Новости информационной безопасности

unbreakable

Модератор
Хакеры взламывают NAS LenovoEMC и стирают файлы
Группировка Cl0ud SecuritY обещает вернуть удаленные данные за вознаграждение.


Киберпреступная группировка Cl0ud SecuritY взламывает устаревшие сетевые хранилища (NAS) LenovoEMC (в прошлом Iomega), стирает все файлы и требует $200-275 за их возвращение. После удаления данных злоумышленники оставляют текстовый файл RECOVER YOUR FILES !!!!.txt с указанием контактного электронного адреса ( cloud@mail2pay.com ).

По данным портала BitcoinAbuse, где пользователи могут сообщать о биткойн-кошельках, использующихся в вымогательских и других киберпреступных операциях, атаки продолжаются по крайней мере уже месяц. Атаки нацелены исключительно на сетевые хранилища LenovoEMC/Iomega с подключенным к интернету интерфейсом без парольной защиты.

Похоже, данная кампания является продолжением прошлогодней операции, в ходе которой злоумышленники также атаковали устаревшие сетевые хранилища LenovoEMC/Iomega, чья поддержка прекратилась в 2018 году. Хотя в первой кампании злоумышленники не называли себя и использовали другой контактный электронный адрес, записки с требованием выкупа в обоих случаях очень похожи, что может указывать на одну и ту же группировку.

Как сообщил изданию ZDNet исследователь безопасности из GDI Foundation Виктор Геверс (Victor Gevers), атаки являются делом рук малоопытных хакеров. Злоумышленники используют простой эксплоит, атакуют устройства, уже и так доступные через интернет, и не утруждают себя шифрованием файлов.

По словам киберпреступников, они копируют хранящие в сетевых хранилищах данные перед их удалением и намерены опубликовать их в открытом доступе, если выкуп не будет уплачен в течение пяти дней. Тем не менее, нет никаких доказательств того, что вымогатели действительно делают резервные копии удаляемых файлов, равно как и того, что данные публикуются в случае неуплаты.

Хакеры взламывают NAS LenovoEMC и стирают файлы
 

unbreakable

Модератор
Одна из крупнейших в истории DDoS-атак на полчаса отключила 15% мирового интернета
DDoS-атака была осуществлена с помощью скомпрометированных устройств «Интернета вещей» (IoT).


В июне нынешнего года одна из крупнейших в истории DDoS-атак на полчаса отключила 15% мирового интернета. Об этом информагентству «УНІАН» сообщили сотрудники Национального координационного центра кибербезопасности при Совете национальной безопасности и обороны (СНБО) Украины.

По словам заместителя секретаря СНБО Сергея Демедюка, в течение нескольких дней киберпреступники успешно атаковали десятки провайдеров по всему миру, включая Украину. Как показал анализ собранных специалистами данных, на первых этапах большинство инцидентов были лишь подготовкой к большой скоординированной атаке, направленной на блокирование доступа к сегментам интернета на глобальном уровне. «Поэтому мы сразу предупредили украинских провайдеров, соответствующих субъектов кибербезопасности и зарубежных партнеров об угрозе и дали рекомендации по реагированию на подобные атаки», - сообщил Демедюк.

Прогноз экспертов Национального координационного центра кибербезопасности подтвердился в июне 2020 года, когда была зафиксирована DDoS-атака нового типа мощностью почти 780 Гбит/с. В результате инцидента на 30 минут было отключено 15% всего мирового интернета и ряда магистральных провайдеров.

DDoS-атака была осуществлена с помощью скомпрометированных устройств «Интернета вещей» (IoT). Как пояснил Демедюк, особенность атаки заключается в том, что она была направлена непосредственно на инфраструктуру провайдеров. В настоящее время на территории Украины обнаружено порядка 10 тысяч устройств, которые могут использоваться для осуществления подобной DDoS-атаки. Такого количества вполне достаточно для того, чтобы с помощью кибератаки отключить интернет почти во всей стране.
Одна из крупнейших в истории DDoS-атак на полчаса отключила 15% мирового интернета
 
Обзор уязвимостей за неделю: 17 июля 2020 года
Были исправлены уязвимости в продуктах Adobe, Microsoft, Oracle, SAP и пр.


