Если в мире произойдет киберапокалипсис, то первое с чего все начнется, так это с отключения средств связи. Собственно так и произошло в Португалии, когда львиная доля населения столкнулась с выводом из строя мобильных, голосовых и телевизионных сервисов Vodafone Portugal.

Как заявили в Vodafone Portugal большая часть ее служб передачи данных отключилась в одночасье после преднамеренной кибератаки, направленной на причинение ущерба и сбоя сервисов коммуникации. После атаки по-прежнему парализованы мобильные сети 4G и 5G компании, а также стационарные службы голосовой связи, телевидения, SMS и голосовые/цифровые автоответчики.

На данный момент восстановлены только услуги мобильной голосовой связи и Интернет, которые доступны исключительно в сети 3G практически на всей территории страны. Масштаб и последствия инцидента, предполагает тщательную и длительную работу над восстановлением всех остальных услуг, а также проведение соответствующего расследования.

В Vodafone заявили, что сложившаяся ситуация является крупнейшим инцидентом кибербезопасности, с которым когда-либо сталкивались и компания уже работает с властями над расследованием. Пока представители не торопятся с выводами, но судя по имеющимся доказательствам, данные клиентов, похоже, не были взломаны или скомпрометированы.

Vodafone Portugal не связывает инцидент с атакой программы-вымогателя, несмотря на наличие некоторых слухов в сети Интернет. Некоторые обсуждения обусловлены тем, что за последний месяц атаке банды вымогателей подверглись Impresa и Cofina - два крупнейших новостных агентства Португалии. Но банда вымогателей Lapsus$, которая стояла за этими атаками, не взяла на себя ответственность за сбой Vodafone Portugal ни в одном из своих онлайн-аккаунтов.

Пока воздержимся от конспирологических версий и подождем официальных заявлений от потерпевшей стороны, а также инфосек компании кто реализует incident response.

Mozilla выпустили Firefox 97 и исправили ошибку, которая позволяла получить админские права в Windows. Другие операционные системы не затронуты.

Уязвимость повышения привилегий высокой степени серьезности CVE-2022-22753 была обнаружена в службе обслуживания Mozilla. Это дополнительная служба Firefox и Thunderbird, которая делает возможным обновление приложений в фоновом режиме.

Служба предоставляет пользователям Firefox возможность автоматического обновления веб-браузера или почтового клиента в обход диалогового окна контроля учетных записей Windows (UAC).

Успешная эксплуатация ошибки Time-of-Check Time-of-Use может позволить злоумышленникам получить доступ на запись в произвольный каталог, в том числе к SYSTEM, и повысить свои привилегии до NT AUTHORITY\SYSTEM (самый высокий уровень привилегий в системе Windows).

Кроме того, выпуск Firefox 97 устраняет многочисленные ошибки безопасности памяти, обнаруженные разработчиками и сообществом Mozilla в Firefox 96 и Firefox ESR 91.5, которые могли быть при определенных условиях использованы для запуска произвольного кода.

Firefox 97 помимо прочего включает новые функции, например, поддержку нового стиля полос прокрутки в Windows 11, а также улучшения загрузки системных шрифтов macOS, которые ускоряют открытие и переключение на новые вкладки. Удалена возможность прямого создания PostScript для печати в Linux, однако функция доступна как подключаемая опция.

Поклонникам браузера рекомендуем накатить новую версию.

Давно мы не писали о северокорейской АРТ Kimsuki.

Но мастера фишинга, кибершпионажа и криптоворовства вернулись вновь в нашу ленту. На этот раз северокорейская хакерская группа отличилась в новой кампании, начавшейся 24 января 2022 года, которую исследовали аналитики ASEC (AhnLab).

Отличительной особенностью новой тактики стало использование стандартных RAT с открытым исходным кодом вкупе с их бэкдором Gold Dragon.

xRAT — это инструмент удаленного доступа и администрирования с открытым исходным кодом на GitHub. Вредоносная ПО реализует ряд типовых функций, таких как: кейлогер, удаленная оболочка, файловый менеджер, обратный прокси-сервер HTTPS, связь AES-128 и автоматизированная социальная инженерия.

