Изучив рейтинг OWASP Top Ten, исследователи из Лаборатории Касперского решили поделиться своими соображениями по поводу распределения наиболее значимых уязвимостей через призму наработанного опыта, представив собственный рейтинг.

Для этого собрали данные из выборки проектов по анализу защищенности веб-приложений за 2021–2023 гг.

География анализируемых приложений - преимущественно Россия, Китай и страны Ближнего Востока.

Подавляющее большинство проектов (83%) было выполнено методом черного и серого ящиков, что позволило выявлять четыре из пяти (с доступом к исходному коду) наиболее распространенных типов уязвимостей.

Несмотря на то, что метод белого ящика позволяет найти больше уязвимостей в приложении, анализ методом черного и серого ящиков помогает посмотреть на приложение с точки зрения злоумышленника и выявить наиболее приоритетные для устранения уязвимости.

Теперь, подробнее по результатам.

Почти 70% всех проанализированных приложений содержали уязвимости, связанные с недостатками контроля доступа. Почти половина всех обнаруженных уязвимостей была среднего уровня риска, еще 37% — высокого. 

На втором месте - раскрытие чувствительной информации, но данная категория в отличие от первой содержит больше уязвимостей низкого уровня риска.

Популярность облачной и микросервисной архитектуры постоянно растет, что, в свою очередь, увеличивает поверхность для атак типа SSRF. Более половины приложений (57%) содержали уязвимость, которая позволяла злоумышленнику взаимодействовать с внутренними сервисами в обход логики приложения.

За 2021–2023 годы наибольшее количество проблем высокого уровня риска относились к SQL-уязвимостям, но только только 43% всех изученных веб-приложений содержали уязвимость данного типа, которые могут привести к получению конфиденциальных данных или RCE.

XSS-уязвимости, несмотря на статистику в 61%, оказались на 5 месте, поскольку в большинстве случаев данная уязвимость имела средний уровень риска.

Шестую строчку заняли уязвимости, связанные с недостатками аутентификации, из них 47% среднего уровня риска, но были и серьезные, позволявшие получить доступ к веб-приложению от имени клиента заказчика.

Чуть меньше половины приложений имело небезопасные настройки конфигурации, начиная от включенного режима отладки и до не включенной аутентификации.

Более трети всех приложений позволяли проводить атаки, направленные на подбор учетных данных.

На 9 месте с 22% - это слабые пароли, а 10-ая, но не менее важная категория распространенных уязвимостей — использование компонентов с известными ошибками.

Более подробно ознакомиться с каждой категорией и примерами можно в отчете, где помимо самих уязвимостей представлены также и конкретные рекомендации по каждой из них.

Баги, затрагивающие продукты контроля доступа к зданиям Linear были исправлены только спустя 5 лет после их первоначального обнаружения. Пять лет Карл!

Причем они включали в себя уязвимость, которая активно эксплуатировалась в реальных условиях.

Все началось в мае 2019 года на конференции ICS Cyber Security Conference, когда исследователь из Applied Risk Гьоко Крстич, раскрыл информацию о более чем 100 уязвимостях, обнаруженных в системах управления зданиями и контроля доступа от Nortek, Prima Systems, Optergy и других.

По непонятным причинам Nortek, тогда так и не выпустил патчей несмотря на то, что было обнаружено более 2500 экземпляров продукта контроля доступа Linear eMerge доступных из сети.

В феврале 2020 года, уже SonicWall сообщила, что одна из уязвимостей, обнаруженных Крстичем, была использована в атаках, а именно CVE-2019-7256, представляющая собой критическую ошибку удаленного выполнения кода без аутентификации.

В том же 2020 году CISA опубликовала информацию, что Nortek выпустила исправления для пяти уязвимостей Linear eMerge, обнаруженных Крстичем.

Однако, почему-то эксплуатируемая CVE-2019-7256 не была включена в этот список. WTF хочется спросить и почему злосчастный баг обходят стороной.

Мыс надежды появился в 2021 году, когда Nortek Security & Control была приобретена компанией Nice, специализирующейся на решениях для умного дома, безопасности и автоматизации зданий, но о проблемах безопасности своих продуктов доставшихся по наследству узнала только в 2023 году.

После череды бюллетеней по безопасности от нового вендора и разработки соответствующего обновления прошивки продуктов контроля доступа к дверям серии Linear eMerge E3 проблема как-то разрешилась.