Компания Microsoft в рамках плановых июльских обновлений безопасности исправила 123 уязвимости в 13 продуктах, включая критическую уязвимость SigRed ( CVE-2020-1350 ). SigRed затрагивает DNS-компонент Windows Server, а ее эксплуатация позволяет перехватить полный контроль над IT-инфраструктурой предприятия и автоматизировать атаки, позволяя им распространяться по всей корпоративной сети. Уязвимость получила максимальную оценку в 10 баллов по шкале CVSS и затрагивает все версии Windows Server.

Обновления также содержат исправления для RCE-уязвимостей в Microsoft Word , Microsoft Excel , Microsoft Office , Microsoft Outlook , Microsoft Sharepoint , файлах Windows LNK и различных графических компонентах Windows .

Крупный производитель корпоративного ПО SAP исправил в своих продуктах опасную уязвимость ( CVE-2020-6287 ), получившую название RECON. Проблема затрагивает большую часть клиентов и делает организации уязвимыми к простой кибератаке.

Уязвимость присутствует в компоненте LM Configuration Wizard, являющемся частью NetWeaver Application Server (AS). Данный компонент входит во все приложения SAP, использующие технологический стэк SAP NetWeaver Java, в том числе в SAP S/4HANA, SAP SCM, SAP CRM, SAP CRM, SAP Enterprise Portal и SAP Solution Manager (SolMan) и пр.

С помощью данной уязвимости удаленный неавторизованный злоумышленник может создать нового пользователя SAP с наивысшими привилегиями и полностью скомпрометировать уязвимые системы, что позволит похитить или изменить конфиденциальную информацию или вызвать сбой в работе важных бизнес-процессов. Проблема может быть проэксплуатирована через интерфейс HTTP, который обычно предоставляется конечным пользователям, а во многих случаях — через интернет.

Oracle выпустила большое ежеквартальное обновление, устраняющее 433 уязвимости, многие из которых затрагивают несколько продуктов, включая Oracle Insurance Policy Administration , Java SE , Oracle iLearning , Oracle WebLogic Server , Oracle Banking Platform , Oracle Applications Framework и пр. Сотни из этих уязвимостей могут быть проэксплуатированы удаленно неавторизованным злоумышленником.

Компания Adobe выпустила обновления безопасности, устраняющие в общей сложности 13 уязвимостей. Проблемы затрагивают 5 приложений — Adobe Creative Cloud Desktop Application, Adobe Media Encoder , Adobe Genuine Service , Adobe ColdFusion и Adobe Download Manager. Их эксплуатация позволяет удаленно выполнить код, повысить привилегии и раскрыть информацию.

В маршрутизаторах серии Moxa EDR-G902 и EDR-G903 (версии старше 5.4) обнаружена уязвимость удаленного выполнения кода ( CVE-2020-14511 ), которую можно использовать для взлома целевой системы. Удаленный неавторизованный злоумышленник может выполнить вредоносную операцию с помощью специально созданного cookie-файла web-браузера, вызвать переполнение буфера в стеке и выполнить произвольный код на целевой системе.

В web-сервере Siemens LOGO обнаружена опасная уязвимость ( CVE-2020-7593 ), эксплуатация которой позволяет удаленно выполнить код. Уязвимость переполнения буфера в стеке позволяет неавторизованному злоумышленнику отправлять специально сформированные HTTP-запросы, что может привести к повреждению памяти и удаленному выполнению кода.

Обзор уязвимостей за неделю: 17 июля 2020 года
 

    purple

    очки: 9.999
    Нет комментариев

    МиРоТВоРеЦ

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Новые ИБ-решения недели: 24 июля 2020 года

Краткий обзор новых предложений в сфере информационной безопасности.


Компания «Ростелеком-Солар» объявила о выходе новой версии анализатора защищенности приложений Solar appScreener 3.6. Система позволяет проводить тестирование программного обеспечения на уязвимости и НДВ для соответствия четвертому оценочному уровню доверия (ОУД4) согласно требованиям положений Банка России.