Выбор общераспространенного арсенала вполне себе позволяет решать базовые разведывательные операции, не требуя особого подхода, что позволяет хакерам сосредоточить свои ресурсы на разработке вредоносного ПО для более поздних стадий. На этих этапах уже требуются более специализированные функции в зависимости от установленных в целевой системе решений безопасности. Кроме того, стандартные RAT затрудняют атрибуцию.

Собственно поэтому, подробнее остановимся на Gold Dragon. Это бэкдор второго уровня, который Kimsuky обычно развертывает после безфайловой атаки первого этапа на основе PowerShell, используя стеганографию.

Такой прием уже фигурировал в отчете Cybereason за 2020 год и исследовании Cisco Talos в 2021 году.

Однако как поясняют ASEC, им удалось обнаружить более современную версию ПО, которая имеет уже дополнительные функции, например, эксфильтрацию базовой системной информации. Малварь больше не использует системные процессы для этой функции, а вместо этого применяет возможности xRAT для кражи необходимой информации вручную.

RAT замаскирован под исполняемый файл с именем cp1093.exe, который копирует процесс PowerShell (powershell_ise.exe) в путь C:\ProgramData\ и выполняет его через процесс.

Что касается эксплуатационных аспектов Gold Dragon, то известно, что он продолжает использовать тот же метод очистки процессов для iexplore.exe и svchost.exe и по-прежнему отключает функции обнаружения в реальном времени в продуктах AhnLab AV.

Злоумышленники устанавливают Gold Dragon через эксклюзивный установщик (installer_sk5621.com.co.exe). Gold Dragon, сжатый в виде Gzip-файла распаковывается как in[случайные 4 числа].tmp по пути %temp%, а затем запускается через rundll32.exe. После чего установщик добавляет новый раздел реестра, чтобы обеспечить постоянство при запуске полезной нагрузки вредоносного ПО (glu32.dll).

Под конец Kimsuky запускают деинсталлятор (UnInstall_kr5829.co.in.exe), который призван удалить следы компрометации, в случае если это необходимо.

По-прежнему, согласно AhnLab, вложения в письмах из неизвестных источников остаются основным каналом распространения вредоносного ПО, которое активно применяют Kimsuky. Конечно, ведь это работает, как показывает практика почти безотказно.

А тем временем RAID лежит уже почти сутки. Что же случилось? 🤔

🔥Поджигаем лайками
https://youtu.be/xFxQ9qqaTUU

⏳Таймкоды:
00:00 - Как ИБ специалисты защищают КИИ России
00:52 - С чего начать? - Инвентаризация
01:55 - Стандарты безопасности
02:03 - IEC 62443
02:05 - NIST Cybersecurity framework
02:17 - Почему не нужно изобретать велосипед
02:42 - Как выбивают хакеров из инфраструктуры
03:15 - В жизни бывает не по протоколу
03:46 - Атаки шифровальщиков в СНГ
04:37 - Norsk Hydro: атака шифровальщика
05:42 - Истории атак шифровальщиков в РФ
06:32 - "Сносят всё и ставят заново"
07:15 - Переключение ransomware СНГ
07:35 - Почему мало говорят о кибератаках в СМИ
08:12 - Статья 274
09:09 - Как защищаться от шифровальщиков?
11:39 - Нужно ли платить выкуп?
12:14 - Киберстрахование
13:06 - Что делать когда нет бэкапов и денег
13:49 - Разбор примера Colonial Pipeline
14:27 - Разбор Norsk Hydro
15:26 - Примеры в РФ
15:37 - Атрибуция APT
17:24 - Как следят за киберкраймом
19:12 - НКЦКИ
20:20 - Kamerka-GUI
20:39 - Интервью с Войцехом
21:23 - Прозрачная отчётность об атаках на КИИ
22:39 - С чего начать изучение защиты КИИ
23:28 - Материалы для новичков (КИИ)
24:45 - CEH
25:07 - Сертификаты
27:15 - Зарплаты ИБ: специализация КИИ
28:54 - Как выглядит рабочий день Антона?
30:35 - Во сколько заканчивается рабочий день
31:16 - Бывает ли выгорание на работе?
31:58 - Есть ли желание бросить ИБ?
33:35 - Советы по литературе
34:42 - Разница между белым ИБ и киберкраймом
36:51 - Финальный совет молодым ИБ специалистам

Министерство иностранных дел по делам Содружества и развития Великобритании (FCDO) столкнулось с серьезным инцидентом в области кибербезопасности.

