FreeWebTurkey сообщает об обнаружении веб-сайта под названием Sorgu Paneli (переводится как «Панель запросов»), через который зарегистрированным пользователям реализуется доступ к личным и финансовым данным более 85 миллионов граждан Турции.

Злоумышленники утверждают, что данные получены в результате взлома портала e-Devlet (электронное правительство Турции).

Утечка включает такие конфиденциальные данные как: полные имена, домашние адреса, идентификационные номера, номера телефонов, данные на недвижимость и информацию о членах семьи.

Помимо сайта доступ к пробиву осуществляется через Discord и Telegram, и причем, количество подписчиков в Telegram-канале платформы превысило пять тысяч.

Ресерчеры подтверждают достоверность образцов из базы данных, которая включают и личную информацию высокопоставленных чиновников, в том числе и главы государства.

Они полагают, что просочившиеся данные были украдены в ходе атаки, состоявшейся в апреле 2022 года, когда хакеры заявили, что взломали инфраструктуру электронного правительства Турции.

В свою очередь, турецкое правительство пока официально не подтверждает утечку. Несмотря на это, Турецкая ассоциация медийных и юридических исследований (MLSA) объявила о планах подать иск против МВД.

Что касается селлеров, то о них ничего известно, кроме того, что их сайт работает с 3 июня 2023 года и зарегистрирован на Северном Кипре.

Если потенциальное нарушение подтвердится, это будет крупнейшая утечка в истории страны, после инцидента со взлом базы данных регистрации избирателей в 2016 году.

Кроме того, сообщается, что утекло даже не 85 миллионов, а 101.

Очень странное и интересное продолжение истории про Operation Triangulation, о которой мы писали совсем недавно.

Китайская инфосек компания Qihoo 360 в конце прошлой недели выпустила материал, в котором приписала Operation Triangulation новой прогосударственной хакерской группе Sand Eagle aka APT-C-63, которую китайские исследователи отслеживают с прошлого года. Qihoo 360 сообщили, что активность злоумышленников в рамках Триангуляции не ограничивается iOS и они зафиксировали также сложные атаки на устройства на базе Windows. Более того, китайцы выложили инструмент для выявления компрометации под Windows.

Однако вскоре после этого Qihoo 360 удалила как сам отчет, так и тулзу для выявления заражения, на данный момент они не доступны. Все, что мы смогли найти - статью по мотивам исследования на одном из китайских ресурсов (она как раз в закрепе).

Про саму группу Sand Eagle ничего толком не известно. Можем лишь заметить, что в классификации Qihoo 360 есть одна похожая по названию группа - Blind Eagle aka APT-C-36. Когда-то давно мы про нее писали здесь и здесь. Тогда мы предполагали, что эта прогосударственная APT работает на Венесуэлу.

Все чудесатее и чудесатее, как говорила Кэрроловская Алиса.

Как оказалось Fortigate, который призван защищать, сам нуждается в защите, так как в Fortinet бьют тревогу и призывают немедленно установить последние обновления.

Дело в том, что критическая уязвимость FortiOS SSL VPN, которая была исправлена на прошлой неделе, могла быть использована в атаках на правительственные и производственные объекты, включая критическую инфраструктуру.

CVE-2023-27997 представляет собой уязвимость переполнения буфера в FortiOS и FortiProxy SSL-VPN, которая может позволить злоумышленникам, не прошедшим проверку подлинности воспроизвести RCE с помощью специально созданных запросов.

Недостаток был обнаружен во время аудита кода модуля SSL-VPN после другой недавней серии атак против правительственных организаций с использованием 0-day (СVE-2022-42475) в FortiOS.

Исправления безопасности были выпущены в конце прошлой неделе в версиях прошивки FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 и 7.2.5., прежде чем раскрыть дополнительные подробности.