5 марта 2024 года CISA опубликовала новую рекомендацию с описанием дюжины уязвимостей серии Linear eMerge E3, с предупреждением, что баги могут позволить удаленному злоумышленнику получать полный доступ к системе.

Причем все уязвимости имеют идентификаторы CVE 2019 года, включая CVE-2019-7256, которая была активно эксплуатирована.

В свою очередь, Nice подуспокоила клиентов и наконец-то подтвердила выпуск патчей для проблемной прошивки.

͏Пропалестинская группа хактивистов Handala Hack слила в сеть скриншоты панели администрирования приобретенного в 2014 за 900 млн.$ японской Rakuten мессенджера Viber, заявив о его полной компрометации.

Пруфы доступны в одноименном ТГ-канале хакеров.

Хакеры утверждают, что смогли выкрасть более 740 ГБ данных с серверов компании, включая исходный код Viber, который ассоциируют как «аффилированный с оккупационным режимом».

И, судя по скринам, в руках хактивистов оказался достаточно широкий перечень категорий данных, включая логи авторизаций и переписку.

Полученные данные теперь реализуются по цене в 8 битков (544 000 долларов США), по поводу приобретения желающим предлагается обсудить детали через TOX.

Однако сам Viber сообщил журналистам, что в ходе расследования не нашлось никаких доказательств, подтверждающих какие-либо утверждения о вторжении в системы или компрометации пользовательских данных.

Тем не менее, исследователи полагают, что утечка может действительно иметь место, ведь Viber никогда не славился надежными мерами безопасности и лишь недавно реализовал сквозное шифрование, причем сразу после нескольких технологических сбоев.

Какова бы не оказалась дальнейшая судьба утечки и предполагаемого инцидента, кейс достаточно серьезный, будем следить.

Исследователи из Лаборатории Касперского раскрывают нацеленную на китайских пользователей кампанию с задействованием вредоносной рекламы для продвижения троянизированных установщиков Notepad++ и VNote.

В поисках легального ПО Notepad++ и VNote через поисковые системы, в том числе Baidu, китайские юзеры столкнулись со множеством фиктивных ссылок, приводящих к фейковым установщикам популярных текстовых редакторов, а в конечном итоге, к развертыванию бэкдора, схожего с Geacon (реализации Cobalt Strike на основе Golang).

Причем в одном случае по запросу «notepad++» вредоносный сайт выдавался в рекламной строке, во втором (по запросу «vnote») — на первом месте в поисковой выдаче.

Открывая сайт, внимательный пользователь сразу мог заметить забавную нестыковку: в адресе сайта есть строка vnote, в заголовке предлагается скачать Notepad‐‐ (аналог Notepad++), а изображение указывает на Notepad++.

Задействоанный в кампании веб-сайт под названием vnote.fuwenkeji[.]cn включал ссылки для загрузки ПО под Windows, Linux и macOS, причем ссылка на Windows-версию вела на официальный репозиторий и не являлась вредоносной.

Но версии под Linux и macOS, с другой стороны, приводили к вредоносным установочным пакетам, размещенным на vnote-1321786806.cos.ap-hongkong.myqcloud[.]com.

Аналогичным образом фейковые сайты, схожие с VNote («vnote[.]info» и «vnotepad[.]com»), вели на один и тот же набор ссылок myqcloud[.]com, в данном случае также указывающих на установщик Windows. 

Ссылки на потенциально вредоносные версии ПО больше не активны.

Анализ модифицированных установщиков Notepad-- для macOS показал, что они предназначены для получения полезной нагрузки следующего этапа с удаленного сервера, бэкдора DPysMac64 (DPysMacM1).

Он способен создавать SSH-соединения, выполнять файловые операции, считывать процессы, получать доступ к содержимому буфера обмена, загружать и выполнять файлы, производить снимки экрана и даже уходить в спящий режим.

Связь с С» (dns[.]transferusee[.]com) реализовывалась посредством HTTPS.

Исследование угрозы продолжается, ведь артефакты указывают на то, что есть вероятность существования также бэкдора для Linux, возможно, схожего с обнаруженным бэкдором для macOS.

Если атаки и инциденты с такими вымогателями как LockBit, BlackCat и Clop всегда на слуху и в заголовках СМИ, то про StopCrypt вряд ли кто-то слышал.

