть.
Zero Day Initiative
Zero Day Initiative — Pwn2Own Toronto 2023 - Day Three Results
Welcome to Day 3 of Pwn2Own Toronto 2023! We’ll be updating this blog in real time as results become available. We have a full schedule of attempts today, so stay tuned! All times are Eastern (GMT -4:00).
CCleaner подтвердила утечку данных и стала еще одной крупной жертвой кампании Cl0p MOVEit.
Разработчик утилиты с 2,5 млрд. загрузок и 5 млн. установок Piriform Software до настоящего времени принадлежит Avast, которая видимо так и сделала никаких выводов после резонансного инцидента, когда в 2017 году Winnti троянизировали установщик CCleaner.
Сведения об утечке стали появляться после того, как пользователи ПО на форумах начали публиковать письма от поставщика, информирующих о недавнем нарушении.
Как заявляет CCleaner, на нее повлияла 0-day MOVEit Transfer, которая позволила злоумышленницам извлечь данные сотрудников и клиентов, которые уже зарегулируют в даркнете. Затронутыми оказались екоторые личные данные, включая имя, адрес электронной почты и номер телефона.
Тем не менее, разработчик классифицирует нарушение как утечку с низким уровнем риска.
Вообще же, по данным Emsisoft, более 2500 организаций - в основном в США - и более 66 миллионов человек пострадали от атак MOVEit, инициированных картелем вымогателей CL0p.
А если учитывать оценки IBM, которая подсчитала среднюю стоимость утечки данных в 165 долларов США за одну запись, влияние атак Cl0p может составить ошеломляющие 10,7 млрд. долл.
Разработчик утилиты с 2,5 млрд. загрузок и 5 млн. установок Piriform Software до настоящего времени принадлежит Avast, которая видимо так и сделала никаких выводов после резонансного инцидента, когда в 2017 году Winnti троянизировали установщик CCleaner.
Сведения об утечке стали появляться после того, как пользователи ПО на форумах начали публиковать письма от поставщика, информирующих о недавнем нарушении.
Как заявляет CCleaner, на нее повлияла 0-day MOVEit Transfer, которая позволила злоумышленницам извлечь данные сотрудников и клиентов, которые уже зарегулируют в даркнете. Затронутыми оказались екоторые личные данные, включая имя, адрес электронной почты и номер телефона.
Тем не менее, разработчик классифицирует нарушение как утечку с низким уровнем риска.
Вообще же, по данным Emsisoft, более 2500 организаций - в основном в США - и более 66 миллионов человек пострадали от атак MOVEit, инициированных картелем вымогателей CL0p.
А если учитывать оценки IBM, которая подсчитала среднюю стоимость утечки данных в 165 долларов США за одну запись, влияние атак Cl0p может составить ошеломляющие 10,7 млрд. долл.
Telegram
SecAtor
Сегодня мы продолжим разговор о APT 41 aka Double Dragon, работающую на китайское правительство. Сразу скажем, что информации вагон, поэтому подготовка постов занимает достаточно много времени.
Итак, как мы говорили китайская APT 41 весьма деятельна и за…
Итак, как мы говорили китайская APT 41 весьма деятельна и за…
Исследователи из Мичиганского университета, Технологического института Джорджии и Рурского университета в Бохуме раскрыли подробности новой спекулятивной атаки по побочному каналу под названием iLeakage, которая использует Safari для кражи информации и работает на последних устройствах Apple.
iLeakage — это первая демонстрация спекулятивной атаки на процессоры ARM Apple A-серии и M-серии. Ее можно использовать для получения данных с почти идеальной точностью.
По сути, это вневременная атака Spectre, которая обходит стандартную защиту побочных каналов, реализованную всеми поставщиками браузеров.
Злоумышленнику необходимо заманить целевого пользователя Safari на вредоносный сайт, который затем автоматически откроет сайт, с которого будет произведена кража информации. Это возможно, поскольку процесс рендеринга обрабатывает как сайт атаки iLeakage, так и целевой сайт.
Эксперты показали, как можно использовать атаку для получения паролей и другой информации, опубликовав демонстрационные ролики с iLeakage для кражи учетных данных Instagram, автоматически заполняемых менеджером паролей, электронных писем из ящика Gmail и истории просмотров на YouTube.
Свои результаты исследователи направили в Apple еще в сентябре 2022, но производитель пока представил защиту Safari на macOS, которое, по словам исследователей, не включено по умолчанию и работает нестабильно.
Компания намерена продолжить решение проблемы в следующем запланированном выпуске ПО.
С одной стороны, нет никаких доказательств того, что iLeakage использовался в реальных условиях, и провести атаку достаточно сложно, поскольку требует глубоких познаний об атаках по побочным каналам через браузер и реализации самой Safari.
С другой стороны, эксперты отметили, что атаку будет сложно обнаружить, поскольку она запускается в Safari и не оставляет следов в файлах системного журнала.
По словам исследователей, в macOS iLeakage влияет только на Safari.
Однако на iOS атака может сработать и с другими браузерами, включая Chrome, Edge и Firefox.
iLeakage показывает, что Spectre по-прежнему актуален и пригоден для реализации, даже после почти 6 лет трудов по ее смягчению с момента ее обнаружения.
iLeakage — это первая демонстрация спекулятивной атаки на процессоры ARM Apple A-серии и M-серии. Ее можно использовать для получения данных с почти идеальной точностью.
По сути, это вневременная атака Spectre, которая обходит стандартную защиту побочных каналов, реализованную всеми поставщиками браузеров.
Злоумышленнику необходимо заманить целевого пользователя Safari на вредоносный сайт, который затем автоматически откроет сайт, с которого будет произведена кража информации. Это возможно, поскольку процесс рендеринга обрабатывает как сайт атаки iLeakage, так и целевой сайт.
Эксперты показали, как можно использовать атаку для получения паролей и другой информации, опубликовав демонстрационные ролики с iLeakage для кражи учетных данных Instagram, автоматически заполняемых менеджером паролей, электронных писем из ящика Gmail и истории просмотров на YouTube.
Свои результаты исследователи направили в Apple еще в сентябре 2022, но производитель пока представил защиту Safari на macOS, которое, по словам исследователей, не включено по умолчанию и работает нестабильно.
Компания намерена продолжить решение проблемы в следующем запланированном выпуске ПО.
С одной стороны, нет никаких доказательств того, что iLeakage использовался в реальных условиях, и провести атаку достаточно сложно, поскольку требует глубоких познаний об атаках по побочным каналам через браузер и реализации самой Safari.
С другой стороны, эксперты отметили, что атаку будет сложно обнаружить, поскольку она запускается в Safari и не оставляет следов в файлах системного журнала.
По словам исследователей, в macOS iLeakage влияет только на Safari.
Однако на iOS атака может сработать и с другими браузерами, включая Chrome, Edge и Firefox.
iLeakage показывает, что Spectre по-прежнему актуален и пригоден для реализации, даже после почти 6 лет трудов по ее смягчению с момента ее обнаружения.
Microsoft выкатила подробный профиль англоязычного злоумышленника с расширенными возможностями социнженерии, поломавшего не так давно казино Caesars и MGM.
Microsoft отслеживает группу как Octo Tempest, но они также известны как 0ktapus, Scattered Spider и UNC3944.
Хакерская группа, как оказалось, использовала угрозы физического насилия для получения первоначального доступа к сетям жертв, нацеливаясь на администраторов и сотрудников службы поддержки, обладающих достаточными разрешениями.
