Fortra предупреждает о критической уязвимости FileCatalyst Workflow SQLi, для которой уже доступен PoC.

Решение FileCatalyst Workflow с поддержкой объемных файлов
используется организациями по всему миру для ускорения передачи данных и совместной работы в частных облачных пространствах.

CVE-2024-5276 (CVSS v3.1:9.8) была обнаружена исследователями Tenable 15 мая 2024 года и позволяет злоумышленникам, не прошедшим проверку подлинности, создавать пользователей-администраторов и манипулировать данными в базе приложения.

Уязвимость затрагивает FileCatalyst Workflow 5.1.6 (сборка 135 и более ранние версии), необходимые исправления включены в FileCatalyst Workflow 5.1.6 (сборка 139).

При этом эксплойт без аутентификации также требует, чтобы на целевом экземпляре был включен анонимный доступ. В противном случае для использования CVE-2024-5276 потребуется аутентификация.

Tenable впервые сообщила о проблеме Fortra 22 мая, одновременно представив PoC-эксплойт, который выкатила в паблик сразу вслед за публикацией бюллетеня по безопасности Fortra

Эксплойт демонстрирует, как анонимный удаленный злоумышленник может выполнить SQL-инъекцию через параметр jobID в различных конечных точках URL-адресов веб-приложения Workflow.

Проблема в том, что метод findJob использует предоставленный пользователем идентификатор задания без очистки входных данных для формирования предложения WHERE в запросе SQL, что позволяет злоумышленнику вставить вредоносный код.

Скрипт Tenable анонимно входит в приложение FileCatalyst Workflow и выполняет SQL-инъекцию через параметр jobID, чтобы добавить нового пользователя-администратора (operator) с известным паролем (password123).

В конце концов он получает токен и использует вновь созданные учетные данные администратора для входа в уязвимую конечную точку.

Несмотря на то, что сообщений об активном использовании этой проблемы еще не поступало, появление работающего PoC быстро изменит ситуацию. Можно не сомневаться, операторы Clop уже тестируют новую игрушку.

Ресерчеры из Лаборатории Касперского явно перешли в информационное наступление и представили новый отчет, с которым определенно следует ознакомиться руководителям малых и средних компаний для понимания и оценки современных киберугроз.

Дело в том, что малый и средний бизнес все чаще становится целью атак злоумышленников, что обусловлено, прежде всего, пренебрежением надежными мерами кибербезопасности в виду ограниченных ресурсов и нехватки знаний.

Причем финансовый ущерб от утечек данных может оказаться для них непосильным, что подчеркивает важность превентивных мер. Особенно, если учитывать, что это устойчивая тенденция, которая продолжает представлять постоянную угрозу для бизнеса.

В связи с чем, ресерчеры Лаборатории с помощью Kaspersky Security Network (KSN) и подготовили анализ угроз 2024 года для малого и среднего бизнеса, оснастив его примерами реальных атак.

По данным ЛК, с начала года с вредоносным и нежелательным ПО, скрытым в программах для малого и среднего бизнеса или имитирующим их, столкнулись 2402 пользователя.

Всего под видом такого ПО распространялось 4110 уникальных файлов. Это на 8% больше по сравнению с аналогичным периодом 2023 года, что свидетельствует о росте активности злоумышленников.

Наиболее заметный рост атак с использованием файлов, имитирующих легитимное ПО, наблюдался для Microsoft Excel.

При этом общее количество заражений в секторе малого и среднего бизнеса составило 138 046 по сравнению со 131 219 случаями за тот же период 2023 года - рост более чем на 5%.

Самой распространенной киберугрозой остаются атаки троянцев. Злоумышленники по-прежнему целенаправленно атакуют малые и средние компании, предпочитая зловредное ПО нежелательным программам.

В отчете ЛК приведены конкретные примеры с использованием фишинга, взломом соцсетей и спамом, а также конкретные рекомендации по по киберзащите.

Исследователи Claroty сообщают о серьезных последствиях взлома газового хроматографа Emerson с использованием вновь обнаруженных критических уязвимостей.

Газовый хроматограф - это по сути химический анализатор, который реализует измерение содержания различных компонентов в образце и зачастую используются в больницах для анализов крови, а также в сфере экологического контроля загрязнений воздуха.

