Исследователи DevOps-компании JFrog раскрыли подробности уже исправленной серьезной уязвимости в Apache Cassandra, которая может быть использована для удаленного выполнения кода (RCE).

Apache Cassandra — это распределенная система управления базами данных NoSQL с открытым исходным кодом для управления очень большими объемами структурированных данных на обычных серверах.

Как отмечают исследователи, уязвимость в системе безопасности Apache достаточно легко использовать, но, к счастью, проявляется только в нестандартных конфигурациях Cassandra.

CVE-2021-44521 (оценка CVSS: 8,4) связана с конкретным сценарием, в котором включена конфигурация определяемых пользователем функций (UDF), что позволяет злоумышленнику эффективно использовать движок Nashorn JavaScript, чтобы выйти из песочницы и добиться выполнения ненадежного кода.

К такой конфигурации относятся следующие параметры cassandra.yaml: enable user defined functions: true; enable scripted user defined functions: true; enable user defined functions threads: false.

Когда для параметра enable user defined functions hreads установлено значение false, все вызываемые UDF-функции выполняются в Cassandra daemon, у которого есть менеджер безопасности с некоторыми разрешениями. Тем самым позволяя злоумышленнику отключить менеджера безопасности, выйти из песочницы и запускать произвольные команды оболочки на сервере.

Пользователям Apache Cassandra рекомендуется обновиться до версий 3.0.26 , 3.11.12 и 4.0.2, чтобы избежать возможной эксплуатации. В новом исполнении для allow extra insecure udfs устанавливается по умолчанию значение false и блокируется отключение менеджера безопасности.

Исследователи из Secureworks подробно разобрали вредоносное ПО ShadowPad.

ShadowPad - сложный и модульный бэкдор: он извлекает информацию о хосте, выполняет команды, взаимодействует с файловой системой и реестром и развертывает новые модули для расширения функциональности.

В последние годы стал активно применяться многими китайскими АРТ. Как мы уже упоминали, ShadowPad, автором которого считается APT Winnti, используется по меньшей мере пятью китайскими хакерскими группами.

ShadowPad имеет заметные сходства с вредоносным ПО PlugX, которое, в свою очередь, использовалось в резонансных атаках на NetSarang, CCleaner и ASUS. Хотя первоначальные кампании по доставке ShadowPad были связаны с актором, отслеживаемым как Bronze Atlas, также известным как Barium, связанной с Chengdu 404, позже после 2019 года он использовался несколькими китайскими АРТ.

ShadowPad в своей работе применяет специальный механизм упаковки под названием ScatterBee, который используется для запутывания вредоносных 32-битных и 64-битных полезных нагрузок.

Полезные нагрузки развертываются на хосте либо в зашифрованном виде с помощью загрузчика DLL, либо встраиваются в отдельный файл вместе с загрузчиком DLL, который затем расшифровывает и выполняет встроенную полезную нагрузку ShadowPad в памяти с использованием специального алгоритма дешифрования, адаптированного к версии вредоносного ПО.

Эти загрузчики DLL запускают вредоносные программы после того, как они были загружены легитимным исполняемым файлом, уязвимым для метода перехвата порядка поиска библиотек DLL.

Отдельные цепочки заражения, которые наблюдали Secureworks, также включали третий файл, содержащий зашифрованную полезную нагрузку ShadowPad, которая работает путем выполнения легитимного двоичного файла (например, BDReinit.exe или Oleview.exe) для загрузки DLL, которая и загружает и расшифровывает третий файл.

Кроме того, злоумышленник размещает файл DLL в каталог Windows System32 для загрузки службой настройки удаленного рабочего стола (SessionEnv), что в конечном итоге приводит к развертыванию Cobalt Strike на скомпрометированных системах.

В одном из расследовавшихся инцидентов с применением ShadowPad исследователи и вовсе наблюдали за тем, как хакеры вручную выполняли команды без применения автоматических сценариев.

По результатам своей аналитики Secureworks, предположили применение ShadowPad несколькими АРТ, включая Bronze Geneva (Hellsing), Bronze Butler (Tick) и Bronze Huntley (Tonto Team), которые действуют в интересах сил стратегической поддержки Народно-освободительной армии (PLASSF).