В компании не первый раз выпускают исправления перед раскрытием критических уязвимостей, чтобы дать время обезопасить свои устройства, прежде чем злоумышленники адаптируют их для создания эксплойтов. Спасибо, что не до, а так в пятницу все админы сидят и ждут, когда что-то новенькое выйдет.

Проблема на самом деле серьезная, ведь согласно Shodan в Интернете доступно более чем 250 000 брандмауэров Fortigate, и большинство из них, вероятно, уязвимы.

Более того, расследование специалистов показало, что о проблеме узнали не только в Fortinet и она могла быть использована в ограниченном числе случаев, кем-то еще.

На данный момент поставщик тесно сотрудничает с клиентами, чтобы отследить ситуацию.

Fortinet уже не в первой быть под прицелом APT. Компания известна взломом устройств Fortinet FortiGuard с помощью ранее неизвестной 0-day, посредством которой был получен доступ к сетям организаций в широком спектре критических секторов.

Тогда к атакам была причастна китайская Volt Typhoon, но имеет ли отношение группировка к использованию уязвимости CVE-2023-27997 доподлинно не известно.

Meta (*признанная в России экстремистской) создала на основе нейросети генератор музыки, который обучила на 20000 часах различных лицензионных композиций. Демоверсия, создающая сэмплы по 12 секунд, доступна здесь.

От себя добавим, что тру black hat музыка получается путем наложения "death metal with female growling" на композиции Аллы Пугачевой "Айсберг" и "Золотая Карусель".

Microsoft представила июньский патч с исправлением более 70 уязвимостей, из которых более 30 относятся к RCE, а 6 оцениваются как критические. Но на этот раз без 0-day.

Общее распределение ошибок по категориям выгляди следующим образом: 17 - это уязвимости повышения привилегий, 3 - обхода функций безопасности, 32 - RCE, 5 - раскрытия информации, 10 - DoS, 10 - спуфинг, 1 - уязвимость Chromium. Еще 16 ошибок исправлено в Microsoft Edge.

Среди наиболее значимых проблем следует отметить CVE-2023-29357 в Microsoft SharePoint Server, которая позволяла злоумышленникам получить привилегии других пользователей, включая администраторов. Ее обнаружил Jang (Nguyễn Tiến Giang)  из StarLabs SG.

Злоумышленник, получивший доступ к поддельным токенам аутентификации JWT, может использовать их для выполнения сетевой атаки, которая обходит аутентификацию и позволяет им получить доступ к привилегиям аутентифицированного пользователя.

Несмотря на то, что ошибка активно эксплуатируется, Microsoft не разглашает подробностей злоупотреблений.

Другая CVE-2023-32031 представляет собой RCE-уязвимость в Microsoft Exchange Server.

Благодаря ей, будучи аутентифицированным, злоумышленник может попытаться запустить вредоносный код в контексте учетной записи сервера посредством сетевого вызова.

Сетевым администраторам Windows настоятельно рекомендуется обратить особое внимание на три критических ошибки в Windows Pragmatic General Multicast (PGM).

Все три уязвимости (CVE-2023-29363, CVE-2023-32014 и CVE- 2023-32015) имеют оценку серьезности CVSS 9,8/10 и могут быть использованы удаленным злоумышленником, не прошедшим проверку подлинности, для RCE в уязвимой системе.

Microsoft также выпустила обновления для Microsoft Office с исправлением уязвимостей, которые позволяли злоумышленникам использовать вредоносные документы Excel и OneNote для RCE.

Они отслеживаются как CVE-2023-33133, CVE-2023-33137 (Excel), CVE-2023-33140 (OneNote), CVE-2023-33131 (Outlook).

С полным списком уязвимостей, закрытых PatchTuesday, можно ознакомиться здесь.

На Ямайке хакеры поломали JamaicaEye.

Инцидент подтверждает Министерство национальной безопасности.

JamaicaEye - это общенациональная правительственная система видеонаблюдения, которая была создана в 2018 году и замкнула на себя фактически все частные и правительственные камеры в стране.

