1. Всем пользователям необходимо проверить работоспособность своего электронного почтового адреса. Для этого на, указанный в вашем профиле электронный адрес, в период с 14 по 18 июня, отправлено письмо. Вам необходимо проверить свою почту, возможно папку "спам". Если там есть письмо от нас, то можете не беспокоиться, в противном случае необходимо либо изменить адрес электронной почты в настройках профиля , либо если у вас электронная почта от компании "Интерсвязь" (@is74.ru) вы им долго не пользовались и хотите им пользоваться, позвоните в СТП по телефону 247-9-555 для активации вашего адреса электронной почты.
    Скрыть объявление

Новости информационной безопасности

Тема в разделе "Компьютерная безопасность", создана пользователем unbreakable, 1 сен 2012.

  1. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
  2. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 20 янв 2019
    Злоумышленники продолжают эксплуатировать уязвимость в ThinkPHP

    Организаторы кибератак используют относительно простые методы для запуска криптомайнеров и скиммеров.

    В декабре минувшего года SecurityLab сообщал об уязвимости в китайском PHP-фреймворке ThinkPHP, позволявшей удаленно выполнить код. Хотя уязвимость (CVE-2018-20062) уже исправлена разработчиком, злоумышленники продолжают активно эксплуатировать проблему.

    Сотрудник компании Akamai Лэрри Кэшдоллар (Larry Cashdollar) выявил ряд экспоитов для данной уязвимости, когда проводил анализ недавней атаки Magecart на расширения для системы управления интернет-магазинами Magento. По его словам, атакующие используют уязвимость для внедрения различного вредоносного ПО - от троянов для ПК на базе Windows и IoT-устройств до криптомайнеров.

    Киберпреступники используют относительно простые методы для эксплуатации проблем. Как отметил исследователь, всего одна строка кода может провести проверку на наличие уязвимости, которая затем может использоваться в атаках, предполагающих применение доступного в Сети вредоносного кода. В одном из случаев атакующие пытались распространить вариант вредоносного ПО Mirai. Это говорит о том, что операторы Mirai-ботнетов уже начали добавлять эксплоиты для ThinkPHP в свой арсенал.

    Выполнение кода через вызовы PHP-фреймворка позволяет пропустить ряд этапов. «В 1990-х годах люди всегда пытались получить права суперпользователя. Теперь это не имеет значения. Они просто хотят выполнять код на системе с любыми правами для внедрения вредоносных программ или майнинга криптовалюты», - отметил Кэшдоллар.

    В основном злоумышленники атакуют системы в Азии, где фреймворк ThinkPHP весьма популярен, но также уделяют внимание Европе и США. Атакующих интересуют компании в различных сферах - от разработчиков программного обеспечения до фирм, занимающихся прокатом автомобилей.

    Подробнее: https://www.securitylab.ru/news/497508.php
     
  3. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 22 янв 2019
    Краткий обзор новых продуктов в области информационной безопасности.

    XebiaLabs представила платформу XebiaLabs DevOps для автоматизации и отслеживания выпуска релизов по сквозной CI/CD-цепочке, от кода до релиза. Обладая информацией о проблемах безопасности и соответствия, команды могут принять меры для устранения рисков сбоев, уязвимостей и нарушений управления IT на ранних этапах цикла поставки программного обеспечения.

    В решении ExtraHop Reveal(x) появились новые возможности, которые позволят командам SOC (Security Operations Center) и NOC (Network Operations Center) выделить и обезопасить критически важные ресурсы, выявить аномалии и инсайдерские угрозы. Утилита объединяет автоматическое обнаружение и классификацию активов с использованием машинного обучения на основе облачных вычислений, обнаружения аномалий и автоматической группировки с акцентом на критические активы.

    Служба резервного копирования AWS Backup упрощает защиту хранилищ, баз данных и файловых систем. С помощью сервиса пользователи могут конфигурировать и проводить аудит AWS ресурсов, для которых осуществляется резервное копирование, автоматизировать резервное копирование данных в сервисах AWS в облаке, настраивать политики резервного копирования и осуществлять мониторинг резервного копирования и восстановления.

    Компания Quali представила облачную SaaS-платформу CloudShell Colony для автоматизации сред DevOps на всех этапах от разработки до производства. Решение предоставляет возможность управления облачными ресурсами с единой панели. CloudShell Colony разработано для более эффективного предоставления IT-сред, устранения несоответствий конфигурации и расширения возможностей всех заинтересованных сторон в цепочке создания стоимости DevOps за счет повышения стабильности конвейера с меньшим количеством кода и лучшей обработкой ошибок.

    Подробнее: https://www.securitylab.ru/news/497543.php
     
  4. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 27 янв 2019
    В Chrome появится встроенная защита от атак drive-by

    Инженеры Google работают над реализацией в Chrome нового механизма безопасности.

    В Chrome появится встроенная автоматическая защита от атак drive-by. В настоящее время компания Google работает над реализацией в своем браузере соответствующего механизма безопасности.