Как правило, устройства газовой хроматографии Emerson подключаются к внутренним сетям и контролируются техническими специалистами удаленно по каналу связи, использующему собственный протокол. 

Claroty в своем исследовании сосредоточились на Emerson Rosemount 370XA, который ресерчеры смогли полностью смоделировать и оттестить.

Анализ показал, и позже Emerson подтвердила, что продукты Rosemount GC370XA, GC700XA и GC1500XA подвержены четырем уязвимостям.

Список включает в себя критическую инъекцию команд, которая позволяет неаутентифицированному злоумышленнику с доступом к сети удаленно выполнять произвольные команды с привилегиями root.

Кроме того, имелась проблема высокой серьезности, которая позволяет неаутентифицированному сетевому злоумышленнику обойти аутентификацию и получить возможности администратора.

Остальные уязвимости отнесены к категории средней степени серьезности.

Один из них позволяет злоумышленнику, не прошедшему аутентификацию, получить конфиденциальную информацию или DoS, а другой - злоумышленнику, прошедшему аутентификацию, выполнять произвольные команды.

Компрометация таких устройств может оказать существенное влияние в различных отраслях.

Так, при производстве продуктов питания атаки на газовые хроматографы могут повлиять на обнаружение бактерий и привести к остановке технологической цепочки.

Подобные же атаки на больничные хроматографы могут исказить результаты анализов крови и других образцов пациентов.

Emerson проинформировала клиентов о доступности обновлений прошивки, которые должны были устранить уязвимости, а также рекомендовала изолировать уязвимый продукт от Интернета в соответствии с лучшими отраслевыми практиками.

͏Тем временем подкатил новый ноль, на этот раз 0day Sandbox Escape RCE в браузере Chrome с эксплойтом, который работает на версиях 126.0.6478.126 и 126.0.6478.127, потенциально позволяя выполнять произвольный код в затронутых системах.

Новинка реализуется в даркнете по цене в 1 000 000 долларов США в эквиваленте Monero (XMR) или BTC. Сделка возможна с привлечением гаранта.

По словам селлера, уязвимость была протестирована и подтвердила работоспособность в операционных системах Windows, в частности версий 21H1 и 21H2.

Да неужели!

NEW: We spoke to official Kaspersky resellers in the U.S. about upcoming sales ban.

They are angry, confused, and worried that the ban will cost them time and money—and was just a political move.

The ban and sanctions "are complete bullshit,” one said.

GitLab выпустила обновления для исправления 14 уязвимостей, включая одну критическую и три проблемы высокой степени серьезности.

Затрагивающая GitLab CE/EE с 15.8 по 16.11.4, с 17.0.0 по 17.0.2 и с 17.1.0 по 17.1.0 критическая уязвимость при определенных обстоятельствах может быть использована для запуска конвейеров от имени любого пользователя.

Проблема отслеживается как CVE-2024-5655 и имеет степень серьезности 9,6 из 10, исправлена в версиях 17.1.1, 17.0.3 и 16.11.5.

Учитывая, что конвейеры GitLab реализуют функционал непрерывной интеграции/непрерывного развертывания (CI/CD), поставщик настоятельно рекомендует как можно скорее обновить все инсталляции с уязвимой версией.

Кроме того, поставщик также сообщил, что обновление содержит два критических изменения:

- Pipelines больше не будут запускаться автоматически, когда запрос на слияние перенацеливается после слияния его предыдущей целевой ветви. Пользователи должны вручную запустить конвейер, чтобы выполнить CI для своих изменений.

- CI_JOB_TOKEN теперь по умолчанию отключен для аутентификации GraphQL, начиная с версии 17.0.0, причем это изменение перенесено в версии 17.0.3 и 16.11.5. Чтобы получить доступ к API GraphQL, пользователям необходимо настроить один из поддерживаемых типов токенов для аутентификации.

Среди других ошибок, серьезность которых оценена как высокая (CVSS v3.1: 7,5–8,7) следующие:

- CVE-2024-4901: XSS-уязвимость, позволяющая вредоносным заметкам о фиксации из импортированных проектов внедрять сценарии, что потенциально может привести к несанкционированным действиям и раскрытию данных.