Система задействована в работе по обеспечению общественного порядка, мониторингу чрезвычайных ситуации и спецслужб.

Согласно сообщениям, произошел киберинцидент, который, предварительно, повлиял на работе веб-сайта JamaicaEye.

При этом он никоим образом не связан с центральной инфраструктурой системы наблюдения. Злоумышленникам якобы не удалось получить доступ ни к одному из видеопотоков JamaicaEye.

К настоящему времени MNS оценивает масштабы нарушения и проводит расследование.

Несмотря на все доводы о безопасности видеохранилища, представители спецслужбы пока даже не могут точно сказать, утекли ли вообще какие-либо данные JamaicaEye.

Вообще в стране пять центров наблюдения, один из которых находится в штаб-квартире Сил обороны Ямайки, а другой - в офисе комиссара полиции.

Теперь, вероятно, открылся еще один. Но будем посмотреть.

͏Не так давно мы сообщали об утечке данных 478 000 участников хакерской площадки RaidForums, которая засветилась на даркнет-форуме Exposed, запустившиемся с мая этого года в качестве альтернативы уже Breached.

Если Raid и Breached накрючили спецслужбы, то Exposed, как выяснилось, некренили конкуренты.

Изначально, форум был приостановлен на техническое обслуживание и на главной странице появилось сообщение о продаже площадки.

Впоследствии Dkota, администратор onniforums, заявил, что скомпрометировал Exposed, используя mybb 0-day.

По итогу получается, что Exposed, пришедший на замену Breached, уходит с молотка, а тем временем сам Breached торжественно возвращается.

Один из оставшихся на свободе его совладельцев, который работал с Pompompurin до его задержания, Baphomet решил возобновить проект, заручившись для этого поддержкой широко известной ShinyHunters.

Правда, как мы помним, сразу после силовой операции Baphomet дал заднюю, но, по всей видимости, ему придали ускорение.

͏Новый zero-day для VMware ESXi в руках китайской APT.

Проблему обнаружили специалисты из Mandiant, которые нашли уязвимость в гипервизоре, причем, как оказалось активно эксплуатируемой китайским актором.

Уязвимость использовалась злоумышленниками для взлома виртуальных машин Windows и Linux, кражи данных и установки вредоносного ПО на серверах жертв.

Однако в VMware посчитали, что уязвимость ESXi имеет «низкую серьезность», поскольку для эксплуатации требуется, чтобы злоумышленник уже получил root-доступ к целевой системе.

Активное использование уязвимости в Mandiant приписывают китайской группе UNC3886.

Сам недостаток отслеживается как CVE-2023-20867 и представляет собой обход аутентификации, который можно использовать, когда полностью скомпрометированный хост ESXi может заставить VMware Tools не аутентифицировать операции между хостами, влияя на конфиденциальность и целостность гостевой виртуальной машины.

В своем исследовании Mandiant сообщила, что для использования уязвимости злоумышленнику необходимо иметь доступ с привилегированной учетной записью к хосту ESXi, а на целевой гостевой машине должно быть установлено приложение для управления ПО VMware Tools.

И как только злоумышленник получит этот доступ, уязвимость позволит ему выполнить привилегированные действия на скомпрометированном хосте ESXi без необходимости аутентификации.

И даже несмотря на попытки VMware занизить оценку значимости уязвимости, инфосек-общественнность бомбит совсем по другому поводу.

Все дело в том, что Mandiant решили не заморачиваться и не давать IOC, ссылаясь на то, что этот конкретный злоумышленник менял индикаторы, упомянутые в публикациях, менее чем через неделю после их выпуска 👇

Поезд хайпа ИИ мчит на всех парах.

Microsoft пробивает очередное дно конфиденциальности со своими улучшениями в Edge после очередного обновления.

Новая история последовала сразу после того, как ранее в этом году пользователи обнаружили, что Edge пропускает часть своей истории просмотров в API Bing.