Известные также как STOP Djvu или STOP, вымогатели на самом деле представляет наиболее широко распространенную из существующих программ-вымогателей.

Все дело в том, что банда нацелена не на предприятия, а на частных пользователей, предъявляя требования выкупа в размере от 400 до 1000 долларов США.

Штаммы STOP обычно распространяются через вредоносную рекламу под видом бесплатного ПО, игровых читов, крякалок и пр., при установке которых пользователи заражаются различными вредоносами, включая и ransomware.

Если до настоящего времени с момента появления 2018 году шифратор-вымогатель не сильно изменялся, то исследователи SonicWall обнаружили в дикой природе новый вариант StopCrypt, который теперь реализует многоэтапный механизм выполнения и включает шелл-коды для обхода инструментов безопасности.

Первоначально вредоносная ПО загружает, казалось бы, несвязанный файл DLL (msim32.dll), возможно, в целях отвлечения внимания. Он также реализует серию циклов с длительной задержкой, которые могут помочь обойти меры безопасности, связанные со временем.

Затем StopCrypt использует динамически создаваемые вызовы API в стеке, чтобы выделить необходимое пространство памяти для разрешений на чтение/запись и выполнение, что усложняет обнаружение.

StopCrypt задействует вызовы API для различных операций, включая создание снимков запущенных процессов, чтобы понять среду, в которой он работает.

Следующий этап включает в себя очистку процесса, когда StopCrypt захватывает текущие процессы и внедряет свою полезную нагрузку для незаметного выполнения в память, что производится с помощью серии четких вызовов API, которые манипулируют памятью процесса и управляют потоком.

После выполнения окончательной полезной нагрузки осуществляется ряд действий по обеспечению устойчивости ransomware, изменению ACL, запрещая пользователям удалять важные файлы и каталоги вредоносного ПО, а также создается запланированное задание для выполнения полезной нагрузки каждые пять минут.

Файлы шифруются с добавлением расширения msjd, но существуют сотни других расширений, связанных со STOP, которые часто меняют их.

Наконец, в каждой папке создается записка с требованием выкупа под названием «_readme.txt» и инструкциями по переводу средств.

Как отмечают SonicWall, эволюция StopCrypt в сторону более скрытной и мощной угрозы несет в себе риски расширения преступной активности банды и нанесения значительного совокупного ущерба в результате атак.

Cisco выпустила исправления для устранения множества уязвимостей в IOS RX, в том числе и трех высокой степени серьезности, приводящих к DoS и повышению привилегий.

Самая серьезная из них — CVE-2024-20320, проблема в функции SSH IOS RX, которая может позволить злоумышленникам повысить привилегии до суперпользователя, отправив специально созданные команды SSH в CLI.

Дыра в безопасности, затронувшая маршрутизаторы серии 8000 и систему NCS серий 540 и 5700, была исправлена с выпуском IOS RX версии 7.10.2. 

Устройства под управлением более старых версий операционной системы следует обновить до исправленной версии.

Вторая уязвимость высокой степени серьезности CVE-2024-20318 затрагивает линейные карты с активированной функцией служб уровня 2. 

Злоумышленник может отправить определенные кадры Ethernet через уязвимое устройство, чтобы вызвать сброс сетевого процессора линейной карты, и может повторить процесс сброса линейной карты, вызывая состояние DoS.

Уязвимость была устранена в версиях IOS RX 7.9.2 и 7.10.1. Cisco также выпустила обновления обслуживания программного обеспечения (SMU), которые устраняют эту ошибку.

Кроме того, исправлена CVE-2024-20327, серьезная DoS-ошибка, влияющуая на функцию завершения PPP через Ethernet (PPPoE) в маршрутизаторах серии ASR 9000. 

Неправильная обработка неправильно сформированных пакетов PPPoE позволяет злоумышленнику привести к сбою процесса ppp_ma, вызывая состояние DoS для трафика PPPoE.

По словам Cisco, эта проблема затрагивает маршрутизаторы, использующие функцию BNG с терминацией PPPoE на линейной карте на базе Lightspeed или Lightspeed-Plus.

Выпуски IOS RX 7.9.21, 7.10.1 и 7.11.1 содержат исправления для недостатка.

