Исправлена обнаруженная Orange Tsai из DEVCORE уязвимость, позволяющая злоумышленникам удаленно выполнять код с привилегиями root на серверах, использующих решение Samba.

CVE-2021-44142 касается проблемы чтения/записи за пределами кучи в модуле vfs_fruit VFS при анализе метаданных EA в ходе открытия файлов в smbd. Уязвимый модуль предназначен для обеспечения расширенной совместимости с клиентами Apple SMB и файловыми серверами Netatalk 3 AFP.

Дело заключается в конфигурации модуля Fruit VFS по умолчанию: fruit:metadata=netatalk или fruit:resource=file. Если для обоих параметров установлены значения, отличные от значений по умолчанию, проблема не оказывает влияния на систему.

Кроме того, злоумышленникам, которые хотят использовать эту уязвимость, потребуется доступ для записи к расширенным атрибутам файла. Это может быть гость или пользователь, даже не прошедший проверку подлинности, если им разрешен такой доступ.

По данным CERT (CERT/CC), в список уязвимых платформ входят Red Hat, SUSE Linux и Ubuntu. Злоумышленники могут использовать эту уязвимость в атаках низкой сложности, не требующих вмешательства пользователя, если на целевых серверах имеются какие-либо установки Samba до версии 4.13.17.

Рекомендуем как можно скорее накатить вышедшие обновления 4.13.17, 4.14.12 и 4.15.5 или применить соответствующие патчи для исправления ошибки.

Используя обходной путь, следует помнить, что изменение настроек модуля VFS приводит к тому, что вся сохраненная информация становится недоступной, а для клиентов macOS и вовсе выглядит утраченной.

Что не касается WordPress, то сразу счет на миллионы. В этот раз обнаружен критический RCE в популярном плагине Essential Addons for Elementor, который подвергает опасности более миллиона ресурсов.

Essential Addons for Elementor — популярный плагин WordPress, который предоставляет простые в использовании и креативные элементы для улучшения внешнего вида страниц. Как выяснилось плагин подвержен критической уязвимости RCE, которая затрагивает версию 5.0.4 и старше и позволяет пользователю, не прошедшему проверку подлинности использовать эту уязвимость для выполнения атаки с включением локального файла, например файла PHP, для удаленного выполнения кода на сайтах, на которых запущена уязвимая версия подключаемого модуля.

В анализе, опубликованном PatchStack так и говорится, что атака может быть использована для включения локальных файлов в файловую систему веб-сайта, таких как /etc/passwd, а также можно использовать для выполнения RCE, включив файл с вредоносным PHP-кодом, который обычно не может быть выполнен. Кроме того уязвимость включения локального файла существует из-за того, как данные ввода пользователя используются внутри функции включения PHP, которая является частью функций ajax load more и ajax eael product gallery.

Уязвимость была обнаружена энтузиастом Вай Ян Мьо Тхетом и может быть использована только в том случае, если на веб-сайтах включены виджеты «динамическая галерея» и «галерея продуктов», так что отсутствует проверка токена.

Угрозу конечно локализовали, но далеко не сразу.

Первоначально команда разработчиков попыталась исправить ошибку, реализовав функцию sanitize text field для входных данных пользователя. Однако специалисты обнаружили, что включение локальных полезных нагрузок все же возможно, после чего к версии 5.0.4 был применен второй патч. Новый патч вызывает функцию WordPress sanitize filename, которая удаляет специальные символы, недопустимые в именах файлов, чтобы предотвратить локальные атаки включения файлов. К сожалению, эта версия по-прежнему была уязвима и требовала дополнительной проверки.

Тогда был применен третий патч к версии 5.0.5 плагина, что повысило безопасность за счет использования функции realpath в PHP.

Версия 5.0.5 была выпущена 28 января 2022 года и на сегодняшний день она была установлена только на 380 000 сайтов WordPress, а это означает, что более 600 тысяч сайтов все еще используют потенциально уязвимую версию.

Eternal Silence захватывает тысячи маршрутизаторов, используя Universal Plug and Play (UPnP) и превращая их в прокси-сервера, которые в дальнейшем используются хакерами в качестве инфраструктуры для проведения атак.

Протокол UPnP помимо удобства в реализации переадресации устройств в сети, потенциально уязвим для атак, позволяющих удаленным субъектам добавлять записи переадресации портов UPnP через открытое WAN-соединение устройства.

Именно такие атаки под условным наименованием UPnProxy обнаружили исследователи из Akamai, наблюдавшие за актором, использующим эту уязвимость для создания прокси-серверов, скрывающих вредоносные операции.

Akamai предполагают, что злоумышленники экслпуатируют EternalBlue (CVE-2017-0144) и EternalRed (CVE-2017-7494) в незащищенных системах Windows и Linux соответственно.

Представители Akamai предрекают скорое завершение кампании. Однако цифры говорят об обратном: из 3 500 000 UPnP-маршрутизаторов, найденных в сети, 277 000 уязвимы для UPnProxy, а 45 113 из них уже заражены хакерами.

