Новости информационной безопасности

unbreakable

Модератор
Хакеры взламывают NAS LenovoEMC и стирают файлы
Группировка Cl0ud SecuritY обещает вернуть удаленные данные за вознаграждение.

4d2b68e90c0634ca4ea18b92b6800112.jpeg

Киберпреступная группировка Cl0ud SecuritY взламывает устаревшие сетевые хранилища (NAS) LenovoEMC (в прошлом Iomega), стирает все файлы и требует $200-275 за их возвращение. После удаления данных злоумышленники оставляют текстовый файл RECOVER YOUR FILES !!!!.txt с указанием контактного электронного адреса ( cloud@mail2pay.com ).

По данным портала BitcoinAbuse, где пользователи могут сообщать о биткойн-кошельках, использующихся в вымогательских и других киберпреступных операциях, атаки продолжаются по крайней мере уже месяц. Атаки нацелены исключительно на сетевые хранилища LenovoEMC/Iomega с подключенным к интернету интерфейсом без парольной защиты.

Похоже, данная кампания является продолжением прошлогодней операции, в ходе которой злоумышленники также атаковали устаревшие сетевые хранилища LenovoEMC/Iomega, чья поддержка прекратилась в 2018 году. Хотя в первой кампании злоумышленники не называли себя и использовали другой контактный электронный адрес, записки с требованием выкупа в обоих случаях очень похожи, что может указывать на одну и ту же группировку.

Как сообщил изданию ZDNet исследователь безопасности из GDI Foundation Виктор Геверс (Victor Gevers), атаки являются делом рук малоопытных хакеров. Злоумышленники используют простой эксплоит, атакуют устройства, уже и так доступные через интернет, и не утруждают себя шифрованием файлов.

По словам киберпреступников, они копируют хранящие в сетевых хранилищах данные перед их удалением и намерены опубликовать их в открытом доступе, если выкуп не будет уплачен в течение пяти дней. Тем не менее, нет никаких доказательств того, что вымогатели действительно делают резервные копии удаляемых файлов, равно как и того, что данные публикуются в случае неуплаты.

Хакеры взламывают NAS LenovoEMC и стирают файлы
 

unbreakable

Модератор
Одна из крупнейших в истории DDoS-атак на полчаса отключила 15% мирового интернета
DDoS-атака была осуществлена с помощью скомпрометированных устройств «Интернета вещей» (IoT).

fba6087aa58683ff0c49f334bb225f5e.jpg

В июне нынешнего года одна из крупнейших в истории DDoS-атак на полчаса отключила 15% мирового интернета. Об этом информагентству «УНІАН» сообщили сотрудники Национального координационного центра кибербезопасности при Совете национальной безопасности и обороны (СНБО) Украины.

По словам заместителя секретаря СНБО Сергея Демедюка, в течение нескольких дней киберпреступники успешно атаковали десятки провайдеров по всему миру, включая Украину. Как показал анализ собранных специалистами данных, на первых этапах большинство инцидентов были лишь подготовкой к большой скоординированной атаке, направленной на блокирование доступа к сегментам интернета на глобальном уровне. «Поэтому мы сразу предупредили украинских провайдеров, соответствующих субъектов кибербезопасности и зарубежных партнеров об угрозе и дали рекомендации по реагированию на подобные атаки», - сообщил Демедюк.

Прогноз экспертов Национального координационного центра кибербезопасности подтвердился в июне 2020 года, когда была зафиксирована DDoS-атака нового типа мощностью почти 780 Гбит/с. В результате инцидента на 30 минут было отключено 15% всего мирового интернета и ряда магистральных провайдеров.

DDoS-атака была осуществлена с помощью скомпрометированных устройств «Интернета вещей» (IoT). Как пояснил Демедюк, особенность атаки заключается в том, что она была направлена непосредственно на инфраструктуру провайдеров. В настоящее время на территории Украины обнаружено порядка 10 тысяч устройств, которые могут использоваться для осуществления подобной DDoS-атаки. Такого количества вполне достаточно для того, чтобы с помощью кибератаки отключить интернет почти во всей стране.
Одна из крупнейших в истории DDoS-атак на полчаса отключила 15% мирового интернета
 
Обзор уязвимостей за неделю: 17 июля 2020 года
Были исправлены уязвимости в продуктах Adobe, Microsoft, Oracle, SAP и пр.