Cisco также объявила об исправлениях нескольких уязвимостей средней серьезности в IOS XR, которые могут позволить злоумышленникам обойти защиту, вызвать DoS или установить непроверенные образы ПО.

Недостатки были устранены в рамках полугодового пакета по безопасности IOS RX, который включает восемь рекомендаций.

Информацией об использовании какой-либо из уязвимостей в реальных условиях Cisco не располагает.

Исследователи Cyble предупреждают об обнаружении кампании, нацеленной с 29 февраля на CVE-2024-23334, уязвимости обхода каталогов в библиотеке Python aiohttp.

Aiohttp — это библиотека с открытым исходным кодом, созданная на основе платформы асинхронного ввода-вывода Python Asyncio предназначенная для обработки больших объемов одновременных HTTP-запросов без традиционной многопоточной сети.

Ошибка высокой степени серьезности затрагивает все версии aiohttp, начиная с 3.9.1 и позволяет не прошедшим проверку подлинности удаленным злоумышленникам получать доступ к файлам на уязвимых серверах.

27 февраля 2024 года исследователи представили PoC-эксплойт для CVE-2024-23334, а в начале марта на YouTube вышло подробное видео с пошаговыми инструкциями по ее использованию.

Исправления были выпущены месяцем ранее 28 января в рамках aiohttp 3.9.2.

Как полагают исследователи, за атаками стоит ShadowSyndicate, чей IP-адрес совпал с одним из пяти, замеченных в сканировании серверов, уязвимых к CVE-2024-23334.

Ранее этот адрес упоминался в отчете Group-IB в контексте программы-вымогателя ShadowSyndicate. Банда действует с июля 2022 года и преследует сугубо финансовые цели.

По мнению Грибов, ShadowSyndicate реализует более функции оператора, сотрудничая с такими RaaS, как Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus и Play.

К настоящему времени исследователи Cyble еще не наблюдали успешных атак, но полагают, что скандирование серверов с использованием уязвимой версии библиотеки aiohttp в перспективе, вероятно, привести к нарушениям.

Что касается поверхности атаки, то ODIN показывает около 44 170 доступных в Интернете экземпляров aiohttp. 

Большинство (15,8%) расположены в США, за ними следуют Германия (8%), Испания (5,7%), Великобритания, Италия, Франция, Россия и Китай.

Адекватно понять, сколько из них уязвимы затруднительно, но практика показывает, что зачастую библиотеки с открытым исходным кодом часто используются в устаревших версиях в течение длительного времени.

Поэтому и задействуется в атаках даже по прошествии длительного времени с момента выпуска обновления безопасности, представляя в связи этим высокую привлекательность для киберподполья. Aiohttp - не исключение.

Пока французские власти упражняются в Наполеона в позе страуса, жители «шестиугольника» столкнулись с последствиями с крупнейшей утечкой, потенциально затронувшей почти 43 миллионов человек.

Виновник торжества - французское агентство по трудоустройству France Travail или Pole Emploi, чьи данные хакеры выкрали в ходе кибератаки в период с 6 февраля по 5 марта 2024 года, что подтверждает Cybermalveillance.

Предполагается, что злоумышленники могли получить информацию по соискателям работы, включая полные установочные данные, номера соцстрахования, идентификатор агентства, почтовый адрес и контактные данные.

В своем заявлении France Travail подтвердила все предположения, уточнив об утечке данных всех регистрировавшихся за последние 20 лет, что соответствует числу в 43 млн.

При этом агентство утверждает, что хакеры не получили доступа к какой-либо финансовой информации.

Пока неясно, была ли France Travail целью группы вымогателей, ни одна известная преступная группировка не взяла на себя ответственность за атаку.

Но France Travail уже не в первый раз приходиться извиняться за свою некомпетентность в вопросах защиты данных, ранее, можно оказать, разминка прошла августе 2023 года, когда утекли сведения по 10 млн. граждан.

Вообще, французским властям следовало бы больше сосредоточиться на решении внутренних вопросов и разрешении инцидентов, особенно в период начавшего жесткого прессинга со стороны хакеров, нежели кукарекать с международной трибуны угрозы.

Исследователи из Университета Огасты в США разработали новый метод акустической атаки на клавиатуры, который позволяет определять текст, вводимый пользователем, на основе анализа звуков, издаваемых при нажатии клавиш.