- CVE-2024-4994: CSRF-уязвимость в API GraphQL, позволяющая злоумышленникам выполнять произвольные изменения GraphQL, обманывая аутентифицированных пользователей и заставляя их выполнять нежелательные запросы, что может привести к манипулированию данными и несанкционированным операциям.

- CVE-2024-6323: ошибка авторизации в функции глобального поиска GitLab, позволяющая злоумышленникам просматривать результаты поиска из частных репозиториев в общедоступных проектах, что потенциально может привести к утечке информации и несанкционированному доступу к конфиденциальным данным.

Ресурсы для обновлений GitLab доступны здесь, а рекомендации по GitLab Runner можно найти на этой странице.

Хакеры развальцевали корпоративную сеть TeamViewer, о чем 26 июня сообщил сам разработчик решения для удаленного доступа с 640 000 клиентов и 2,5 млрд установок, обнаружив сбой во внутренней ИТ-среде.

Новость о взломе впервые появилась на Mastodon, где исследователь поделился фрагментами оповещения с Dutch Digital Trust Center (портал обмена информацией по киберугрозам).

По словам компании, это сделала неустановленная хакерская группа APT, начато расследование совместно с командой всемирно известных экспертов по кибербезопасности.

При этом отмечается, что внутренняя корпоративная ИТ-среда TeamViewer полностью независима от среды продукта. Нет никаких доказательств того, что среда продукта или данные клиентов затронуты.

Компания планирует обеспечить прозрачность информации об утечке и будет постоянно обновлять статус своего расследования по мере поступления новой информации.

Тем не менее, как заметили исследователи, страница c обновлением ИТ-безопасности TeamViewer содержит <meta name="robots" content="noindex"> тег HTML, который предотвращает индексацию документа поисковыми системами.

В прошлый раз TeamViewer ломали в 2016 году, тогда инцидент связали с китайскими хакерами из-за использования ими бэкдора Winnti. Тогда компания не раскрывала информацию почти три года, сославшись на то, что данные в ходе атаки не пострадали.

Новый инцидент NCC Group на пару с Health-ISAC уже поспешили навесить российским хакерам, аргументируя свою позицию мнением доверенного источника в разведсообществе, который утверждал, что TeamViewer часто используется в их атаках.

Однако позже умопомрачительства опровергли, факт инцидента в TeamViewer и задействование его решения в атаках той или иной APT никак не соотносятся между собой (даже логически).

Так что пока официальных комментариев на этот счет ни от TeamViewer, ни от NCC Group нет, а все всхлипывания можно считать не более чем пропагандистской залипухой.

Команда KrakenLabs компании Outpost24 задетектила нового злоумышленника Unfurling Hemlock, который заражал целевые системы до десяти вредоносными ПО одновременно в ходе кампаний, распространяющих сотни тысяч вредоносных файлов.

По данным исследователей, эта деятельность началась как минимум в феврале 2023 года и реализует особый метод распространения.

Исследователи описывают его как кластерную бомбу вредоносного ПО, которая позволяет злоумышленнику использовать один образец вредоносного ПО и распространять дополнительные экземпляры на зараженной машине.

В совокупности KrakenLabs обнаружила более 50 000 «кассетных бомб», имеющих уникальные характеристики, связывающие их с группой Unfurling Hemlock.

Атаки начинаются с запуска WEXTRACT.EXE, который поступает на целевые устройства либо через вредоносные электронные письма, либо через загрузчики вредоносного ПО, к которым Unfurling Hemlock имеет доступ операторов.

Вредоносный исполняемый файл содержит вложенные сжатые CAB-файлы, каждый уровень которых содержит образец вредоносного ПО и еще один сжатый файл.

Каждый шаг распаковки доставляет вариант вредоносного ПО на машину жертвы. Когда достигается финальная стадия, извлеченные файлы выполняются в обратном порядке, то есть последнее извлеченное вредоносное ПО выполняется первым.

KrakenLabs зафиксировала от четырех до семи этапов, что означает, что количество шагов и объем вредоносного ПО, распространяемого во время атак Unfurling Hemlock, различаются.