Теперь же анонсирована новая функция улучшения изображений.

Дело в том, что в отличие от Video Super Resolution, которое использует локальные ресурсы для улучшения качества видео, она отправляет URL-адреса изображений, которые пользователи загружают в свой браузер, обратно в Microsoft.

Она предназначена для масштабирования изображений с низким разрешением, делая их более четкими, а также улучшая освещение и контрастность.

При этом изображения кэшируются на 30 дней для повышения производительности.

Безусловно, это вызывало у сообщества серьезные опасения по поводу конфиденциальности после того, как в описании функции появились небольшие уточнения.

Причем опция включена по умолчанию, и пользователям необходимо вручную ее деактивировать, если они не хотят, чтобы их изображения отправлялись.

И это далеко не единственная серьезная проблема конфиденциальности в браузере: у BornCity есть хорошая подборка всех последних улучшений проблем.

͏В продолжение к предыдущему, оставим это без комментариев.

͏На фоне последних событий объявился Omnipotent, администратор печально известного RaidForums, который выкатил свои объяснения по поводу происхождения утечки данных более 400 тысяч пользователей подконтрольной ему в прошлом площадки.

Если вкратце, то Рафик ни в чем не виноват. RaidForums был захвачен и переведен в автономный режим ФБР. В настоящее время у него нет никаких планов по созданию замены.

Пытавшийся оседлать аудиторию RaidForums, задержанный американскими спецслужбами Помпомпурин предпринял попытку самоубийства.

Текущую ситуацию после операций правоохранителей назвал довольно плохой, усомнившись в этичности некоторых действий властей в этом вопросе и отметив, что США долгая история аморальных действий, что вцелом не удивляет. По поводу альтернативных площадок он не смог поручиться за их безопасность или надежность.

Утечка стала для него весьма неожиданной, поскольку никому никогда не предоставлялся доступ к базе данных. Одним из возможных сценариев утечки назвал: ранее незамеченный эксплойт, временный административный надзор за разрешениями, позволяющий загрузить резервную копию, или, возможно, вмешательство спецслужб.

Версию от автора утечки с загрузкой через панель администратора воспринимает с долей скептицизма, посетовав на дальнейшую судьбу тех пользователей, кто были небрежен со своим opsec. Для протокола: утечка базы данных, по-видимому, является подлинной и датируется концом 2020 года.

Впрочем, все как мы и предполагали. Но будем следить посмотреть.

Google выпустила очередное обновление безопасности для Chrome 114 с устранением пяти уязвимостей, в том числе критических и высокой степени серьезности.

Наиболее важной из них является CVE-2023-3214, критическая уязвимость использования после освобождения в Autofill payments. О проблеме сообщил Ронг Цзянь из VRI.

Успешная эксплуатация уязвимости использования после освобождения может привести к выходу из песочницы, если злоумышленник может нацелиться на привилегированный процесс Chrome или уязвимость в базовой ОС.

В дополнение к CVE-2023-3214, последнее обновление Chrome устраняет две другие проблемы использования после освобождения, обе из которых высокой степени серьезности.

Одна из них CVE-2023-3215 влияет на WebRTC, а другая CVE-2023-3217 затрагивает WebXR.

Четвертая уязвимость, о которой сообщалось извне — это проблема путаницы типов в движке JavaScript V8.

Google выплатила 3000 долларов за уязвимость WebRTC, но еще не определила размер вознаграждения за баги в Autofill payments и V8.

Об уязвимости в WebXR сообщил Сергей Глазунов из Google Project Zero, и, согласно политике компании, его вознаграждение ограничилось благодарностью и ежемесячным окладом.

Традиционно Google не сообщает об использовании этих уязвимостей в атаках. Последняя версия Chrome теперь распространяется как 14.0.5735.133 для macOS и Linux и как 114.0.5735.133/134 для Windows.

SAP выпустила июньский патч для исправления уязвимостей высокой степени опасности, включающий 8 новых бюллетеней и 5 обновлений к предыдущим.