Важным шагом в направлении развития автоматизации сканирования кода на уязвимости стала более тесная интеграция Solar appScreener с системами хранения и управления версиями кода (репозиториями) GitLab, GitHub и Bitbucket. Данная интеграция позволяет анализатору самостоятельно отслеживать появление новой версии кода в репозитории, автоматически запускать анализ новых частей кода на уязвимости с возможностью последующей отправки результатов сканирования ответственному сотруднику. Ранее эта функциональность требовала ручной настройки, а начиная с версии 3.6, доступна «из коробки».

Также в новой версии был сделан ряд доработок, направленных на повышение удобства и комфорта работы с системой. Так, в интерфейсе анализатора появилась опция создания пустых проектов без сканирований с возможностью предварительной настройки интеграции с репозиториями для проведения автоматизированного анализа кода в будущем.

Кроме того, компания «Ростелеком-Солар» выпустила новую версию своей системы управления идентификационными данными и доступом Solar inRights 2.10. Ключевые усовершенствования коснулись модуля работы с нарушениями политик безопасности. Совокупно новая функциональность позволяет сократить время, необходимое администратору для работы с системой, за счет элементов автоматизации и усиленного аналитического инструментария.

В модуле работы с нарушениями политик доступа появился набор фильтров, которые значительно упростили и ускорили обработку нарушений политик безопасности. Теперь можно быстро сделать выборку нарушений по статусу, по конкретной системе, за определённый период или дату, а также по другим параметрам. По каждому нарушению можно просмотреть детализацию, например, о внесенных при его обработке комментариях. Для проведения расследований ИБ и построения отчетов стала доступной история работы со всеми нарушениями.

В новой версии появилась возможность выполнять массовые операции с нарушениями политик безопасности. Например, можно выбрать несколько нарушений по критериям «система», «роль», «полномочие», «дата», «ФИО» и применить к ним массовые операции типа исправить, легализовать и т.п.

Еще один отечественный производитель, компания ICL Техно, представила новый программно-аппаратный комплекс ICL UTM teamRAY для обеспечения многоуровневой защиты информации, формирования контролируемого доступа в интернет и защиты корпоративных компьютерных сетей от несанкционированного доступа. Продукт относится к классу универсальных шлюзов безопасности (UTM).

ICL UTM teamRAY прост в управлении и обладает широким функционалом. Межсетевой экран защищает компьютерную сеть от несанкционированного доступа из внешней среды, обеспечивает доступ к внутренним серверам компании из интернета. Система обнаружения и предотвращения вторжений (IDS/IPS) значительно снижает риски взлома корпоративной сети, хакерских атак и хищения/блокировки/искажения данных. Шлюзовой антивирус обеспечивает антивирусную проверку веб-трафика и обеспечивает защиту корпоративной сети от проникновения вредоносных программ.

Прокси-сервер поддерживает HTTP, HTTPS, FTP, прозрачное проксирование, перехват и дешифрование SSL/TLS-соединений, кеширование веб-контента. Фильтрация трафика осуществляется по IP-адресам клиентов и сетям, портам назначения, типу браузера (User Agent), типу контента (по MIME-типам), общим белым и черным URL-спискам, индивидуальным URL-спискам, назначаемым на доменного/локального пользователя или группу, и по скачиваемым URL-спискам (SquidGuard).

ICL UTM teamRAY обеспечивает различные методы аутентификации (включая двухфакторную) и управление пропускной способностью канала доступа в интернет динамическим шейпером и приоритизацией трафика.

Подробнее: https://www.securitylab.ru/news/510520.php
 

unbreakable

Модератор
Уязвимость в некоторых 3D-принтерах позволяет вызвать самовозгорание

Злоумышленники могут обойти функции безопасности, встроенные в прошивку 3D-принтеров с помощью созданных обновлений.


Исследователи безопасности из компании Coalfire обнаружили способ подделки обновлений прошивки некоторых 3D-принтеров, позволяющий повысить температуру в устройстве и потенциально вызвать его возгорание. Злоумышленники могут обойти функции безопасности, встроенные в прошивку принтеров от китайской компании Flashforge, с помощью специально созданных обновлений.

Эксперты использовали инструмент АНБ Ghidra для взлома прошивки принтера. Для осуществления кибератаки также необходимо, чтобы злоумышленник был подключен к той же сети, что и целевое устройство. Таким образом специалисты хотели продемонстрировать реальные физические угрозы, связанные с подключением бытовых IoT-устройств.