28ce12db705fabaad4af1339c3ce18d8.jpg

Компания Microsoft в рамках плановых июльских обновлений безопасности исправила 123 уязвимости в 13 продуктах, включая критическую уязвимость SigRed ( CVE-2020-1350 ). SigRed затрагивает DNS-компонент Windows Server, а ее эксплуатация позволяет перехватить полный контроль над IT-инфраструктурой предприятия и автоматизировать атаки, позволяя им распространяться по всей корпоративной сети. Уязвимость получила максимальную оценку в 10 баллов по шкале CVSS и затрагивает все версии Windows Server.

Обновления также содержат исправления для RCE-уязвимостей в Microsoft Word , Microsoft Excel , Microsoft Office , Microsoft Outlook , Microsoft Sharepoint , файлах Windows LNK и различных графических компонентах Windows .

Крупный производитель корпоративного ПО SAP исправил в своих продуктах опасную уязвимость ( CVE-2020-6287 ), получившую название RECON. Проблема затрагивает большую часть клиентов и делает организации уязвимыми к простой кибератаке.

Уязвимость присутствует в компоненте LM Configuration Wizard, являющемся частью NetWeaver Application Server (AS). Данный компонент входит во все приложения SAP, использующие технологический стэк SAP NetWeaver Java, в том числе в SAP S/4HANA, SAP SCM, SAP CRM, SAP CRM, SAP Enterprise Portal и SAP Solution Manager (SolMan) и пр.

С помощью данной уязвимости удаленный неавторизованный злоумышленник может создать нового пользователя SAP с наивысшими привилегиями и полностью скомпрометировать уязвимые системы, что позволит похитить или изменить конфиденциальную информацию или вызвать сбой в работе важных бизнес-процессов. Проблема может быть проэксплуатирована через интерфейс HTTP, который обычно предоставляется конечным пользователям, а во многих случаях — через интернет.

Oracle выпустила большое ежеквартальное обновление, устраняющее 433 уязвимости, многие из которых затрагивают несколько продуктов, включая Oracle Insurance Policy Administration , Java SE , Oracle iLearning , Oracle WebLogic Server , Oracle Banking Platform , Oracle Applications Framework и пр. Сотни из этих уязвимостей могут быть проэксплуатированы удаленно неавторизованным злоумышленником.

Компания Adobe выпустила обновления безопасности, устраняющие в общей сложности 13 уязвимостей. Проблемы затрагивают 5 приложений — Adobe Creative Cloud Desktop Application, Adobe Media Encoder , Adobe Genuine Service , Adobe ColdFusion и Adobe Download Manager. Их эксплуатация позволяет удаленно выполнить код, повысить привилегии и раскрыть информацию.

В маршрутизаторах серии Moxa EDR-G902 и EDR-G903 (версии старше 5.4) обнаружена уязвимость удаленного выполнения кода ( CVE-2020-14511 ), которую можно использовать для взлома целевой системы. Удаленный неавторизованный злоумышленник может выполнить вредоносную операцию с помощью специально созданного cookie-файла web-браузера, вызвать переполнение буфера в стеке и выполнить произвольный код на целевой системе.

В web-сервере Siemens LOGO обнаружена опасная уязвимость ( CVE-2020-7593 ), эксплуатация которой позволяет удаленно выполнить код. Уязвимость переполнения буфера в стеке позволяет неавторизованному злоумышленнику отправлять специально сформированные HTTP-запросы, что может привести к повреждению памяти и удаленному выполнению кода.

Обзор уязвимостей за неделю: 17 июля 2020 года
 

    purple

    очки: 9.999
    Нет комментариев

    МиРоТВоРеЦ

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Новые ИБ-решения недели: 24 июля 2020 года

Краткий обзор новых предложений в сфере информационной безопасности.