Аналитики KrakenLabs обнаружили на компьютерах жертв следующие вредоносные ПО, загрузчики и утилиты: Redline, RisePro, Mystic Stealer (работает по MaaS), Amadey, SmokeLoader, Protection disabler, Enigma Packer, Healer.exe, Performance checker, а также утилиты, использующие собственные инструменты Packer, Heal(такие как wmiadap.exe и wmiprvse.exe), для сбора системной информации.

Из проанализированных образцов исследователи пришли к выводу, что более половины всех атак Unfurling Hemlock были нацелены на системы в США, в то время как относительно высокая активность наблюдалась также в Германии, России, Турции, Индии и Канаде.

В отчете KrakenLabs не рассматриваются пути монетизации или действия после взлома, но можно предположить, что Unfurling Hemlock продает логи и первоначальный доступ другим субъектам угроз.

Основываясь на полученных артефактах, исследователи с определенной степенью уверенности полагают, что Unfurling Hemlock базируется в восточноевропейской стране.

Группа исследователей из Технологического университета Граца в Австрии раскрыла детали новой атаки SnailLoad, который позволяет удаленному злоумышленнику определить просматриваемые пользователем сайты и другой контент.

Новая атака SnailLoad использует изменения сетевой задержки для определения активности пользователя и более эффективна, поскольку не требует PitM, JavaScript, взлома Wi-Fi-соединения или выполнения какого-либо кода в системе жертвы.

Причем исследователи продемонстрировали атаку, продемонстрировав, как можно определить видеоролики YouTube и веб-сайты, к которым обращается пользователь.

Для запуска SnailLoad злоумышленник проводит ряд измерений задержки для различных видео YouTube и веб-сайтов, которые может просматривать жертва. Эти данные реализуют трассировку задержки, по сути создавая отпечаток для каждого из них.

Затем необходимо заставить целевого пользователя загрузить данные с вредоносного сервера, включая файлы, таблицы стилей, шрифты, изображения или рекламу.

Основная угроза заключается в том, что любой TCP-сервер может скрытно получать данные о задержках от любых клиентов, подключающихся к нему.

Важным аспектом является то, что вредоносному серверу необходимо загружать контент медленно (отсюда и название SnailLoad), чтобы злоумышленник мог отслеживать задержку соединения в течение длительного периода времени. 

Атака полагается на то, что серверы обычно имеют быстрое подключение к Интернету, в отличие от скорости, с которой трафик достигает систем интернет-провайдера или шлюза жертвы, где пакеты задерживаются. Эти узкие места полосы пропускания используются для измерения задержки.

Данные, полученные злоумышленником во время загрузки контента системой жертвы с вредоносного сервера, сравниваются с ранее созданным отпечатком, что позволяет злоумышленнику выяснить, какие из видеороликов или веб-сайтов в его списке просматриваются жертвой в другом окне во время проведения атаки SnailLoad.

Исследователи отметили, что злоумышленник может задействовать сверточную нейронную сеть (CNN), чтобы изучить трассировку задержки для каждого целевого актива. 

Атаку почти невозможно смягчить, поскольку она полагается на принцип работы Интернета. Однако маловероятно, что SnailLoad будет использоваться в реальных условиях. 

Тем не менее, в тестах, проведенных исследователями TU Graz на 10 видеороликах YouTube и 100 популярных сайтах, точность составила в диапазоне от 37% до 98%, в зависимости от типа целевого ресурса и интернет-соединения.

Результаты исследования ресерчеры намерены представить на Black Hat USA 2024. Также они опубликовали статью с описанием SnailLoad и создали отдельный сайт с демонстрацией атаки. 

͏Как работает правильная Blue Team

Juniper Networks выпустила внеочередное исправление для уязвимости обхода аутентификации максимальной степени серьезности в Session Smart Router (SSR), Session Smart Conductor и WAN Assurance Router.

Проблема отслеживается как CVE-2024-2973 (CVSS 10,0) и злоумышленнику обойти аутентификацию с использованием альтернативного пути или канала в Juniper Networks Session Smart Router или Conductor с резервным узлом, и получить полный контроль над устройством.