«3D-принтеры Flashforge Finder поставляются с открытым портом 8899 без аутентификации, что, предположительно, является довольно распространенным явлением для данных устройств. Порт принимает команды G-кода для выполнения таких действий, как повышение температуры, выдавливание пластика и перемещение наконечника нагретого экструдера», — пояснил старший научный сотрудник Coalfire Дэн Макинерни (Dan McInerney).

В ПО принтера был обнаружен код, который не позволял повышать температуру печатающий головки принтера выше 261°C. Специалистам удалось с помощью инструмента Ghidra определить ключевую переменную, управляющую температурой отключения, и обойти данное ограничение. Наибольшая опасность заключается в том, что измененная прошивка может быть перенесена на новый принтер, печатающая головка которого также начнет перегреваться.

Подробнее: https://www.securitylab.ru/news/510726.php
 

    МиРоТВоРеЦ

    очки: 9.999
    Нет комментариев

    krolik

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Новые ИБ-решения недели: 7 августа 2020 года

Коротко о новинках прошедшей недели.


Компания Qualys предложила новый подход к защите конечных точек от киберугроз с выходом своего нового EDR-решения. Традиционные EDR-решения обнаруживают угрозы путем мониторинга активности на конечных точках. В результате для точного анализа атак им не хватает полного контекста, что приводит к неполной картине и большому количеству ложноположительных срабатываний. Qualys Multi-Vector EDR решает эту проблему с помощью нового многовекторного подхода и своей масштабируемой облачной платформы, которые обеспечивают необходимый контекст и всестороннюю видимость всей цепочки атаки.

Брокер безопасного доступа в облако McAfee MVISION Cloud теперь проецирует данные об угрозах в базу знаний MITRE ATT&CK . Тем самым компания McAfee обеспечила возможность с высокой точностью отслеживать, выявлять и блокировать атаки на облачные сервисы. Отныне нет нужды вручную сортировать и отправлять данные об инцидентах фреймворкам наподобие ATT&CK или изучать и вводить в действие отдельные фреймворки для облачных угроз и уязвимостей, что может быть весьма обременительно и требовать много времени (особенно с учетом стремительного роста числа облачных угроз).

Компания Amazon представила Amazon Fraud Detector – полностью управляемый сервис на базе технологий машинного обучения для выявления потенциально мошеннических действий в интернете, например при осуществлении online-платежей или создании фальшивых учетных записей. С помощью всего нескольких кликов в консоли Amazon Fraud Detector пользователи могут выбрать предварительно созданный шаблон модели машинного обучения, загрузить данные о прошлых событиях и создать логику принятия решений, чтобы назначить результаты для прогнозов.

Компания Veritas Technologies добавила в свое комплексное решение безопасности корпоративного уровня Enterprise Data Services Platform нововведения, позволяющие пользователям снизить риски, оптимизировать расходы, усилить устойчивость к атакам вымогательского ПО и управлять многооблачными средами в масштабе. С запуском новой версии сервиса NetBackup 8.3, который является «сердцем» Enterprise Data Services Platform, Veritas Technologies расширяет возможности корпоративных клиентов за счет повышения отказоустойчивости их приложений и инфраструктуры независимо от контекста.

Компания Sonrai Security анонсировала движок Governance Automation Engine для своей корпоративной платформы Sonrai Dig , предназначенной для управления идентификацией и данными в AWS, Azure, Google Cloud и Kubernetes. Governance Automation Engine помогает предприятиям устранять критические болевые точки, включая проблемы безопасности, вызванные неправильной конфигурацией политики идентификации и рисками для данных, выходящими за пределы бакетов S3. Governance Automation Engine распространяется на такие базы данных, как Amazon RDS, DynamoDB, CosmosDB и пр., устраняя разрывы между командами облачных вычислений, безопасности, аудита и DevOps.

Компания Pulse Secure анонсировала выпуск Pulse Zero Trust Access (PZTA) – облачного многопользовательского сервиса для безопасного доступа, который позволяет организациям обеспечивать пользователям легкий доступ к многооблачным приложениям и приложениям в дата-центрах из любого места с политикой Zero Trust.

Компания CyberSaint Security обновила свою интегрированную платформу для управления рисками CyberSaint , позволяющую идентифицировать, измерять и динамически управлять IT-рисками, а также жизненным циклом управления рисками.