    Атаки drive-by часто используются киберпреступниками для заражения уязвимых компьютеров вредоносным ПО. В ходе атаки из браузера на систему жертвы загружается файл, который она не запрашивала (в некоторых случаях жертва даже не подозревает о происходящем). Загрузка файла может происходить через рекламу, плавающий фрейм (iframe) или встроенный в web-сайт вредоносный скрипт.

    Первым заблокировать функцию загрузки в плавающих фреймах предложил специалист компании Google Майк Уэст (Mike West) еще в 2013 году. В 2017 году Уэст снова напомнил о своем предложении через GitHub. Предложение поддержал один из разработчиков проекта Chromium Яо Сяо. Разработчик опубликовал открытый документ Google Docs под названием «Предотвращение загрузок drive-by в плавающих фреймах, защищенных песочницей» (Preventing Drive-By-Downloads in Sandboxed Iframes), где описал принцип работы соответствующего механизма безопасности.

    «У контент-провайдеров должна быть возможность самим решать, могут ли инициироваться загрузки drive-by для контента в плавающих фреймах. Поэтому мы намерены заблокировать загрузки в защищенных песочницей плавающих фреймах, происходящие без участия пользователя. Ограничение можно будет снять с помощью ключевого слова «allow-downloads-without-user-activation» («разрешить-загрузку-без-активации-пользователя» - ред.), если оно указано в списке атрибутов песочницы», - сообщается в документе.

    Как пояснил Яо Сяо, механизм безопасности будет блокировать загрузки, инициированные «навигацией или поддельными кликами на ссылки» без участия пользователя. После реализации новой функции все заблокированные загрузки будут прекращаться незаметно, а единственным свидетельством того, что они вообще происходили, станут ошибки, отображаемые на консоли разработчика.

    Подробнее: https://www.securitylab.ru/news/497617.php
     
  5. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 3 фев 2019
    TheMoon переквалифицировался с DDoS-ботнета на прокси

    IoT-ботнет TheMoon использовался для проксирования трафика в мошеннической схеме с рекламой на YouTube.

    Исследователи безопасности американского интернет-провайдера CenturyLink обнаружили ботнет из устройств «Интернета вещей» (IoT), используемый для проксирования трафика в мошеннической схеме с рекламой на YouTube.

    Специалисты выявили мошенническую схему во время анализа ботнета TheMoon, в который попали некоторые устройства CenturyLink. Устройства осуществляли брутфорс-атаки на популярные сайты – как оказалось, они были заражены вредоносным ПО TheMoon, вооружившимся совершенно новым модулем.

    Ботнет TheMoon известен исследователям еще с 2014 года. Как правило, вредонос заражал маршрутизаторы и IoT-устройства с помощью эксплоитов для известных уязвимостей. В начале своей истории ботнет использовался для осуществления DDoS-атак, однако в последние годы стал исчезать с DDoS-сцены. По мнению экспертов, это связано с тем, что теперь TheMoon используется злоумышленниками в качестве прокси для осуществления мошеннических схем.

    Догадки исследователей подтвердились в начале прошлого года, когда специалисты из Qihoo 360 Netlab обнаружили в TheMoon первый модуль для проксирования трафика. Теперь же эксперты CenturyLink выявили совершенно новый, ранее неизвестный модуль, подтверждающий эволюцию TheMoon от DDoS-ботнета до прокси.

    Злоумышленники действуют следующим образом. TheMoon заражает уязвимое устройство и загружает на него дополнительный модуль, открывающий на зараженном устройстве прокси SOCKS5, доступ к которому операторы вредоноса продают другим киберпреступникам.

    Подробнее: https://www.securitylab.ru/news/497725.php
     
  6. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 5 фев 2019
    Киберпреступники заражают Linux-серверы новым бэкдором

    Бэкдор служит для внедрения майнеров криптовалюты Monero.

    Специалисты компании Check Point зафиксировали новую вредоносную кампанию, в рамках которой злоумышленники эксплуатируют уязвимость в фреймворке ThinkPHP для заражения Linux-серверов новым бэкдором SpeakUp и внедрения майнеров для добычи криптовалюты Monero.

    Скомпрометировав систему, атакующие используют троян для модификации локальной утилиты Сron с целью сохранения присутствия, выполнения команд и файлов, загруженных с управляющего сервера. Бэкдор SpeakUp также содержит написанный на Python скрипт, который используется для распространения вредоноса по локальной сети. Скрипт сканирует сети на предмет открытых портов, взламывает системы с помощью списка определенных логинов и паролей, а также может использовать один из семи имеющихся в наличии эксплоитов для перехвата управления непропатченными системами.

    Арсенал трояна включает эксплоиты для уязвимостей в различных платформах и компонентах, в частности, JBoss EAP (CVE-2012-0874), JBoss Seam (CVE-2010-1871), JBoss AS 3/4/5/6, Oracle WebLogic (CVE-2017-10271), Oracle WebLogic Server (CVE-2018-2894), Apache Hadoop YARN ResourceManager, Apache ActiveMQ (CVE-2016-3088).