В целом, Eternal Silence — очень хитрая атака, потому что она делает практику сегментации сети неэффективной и не дает никаких признаков на то, что происходит с жертвой. Лучший способ определить, были ли захвачены устройства, — это просканировать все конечные точки и проверить записи в таблице NAT.

Есть много способов сделать это, но Akamai удобно предоставила этот bash-скрипт, который можно запустить для потенциально уязвимого URL-адреса.

И если вы все же обнаружили скомпрометированное с помощью Eternal Silence устройство, отключение UPnP не очистит существующие инъекции NAT. Вместо этого пользователям потребуется перезагрузить или прошить устройство.

​🚀 Утечка Lockheed Martin Corp на 40GB данных

На одном из форумов пользователь под ником 1941Roki заявил об утечке 40 GB данных из 🛩🇺🇸американской военно-промышленной корпорации Lockheed Martin. Хакер или их представитель, утверждает, что в его руки попали макеты дизайна, тестовые записи, детали контрактов, информация о текущих проектах Indago 4 и много военной информации🤔

🥊 Местный Рокки Бальбоа оценил дамп корпорации с капитализацией более $100 млрд., производящей баллистические ракеты, радары, спутники, боевые самолёты F-22 Raptor в размере $999🤨

Дальше интереснее, автор сайта Restore Privacy Свен Тейлор (сайт посвящённый конфиденциальности в сети) провел собственное расследование и пообщался с 1941Roki. Хакер выложил в качестве пруфа в одном из Telegram каналов непонятные чертежи и конструкторские макеты, якобы относящиеся к Lockheed Martin.

Пользователь с аватаркой Сильвестра Сталлоне в беседе со Свеном решил поделиться подробностями взлома компании:

"The process of obtaining data is presented by real Christmas history. We analyzed the security of the internal network of the company and came to the conclusion that it would not be crazy. So we analyzed LinkedIn information, compared it with other leaks and on the basis of this selected several employees of the company. Who, in our assumption, had access to the technical information you are interested in, but did not have sufficient qualifications in the field of information security. These employees received pleasant baubles [trinkets] on Christmas holidays. And at the beginning of January a signal was received from two of our gifts. "

Свен предполагает, что речь идет о BadUSB, которые злоумышленники могли разослать сотрудникам компании. Почему хакер не договорился по-тихому о продаже дампа напрямую компании Lockheed Martin за скромные 999 долларов, объясняется следующим заявлением:

"We tried to reach representatives of the company with a coating path with a proposal to resolve information security incident. But unfortunately we did not receive an adequate answer from them"

Странная история, зачем хакеру рассказывать подробности взлома компании первому встречному и продавать военную информацию многомиллиардной корпорации в Telegram за $999? Три версии, 👮‍♂️ханипот, 🥷🏻 скам или Рокки Бальбоа освоил квантовое шифрование в глухом 🔥⛩Тибете.

https://restoreprivacy.com/hacker-group-claims-lockheed-martin-breach/

Данные на более чем 144 000 студентов Британского Совета просочились в сеть благодаря незащищенному хранилищу.

В начале декабря 2021 года MacKeeper и исследователь Боб Дьяченко обнаружили открытый незащищенный репозиторий больших двоичных объектов Microsoft Azure с более чем 144 000 файлов (xml, json и xls/xlsx), содержащих личную информацию и данные для входа. Как выяснилось в ходе их изучения, принадлежали ведущему образовательному учреждению мира, который только за 2019 и 2020 годы реализовал проекты с участием 80 миллионов человек в 100 странах мира.

Утекшая информация включала в себя полные имена, адреса электронной почты, студенческие билеты, статус студента, даты зачисления, продолжительность обучения и примечания. Установить время, в течение которого информация осталась общедоступной, не представилось возможным, однако, что точно понятно: массив был проиндексирован поисковыми системами.

Исследователи незамедлительно уведомили об инциденте руководство совета. После чего, 23 декабря контейнер BLOB-объектов был надлежащим образом защищен.

Администрация совета хоть и подтверждает утечку, но уже нашла виноватых на стороне подрядных компаний, заявив, что данные хранились и обрабатывались сторонним поставщиком услуг, а утечке подверглось всего лишь 10 000 записей.

MacKeeper предупреждает, что пострадавшие в результате инцидента могут столкнуться с фишинговыми атаками и прочими скамерскими вариациями монетизации слитых сведений. А, скорее всего, уже сталкиваются и получают возможность еще раз поучиться, только на чужих ошибках.

Крупнейшие объекты топливного комплекса Германии подверглись серьезной кибератаке 29 января. Работа дочерних компаний группы Marquard & Bahls была основательно парализована. Немецкие СМИ уже начали генерить публикации о надвигающемся топливном кризисе и угрозах национальной экономике.

Мнение журналистов поддержал управляющий директор независимой ассоциации по хранению резервуаров в Германии Франк Шейпер, отметив, что основной удар будет нанесен на работу транспортной сферы, из-за сбоев в поставках топлива.

Речь идет о немецком дистрибьюторе бензина для сети заправочных станций Shell (и еще 25 компаний, при том, что только на долю этой компании приходится 1955 заправок) в по всей стране и поставщика нефтепродуктов Mabanaft GmbH.