Подробнее: https://www.securitylab.ru/news/510915.php
 

    krolik

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Обзор инцидентов безопасности за период с 7 по 13 сентября 2020 года

Коротко о главных инцидентах безопасности в мире за прошлую неделю.


Согласно данным по раскрытым публично инцидентам безопасности за прошлую неделю, вымогательское ПО продолжает быть одной из самых распространенных угроз кибербезопасности корпоративного сектора. Прошедшая неделя также ознаменовалась сообщением о первой в мире кибератаке на облачную инфраструктуру с использованием легитимного инструмента. Об этих и других инцидентах безопасности за период с 7 по 13 сентября читайте в нашем обзоре.

В начале прошедшей недели SecurityLab сообщил о волне кибератак на сайты под управлением WordPress. Атаки начались 1 сентября, и к 4 сентября их количество достигло 1 млн. Злоумышленники обнаружили в старых версиях WordPress-плагина File Manager уязвимость нулевого дня, позволяющую загружать на сайт неавторизованные файлы, в том числе вредоносные. Выявив на сайте уязвимый File Manager, они эксплуатировали уязвимость, получали доступ к web-оболочке, захватывали контроль над ресурсом и включали его в ботнет.

В начале прошлой недели также стало известно о кибератаке на израильского производителя интегральных схем Tower Semiconductor. В компании не предоставили информацию относительно характера кибератаки (не исключено, что Tower Semiconductor стала жертвой вымогательского ПО) или ее масштаба, но уточнили, что в качестве превентивной меры была приостановлена работа некоторых серверов, а также ряд производственных процессов.

В отличие от Tower Semiconductor, характер кибератаки на Национальное управление миграции Аргентины, о которой сообщалось на прошлой неделе, вполне ясен – ведомство стало жертвой вымогательского ПО Netwalker. Вымогатель временно нарушил работу пограничных контрольно-пропускных пунктов Аргентины – первый известный случай, когда вымогательская атака на федеральное ведомство привела к сбою операций на государственном уровне.

Еще одна латиноамериканская организация, подвергшаяся атаке программы-вымогателя, – чилийский банк BancoEstado. В понедельник, 7 сентября, финорганизация была вынуждена закрыть все свои отделения из-за атаки вымогательского ПО. Подробности об инциденте не раскрываются, однако по некоторым сведениям банк стал жертвой программы-вымогателя ПО REvil (Sodinokibi).

7 сентября атаке вымогательского ПО Netwalker подверглась крупнейшая в Пакистане частная энергетическая компания K-Electric. Инцидент затронул внутренние сервисы компании, но, судя по всему, не повлиял на поставку электроэнергии. Согласно данным на сайте группировки Netwalker в даркнете, злоумышленники потребовали выкуп в размере $3,85 млн. В случае неуплаты выкупа в течение семи дней киберпреступники пригрозили увеличить сумму вдвое.

Об атаке вымогательского ПО на прошлой неделе также сообщил один из крупнейших мировых поставщиков услуг межсетевого соединения и обработки данных, компания Equinix. В компании не раскрывают масштаб атаки или информацию, о каком вымогательском ПО идет речь. Отмечается, что инцидент не затронул дата-центры и сервисы Equinix. Ведется расследование.

Не обошлось на прошлой неделе без очередных обвинений в адрес «русских хакеров». Как сообщила в своем блоге компания Microsoft, хакерская группировка Strontium (также известная как Fancy Bear), якобы действующая из России, «совершила атаки на 200 организаций, включая предвыборные штабы, правозащитные группы, партии и политических консультантов». Кроме того, в Microsoft зафиксировали хакерские атаки из Китая и Ирана. Их целью также было оказать влияние на выборы президента США.

Специалисты компании Intezer обнаружили первую в мире атаку на облачную среду с использованием легитимных инструментов. По их данным, киберпреступная группировка TeamTNT использует легитимный инструмент Weave Scope для обеспечения видимости и управления скомпрометированными облачными средами.