072ab1ac909b9cdc6b37f25db2f9ab69.jpg

Компания «Ростелеком-Солар» объявила о выходе новой версии анализатора защищенности приложений Solar appScreener 3.6. Система позволяет проводить тестирование программного обеспечения на уязвимости и НДВ для соответствия четвертому оценочному уровню доверия (ОУД4) согласно требованиям положений Банка России.

Важным шагом в направлении развития автоматизации сканирования кода на уязвимости стала более тесная интеграция Solar appScreener с системами хранения и управления версиями кода (репозиториями) GitLab, GitHub и Bitbucket. Данная интеграция позволяет анализатору самостоятельно отслеживать появление новой версии кода в репозитории, автоматически запускать анализ новых частей кода на уязвимости с возможностью последующей отправки результатов сканирования ответственному сотруднику. Ранее эта функциональность требовала ручной настройки, а начиная с версии 3.6, доступна «из коробки».

Также в новой версии был сделан ряд доработок, направленных на повышение удобства и комфорта работы с системой. Так, в интерфейсе анализатора появилась опция создания пустых проектов без сканирований с возможностью предварительной настройки интеграции с репозиториями для проведения автоматизированного анализа кода в будущем.

Кроме того, компания «Ростелеком-Солар» выпустила новую версию своей системы управления идентификационными данными и доступом Solar inRights 2.10. Ключевые усовершенствования коснулись модуля работы с нарушениями политик безопасности. Совокупно новая функциональность позволяет сократить время, необходимое администратору для работы с системой, за счет элементов автоматизации и усиленного аналитического инструментария.

В модуле работы с нарушениями политик доступа появился набор фильтров, которые значительно упростили и ускорили обработку нарушений политик безопасности. Теперь можно быстро сделать выборку нарушений по статусу, по конкретной системе, за определённый период или дату, а также по другим параметрам. По каждому нарушению можно просмотреть детализацию, например, о внесенных при его обработке комментариях. Для проведения расследований ИБ и построения отчетов стала доступной история работы со всеми нарушениями.

В новой версии появилась возможность выполнять массовые операции с нарушениями политик безопасности. Например, можно выбрать несколько нарушений по критериям «система», «роль», «полномочие», «дата», «ФИО» и применить к ним массовые операции типа исправить, легализовать и т.п.

Еще один отечественный производитель, компания ICL Техно, представила новый программно-аппаратный комплекс ICL UTM teamRAY для обеспечения многоуровневой защиты информации, формирования контролируемого доступа в интернет и защиты корпоративных компьютерных сетей от несанкционированного доступа. Продукт относится к классу универсальных шлюзов безопасности (UTM).

ICL UTM teamRAY прост в управлении и обладает широким функционалом. Межсетевой экран защищает компьютерную сеть от несанкционированного доступа из внешней среды, обеспечивает доступ к внутренним серверам компании из интернета. Система обнаружения и предотвращения вторжений (IDS/IPS) значительно снижает риски взлома корпоративной сети, хакерских атак и хищения/блокировки/искажения данных. Шлюзовой антивирус обеспечивает антивирусную проверку веб-трафика и обеспечивает защиту корпоративной сети от проникновения вредоносных программ.

Прокси-сервер поддерживает HTTP, HTTPS, FTP, прозрачное проксирование, перехват и дешифрование SSL/TLS-соединений, кеширование веб-контента. Фильтрация трафика осуществляется по IP-адресам клиентов и сетям, портам назначения, типу браузера (User Agent), типу контента (по MIME-типам), общим белым и черным URL-спискам, индивидуальным URL-спискам, назначаемым на доменного/локального пользователя или группу, и по скачиваемым URL-спискам (SquidGuard).

ICL UTM teamRAY обеспечивает различные методы аутентификации (включая двухфакторную) и управление пропускной способностью канала доступа в интернет динамическим шейпером и приоритизацией трафика.