Об этом стало известно из тендерного документа, который был опубликован на правительственном веб-сайте по случайности. В виду срочности и критичности работ Министерству пришлось нарушить сроки и условия тендерных или конкурентных процедур.

В нем говорится, что Министерству пришлось экстренно обратиться к услугам компании BAE Systems Applied Intelligence для расследования кибератаки и локализации ее последствий, которые обошлись ведомству в 467 326 фунтов стерлингов (или 634 198 долларов США). Подробности атаки не раскрываются, равно как и ее актор, время и актуальное состояние.

Известно лишь, что ранее действовавший контракт с BAE закончился 12 января 2022 года. Контрагент работает с правительством Великобритании на долгосрочной основе, имеет представление об инфраструктуре Администрации.

Инцидент совпал по времени с утечкой по линии Министерства обороны Великобритании, за которой стоят инициаторы хакерской кампании LeakTheAnalyst, о чем мы ранее также сообщали. Настаивать на связи двух инцидентов не будем, остановимся лишь на констатации фактов.

Тем временем, стоящие за новой кампанией LeakTheAnalyst хакеры заявили, что не намерены останавливаться и на этот раз слили в даркент конфиденциальную информацию Министерства иностранных дел Украины.

​​Не хотели отдельно акцентировать внимание на новых обновлениях SAP, но вот Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) с нами не согласны.

Все дело в том, что применяемый практически во всей линейке корпоративных продуктов компонент SAP Internet Communication Manager (ICM) содержит ряд серьезных недостатков безопасности (CVE-2022-22536, CVE-2022- 22532 и CVE-2022-22533, получивших название ICMAD (Internet Communication Manager Advanced Desync).

ICM — один из наиболее важных компонентов сервера приложений SAP NetWeaver. Он присутствует в большинстве продуктов SAP и является важнейшей частью общего стека технологий SAP, обеспечивая доступ в Интернет для приложениий SAP, а это означает, что если в его коде присутствует уязвимость, все продукты SAP подвергаются атакам 24/7.

SAP отмечает, что в случае неисправления ошибок ICMAD клиент подвергает себя с серьезному риску кражи данных, финансового мошенничества, сбоям в критически важных бизнес-процессах, атакам программ-вымогателей и остановке всей операционной деятельности, в общем полностью скомпрометировать любые неисправленные приложения SAP.

CVE-2022-22536, одна из трех ошибок ICMAD, оценивается как проблема с максимальной степенью серьезности. Эксплойт слишком прост, не требует предварительной аутентификации, никаких дополнительных условий, полезная нагрузка может быть отправлена через HTTP(S).

Исправляли багу целой командой в составе спецов SAP Product Security Response Team (PSRT) и обнаруживших уязвимость исследователей Onapsis.

По словам директора SAP по вопросам безопасности Вика Чанга, в настоящее время компания не располагает сведениями об эксплуатации уязвимости в дикой природе.

Но учитывая все обстоятельства, это обязательно должно будет произойти. На этот случай производитель уже подготовился и выпустил для клиентов сканер с открытым исходным кодом для проверки систем на наличие уязвимостей ICMAD.

Кроме того, согласно Shodan, в настоящее время более 5000 серверов SAP NetWeaver подключены к Интернету и уязвимы для атак ICMAD.

Немецкий разработчик программного обеспечения также исправил другие уязвимости максимальной степени серьезности, связанные с Apache Log4j 2, используемым в SAP Commerce, SAP Data Intelligence 3 (локально), SAP Dynamic Authorization Management, Internet of Things Edge Platform, SAP Customer Checkout. Все они позволяют удаленным злоумышленникам выполнять код в системах с непропатченным ПО.

Если вы дочитали этот пост и используете SAP в корпоративной инфраструктуре, то отложите все дела и займитесь срочным обновлением ПО.