    SpeakUp может работать на системах под управлением шести различных дистрибутивов Linux, а также macOS. Целью злоумышленников является майнинг криптовалюты Monero. По данным специалистов, за три недели, которые длится кампания, ее организаторам удалось добыть примерно 107 монет (около $4,5 тыс.). Несмотря на имеющиеся возможности, киберпреступники пока атакуют только фреймворк ThinkPHP, основное количество пострадавших приходится на страны Азии и Южной Америки.

    Массовая эксплуатация уязвимости в ThinkPHP началась еще в конце минувшего года после публикации PoC-эксплоита. За прошедшие месяцы исследователи заметили несколько кампаний, так или иначе задействующих данную уязвимость, например, для расширения ботнетов Hakai и Yowai.

    Подробнее: https://www.securitylab.ru/news/497771.php
     
  7. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 10 фев 2019
    Банковский троян IcedID переключился на интернет-магазины

    Методы распространения IcedID не изменились, как и раньше заражение происходит с помощью трояна EMOTET и вредоносного спама.

    Разработчики банковского трояна IcedID начали использовать вредоносное ПО для кражи данных платежных карт клиентов интернет-магазинов. Коме того, с целью расширения сферы деятельности группировка стала предлагать IcedID в рамках модели "вредоносное ПО-как-услуга" ("malware-as-a-service").

    Атаки начались в ноябре 2018 года, однако вместо краж банковской информации пользователей, преступники использовали IcedID для сбора данных платежных карт клиентов online-магазинов, отметила специалист подразделения IBM Security Лимор Кессем (Limor Kessem). Собранную информацию злоумышленники использовали для покупок в различных интернет-магазинах.

    Эксперты отслеживали деятельность трояна с сентября 2017 года. Методы распространения IcedID с тех пор не изменились, как и раньше заражение происходит с помощью трояна EMOTET и вредоносного спама.

    Злоумышленники осуществляют атаки на интернет-магазины в качестве способа побочного заработка, а также предлагают в аренду или продают части ботнета IcedID по аналогии с бизнес-моделью авторов трояна Gozi, заметила Кессем.

    В то время как многие киберпреступные группировки расширяют географическую зону своих атак, что требует значительных средств и ресурсов, операторы IcedID не выходят за пределы Северной Америки, ориентируясь на банки и предприятия электронной коммерции в данном регионе.

    Подробнее: https://www.securitylab.ru/news/497853.php
     
  8. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 12 фев 2019
    Обновления Windows не гарантируют безопасность ПК

    Большинство кибератак проводятся с использованием эксплоитов для уязвимостей нулевого дня, а не для уже исправленных багов.

    С момента выпуска Windows 10 в июле 2015 года корпорация Microsoft неоднократно подвергалась критике из-за практики принудительного обновления Windows. Помимо обновления до Windows 10 без согласия, Microsoft изначально не предоставила пользователям Windows 10 Home возможность отсрочки установки обновлений.

    Позже компания изменила решение и уже в апреле 2019 года пользователи новой версии Windows 10 Home смогут получить возможность приостановить установку обновления Windows на срок до семи дней или запланировать его на определенную дату.

    Тем не менее оперативная установка обновлений не снижает риск заражения компьютера.

    В ходе мероприятия Blue Hat IL, проходившем в феврале в Тель-Авиве (Израиль), специалисты команды безопасности Microsoft рассказали, что большинство кибератак проводятся с использованием эксплоитов для уязвимостей нулевого дня, а не для уже исправленных багов.

    Согласно данным Microsoft, только 2-3% исправленных уязвимостей используются в атаках, проводимых через 30 дней после выпуска обновлений.

    «Если уязвимость используется, она, скорее всего, будет эксплуатироваться как уязвимость нулевого дня. В настоящее время редко можно увидеть эксплоиты для уже исправленных уязвимостей, выпущенные в течение 30 дней с момента появления патча. Когда уязвимость используется как 0-Day, она, скорее всего, будет впервые использована в целевой атаке. В атаках на старые версиии ПО обычно используются эксплоиты для уже исправленных уязвимостей», - отметили специалисты корпорации.

    Подробнее: https://www.securitylab.ru/news/497866.php
     
  9. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 17 фев 2019
    ЗЛОУМЫШЛЕННИКИ МАССОВО ЗАРАЖАЮТ СИСТЕМЫ КЛИЕНТОВ MSP ВЫМОГАТЕЛЕМ GANDCRAB

    По меньшей мере 126 внешних сервис-провайдеров, не обновивших плагин Kaseya, уязвимы к атакам GandCrab.