Вряд ли дело дойдет до боевого применения, поскольку метод демонстрирует среднюю успешность в 43%, что, хотя и ниже, чем показатели других известных методов, но обладает значительным преимуществом в виде возможности работы в неконтролируемых условиях и в различных шумных средах.

Основой атаки является использование специализированного софта для захвата уникальных звуковых сигналов, издаваемых клавишами при печати, и последующий анализ этих данных для идентификации конкретных слов и фраз.

Только для успешного проведения атаки необходимо сначала собрать некоторое количество образцов печати от цели и обучить дабы можно было сопоставить звуковые волны с конкретными клавишами и словами.

Запись может быть выполнена как с использованием скрытого микрофона, так и через уже скомпрометированные устройства, находящиеся поблизости от цели, включая смартфоны, ноутбуки и умные колонки.

Ученные отмечают, что для обучения статистической модели, которая будет предсказывать текст на основе акустических данных, не требуется большого объема данных, но критически важно записать несколько сессий печати в различных условиях.

Разработанная модель учитывает временные интервалы между нажатиями клавиш, а также допускает небольшое отклонение в данных, чтобы компенсировать возможные ошибки или шум в записи.

Это позволяет методу быть достаточно гибким и адаптивным к различным условиям печати.

Точность метода в среднем составляет 43%, что уже заставляет снять шляпу перед исследователями и считать метод потенциально опасным инструментом для проведения атак в реальных условиях.

Однако существуют определенные ограничения, которые могут снижать эффективность атаки.

Например, менее уязвимыми являются пользователи, не имеющие стабильного паттерна печати из-за редкого использования клавиатуры, а также профессиональные печатники, скорость печати которых может затруднить точное профилирование.

Все, как всегда, дуракам повезло, а умных и продвинутых беда обойдет стороной.

Стоит проявлять бдительность, поскольку злоумышленники адаптировали атаки для кражи телефонного номера, перенося его на новую eSIM-карту.

Как, наверное, многие знают eSIMы представляют собой цифровые карты, хранящиеся на чипе мобильного устройства и выполняющие ту же роль и назначение, что и физическая SIM-карта.

Так вот коллеги из F.A.C.C.T. сообщают о случаях использования eSIM для перехвата телефонных номеров и обхода средств защиты с целью получения доступа к банковским счетам.

Новаторство заключается в том, что если раньше, чтоб получить SIM дроп бежал с доверкой в ОпСоС, то сейчас злоумышленники сначала взламывают мобильную учетную запись пользователя с помощью утечек, фишинга или развода и уже самостоятельно через личный кабинет инициируют перенос номера жертвы на другое устройство.

Дальше все по классике: получив доступ к номеру мобильного телефона жертвы, мошенники отрабатывают коды доступа и двухфакторную аутентификацию к различным сервисам, включая банки и мессенджеры.

Собственно, метод защиты простой – это не вестись на разводки и использовать сложные и уникальные пароли для учетной записи от личного кабинета с 2FA.

Исследователи Trend Micro сообщают о новой кампании кибершпионажа APT Earth Krahang, нацеленной на 70 правительственных учреждений в 23 странах с особым упором на Юго-Восточную Азию, но также нацеленную на Европу, Америку и Африку.

Одна из любимых тактик злоумышленника включает в себя использование злонамеренного доступа к правительственной инфраструктуре для атак на другие правительственные учреждения.

Злоупотребляя ей, Earth Krahang реализует размещение вредоносной полезной нагрузки, трафик прокси-атак и отправку фишинговый писем с вложеними или встроенными URL-ссылками со скомпрометированных учетных записей.

Дальнейшая цепочка включала Cobalt Strike и два специальных бэкдора RESHELL и XDealer.

RESHELL — это простой бэкдор .NET, обладающий возможностями сбора информации, загрузки файлов или выполнения системных команд. Его двоичные файлы упакованы в ConfuserEX, а его обмен данными С2 зашифрован с помощью AES.

С 2023 года Earth Krahang перешел на другой бэкдор с более широкими возможностями (названный XDealer от TeamT5 и DinodasRAT от ESET), атакуя Windows и Linux системы. Причем бэкдор все еще находится в стадии активной разработки.

Стоит отметить, что многие ранние образцы XDealer были разработаны в виде файла DLL, упакованного с установщиком, DLL модуля Steer, строки идентификатора содержимого текстового файла и файла LNK.