Исследователи пришли к выводу о том, что вредоносное ПО было разработано злоумышленниками, связанными с Bronze Atlas, а затем передано АРТ, действующим в интересах Министерства государственной безопасности КНР (MSS) и PLA примерно в 2019 году. Как мы и предполагали.

​❗️ Релиз Kali Linux 2022.1

Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной безопасности: от средств для тестирования web-приложений и проникновения в беспроводные сети до программ для считывания данных с идентификационных RFID чипов.

🖖🏻 Приветствую тебя user_name.

• Состоялся релиз дистрибутива Kali Linux 2022.1. Для загрузки подготовлены несколько вариантов iso-образов, размером 471 МБ, 2.8 ГБ, 3.5 ГБ и 9.4 ГБ — это полная сборка "kali-linux-everything", включающая все имеющиеся пакеты (кроме Kaboxer) для самодостаточной установки на системы, не имеющие подключения к сети. Размер сборки 9.4 ГБ и она доступна для загрузки только через BitTorrent.

В новом выпуске:
• В состав сборок для архитектуры ARM добавлены пакеты feroxbuster и ghidra. Решены проблемы с работой Bluetooth на платах Raspberry Pi.
• Улучшена совместимость с платформами виртуализации VMware при запуске #Kali в гостевой системе с использованием рабочего стола на базе i3 (kali-desktop-i3). В подобных окружениях включена по умолчанию поддержка буфера обмена и интерфейса drag&drop.

Добавлены новые инструменты:
• dnsx - инструментарий для работы с DNS, позволяющий разом отправлять запросы на несколько DNS-серверов.
• email2phonenumber - #OSINT инструмент для определения телефонного номера по email.
• naabu - простая утилита для сканирования портов.
• nuclei - инструмент для сканирования сети.
• PoshC2 - фреймворк для организации управления с серверов Command & Control (C2), поддерживающий работу через прокси.
• proxify - прокси для HTTP/HTTPS, позволяющий перехватывать и манипулировать трафиком.

• Обновлено оформление процесса загрузки, экрана входа в систему и инсталлятора. Переработано загрузочное меню. Предложены новые обои для рабочего стола с символикой дистрибутива. Переделана страница, показываемая по умолчанию в браузере, на которую добавлены ссылки на документацию и утилиты, а также реализована функция поиска.

• Одновременно подготовлен релиз NetHunter 2022.1, о котором можно прочитать тут: https://www.kali.org/get-kali/#kali-mobile

• Подробное описание релиза: https://www.kali.org/blog/kali-linux-2022-1-release/

‼️ Дополнительную информацию ты можешь найти по хештегу #kali. Твой S.E.

Наверное прозвучит забавно и не так пафосно как мы привыкли. Но! Нигерийские хакеры … Да, да и такие есть, ведут активную противоправную деятельность в многолетних атаках в сфере авиации и транспорта организаций Северной Америки, Европы и Ближнего Востока.

О детальности злоумышленников поведали исследователи из Proofpoint, которые глубоко изучили формы и методы группировки TA2541 за несколько лет. По мнению экспертов хакеры нацелены исключительно на аэрокосмическую, авиационную, оборонную, производственную и транспортную отрасли. Группа активна как минимум с 2017 года и использует темы, связанные с авиацией, транспортом и путешествиями, для заражения целей различными троянами удаленного доступа (RAT).

Нигерийские хакеры с течением времени демонстрируют последовательные TTP, как правило, отправляя фишинговые электронные письма, содержащие вложения Word с поддержкой макросов, для развертывания вредоносных полезных нагрузок. У них есть тактика и они ее придерживаются и видимо тактика работает раз группа ведет себя аналогично на протяжении 5 лет.

Однако в недавних атаках группа начала часто использовать ссылки в облачных сервисах, включая Google Drive, OneDrive, GitHub, Pastetext и Sharetext. Недавно обнаруженные URL-адреса Google Drive привели к вредоносному файлу VBS, предназначенному для получения полезной нагрузки с других платформ.