Исследователи обнаружили критические уязвимости RCE в плагине PHP Everywhere для WordPress, который используется более чем на 30 000 веб-сайтов по всему миру.

PHP Everywhere - это плагин, который позволяет администраторам WordPress вставлять код PHP на страницы, сообщения, боковую панель или любой блок Gutenberg для отображения динамического контента.

Три уязвимости были обнаружены аналитиками Wordfence, затрагивают все версии WordPress (от 2.0.3 и ниже) и представляют собой следующее:

- CVE-2022-24663: уязвимость RCE, которую может использовать любой подписчик, позволяет отправить запрос с параметром shortcode на PHP Everywhere, и выполнить произвольный код PHP на сайте (оценка CVSS v3: 9,9).
- CVE-2022-24664: уязвимость RCE, которую могут использовать участники через метабокс плагина, путем создания сообщения, добавив метабокс PHP-кода, а затем просмотрев его (оценка CVSS v3: 9,9).
- CVE-2022-24665: уязвимость RCE, ее могут использовать участники, у которых есть возможность edit_posts и которые могут добавлять блоки PHP Everywhere Gutenberg, и связан с параметром безопасности по умолчанию в уязвимых версиях плагина (оценка CVSS v3: 9,9).

В то время как последние две уязвимости достаточно трудно реализовать, поскольку они требуют разрешений на уровне участника, а первая гораздо более открыта для более широкой эксплуатации, поскольку доступна подписчику на сайте. Во всех случаях выполнение произвольного кода на сайте может привести к его полному захвату, что является наихудшим возможным сценарием с точки зрения безопасности.

Команда Wordfence обнаружила и проинформировала автора PHP Everywhere об уязвимости 4 января 2022 года, а 10 января разработчик выпустил обновление в рамках версии 3.0.0.

Согласно статистике загрузок на WordPress, только 15 000 из 30 000 обновили плагин с момента исправления ошибок. В виду серьезности уязвимостей оставшимся пользователям PHP Everywhere настоятельно рекомендуем обновиться до версии 3.0.0.

Главные ключи дешифрования стали доступны для жертв, пострадавших от вымогателей Maze, Egregor и Sekhmet.

Исходники были опубликованы на форуме BleepingComputer пользователем Topleak, который утверждает, что являлся кодером всех трех ransomware. Кроме того, в одном из размещенных пользователем архивов находится исходный код вредоносной ПО M0yv, которая также была частью арсенала хакеров и детектируется как Win64/Expiro.

Авторитетные исследователи Майкл Гиллеспи и Фабиан Восар подтвердили подлинность ключей и их возможность дешифровки файлов.

TopLeak сообщил, что спланированная утечка не связана с недавними действиями спецслужб и заверил, что ни одна из указанных групп не вернется к работе с ransomware, а исходный код когда-либо разработанных инструментов уничтожен.

Напомним, что Maze считалась одной из самых серьезных групп с момента начала своей деятельности в мае 2019 года. Именно с этой ransomware зародилась практика двойного вымогательства. Несмотря на то, что Maze прекратили свою деятельность в ноябре 2020 года (объявили об официальном прекращении своей деятельности), их дело продолжили Egregor, которые после арестов на Украине в феврале 2021 года исчезли с радара.

При этом исследователи установили, что исполняемый код Egregor очень похож на Sekhmet, а TTP операторов Egregor почти идентичны ProLock. Кроме того, исходный код Egregor также имеет общее сходство с Maze, которые как считается и обосновали тот самый новый бренд.

Однако теперь, все споры и предположения уже лежат в плоскости истории, а вот для жертв, которые до сих пор не могли преодолеть последствия атак, наконец-то открылась такая возможность, ведь Emsisoft даже выпустила бесплатный инструмент для расшифровки Maze, Egregor и Sekhmet.

Промышленные гиганты Siemens и Schneider Electric выпустили рекомендаций по устранению внушительного списка уязвимостей, обнаруженных в их продуктах.

В Siemens описали рекомендации по устранению 27 уязвимостей. На основании оценки CVSS наиболее критической является ошибка CVE-2021-45106, которой подвержены все версии продукта SICAM TOOLBOX II и позволяет потенциальному злоумышленнику получить доступ к базе данных.