SAP устранила ошибку хранимого межсайтового сценария (XSS) в UI5 Variant Management.

Отслеживаемая как CVE-2023-33991 (оценка CVSS 8,2), проблема может быть использована для получения доступа на уровне пользователя к приложению и нарушения конфиденциальности, целостности и доступности.

Вторая серьезная уязвимость — это отсутствие аутентификации в Plant Connectivity and Production Connector для цифрового производства, которая отслеживается как CVE-2023-2827 (оценка CVSS 7,9).

Ошибку можно использовать для подключения к уязвимому приложению без действительного веб-токена JSON (JWT).

По данным исследователей Onapsis, чтобы полностью исправить эту уязвимость, оба компонента должны быть исправлены, а проверка подписи JWT должна быть настроена в настройках Cloud Connector.

На этой неделе SAP также обновила две заметки для серьезных ошибок в хранилище знаний (CVE-2021-42063) и SAPUI5 (CVE-2023-30743).

Из восьми новых и обновленных примечаний по безопасности средней степени серьезности шесть касаются недостатков XSS в NetWeaver, CRM ABAP (Grantor Management), CRM (пользовательский интерфейс WebClient) и BusinessObjects.

Две другие заметки устраняют ошибку раскрытия информации в S/4HANA и проблему внедрения SQL в Master Data Synchronization.

Последнее примечание по безопасности устраняет уязвимость низкого уровня опасности отказа в обслуживании (DoS) в NetWeaver (Change and Transport System).

И еще порция глобальных обновлений от немецких «партнеров».

Siemens решили отработать на год вперед и выпустили дюжину новых рекомендаций, охватывающих в общей сложности около 200 уязвимостей, влияющих на ее промышленные продукты.

Причем подавляющее большинство этих недостатков затрагивает компоненты сторонних производителей.

Промышленный гигант проинформировал клиентов о 108 уязвимостях в одном только ядре Linux, затрагивающих Simatic S7-1500, в частности многофункциональную платформу TM (MFP).

Компания в темпе вальса готовит исправления для недостатков, но уже предоставляет обходные пути и меры по смягчению последствий.

54 уязвимости, обнаружены в BIOS того же продукта.

В целом же дыры в безопасности затрагивают различные сторонние компоненты, включая ядро Linux, библиотеки, BusyBox и процессоры Intel. Для этих уязвимостей также готовятся исправления.

В отдельной рекомендации описывается почти два десятка ошибок в продуктах Sinamics средней степени опасности, которые также влияют на сторонние компоненты.

Критические недостатки связанные с RCE исправлены в продукте Simatic Step 7 и устройствах Sicam Q200.

Другие серьезные недостатки пофиксили в продуктах Solid Edge, Simatic WinCC, Teamcenter Visualization и JT2Go, а также Sicam A8000.

Исправленные уязвимости могут привести к выполнению произвольного кода, DoS-атакам, повышению привилегий и несанкционированному доступу.

Другой немецкий гигант Schneider Electric выдал всего четыре новых рекомендации, охватывающих в общей сложности пять уязвимостей.

Два серьезных недостатка, влияют на распределенную систему управления Foxboro (DCS), посредством которых злоумышленник может использовать для DoS-атак, повышения привилегий и выполнения кода ядра.

Кроме того, в продукте Foxboro SCADA обнаружен недостаток, который предоставляет учетные данные в виде открытого текста. Проблема существует в компоненте Aveva InTouch, где она была первоначально исправлена еще в 2021 году.

Также Schneider предупредили организации, что злоумышленники могут выполнять произвольный код, используя уязвимости в продуктах EcoStruxure Operator Terminal Expert, Pro-face BLUEm и IGSS (интерактивная графическая система SCADA) путем обмана и открытием специально созданных файлов проекта.

Progress предупреждает клиентов MOVEit Transfer о необходимости немедленно ограничить любой HTTP-доступ к своим средам после того, как появилась свежая информация о новой, уже третьей, уязвимости SQLi.