Исследователи начали обращать внимание на группу в начале 2022 года, которую Cyberscoop связывает с подпольным сообществом под названием The Com, члены которого, предположительно, практиковали подмену SIM-карт, инциденты с обстрелами домов и организации силовых акций в реальной жизни.
К началу 2023 года некоторые члены группы разработали более продвинутый и агрессивный подход и начали монетизировать вымогательство, атакуя телеком, IT и поставщиков MSP.
Атаки Octo Tempest неуклонно развивались и в настоящее время группа перешла от простых схем вымогательства к ransomware, активно привлекая для этих целей AlphV как для кражи, так и для шифрования данных.
Кроме того, расширился и профиль жертв. Ранее в этом году группа атаковала компании игрового, гостиничного, розничного, производственного, технологического и финансового секторов.
Компания привлекла внимание общественности после того, как в прошлом месяце нанесла удар по Caesars Entertainment и MGM Resorts в ходе операции, которая нанесла мощный ущерб их работе, но это была лишь одна из атак в череде инцидентов, затронувших крупные корпорации, включая Okta, Microsoft, Nvidia, Rockstar и Samsung.
По оценкам Microsoft, Octo Tempest - это самая опасная финансово мотивированная и первоклассно организованная группа, демонстрирующая разнообразный набор TTPs для навигации в сложных гибридных средах, извлечения конфиденциальных данных и шифрования данных.
Но больше всего группа известна своей сверхъестественной способностью добиваться первоначального доступа. А мы всегда говорили, что терморектальный криптоанлиз - это самый надежный метод первичной компрометации.
Microsoft отслеживает группу как Octo Tempest, но они также известны как 0ktapus, Scattered Spider и UNC3944.
Хакерская группа, как оказалось, использовала угрозы физического насилия для получения первоначального доступа к сетям жертв, нацеливаясь на администраторов и сотрудников службы поддержки, обладающих достаточными разрешениями.
Исследователи начали обращать внимание на группу в начале 2022 года, которую Cyberscoop связывает с подпольным сообществом под названием The Com, члены которого, предположительно, практиковали подмену SIM-карт, инциденты с обстрелами домов и организации силовых акций в реальной жизни.
К началу 2023 года некоторые члены группы разработали более продвинутый и агрессивный подход и начали монетизировать вымогательство, атакуя телеком, IT и поставщиков MSP.
Атаки Octo Tempest неуклонно развивались и в настоящее время группа перешла от простых схем вымогательства к ransomware, активно привлекая для этих целей AlphV как для кражи, так и для шифрования данных.
Кроме того, расширился и профиль жертв. Ранее в этом году группа атаковала компании игрового, гостиничного, розничного, производственного, технологического и финансового секторов.
Компания привлекла внимание общественности после того, как в прошлом месяце нанесла удар по Caesars Entertainment и MGM Resorts в ходе операции, которая нанесла мощный ущерб их работе, но это была лишь одна из атак в череде инцидентов, затронувших крупные корпорации, включая Okta, Microsoft, Nvidia, Rockstar и Samsung.
По оценкам Microsoft, Octo Tempest - это самая опасная финансово мотивированная и первоклассно организованная группа, демонстрирующая разнообразный набор TTPs для навигации в сложных гибридных средах, извлечения конфиденциальных данных и шифрования данных.
Но больше всего группа известна своей сверхъестественной способностью добиваться первоначального доступа. А мы всегда говорили, что терморектальный криптоанлиз - это самый надежный метод первичной компрометации.
Microsoft News
Octo Tempest crosses boundaries to facilitate extortion, encryption, and destruction
Financially motivated threat actor Octo Tempest's evolving campaigns represent growing concern for organizations across multiple industries.
Positive Technologies обнаружила кампанию по майнингу крипты, в рамках которой было заражено более 250 000 компьютеров Windows в 164 странах посредством пиратского ПО, распространяемого через торрент.
Подавляющее их число (более 200 тысяч) находится в России, Украине, Белоруссии, Узбекистане. В топ-10 стран также вошли Индия, Филиппины, Бразилия, Польша, Германия.
Большинство жертв — некорпоративные (обычные) пользователи, но были и госструктуры, образовательные учреждения, нефтяные и газовые компании, медучреждения, строительные, горнодобывающие компании, ритейл, IT и др.
Вредоносная ПО, получившая название autoit stealer, собирала информацию о компьютере жертвы, устанавливала RMS и майнер XMRig, архивировала содержимое пользовательской папки Telegram (tdata) — и это лишь наиболее деструктивные действия.
ВПО попадала на машину через торрент-файл с сайта topsoft[.]space, который был перерегистрирован в октябре 2022 года на украинском регистраторе.
Помимо легитимного ПО, установщик также содержит вредоносный компонент, который состоит из множества отдельных программ, представляющих собой по большей части скомпилированные AutoIt-скрипты, дополнительно накрытые пакером Themida.
Его реализация не выглядит сложной, сделано в некоторой степени по методичке и включает простые тактики проведения атаки.
ВПО отправляло собранную информацию в телеграм-бот, который выступал в роли С2. Проанализировав все сообщения из этого бота, исследователи обнаружили первого пользователя, который его запустил, — splokk.
После чего нашли его комменты под постами торрент-сайтов в ВК. В другой соцсети у этого же пользователя был ник cdjsend, который был замечен в публикациях постов по теме разработки ВПО.
Особую активность он проявлял на форуме autoit-script[.]ru, посвященном AutoIt, языку программирования для Windows, где и отметился размещением фрагментов кода аналогичных autoit stealer.
Теперь же дальнейшие дискуссии относительно кода разраб будет вести с силовиками. А другие подробности вместе с IOC можно узнать из расширенной версии исследования.
Подавляющее их число (более 200 тысяч) находится в России, Украине, Белоруссии, Узбекистане. В топ-10 стран также вошли Индия, Филиппины, Бразилия, Польша, Германия.
Большинство жертв — некорпоративные (обычные) пользователи, но были и госструктуры, образовательные учреждения, нефтяные и газовые компании, медучреждения, строительные, горнодобывающие компании, ритейл, IT и др.
Вредоносная ПО, получившая название autoit stealer, собирала информацию о компьютере жертвы, устанавливала RMS и майнер XMRig, архивировала содержимое пользовательской папки Telegram (tdata) — и это лишь наиболее деструктивные действия.
ВПО попадала на машину через торрент-файл с сайта topsoft[.]space, который был перерегистрирован в октябре 2022 года на украинском регистраторе.
Помимо легитимного ПО, установщик также содержит вредоносный компонент, который состоит из множества отдельных программ, представляющих собой по большей части скомпилированные AutoIt-скрипты, дополнительно накрытые пакером Themida.
Его реализация не выглядит сложной, сделано в некоторой степени по методичке и включает простые тактики проведения атаки.
ВПО отправляло собранную информацию в телеграм-бот, который выступал в роли С2. Проанализировав все сообщения из этого бота, исследователи обнаружили первого пользователя, который его запустил, — splokk.
После чего нашли его комменты под постами торрент-сайтов в ВК. В другой соцсети у этого же пользователя был ник cdjsend, который был замечен в публикациях постов по теме разработки ВПО.
Особую активность он проявлял на форуме autoit-script[.]ru, посвященном AutoIt, языку программирования для Windows, где и отметился размещением фрагментов кода аналогичных autoit stealer.