Также в атаках используются сценарии PowerShell и инструментарии управления Windows (WMI) для запроса продуктов безопасности, которые злоумышленник пытается отключить. TA2541 также собирает системную информацию перед установкой RAT и во время атаки обычно отправляет более 10 000 сообщений за раз.

Группа оценивается специалистами как слабо квалифицированная из-за того, что ей используются публичные семейства популярных вредоносных программ 2017 года. Но в последнее время злоумышленники предпочитают AsyncRAT, NetWire, Parallax и WSH RAT наряду с Revenge RAT, vjw0rm, Luminosity Link, njRAT и другими популярными сборками.

Тем не менее Proofpoint подчеркивает, что все вредоносные программы, используемые в кампаниях нигерийских хакеров, могут использоваться для сбора информации и конечная цель злоумышленника на данный момент остается неизвестной.

CrowdStrike представили отчет о глобальных угрозах по итогам 2021 года.

Как заключили эксперты, в 2021 году значительно увеличилось количество утечек данных и интерактивных вторжений, связанных с ransomware.

Количество инцидентов с ransomware, связанных с утечкой данных, увеличилось с 1474 в 2020 году до 2686 в 2021 году, что представляет собой увеличение на 82%. При этом наиболее пострадавшими от атак вымогателей в 2021 году стали объекты промышленности, машиностроения, производства и IT.

Число интерактивных хакерских вторжений в 2021 году увеличилось на 45%, при этом 62% атак не были связаны с вредоносным ПО, а лишь с физическими манипуляциями. Почти половина интерактивных вторжений была совершена киберпреступниками, ориентированными на получение прибыли eCrime.

При этом среднее время взлома в ходе атак eCrime (время, которое потребовалось злоумышленнику для горизонтального перехода от первоначально скомпрометированной системы к другому хосту в сети жертвы) составило 1 час 38 минут.

Несмотря на то, что многие банды ransomware прекратили свою деятельность в 2021 году, общее количество действующих семейств программ-вымогателей тем не менее увеличилось. Если в прошлом году CrowdStrike добавила в свою базу данных 21 нового названного противника, то теперь компания отслеживает в общей сложности более 170 групп угроз.

Отдельными блоками в отчете представлен обзор акторов, связанных с Ираном и Китаем, что по большей части несет более пропагандистский, нежели исследовательский взгляд, когда нужные цифры подводятся под нужные факты.

Относительно активности проиранских групп CrowdStrike делает акцент на применяемой тактике «блокировки и утечки» в ходе нападений на организации в США, Израиле и регионе MENA. Мнение исследователей в итоге сводится к тому, что действующие в интересах Ирана как преступные или хактивистские группы, акторы будут только наращивать свою активность в отношении целевых стран.

Китай в отчете отмечен лидером по эксплуатации уязвимостей: количество использованных новых дыр в 2021 году, составило 12, что в шесть раз больше, чем в 2020 году. Ранее китайские хакеры нередко разрабатывали эксплойты для целевых вторжений, в основе которых лежало взаимодействие с пользователем (открытие вредоносных документов, доступ к веб-сайтам и пр.), но в 2021 году они, сконцентрировались на баги в устройствах или службах.

Без внимания, как вы поняли, не оставили и «русских хакеров», которым посвящена целая страница антирейтинга. Но как говорится, боятся - значит уважают.

Отбросив всю лирику, в целом общие тренды представлены достаточно наглядно, полный отчет доступен здесь.

После серии международных скандалов, связанных с расследованием в отношении высокопоставленных клиентов NSO Group и не менее представительных жертв шпионского ПО Pegasus, волна уголовных, административных и прочих мер возмездия должна накрыть дистрибьюторов и поставщиков специализированного софта.

На днях в ходе расследования американских силовиков свою вину признал мексиканский бизнесмен, который обвиняется в сговоре с целью продажи и использования спецтехнологий от разработчиков из Италии, Израиля и других стран.