Все дело в том, что в результате атаки пострадала автоматика управления резервуарами, которая не может регулироваться вручную. Oiltanking управляет в общей сложности 13 нефтебазами в Германии, и в настоящее время они все простаивают, не имея возможности принимать бензовозы.

Терминалы Oiltanking Deutschland GmbH & Co. KG работают с ограниченной пропускной способностью, объявлен форсмажор. Mabanaft Deutschland GmbH & Co. KG также объявила о форс-мажорных обстоятельствах в отношении большей части своей деятельности по внутренним поставкам в Германии.

Сейчас все службы предприятий и компетентные органы пытаются оценить масштаб последствий инцидента и как можно скорее восстановить работу пострадавших в результате атаки IT-систем.

А по ходу стоило прислушаться к наставлениям национальных спецслужб, в частности BfV, заявившей на прошлой неделе о потенциальной возможности атак. Впрочем, расследование атаки на Oiltanking еще не окончено и ее актор официально не назван. Хотя…

Как не крути, а армейский принцип работает везде - если нет виноватого, то его назначат.

Собственно, так и решили поступить израильские силовики после скандала со шпионским ПО NSO Pegasus. Национальная полиция Израиля заявила, что обнаружила доказательства, указывающие на неправомерное использование спецсофта ее собственными следователями для слежки за телефонами своих граждан.

Объявление было сделано через две недели после того, как израильская газета сообщила о ряде случаев, когда полиция использовала программное обеспечение Pegasus для наблюдения за протестующими, политиками и подозреваемыми в совершении преступлений без санкции судьи. Ситуация вызвала возмущение общественности в Израиле и побудила генерального прокурора и чиновников начать расследование.

Как мы помним, полиция сообщала, что предварительное внутреннее расследование не выявило доказательств неправомерного использования шпионского ПО. Но раз вопросом занялся генпрокурор, а он не может не добраться до истины, то полиция решила снова себя перепроверить, после чего заявила, что вторичная проверка таки «нашла дополнительные доказательства, которые меняют некоторые аспекты положения дел». Хотя ранее на отрез опровергла выводы газеты и уверяла, что действует в соответствии с буквой закона.

Для генерального прокурора Израиля это было последним делом в его карьере, а значит делом чести. В свете выводов полиции, уходящий в отставку Авихай Мандельблит заявил, что дал указание полиции принять незамедлительные меры по предотвращению нарушений. Кроме того, Мандельблит сообщил, что поручил представить отчет об обвинениях в незаконной слежке за гражданскими лицами к 1 июля. Вот тогда и узнаем, кто, зачем и почему.

В NSO в свою очередь сообщили, что отключили нескольких клиентов после выявленных фактов злоупотребления их продуктами, и сравнивая себя с другими производителями подобного специализированного софа, заявили, что не могут нести ответственность за действия своих клиентов.

Исследователи компании Binarly обнаружили 23 уязвимости в коде встроенного ПО UEFI, используемом крупнейшими мировыми производителями устройств.

По данным исследователей, уязвимости высокой степени серьезности могут затронуть миллионы корпоративных устройств, таких как ноутбуки, серверы, маршрутизаторы, сетевые устройства, промышленные системы управления (ICS) и периферийные вычислительные устройства от более чем 25 поставщиков, включая HP, Lenovo, Fujitsu, Microsoft, Intel, Dell, Bull (Atos) и Siemens.

Ошибки содержатся в прошивке InsydeH2O UEFI, предоставленной Insyde Software и используемой затронутыми поставщиками. Основная причина проблемы была обнаружена в эталонном коде, который связан с InsydeH2O. Все пострадавшие от уязвимости поставщики использовали SDK-прошивки на основе Insyde для разработки своих частей кода.

Уязвимости в основном связаны с режимом управления системой (SMM) и могут привести к выполнению произвольного кода с повышенными привилегиями. Злоумышленник с привилегированным доступом пользователя к целевой системе может использовать уязвимости для установки вредоносного ПО с высокой устойчивостью. Баги позволяют ему также обойти антивирусные решения, безопасную загрузку и средства защиты на основе виртуализации.

Активная эксплуатация всех обнаруженных баг не может быть обнаружена системами контроля целостности прошивки из-за ограничений в измерениях Trusted Platform Module (TPM). Решения для удаленной аттестации работоспособности устройств не обнаружат уязвимые системы из-за конструктивных ограничений видимости среды выполнения прошивки.

Первоначально уязвимости были обнаружены на устройствах Fujitsu, но более тщательный анализ показал, что это проблема куда более серьезна и затрагивает прошивки на основе Insyde. Fujitsu была уведомлена об этом в сентябре, а затем Binarly работала с CERT/CC и Службой прошивки поставщиков Linux (LVFS) для выявления и уведомления других затронутых поставщиков.

Insyde исправила уязвимости и выпустила соответствующие рекомендации по безопасности. Но, как мы понимаем, для их имплементации в ПО производителей потребуется время. Технические подробности об ошибках обещают выкатить в в ближайшие дни.

