Тайваньский QNAP вновь латает дыры в своих программных продуктах NAS, включая QTS, QuTS Hero, QuTScloud и myQNAPcloud, которые могут позволить злоумышленникам получить доступ к устройствам.

На этот раз клиентов предупреждают о трех уязвимости в NAS, которые могут привести к обходу аутентификации, внедрению команд и внедрению SQL.

Если два недостатка требуют от злоумышленника аутентификации в целевой системе, что значительно снижает риск, то третий CVE-2024-21899 может быть выполнен удаленно без аутентификации и имеет низкая сложность атаки.

Упомянутые менее серьезные CVE-2024-21900 и CVE-2024-21901 позволяют прошедшим проверку пользователям выполнять произвольные команды в системе и внедрять вредоносный код SQL через сеть, что потенциально может привести к несанкционированному доступу к системе или управлению ею, а также нарушить целостность базы данных.

Недостатки затрагивают различные версии операционных систем QNAP, включая QTS 5.1.x, QTS 4.5.x, QuTS Hero h5.1.x, QuTS Hero h4.5.x, QuTScloud c5.x и службу myQNAPcloud 1.0.x.

Пользователям с доступными онлайн сетевыми хранилищами рекомендуется выполнить обновление, в противном случае есть риск познакомиться с вымогателями DeadBolt, Checkmate и Qlocker, которые, можно сказать, специализируются на устройствах QNAP.

Вагон и маленькую тележку секретных материалов банда вымогателей Play вынесла в мае прошлого года из компании Xplain, который считается одним из основных поставщиков IT для правительства Швейцарии.

Правительство страны тогда распорядилось провести проверку инцидента с использованием ransomware в августе 2023 года, и в четверг Швейцарский национальный центр кибербезопасности представил свои первоначальные выводы, подтвердив утечку секретных данных.

В общей сложности швейцарские власти обнаружили, что 1,3 миллиона файлов объемом 907 ГБ оказались в руках хакеров 23 мая, а затем 1 июня были слиты в даркнет.

Как оказалось, 5% из них были связаны с федеральным правительством страны и включали 65 000 документов с секретной информацией и конфиденциальными личными данными.

Утечка затронула швейцарскую армию, несколько кантональных полицейских сил и Федеральное управление полиции. Она включала личные данные, техническую и инженерную информацию, секретные документы, пароли и многое другое.

Расследование обещают завершить к концу марта, отчет будет направлен в Федеральный совет страны. Вероятно, затем приведет к отставкам уголовным делам и судебным претензиям. Может и сейфы прикупят, да бумаги побольше.

Похоже, что американская CISA начала предупреждать об угрозах, связанных с уязвимостями Ivanti, после того, как сама была взломана через решения этого поставщика.

Обнаружив в феврале вредоносную активность, указывающую на эксплуатацию уязвимостей в решениях поставщика, CISA пришлось отключить несколько своих систем (каких именно не понятно), дабы предотвратить дальнейшее распространение угрозы.

Также CISA воздержалась от комментариев относительно того, кто может стоять за этим инцидентом и были ли украдены данные злоумышленниками.

Но знакомые с ситуацией источники, которые указали, что среди скомпрометированных систем был шлюз защиты инфраструктуры (IP Gateway) и Инструмент мониторинга химической безопасности (CSAT).

Причем в CSAT хранится часть наиболее важная и приватная информация по промышленной ифнраструктуре США, в том числе система Top Screen для химических предприятий высокого риска, планы и оценки безопасности критически важных объектов.

CISA опровергла слухи, но призвала организации пересмотреть консультативное заключение от 29 февраля, предупреждающее об эксплуатации уязвимостей в шлюзах Ivanti Connect Secure и Ivanti Policy Secure CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893.

Причем делая акцент на том, что хакеры нашли способы обхода инструментов Ivanti для защиты от компрометации.

Сюжет нового сезона захватывающего сериала под названием Ivanti 0 day продолжает удивлять, в том числе появлением достаточно неожиданных персонажей.

Но концовки, по всей видимости, так и не предвидится.

͏Сценарий остросюжетного мистического инфосек-детектива с элементами бурлеска "Трудности перевода". Краткое содержание.