Карлос Герреро, проживавший в Чула-Виста (Калифорния, США) родом из Тихуаны (Мексика) владел и управлял несколькими компаниями в США и Мексике, через которые, согласно следственным документам, реализовывал средства наблюдения мексиканским государственным, коммерческим и частным клиентам.

В период с 2014 по 2015 год он поставлял на американский рынок технологии мониринга геолокации, разработанной итальянской компанией, а позже продавал оборудование и услуги израильских компаний.

Несмотря на то, что официально наименования поставщиков шпионского ПО не разглашаются, но, скорее всего, ими являются ныне прекратившая свою деятельность итальянская Hacking Team и находящаяся на стадии банкротства израильская NSO Group.

Сообщается также, что в 2016 и 2017 годах Герреро также продавал глушилки сигнала, решения для контроля Wi-Fi, перехватчики IMSI, технологии взлома переписки WhatsApp потенциальным клиентам в США и Мексике.

Герреро признал, что ему было известно о том, что в некоторых случаях его мексиканские правительственные клиенты планировали использовать оборудование в политических и коммерческих целях, и не имели отношения к правоохранительному блоку.

Ему также вменяется реализованный по заказу мэра одного из городов Мексики несанкционированный доступ к учетным записям Twitter, Hotmail и iCloud его политического соперника.

При этом Герреро сам использовал приобретенное у производителя оборудование для перехвата телефонных звонков американского соперника в Южной Калифорнии и в Мексике. Кроме того, его компания помогла мексиканскому предприятию контролировать телефон и электронную почту торгового представителя из Флориды, за что он получил гонорар в размере 25 000 долларов.

Мексиканца, конечно, отправят по этапу, что знаменует начавшуюся охоту на дилеров второго эшелона, с подачи которых спецтехнологии уже реализовывались куда только можно себе представить.

Крупнейшие канадские банки Royal Bank of Canada (RBC), BMO (Bank of Montreal), Scotiabank, TD Bank Canada и Canadian Imperial Bank of Commerce (CIBC) массово ушли в оффлайн, заблокировав все онлайн сервисы и операции, по загадочным причинам.

Представители банковского сектора признали инцидент, не сообщая деталей и ссылаясь на технические проблемы. Несмотря на последующие заявления о восстановлении онлайн-сервисов, клиенты РБК и BMO продолжили сталкиваться с проблемами в обслуживании.

При этом CIBC не признал каких-либо проблем с их онлайн-банкингом в принципе, а пользователи банковского приложения TD Bank оказались заблокированы, что представители учреждения категорически отрицали. Многие клиенты также столкнулись с проблемами в работе банкоматов.

Причина массового сбоя до сих пор остается не известной. Но если взглянуть на это с другой стороны, то что-то может указывать на возможную связь инцидента с решением о введении премьер-министром Канады Трюдо в действие закона о чрезвычайных ситуациях на фоне продолжающихся протестов Конвоя свободы.

Если вспомнить ранее мы писали, как краудфандинговый сервис GiveSendGo был взломан сразу после перехода на платформу Конвоя Свободы для сбора пожертвований. Как мы помним, дальнобои фактически блокировали столицу страны Оттаву, после чего премьер Канады Джастин Трюдо свалил в неизвестном направлении.

Как рах в понедельник в Парламентском холме вице-премьер Христя Фриланд объяснила новые правила, которым должны следовать операторы платежных услуг. Новый закон наделяет широкими полномочиями Центр анализа финансовых операций и отчетов Канады (FINTRAC). Все краудфандинговые платформы и поставщики платежных услуг должны предоставлять в надзорный орган сведения обо всех операциях, а равно выполнять их директивы по блокировке подозрительных платежей.

Вполне вероятно, что взлом связан с блокировкой протестующими моста Амбассадор через реку Детройт, связывающего Канаду и США, через который проходит четверть грузооборота между странами. Американцы очень трепетно относятся к своим финансовым потерям. Блокировку моста, кстати, позже сняли.

Ну как-то вот так. Демократическое волеизъявление масс и сменяемость власти. Премьер-министр Канады Джастин Трюдо, сын премьера-министра Канады Пьера Эллиота Трюдо, не даст соврать, но и правды тоже не расскажет.