Уязвимость затрагивает только маршрутизаторы или проводники, работающие в конфигурациях с высокой доступностью и избыточностью.

Администраторы применяют резервные конфигурации высокой доступности, где непрерывность обслуживания имеет решающее значение. Она необходима для поддержания бесперебойных услуг и повышения устойчивости к непредвиденным событиям.

Это делает уязвимую конфигурацию довольно распространенной в критически важной сетевой инфраструктуре, в том числе в средах крупных предприятий, ЦОД, телекоммуникациях, электронной коммерции, а также в государственных службах.

CVE-2024-2973 затрагивает Session Smart Router и Conductor в версиях до 5.6.15, с 6.0 до 6.1.9-lts, с 6.2 до 6.2.5-sts, а также WAN Assurance Router 6.0 до 6.1.9-lts, 6.2 до 6.2.5-sts.

Для этой уязвимости не существует обходных путей, и рекомендуемые действия ограничиваются применением доступных исправлений.

Южнокорейская телекоммуникационная компания KT (Korea Telecom) заразила вредоносным ПО более 600 000 пользователей.

Заражения произошли начиная с мая 2020 года и были нацелены исключительно на пользователей Webhard (Web Hard Drive), местного поставщика облачных услуг с поддержкой BitTorrent.

Вредоносное ПО создавало случайные папки с левыми данными, удаляло файлы, а иногда даже выключало компьютеры.

Как стало известно благодаря проведенному JBTC анализу, провайдер атаковал пользователей Webhard, пытаясь вызвать сбои в сервиса обмена файлами BitTorrent.

Позже KT пояснила, что Webhard генерировала большие объемы трафика во внутренней сети из-за сервиса, а вредонос позволял экономить средства, поскольку такие передачи реализуют большую пропускную способность при высокой стоимости.

Компания даже выиграла судебный процесс, в котором свою вину признала Webhard, но продолжила проворачивать схему с вредоносным ПО.

Тем не менее Южное полицейское управление Кёнгидо провело рейд и расследование, квалифицировав действия компании как организованную попытку взлома.

Как установили силовики, в состав группы входили отделы «разработки вредоносного ПО», «распространения и эксплуатации» и «прослушки», которые в режиме реального времени отслеживали данные, отправляемые и получаемые пользователями KT.

В связи с чем, прошлом месяце южнокорейские власти предъявили обвинения 13 сотрудникам KT в связи с распространением вредоносного ПО.

Кроме того, скамью подсудимых в ближайшем будущем пополнят и другие сотрудники компании.

Миллионы серверов OpenSSH потенциально уязвимы для удаленного выполнения кода без аутентификации из-за уязвимости regreSSHion.

Уязвимость отслеживается как CVE-2024-6387 и была обнаружена исследованиями Qualys, которые ее уже приравняли по критичности к Log4Shell 2021 года.

Исследователи выяснили, что процесс сервера OpenSSH «sshd» подвержен состоянию гонки обработчиков сигналов, что позволяет выполнять неаутентифицированный удаленный код с привилегиями root.

Ошибка затрагивает системы Linux на базе glibc, по Windows и macOS - пока еще неясно.

Конечным результатом использования regreSSHion является полная компрометация системы, открывающая злоумышленникам RCE с наивысшими привилегиями, обходить средства безопасности, выполнять кражу данных и даже поддерживать постоянный доступ.

OpenSSH, разработанный для реализации защищенного канала по сети в архитектуре клиент-сервер, широко используется предприятиями для удаленного управления серверами и безопасной передачи данных.

По данным Qualys, поиск Shodan и Censys выдает более 14 миллионов потенциально уязвимых экземпляров OpenSSH, которые доступны напрямую из Интернета.

Собственные данные Qualys показывают, что около 700 000 систем, подключенных к Интернету, могут быть уязвимы.

Ресерчеры полагают, что CVE-2024-6387 представляет собой регресс ранее исправленной уязвимости CVE-2006-5051 и вновь появилась в октябре 2020 года как часть выпуска OpenSSH 8.5p1.

Уязвимость затрагивает версии 8.5p1-9.7p1, включая до 4.4p1 (если они не имеют исправлений для CVE-2006-5051 и CVE-2008-4109).