Файл LNK запускает программу установки, которая затем устанавливает DLL XDealer и DLL модуля Steer на компьютер жертвы. Модуль Stealer может делать снимки экрана, красть данные буфера обмена и регистрировать нажатия клавиш.

Причем некоторые из загрузчиков DLL XDealer были подписаны действительными сертификатами подписи кода, выданными GlobalSign двум китайским компаниям.

Cobalt Strike также часто использовался на начальном этапе атаки. При этом Earth Krahang добавила дополнительную защиту к своему C2-серверу за счет внедрения проекта с открытым исходным кодом RedGuard.

Earth Krahang также создает VPN-серверы (SoftEther) на скомпрометированных общедоступных серверах для доступа к сети жертв и проведение брута к учетным данным электронной почты и кражи переписки.

Для сканирования и доступа к серверу прибегает к sqlmap, kernel, xray, vscan, pocsuite и wordpressscan.

Используя данные телеметрии, исследователи также обнаружили, что злоумышленник также размещал образцы PlugX и ShadowPad в средах жертв.

Расследование выявило многочисленные связи между Earth Krahang и Earth Lusca, что может указывать на то, что этими двумя группами вторжений управляет один и тот же злоумышленник.

͏До недавнего времени нашими любимцами по части виртуозной атрибуции были американские индусы из компании Cyble со своим расследованием про коварную кибератаку на Tatar-Language Users.

Однако неожиданно, прямо на повороте, их обгоняют пытливые умы из Cyfirma со своим конгениальным кейсом про ransomware WinDestroyer.

Во-первых, WinDestroyer не оставляет требований о выкупе (ну или эксперты Cyfirma их просто не нашли). Это значит, что в деле замешана геополитика!

Во-вторых, все эти ваши YARA, матрицы MITRE (в конце отчета таки вспомнили), вредоносные инфраструктуры всякие - это для лохов. Настоящий инструмент продвинутого ресерчера - YouTube!

Идем туда, вбиваем в поиск название вымогателя и получаем все данные для точной атрибуции. А именно - канал WinDestroyer с 5 подписчиками и 1 видео про Путина. Все следы ведут в Россию!

Дальше шаримся по слитым в сеть нивчемневиноватымимамойклянусь российскими операторами персданных базам, в которых ищем никнейм WinDestroyer. И, само собой, его находим! Злоумышленник живет в России и работает в сети из-под IP-адреса провайдера из Санкт-Петербурга (потом, правда упоминание города из отчета убрали). Убийца - садовник! Злодей найден, Россия во всем виновата, покупайте продукты от Cyfirma (нет)!

Мы настолько впечатлились дедуктивным методом исследователей Cyfirma, что решили продолжить их дело. Пошуршали по всяким Интернет-помойкам и, не поверите, нашли еще одного WinDestroyer'а, правда из Хабаровска. На первый взгляд - несостыковка... Но нет!

Все очень просто, WinDestroyer из Питера и WinDestroyer из Хабаровска - это сиамские близнецы-программисты, жертвы бесчеловечных экспериментов КГБ, разлученные в раннем детстве карательной советской медициной! Чтобы до них не добралась русская мафия одного отправили на Дальний Восток, второго на недальний север. Но они установили телепатическую связь, которую получили через секретную прививку от КГБ, и выбрали себе один и тот же псевдоним в сети! Шах и мат, аметисты!

А если серьезно, то клюквеннее этого расследования уже вряд ли что-то будет.

Японская Fujitsu вдруг обнаружила у себя вредоносное ПО, а данные из ее систем были украдены.

Шестой по величине ИТ-поставщик со штатом в 125 тысяч и годовым доходом в 23,9 млрд. долл. сообщает о крупном киберинциденте с утечкой информации клиентов.

Fujitsu быстро подтвердила атаку и вынуждена была отключить свою инфраструктуру для проведения расследования и локализации негативных последствий.

Предварительно известно, что файлы с личной информацией, включая клиентов, потенциально были скомпрометированы.

Полного понимания всего масштаба угрозы еще нет, комментарии относительно этого Fujitsu не дает.

Несмотря на отсутствие информации по поводу дальнейшей судьбы украденных данных, компания уведомила Комиссию по защите личной информации и намерена направить персональные уведомления всем пострадавшим.