В далеком конце мая 2023 года Лаборатория Касперского объявляет, что вскрыла массовую кампанию по заражению iPhone российских пользователей неизведанным вредоносным ПО. Эта кампания получает название Operation Triangulation. Несмотря на то, что сама Лаборатория никакой атрибуции не проводит, российские СМИ со ссылкой на российские же госорганы спешат сообщить, что за вирусной атакой стоят спецслужбы США. Всем становится тревожно.

Спустя полторы недели китайская инфосек компания Qihoo 360 сообщает, что к Операции Триангуляции причастна некая APT-C-63 aka Sand Eagle, а также, что используемый вредоносный инструмент имеет версию не только под iOS, но и под Windows. Однако спустя два дня отчет таинственным образом исчезает. Становится еще тревожнее.

В начале 2024 года Qihoo 360 выпускает годовой отчет по активности APT, в котором китайские исследователи помечают APT Sand Eagle как Middle East based, а Триангуляцию теперь относят к активности APT-C-40. Так китайцы издревле называют постоянную продвинутую угрозу, которая, как гласят свитки времен Династии Хань, исходит с запада, с южных берегов Потомака, из штаб-квартиры АНБ. Другое название APT-C-40 - Equation. Тревога нарастает.

В феврале 2024 года российская компания F.A.C.C.T представляет отчет, в котором, вероятно под влиянием летних прозрений китайских мудрецов, приписывает Операцию Триангуляцию группе Sand Eagle. Отчет внимательно просматривают товарищи из vx-underground, после чего инфосек сообщество начинает активно спорить - это таки русская пропаганда или нет? Кто-то, отчаявшись найти правду, задает вопрос про Sand Eagle созданному Франкенштейном Илоном Маском искусcтвенному интеллекту Grok, который сообщает, что это группа высокопрофессиональных хакеров, которая, как считается, базируется в США. Эксперты бьются в падучей, "Грок знает то, чего не ведаем мы!" - восклицают они. Тревога достигает немыслимых высот.

В финале на помощь приходят Чип и Дейл журналисты-исследователи CyberNews, которые наконец выясняют, что на самом деле Sand Eagle - это художественный роман 2006 года под названием Орел на песке. Все счастливы, играют на ситаре, поют песни, танцуют танец живота, пьют ром.

To be continued...

Исследователи из Лаборатории Касперского представили аналитику по итогам 2023 года в отношении спама и фишинга.

Статистические показатели не радуют: 45,60% писем по всему миру и 46,59% писем в Рунете были спамом, причем 31,45% всех спамовых писем были отправлены из России.

По телеметрии показатели также растут: решения ЛК заблокировали 135 980 457 вредоносных почтовых вложений и 709 590 011 попыток перехода по фишинговым ссылкам, включая более 62 тысяч в Telegram.

Киберпреступники чаще всего таргетировали фишинг на геймеров под видом рассылки выгодных предложений, приглашений к тестированию новых версий игр и участию в сделках с внутриигровыми ценностями.

Традиционно задействовалась схема со льготами и компенсациями, особенно по части налогов. Для этого дизайн сайтов, предлагающих компенсации, в деталях соответствовал реальным ресурсам налоговых органов США, Великобритании, Сингапура, Франции и других стран.

Скамеры в 2023 году заманивали жертв не только деньгами. Так, была придумана довольно оригинальная схема, где пользователей приглашали поучаствовать в лотерее, чтобы выиграть визу для иммиграции в другую страну ради работы или учебы.

Помимо выплат и лотерей, в 2023 году мошенники распространяли предложения быстрого заработка: задания, опросы и тп.

Но самым прибыльным для киберподполья в 2023 году являлся фишинг, направленный на кражу учетных данных криптокошельков. Для этого хакеры имитировали новый проект CryptoGPT (с мая 2023 года — LayerAI), а также криптовалютную биржу CommEX.

Криптовалюту в качестве приманки использовали и скам-ресурсы, заманивая предложениями заработка через «чудесный» скрипт.

Примечательно, что в 2023 году киберпреступники также расширили свой арсенал приманок. Например, попался сайт, имитирующий электронную книгу о пенсионной реформе, для ознакомления с которой нужно было зарегистрироваться и оформить бесплатную подписку, привязав к аккаунту банковскую карту.