Теперь же дальнейшие дискуссии относительно кода разраб будет вести с силовиками. А другие подробности вместе с IOC можно узнать из расширенной версии исследования.
ptsecurity.com
Блог PT ESC Threat Intelligence
В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах
Минутка познавательной географии на канале SecAtor.
Как рассказывает европейская пресса, в Испании задержаны двое жителей города Аликанте, являвшихся ключевыми фигурами в банде вымогателей RagnarLocker. Также в Латвии был арестован еще один член группировки, а лидер ransomware gang былвызван на gang bang задержан в Париже (Франция). В 2021 году двоих участников банды приняли на Украине.
Если верить сообщениям прогрессивных западных инфосек журналистов и экспертов за последние пару лет - все это Россия.
Как рассказывает европейская пресса, в Испании задержаны двое жителей города Аликанте, являвшихся ключевыми фигурами в банде вымогателей RagnarLocker. Также в Латвии был арестован еще один член группировки, а лидер ransomware gang был
Если верить сообщениям прогрессивных западных инфосек журналистов и экспертов за последние пару лет - все это Россия.
Euro Weekly News
Alicante Hackers Targeted 168 Companies Around The World
A multi-national police operation coordinated by Europol has seen a major ransomware gang busted, with two of the main suspects arrested in Alicante. In a sweeping move against cybercrime…
͏Один из крупнейших в мире производителей авиационной, космической и военной техники с доходом в 66 млрд. долл. и штатом в 150 000 сотрудников вчера попал на DLS банды вымогателей Lockbit.
Если Вы еще не догадались, то жертвой оказалась Boeing, которая помимо коммерческих проектов, реализует приличный объем госзаказов в сфере обороны и космоса.
Представители Lockbit пока не разглашают каких-либо подробностей атаки на Boeing, включая объем и характера украденных данных.
Как они отмечают, отработал одних из операторов, который смог реализовать доступ посредством неназванного 0-day.
Банда обещает слить внушительный объем конфиденциальных данных, если компания не свяжется с группой до 2 ноября. Однако до этого времени не будут представлять списки или образцы.
Причем, как исследователи заметили, что большинству жертв Lockbit дает 10 дней (или больше) на начало переговоров.
Несмотря на громкие заявления, многие исследователи полагают, что за последние полгода репутация Lockbit изрядно подпортилась и в некоторых случая заявленные на DLS украденные данные не публиковались.
Однако учитывая статус новой жертвы - определенные козыри у банды однозначно есть.
Но будем посмотреть.
Если Вы еще не догадались, то жертвой оказалась Boeing, которая помимо коммерческих проектов, реализует приличный объем госзаказов в сфере обороны и космоса.
Представители Lockbit пока не разглашают каких-либо подробностей атаки на Boeing, включая объем и характера украденных данных.
Как они отмечают, отработал одних из операторов, который смог реализовать доступ посредством неназванного 0-day.
Банда обещает слить внушительный объем конфиденциальных данных, если компания не свяжется с группой до 2 ноября. Однако до этого времени не будут представлять списки или образцы.
Причем, как исследователи заметили, что большинству жертв Lockbit дает 10 дней (или больше) на начало переговоров.
Несмотря на громкие заявления, многие исследователи полагают, что за последние полгода репутация Lockbit изрядно подпортилась и в некоторых случая заявленные на DLS украденные данные не публиковались.
Однако учитывая статус новой жертвы - определенные козыри у банды однозначно есть.
Но будем посмотреть.
Организованное Trend Micro Zero Day Initiative соревнование хакеров Pwn2Own в Торонто 2023 завершилось: исследователи заработали 1 038 500 долларов за 58 0-day эксплойтов (и множество столкновений с ошибками), нацеленных на мобильные устройства и устройства IoT.
Напомним, что среди основных целей хакеров были представлены: мобильные телефоны (Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 и Xiaomi 13 Pro), принтеры, беспроводные маршрутизаторы, устройства NAS, умные дома, системы наблюдения и различные интеллектуальные устройства, а также Google Pixel Watch и Chromecast.
За все гетры дня ни одна команда не попыталась взломать Apple iPhone 14 и Google Pixel 7, но зато четыре раза поломали полностью исправленный Samsung Galaxy S23.
Команда Pentest Limited первой продемонстрировала 0-day в Samsung Galaxy S23, воспользовавшись слабостью неправильной проверки ввода для обеспечения выполнения кода, заработав 50 000 долларов.
Далее STAR Labs SG использовала список разрешенных входных данных для взлома флагмана Samsung в первый день, заработав 25 000 долларов.
Исследователи из Interrupt Labs и команды ToChim также взломали Galaxy во второй день соревнований, воспользовавшись списком разрешенных входных данных и еще одной уязвимостью неправильной проверки ввода.
По итогу всех этапов Viettel стала победителем и заработала $180 000 (30 очков Master of Pwn).
За ними следуют Team Orca из Sea Security с $116 250 (17,25 балла), DEVCORE Intern и Interrupt Labs (каждый с $50 000 и 10 очками).
Исследователи успешно продемонстрировали эксплойты, нацеленные на 58 0-day в устройствах от различных производителей, включая Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark и HP.
Теперь после демонстрации всех уязвимостей на Pwn2Own, у поставщиков есть 120 дней для выпуска исправлений, прежде чем ZDI публично раскроет их.
Как мы и ожидали, рекорд предыдущего состязания Pwn2Own Vancouver 2023, который составил $1 035 000, был побит на 3 500 зеленых (если не принимать в расчет Tesla Model 3, отправившийся одной из команд в качестве приза).
Но если оценивать по числу раскрытых уязвимостей прошлый результат (27 0-day) можно даже не сравнивать.
Напомним, что среди основных целей хакеров были представлены: мобильные телефоны (Apple iPhone 14, Google Pixel 7, Samsung Galaxy S23 и Xiaomi 13 Pro), принтеры, беспроводные маршрутизаторы, устройства NAS, умные дома, системы наблюдения и различные интеллектуальные устройства, а также Google Pixel Watch и Chromecast.
За все гетры дня ни одна команда не попыталась взломать Apple iPhone 14 и Google Pixel 7, но зато четыре раза поломали полностью исправленный Samsung Galaxy S23.
Команда Pentest Limited первой продемонстрировала 0-day в Samsung Galaxy S23, воспользовавшись слабостью неправильной проверки ввода для обеспечения выполнения кода, заработав 50 000 долларов.
Далее STAR Labs SG использовала список разрешенных входных данных для взлома флагмана Samsung в первый день, заработав 25 000 долларов.
Исследователи из Interrupt Labs и команды ToChim также взломали Galaxy во второй день соревнований, воспользовавшись списком разрешенных входных данных и еще одной уязвимостью неправильной проверки ввода.
По итогу всех этапов Viettel стала победителем и заработала $180 000 (30 очков Master of Pwn).
За ними следуют Team Orca из Sea Security с $116 250 (17,25 балла), DEVCORE Intern и Interrupt Labs (каждый с $50 000 и 10 очками).
Исследователи успешно продемонстрировали эксплойты, нацеленные на 58 0-day в устройствах от различных производителей, включая Xiaomi, Western Digital, Synology, Canon, Lexmark, Sonos, TP-Link, QNAP, Wyze, Lexmark и HP.
Теперь после демонстрации всех уязвимостей на Pwn2Own, у поставщиков есть 120 дней для выпуска исправлений, прежде чем ZDI публично раскроет их.