    Злоумышленники эксплуатируют уязвимость двухлетней давности в программном пакете, используемом значительным количеством компаний, предоставляющих услуги удаленной IT-поддержки, для проникновения в уязвимые сети и заражения рабочих станций клиентов вымогательским ПО GandCrab.

    Согласно сообщению на форуме Reddit и данным компании Huntress Labs, от атак уже пострадал по меньшей мере один провайдер. Речь идет об уязвимости в плагине Kaseya для профессионального решения по автоматизации сервисов ConnectWise Manage, используемого поставщиками удаленных услуг (managed service provider, MSP). Многие небольшие компании применяют продукты для централизации данных, поступающих от клиентов, и удаленного управления их рабочими станциями.

    В ноябре 2017 года в плагине была обнаружена уязвимость, позволяющая внедрить SQL-код (CVE-2017-18362), которая предоставляла возможность создать новые учетные записи администратора в основном приложении Kaseya. Тогда же PoC-код для автоматизации атак был опубликован на GitHub.

    Хотя производитель выпустил соответствующее обновление еще два года назад, судя по всему, многие компании проигнорировали его, тем самым оставив уязвимыми свои панели ConnectWise.

    По имеющимся данным, атаки начались две недели назад. В конце января появились сообщения об инциденте, связанном с одним из MSP, когда киберпреступники взломали сеть провайдера и заразили вымогателем GandCrab системы 80 его клиентов.

    В ответ на растущее число сообщений о вымогательских атаках компания ConnectWise выпустила предупреждение, в котором призвала пользователей обновить плагин Kaseya. Согласно информации вице-президента по маркетингу и связям с общественностью Kaseya Тонии Кипп (Taunia Kipp), 126 компаний все еще не установили обновление и находятся в зоне риска.

    Подробнее: https://www.securitylab.ru/news/497963.php
     
  10. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 19 фев 2019
    Алгоритм машинного обучения распознает Android-приложения внутри трафика Tor

    Итальянские специалисты создали алгоритм машинного обучения, способный распознавать Android-приложения с точностью до 97%.

    Специалисты Римского университета Сапиенца разработали алгоритм, способный, по их словам, выявлять используемые Android-приложения путем анализа трафика Tor с точностью до 97%. Алгоритм не является скриптом для деанонимизации пользователей, поскольку не способен раскрывать реальные IP-адреса или другую идентифицируемую информацию. Тем не менее, с его помощью можно определить, работает ли пользователь Tor с каким-либо Android-приложением.

    Исследование специалистов Римского университета Сапиенца основывается на предыдущих исследованиях, посвященных анализу TCP-пакетов внутри трафика Tor и выявлению отличий между трафиком браузеров, электронной почты, переписки, стриминга аудио/видео, передачи файлов, сервисов VoIP и пиринговых сетей. Итальянские ученые использовали эту концепцию анализа TCP-пакетов внутри трафика Tor с целью выявления особенностей трафика определенных Android-приложений.

    Специалисты создали алгоритм машинного обучения и натренировали его распознавать в трафике Tor характерные особенности десяти Android-приложений: браузера Tor для Android, Instagram, Facebook, Skype, uTorrent, Spotify, Twitch, YouTube, DailyMotion и Replaio Radio. После обучения алгоритм смог определять использование вышеперечисленных приложений с точностью до 97,3%.

    Однако не все так радужно, как может показаться на первый взгляд. Для начала, алгоритм может распознавать трафик приложений только при отсутствии фонового трафика в канале связи. То есть, определить приложение по его трафику возможно только в случае, если на устройстве пользователя запущено только одно это приложение. Если на устройстве работает много программ, TCP-трафик запутывается, и алгоритму гораздо сложнее различить шаблоны, характерные для каждого отдельного приложения. В таком случае точность распознавания существенно снижается.

    Помимо прочего, алгоритм испытывает трудности с определением трафика некоторых приложений. К примеру, он путает трафик стриминговых видеосервисов, таких как Spotify и YouTube. Кроме того, есть проблемы с выявлением приложений, «затихающих», когда пользователь работает с ними (к таковым в частности относятся браузер Tor, Instagram и Facebook).

    Подробнее: https://www.securitylab.ru/news/498006.php
     
  11. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 25 фев 2019
    Устройства D-Link DNS-320 атакует вымогательское ПО Cr1ptT0r

    Вектором распространения вредоноса являются уязвимости в устаревшей прошивке устройств.

    Новое вымогательское ПО для встроенных систем Cr1ptT0r атакует подключенные к интернету серверы NAS и шифрует хранящиеся на них данные. Первые сообщения о Cr1ptT0r появились на форуме Bleeping Computer от пользователей, чьи сетевые хранилища D-Link DNS-320 были заражены этим вредоносом.

    Компания D-Link больше не производит устройства DNS-320, однако, как сообщается на странице продукта на сайте производителя, поддержка по-прежнему продолжается. Правда, последняя версия прошивки была выпущена в 2016 году, и с тех пор были раскрыты уязвимости, которые могут использоваться в кибератаках.