Значительная доля фишинговых атак в 2023 году приходилась на социальные сети и мессенджеры. В русскоязычном сегменте стала популярной тема голосования за участников онлайн-конкурсов, благодаря которой злоумышленники получали доступ к аккаунту WhatsApp жертвы.

Учитывая рост популярности Telegram 2023 году злоумышленники придумали тонну приманок для пользователей мессенджера. Не обошлось без ИИ и QR, которые, можно сказать, стали одними из главных трендов в сфере фишинга и сама.

Не обошлось в 2023 году и без писем от вымогателей. Например, в декабре фиксировалась рассылка, в которой злоумышленники угрожали разослать близким получателя видео интимного характера, якобы снятое в результате взлома устройства.

Для распространения вредоносных файлов мошенники в 2023 году продолжили маскировать свои рассылки под письма от государственных органов.

На самом деле, отчет получился достаточно объемный и содержательный, всего не перескажешь, особенно массу примеров и инфографики. Так что настоятельно рекомендуем.

Уязвимости в TeamCity JetBrains теперь в арсенале ransomware-банд.

Как выяснили специалисты, за атаками стояли операторы BianLian, уже известные своими кампаниями в отношении объектов КИИ.

В последнем случае злоумышленники воспользовались недостатками CVE-2024-27198 и CVE-2024-27199 для обхода аутентификации и получения полного контроля над сервером.

Все возможно бы обошлось, поскольку в JetBrains объявили об исправлении этих уязвимостей 4 марта, однако исследователи Rapid7 произвели выстрел в спину и раскрыли детали уязвимости слишком рано, что привело к их активной эксплуатации злоумышленниками.

Цепочка атак, включала в себя эксплуатацию уязвимого экземпляра TeamCity с использованием CVE-2024-27198 или CVE-2023-42793 для получения первоначального доступа к среде с последующим созданием новых пользователей на сервере сборки, выполнением вредоносных команд и бокового перемещения.

В настоящее время неясно, какой из двух недостатков злоумышленник использовал для проникновения, но массовое использование CVE-2024-27198 было зафиксировано 6 марта и включало, как раз таки, создание мошеннических пользовательских аккаунтов и развертывание PowerShell-реализации бэкдора Go от BianLian.

Известно, что злоумышленники BianLian внедряют собственный бэкдор, написанный на Go для каждой жертвы, а также удаляют инструменты удаленного рабочего стола, такие как AnyDesk, Atera, SplashTop и TeamViewer.

Бэкдор отслеживается Microsoft как BianDoor.

JetBrains утверждает, что многие клиенты успели установить исправления до начала атак, но увы не все смогли это сделать вовремя, что привело к компрометации некоторых серверов, последующим ransomware-атакам и попыткам организации DDoS.

Поставщик обвинил Rapid7 в преждевременном раскрытии информации, но дойдут ли разборки до чего-то большего, чем просто публичные распри или как всегда: проблемы спасения утопающих, будут на стороне самих утопающих, а клиент итак все стерпит.

Еще раз вернемся к разговору про трудности перевода.

Пытаясь выцедить молекулы «правильной» атрибуции ведущих RaaS из отчета F.A.C.C.T. за 2023 года, исследователи из vx-underground с недоумением обнаруживают, что Lockbit и Babuk упоминаются в качестве ПО и не имеют привязки к каким-либо группам.

В качестве примера приводится раздел про Shadow (Comet) APT, где Lockbit и Babuk указаны в числе прочих как используемые а атаках инструменты.

Заподозрив неладное и разложив отчет на буквы, vx-underground так и нашли отсылки к операторам или владельцам RaaS, что показалось им очень подозрительным, даже несмотря на вразумительные доводы в комментариях.

Но мы неоднократно обозревали деятельность Shadow в контексте исследований F.A.C.C.T., отмечая наличие в арсенале хакеров билдера Lockbit и модифицированного ПО Babuk, которые задействовались в финансово мотивированных кампаниях в отношении организации в России и странах СНГ.

Поэтому, если бы специалисты занимались делом, а не погоней за русской пропагандой, то никаких трудностей у них бы не возникало. Но имеем, что имеем.

͏"Как работает ваша машина времени на Марсе?" - спрашивают подписчики.

А вот так!