​​31 января неизвестные хакеры, инициировавшие кампанию LeakTheAnalyst, о которой мы писали, анонсировали новую утечку, отметив, что новой жертвой могут быть правительственные структуры или военные.

А на следующий день хакеры по всей видимости слили конфиденциальные документы и файлы, касающиеся вооруженных сил Великобритании.

Похоже что, вечер перестает быть томным.

- Партнёрский пост -

В поисках надёжного корпоративного файрвола следующего поколения?
Регистрируйтесь на вебинар «Всё о FortiGate 2022 опыт известных компаний, реальные кейсы», который пройдет 10 февраля в 12:00.

Узнайте обо всех преимуществах межсетевого экрана FortiGate. Практический опыт и реальные кейсы за 45 минут

На этом вебинаре:
🔹 узнаете как работает контроль приложений и сайтов
🔹 научитесь контролировать файлообменники с привязкой пользователей по AD
🔹 покажем как при помощи FortiGate настроить VPN
🔹 расскажем как быстро и безопасно соединить несколько офисов при помощи SD-WAN
🔹 объясним как обеспечить безопасность удаленных пользователей с помощью FortiClient
🔹 разберемся как внедрить многофакторную аутентификацию при помощи FortiToken и FortiAuthenticator
🔹 покажем как при помощи FortiAnalyzer легко настроить сбор и анализ логов для отчетности
✅ услышите ответы на ваши вопросы

Регистрируйтесь на вебинар: «Всё о FortiGate 2022 опыт известных компаний, реальные кейсы» ⏩ https://clck.ru/aocmZ

Группа хактивистов Адалат Али («Правосудие Али») дважды за неделю взломали Национальный телеканал Ирана, который принадлежит Радиовещательной компании Исламской Республики Иран (IRIB).

Инцидент произошел 1 февраля и был напрямую связан с Telewebion, представляющую собой веб-платформу потокового телевидения и радио IRIB. Компания признала инцидент, выпустив соответствующее заявление.

Прямая трансляция футбольного матча Иран-ОАЭ была прервана 50-секундным видео провокационного содержания, в котором бывшие правители Республики пропагандировали протест против правящего режима Хаменеи. Не будем пересказывать, можете сами увидеть. Причем ролик повторялся с различными интервалами в течение нескольких часов, прежде чем Telewebion восстановил управлением над платформой. 

Пикантности ситуации придает тот факт, что это уже второй за неделю случай, когда хакеры прерывали трансляцию IRIB. Прошлая атака произошла 27 января, когда группа неизвестных хакеров в течение 10 секунд прокручивала по ТВ изображения главных иранских оппозиционеров Марьям и Масуда Раджави, лидеров организации моджахедов Халк (MKO), на фоне которых произносились радикальные протестные лозунги.

Что сказать, похоже, что среди Unit8200 появились настоящие фанаты иранского телевидения.

Подъехала порция обновлений от компаний, кто призван защищать спокойствие и бизнес клиентов в телекоммуникационном поле.

Японский поставщик решений по информационной безопасности Trend Micro исправил очередные две критические уязвимости, затрагивающие ряд ее продуктов линейки Hybrid Cloud Security.

Ошибки были обнаружены специалистами швейцарско-немецкой компании по кибербезопасности Modzero, которая выпустила соответствующие рекомендации и PoC-эксплойты в тот же день, когда Trend Micro объявила об исправлениях.

Уязвимости отслеживаются как CVE-2022-23119 и CVE-2022-23120, влияют на решения Deep Security и Cloud One для обеспечения безопасности рабочих нагрузок, в частности на компонент агента Linux.

Исследователи Modzero обнаружили, что Deep Security Agent для Linux подвержен уязвимости обхода каталога, которая позволяет злоумышленнику читать произвольные файлы, а также использовать ошибку внедрения кода, которую можно применить для повышения привилегий и выполнения команд от пользователя root. Однако для реализации коварного замысла необходимо иметь доступ к целевой системе, а также при условии что агент не был активирован или настроен.

В рекомендациях Modzero также упоминается, что с Deep Security Agent поставляется закодированный X.509 сертификат авторизации по умолчанию и соответствующий закрытый ключ. Сертификат используется для связи с сервером до активации агента. Поскольку этот сертификат поставляется с закрытым ключом, злоумышленник может создать и подписать свой собственный сертификат сервера, а также имитировать сервер и отправлять команды клиентскому программному обеспечению.

Разумеется Trend Micro проинформировала клиентов об ошибках и тянуть с обновлениями не стоит, так как уязвимости в продуктах японской компании уже не раз использовались злоумышленниками в дикой природе, особенно недостатки в продуктах Apex One.

Параллельно работу над ошибками провела антивирусная компания ESET, которая устранила уязвимость локального повышения привилегий CVE-2021-37852, влияющую на клиентов Windows.

Как говорится в бюллетене по безопасности злоумышленник может воспользоваться этой уязвимостью, чтобы неправомерно использовать функцию сканирования AMSI для повышения привилегий в определенных сценариях.