Уязвимость в MOVEit Transfer может привести к эскалации привилегий и несанкционированному доступу к среде. Обнаружил ее исследователь Huntress Джон Хаммонд.

Progress пока не раскрывает подробности. Известно лишь то, что уязвимость не является обходом какой-либо предыдущей, у нее собственный вектор атаки.

Патч для нее еще не доступен, тестируется и, по словам разработчика, будет выпущен в самое ближайшее время.

До тех пор Progress рекомендует изменить правила брандмауэра и запретить HTTPS и HTTP-трафик для MOVEit Transfer через порты 80 и 443 в качестве временного обходного пути.

А тем временем, пока разработчик активно ищет и исправляет все новые дыры в своем решении, банда вымогателей Clop после успешного препарирования одной из баг приступила к вымогательству у жертв из числа пользователей MOVEit, перечислив названия компаний на своем DLS.

При этом, если требование о выкупе не будет выполнено, Clop начнут утечку украденных данных, начиная с 21 июня.

Всего на DLS пока размещено тринадцать компаний. Причем одна из них Greenfield CA, была удалена. Вероятно, переговоры перешли в предметную плоскость.

Пять из перечисленных компаний, включая Shell, UnitedHealthcare Student Resources (UHSR), Университет Джорджии (UGA) и University System of Georgia (USG), Heidelberger Druck и Landal Greenparks, подтвердили инциденты с MOVEit.

Среди других организаций, которые также раскрыли нарушения MOVEit Transfer: Zellis (BBC, Boots и Aer Lingus, Ирландская высшая школа экономики), Университет Рочестера, правительство Новой Шотландии, муниципалитеты американских штатов Миссури и Иллинойс, BORN Ontario, Ofcam, Extreme Networks и Американский совет по заболеваниям.

Кроме того, CNN сообщает, что согласно CISA несколько федеральных правительственных учреждений США также были взломаны с использованием MOVEit 0-day.

В целом, хронология всех событий в рамках инцидента с MOVEit 0-day достаточно четко представлена исследователями Rapid7. Там же и все рекомендации.

Исследователи CyberCX раскрыли весьма экстравагантный способ обхода пароля BIOS на ноутбуках Lenovo.

Для этого достаточно замкнуть два контакта SCL и SDA на материнской плате с помощью небольшой отвертки во время загрузки ПК.

После того, как манипуляции будут проведены открываются широкие возможности для внесения изменении в BIOS, например, для смены загрузочного диска, загрузки новой ОС и так далее.

После чего таким же образом можно вернуть настройки обратно, оставив существующий пароль в EEPROM, а на ноутбуке жертвы не будет никаких доказательств взлома.

͏IOActive опубликовали первые результаты исследования, в котором изучали возможность атак на дроны, не имеющие известных уязвимостей, с помощью электромагнитной инъекции уязвимости (EMFI).

Если в двух словах - это направленный на атакуемый чип ЭМ-импульс, после которого можно тем или иным образом взаимодействовать с данными на этом чипе. В качестве тестовой мишени использовали DJI Mavic Pro.

Хотя исследование еще продолжается, уже можно сказать, что при определенных условиях (во время процесса обновления прошивки) такая электромагнитная атака потенциально позволит осуществить наше любимое удаленное выполнение кода aka RCE. В скором времени обещают разработать эксплойт.

Конечно, до практического применения еще далеко, но только представьте себе следующую картину - к парящему над полем боя разведывательному коптеру подлетает управляемый ИИ беспилотник, который обнаружил свою цель с помощью настроенной на звук работы пропеллеров нейросети, выдает ЭМ-импульс, от которого сам защищен с помощью —classified—, моментом перепрошивает его и направляет на свою базу. А сам летит дальше в поисках очередной жертвы.

А потом они начнут в стаи сбиваться и на юг осенью мигрировать...