Подкатил мартовский Patch Tuesday от Microsoft с исправлениями 60 уязвимостей, среди которых только две имеют рейтинг критических, а 18 относятся к RCE.

При этом, к всеобщему удивлению, обошлось без 0-day и эксплуатации в дикой природе. По крайней мере, согласно официальным сообщениям.

В целом разбивка по категориям выглядит следующим образом: 24 - уязвимости повышения привилегий, 3 - обхода функций безопасности, 18 - RCE, по 6 - раскрытия информации и DoS, а также 2 - спуфинга.

Помимо этого 4 ошибки исправлены в Microsoft Edge.

Две критические уязвимости затрагивают Hyper-V.

Первая CVE-2024-21407 с CVSS 8.1 позволяет коду в гостевой VM инициировать RCE и, по мнению Microsoft, достаточно сложна в эксплуатации.

Вторая CVE-2024-21408 вызывает отказ в обслуживании.

Среди уязвимостей, которые хоть и не признаны критическими, но вполне будут интересны сообществу:
- CVE-2024-21400 - EoP в Azure Kubernetes Service;
- CVE-2024-20671 - обход Microsoft Defender;
- CVE-2024-26198 - RCE в Exchange Server;
- CVE-2024-21334 - RCE в Open Management Infrastructure с CVSS 9,8 из 10;
- CVE-2024-26199 - EoP в MS Office;
- CVE-2024-21411 - RCE в Skype.

Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.

ChatGPT-Next-Web, более известный как NextChat подвержен SSRF-уязвимости, позволяющей получать доступ к файлам на серверах, на которых запущен его виджет.

Уязвимость в приложении NextChat отслеживается как CVE-2023-49785 и затрагивает все версии до 2.11.2, потенциально влияя на более чем 7500 серверов, подключенных к Интернету.

NextChat представляет собой кроссплатформенный пользовательский интерфейс чата, разработанный для использования с ChatGPT.

Обнаруженный специалистами Horizon3 баг обеспечивает доступ для чтения к внутренним конечным точкам HTTP, а также доступ для записи с использованием HTTP POST, PUT и других методов.

Как говорят исследователи, злоумышленники также могут использовать эту уязвимость для маскировки исходного IP-адреса, перенаправляя вредоносный трафик, предназначенный для других целей в сети, через эти открытые прокси.

Исследователи заявили, что они вынуждены были раскрыть информацию о данной уязвимости, поскольку поставщик не смог выпустить исправление в течение почти трех месяцев.

Более того и на данный момент патч не доступен, соответственно пользователи должны быть осведомлены о рисках и принимать меры для минимизации потенциального ущерба самостоятельно.

Fortinet выпустила патчи для критических RCE-уязвимостей в FortiOS, FortiProxy и FortiClientEMS.

Одна из них CVE-2023-42789, проблема записи за вне границ в FortiOS и FortiProxy, может позволить злоумышленникам выполнять код или команды с помощью созданных HTTP-запросов.

Обнаруженная командой безопасности Fortinet проблема была решена в совокупности с другой CVE-2023-42790, уязвимостью переполнения буфера на основе стека, которая также приводит к RCE.

Обе проблемы были устранены с выпуском FortiOS 7.4.2, 7.2.6, 7.0.13, 6.4.15 и 6.2.16, а также FortiProxy 7.4.1, 7.2.7, 7.0.13 и 2.0.14.

Второй недостаток критической степени тяжести - CVE-2023-48788, проблема SQL-инъекции в FortiClientEMS, которая позволяет неаутентизованным злоумышленникам выполнять код или команды через созданные запросы.

Проблема решена с выпуском FortiClientEMS 7.2.3 и 7.0.11.

Следует отметить, что Fortinet оценил как CVE-2023-42789, так и CVE-2023-48788 на 9,3 по CVSS, в то время как NIST NVD указывает оба с CVSS 9,8.

Fortinet также объявила об исправлениях ряда других ошибок высокой серьезности в FortiOS и FortiProxy (ведущую к раскрытию информации), FortiClientEMS (ведущую к выполнению команд) и в FortiWLM MEA для FortiManager (приводящую к RCE).