Продукты, подверженные уязвимости, включают несколько версий ESET NOD32 Antivirus, Internet Security, Smart Security и Smart Security Premium, Endpoint Antivirus и Endpoint Security для Windows, Server Security и File Security для Windows Server, Server Security для Azure, Security для SharePoint Server и Mail Security для IBM Domino и для Exchange Server. ESET выпустила серию исправлений для решения этой проблемы еще в декабре 2021 года, а в январе 2022 вышли патчи для более старых версий продуктов компании.

Список конечно внушительный, но в компании ESET заверили, что в природе не существует эксплойтов, использующих эту уязвимость. Это кончено не может не радовать, но пренебрегать своевременными обновлениями все же не нужно.

После публикации журналистамии NY расследования, о котором мы упоминали, Федеральное бюро расследований США подтвердило приобретение шпионского ПО Pegasus от NSO Group.

Все это случилось сразу после того, как PegasusGate таким же образом накрыл, в том числе и израильских силовиков, которые публично покаялись и признались, что неправомерно использовали спецсофт для слежки за телефонами своих граждан, о чем мы также сообщали.

Как мы и изначально предполагали, выяснить, для каких целей и как он использовался софт американскими силовиками вряд ли получится.

Свой опрометчивый шаг ФБР объяснило тем, что лицензия на Pegasus им была необходима для научных целей: чтобы «быть в курсе новых технологий и мастерства». Агентство добавило в заявлении, что оно получило ограниченную лицензию от израильской фирмы «только для тестирования и оценки продукта» и не применяло его в своих расследованиях.

Кончено, агентство лукавит и, пожалуй, не обманывает, но явно не договаривает.

Безусловно, в следственных или прочих официальных бумагах вряд ли удастся найти какие-либо упоминания о Pegasus или взломах, но другое дело применение софта, скажем так, в оперативных целях, результаты такой работы докладываются особым порядком и, соответсвенно, грифом.

Отметим, что компетенция ФБР ограничена исключительно внутренней юрисдикцией и распространяется на граждан страны. В данном случае сомнительным в принципе выглядит любая закупка такого софта даже для тестирования, ведь результатом таких процессов должен стать аналогичный продукт.

С другой стороны, у США есть разведка и еще десяток спецслужб, задачи которых и заключаются в изучении передовых технологий в национальных интересах. Полагаем и в NSO у американской разведки были свои «глаза и уши».

ФБР не сообщают официально, сколько и когда агентство заплатило NSO Group за Pegasus, но журналисты The New York Times называют сумму в размере перечисленных в 2019 году $5 млн. При этом The Guardian добавили со ссылкой на собственный источник, что лицензия продлялась еще за 4 миллиона долларов (видимо времени на изучение не хватило).

Мало того, что таким образом США серьезно финансировали систему незаконной слежки за пользователями и инструменты нарушения прав человека, за которые они так сильно топят, но, как мы полагаем, применяли Pegasus в необходимых случаях, к примеру, за наблюдением за трампистами в ходе протестов у здания Капитолия США, переросших в вооружённое столкновение.

Д - Демократия.

​👨🏻‍💻 Бесплатные курсы на русском языке: Cisco ССNA 200-301 и Comp TIA A+.

🖖🏻 Приветствую тебя user_name.

• Каждая компания вне зависимости от того, какие функции и цели она преследует, состоит из локальной вычислительной сети (LAN). LAN – это фундамент, без которого организация не может существовать. Локальная сеть отвечает за взаимодействие сотрудников между собой или с интернетом, автоматизацию работы, предоставление услуг клиентам.

• Пентестеру необходимо знать предполагаемую структуру, средства защиты и вид оборудования. Очень часто приходится действовать по принципу «черного ящика». Следовательно, надо быть готовыми к любым сюрпризам, а также знать особенности крупных поставщиков сетевого оборудования (Cisco, Juniper, Huawei). Именно данные устройства будут составлять костяк любой продвинутой сети.

• Для изучения сетевых технологий и основ сетей, в нашем канале опубликовано достаточно материала. Сегодня мы дополним этот список полезными и бесплатными курсами на русском языке.

Курс ССNA 200-301
➖ Урок 1 (Сертификация Cisco)
➖ Урок 2 (Switch & Router)
➖ Урок 3 (Точки доступа)
➖ Урок 4 (Firewalls)
➖ Урок 5 (скорость и объем)
➖ Урок 6 (Кабели)
➖ Урок 7 (методы коммуникаций)
➖ Урок 8 (Маска подсети)
➖ Урок 9 (Default gateway & DNS Server)
➖ Урок 10 (NAT, Public & Private addresses)
➖ Урок 11 (виды IP коммуникаций)
➖ Урок 12 (протоколы TCP, UDP, ICMP)
➖ Урок 13 (Инструменты инженера)
➖ Урок 14 (Distribution switches)
➖ Урок 15 (Модели OSI и TCP)
➖ Урок 16 (введение в IOS)
➖ Урок 17 (подключение по консоли)
➖ Урок 18 (Режимы IOS)
➖ Урок 19 (Базовые команды)
➖ Урок 20 (Файловая система IOS)
➖ Урок 21 (Базовая конфигурация)
➖ Урок 22 (SSH)
➖ Урок 23 (Interface Syntax)
➖ Урок 24 (Switching fundamentals)
➖ Урок 25 (STP Protocol)
➖ Урок 26 (STP root bridge)
➖ Урок 27 (STP Best route)
➖ Урок 28 (Настройка STP)
➖ Урок 29 (STP portfast & BPDU Guard)
➖ Урок 30 (L2 Security)
➖ Урок 31 (Etherchannel)
➖ Урок 32 (Etherchannel config)
➖ Урок 33 (Лицензирование IOS)
➖ Урок 34 (Таблица маршрутизации)