Как мы и ожидали, рекорд предыдущего состязания Pwn2Own Vancouver 2023, который составил $1 035 000, был побит на 3 500 зеленых (если не принимать в расчет Tesla Model 3, отправившийся одной из команд в качестве приза).
Но если оценивать по числу раскрытых уязвимостей прошлый результат (27 0-day) можно даже не сравнивать.
Zero Day Initiative
Zero Day Initiative — Pwn2Own Toronto 2023 - Day Four Results
The contest has wrapped, and we awarded $1,038,500 during the event for 58 unique 0-days. These bugs have been disclosed to the vendors, who now have 90 days to produce a patch. Congratulations to Team Viettel for winning Master of Pwn with $180,000 and 30…
Ubiquiti выпустила обновление безопасности для исправления критической уязвимости в UniFi, программном обеспечении для управления шлюзами, коммутаторами и точками беспроводного доступа компании.
Уязвимость, отслеживаемая как CVE-2023-41721, позволяет злоумышленникам получить доступ к данным конфигурации устройства. Ошибка получила максимальный рейтинг серьезности - 10/10.
Выявленные в UDM, UDM-PRO, UDM-SE, UDR и UDW проблемы позволяют атакующему менять конфигурацию сети.
Устройства Ubiquiti, на которых включено автоматическое обновление, уже исправлены, а остальным следует обновиться как можно скорее до версии 7.5.187 или более поздней.
Уязвимость, отслеживаемая как CVE-2023-41721, позволяет злоумышленникам получить доступ к данным конфигурации устройства. Ошибка получила максимальный рейтинг серьезности - 10/10.
Выявленные в UDM, UDM-PRO, UDM-SE, UDR и UDW проблемы позволяют атакующему менять конфигурацию сети.
Устройства Ubiquiti, на которых включено автоматическое обновление, уже исправлены, а остальным следует обновиться как можно скорее до версии 7.5.187 или более поздней.
cve.mitre.org
CVE -
CVE-2023-41721
CVE-2023-41721
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
В контроллере NGINX для Kubernetes обнаружены три неисправленные уязвимости высокой серьезности, которые злоумышленник может использовать для кражи секретных учетных данных из кластера.
Среди них:
- CVE-2022-4886 (оценка CVSS: 8,8): обход очистки пути Ingress-nginx для получения учетных данных контроллера Ingress-nginx;
- CVE-2023-5043 (оценка CVSS: 7,6): внедрение аннотации Ingress-nginx вызывает выполнение произвольной команды.
- CVE-2023-5044 (оценка CVSS: 7,6): внедрение кода через аннотацию nginx.ingress.kubernetes[.io]/permanent-redirect.
Уязвимости позволяет злоумышленнику, который может контролировать конфигурацию объекта Ingress, украсть секретные учетные данные из кластера.
CVE-2022-4886 из-за отсутствия проверки в поле «spec.rules[].http.paths[].path» позволяет злоумышленнику, имеющему доступ к Ingress, скачивать учетные данные API Kubernetes из контроллера входящего трафика.
В объекте Ingress оператор может определить, какой входящий путь HTTP направляется на какой внутренний путь.
Уязвимое приложение не проверяет должным образом достоверность внутреннего пути и может указывать на внутренний файл, который содержит токен учетной записи службы для аутентификации клиента на сервере API.
В отсутствие исправлений разработчики ПО выпустили меры по смягчению последствий, которые включают в себя активацию опции «strict-validate-path-type» и установку флага --enable-annotation-validation, чтобы предотвратить создание объектов Ingress с недопустимыми символами и ввести дополнительные ограничения.
В ARMO заявили, что обновление NGINX до версии 1.19, наряду с добавлением конфигурации командной строки «--enable-annotation-validation», устраняет CVE-2023-5043 и CVE-2023-5044.
Среди них:
- CVE-2022-4886 (оценка CVSS: 8,8): обход очистки пути Ingress-nginx для получения учетных данных контроллера Ingress-nginx;
- CVE-2023-5043 (оценка CVSS: 7,6): внедрение аннотации Ingress-nginx вызывает выполнение произвольной команды.
- CVE-2023-5044 (оценка CVSS: 7,6): внедрение кода через аннотацию nginx.ingress.kubernetes[.io]/permanent-redirect.
Уязвимости позволяет злоумышленнику, который может контролировать конфигурацию объекта Ingress, украсть секретные учетные данные из кластера.
CVE-2022-4886 из-за отсутствия проверки в поле «spec.rules[].http.paths[].path» позволяет злоумышленнику, имеющему доступ к Ingress, скачивать учетные данные API Kubernetes из контроллера входящего трафика.
В объекте Ingress оператор может определить, какой входящий путь HTTP направляется на какой внутренний путь.
Уязвимое приложение не проверяет должным образом достоверность внутреннего пути и может указывать на внутренний файл, который содержит токен учетной записи службы для аутентификации клиента на сервере API.
В отсутствие исправлений разработчики ПО выпустили меры по смягчению последствий, которые включают в себя активацию опции «strict-validate-path-type» и установку флага --enable-annotation-validation, чтобы предотвратить создание объектов Ingress с недопустимыми символами и ввести дополнительные ограничения.
В ARMO заявили, что обновление NGINX до версии 1.19, наряду с добавлением конфигурации командной строки «--enable-annotation-validation», устраняет CVE-2023-5043 и CVE-2023-5044.
Nginx
About
Исследователи Лаборатории Касперского раскрывают новую кампанию Lazarus с использованием вредоносного ПО SIGNBT, нацеленную на поставщиков программного обеспечения в период с марта по август 2023 года.
Обнаружить удалось после того, как северокорейские хакеры взламывали одного и того же разработчика, умело апеллируя уязвимостями в ПО, причем несмотря на то, что жертва реализовала множество исправлений и предупреждений.
Вероятно, Lazarus стремились получить доступ к исходному коду в расчете на проведение атаки на цепочку поставок.
Атака была обнаружена ЛК в июле 2023 года. В отчете упоминается, что Lazarus был нацелен на программное обеспечение безопасности, используемое для шифрования веб-коммуникаций. Однако точный вектор атаки, которым воспользовались хакеры, остается неизвестным.
Эксплуатация привела к развертыванию вредоносного ПО SIGNBT вместе с шелл-кодом, используемым для внедрения полезной нагрузки в память для скрытого выполнения.
Постоянство обеспечивалось путем добавления вредоносной DLL («ualapi.dll») в автозагрузку, которая должна была выполняться с помощью «spoolsv.exe», а также внесения изменений в реестр Windows.
Вредоносный файл DLL выполняет проверку идентификатора жертвы перед расшифровкой и загрузкой полезных данных SIGNBT из пути локальной файловой системы, чтобы гарантировать распространение заражения на намеченные цели.
SIGNBT получил свое название в виду отдельных строк, которые он использует для связи с C2, отправки информации о системе и получения команд для выполнения, среди которых: CCBrush, CCList, CCComboBox, CCButton и CCBitmap.
SIGNBT также может получать дополнительные полезные данные от C2 и развертывать их на хосте, обеспечивая Lazarus эксплуатационную универсальность.
Специалисты ЛК наблюдали, как Lazarus использовала эту функцию на SIGNBT для загрузки инструментов сброса учетных данных и вредоносного ПО LPEClient на скомпрометированные системы.
LPEClient сам по себе является похитителем информации, который, по словам ресерчеров, в своих последних версиях демонстрирует передовые методы для повышения своей скрытности и предотвращения обнаружения, включая отключение перехвата системных вызовов в пользовательском режиме и восстановление разделов памяти системной библиотеки.