Подробнее: https://www.securitylab.ru/news/510520.php
 

unbreakable

Модератор
Уязвимость в некоторых 3D-принтерах позволяет вызвать самовозгорание

Злоумышленники могут обойти функции безопасности, встроенные в прошивку 3D-принтеров с помощью созданных обновлений.

f7329716f02797026a0c1a508349f6e2.jpg

Исследователи безопасности из компании Coalfire обнаружили способ подделки обновлений прошивки некоторых 3D-принтеров, позволяющий повысить температуру в устройстве и потенциально вызвать его возгорание. Злоумышленники могут обойти функции безопасности, встроенные в прошивку принтеров от китайской компании Flashforge, с помощью специально созданных обновлений.

Эксперты использовали инструмент АНБ Ghidra для взлома прошивки принтера. Для осуществления кибератаки также необходимо, чтобы злоумышленник был подключен к той же сети, что и целевое устройство. Таким образом специалисты хотели продемонстрировать реальные физические угрозы, связанные с подключением бытовых IoT-устройств.

«3D-принтеры Flashforge Finder поставляются с открытым портом 8899 без аутентификации, что, предположительно, является довольно распространенным явлением для данных устройств. Порт принимает команды G-кода для выполнения таких действий, как повышение температуры, выдавливание пластика и перемещение наконечника нагретого экструдера», — пояснил старший научный сотрудник Coalfire Дэн Макинерни (Dan McInerney).

В ПО принтера был обнаружен код, который не позволял повышать температуру печатающий головки принтера выше 261°C. Специалистам удалось с помощью инструмента Ghidra определить ключевую переменную, управляющую температурой отключения, и обойти данное ограничение. Наибольшая опасность заключается в том, что измененная прошивка может быть перенесена на новый принтер, печатающая головка которого также начнет перегреваться.

Подробнее: https://www.securitylab.ru/news/510726.php
 

    МиРоТВоРеЦ

    очки: 9.999
    Нет комментариев

    krolik

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Новые ИБ-решения недели: 7 августа 2020 года

Коротко о новинках прошедшей недели.

04b35b50b02acc964bc704b73c2d4137.jpeg

Компания Qualys предложила новый подход к защите конечных точек от киберугроз с выходом своего нового EDR-решения. Традиционные EDR-решения обнаруживают угрозы путем мониторинга активности на конечных точках. В результате для точного анализа атак им не хватает полного контекста, что приводит к неполной картине и большому количеству ложноположительных срабатываний. Qualys Multi-Vector EDR решает эту проблему с помощью нового многовекторного подхода и своей масштабируемой облачной платформы, которые обеспечивают необходимый контекст и всестороннюю видимость всей цепочки атаки.

Брокер безопасного доступа в облако McAfee MVISION Cloud теперь проецирует данные об угрозах в базу знаний MITRE ATT&CK . Тем самым компания McAfee обеспечила возможность с высокой точностью отслеживать, выявлять и блокировать атаки на облачные сервисы. Отныне нет нужды вручную сортировать и отправлять данные об инцидентах фреймворкам наподобие ATT&CK или изучать и вводить в действие отдельные фреймворки для облачных угроз и уязвимостей, что может быть весьма обременительно и требовать много времени (особенно с учетом стремительного роста числа облачных угроз).

Компания Amazon представила Amazon Fraud Detector – полностью управляемый сервис на базе технологий машинного обучения для выявления потенциально мошеннических действий в интернете, например при осуществлении online-платежей или создании фальшивых учетных записей. С помощью всего нескольких кликов в консоли Amazon Fraud Detector пользователи могут выбрать предварительно созданный шаблон модели машинного обучения, загрузить данные о прошлых событиях и создать логику принятия решений, чтобы назначить результаты для прогнозов.

Компания Veritas Technologies добавила в свое комплексное решение безопасности корпоративного уровня Enterprise Data Services Platform нововведения, позволяющие пользователям снизить риски, оптимизировать расходы, усилить устойчивость к атакам вымогательского ПО и управлять многооблачными средами в масштабе. С запуском новой версии сервиса NetBackup 8.3, который является «сердцем» Enterprise Data Services Platform, Veritas Technologies расширяет возможности корпоративных клиентов за счет повышения отказоустойчивости их приложений и инфраструктуры независимо от контекста.