Курс Comp TIA A+
➖ Урок 1 (Принцип работы компьютера)
➖ Урок 2 (Биос)
➖ Урок 3 (Чипсет)
➖ Урок 4 (Слоты)
➖ Урок 5 (Оперативная память)
➖ Урок 6 (Карты расширения)
➖ Урок 7 (Устройства хранения данных)
➖ Урок 8 (Процессор)
➖ Урок 9 (Коннекторы)
➖ Урок 10 (Блок питания)
➖ Урок 11 (Индивидуальная конфигурация)
➖ Урок 12 (Виды экранов)
➖ Урок 13 (Кабели и адаптеры)
➖ Урок 14 (Периферийные устройства)
➖ Урок 15 (Принтеры)
➖ Урок 16 (Обслуживание принтеров)
➖ Урок 17 (Операционные системы)
➖ Урок 18 (Методы загрузки)
➖ Урок 19 (Разделы и файловые системы)

📌 Дополнительная информация: https://yangx.top/Social_engineering/1648

‼️ Еще больше материала, доступно по хештегам: #Сети #tcpdump #Nmap #Cisco #Сети #WireShark. А так же, делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.

Разработчики Cisco исправили ошибки в VPN-маршрутизаторах Small Business серий RV160, RV260, RV340 и RV345. Некоторые из них могли привести к выполнению произвольного кода с привилегиями root.

Самая серьезная дыра — это ошибка удаленного выполнения кода CVE-2022-20699 (с оценкой CVSS 10,0). Уязвимость в модуле SSL VPN гигабитных VPN-маршрутизаторов Cisco Small Business RV340, RV340W, RV345 и RV345P может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код на уязвимом устройстве.

Основной причиной уязвимости являются недостаточная проверка границ, выполняемая при обработке определенных HTTP-запросов. Злоумышленник может воспользоваться этой уязвимостью, отправив вредоносные HTTP-запросы на уязвимое устройство, выступающее в роли шлюза SSL VPN. Успешный эксплойт может позволить злоумышленнику выполнить код с привилегиями root.

Компания также устранила две критические проблемы в веб-интерфейсе управления маршрутизаторами Small Business RV: CVE-2022-20700 (с оценкой CVSS 10) и CVE-2022-20701 (с оценкой CVSS 9,0).

Эти уязвимости связаны с недостаточной эффективностью механизмов принудительной авторизации. Злоумышленник может воспользоваться багами, отправив определенные команды на уязвимое устройство. Успешный эксплойт может позволить злоумышленнику повысить привилегии до root и выполнять произвольные команды в уязвимой системе». читает рекомендацию.

Среди других исправлены также критические уязвимости CVE-2022-20708 (с оценкой CVSS 10,0) и CVE-2022-20703 (с оценкой CVSS 9,3), которые были связаны с внедрением команд и обходом проверки цифровой подписи соответственно.

Прокачены и другие уязвимости высокой и средней степени серьезности, которые позволяли выполнить произвольный код или команды, вызвать состояние отказа в обслуживании (DoS), получить частичные административные привилегии, просмотреть или изменить информацию, перезаписать или загрузить определенные файлы.

Необходимо поскорее накатить обновления для линейки Cisco Small Business, ведь PoC под некоторых серьезные баги уже доступен общественности. При этом отметим, что обходные пути для решения этих проблем отсутствуют.

Специальный бэкдор xPack позволял APT Antlion оставаться незамеченными и иметь обширный доступ к сетям жертв в течение 18 месяцев в ходе кампании кибершпионажа в отношении финансовых организаций и производственных компаний в Тайване в период с 2020 по 2021 год.

Обнаружить и изучить зловред смогли исследователи из Symantec. Исследователи проанализировали одну из атак, проведенных APT, которая оставалась в скомпрометированной сети производственной организации в течение 175 дней. В другой атаке на финансовую организацию группа APT провела 250 дней в сети цели. Все благодаря использованию нестандартных и малоизвестных вредоносных программ.

xPack — это загрузчик .NET, который извлекает и выполняет зашифрованные AES полезные нагрузки, он поддерживает несколько команд. Пароль для дешифрования предоставляется в виде аргумента командной строки (строка в кодировке Base64), а бэкдор xPack может работать как отдельное приложение или как служба (вариант xPackSvc).