В ЛК полагают, что Lazarus использовала LPEClient и в других кампаниях, которые проводились в 2023 году, хотя на более ранних этапах заражения они использовали вредоносное ПО для внедрения других полезных данных.
В целом Lazarus остается одним из наиболее активных и опасных субъектов угроз, реализуя широкий спектр атак в различных регионах и отраслях в соответствии с национальными стратегическими интересами.
Их недавняя активность подчеркивает изощренную тактику и последовательные цели, еще раз акцентируя внимание на необходимость системного обновления ПО, уязвимости в котором открывают широкие возможности для первоначальной компрометации.
Обнаружить удалось после того, как северокорейские хакеры взламывали одного и того же разработчика, умело апеллируя уязвимостями в ПО, причем несмотря на то, что жертва реализовала множество исправлений и предупреждений.
Вероятно, Lazarus стремились получить доступ к исходному коду в расчете на проведение атаки на цепочку поставок.
Атака была обнаружена ЛК в июле 2023 года. В отчете упоминается, что Lazarus был нацелен на программное обеспечение безопасности, используемое для шифрования веб-коммуникаций. Однако точный вектор атаки, которым воспользовались хакеры, остается неизвестным.
Эксплуатация привела к развертыванию вредоносного ПО SIGNBT вместе с шелл-кодом, используемым для внедрения полезной нагрузки в память для скрытого выполнения.
Постоянство обеспечивалось путем добавления вредоносной DLL («ualapi.dll») в автозагрузку, которая должна была выполняться с помощью «spoolsv.exe», а также внесения изменений в реестр Windows.
Вредоносный файл DLL выполняет проверку идентификатора жертвы перед расшифровкой и загрузкой полезных данных SIGNBT из пути локальной файловой системы, чтобы гарантировать распространение заражения на намеченные цели.
SIGNBT получил свое название в виду отдельных строк, которые он использует для связи с C2, отправки информации о системе и получения команд для выполнения, среди которых: CCBrush, CCList, CCComboBox, CCButton и CCBitmap.
SIGNBT также может получать дополнительные полезные данные от C2 и развертывать их на хосте, обеспечивая Lazarus эксплуатационную универсальность.
Специалисты ЛК наблюдали, как Lazarus использовала эту функцию на SIGNBT для загрузки инструментов сброса учетных данных и вредоносного ПО LPEClient на скомпрометированные системы.
LPEClient сам по себе является похитителем информации, который, по словам ресерчеров, в своих последних версиях демонстрирует передовые методы для повышения своей скрытности и предотвращения обнаружения, включая отключение перехвата системных вызовов в пользовательском режиме и восстановление разделов памяти системной библиотеки.
В ЛК полагают, что Lazarus использовала LPEClient и в других кампаниях, которые проводились в 2023 году, хотя на более ранних этапах заражения они использовали вредоносное ПО для внедрения других полезных данных.
В целом Lazarus остается одним из наиболее активных и опасных субъектов угроз, реализуя широкий спектр атак в различных регионах и отраслях в соответствии с национальными стратегическими интересами.
Их недавняя активность подчеркивает изощренную тактику и последовательные цели, еще раз акцентируя внимание на необходимость системного обновления ПО, уязвимости в котором открывают широкие возможности для первоначальной компрометации.
Securelist
A cascade of compromise: unveiling Lazarus' new campaign
We unveil a Lazarus campaign exploiting security company products and examine its intricate connections with other campaigns
Очередной громкий взлом объекта критической инфраструктуры. Российской.
Вчера "хактивисты" (а может действительно хактивисты?) из группировки DumpForums взломали НСПК - Национальную Систему Платежных Карт. Это, как пишут в этих ваших Интернетах, оператор платежных карт МИР. Но не только. Это кагбэ еще и операционный центр вообще всех платежных карт внутри России и заодно операционный центр СБП.
Хактивисты - русскоязычные, по применяемым устойчивым идиоматическим выражениям можно догадаться, что принадлежащие той национальности, из-за которой появилось выражение "борщить" (ТГ-канал рекламировать не будем, кто захочет - сам найдет).
Неделю назад DumpForums ломанули российского разработчика Unitarius, выкачали, по их словам, все внутренние сервера, включая gitlab. В анонсе взлома передали привет Согазу и НСПК. Не исключаем, что Unitarius что-то для НСПК писали и в сырцах пароли к проду зашили. Но это не точно.
Также допускаем, что перед нами типичный случай Asshole Chain Attack. Ну просто потому что это традиция, а традиции на Руси чтут.
DumpForums отдефейсили сайт, после чего его вырубили и до сих пор не подняли. НСПК заявляют, что кроме сайта хакеры "нiчого не крали"(с). Сами DumpForums говорят, что получили доступ к серверам МИРа и выкачали кучу информации. Сегодня в дополнение выложили скрин якобы скачанного дампа на 31 Гб. Посмотрим, выкинут ли в паблик сам дамп. С учетом принятых у нас медийных практик по дамагконтролю утечек данных (я - не я, и корова не моя!), вполне можем предположить, что действительно скачали.
Выводов никаких нет, точнее мы их озвучивали стотысяч раз.
Вчера "хактивисты" (а может действительно хактивисты?) из группировки DumpForums взломали НСПК - Национальную Систему Платежных Карт. Это, как пишут в этих ваших Интернетах, оператор платежных карт МИР. Но не только. Это кагбэ еще и операционный центр вообще всех платежных карт внутри России и заодно операционный центр СБП.
Хактивисты - русскоязычные, по применяемым устойчивым идиоматическим выражениям можно догадаться, что принадлежащие той национальности, из-за которой появилось выражение "борщить" (ТГ-канал рекламировать не будем, кто захочет - сам найдет).
Неделю назад DumpForums ломанули российского разработчика Unitarius, выкачали, по их словам, все внутренние сервера, включая gitlab. В анонсе взлома передали привет Согазу и НСПК. Не исключаем, что Unitarius что-то для НСПК писали и в сырцах пароли к проду зашили. Но это не точно.
Также допускаем, что перед нами типичный случай Asshole Chain Attack. Ну просто потому что это традиция, а традиции на Руси чтут.
DumpForums отдефейсили сайт, после чего его вырубили и до сих пор не подняли. НСПК заявляют, что кроме сайта хакеры "нiчого не крали"(с). Сами DumpForums говорят, что получили доступ к серверам МИРа и выкачали кучу информации. Сегодня в дополнение выложили скрин якобы скачанного дампа на 31 Гб. Посмотрим, выкинут ли в паблик сам дамп. С учетом принятых у нас медийных практик по дамагконтролю утечек данных (я - не я, и корова не моя!), вполне можем предположить, что действительно скачали.
Выводов никаких нет, точнее мы их озвучивали стотысяч раз.
Telegram
SecAtor
͏Мы хотели было написать очередной новостной пост по следам последнего отчета Security Joes в отношении наблюдения в дикой природе атак на объектное хранилище MinIO, однако подумали - какого черта?!
Две критичные уязвимости были выявлены и закрыты еще в…
Две критичные уязвимости были выявлены и закрыты еще в…
Будоражащая умы инфосека критическая уязвимость Cisco IOS XE (CVE-2023-20198) обзавелась общедоступным эксплойтом.
Создание эксплойта стало возможным благодаря результатам исследования с использованием ловушки, которые провела SECUINFRA.