Компания Sonrai Security анонсировала движок Governance Automation Engine для своей корпоративной платформы Sonrai Dig , предназначенной для управления идентификацией и данными в AWS, Azure, Google Cloud и Kubernetes. Governance Automation Engine помогает предприятиям устранять критические болевые точки, включая проблемы безопасности, вызванные неправильной конфигурацией политики идентификации и рисками для данных, выходящими за пределы бакетов S3. Governance Automation Engine распространяется на такие базы данных, как Amazon RDS, DynamoDB, CosmosDB и пр., устраняя разрывы между командами облачных вычислений, безопасности, аудита и DevOps.

Компания Pulse Secure анонсировала выпуск Pulse Zero Trust Access (PZTA) – облачного многопользовательского сервиса для безопасного доступа, который позволяет организациям обеспечивать пользователям легкий доступ к многооблачным приложениям и приложениям в дата-центрах из любого места с политикой Zero Trust.

Компания CyberSaint Security обновила свою интегрированную платформу для управления рисками CyberSaint , позволяющую идентифицировать, измерять и динамически управлять IT-рисками, а также жизненным циклом управления рисками.

Подробнее: https://www.securitylab.ru/news/510915.php
 

    krolik

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Обзор инцидентов безопасности за период с 7 по 13 сентября 2020 года

Коротко о главных инцидентах безопасности в мире за прошлую неделю.

4a57af730d9e8247b1c8216f943a6eb2.jpg

Согласно данным по раскрытым публично инцидентам безопасности за прошлую неделю, вымогательское ПО продолжает быть одной из самых распространенных угроз кибербезопасности корпоративного сектора. Прошедшая неделя также ознаменовалась сообщением о первой в мире кибератаке на облачную инфраструктуру с использованием легитимного инструмента. Об этих и других инцидентах безопасности за период с 7 по 13 сентября читайте в нашем обзоре.

В начале прошедшей недели SecurityLab сообщил о волне кибератак на сайты под управлением WordPress. Атаки начались 1 сентября, и к 4 сентября их количество достигло 1 млн. Злоумышленники обнаружили в старых версиях WordPress-плагина File Manager уязвимость нулевого дня, позволяющую загружать на сайт неавторизованные файлы, в том числе вредоносные. Выявив на сайте уязвимый File Manager, они эксплуатировали уязвимость, получали доступ к web-оболочке, захватывали контроль над ресурсом и включали его в ботнет.

В начале прошлой недели также стало известно о кибератаке на израильского производителя интегральных схем Tower Semiconductor. В компании не предоставили информацию относительно характера кибератаки (не исключено, что Tower Semiconductor стала жертвой вымогательского ПО) или ее масштаба, но уточнили, что в качестве превентивной меры была приостановлена работа некоторых серверов, а также ряд производственных процессов.

В отличие от Tower Semiconductor, характер кибератаки на Национальное управление миграции Аргентины, о которой сообщалось на прошлой неделе, вполне ясен – ведомство стало жертвой вымогательского ПО Netwalker. Вымогатель временно нарушил работу пограничных контрольно-пропускных пунктов Аргентины – первый известный случай, когда вымогательская атака на федеральное ведомство привела к сбою операций на государственном уровне.

Еще одна латиноамериканская организация, подвергшаяся атаке программы-вымогателя, – чилийский банк BancoEstado. В понедельник, 7 сентября, финорганизация была вынуждена закрыть все свои отделения из-за атаки вымогательского ПО. Подробности об инциденте не раскрываются, однако по некоторым сведениям банк стал жертвой программы-вымогателя ПО REvil (Sodinokibi).

7 сентября атаке вымогательского ПО Netwalker подверглась крупнейшая в Пакистане частная энергетическая компания K-Electric. Инцидент затронул внутренние сервисы компании, но, судя по всему, не повлиял на поставку электроэнергии. Согласно данным на сайте группировки Netwalker в даркнете, злоумышленники потребовали выкуп в размере $3,85 млн. В случае неуплаты выкупа в течение семи дней киберпреступники пригрозили увеличить сумму вдвое.