Хотя Fortinet и не упоминает об использовании уязвимостей в дикой природе, но мы то знаем, что это неизбежно произойдет в перспективе, учитывая нацеленность хакеров на такие активы, ведь успешное препарирование проблем может позволить захватить уязвимые системы.

Админы даркнет-площадки Incognito, специализирующейся на утечках, наркотрафике и продаже прочей запрещенки, решили обчистить своих участников и слиться.

Как сообщает KrebsOnSecurity, наркорынок № 1 сначала 6 марта заморозил все активы пользователей, ссылаясь на технические сбои и обновление платформы, а затем и вовсе лишил их доступа к аккаунтам и средствам.

Но на этом проблемы у завсегдатаев Incognito не закончились.

Теперь один из владельцев маркета Pharoah потребовал от каждого селлера отступные в размере до $20 тысяч в качестве выкупа за неразглашение данных об активности на площадке.

В противном случае все чаты, транзакции валюты и прочие логи будут переданы всеобщей огласке, включая и блюстителей закона, которые уже потирают ручки в ожидании заветной даты слива, запланированной на май месяц.

Анонсированный дамп содержит 557 тысяч заказов и 862 тысяч идентификаторов криптотранзакций.

Причем при открытии админы платформы анонсировали внедренную ими систему автоматического шифрования, которая, как они утверждали, должна была обеспечивать конфиденциальность и зачистку всех следов активности участников.

Но оказалось, что это блеф, а на сайте к настоящему висит таблица со статусом платежа и обозначением тех, кто выплатил отступные, и тех, кто остается в красной зоне.

Как говорят исследователи, удивляться нечему, такая схема закрытия маркетов практикуется еще со времен Shadowcrew, а заплативших барыш по итогу тоже кинут, хотя бы в том, что в назначенную дату никакого слива не будет.

Но будем посмотреть.

Исследователи Dr.Web сообщают о результатах расследования целевой АРТ-атаки на российское предприятие в сфере машиностроения, произошедшей в октября 2023 года.

В качестве основной цели замеченной кампании исследователи рассматривают кибершпионаж в отношении инфраструктуры компании и ее внутренней сети.

Для этого злоумышленники задействовали фишинговую рассылку и направили несколько сообщений на электронный адрес пострадавшей компании с темой «расследования» неких уголовных дел по уклонению от уплаты налогов.

Письма отправлялись якобы от имени следователя СК РФ и содержали два вложения. Первым был защищенный паролем zip-архив, включающий вредоносную ПО, при запуске которой начиналось заражение системы.

Вторым был обычный pdf-документ с фишинговым текстом о том, что вся информация об «уголовном деле» находится в архиве, и побуждал открыть вредоносную программу.

Во всех случаях распространяемым злоумышленниками вредоносным приложением был WhiteSnake Stealer, который широко реализуется в даркнете и используется для кражи учетных данных.

В рассматриваемой целевой атаке ему отводилась роль первой ступени заражения, доставляя в систему после запуска SSH-прокси-сервера основную полезную нагрузку - бэкдор JS.BackDoor.60, реализующий собственный фреймворк на JavaScript.

Троян состоит из основного обфусцированного тела, а также вспомогательных модулей, которые благодаря специфике архитектуры вредоносной ПО одновременно являются и ее частью, и задачами, которые та исполняет через общие с ними JavaScript-функции.

Новые задачи поступают трояну с С2 и фактически превращают его в многокомпонентную угрозу с расширяемой функциональностью, что позволяет применять его в качестве мощного инструмента кибершпионажа.

Кроме того, бэкдор имеет достаточно интересный механизм своего автозапуска. Наряду с одним из традиционных способов - внесением необходимых изменений в реестр Windows - троян особым образом модифицировал файлы lnk.

Для этого он проверял содержимое ряда системных каталогов, включая каталог рабочего стола и панели задач, и всем найденным в них ярлыкам, кроме Explorer.lnk или Проводник.lnk, целевым приложением для запуска назначал wscript.exe.

При этом для его запуска указывались специальные аргументы, одним из которых был ADS, в который записывалось тело бэкдора. В результате изменений модифицированные ярлыки вначале запускали JS.BackDoor.60, а уже после ― исходные программы.

Дополнительным инструментом слежки в рассматриваемой атаке стала вредоносная программа BackDoor.SpyBotNET.79, которая использовалась для записи разговоров через подключенный к зараженному компьютеру микрофон.