В другом важном бюллетене описываются три критические уязвимости, создающие возможность провести атаку отказа в обслуживании (DoS) на контроллеры, причем без аутентификации.

Собственно, в продуктах SIMATIC, SINEMA и SCALANCE были устранены серьезные баги, в которых используется один и тот же сторонний компонент strongSwan. Помимо того, что исправленные недостатки создают угрозы проведения DoS-атаки, одна из ошибок может позволить злоумышленнику при определенных обстоятельствах осуществить удаленное выполнение кода.

В Solid Edge, JT2Go, Teamcenter Visualization и Simcenter Femap также были исправлены уязвимости, которые злоумышленник может использовать для DoS-атак или удаленного выполнения кода, но только, если обманом заставит целевого пользователя открыть специально созданный файл.

Кроме вышеизложенного списка критических недостатков, компания Siemens выпустила бюллетень с информированием клиентов о серьезной уязвимости OpenSSL, затрагивающей многие из ее продуктов. Также поставщиком устранены проблемы средней степени опасности в SINEMA Remote Connect Server, Spectrum Power 4, SIMATIC WinCC и PCS.

Самое интересно, что для некоторых продуктов доступны исправления, а для других разработчик решил предоставить только средства для устранения и не планируют выпускать обновления.

Тем же временем Schneider Electric опубликовала шесть бюллетеней с описанием 20 уязвимостей.

В небезызвестной интерактивной графической системе SCADA (IGSS), которая используется для мониторинга и управления производственными процессами, было обнаружено в общей сложности аж восемь проблем, многие из которых оцениваются как «критические». Последствия могут более чем печальные и способны привести к удаленному выполнению кода, раскрытию данных и потере контроля над системой SCADA.

Уязвимости были обнаружены специалистами из Tenable и нашим соотечественником Вячеславом Москвиным в рамках Zero Day Initiative (ZDI) Trend Micro. Хотя ZDI еще не обнародовала свои рекомендации, в Tenable уже выпустили техническую информацию и экспериментальные эксплойты (PoC) .

Критические уязвимости также были обнаружены в продуктах Schneider spaceLYnk, Wiser For KNX и FellerLYnk.

Компания Schneider также выпустила бюллетени с описанием уязвимостей высокой и средней степени серьезности в своих продуктах EcoStruxure EV Charging Expert, Easergy P40, Harmony/Magelis iPC и EcoStruxure Geo SCADA Expert. Использование этих уязвимостей может привести к несанкционированному доступу к системе, локальному повышению привилегий, сбоям и потере защиты.

Прекрасно понимаем где и для чего используются продукты немецкого и французского гиганта, собственно пренебрегать рекомендациями поставщиков и затягивать с обновлением явно не стоит.

Вчера ближе к ночи Apple выкатили обновление iOS 15.3.1.

Выпуск очередной версии спустя всего две недели после 15.3 как бы свидетельствует, что что-то случилось. И действительно - в апдейте закрыли уязвимость CVE-2022-22620, очередную 0-day дырку в многострадальном движке WebKit, позволяющую хакеру добиться RCE aka удаленное выполнение кода.

Причем, как заявили Apple, эта уязвимость "может активно использоваться в дикой природе", сиречь так оно и есть на самом деле. Поэтому всем рекомендуем срочно обновить свои iPhone, iPad и макбуки, поскольку для macOS тоже вышло обновление.

И в очередной раз остается посетовать на странную политику компании Apple, которая не допускает возможность низкоуровневой разработки для сторонних компаний, в связи с чем для iOS невозможны антивирусные решения. Ведь утверждение "iOS - безопасная операционная система и под нее отсутствуют вредоносные программы" давно не соответствует действительности.

А в силу изложенного остается лишь одна объективная причина для купертиновцев продолжать гнуть свою линию с запретом доступа в ядро iOS - там сидит нечто, чего не должен увидеть никто кроме Apple. И других уполномоченных американским правительством лиц.

Sad but true.

⚙️ S.E.Заметка. GitHub дорки.

🖖🏻 Приветствую тебя user_name.