Бэкдор позволял злоумышленникам удаленно запускать команды WMI, использовать эксплойты EternalBlue и подключать общие ресурсы через SMB для передачи данных на C2. Злоумышленники также использовали вредоносное ПО для просмотра веб-страниц, вероятно, используя его в качестве прокси-сервера для маскировки своего IP-адреса.

В настоящее время первоначальный вектор заражения не ясен. Однако в одной из атак они заметили, что злоумышленники использовали службу MSSQL для выполнения системных команд.

И похоже, что вредоносное ПО xPack и связанная с ним полезная нагрузка использовались для первоначального доступа, выполнения системных команд, последующего удаления вредоносных программ и инструментов, а также подготовки данных для эксфильтрации. Помимо прочего злоумышленники также использовали специальный кейлоггер и три пользовательских загрузчика.

Исследователи Symantec обнаружили следующие специальные инструменты, используемые Antlion в этой кампании: загрузчики пользовательский загрузчик EHAGBPSL, клиентский загрузчик JpgRun, собственный загрузчик CheckID, инструменты NetSessionEnum и ENCODE MMC, а также несколько готовых и самостоятельных инструментов (LoL) (PowerShell, WMIC, ProcDump, LSASS и PsExec).

Для повышения привилегий в системе и запуска своего бэкдора злоумышленники использовали CVE-2019-1458. Применяли также WinRAR для кражи данных и пакетные сценарии для автоматизации процесса сбора данных.  Кроме того, как выяснили исследователи, злоумышленники периодически возвращались в скомпрометированную сеть для запуска xPack и кражи учетных данных.

Symantec полагают, что Antlion активен в сфере кибершпионажа по крайней мере с 2011 года. Интерес актора к тайваньским фирмам и TTP указывают, по мнению исследователей, на его связь с КНР, а характер деятельности свидетельствует о кооперации с другими АРТ, которым могла передаваться для дальнейшей работы добытая Antlion информация об учетных данных.

Специалисты из небольшой американской инфосек компании Volexity обнаружили далеко не маленькую угрозу информационной безопасности, да не а бы кого, а новую китайскую APT, которая посягнула на конфиденциальность представителей Европейского правительства.

Специалистами установлено, что мишенью китайских хакеров являлись корпоративные электронные адреса веб-почты Zimbra, где использовалась 0-day уязвимость нулевого дня, для получения доступа к почтовым ящикам правительственных организаций европейских государств и медиа-агентств.

Атаки были обнаружены еще в прошлом месяце с соответствующим уведомлением Zimbra. Однако компания до сих пор не выпустила патч для своего продукта. Кроме того, Volexity выпустила технический отчет об инцидентах в надежде привлечь внимание к этой проблеме и позволить организациям, использующим почтовый сервер Zimbra, проверить, не стали ли они жертвами атак.

По данным Volexity, злоумышленники начали использовать этот 0-day c 14 декабря 2021, когда были обнаружены первоначальные атаки на некоторых из клиентов. Специалисты отметили, что атаки были разделены на два этапа. В первом случае хакеры отправляли безобидное электронное письмо, предназначенное для проведения разведки и определения того, активны ли учетные записи и открывают ли пользователи странные электронные письма от неизвестных адресов.

Фактическая атака происходила во втором электронном письме, когда хакеры включали ссылку в тело электронного письма. И если пользователи переходили по URL-адресу, то они попадали на удаленный веб-сайт, где вредоносный код JavaScript выполнял XSS-атаку на приложение веб-почты Zimbra их организации.

Уязвимости подвержены клиенты под управлением версий 8.8.15 P29 и P30 и позволяют злоумышленникам украсть файлы cookie сеанса Zimbra, а затем подключиться к учетной записи, откуда возможно получить доступ к электронной почте и осуществить последующие фишинговые рассылки контактам пользователя с заманчивым предложением загрузить вредоносное ПО.

В настоящее время к Интернету подключено более 33 000 серверов Zimbra и представители Volexity заявили, что нулевой день не затрагивает последнюю версию платформы Zimbra 9.x, а это означает, что поверхность атаки не такая большая, как предполагалось изначально.

Основываясь на инфраструктуре злоумышленника, используемой в этих атаках, исследователи по безопасности связали актора с APT китайского происхождения, которого назвали TEMP_Heretic.

Европол подтвердил новые кибератаки на объекты топливной сферы, на этот раз в Бельгии.

Инцидент произошел сразу после того, как на прошлой неделе в Германии в результате атак с использованием ransomware работа группы компаний Marquard & Bahls была основательно парализована, фактически спровоцировав топливный кризис в стране, о чем мы уже писали, если помните.

Бельгийская прокуратура уже начала расследование взлома нефтяных объектов на морских путях страны. Одной из главных жертв, по-видимому, стал трансграничный голландско-бельгийский центр торговли нефтью Амстердам-Роттердам-Антверпен, где атаке подверглись ИТ-системы компании. Кроме того, под удар попал SEA-Tank Terminal в Антверпене.

Согласно сообщению AFP, злоумышленникам удалось приостановить разгрузку барж в пострадавших европейских портах. По сути, операционная система перестала не работать.

Похоже, что в Европе назревает свой MiniPipeline.