Группировка Moses Staff в очередной раз решила потрепать нервы израильским компаниям.

Специалистами установлено, что APT использует специальный многокомпонентный набор инструментов с целью осуществления шпионажа против своих целей в рамках новой кампании, направленной исключительно на израильские организации.

Известность группировка получила не так давно, а именно в конце 2021 года, когда атаковала три технологические компании Израиля . По мнению экспертов, Moses Staff спонсируется правительством Ирана, при этом помимо Израиля сообщалось об атаках на организации в Италии, Индии, Германии, Чили, Турции, ОАЭ и США.

В этом месяце группа хакеров использовала ранее недокументированный троян удаленного доступа (RAT) под названием StrifeWater, который маскируется под приложение Windows Calculator, чтобы избежать обнаружения.

Как говорят специалисты из FortiGuard Labs группа осуществляет деятельность с чрезвычайно низким уровнем обнаружения, что позволяло ей оставаться незамеченной длительное время. Внимательное изучение показало, что группа активна более года, т.е. намного раньше, чем была зафиксирована их первая активность.

Последняя злонамеренная активность группы включает в себя вектор атаки, который использует уязвимость ProxyShell на серверах Microsoft Exchange в качестве начального уровня заражения для развертывания двух веб-оболочек с последующей эксфильтрацией файлов данных Outlook (.PST) со взломанного сервера. Другие этапы уже осуществляют попытку кражи учетных данных путем сброса содержимого памяти критического процесса Windows (Lsass.exe), перед удалением и загрузкой бэкдора StrifeWater (broker.exe).

Установка, используемого для выполнения команд имплантата broker.exe, облегчается загрузчиком, который маскируется под «Службу быстрой остановки жестких дисков», получившим название DriveGuard (drvguard.exe). Кроме того, загрузчик отвечает за запуск контролирующего механизма («lic.dll»), который гарантирует, что его собственная служба никогда не прервется, путем перезапуска DriveGuard каждый раз, а также гарантирует, что загрузчик настроен на автоматический запуск при запуске системы.

Сам бэкдор может удалять себя с диска, делать снимки экрана и обновлять вредоносное ПО. StrifeWater также известен своими попытками оставаться незамеченным, выдавая себя за приложение Windows Calculator (calc.exe), а исследователи FortiGuard Labs вовсе обнаружили два более старых образца, датируемых концом декабря 2020 года, что позволяет предположить, что кампания работала в течение года.

Атрибуция Moses Staff основана на сходстве веб-оболочек, используемых в ранее раскрытых атаках, а также модели виктимологии.

Пока группа ориентирована на осуществление шпионской деятельности т.к. используют уязвимости нулевого дня для начальной стадии вторжения, но эксперты не исключают сценария когда группа начнет осуществлять деструктивные действия в отношении своих жертв. Собственно о чем и предупреждают эксперты - группа высоко мотивирована, способна и нацелена на нанесение ущерба израильским организациям.

Cisco устранили серьезную уязвимость, позволяющую удаленным злоумышленникам вывести из строя устройства Cisco Secure Email с помощью вредоносных сообщений электронной почты. Бага была обнаружена исследователями Rijksoverheid Dienst ICT Uitvoering (DICTU).


CVE-2022-20653 связана с недостаточной обработкой ошибок при разрешении имен DNS и затрагивает DNS-аутентификацию именованных объектов (DANE), программный компонент Cisco AsyncOS, используемый Cisco Secure Email для проверки электронной почты на наличие спама, фишинга, вредоносных программ и других угроз.

Злоумышленник, не прошедший проверку подлинности, может воспользоваться этой багой, отправив специально созданные электронные письма на уязвимые устройства, что позволяет ему сделать устройство недоступным для интерфейсов управления или обрабатывать дополнительные сообщения электронной почты в течение определенного периода времени, что приведет к DoS.

Группа реагирования на инциденты (PSIRT) заявила, что не обнаружила никаких доказательств злонамеренного использования в дикой природе. С оговоркой: до того, как в среду были опубликованы рекомендации по безопасности.