Учитывая, что наличие в портфеле заказов Fujitsu достаточно широкого круга решений как для рядовых потребителей, так и крупного сектора, в том числе и госсуху, в совокупности с облачными технологиями, последствия инцидента могут иметь долгоиграющий характер и привести к атакам на цепочку поставок ПО.

По аналогии с 2021, когда после нападения хакеров на саму компанию атаки последовали на пользователей решения ProjectWEB, от которого поставщику впоследствии пришлось отказаться в пользу нового инструмента.

Так что будем посмотреть.

Fortra исправила критическую уязвимость в корпоративном решении для управляемой передачи файлов (MFT) FileCatalyst, которая позволяет неаутентифицированным злоумышленникам получить удаленное выполнение кода на уязвимых серверах.

Отслеживпемая как CVE-2024-25153 ошибка имеет оценку CVSS 9,8 из максимальных 10.

Она связана с обходом каталога внутри ftpservlet портала FileCatalyst Workflow, позволяя загружать файлы за пределы предполагаемого каталога uploadtemp с помощью специально созданного запроса POST.

В ситуациях, когда файл успешно загружен в DocumentRoot веб-портала, специально созданные файлы JSP могут использоваться для выполнения кода, включая веб-оболочки.

По информации компании, об уязвимости впервые стало известно 9 августа 2023 года от LRQA Nettitude, а через два дня она была устранена в FileCatalyst Workflow версии 5.1.6 сборки 114 без идентификатора CVE, которым она обзавелась лишь в начале декабря 2023 года.

Помимо полного описания уязвимости исследователи выпустили PoC, наглядно демонстрирующий, как уязвимость можно использовать для загрузки веб-оболочки и выполнения произвольных системных команд.

В январе 2024 года компания Fortra также исправила две другие уязвимости в FileCatalyst Direct (CVE-2024-25154 и CVE-2024-25155), которые могут привести к утечке информации и выполнению кода.

Подлечили и GoAnywhere MFT в версии 7.4.2, исправив ошибки средней серьезности, ведущие к раскрытию информации.

Учитывая печальный опыт обнаружения недостатков в MFT-решении Fortra GoAnywhere и их препарирования вымогателями Cl0p, пользователям рекомендуется внимательно отнестись процессу обновления.

Ведь, как предупреждает SOCRadar, злоумышленники непременно воспользуются PoC в качестве инструментария для проведения атак на уязвимые системы. 

Группа исследователей из Технологического университета Граца в Австрии и Университета Ренна во Франции раскрыли новую даленную атаку по побочному каналу кэша графического процессора из браузеров на GPU.

Исследование было сосредоточено на WebGPU API, который позволяет веб-разработчикам использовать графический процессор базовой системы для выполнения высокопроизводительных вычислений в браузере.

Используя этот API, они смогли реализовать атаку, которая работает из браузера с использованием JavaScript.

Это своего рода одна из первых атак по побочному каналу кэша графического процессора изнутри браузера. Причем работающая удаленно, заставляя целевого пользователя лишь на несколько минут посетить сайту c вредоносным кодом WebGPU.

Новый метод можно использовать для атак по времени нажатия клавиш, что позволяет извлекать конфиденциальную информацию, такую как пароли.

Кроме того, ее можно использовать для получения ключей шифрования AES на базе графического процессора, а также для скрытых каналов кражи данных со скоростью передачи до 10 Кбит/с.

Несмотря на то, что атаку сложно отнести к высокоэффективной, но определенно заставляет обратить поставщиков внимание на потенциальные риски, связанные с тем, что браузеры предоставляют любому веб-сайту доступ к графической карте хост-системы без специального запроса разрешения.

В исследовании были задействованы 11 видеокарт для настольных ПК: две модели серии RX от AMD и девять продуктов серии GTX, RTX и Quadro от NVIDIA, а также браузеры с поддержкой WebGPU, включая Chrome, Chromium, Edge и Firefox Nightly.

Разработчиков Mozilla, AMD, NVIDIA и Chromium ознакомили в результатами. 

После чего AMD опубликовала предупреждение, в котором поставщик подверг сомнению функциональность представленного исследователями PoC.

В свою очередь, другие компаний также не проявили какого-либо интереса к исследованию и не намерены предпринимать каких-либо действий.

Исследователи из Центра ИБ имени Гельмгольца CISPA в Германии раскрыли подробности новой циклической DoS-атаки на уровне приложений, которая затрагивает более 300 000 систем.