Результаты анализа не позволили однозначно атрибутировать угрозу к какой-либо из ранее известных APT-группировок, но, по всей видимости, возможности для этого еще представятся.

͏"Какая рабочая атмосфера в вашем коллективе?" - спрашивают подписчики.

Атмосфера в нашем коллективе.

Исследователи из IBM и Амстердамского университета VU Amsterdam сообщают подробности нового типа атаки, которая затрагивет всех основных производителей процессоров, включая Intel, AMD, Arm и IBM, а также ряда широко используемых ПО.

Новая атака, получившая название GhostRace, связана с утечкой данных на основе спекулятивной гонки SRC.

Такая атака может позволить злоумышленникам получить потенциально конфиденциальную информацию из памяти, в том числе пароли и ключи шифрования, но обычно требует физического или привилегированного доступа к целевой машине, а практическое использование в большинстве случаев нетривиально.

Условия гонки возникают, когда несколько потоков одновременно пытаются получить доступ к общему ресурсу, что может создавать уязвимости, которые можно использовать для различных целей, включая RCE, обход средств защиты и получения данных.

Операционные системы используют примитивы синхронизации, чтобы избежать условий гонки, но анализ безопасности этих примитивов, показал, что условия гонки могут сочетаться со спекулятивным выполнением, которое в последние годы часто использовался при атаках на процессоры.

Ключевой вывод заключается в том, что все общие примитивы синхронизации, реализованные с использованием условных ветвей, можно микроархитектурно обойти на спекулятивных путях с помощью атаки Spectre-v1, создавая условия SRC, что обеспечивает утечку информации из целевого программного обеспечения. 

Чтобы реализовать атаку, выполнение процесса-жертвы должно быть прервано в нужной точке, позволяя злоумышленнику выполнить спекулятивные параллельное использование после освобождения SCUAF.

Достигается это за счет новой техники под названием Inter-Process Interrupt Interrupting (IPI) Storming.

Сканирование гаджетов SCUAF в ядре Linux привело к обнаружению почти 1300 потенциально уязвимых.

Исследователи продемонстрировали атаку SCUAF с раскрытием информации на ядро Linux, достигнув утечки памяти ядра 12 Кбит/с. 

Исследование было сосредоточено на архитектурах x86 и Linux, но эксперты заявляют, что затронуты все основные поставщики оборудования, а также любое иное ПО помимо Linux, реализующее примитивы синхронизации посредством условных ветвей без каких-либо инструкций сериализации.

Intel, AMD, Arm и IBM были уведомлены об атаке GhostRace в конце 2023 года, а они, в свою очередь, уведомили поставщиков ОС и гипервизоров, которые также признали наличие проблемы. 

AMD представила по этому поводу рекомендацию, информируя, что предыдущее руководство по атакам Spectre должно также предотвратить атаки GhostRace.

Разработчики гипервизора Xen также выпустили рекомендации, отметив отсутствие в проекте уязвимых для GhostRace устройств.

Разработчики Linux реализовали функцию ограничения скорости IPI, но более не намерены предпринимать дальнейших действий из-за проблем с производительностью. 

Уязвимостям присвоены CVE CVE-2024-2193 (GhostRace) и CVE-2024-26602 (IPI Storming), выпущен PoC.

Кроме того, исследователи представили сценарии для сканирования ядра Linux на предмет гаджетов SCUAF, а также список уже обнаруженных ими гаджетов.

Очередная партия из более 200 уязвимостей закрыта Siemens и Schneider Electric в рамках обновлений за март 2024 года.

Siemens опубликовала 11 новых рекомендаций, описывающих в общей сложности 214 уязвимостей, большая часть которых относится к мобильному считывателю Simatic RF160B.

Два сообщения посвящены уязвимостям FortiOS и Fortigate, поскольку Fortigate NGFW интегрирован с коммутаторами и маршрутизаторами Ruggedcom, а уязвимости Fortinet также влияют на платформу хостинга промышленных приложений Siemens Ruggedcom APE1808.

Одна из двух рекомендаций Ruggedcom APE1808 охватывает семь проблем, а другие 38. Они могут привести к RCE, MitM-атакам, повышению привилегий, утечке информации, обходу функций безопасности и DoS.