• Для быстрого и удобного поиска скрытой информации касательно GitHub, мы можем использовать всем известные дорки. Сегодня ты узнаешь о полезной табличке, из которой можешь подчеркнуть для себя полезные запросы и найти скрытую информацию.

📌 В дополнение:

• Дорки:
https://yangx.top/S_E_Reborn/1389
http://recruitin.net
https://github.com/techgaun/github-dorks
https://github.com/H4CK3RT3CH/github-dorks
https://github.com/jcesarstef/ghhdb-Github-Hacking-Database

• Инструменты:
https://github.com/BishopFox/GitGot
https://github.com/Talkaboutcybersecurity/GitMonitor
https://github.com/michenriksen/gitrob
https://github.com/tillson/git-hound
https://github.com/kootenpv/gittyleaks
https://github.com/awslabs/git-secrets https://git-secret.io/

• Полезный мануал: https://shahjerry33.medium.com/github-recon-its-really-deep-6553d6dfbb1f

‼️ Другую дополнительную информацию ты можешь найти по хештегу #СИ и #OSINT. Твой S.E.

В результате атаки ransomware вещание самого популярного телеканала Словении Pop TV было серьезно нарушено.

Атака, которая произошла во вторник, повлияла на компьютерную сеть Pop TV и по факту ограничила возможности демонстрации компьютерной графики в вечернем выпуске 24UR, а также в ежедневных новостных шоу. При этом ночной выпуск того же шоу был полностью отменен.

Несмотря на то, что новостные трансляции удалось оперативно восстановить уже на следующий день, другие компоненты сети по-прежнему не функционируют.

Согласно официальному заявлению Pop TV, атака вывела из строя веб-сервера, в том числе VOYO, платформу с подовым видео и лицензионным видеоконтентом. Телевизионщики на время восстановительных работ лишись возможности добавлять новый контент на платформу, транслировать любые каналы, вести прямые трансляции, в том числе спортивных событий. Последнее обстоятельство было воспринято достаточно негативно аудиторией.

Представитель 24UR не сообщил подробностей о инцидента, но журналистам стало известно, что причиной инцидента стала атака вымогателей. К расследованию подключили группу реагирования на компьютерные чрезвычайные ситуации Словении (SI-CERT).

За последнее время телеканалы и медиахолдинга все чаще становятся жертвами атак ransomware, ведь они находятся в зависимом состоянии от эфира и вещания.

Так, только за последние несколько лет кибератакам подверглось несколько крупных телеканалов, в том числе французская M6 (октябрь 2019 г.), The Weather Channel (апрель 2019 г.), Cox Media Group (июнь 2021 г.), Sinclair Broadcast Group в США (октябрь 2021 г.), SIC Португалии (январь 2021 г.) и IRIB Ирана (февраль 2021 г.).

​​Мы неоднократно упоминали об опасности атак на промышленные системы, в том числе АСУТП.

На этой неделе Siemens исправили ряд серьезных уязвимостей, которые могут быть использованы для удаленного сбоя некоторых продуктов SIMATIC.

Три из них высокой степени серьезности (CVE-2021-37185, CVE-2021-37204 и CVE-2021-37205), которые могут быть использованы удаленным, неаутентифицированным злоумышленником для атак типа «отказ в обслуживании» (DoS) на программируемые логические контроллеры (PLC) SIMATIC S7-1200 и S7-1500, контроллер привода SIMATIC, открытый контроллер ET 200SP, контроллер программного обеспечения S7-1500, SIMATIC S7-PLCSIM Advanced, модуль связи TIM 1531 IRC, а также экстремальные продукты SIPLUS. Баги можно эксплуатировать, отправив специально созданные пакеты по TCP-порту 102 на целевое устройство.

В реальной жизни сбой ПЛК может оказать серьезное воздействие и привести к авариям.

Ошибки стали результатом проводимых с августа 2021 года работ исследователем ICS Гао Цзянем и получили условное наименование S7+:Crash. Все они связаны со стеком протоколов связи OMS+.

ПЛК Siemens уязвимы для такого типа атак, даже если активирована опция «полной защиты», предназначенная для обеспечения безопасности связи между ПЛК и ПК или HMI.