    По мнению пользователей, именно уязвимости в устаревшей прошивке DNS-320 являются вектором распространения вымогателя. Создатели Cr1ptT0r подтвердили эту гипотезу в беседе со специалистами Bleeping Computer. По их словам, прошивка устройства настолько «дырявая», что ее нужно переписывать с нуля.

    Инфицировав устройство, вредонос шифрует файлы и требует выкуп за их восстановление. Для того чтобы доказать свою способность расшифровать файлы, операторы Cr1ptT0r предлагают расшифровать первый файл бесплатно. Сумма выкупа не указывается, вместо этого вымогатели просят жертву связаться с ними по одному из указанных контактов.

    По словам операторов Cr1ptT0r, их целью является исключительно получение финансовой выгоды и шпионаж их не интересует. Тем не менее, они не могут гарантировать своим жертвам сохранение конфиденциальности.

    Инструмент для расшифровки файлов можно приобрести на подпольной торговой площадке OpenBazaar за $1200 в биткойнах, однако заплатить вымогателям намного дешевле – всего $19,99.

    На момент появления вредоноса сканирование его файла ELF с помощью VirusTotal показало низкий уровень обнаружения – Cr1ptT0r как угрозу распознавало только одно решение безопасности. На сегодняшний день вымогатель был добавлен в базы данных еще ряда антивирусных продуктов.

    Подробнее: https://www.securitylab.ru/news/498105.php
     
  12. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 26 фев 2019
    Прошивка арендованных серверов может содержать шпионское ПО

    Злоумышленники могут арендовать сервер и внедрить в его прошивку шпионское ПО, которое не будет удалено провайдером.

    Облачные провайдеры, сдающие свои физические серверы в аренду, должны тщательно следить за тем, чтобы между их развертываниями записываемая память была полностью очищена. Злоумышленники, ранее арендовавшие серверы, могут оставлять в флэш-памяти на материнской плате вредоносное ПО, активизирующееся после того, как сервер был сдан в аренду следующему клиенту.

    Исследователи компании Eclypsium продемонстрировали на примере принадлежащего IBM поставщика выделенных серверов SoftLayer, как предоставление клиентам прав суперпользователя на арендованном оборудовании может поставить следующих арендаторов под угрозу кибератак на уровне прошивки.

    По словам исследователей, злоумышленники могут арендовать физический сервер, проэксплуатировать уязвимость в его прошивке (например, в кодах UEFI или BMC) и, обеспечив себе постоянное присутствие на сервере, тайно следить за его использованием следующими арендаторами. Другими словами, атакующие могут внедрить в прошивку сервера шпионское ПО, работающее незаметно для операционной системы и антивирусных решений.

    В идеале перед тем, как сдавать сервер следующим арендаторам, провайдер должен полностью очистить память и сбросить все настройки прошивки. Тем не менее, вышеописанные атаки вполне реальны.

    В ходе исследования специалисты Eclypsium арендовали сервер у SoftLayer и внесли некоторые изменения в уязвимую прошивку Supermicro BMC. Затем исследователи вернули сервер провайдеру и снова арендовали его от имени другого пользователя, для того чтобы посмотреть, сохранились ли внесенные ими изменения. Как оказалось, все изменения сохранились. То есть, после того, как провайдер получил свой сервер обратно от предыдущего арендатора, очистил его и сдал внаем другому арендатору, настройки прошивки не были сброшены.

    Исследователи уведомили IBM о проблеме в сентябре прошлого года, но не получали от компании никаких сообщений с декабря. На этой неделе Eclypsium собралась опубликовать свое исследование в открытом доступе, и за день до этого IBM сообщила об исправлении уязвимости.

    Подробнее: https://www.securitylab.ru/news/498128.php
     
  13. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 5 мар 2019
    Positive Technologies: число критически опасных уязвимостей веб-приложений в 2018 году выросло в три раза

    Специалисты Positive Technologies подготовили статистику уязвимостей, обнаруженных в ходе проведения работ по тестированию безопасности веб-приложений в 2018 году.

    Специалисты Positive Technologies подготовили статистику уязвимостей, обнаруженных в ходе проведения работ по тестированию безопасности веб-приложений в 2018 году. Исследование показало, что в среднем на одно веб-приложение приходится 33 уязвимости, шесть из которых имеют высокий уровень риска.

    Доля приложений с критически опасными ошибками безопасности сегодня составляет 67%. Число критически опасных уязвимостей, которое в среднем приходится на одно веб-приложение, по сравнению с 2017 годом выросло в три раза. Среди них наиболее распространены уязвимости, связанные с недостаточной авторизацией, возможностью загрузки или чтения произвольных файлов, а также с возможностью внедрения SQL-кода. Также высока доля веб-приложений с уязвимостями «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS). В четырех из каждых пяти веб-приложений отмечены ошибки конфигурации.