Помимо прочего, на прошлой неделе стало известно о волне кибератак на игроков в Call of Duty: Warzone. Злоумышленники взламывают учетные записи и требуют выкуп в биткойнах за возвращение доступа к ним. Судя по сообщениям некоторых игроков, киберпреступники взламывают учетные записи с помощью ранее утекших логинов и паролей. Как признался один из пострадавших, он использовал одни и те же пароли для доступа к разным сервисам.

Жертвой кибератаки на прошлой неделе также стала словацкая криптовалютная биржа. Злоумышленники взломали шесть online-кошельков, в которых хранились биткойны, эфиры, ERC20-токены, XRP, Tron, Tezos и Algorand. Компания не раскрывает сумму ущерба, но по некоторым данным, она превышает $5 млн.

Подробнее: https://www.securitylab.ru/news/512090.php
 

unbreakable

Модератор
Обзор уязвимостей за неделю: 2 октября 2020 года

Были обнаружены уязвимости в ПО Cisco IOS XE, плагинах для WordPress, ПО FoxRider и пр.


Компания Cisco Systems устранила ряд уязвимостей ( CVE-2020-3141 и CVE-2020-3425 ) в своем программном обеспечении IOS XE. Их эксплуатация позволяла удаленному злоумышленнику повысить привилегии на системе.

Портативное средство визуализации субтитров Libass для формата субтитров ASS/SSA (Advanced Substation Alpha / Substation Alpha) содержит опасную уязвимость , с помощью которой удаленный злоумышленник может выполнить произвольный код на целевой системе. Проблема затрагивает версию libass 0.14.0, и в настоящее время для нее нет патча.

Разработчик программного обеспечения, решений и сервисов в области информационной безопасности Fortinet выпустил обновление, исправляющее две уязвимости в операционной системе FortiOS. Одна из них ( CVE-2020-12819 ) может использоваться для выполнения атаки типа «отказа в обслуживании», а вторая ( CVE-2020-12820 ) позволяет удаленно выполнить код.

Две популярные промышленные системы удаленного доступа SiteManager и GateManager от B&R Automation ( CVE-2020-11641, CVE-2020-11642, CVE-2020-11643, CVE-2020-11644, CVE-2020-11645 и CVE-2020-11646 ), и mbCONNECT24 от MB Connect Line ( CVE-2020-24569, CVE-2020-24568 и CVE-2020-24570 ) содержат опасные уязвимости. Они могут быть использованы для предотвращения доступа к промышленным производственным цехам, взлома корпоративных сетей, а также хищения конфиденциальных данных.

В бета-версии модуля Foxit 3D Plugin были обнаружены две опасные уязвимости ( CVE-2020-17413 и CVE-2020-17412 ), которые могут позволить удаленному злоумышленнику выполнить произвольный код или скомпрометировать уязвимую систему. Другая уязвимость, менее опасная ( CVE-2020-17411 ), может быть использована для получения доступа к конфиденциальной информации.

Решения Foxit Reader и PhantomPDF содержат множество проблем , наиболее серьезная из которых может позволить удаленному злоумышленнику скомпрометировать уязвимую систему.

В ряде плагинов WordPress была обнаружена уязвимость, позволяющая удаленному злоумышленнику получить несанкционированный доступ к другим ограниченным функциям. Уязвимое программное обеспечение включает темы Transcend , Regina Lite , MedZone Lite и Brilliance для WordPress.

Подробнее: https://www.securitylab.ru/news/512720.php
 

    AddAll

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Обзор уязвимостей за неделю: 16 октября 2020 года

Были исправлены уязвимости в продуктах Microsoft, Adobe Flash Player, стеке протоколов Bluetooth в ядре Linux и пр.