Для понимания того, как в реальности злоумышленник может удалённо остановить производство, отключить электричество или предпринять более радикальные действия, просто оцените эксплойт в действии на видео👇

​​Краудфандинговый сервис GiveSendGo несколько часов назад был взломан, хакеры сделали редирект и слили базы данных.

GiveSendGo - это сервис, который предоставил свою платформу для сбора пожертвований участникам Конвоя Свободы, гигантской колонны траков, водители которых протестуют против ковидных ограничений, введенных канадским правительством. Акция стартовала 22 января, а через неделю дальнобои фактически блокировали столицу страны Оттаву, после чего премьер Канады Джастин Трюдо свалил в неизвестном направлении.

К 31 января на сервисе GoFundMe сочувствующие собрали для протестующих более 9 млн. долларов (канадских), после чего GoFundMe удалили сбор средств в поддержку Конвоя Свободы. Упавшее краудфандинговое знамя подхватили GiveSendGo. А теперь их взломали.

Вполне вероятно, что взлом связан с блокировкой протестующими моста Амбассадор через реку Детройт, связывающего Канаду и США, через который проходит четверть грузооборота между странами. Американцы очень трепетно относятся к своим финансовым потерям. Блокировку моста, кстати, тоже вчера сняли.

Ну как-то вот так. Демократическое волеизъявление масс и сменяемость власти. Премьер-министр Канады Джастин Трюдо, сын премьера-министра Канады Пьера Эллиота Трюдо, не даст соврать.

Не удивляет столь пристальное внимание к NSO и ее скандальному ПО Pegasus.

Как удалось выяснить журналистам Haaretz от анонимных источников внутри компании, представители Моссада достаточно часто посещали штаб-квартиру во главе с предыдущим директором агентства Йосси Коэном, и порой в сопровождении иностранных официальных лиц. Посещали и посещали, казалось бы обычная экскурсия и все дела.

Но в реальности визиты сопровождались неофициальными просьбами глянуть с помощью Pegasus определенные трубки определённых людей и тп. Это все при том, что более 8 лет NSO на право и налево трубит о том, что они только реализуют продукт, а сами ни в коем случае не занимаются взломами.

А вы разве сомневались? Мы нет.

Оператор мобильной связи A1 Hrvatska в Хорватии сообщил об утечке данных.

Согласно предварительным данным, злоумышленники получили доступ к конфиденциальной личной информации 200 тысяч абонентов, включая регданные, личные идентификационные номера, адреса проживания и номера телефонов.

На данный момент оператор мобильной связи не раскрывай дополнительных подробностей о нарушения. Ведется интенсивная работа по установлению всех фактов, связанных с инцидентом безопасности. Представители оператора отдельно отмечают, что финансовая информация, в том числе о банковских картах и счетах, не скомпрометирована и отсутствовала в утекшей базе данных.

Нарушение безопасности не повлияло на обслуживание и работу A1 Hrvatska. Из сообщения стало понятно, что злоумышленник имел продолжительный доступ и оставался в системе жертвы до начала расследования.

Несмотря на то, что утечка затронула лишь 10% ее клиентов, характер слитой информации может указывать на куда более серьезные обстоятельства инцидента, ведь в руки хакерам могли попасть и другие значимые сведения, в том числе биллинговая дата.

Mayday, Mayday для пользователей коммерческих платформ Adobe Commerce и Magento.

В воскресения компания Adobe выпустила экстренный бюллетень с информированием о критической 0-day уязвимости нулевого дня, которая использовалась в атаках. CVE-2022-24086 получила оценку CVSS 9,8. Ошибку описывают как проблему неправильной проверки ввода, которая может привести к выполнению произвольного кода причем без аутентификации.

Угроза безопасности затрагивает платформы электронной коммерции Magento с открытым исходным кодом и Adobe Commerce, в частности версии 2.4.3-p1 и 2.3.7-p2, а также более ранние версии продуктов. Соответствующие патчи исправлений уже доступны для обновлений.

В компании отметили, что CVE-2022-24086 использовалась в дикой природе, но в крайне ограниченных атаках, нацеленных исключительно на продавцов Adobe Commerce.