    Помимо этого, в 19% веб-приложений содержатся уязвимости, позволяющие злоумышленнику получить контроль не только над приложением, но и над ОС сервера. Если такой сервер находится на сетевом периметре организации, злоумышленник может проникнуть во внутреннюю сеть компании.

    Персональные данные хранятся и обрабатываются почти в каждом исследованном веб-приложении (91%). При этом киберпреступники могут похитить личную информацию пользователей в 18% веб-приложений, где осуществляется обработка данных.

    «Для обеспечения безопасности веб-приложений необходимо проводить анализ их защищенности, — говорит аналитик Positive Technologies Яна Авезова. — Тестирование методом белого ящика (с известным исходным кодом) позволяет выявить и в дальнейшем устранить уязвимости, не дожидаясь кибератаки. При этом для исправления 83% уязвимостей, включая большинство критически опасных, необходимо внести изменения в программный код. Для снижения риска нарушения бизнес-процессов в период подготовки нового релиза приложения мы рекомендуем использовать специализированные решения, в частности межсетевые экраны уровня приложений (web application firewalls, WAF)».

    Подробнее: https://www.securitylab.ru/news/498225.php
     
  14. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 10 мар 2019
    IoT-устройства с уязвимыми UPnP ставят безопасность под угрозу

    На многих бытовых смарт-устройствах включены устаревшие версии UPnP.

    Ранее в этом году неизвестные засыпали пользователей Chromecast, Google Home и смарт-телевизоров спам-сообщениями с призывом подписаться на YouTube-канал видеоблогера PewDiePie. Согласно отчету исследователей TrendMicro, спамеры, очевидно, воспользовались некорректной конфигурацией маршрутизаторов с включенным сервисом Universal Plug and Play (UPnP).

    Многие устройства «Интернета вещей» (IoT) используют UPnP для автоматического обнаружения, проверки и связи с другими устройствами в одной с ними локальной сети. UPnP существенно упрощает жизнь, но в то же время добавляет дополнительные угрозы безопасности.

    С помощью бесплатных инструментов для сканирования IoT-устройств исследователи TrendMicro обнаружили, что на гаджетах пользователей по-прежнему активирован UPnP. По состоянию на январь 2019 года сервис был включен на 76% маршрутизаторов, 27% медиа-устройств (DVD-проигрывателях, стриминговых устройств и пр.) и 19% игровых консолей.

    Злоумышленники могут превратить уязвимые реализации UPnP в прокси для обфускации ботнетов, а также в ботов для осуществления DDoS-атак и рассылки спама. Ярким примером является ботнет Satori, операторы которого эксплуатируют уязвимость в Realtek SDK miniigd, использующемся в интерфейсе UPnP SOAP (CVE-2014-8361). Уязвимость, позволяющая внедрять команды, была исправлена в мае 2015 года, однако на многих устройствах по-прежнему используются устаревшие уязвимые версии UPnP.

    Подробнее: https://www.securitylab.ru/news/498252.php
     
  15. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 22 мар 2019
    Группировка Carbanak вернулась с новыми инструментами атак

    Несмотря на аресты, оставшиеся участники Carbanak по-прежнему активны и продолжают совершенствовать свои инструменты и методы атак.

    Печально известная группировка Carbanak (она же Fin7) возобновила деятельность и добавила в свой арсенал абсолютно новое вредоносное ПО и инструменты администрирования. В августе минувшего года американские правоохранители арестовали троих высокопоставленных участников группировки, действовавших под прикрытием на первый взгляд легитимной компании Combi Security. Однако, несмотря на аресты, оставшиеся участники Carbanak по-прежнему сохраняют активность и продолжают совершенствовать свои инструменты и методы атак.

    Для заражения систем вредоносным ПО группировка использует один из наиболее распространенных методов – фишинг. Согласно отчету компании Flashpoint, описывающему подробности недавних кампаний Carbanak, одно из фишинговых писем содержало ранее нигде не встречавшееся вредоносное ПО, получившее название SQLRat. Троян способен загружать и исполнять SQL скрипты на зараженных системах. Троян не оставляет артефакты, как обычное вредоносное ПО, поэтому отследить и проанализировать его довольно сложно. Скрипт подключается к контролируемой Carbanak базе данных Microsoft и исполняет контент различных таблиц, в том числе записывает на диск загрузчик Tinymet Meterpreter.

    Бэкдор DNSbot- еще один новый вредонос, появившийся в активе Carbanak. Он использует DNS-трафик для передачи команд и данных с инфицированной системы. Программа также может переключаться между зашифрованными каналами (включая HTTPS и SSL). Также группировка обзавелась новой написанной на PHP панелью управления скриптами под названием Astra, используемой для отправки вредоносного кода на скомпрометированные компьютеры.

    Подробнее: https://www.securitylab.ru/news/498424.php
     
  16. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 6 апр 2019
    Киберпреступники переадресовывают трафик маршрутизаторов D-Link на вредоносные сайты

    Для компрометации устройств злоумышленники используют известные уязвимости в прошивке.