Эта проблема затрагивает только продукты Cisco ESA, работающие под управлением программного обеспечения AsyncOS, с включенной функцией DANE (которая отключена по умолчанию) и с нижестоящими почтовыми серверами, настроенными на отправку сообщений о возврате.

Чтобы предотвратить использование этой ошибки, клиенты могут настроить сообщения о возврате от Cisco ESA, а не от нижестоящих зависимых почтовых серверов. Понять, настроен ли DANE, проверьте на странице веб-интерфейса Mail Policies  >  Destination Controls  >  Add Destination  и проверьте, включен ли параметр DANE Support.

Компания выпустила исправления безопасности Cisco AsyncOS Software Release 13.5.4.102, а также обходные пути для устранения уязвимости.

​​Как мы все помним, в понедельник было объявлено о выявлении в Adobe Commerce и Magento RCE-уязвимости CVE-2022-24086, которая была экстренно закрыта внеочередным патчем.

А вчера Adobe добавили, что они обнаружили, что исправление можно обойти (CVE-2022-24087), и выпустили второй внеочередной патч. Сама по себе ситуация из разряда "не часто, но бывает".

Но есть одна пикантная особенность.

По сообществу расходится информация, что первоткрывателями CVE-2022-24087 являются швейцарские исследователи Eboda и Blaklis.

А пару часов назад Позитивы сообщили в Twitter, что они тоже обошли апдейт и передали информацию в Adobe (при этом указали, что были не первыми).

И вот нам интересно - укажут Adobe позитивовских экспертов в качестве авторов CVE наряду со швейцарцами? Или "тактично" промолчат и присоединятся к петушиному кутку, в котором уже сидят Citrix, а также SAP?

Intel устранили 18 уязвимостей высокой степени опасности в программном и микропрограммном обеспечении, большинство из которых могут способствовать повышению привилегий. Другие могут привести к раскрытию информации или отказу в обслуживании (DoS). 

Согласно представленным данным производителя, прошивка BIOS для некоторых процессоров Intel подвержена 10 уязвимостям повышения привилегий высокой степени серьезности.

Один из серьезных недостатков при этом обнаружен в микропрограмме набора микросхем Intel в службах серверной платформы (SPS), технологии активного управления (AMT) и контроллере управления питанием (PMC).

Проблемы высокой степени серьезности также были обнаружены в проекте с открытым исходным кодом Kernelflinger, компонентах Intel Quartus Prime, продуктах PROSet/Wireless WiFi и Killer WiFi, а также в AMT SDK, программном обеспечении для настройки и SCS, а также в расширениях BIOS Management Engine (MEBx).

Использование всех пропатченных уязвимостей требует локального доступа к целевому устройству.

Производитель выпустил в общей сложности 22 рекомендации по безопасности, в том числе семь с общим рейтингом серьезности «высокий». Кроме того, описываются более дюжины уязвимостей средней и низкой степени серьезности, которые компания устранила в этом месяце.

С одной стороны, учитывая широкое распространение программного и микропрограммного обеспечения Intel, уязвимости такого типа в большой долей вероятности могут быть весьма полезными для злоумышленников. 

Но статистика говорит об обратном. Так, в каталоге известных эксплуатируемых уязвимостей CISA с описанием эксплуатировавшихся за последнее десятилетие на деле более 370 уязвимостей сообщается лишь об одной уязвимости Intel (CVE-2017-5689).

Кстати, в прошлом году Intel исправила в общей сложности 226 уязвимостей в своих продуктах, при этом две уязвимости, исправленные в 2021 году, были оценены как критические, а 52 имели высокая степень серьезности.

Но не будем забывать о том, что это лишь официальная статистика.

Группа южнокорейских исследователей нашли метод восставновления файлов, зашифрованных с использованием ransomware Hive, не применяя при этом ключа дешифрования.