Никакой другой информации об атаках предоставлено не было и Adobe не упомянула тех, кто сообщил об уязвимости кроме того, что проблема была обнаружена ее внутренней командой безопасности. Пока разработчик программных продуктов не готов делиться дополнительной информацией об уязвимости в интересах защиты безопасности и конфиденциальности своих клиентов.

Все мы прекрасно знаем, как уязвимости программного обеспечения для электронной коммерции пользуются спросом у хакеров и активно используются в массовых атаках. Один недавний пример явно демонстрирует интерес, когда киберпреступниками было атаковано более чем 500 интернет-магазинов, работающих на Magento 1 с целью установки веб-скиммеров для сбора пользовательских данных. Тогда злоумышленники использовали комбинацию уязвимостей, а также то, что Magento 1 больше не получает обновления безопасности.

Исследователи Claroty из группы Team82 выявили 5 уязвимостей с общей оценкой CVSS 10 из 10 в веб-системе управления сетью MXview от Moxa.

Moxa для управления сетью MXview предназначено для настройки и мониторинга сетевых устройств в промышленных системах управления (ICS) и сетях операционных технологий (OT). ПО состоит из нескольких компонентов, в том числе MQTT (Mosquitto), который передает сообщения в различные компоненты среды MXview и обратно.

Исследователи объяснили, что именно в реализации MQTT кроются уязвимости. Доступ к компоненту как раз и позволяет злоумышленнику извлекать конфиденциальные данные и использовать другие уязвимости.

MXview использует сервер MQTT для распространения большинства своих сообщений IPC/RPC, и большинство API-интерфейсов MXview используют протокол MQTT для получения и обработки запросов. Mosquitto поддерживает MQTT через веб-сокеты, чтобы пользователи могли получать данные MQTT через веб-браузер.

Критические ошибки позволяют приводят к удаленному выполнению кода без аутентификации (RCE) в качестве SYSTEM на любом непропатченном сервере MXview, и затрагивают версии ПО с 3.x по 3.2.2.

Цепочка из трех из них как раз и приводит к RCE (CVE-2021-38452, CVE-2021-38460 и CVE-2021-38458), а остальные можно использовать для кражи паролей и другой конфиденциальной информации (CVE-2021-38456, CVE-2021-38454).

CVE-2021-38452, представляет собой уязвимость чтения файлов, которая позволяет злоумышленнику, не прошедшему проверку подлинности, читать любой файл в целевой операционной системе.

Большинство веб-маршрутов MXview требует аутентификации пользователя. Для проверки того, что запрошенный файл не содержит вредоносных символов, а именно символов обхода пути (../), в классе ResourceRoutes используется библиотека sanitize-filename. Однако сервер не обращается к ней для маршрута «/tmp», что позволяет пользователю указывать символы обхода пути, которые извлекают произвольные файлы. Злоумышленник может использовать этот неаутентифицированный примитив чтения файлов для получения секретных паролей и конфигураций (например, пароль к MQTT).

Как только злоумышленник получает доступ к MQTT, в игру вступают CVE-2021-38454 и CVE-2021-38458, которые реализуют RCE посредством внедрения команд. Речь идет о неправильном управлении доступом, позволяющем удаленно подключаться к внутренним каналам связи. Ошибка управления доступом позволяет любому пользователю MQTT выполнять произвольный код с максимально возможными привилегиями: NT AUTHORITY/SYSTEM. 

Ошибка доступа к MQTT также может быть связана с CVE-2021-38458, что позволяет неавторизованному пользователю записывать произвольные файлы в файловую систему хост-сервера, злоупотребляя функцией MXview, которая позволяет пользователям добавлять собственные значки.

Что касается двух других проблем, CVE-2021-38460 допускает утечку пароля, что может позволить злоумышленнику получить учетные данные через незащищенный транспорт. А CVE-2021-38456 — из-за использования жестко закодированных паролей, которые могут позволить злоумышленнику получить доступ к учетным записям, используя пароли по умолчанию.

Ошибки исправлены в версии MXview 3.2.4 - настоятельно рекомендуем обновиться.