    В последние три месяца некая киберпреступная группировка взламывает домашние маршрутизаторы (в основном речь идет о моделях D-Link), меняет настройки DNS-сервера и перенаправляет трафик на вредоносные web-сайты. Для компрометации устройств злоумышленники используют известные уязвимости в прошивке.

    По данным специалистов Bad Packets, отслеживающих кампанию, список атакуемых маршрутизаторов включает модели D-Link DSL-2640B, D-Link DSL-2740R, D-Link DSL-2780B, D-Link DSL-526B, ARG-W4 ADSL, DSLink 260E, устройства Secutech и TOTOLINK. Эксперты зафиксировали три волны атак – в конце декабря 2018 года, начале февраля 2019 года и в конце марта. Кампания все еще активна.

    В ходе атак злоумышленники внедряют IP-адреса вредоносных DNS-серверов и подменяют IP-адреса легитимных сайтов адресами вредоносных ресурсов. На данный момент исследователи выявили только четыре адреса - 66.70.173.48, 144.217.191.145, 195.128.126.165 и 195.128.124.131.

    Специалисты пока не смогли определить, какие именно легитимные сайты подменяют атакующие, однако они выяснили, что большинство DNS-запросов перенаправляется на два IP-адреса, один принадлежит болгарскому хостинг-провайдеру, который в прошлом связывался с вредоносными кампаниями, а второй – сервису по монетизации паркованных доменов.

    Специалисты рекомендуют владельцам маршрутизаторов обновить прошивку устройств, а также проверить настройки DNS на предмет изменений.

    Парковка доменов (domain parking) — регистрация доменного имени на DNS-серверах предоставляющего парковку сервиса без использования домена по прямому назначению (для создания web-сайтов). Парковка домена позволяет зарезервировать (сохранить за собой) неиспользуемое доменное имя его владельцу.

    Подробнее: https://www.securitylab.ru/news/498650.php
     
  17. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 7 апр 2019
    Positive Technologies: преступники могут получить доступ к информации клиентов в каждом онлайн-банке

    Эксперты оценили уровень защищенности онлайн-банков в 2018 году.

    Эксперты компании оценили уровень защищенности онлайн-банков в 2018 году и выяснили, что 54% из обследованных систем позволяют злоумышленникам похитить денежные средства, а угрозе несанкционированного доступа к личным данным и банковской тайне подвержены все онлайн-банки.По данным проведенного анализа, большинство изученных онлайн-банков содержат критически опасные уязвимости. В результате работ по оценке защищенности онлайн-банков в каждой исследованной системе были обнаружены уязвимости, которые могут привести к серьезным последствиям.

    Угроза несанкционированного доступа к информации клиентов и банковской тайне, например к выпискам по счету или платежным поручениям других пользователей, оказалась актуальной для каждого исследованного онлайн-банка, а в отдельных случаях уязвимости позволяли развивать атаку на ресурсы корпоративной сети банка. Исследования Positive Technologies показывают, что данные входят в ТОП наиболее популярных для продажи в дарквебе продуктов. При этом непосредственно на долю учетных данных и данных банковских карт приходится более 80% в общем объеме продающихся данных. Средняя стоимость данных одного пользователя онлайн-банка составляет 22 долл. США.

    В ходе анализа в 77% обследованных онлайн-банков были обнаружены недостатки реализации механизмов двухфакторной аутентификации. По словам аналитика Positive Technologies Яны Авезовой, в некоторых онлайн-банках одноразовые пароли для критически важных действий (например, для аутентификации) не применяются или имеют слишком большой срок действия. Эксперты связывают это с тем, что банки стремятся найти баланс между безопасностью и удобством использования.

    «Отказ даже от части мер безопасности в пользу удобства повышает риск совершения мошеннических операций. Если нет необходимости подтверждать операцию с помощью одноразового пароля, злоумышленнику больше не требуется доступ к мобильному телефону жертвы, а слишком большой срок действия пароля повышает шанс его успешного подбора, поскольку при отсутствии ограничений на подбор одноразовый пароль из четырех символов можно подобрать за считаные минуты», — отметил руководитель группы исследования безопасности банковских систем Positive Technologies Ярослав Бабин.

    Сравнительный анализ показал, что изученные готовые решения, предлагаемые вендорами, содержат в три раза меньше уязвимостей, чем системы, разработанные банками самостоятельно. А вот количество уязвимостей в продуктивных и тестовых системах сравнялось: согласно статистике, в 2018 году оба эти типа систем в большинстве случаев содержат как минимум одну критически опасную уязвимость. Эксперты связывают это с тем, что разработчики, единожды протестировав систему на безопасность, склонны откладывать повторный анализ защищенности после внесения изменений в программный код, что неминуемо приводит к накоплению уязвимостей, и со временем их число становится сопоставимо с тем, которое было обнаружено при первичной проверке.