image

Компания Microsoft выпустила плановые ежемесячные обновления безопасности для своих продуктов, исправляющие в общей сложности 87 уязвимостей. Самой опасной проблемой является уязвимость удаленного выполнения кода в стеке Windows TCP/IP ( CVE-2020-16898 ). Ее эксплуатация позволяет перехватить контроль над Windows путем отправки вредоносных пакетов ICMPv6 Router Advertisement через сетевое соединение.
Другие проблемы включают RCE-уязвимость ( CVE-2020-16947 ) в Microsoft Outlook, критическую уязвимость в Windows Hyper-V ( CVE-2020-16891 ), проблемы в наборе кодеков Microsoft Windows Camera ( CVE-2020-16967 и CVE-2020-16968 ), RCE-уязвимости в SharePoint Server ( CVE-2020-16951 и CVE-2020-16952 ), уязвимости в библиотеке Media Foundation ( CVE-2020-16915 ), движке рендеринга Base3D ( CVE-2020-17003 ), графических компонентах ( CVE-2020-16923 ) и компоненте Windows Graphics Device Interface ( CVE-2020-16911 )
Компания Adobe исправила критическую уязвимость удаленного выполнения кода в ПО Adobe Flash Player ( CVE-2020-9746 ). Злоумышленник может проэксплуатировать уязвимость путем вставки вредоносных строк в HTTP-ответ, который по умолчанию доставляется через TLS/SSL. Проблема устранена в версии Adobe Flash Player 32.0.0.445.
В драйверах сетевого интерфейса NetBSD USB содержится критическая уязвимость , эксплуатация которой позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Проблема связана с ошибками границ и затрагивает следующие сетевые интерфейсы USB: atu(4), axe(4), axen(4), otus(4), run(4) и ure(4).
В ОС Juniper Junos содержится опасная уязвимость ( CVE-2020-1667 ), позволяющая удаленному злоумышленнику повысить привилегии на системе. Уязвимость затрагивает следующие версии: с 17.3 по 17.3R3-S8, с 18.3 по 18.3R3-S1, с 18.4 по 18.4R3, с 19.1 по 19.1R3, с 19.2 по 19.2R2, с 19.3 по 19.3R3.
В ПО Trend Micro Antivirus для macOS содержатся две уязвимости ( CVE-2020-25777 и CVE-2020-25778 ), позволяющие удаленному злоумышленнику скомпрометировать систему или получить доступ к конфиденциальным данным.
Решение ARC Informatique PcVue для HMI/SCADA систем содержит несколько уязвимостей, самая опасная из которых ( CVE-2020-26867 ) позволяет удаленно выполнять код.
В промышленном адаптере связи Allen-Bradley Flex IO 1794-AENT серии B обнаружено множество уязвимостей. В общей сложности было выявлено пять опасных уязвимостей ( CVE-2020-6084, CVE-2020-6085, CVE-2020-6086, CVE-2020-6087 и CVE-2020-6088 ), связанных с переполнением буфера. Они затрагивают версии адаптера 4.003 и старше.
Уязвимости в официальном стеке протоколов Bluetooth в ядре Linux ( CVE-2020-12351, CVE-2020-12352 и CVE-2020-24490 ), получившие название BleedingTooth, могут быть использованы для запуска произвольного кода или доступа к конфиденциальной информации. Самой опасной проблемой является несоответствие используемых типов данных на основе кучи (CVE-2020-12351), затрагивающее версию ядра Linux 4.8 и старше. Уязвимость получила оценку в 8,3 балла по шкале CVSS.
Подробнее: https://www.securitylab.ru/news/513131.php
 

unbreakable

Модератор
Новые ИБ-решения недели: 23 октября 2020 года

Краткий обзор главных новинок на рынке решений информационной безопасности.