При этом OpenBSD не подвержены уязвимости, поскольку они имеют механизм безопасности.

Qualys поделилась техническими подробностями regreSSHion, но не публикует PoC для предотвращения вредоносной эксплуатации.

Вместо этого, компания предоставила IoC для обнаружения потенциальных атак.

Исследователи Rapid7 раскрыла атаку на цепочку поставок ПО, в рамках которой хакеры взломали индийского разработчика Conceptworld для распространения инфостилера через его приложения.

В результате инцидента были троянизированы установщики таких приложений, как Notezilla, RecentX и Copywhiz. Причем вредоносные версии имели больший размер файла, чем их легитимные аналоги.

По данным Rapid7, взлом, по-видимому, произошел 18 июня 2024 года и включал задействование штамма вредоносного ПО под названием dllFake.

В настоящее время неясно, как конкретно был скомпрометирован официальный conceptworld[.]com для размещения поддельных установщиков.

Однако после начала установки приложения пользователю предлагается продолжить процесс, связанный с ПО, хотя в реальности он предназначен для загрузки и выполнения двоичного dllCrt32.exe, который отвечает за запуск пакетного сценария dllCrt.bat.

Помимо обеспечения постоянного присутствия на машине, он настроен на выполнение другого dllBus32.exe, который, в свою очередь, устанавливает соединения с C2 для получения команд.

Вредоносная ПО способна красть учетные данные браузеров Google Chrome, Mozilla Firefox, криптокошельков Atomic, Coinomi, Electrum, Exodus и Guarda.

Кроме того, способен собирать файлы определенных расширений (.txt, .doc, .png и .jpg), регистрировать содержимое буфера обмена и нажатия клавиш, а также выполнять дополнительные полезные нагрузки на зараженных хостах Windows.

dllFake также обеспечивает постоянство с помощью запланированной задачи для выполнения основной полезной нагрузки каждые три часа.

Проблема была устранена 24 июня в течение 12 часов с момента раскрытия информации. IoC и MITRE ATT&CK - отчете.

Микромягкие умеют удивлять. Даже, если на время забыть про ReCall, новая «опция» вряд ли будет по душе пользователям Windows 11.

Microsoft намерена принудительно синхронизировать данные пользователей Windows 11 с OneDrive, принудительно создавая резервные копии.

Без предварительного уведомления или объяснения Microsoft теперь по умолчанию активирует функцию автоматического резервного копирования с помощью OneDrive при настройке нового компьютера.

Безусловно, резервирование можно будет отключить, по крайней мере визуально такая возможность останется, как будет на самом деле - и так понятно.

Если здесь условный рубильник хотя бы обозначен, то в случае с новым клиентом Outlook для Windows 11 все намного печальнее.

Как неожиданно выяснилось, все ваши данные электронной почты теперь проксируются через серверы Microsoft, включая операции входа.

Как говорится, ничего личного…

Cisco предупреждает об исправлении 0-day в NX-OS, которая активно задействовалась в апреле для развертывания ранее неизвестного вредоносного ПО с правами root на уязвимые коммутаторы.

Ошибка была обнаружена исследователями Sygnia в рамках более масштабного расследования деятельности китайской APT, отлеживаемой как Velvet Ant.

По данным исследователей, Velvet Ant на протяжении многих лет получала доступ к сети организации, взламывая устаревшие F5 BIG-IP, доступные через Интернет, и развертывая несколько инструментов для ретрансляции командно-диспетчерских сообщений С2.

При этом злоумышленники использовали уязвимость Cisco NX-OS для запуска ранее неизвестного вредоносного ПО на уязвимых устройствах, удаленного подключения к ним, загрузки дополнительных файлов и выполнения дополнительного кода.

CVE-2024-20399 позволяет локальным злоумышленникам с правами администратора выполнять произвольные команды с правами root на базовых ОС уязвимых устройств.

Ошибка обусловлена недостаточной проверкой аргументов, которые передаются определенным командам CLI конфигурации. Ей можно воспользоваться, включив специально созданные входные данные в качестве аргумента уязвимой команды CLI конфигурации.