Кроме того, исследователи Horizon3.ai поделились подробностями того, как злоумышленник может обойти аутентификацию на устройствах Cisco IOS XE, уязвимых для CVE-2023-20198.
В частности, он может закодировать HTTP-запрос к службе WMSA в iosd — мощном двоичном файле в Cisco IOS XE, который может сгенерировать файл конфигурации для OpenResty (сервер на базе Nginx с поддержкой сценариев Lua), используемый службой webui, уязвимой для CVE-2023-20198.
WSMA позволяет выполнять команды через запросы SOAP, в том числе те, которые предоставляют доступ к функции конфигурации, позволяющей создать пользователя с полными привилегиями в системе.
Они продемонстрировали, как хакеры могут использовать ошибку для создания нового пользователя с привилегиями 15-го уровня, которые обеспечивают полный контроль над устройством.
С этого момента злоумышленник получает полный контроль над устройством и может записывать вредоносные имплантаты на диск без необходимости использовать другую уязвимость.
Исследователи LeakIX подтвердили эффективность эксплойта и уже на своих приманках Cisco IOS XE отфиксировали выполняемые на устройствах команды: show ip interface brief, show ip dns view и show ip name-servers.
В свою очередь, Cisco вчера обновила свой бюллетень для CVE-2023-20198, объявив об обновлениях для IOS XE с исправлениями уязвимости.
И несмотря на то, что Cisco выпустила исправления для большинства версий своего ПО IOS XE, результаты сканирований показывают, что тысячи систем по-прежнему подвергаются риску.
По последним данным от Fox-IT, из число составляло 38 000.
Создание эксплойта стало возможным благодаря результатам исследования с использованием ловушки, которые провела SECUINFRA.
Кроме того, исследователи Horizon3.ai поделились подробностями того, как злоумышленник может обойти аутентификацию на устройствах Cisco IOS XE, уязвимых для CVE-2023-20198.
В частности, он может закодировать HTTP-запрос к службе WMSA в iosd — мощном двоичном файле в Cisco IOS XE, который может сгенерировать файл конфигурации для OpenResty (сервер на базе Nginx с поддержкой сценариев Lua), используемый службой webui, уязвимой для CVE-2023-20198.
WSMA позволяет выполнять команды через запросы SOAP, в том числе те, которые предоставляют доступ к функции конфигурации, позволяющей создать пользователя с полными привилегиями в системе.
Они продемонстрировали, как хакеры могут использовать ошибку для создания нового пользователя с привилегиями 15-го уровня, которые обеспечивают полный контроль над устройством.
С этого момента злоумышленник получает полный контроль над устройством и может записывать вредоносные имплантаты на диск без необходимости использовать другую уязвимость.
Исследователи LeakIX подтвердили эффективность эксплойта и уже на своих приманках Cisco IOS XE отфиксировали выполняемые на устройствах команды: show ip interface brief, show ip dns view и show ip name-servers.
В свою очередь, Cisco вчера обновила свой бюллетень для CVE-2023-20198, объявив об обновлениях для IOS XE с исправлениями уязвимости.
И несмотря на то, что Cisco выпустила исправления для большинства версий своего ПО IOS XE, результаты сканирований показывают, что тысячи систем по-прежнему подвергаются риску.
По последним данным от Fox-IT, из число составляло 38 000.
X (formerly Twitter)
SECUINFRA FALCON TEAM (@SI_FalconTeam) on X
🚨 #Cisco #IOSXE #CVE-2023-20198 #CVE-2023-20273
Patience is a virtue 🙂
We can confirm: New activity from IP 192.3.101[.]111 today. Our HPs 🍯 show exploit attempts on clean appl. + Implant usage e.g. "show ver" for recon.
Happy to share PCAPs, TLP:💛 ➡️…
Patience is a virtue 🙂
We can confirm: New activity from IP 192.3.101[.]111 today. Our HPs 🍯 show exploit attempts on clean appl. + Implant usage e.g. "show ver" for recon.
Happy to share PCAPs, TLP:💛 ➡️…
Исследователь Питер Гейслер, также известный как bl4sty, обнаружил две уязвимости в последней прошивке камер Wyze Cam v3, которые могут быть использованы для RCE на затронутых устройствах.
Первая уязвимость связана с обходом аутентификации DTLS (Datagram Transport Layer Security) в демоне iCamera, позволяющем злоумышленникам использовать произвольные PSK (Pre-Shared Keys) во время рукопожатий TLS для обхода мер безопасности.
Вторая уязвимость проявляется после установления аутентификационной сессии DTLS, когда клиент отправляет объект JSON. Злоумышленники могут использовать эту уязвимость для перезаписи памяти и выполнения своего кода на камере.
Исследователь опубликовал эксплойт на GitHub, реализующий оба недостатка, превращая уязвимые камеры Wyze v3 в постоянный бэкдор.
Более того, специалист раскритиковал стратегию обновления безопасности в Wyze, отмечая выпуск исправлений сразу после окончания регистрации на Pwn2Own Toronto 2023, в результате чего несколько команд с рабочим пейлоадом были вынуждены отказаться от участия.
Сам эксплойт был протестирован и подтвердил свою работу в версиях прошивки 4.36.10.4054, 4.36.11.4679, 4.36.11.5859, а соответствующие патчи для исправления уже доступны.
Первая уязвимость связана с обходом аутентификации DTLS (Datagram Transport Layer Security) в демоне iCamera, позволяющем злоумышленникам использовать произвольные PSK (Pre-Shared Keys) во время рукопожатий TLS для обхода мер безопасности.
Вторая уязвимость проявляется после установления аутентификационной сессии DTLS, когда клиент отправляет объект JSON. Злоумышленники могут использовать эту уязвимость для перезаписи памяти и выполнения своего кода на камере.
Исследователь опубликовал эксплойт на GitHub, реализующий оба недостатка, превращая уязвимые камеры Wyze v3 в постоянный бэкдор.
Более того, специалист раскритиковал стратегию обновления безопасности в Wyze, отмечая выпуск исправлений сразу после окончания регистрации на Pwn2Own Toronto 2023, в результате чего несколько команд с рабочим пейлоадом были вынуждены отказаться от участия.
Сам эксплойт был протестирован и подтвердил свою работу в версиях прошивки 4.36.10.4054, 4.36.11.4679, 4.36.11.5859, а соответствующие патчи для исправления уже доступны.
SecNews.gr
Wyze Cam v3: Ευπάθεια RCE στην κάμερα, ενημερώστε άμεσα
Εκμετάλλευση RCE για συσκευές Wyze Cam v3, ανοίγει ένα αντίστροφο κέλυφος και επιτρέπει την ανάληψη ευπαθών συσκευών.
Resecurity сообщает об утечке высококонфиденциальной личной информации более чем 800 млн. жителей Индии, которая реализуется в даркнете за 80 000 долларов.
Если утечка подтвердится, то нарушение станет крупнейшим в современной истории страны и затронет более половины ее населения.
Первые упоминания в киберподполье миллионов строк личной информации граждан Индии, в том числе связанных с Aadhaar, попали в поле зрения исследователей еще в начале октября.
Aadhaar - это одна из крупнейших в мире систем биометрической идентификации, в рамках которой на территории страны с 2009 года было выпущено около 1,4 миллиарда карт с биометрической информацией (отпечатки пальцев, скан радужной оболочки глаза) для всех проживающих.
Карта Aadhaar содержит уникальный 12-значный индивидуальный идентификационный номер и выступает как цифровой идентификатор личности, в том числе может быть использована для совершения электронных платежей.