    Главной позитивной тенденцией в безопасности финансовых онлайн-приложений в 2018 году стало сокращение доли уязвимостей высокого уровня риска в общем числе всех выявленных недостатков. По данным специалистов Positive Technologies, доля критически опасных уязвимостей снизилась вдвое по сравнению с предыдущим годом. Однако в целом уровень защищенности онлайн-банков остается низким.

    Подробнее: https://www.securitylab.ru/news/498647.php
     
  18. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 19 апр 2019 в 18:57
    Сетевые DoS-атаки на ПЛК могут привести к сбою физических процессов

    В промышленной среде именно уязвимости отказа в обслуживании представляют большую угрозу.

    Совместная команда исследователей из Университета Аугсбурга и Свободного университета Берлина (Германия) продемонстрировала интересный вид DoS-атаки на программируемые логические контроллеры (ПЛК), позволяющий нарушить физические процессы, контролируемые устройством.

    Данная проблема получила идентификатор CVE-2019-10953, а ее уровень опасности оценивается в 7,5 балла по шкале CVSS v3. В отличие от IT-систем в промышленной среде именно уязвимости отказа в обслуживании представляют большую угрозу.

    Атака направлена на время цикла ПЛК. Рабочий цикл контроллера включает несколько фаз: начало цикла, чтение состояния входов (датчиков), выполнение кода программы пользователя, выполнение задач по диагностике и коммуникации, запись состояния выходов. Как правило, цикл занимает от 1 до 10 мс.

    Исследователи продемонстрировали, как специально сформированный сетевой трафик, направленный на ПЛК, может повлиять на время цикла, что приведет к сбою контролируемых устройством физических процессов. По их словам, атака может быть осуществлена либо из интернета (если целевое устройство подключено к Сети), либо со скомпрометированного устройства в той же сети, что и ПЛК. При этом атакующему не нужно знать, какие процессы контролирует ПЛК или какая программа на нем работает.

    Атака была протестирована на 16 устройствах от 6 различных производителей, в частности, ABB, Phoenix Contact, Schneider Electric, Siemens и WAGO. По мере возможности она производилась на ПЛК с установленными по умолчанию настройками.

    «ПЛК реагировали по-разному: одни полностью перестали обновлять состояние входов, работа других существенно замедлилась», - отметили специалисты.

    Только одно из протестированных устройств оказалось не подвержено атаке данного типа. Стоит отметить, что патчи, устраняющие данную уязвимость, выпустил только 1 вендор из шести. В частности, компания Schneider Electric выпустила соответствующие обновления для решений Modicon M221 и EcoStruxure Machine Expert. В ABB заявили, что атака затрагивает только устройства с установленными по умолчанию настройками. По словам представителей Phoenix Contact, проблема касается только устаревших устройств и не затрагивает новые версии продуктов. Как сообщили в Siemens, ее продукты уязвимости не подвержены, а в WAGO заявили, что проблема довольно старая и порекомендовали предпринять меры против ее эксплуатации, в частности, использовать ПЛК в закрытых сетях либо защитить их межсетевым экраном, а также установить ограничение сетевого трафика.

    Подробнее: https://www.securitylab.ru/news/498862.php
     
  19. unbreakable

    unbreakable Модератор

    Репутация:
    1.916.756.136
    unbreakable, 21 апр 2019 в 18:17
    Google реализует новую меру защиты от фишинговых атак

    С июня компания начнет блокировать авторизацию из встроенных в приложения браузеров.

    С целью обеспечения лучшей защиты от атак типа «человек посередине» («man in the middle», MitM) компания Google будет блокировать попытки авторизации, инициированные из встроенных фреймворков для web-браузинга, которые нередко используются в фишинговых атаках.

    Речь идет о Chromium Embedded Framework (CEF), XULRunner и тому подобных инструментах. Встроенные фреймворки браузеров позволяют разработчикам добавлять в приложения функции браузера. К примеру, CEF предоставляет возможность встраивать в приложения браузерный движок Chromium.

    Как пояснил директор по продукции Google Джонатан Скелкер (Jonathan Skelker) в блоге компании, фишеры могут использовать такие фреймворки для выполнения скрипта JavaScript на web-странице и автоматизации пользовательской активности. В рамках атаки «человек посередине» злоумышленник, владеющий учетными данными и кодами двухфакторной аутентификации, может автоматизировать авторизацию в настоящих сервисах Google.

    Подобные атаки сложно обнаружить, и блокировка попыток авторизации с этих платформ должна решить проблему.

    «Поскольку мы не можем заметить разницу между легитимной авторизацией и MitM-атакой на данные платформы, начиная с июня, мы будем блокировать попытки авторизации с встроенных браузерных фреймворков», - пишет Скелкер.

    Данная мера коснется разработчиков, которым придется изъять такие фреймворки из своих приложений. Им Google рекомендует перейти на использование Oauth-аутентификации.

    Подробнее: https://www.securitylab.ru/news/498857.php
     
Загрузка...