Список затронутых устройств включает несколько коммутаторов, работающих под управлением уязвимого NX-OS: MDS 9000, Nexus 3000, Nexus 5500, Nexus 5600, Nexus 6000, Nexus 7000, а также Nexus 9000 в автономном режиме NX-OS.

Стоит отметить, что уязвимость позволяет выполнять команды, не вызывая сообщений системного журнала, скрывая признаки компрометации взломанных устройств NX-OS.

Cisco рекомендует клиентам регулярно отслеживать и изменять учетные данные администраторов сети и vdc-admin.

Кроме того, использовать страницу Cisco Software Checker, чтобы определить, подвержены ли устройства в их сети атакам, нацеленным на уязвимость CVE-2024-20399.

PTC исправила критическую уязвимость для решения 3D-моделирования Creo Elements/Direct License Server, которая может быть использована для выполнения команд без аутентификации.

Критическую проблему отсутствия авторизации в версиях 20.7.0.0 и более ранних ранее в этом году обнаружил Томас Ридмайер из Siemens Energy.

Ошибка отслеживается как CVE-2024-6071 и ей имеет рейтинг CVSS 10.

Патч включен в версию 20.7.0.1 и более поздние версии License Server, которые доступны для таких продуктов, как Creo Elements/Direct Drafting, Model/Drawing Mgr, Modeling и WorkManager.

В ходе анализа исследователь пришел к выводу, что License Server предоставляет веб-интерфейс, который может быть использован неаутентифицированными удаленными злоумышленниками для выполнения произвольных команд ОС на базовом сервере.

Что более печально, уязвимость может привести к горизонтальному движению в промышленных организациях, а используется продукт по всему миру, в том числе в критически важном производственном секторе. 

Тем не менее в PTC отметили, что не имеют никаких указаний и не были осведомлены о том, что эта уязвимость эксплуатируется или эксплуатировалась ранее. 

Ридмайер отметил, что уязвимый License Server обычно не имеет выхода в Интернет, поэтому злоумышленнику потребуется доступ к сети целевой организации, чтобы воспользоваться уязвимостью.

В среде, где ему удалось найти уязвимость, сервер PTC был установлен на системе Windows, которую исследователь смог полностью взять под контроль, воспользовавшись уязвимостью.

Учитывая, что взломанный сервер был подключен к нескольким сетям и на нем размещались и другие сервисы, Ридмайер смог через него добраться и до критически важной информации в иных сегментах сети.

Правда успех такого мероприятия, конечно зависит от того, где развернут уязвимый License Server и какой тип доступа он реализует, что может отличаться в разных организациях. 

Оценив масштаб бедствия, PTC проделала отличную работу и выпустила исправления с рекомендациями в течение семи недель.

EVA Information Security поделилась подробностями трех уязвимостей CocoaPods, затрагивающих миллионы приложений macOS и iOS в части атак на цепочки поставок ПО.

CocoaPods - это менеджер зависимостей с открытым исходным кодом для проектов Swift и Objective-C Cocoa, имеющий более 100 000 библиотек и используемый более чем тремя миллионами приложений в экосистеме Apple.

Обнаруженные проблемы в CocoaPods могли позволить злоумышленникам перехватить тысячи пакетов, выполнить команды оболочки и захватить учетные записи, что потенциально повлияло на миллионы приложений iOS и macOS.

Корни всех бед уходят в 2014 год, когда CocoaPods перешел на сервер Trunk, выступающий в качестве централизованного репозитория и платформы распространения, утратив авторство многих модулей. В результате 1866 пакетов остались бесхозными.

EVA обнаружила, что это позволяло любому злоумышленнику заявить о своем праве на тысячи невостребованных модулей и внедрить вредоносный код во многие из самых популярных приложений iOS и macOS.

Злоумышленник мог воспользоваться CVE-2024-38368 (оценка CVSS 9,9), чтобы захватить известные модули и изменить их содержимое или заменить его вредоносным кодом.

Исследователи обнаружили упоминания об утраченных модулях в документации приложений, предоставляемых Apple (Safari, AppleTV, Xcode) и Microsoft (Teams), а также в TikTok, Snapchat, Amazon, LinkedIn, Netflix, Okta, Yahoo, Zynga и многих других. В целом - 685 модулей, которые имели явную зависимость от потерянного модуля.