Кроме того, 60% из 945 миллионов избирателей Индии используют ее для участия в выборах. Aadhaars также обеспечивает электронную подачу налоговых деклараций, оплату счетов и управление финансовыми активами, а также доступ к субсидиям и пенсионным выплатам.
Кроме того, утекшие данные также включали информацию из тестов на COVID-19 граждан, зарегистрированных в Индийском совете медицинских исследований (ICMR).
А, как сообщает The Hindu, с февраля ICMR подвергся многочисленным кибератакам. В июне в Telegram хакеры запускали сервис с пробивом записей из базы данных портала вакцинации CoWIN.
Тогда правительство Индии опровергло сообщения об утечке.
Впрочем, как и игнорируются результаты исследования Resecurity, согласно которым 9 октября селлер pwn0001 на Breach Forums анонсировал продажу 815 млн. записей «Indian Citizen Aadhaar & Passport». В приватной переписке поделился пруфами, которые оказались легитимными данными.
Ранее 30 августа Lucius на той же площадке заявлял об утечке объемом 1,8 ТБ, затронувшей неназванную внутреннюю правоохранительную структуру Индии. База содержал еще более обширный массив данных PII, чем набор pwn0001.
Как резюмируют Resecurity, всплеск инцидентов создает значительный риск кражи цифровых личных данных с потенциалом использования украденной информации в различного рода атаках, прежде всего ориентированных на финансовые активы граждан, пока власти Индии смотрят на все через розовые очки.
Если утечка подтвердится, то нарушение станет крупнейшим в современной истории страны и затронет более половины ее населения.
Первые упоминания в киберподполье миллионов строк личной информации граждан Индии, в том числе связанных с Aadhaar, попали в поле зрения исследователей еще в начале октября.
Aadhaar - это одна из крупнейших в мире систем биометрической идентификации, в рамках которой на территории страны с 2009 года было выпущено около 1,4 миллиарда карт с биометрической информацией (отпечатки пальцев, скан радужной оболочки глаза) для всех проживающих.
Карта Aadhaar содержит уникальный 12-значный индивидуальный идентификационный номер и выступает как цифровой идентификатор личности, в том числе может быть использована для совершения электронных платежей.
Кроме того, 60% из 945 миллионов избирателей Индии используют ее для участия в выборах. Aadhaars также обеспечивает электронную подачу налоговых деклараций, оплату счетов и управление финансовыми активами, а также доступ к субсидиям и пенсионным выплатам.
Кроме того, утекшие данные также включали информацию из тестов на COVID-19 граждан, зарегистрированных в Индийском совете медицинских исследований (ICMR).
А, как сообщает The Hindu, с февраля ICMR подвергся многочисленным кибератакам. В июне в Telegram хакеры запускали сервис с пробивом записей из базы данных портала вакцинации CoWIN.
Тогда правительство Индии опровергло сообщения об утечке.
Впрочем, как и игнорируются результаты исследования Resecurity, согласно которым 9 октября селлер pwn0001 на Breach Forums анонсировал продажу 815 млн. записей «Indian Citizen Aadhaar & Passport». В приватной переписке поделился пруфами, которые оказались легитимными данными.
Ранее 30 августа Lucius на той же площадке заявлял об утечке объемом 1,8 ТБ, затронувшей неназванную внутреннюю правоохранительную структуру Индии. База содержал еще более обширный массив данных PII, чем набор pwn0001.
Как резюмируют Resecurity, всплеск инцидентов создает значительный риск кражи цифровых личных данных с потенциалом использования украденной информации в различного рода атаках, прежде всего ориентированных на финансовые активы граждан, пока власти Индии смотрят на все через розовые очки.
The Hindu
U.S. cyber security firm indicates data breach sourced from ICMR
The Central Government is yet to respond to reports about the American cyber security and intelligence agency Resecurity’s alert on the alleged data leak of over 81 crore Indians Aadhaar and passport information along with names, phone numbers and addresses…
Сделали временную отсечку и мониторили ведущие инфосек-издания в ожидании найти упоминания про новую АРТ Double Alien Rat.
Так и не дождались, и не дождемся, ведь инфоповод никак не укладывается в продвигаемую на западе парадигму Китай держит в страхе все киберпространство, поскольку в этот раз китайцы сами попали под раздачу.
Обнаружена масштабная кибератака на госучреждения Китая, которая была организована хакерской группой Double Alien Rat, о чем сообщили эксперты из Fuying Lab компании NSFOCUS.
Атака длилась более полугода, и злоумышленники использовали zero-day уязвимости в сетевых устройствах для получения доступа к внутренним сетям государственных организаций и предприятий.
После получения доступа, злоумышленники сканировали сеть в поисках ценных данных и проводили дальнейшие целевые атаки.
Эксперты отмечают, что группа демонстрирует высокий уровень мастерства и осведомлённость об особенностях сетей и языковой среды Китая.
Более того, группировка пытается действовать с позиции чужого флага и активно используют методы дезинформации, чтобы замаскировать следы своей деятельности и симулировать атаки других хакерских групп.
В частности, они использовали TTPS таких APT-группировок, как APT29 и APT32.
Тактика Double Alien Rat включает в себя три основных этапа, а именно компрометацию доступных из Интернета устройств посредством 0-day, сканирование сети для выявления уязвимых устройств во внутренней сети жертвы и использование взломанных устройств для рассылки целевых фишинговых писем сотрудникам организации.
Пока злоумышленник не установлен, но есть предположение, что за атаками может стоять некая АРТ, базирующаяся в одной из азиатских стран и специализирующаяся конкретно на кибератаках против Китая.
По крайней мере, на это указывает приблизительный профиль этих злоумышленников и используемые TTPs с учетом особенностей языка и понимания специфики сетей Поднебесной.
Так и не дождались, и не дождемся, ведь инфоповод никак не укладывается в продвигаемую на западе парадигму Китай держит в страхе все киберпространство, поскольку в этот раз китайцы сами попали под раздачу.
Обнаружена масштабная кибератака на госучреждения Китая, которая была организована хакерской группой Double Alien Rat, о чем сообщили эксперты из Fuying Lab компании NSFOCUS.
Атака длилась более полугода, и злоумышленники использовали zero-day уязвимости в сетевых устройствах для получения доступа к внутренним сетям государственных организаций и предприятий.
После получения доступа, злоумышленники сканировали сеть в поисках ценных данных и проводили дальнейшие целевые атаки.
Эксперты отмечают, что группа демонстрирует высокий уровень мастерства и осведомлённость об особенностях сетей и языковой среды Китая.
Более того, группировка пытается действовать с позиции чужого флага и активно используют методы дезинформации, чтобы замаскировать следы своей деятельности и симулировать атаки других хакерских групп.
В частности, они использовали TTPS таких APT-группировок, как APT29 и APT32.
Тактика Double Alien Rat включает в себя три основных этапа, а именно компрометацию доступных из Интернета устройств посредством 0-day, сканирование сети для выявления уязвимых устройств во внутренней сети жертвы и использование взломанных устройств для рассылки целевых фишинговых писем сотрудникам организации.
Пока злоумышленник не установлен, но есть предположение, что за атаками может стоять некая АРТ, базирующаяся в одной из азиатских стран и специализирующаяся конкретно на кибератаках против Китая.
По крайней мере, на это указывает приблизительный профиль этих злоумышленников и используемые TTPs с учетом особенностей языка и понимания специфики сетей Поднебесной.