В числе уязвимостей Fortinet - CVE-2024-21762 , CVE-2023-27997 и CVE-2022-41328, которые использовались в вредоносных атаках продвинутыми злоумышленниками. 

Промышленный гигант также представил бюллетень с описанием трех уязвимостей в системах противопожарной защиты Sinteso EN и Cerberus PRO EN. 

Одна из них была оценена как критическая (CVSS 10) и позволяет удаленному, неавторизованному злоумышленнику выполнить произвольный код в базовой операционной системе с привилегиями root.

Критическая уязвимость, которая могла привести к выполнению кода, также устранена в Sinema Remote Connect Server.

Уязвимости высокой степени серьезности были обнаружены в Siemens Sentron (DoS) и Solid Edge (RCE).

Siemens выпустила исправления для большинства уязвимых продуктов, но для некоторых исправления до настоящего времени еще не выпущены.

Schneider Electric выкатила только два новых предупреждения.

В одном из них описаны три уязвимости в Easergy T200 RTU для управления распределительными сетями общего пользования среднего и низкого напряжения.

Уязвимости имеют критическую и высокую степень серьезности, могут быть использованы для захвата учетных записей, RCE и несанкционированного доступа к информации.

Однако решение снято с реализации в конце 2021 года, и никаких исправлений предоставляться не будет. Клиентам было рекомендовано перейти на PowerLogic T300.

Другой бюллетень Schneider информирует клиентов о серьезной ошибке удаленного выполнения кода в продуктах EcoStruxure Power Design – Ecodial.

Исследователи Akamai предупреждают о новой уязвимости высокой степени серьезности в Kubernetes позволяет удаленно выполнять код с системными привилегиями на конечных точках Windows в кластере, для которой доступен PoC.

Проблема отслеживается как CVE-2023-5528 и влияет на установки Kubernetes по умолчанию.

Она схожа с CVE-2023-3676 (отсутствие очистки параметра subPath в файлах YAML) и связана с тем, как система оркестрации контейнеров обрабатывает файлы YAML.

В то время как CVE-2023-3676 был обнаружен при обработке службой kubelet файлов YAML, содержащих информацию о подключении общей папки, CVE-2023-5528 возникает при создании модуля, включающего локальный том, который позволяет монтировать разделы диска.

Одна из функций, которую выполняет сервис kubelet при создании такого модуля, формирует символическую ссылку между расположением тома на узле и местоположением внутри модуля.

Поскольку функция содержит вызов cmd, командная строка Windows поддерживает объединение команд. Злоумышленник может контролировать один параметр при выполнении cmd и вводить произвольные команды, которые будут выполняться с привилегиями kubelet.

Однако проблема возникает только при указании или создании persistVolume — типа ресурса хранения, который администраторы могут создать для предварительного выделения места для хранения и который будет действовать после окончания срока службы модуля.

Злоумышленник может изменить значение параметра «local.path» внутри YAML-файла persistVolume, чтобы добавить вредоносную команду, которая будет выполняться во время процесса монтирования.

Чтобы решить эту проблему, Kubernetes удалил вызов cmd и заменил его встроенной функцией Go, которая выполняет только операцию с символической ссылкой.

Все развертывания Kubernetes версии 1.28.3 и более ранних версий с узлами Windows в кластере уязвимы для CVE-2023-5528, исправленная версия - 1.28.4.

Поскольку проблема кроется в исходном коде, угроза останется активной, и вероятность ее использования, вероятно, увеличится - именно поэтому настоятельно рекомендуется исправлять кластер, даже если в нем нет узлов Windows.

Изучив рейтинг OWASP Top Ten, исследователи из Лаборатории Касперского решили поделиться своими соображениями по поводу распределения наиболее значимых уязвимостей через призму наработанного опыта, представив собственный рейтинг.

Для этого собрали данные из выборки проектов по анализу защищенности веб-приложений за 2021–2023 гг.

География анализируемых приложений - преимущественно Россия, Китай и страны Ближнего Востока.

Подавляющее большинство проектов (83%) было выполнено методом черного и серого ящиков, что позволило выявлять четыре из пяти (с доступом к исходному коду) наиболее распространенных типов уязвимостей.