Вторая уязвимость, обозначенная как CVE-2024-38366 (оценка CVSS 9,0), представляет собой RCE-ошибку уна сервере аутентификации для CocoaPods, который выполняет команду оболочки для проверки домена электронной почты, когда разработчик регистрируется в качестве владельца модуля.

Ошибку можно использовать для выполнения команды на магистральном сервере, фактически предоставляя root-доступ к серверу и инфраструктуре.

Третья CVE-2024-38367 (оценка CVSS 8,0) также связана с процессом аутентификации, позволяя злоумышленнику перехватить сеанс владельца модуля и захватить учетную запись CocoaPods.

CocoaPods аутентифицирует новые устройства, создавая сеанс, который становится действительным только после того, как владелец перейдет по ссылке, которую сервер Trunk генерирует и отправляет на адрес электронной почты, указанный клиентом при запросе сеанса.

EVA заметила, что злоумышленник может подделать заголовок X-Forwarded-Host (XFH), используемый для идентификации, и сервер будет использовать поддельный заголовок для создания URL, отправляемого по электронной почте. URL может перенаправлять пользователей на сторонние веб-сайты, которые могут красть куки их сеанса.

Как отметили ресерчеры, нисходящие зависимости могут означать, что за последние несколько лет были уязвимы тысячи приложений и миллионы устройств.

CocoaPods устранила уязвимости на стороне сервера в сентябре и октябре 2023 года, и теперь их эксплуатация невозможна.

Исследователи из Калифорнийского университета в Сан-Диего сообщили о новой высокоточной атаке по побочным каналам Branch Target Injection (BTI), которая получила название Indirector и затрагивает современные процессоры Intel, включая Raptor Lake и Alder Lake.

Indirector может использоваться для кражи конфиденциальной информации из ЦП, используя уязвимости в Indirect Branch Predictor (IBP) и Branch Target Buffer (BTB) для манипулирования спекулятивным выполнением с целью извлечения данных.

Предиктор косвенных ветвлений предназначен для прогнозирования целевых адресов косвенных ветвлений с использованием исторической информации о выполнении, в то время как буфер целевых ветвлений прогнозирует целевые адреса прямых ветвлений с использованием структуры кэша с ассоциативными множествами.

Исследователи обнаружили, что обе системы имеют недостатки в механизмах индексации, маркировки и обмена записями и, как правило, построены на предсказуемой структуре, которая позволяет осуществлять целенаправленные высокоточные манипуляции.

Исходя из вышеизложенного, Indirector осуществляет атаки в основном с использованием трех механизмов.

- iBranch Locator: настраиваемый инструмент, который использует методы вытеснения для идентификации индексов и тегов пострадавших ветвей и точного определения записей IBP для конкретных ветвей.

- IBP/BTB injections: выполнение целевых инъекций в структуры прогнозирования для выполнения спекулятивного кода.

- ASLR bypass: прерывание рандомизации адресного пространства (ASLR) путем определения точного местоположения косвенных ветвей и их целей, что упрощает прогнозирование и манипулирование потоком управления защищенных процессов.

Наряду со спекулятивным выполнением, достигаемым с помощью целевых инъекций, злоумышленник может использовать методы сторонних каналов кэширования, такие как измерение времени доступа, чтобы сделать вывод о полученных данных.

Intel проинформировали об атаке в феврале 2024 года, также уведомили затронутых поставщиков оборудования и ПО.

Исследователи рассматривают два основных способа смягчения последствий атаки Indirector: более агрессивное использование Indirect Branch Predictor Barrier (IBPB) и усиление Branch Prediction Unit (BPU) путем включения более сложных тегов, шифрования и рандомизации.

Однако необходимо учитывать снижение производительности, особенно при использовании IBPB, поэтому реализация предлагаемого смягчения требует тонкой балансировочной работы.

Исследователи опубликовали на GitHub код и инструменты для проверки концепции атак с внедрением ветвей. Подробности атаки обещают раскрыть на предстоящем симпозиуме USENIX в августе 2024 года.