Об атаке вымогательского ПО на прошлой неделе также сообщил один из крупнейших мировых поставщиков услуг межсетевого соединения и обработки данных, компания Equinix. В компании не раскрывают масштаб атаки или информацию, о каком вымогательском ПО идет речь. Отмечается, что инцидент не затронул дата-центры и сервисы Equinix. Ведется расследование.

Не обошлось на прошлой неделе без очередных обвинений в адрес «русских хакеров». Как сообщила в своем блоге компания Microsoft, хакерская группировка Strontium (также известная как Fancy Bear), якобы действующая из России, «совершила атаки на 200 организаций, включая предвыборные штабы, правозащитные группы, партии и политических консультантов». Кроме того, в Microsoft зафиксировали хакерские атаки из Китая и Ирана. Их целью также было оказать влияние на выборы президента США.

Специалисты компании Intezer обнаружили первую в мире атаку на облачную среду с использованием легитимных инструментов. По их данным, киберпреступная группировка TeamTNT использует легитимный инструмент Weave Scope для обеспечения видимости и управления скомпрометированными облачными средами.

Помимо прочего, на прошлой неделе стало известно о волне кибератак на игроков в Call of Duty: Warzone. Злоумышленники взламывают учетные записи и требуют выкуп в биткойнах за возвращение доступа к ним. Судя по сообщениям некоторых игроков, киберпреступники взламывают учетные записи с помощью ранее утекших логинов и паролей. Как признался один из пострадавших, он использовал одни и те же пароли для доступа к разным сервисам.

Жертвой кибератаки на прошлой неделе также стала словацкая криптовалютная биржа. Злоумышленники взломали шесть online-кошельков, в которых хранились биткойны, эфиры, ERC20-токены, XRP, Tron, Tezos и Algorand. Компания не раскрывает сумму ущерба, но по некоторым данным, она превышает $5 млн.

Подробнее: https://www.securitylab.ru/news/512090.php
 

unbreakable

Модератор
Обзор уязвимостей за неделю: 2 октября 2020 года

Были обнаружены уязвимости в ПО Cisco IOS XE, плагинах для WordPress, ПО FoxRider и пр.

9c9c369fccf388d975800cbaec81d9ec.jpg

Компания Cisco Systems устранила ряд уязвимостей ( CVE-2020-3141 и CVE-2020-3425 ) в своем программном обеспечении IOS XE. Их эксплуатация позволяла удаленному злоумышленнику повысить привилегии на системе.

Портативное средство визуализации субтитров Libass для формата субтитров ASS/SSA (Advanced Substation Alpha / Substation Alpha) содержит опасную уязвимость , с помощью которой удаленный злоумышленник может выполнить произвольный код на целевой системе. Проблема затрагивает версию libass 0.14.0, и в настоящее время для нее нет патча.

Разработчик программного обеспечения, решений и сервисов в области информационной безопасности Fortinet выпустил обновление, исправляющее две уязвимости в операционной системе FortiOS. Одна из них ( CVE-2020-12819 ) может использоваться для выполнения атаки типа «отказа в обслуживании», а вторая ( CVE-2020-12820 ) позволяет удаленно выполнить код.

Две популярные промышленные системы удаленного доступа SiteManager и GateManager от B&R Automation ( CVE-2020-11641, CVE-2020-11642, CVE-2020-11643, CVE-2020-11644, CVE-2020-11645 и CVE-2020-11646 ), и mbCONNECT24 от MB Connect Line ( CVE-2020-24569, CVE-2020-24568 и CVE-2020-24570 ) содержат опасные уязвимости. Они могут быть использованы для предотвращения доступа к промышленным производственным цехам, взлома корпоративных сетей, а также хищения конфиденциальных данных.

В бета-версии модуля Foxit 3D Plugin были обнаружены две опасные уязвимости ( CVE-2020-17413 и CVE-2020-17412 ), которые могут позволить удаленному злоумышленнику выполнить произвольный код или скомпрометировать уязвимую систему. Другая уязвимость, менее опасная ( CVE-2020-17411 ), может быть использована для получения доступа к конфиденциальной информации.