Четверо ученых кафедры финансовой информационной безопасности и кафедры информационной безопасности, криптологии и математики Сеульского университета Кукмин обнаружили в ходе изучения процесса шифрования Hive уязвимости. Это удалось во многом благодаря тому, что вымогатели используют их собственный алгоритм шифрования.

Hive шифрует файлы, выполняя XOR данных со случайным потоком ключей, который отличается для каждого файла. Но вот со случайностью не очень получилось, исследователи смогли найти способ угадывать случайный ключевой поток.

В результате чего им удалось восстановить большую часть главного ключа, который использовался в качестве основы для шифрования файлов жертвы. Разработанная ими методика восстанавливает около 95% главного ключа, Но главное, что такой ключ может расшифровать данные в диапазоне от 82% до 98%.

Работа исследователей кстати спонсировалась за счет гранта правительства Кореи и поддерживалась Корейским агентством информационной безопасности (KISA) и представлена в подробном техническом документе.

Теория теорией, а за практическую реализацию метода в настоящее время взялись специалисты Bitdefender и Kaspersky, которые обещают по результатам создать бесплатный дешифратор Hive на основе результатов корейских исследователей.

Что будет очень востребовано, ведь по состоянию на 16 октября 2021 года Hive RaaS стоит за атаками на 355 компаний, группа заняла 8 место в рейтинге наиболее успешных штаммов программ-вымогателей согласно доходам за 2021 год.

Путь к успеху - череда взлетов и падений, сейчас для Hive наступает последний из них, во всяком случае до того, как они смогут выкатить новый алгоритм.

Сразу после исправления обнаруженных на китайском хакерском конкурсе Tianfu Cup серьезных уязвимостей VMware выпускает новые. На этот раз - для устранения серьезной уязвимости, затрагивающей продукт NSX Data Center для сетевой виртуализации vSphere.

Обнаружить багу смогли Димитри Ди Кристофаро и Пшемек Решке из британской компании по тестированию на проникновение SECFORCE, причем в ходе пентеста VMware Cloud Director - решения, предназначенного для управления крупномасштабными облачными инфраструктурами.

Уязвимость внедрения оболочки интерфейса командной строки (CLI) CVE-2022-22945 в компоненте устройства NSX Edge продукта  имеет оценку CVSS 8,8. Она позволяет удаленному злоумышленнику выполнять произвольные команды операционной системы от имени пользователя root.

CVE-2022-22945 непосредственным образом влияет на компонент устройства NSX Edge, который представляет собой виртуальный маршрутизатор, расположенный на границе сети клиента и обеспечивающий связь между виртуальными центрами обработки данных и внешним миром.

Пользователи с правами администратора могут включить SSH на маршрутизаторе NSX Edge, что обеспечивает доступ к ограниченной оболочке Linux, которую можно использовать для настройки маршрутизатора. Эта оболочка позволяет выполнять только определенные команды для управления сетью. Уязвимость же позволяет выйти из этой локальной оболочки и получить корневую оболочку в базовой операционной системе.

Поэтому чтобы воспользоваться уязвимостью, злоумышленнику необходим SSH-доступ к целевому устройству, а также действительные учетные данные для любой учетной записи на устройстве.

Эксплуатация CVE-2022-22945 помимо получения неограниченного доступа к базовой операционной системе может позволить злоумышленнику установить вредоносное ПО на виртуальное устройство и получить неограниченный сетевой доступ к виртуальным серверам, в том числе для MitM-атак.

VMware исправила уязвимость в NSX Data Center для vSphere, выпустив версию 6.4.13. При этом стоит обратить внимание, что Cloud Foundation (NSX-V) также уязвим, однако исправление еще не подготовлено.

Подробное описание ошибки и последствий ее эксплуатации представлено в блоге SECFORCE.

Рекомендуем обновиться, а в дополнение к установке исправлений SECFORCE рекомендовал организациям убедиться, что доступ к службе SSH, работающей на маршрутизаторе NSX Edge, должен быть ограничен доверенными IP-адресами, если устройством необходимо управлять через Интернет, и не подвергается злонамеренным воздействиям из сети.

Более чем 3 миллионов сайтов содержат критическую уязвимость CVE-2022-0633 (оценка CVSS: 8,5) в плагине резервного копирования WordPress.