Новая самовоспроизводящейся атака получила название Loop DoS, а обнаруженным уявзимостям присвоены CVE CVE-2024-1309 и CVE-2024-2169.

Механизм реализуется за счет того, что злоумышленник использует подмену IP-адреса, чтобы заставить два сервера взаимодействовать друг с другом на неопределенный срок, обмениваясь сообщениями прикладного уровня.

При этом они генерируют большие объемы трафика, что приводит к отказу в обслуживании задействованных систем или сетей.

В отличие от петель маршрутизации, которым противодействует механизм TTL, Loop DoS-атаки не имеют существующих мер противодействия. 

Как только триггер введен и цикл запущен, даже злоумышленники не могут уже остановить атаку. Ранее известные атаки на петли происходили на уровне маршрутизации одной сети и ограничивались конечным числом итераций цикла.

Помимо того, что злоумышленник может сделать целевую службу нестабильной или вызвать сбой в работе сети, нацеливаясь на магистраль сети, этот метод можно использовать для усиления DoS или DDoS-атак. 

Список протоколов, на которые подтверждено влияние, - NTP, DNS и TFTP, а также устаревшие Echo, Chargen и QOTD. Однако эксперты полагают, что некоторые другие, вероятно, также под прицелом. 

По оценкам исследователей, уязвимо около 300 000 интернет-хостов, включая почти 90 000 с NTP, 63 000 с DNS, 56 000 с Echo и примерно по 20 000 с TFTP, Chargen и QOTD.

В случае NTP уязвимыми системами, скорее всего, являются системы, использующие версию ntpd, выпущенную до 2010 года, которая, как известно, подвержена DoS-уязвимости, отслеживаемой как CVE-2009-3563.

На данный момент нет доказательств того, что этот метод атаки использовался в злонамеренных целях, но исследователи предупредили, что эксплуатация не вызывает сложностей и призвали срочно принять меры.

Согласно рекомендации CERT Университета Карнеги-Меллон, подтверждено влияние CVE-2024-2169 на продукты Broadcom, Honeywell, Microsoft и MikroTik. 

Потенциально затронутые поставщики были уведомлены в декабре 2023 года.

По Broadcom проблема затронута только некоторые старые маршрутизаторы, выпущены исправления. Microsoft заявила, что атака на ее продукты не приводит к сбою хоста, но компания рассмотрит возможность ее устранения в Windows.

MikroTik также скоро выпустит патч. Кроме того, Cisco и Zyxel подтвердили влияние CVE-2009-3563, однако последняя не намерена выпускать исправлений в связи с EOL.

В свою очередь, исследователи также представили рекомендации, советуя ряд профилактических мер, связанных с разрывом цикла DoS в случае атаки.

Исследователи из Лаборатории Касперского выкатили аналитику по ландшафту угроз для систем промышленной автоматизации за второе полугодие 2023 года.

Не вдаваясь в детали, специалисты из Kaspersky ICS CERT отмечают уменьшение доли компьютеров АСУ, на которых были заблокированы вредоносные объекты, по по сравнению с предыдущим полугодием с 34 до 31,9%.

Автоматизация зданий по-прежнему лидирует среди исследуемых отраслей по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты.

Нефть и газ — единственная отрасль, где показатель за полугодие немного вырос.

Распределение по категориям угроз осталось в прежних пропорциях, увеличился показатель только одной категории: доля компьютеров АСУ, на которых были заблокированы майнеры — исполняемые файлы для ОС Windows, — выросла в 1,4 раза.

В регионах во втором полугодии 2023 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, варьируется от 38,2% в Африке до 14,8% в Северной Европе.

По сравнению с первым полугодием этот показатель увеличился в Южной Азии, Восточной и Южной Европе.

Если говорить по России, то на компьютерах с АСУ впервые за всю историю наблюдений угроз из e-mail стало больше, чем со съёмных носителей, показатель по которым имеет тенденцию к снижению.

При этом значительно чаще на компьютерах АСУ стали детектироваться майнеры.

Всего же вредоносные объекты встречались на 31,1% компьютеров АСУ, однако эти цифры оказались выше в таких отраслях, как энергетика, нефть и газ, автоматизация зданий и инжиниринг.

Более подробная статистика с географией, источниками и описанием угроз представлена в полной версии отчета.