Решения Foxit Reader и PhantomPDF содержат множество проблем , наиболее серьезная из которых может позволить удаленному злоумышленнику скомпрометировать уязвимую систему.

В ряде плагинов WordPress была обнаружена уязвимость, позволяющая удаленному злоумышленнику получить несанкционированный доступ к другим ограниченным функциям. Уязвимое программное обеспечение включает темы Transcend , Regina Lite , MedZone Lite и Brilliance для WordPress.

Подробнее: https://www.securitylab.ru/news/512720.php
 

    AddAll

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Обзор уязвимостей за неделю: 16 октября 2020 года

Были исправлены уязвимости в продуктах Microsoft, Adobe Flash Player, стеке протоколов Bluetooth в ядре Linux и пр.

image

Компания Microsoft выпустила плановые ежемесячные обновления безопасности для своих продуктов, исправляющие в общей сложности 87 уязвимостей. Самой опасной проблемой является уязвимость удаленного выполнения кода в стеке Windows TCP/IP ( CVE-2020-16898 ). Ее эксплуатация позволяет перехватить контроль над Windows путем отправки вредоносных пакетов ICMPv6 Router Advertisement через сетевое соединение.
Другие проблемы включают RCE-уязвимость ( CVE-2020-16947 ) в Microsoft Outlook, критическую уязвимость в Windows Hyper-V ( CVE-2020-16891 ), проблемы в наборе кодеков Microsoft Windows Camera ( CVE-2020-16967 и CVE-2020-16968 ), RCE-уязвимости в SharePoint Server ( CVE-2020-16951 и CVE-2020-16952 ), уязвимости в библиотеке Media Foundation ( CVE-2020-16915 ), движке рендеринга Base3D ( CVE-2020-17003 ), графических компонентах ( CVE-2020-16923 ) и компоненте Windows Graphics Device Interface ( CVE-2020-16911 )
Компания Adobe исправила критическую уязвимость удаленного выполнения кода в ПО Adobe Flash Player ( CVE-2020-9746 ). Злоумышленник может проэксплуатировать уязвимость путем вставки вредоносных строк в HTTP-ответ, который по умолчанию доставляется через TLS/SSL. Проблема устранена в версии Adobe Flash Player 32.0.0.445.
В драйверах сетевого интерфейса NetBSD USB содержится критическая уязвимость , эксплуатация которой позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Проблема связана с ошибками границ и затрагивает следующие сетевые интерфейсы USB: atu(4), axe(4), axen(4), otus(4), run(4) и ure(4).
В ОС Juniper Junos содержится опасная уязвимость ( CVE-2020-1667 ), позволяющая удаленному злоумышленнику повысить привилегии на системе. Уязвимость затрагивает следующие версии: с 17.3 по 17.3R3-S8, с 18.3 по 18.3R3-S1, с 18.4 по 18.4R3, с 19.1 по 19.1R3, с 19.2 по 19.2R2, с 19.3 по 19.3R3.
В ПО Trend Micro Antivirus для macOS содержатся две уязвимости ( CVE-2020-25777 и CVE-2020-25778 ), позволяющие удаленному злоумышленнику скомпрометировать систему или получить доступ к конфиденциальным данным.
Решение ARC Informatique PcVue для HMI/SCADA систем содержит несколько уязвимостей, самая опасная из которых ( CVE-2020-26867 ) позволяет удаленно выполнять код.
В промышленном адаптере связи Allen-Bradley Flex IO 1794-AENT серии B обнаружено множество уязвимостей. В общей сложности было выявлено пять опасных уязвимостей ( CVE-2020-6084, CVE-2020-6085, CVE-2020-6086, CVE-2020-6087 и CVE-2020-6088 ), связанных с переполнением буфера. Они затрагивают версии адаптера 4.003 и старше.
Уязвимости в официальном стеке протоколов Bluetooth в ядре Linux ( CVE-2020-12351, CVE-2020-12352 и CVE-2020-24490 ), получившие название BleedingTooth, могут быть использованы для запуска произвольного кода или доступа к конфиденциальной информации. Самой опасной проблемой является несоответствие используемых типов данных на основе кучи (CVE-2020-12351), затрагивающее версию ядра Linux 4.8 и старше. Уязвимость получила оценку в 8,3 балла по шкале CVSS.
Подробнее: https://www.securitylab.ru/news/513131.php
 