UpdraftPlus — это решение для резервного копирования и восстановления , способное выполнять полное, ручное или запланированное резервное копирование файлов, баз данных, плагинов и тем WordPress, которые затем можно восстановить через панель администратора WordPress.

Все версии UpdraftPlus с 1.16.7 по 1.22.2, то есть начиная с марта 2019 года, содержали уязвимость, вызванную отсутствием проверки уровня разрешений, которая позволяла ненадежным пользователям получать доступ к резервным копиям.

Спасибо следует сказать исследователю Марку-Александру Монпасу из Automattic, который обнаружил и сообщил об уязвимости 14 февраля.

В результате баги любой вошедший в систему пользователю установки WordPress с установленным UpdraftPlus может использовать привилегию загрузки существующей резервной копии — разрешения, которые должны были быть зарезервированы только для административных пользователей.

Помимо утечки паролей и других конфиденциальных данных, ошибка позволяет в некоторых случаях захватывать сайт, если злоумышленник сможет получить учетные данные базы данных из файла конфигурации и успешно получить доступ к базе данных сайта.

Пользователям подключаемого модуля UpdraftPlus рекомендуется обновить его как минимум до версии 1.22.3 (или 2.22.3 для версии Premium), чтобы избежать возможной эксплуатации. Кроме того, 17 февраля вышла 1.22.4, в которой исправлены ошибки, связанные с печатью параметров автоматического резервного копирования в PHP 8.

Репутация - тоже монетизируется.

И даже чужая, как в случае с NFT. На продажу в OpenSeas выставлена целая коллекция известных брендов ransomware. Последними забабахали группу вымогателей Conti NFT.

Можете сами оценить 👇👇👇

Если у вас старенький, дешевенький или не обновлённый Android-девайс, то спешим заверить, что ваш маленький телефончик может быть соучастникам далеко не маленькой ботсети, которую злоумышленники используют для регистрации одноразовых учетных записей.

Анализ сервисов проверки учетной записи с помощью SMS-телефона (Phone-Verified Account, PVA) привел к обнаружению мошеннической платформы, построенной на основе ботнета, включающего тысячи зараженных телефонов Android, использующего службы SMS PVA, которые как раз таки предоставляют пользователям альтернативные мобильные номера и позволяют регистрироваться в различных онлайн-сервисах.

Не для кого не секрет, что подобные услуги активно используются злоумышленниками для массовой регистрации одноразовых учетных записей или создания аккаунтов с подтвержденным телефоном с целью осуществления разного рода преступных действий.

О проблеме достаточно подробно изложили исследователи из Trend Micro в своем отчете, опубликованном на прошлой неделе.

По данным телеметрии большая часть случаев заражений приходится на Индонезию (47 357), за ней следуют Россия (16 157), Таиланд (11 196), Индия (8 109), Франция (5 548), Перу (4 915), Марокко ( 4822 человека), ЮАР (4413 человек), Украина (2920 человек) и Малайзия (2779 человек), а большинство скомпрометированных устройств — это бюджетные телефоны Android производителей Lava, ZTE, Mione, Meizu, Huawei, Oppo и HTC.

Не будем вдаваться в технические детали, но примечательный факт заключался в том, что исследователи выявили сервис состоящий из телефонов Android, зараженных вредоносным ПО для перехвата SMS, которое помимо случайной загрузки пользователем могло быть предварительно загружено на устройство во время производства, что подразумевает компрометацию в цепочке поставок. Кроме того, сервис предоставляет виртуальные номера для регистрации через API и владеет телефонными емкостями, охватывающими более 100 стран.

Вредоносное ПО остается малозаметным, так как собирает только те текстовые сообщения, которые соответствуют запрошенному приложению, что позволяет скрытно осуществлять эту деятельность в течение длительного времени.

Самое печальное, что сервисы SMS PVA в очередной раз подрывают целостность SMS-верификации как основного средства проверки аккаунта, а альтернатив на данный момент для большинства платформ, увы и ах, нет.