image

Компания Cyborg Security выпустила платформу HUNTR , призванную помочь организациям в борьбе с киберугрозами. Платформа HUNTR предоставляет расширенные и контекстуализированные инструменты для поиска и обнаружения угроз, содержащие поведенческий контент для поиска угроз, эмуляцию угроз и подробные справочники. Каждый пакет HUNTR был разработан специализированными исследователями угроз на основе анализа вредоносных программ и расследований инцидентов.
Американская компания Cloudflare представила облачное решение «сеть как услуга» (network-as-a-service) для обеспечения безопасности удаленных сотрудников. Cloudflare One защищает и ускоряет работу устройств, приложений и целых сетей, при этом обеспечивая безопасность сотрудников. Теперь компании могут защитить свою рабочую силу гибким и масштабируемым способом без ущерба для безопасности, поскольку распределенные команды работают с нескольких устройств и из приватных сетей.
Американская консалтинговая фирма Booz Allen Hamilton представила облачное программное решение SnapAttack для совместной работы «красных» и «синих» команд безопасности. SnapAttack – это «фиолетовая» платформа для совместной работы, позволяющая «синим» и «красным» командам безопасности имитировать атаки, основываясь на собранных данных, делиться информацией о вредоносном поведении и разрабатывать аналитику поведенческого обнаружения, не зависящую от поставщика.
Британская оборонная компания BAE Systems представила решение для обнаружения и устранения киберугроз для военных платформ. Пакет Fox Shield может быть интегрирован с наземными, воздушными и космическими аппаратами для защиты истребителей и платформ от кибератак, предназначенных для доступа к военным операциям и снижения их эффективности.
Компания Shujinko выпустила облачный инструмент для автоматизации соответствия AuditX , распространяемый по бизнес-модели «ПО как услуга» (SaaS). AuditX упрощает, автоматизирует и модернизирует подготовку аудита. AuditX автоматизирует сбор доказательств, сопоставляет доказательства по множеству элементов управления и по разным стандартам, оптимизирует рабочий процесс аудита и упрощает взаимодействие между командами и аудиторами. AuditX организует доказательства в централизованной библиотеке для окончательной проверки готовности и предоставляет панель мониторинга, обеспечивая хорошую видимость и предсказуемость процесса аудита.
Американская компания Masergy Communications расширила функции своего корпоративного решения SD-WAN Secure на пользователей, работающих дома и в дороге. Решения Work From Anywhere включают SD-WAN Secure Home для руководителей и опытных пользователей, которым требуется незыблемая надежность соединений в домашнем офисе, и SD-WAN On the Go для пользователей в дороге, которым необходим безопасный доступ к корпоративным и облачным приложениям.
Израильская компания C2A Security анонсировала релиз своего первого флагманского ИБ-продукта AutoSec . Продукт представляет собой платформу для управления жизненным циклом безопасности автомобиля. AutoSec решает быстро меняющиеся проблемы кибербезопасности транспортных средств с помощью открытой платформы, которая дает возможность заинтересованным сторонам отрасли выявлять и предотвращать кибератаки. AutoSec также обеспечивает более высокий уровень координации между заинтересованными сторонами в автомобильной цепочке поставок, создавая новые возможности для сотрудничества, позволяющие группам безопасности подготовиться к будущим кибератакам.
Подробнее: https://www.securitylab.ru/news/513310.php
 

unbreakable

Модератор
Представлен новый метод обхода NAT и межсетевых экранов

Атака NAT Slipstreaming базируется на использовании механизма для отслеживания соединений ALG.

image

Исследователь безопасности Сами Камкар (Samy Kamkar) представил новый метод обхода механизма Network Address Translation (NAT) и межсетевых экранов, позволяющий получить удаленный доступ к сервисам TCP/UDP во внутренней сети жертвы.
В ходе атаки, получившей название NAT Slipstreaming, используется браузер и механизм Application Level Gateway (ALG) для отслеживания соединений, использующийся в межсетевых экранах, NAT и маршрутизаторах.
По словам Камкара, представленный им метод предусматривает использование таких техник, как извлечение внутренних IP-адресов с помощью атаки по времени или WebRTC, автоматизированное удаленное обнаружение MTU и IP-фрагментации, сжатие TCP-пакетов, неправильное использование аутентификации TURN, точный контроль границ пакетов и создание путаницы протоколов в браузере.
Поскольку порт назначения открывается NAT или межсетевым экраном, атака позволяет обходить реализованные в браузере ограничения на доступ к портам. Все основные современные браузеры уязвимы к этой атаке, которая представляет собой новый вариант атаки NAT Pinning, представленной Камкаром десять лет назад. Атака базируется на поддержке ALG в NAT/межсетевых экранах – обязательной функции для многопортовых протоколов, таких как FTP, IRC DCC, SIP, H323 (VoIP) и пр.
NAT различает соединения, которые внутренние хосты пытаются установить с одними и теми же адресами/портами, путем перезаписи исходных портов. С помощью ALG механизм NAT может отслеживать многопортовые протоколы, обеспечивая доставку нужных данных на запросивший их компьютер. Камкар выяснил, что можно «обойти NAT жертвы и подключиться непосредственно к любом порту на ее компьютере, раскрывая ранее защищенные/скрытые сервисы».
Подробнее: https://www.securitylab.ru/news/513749.php
 

    krolik

    очки: 9.999
    Нет комментариев
Сверху