Несмотря на то, что метод белого ящика позволяет найти больше уязвимостей в приложении, анализ методом черного и серого ящиков помогает посмотреть на приложение с точки зрения злоумышленника и выявить наиболее приоритетные для устранения уязвимости.

Теперь, подробнее по результатам.

Почти 70% всех проанализированных приложений содержали уязвимости, связанные с недостатками контроля доступа. Почти половина всех обнаруженных уязвимостей была среднего уровня риска, еще 37% — высокого. 

На втором месте - раскрытие чувствительной информации, но данная категория в отличие от первой содержит больше уязвимостей низкого уровня риска.

Популярность облачной и микросервисной архитектуры постоянно растет, что, в свою очередь, увеличивает поверхность для атак типа SSRF. Более половины приложений (57%) содержали уязвимость, которая позволяла злоумышленнику взаимодействовать с внутренними сервисами в обход логики приложения.

За 2021–2023 годы наибольшее количество проблем высокого уровня риска относились к SQL-уязвимостям, но только только 43% всех изученных веб-приложений содержали уязвимость данного типа, которые могут привести к получению конфиденциальных данных или RCE.

XSS-уязвимости, несмотря на статистику в 61%, оказались на 5 месте, поскольку в большинстве случаев данная уязвимость имела средний уровень риска.

Шестую строчку заняли уязвимости, связанные с недостатками аутентификации, из них 47% среднего уровня риска, но были и серьезные, позволявшие получить доступ к веб-приложению от имени клиента заказчика.

Чуть меньше половины приложений имело небезопасные настройки конфигурации, начиная от включенного режима отладки и до не включенной аутентификации.

Более трети всех приложений позволяли проводить атаки, направленные на подбор учетных данных.

На 9 месте с 22% - это слабые пароли, а 10-ая, но не менее важная категория распространенных уязвимостей — использование компонентов с известными ошибками.

Более подробно ознакомиться с каждой категорией и примерами можно в отчете, где помимо самих уязвимостей представлены также и конкретные рекомендации по каждой из них.

Баги, затрагивающие продукты контроля доступа к зданиям Linear были исправлены только спустя 5 лет после их первоначального обнаружения. Пять лет Карл!

Причем они включали в себя уязвимость, которая активно эксплуатировалась в реальных условиях.

Все началось в мае 2019 года на конференции ICS Cyber Security Conference, когда исследователь из Applied Risk Гьоко Крстич, раскрыл информацию о более чем 100 уязвимостях, обнаруженных в системах управления зданиями и контроля доступа от Nortek, Prima Systems, Optergy и других.

По непонятным причинам Nortek, тогда так и не выпустил патчей несмотря на то, что было обнаружено более 2500 экземпляров продукта контроля доступа Linear eMerge доступных из сети.

В феврале 2020 года, уже SonicWall сообщила, что одна из уязвимостей, обнаруженных Крстичем, была использована в атаках, а именно CVE-2019-7256, представляющая собой критическую ошибку удаленного выполнения кода без аутентификации.

В том же 2020 году CISA опубликовала информацию, что Nortek выпустила исправления для пяти уязвимостей Linear eMerge, обнаруженных Крстичем.

Однако, почему-то эксплуатируемая CVE-2019-7256 не была включена в этот список. WTF хочется спросить и почему злосчастный баг обходят стороной.

Мыс надежды появился в 2021 году, когда Nortek Security & Control была приобретена компанией Nice, специализирующейся на решениях для умного дома, безопасности и автоматизации зданий, но о проблемах безопасности своих продуктов доставшихся по наследству узнала только в 2023 году.

После череды бюллетеней по безопасности от нового вендора и разработки соответствующего обновления прошивки продуктов контроля доступа к дверям серии Linear eMerge E3 проблема как-то разрешилась.

5 марта 2024 года CISA опубликовала новую рекомендацию с описанием дюжины уязвимостей серии Linear eMerge E3, с предупреждением, что баги могут позволить удаленному злоумышленнику получать полный доступ к системе.

Причем все уязвимости имеют идентификаторы CVE 2019 года, включая CVE-2019-7256, которая была активно эксплуатирована.

В свою очередь, Nice подуспокоила клиентов и наконец-то подтвердила выпуск патчей для проблемной прошивки.