Похоже, что для Европы настала черная полоса, прежде всего, в вопросах ИБ. Сразу вслед за Германией и Бельгией с вымогателями познакомились и Швейцарцы.

Swissport International подверглась атаке ransomware, в результате которой произошли сбои авиасообщения.

Швейцарская компания предоставляет транспортные услуги в 310 аэропортах 50 стран мира. Ежегодно авиаперевозчик обслуживает 282 миллиона пассажиров и 4,8 миллиона тонн грузов, что делает его жизненно важным звеном в европейской и общемировой схеме авиаперевозок.

Атака оперативно была в значительной степени локализована, начаты работы по восстановлению IT-систем. Swissport не сообщали подробностей, и не раскрывали актора. Компания нет установила факта хищения конфиденциальных сведений. На данный момент ни одна группа вымогателей не заявила об атаке на Swissport и не поместила их на DLS.

Но, уверены, это обязательно произойдет. Как и новые более дерзкие нападения, которые, как мы ранее предполагали, будут предприниматься хакерами в ответ на операции спецслужб и все большее давление на бизнес ransomware.

Американский медиагигант News Corp, владельцем которого является Руперт Мердок, стал жертвой целевой кибератаки. Необходимые документы об инциденте направлены в SEC.

News Corp признала, что хакерам удалось эксфильтровать корпоративные данные, при этом, согласно официальному заявлению, клиентская и финансовая информация скомпрометирована не была. Среди пострадавших активов холдинга: Wall Street Journal, Dow Jones, New York Post, филиалы в Великобритании и штаб-квартира News Corp. В ходе атаки злоумышленники получили доступ к электронной почте и документам сотрудников и журналистов.

Тем не менее, медиагигант, заявил, что не может оценить финансовые последствия инцидента, и отметил, что его полис страхования кибер-рисков может не покрыть все убытки.

К расследованию были привлечены специалисты Mandiant, которые отмониторили вредоносную активность в январе 2022 года.

По оценкам Mandiant, актор связан с Китаем, и, вероятно, причастен к шпионской деятельности для сбора разведданных. Впрочем, обвинения КНР в шпионаже за журналистами звучат уже лет как десять. Примечательно, что наряду с New York Time и Bloomberg, китайские АРТ взламывали Wall Street Journal еще в 2013 году.

Верить заголовкам мы не привыкли, подождем отчета. Но, к сожалению, тенденция такова, что последние расследования атрибутируют угрозы по принципу «пальца в небо».

Издание The Record, принадлежащее американской инфосек компании Recorded Future, дало статью по материалам интервью с представителем владельца ransomware ALPHV (BlackCat), о работе которой мы уже делали обзор.

А, главное интервьюер достойный - тот самый инфосек блогер и журналист Дмитрий Смилянец, которого в 2013 году с подельником приняли в Нидерландах, потом экстрадировали в США, где осудили в 2018 году и сразу освободили из зала суда (в то время как его подельник улетел на 12 лет тюрьмы).

Но, собственно, вернемся к интервью, в котором представитель BlackCat рассказал об истории группы, намерениях и планах на будущее. Пересказывать нету смыла, остановимся на главных деталях.

Во-первых, правильнее именовать группу ALPHV, именно под таким брендом хакеры двигаются в даркнете, BlackCat - по утверждению интервьюируемого было присвоено исследователями The Record.

Во-вторых, ALPHV подтвердили свои связи с REvil и DarkSide, предположения на счет которых высказывали исследователи MalwareHunterTeam, но достаточно уклончиво или даже лукаво.

Но мы знаем, что в инфосеке на этот счет есть другие теории: по мнению аналитиков из Emsisoft, за ALPHV стоят те же разрабы, что занимались в свое время DarkSide (BlackMatter). На этот счет ALPHV заверяют, что лишь пострадали от действий Emsisoft и правоохранителей, связанных с угоном инфраструктуры и утратой «клиентской базы» в результате выпуска декриптора.

Как отметил в интервью представитель ALPHV, новый бренд - это самостоятельная RaaS, а не продукт ребрендинга. Взяв лучшее от всех, владельцы ransomware, без преувеличения, считают себя the best of the best, полагая, что находятся в другой весовой категории нежели их коллеги по цеху Conti или LockBit.

Втретьих, BlackCat выстраивают сотрудничество исключительно с русскоязычными партнерами, а к настоящему времени и вовсе содержат их на испытательном периоде, по результатам которого с некоторыми участниками картеля придется попрощаться.

BlackCat заявили The Record, что они не могут контролировать, на кого нападают их партнеры, и блокировать тех, кто не соответствует политике банды: под табу государственные, медицинские и образовательные учреждения.

Интересный момент - это работа с посредниками на переговорах по поводу выкупа. На практике переговорщики ускоряют процесс по выплате гонора вымогателям, за что наиболее отличившиеся получают персональные скидки от 20 до 40%, а весь такой процесс восстановления занимает не более 24 часов с момента первого контакта.

Полагаем ALPHV вызовут еще много дискуссий и полемик, но взять «второй условный» Colonial Pipeline новой группе уже удалось, немцы не дадут соврать.