Weixin Official Accounts Platform
警惕→新型APT组织“双异鼠” 针对我国的大规模网络攻击行动
揭秘新型APT组织“双异鼠” 攻击手段
Австралийская Atlassian выступила с призывом немедленно исправить доступные в Интернете экземпляры Confluence, которые подвержены критической уязвимости, которая может привести к утрате данных.
Ошибка связана с неправильной авторизацией и затрагивает все версии ПО Confluence Data Center и Confluence Server.
Она отслеживается как CVE-2023-22518 и может позволить злоумышленникам, не прошедшим проверку подлинности, реализовать значительную потерю данных на затронутых серверах.
При этом ошибка не влияет на конфиденциальность, поскольку ее нельзя использовать для кражи данных экземпляра.
Atlassian Cloud, доступ к которым осуществляется через atlassian.net, также не подвержены этой уязвимости.
В настоящее время сообщений об активной эксплуатации нет, но тем не менее клиентам следует принять незамедлительные меры для защиты своих экземпляров.
Поставщик устранил критическую CVE-2023-22518 в Confluence Data Center и Server версий 7.19.16, 8.3.4, 8.4.4, 8.5.3 и 8.6.1.
В случае если обновиться до фиксированной версии не получится, необходимо принять меры по смягчению, включая резервное копирование неисправленных экземпляров и блокировку доступа в Интернет до тех пор, пока они не будут обновлены.
Оперативное исправление уязвимых серверов Confluence имеет высокий приоритет, поскольку ранее они неоднократно подвергались широкомасштабным атакам, а недавняя CVE-2023-22515 эксплуатировалась в качестве 0-day АРТ.
Ошибка связана с неправильной авторизацией и затрагивает все версии ПО Confluence Data Center и Confluence Server.
Она отслеживается как CVE-2023-22518 и может позволить злоумышленникам, не прошедшим проверку подлинности, реализовать значительную потерю данных на затронутых серверах.
При этом ошибка не влияет на конфиденциальность, поскольку ее нельзя использовать для кражи данных экземпляра.
Atlassian Cloud, доступ к которым осуществляется через atlassian.net, также не подвержены этой уязвимости.
В настоящее время сообщений об активной эксплуатации нет, но тем не менее клиентам следует принять незамедлительные меры для защиты своих экземпляров.
Поставщик устранил критическую CVE-2023-22518 в Confluence Data Center и Server версий 7.19.16, 8.3.4, 8.4.4, 8.5.3 и 8.6.1.
В случае если обновиться до фиксированной версии не получится, необходимо принять меры по смягчению, включая резервное копирование неисправленных экземпляров и блокировку доступа в Интернет до тех пор, пока они не будут обновлены.
Оперативное исправление уязвимых серверов Confluence имеет высокий приоритет, поскольку ранее они неоднократно подвергались широкомасштабным атакам, а недавняя CVE-2023-22515 эксплуатировалась в качестве 0-day АРТ.
Критическая уязвимость в F5 BIG-IP начала эксплуатироваться менее чем через пять дней после публичного раскрытия технических подробностей и выхода PoC-эксплойта.
CVE-2023-46747 (оценка CVSS 9,8) влияет на пользовательский интерфейс управления трафиком BIG-IP и позволяет выполнять удаленное выполнение кода (RCE) без проверки подлинности и получения полных административных привилегий в уязвимой системе.
26 октября F5 выпустила исправления для BIG-IP версий с 13.x по 17.x, призывав клиентов установить их как можно скорее.
В обновлении исходной рекомендации от 30 октября поставщик предупредил, что злоумышленники используют эту уязвимость, связывая ее с другим новым недостатком в утилите настройки BIG-IP, CVE-2023-46748 (оценка CVSS 8,8).
Уязвимость внедрения SQL-кода с проверкой подлинности может позволить аутентифицированному злоумышленнику, имеющему сетевой доступ к утилите настройки через порт управления BIG-IP и/или собственные IP-адреса, выполнять произвольные системные команды.
Компания также предоставила IoC для обеих уязвимостей, которые были замечены в ходе анализа взломанных устройств.
Сам PoC, нацеленный на CVE-2023-46747, выпустили на выходных Project Discovery, а компания Praetorian Security, которая выявила ошибку, обновила свой первоначальный блог, добавив дополнительные технические подробности.
По данным Praetorian, в сети сейчас тысячи подключенных к Интернету экземпляров BIG-IP остаются потенциально уязвимыми к атакам, причем многие из которых относятся к телекоммуникационному сегменту.
CVE-2023-46747 (оценка CVSS 9,8) влияет на пользовательский интерфейс управления трафиком BIG-IP и позволяет выполнять удаленное выполнение кода (RCE) без проверки подлинности и получения полных административных привилегий в уязвимой системе.
26 октября F5 выпустила исправления для BIG-IP версий с 13.x по 17.x, призывав клиентов установить их как можно скорее.
В обновлении исходной рекомендации от 30 октября поставщик предупредил, что злоумышленники используют эту уязвимость, связывая ее с другим новым недостатком в утилите настройки BIG-IP, CVE-2023-46748 (оценка CVSS 8,8).
Уязвимость внедрения SQL-кода с проверкой подлинности может позволить аутентифицированному злоумышленнику, имеющему сетевой доступ к утилите настройки через порт управления BIG-IP и/или собственные IP-адреса, выполнять произвольные системные команды.
Компания также предоставила IoC для обеих уязвимостей, которые были замечены в ходе анализа взломанных устройств.
Сам PoC, нацеленный на CVE-2023-46747, выпустили на выходных Project Discovery, а компания Praetorian Security, которая выявила ошибку, обновила свой первоначальный блог, добавив дополнительные технические подробности.
По данным Praetorian, в сети сейчас тысячи подключенных к Интернету экземпляров BIG-IP остаются потенциально уязвимыми к атакам, причем многие из которых относятся к телекоммуникационному сегменту.
F5
BIG-IP Configuration utility unauthenticated remote code execution vulnerability CVE-2023-46747
Security Advisory Description Undisclosed requests may bypass Configuration utility authentication. (CVE-2023-46747) Impact This vulnerability may allow an unauthenticated attacker with network access to the BIG-IP system through the management port and/or…
Emsisoft обновила статистку по инциленту MOVEit.
Число компаний, пострадавших от майской атаки вымогателей Cl0p на платформу, превысило 2,5 тысячи, а общее число жертв из числа пользователей - 67 млн.
Последними в этот список был добавлен авастовский CCleaner, а также Министерства юстиции и обороны США.
Причем в случае министерствами хакеры получили доступ к электронке 632 000 федеральных служащих со всем служебным содержимым.
Весьма вероятно, что на Рождество группа Clop купит себе Камбоджу.
Число компаний, пострадавших от майской атаки вымогателей Cl0p на платформу, превысило 2,5 тысячи, а общее число жертв из числа пользователей - 67 млн.
Последними в этот список был добавлен авастовский CCleaner, а также Министерства юстиции и обороны США.
Причем в случае министерствами хакеры получили доступ к электронке 632 000 федеральных служащих со всем служебным содержимым.
Весьма вероятно, что на Рождество группа Clop купит себе Камбоджу.
Emsisoft | Cybersecurity Blog
Unpacking the MOVEit Breach: Statistics and Analysis
How many organizations were affected by the MOVEit attack? This post looks at the statistics, and how we may be able to prevent similar attacks in future.