unbreakable

Модератор
Новые ИБ-решения недели: 23 октября 2020 года

Краткий обзор главных новинок на рынке решений информационной безопасности.

image

Компания Cyborg Security выпустила платформу HUNTR , призванную помочь организациям в борьбе с киберугрозами. Платформа HUNTR предоставляет расширенные и контекстуализированные инструменты для поиска и обнаружения угроз, содержащие поведенческий контент для поиска угроз, эмуляцию угроз и подробные справочники. Каждый пакет HUNTR был разработан специализированными исследователями угроз на основе анализа вредоносных программ и расследований инцидентов.
Американская компания Cloudflare представила облачное решение «сеть как услуга» (network-as-a-service) для обеспечения безопасности удаленных сотрудников. Cloudflare One защищает и ускоряет работу устройств, приложений и целых сетей, при этом обеспечивая безопасность сотрудников. Теперь компании могут защитить свою рабочую силу гибким и масштабируемым способом без ущерба для безопасности, поскольку распределенные команды работают с нескольких устройств и из приватных сетей.
Американская консалтинговая фирма Booz Allen Hamilton представила облачное программное решение SnapAttack для совместной работы «красных» и «синих» команд безопасности. SnapAttack – это «фиолетовая» платформа для совместной работы, позволяющая «синим» и «красным» командам безопасности имитировать атаки, основываясь на собранных данных, делиться информацией о вредоносном поведении и разрабатывать аналитику поведенческого обнаружения, не зависящую от поставщика.
Британская оборонная компания BAE Systems представила решение для обнаружения и устранения киберугроз для военных платформ. Пакет Fox Shield может быть интегрирован с наземными, воздушными и космическими аппаратами для защиты истребителей и платформ от кибератак, предназначенных для доступа к военным операциям и снижения их эффективности.
Компания Shujinko выпустила облачный инструмент для автоматизации соответствия AuditX , распространяемый по бизнес-модели «ПО как услуга» (SaaS). AuditX упрощает, автоматизирует и модернизирует подготовку аудита. AuditX автоматизирует сбор доказательств, сопоставляет доказательства по множеству элементов управления и по разным стандартам, оптимизирует рабочий процесс аудита и упрощает взаимодействие между командами и аудиторами. AuditX организует доказательства в централизованной библиотеке для окончательной проверки готовности и предоставляет панель мониторинга, обеспечивая хорошую видимость и предсказуемость процесса аудита.
Американская компания Masergy Communications расширила функции своего корпоративного решения SD-WAN Secure на пользователей, работающих дома и в дороге. Решения Work From Anywhere включают SD-WAN Secure Home для руководителей и опытных пользователей, которым требуется незыблемая надежность соединений в домашнем офисе, и SD-WAN On the Go для пользователей в дороге, которым необходим безопасный доступ к корпоративным и облачным приложениям.
Израильская компания C2A Security анонсировала релиз своего первого флагманского ИБ-продукта AutoSec . Продукт представляет собой платформу для управления жизненным циклом безопасности автомобиля. AutoSec решает быстро меняющиеся проблемы кибербезопасности транспортных средств с помощью открытой платформы, которая дает возможность заинтересованным сторонам отрасли выявлять и предотвращать кибератаки. AutoSec также обеспечивает более высокий уровень координации между заинтересованными сторонами в автомобильной цепочке поставок, создавая новые возможности для сотрудничества, позволяющие группам безопасности подготовиться к будущим кибератакам.
Подробнее: https://www.securitylab.ru/news/513310.php
 

unbreakable

Модератор
Представлен новый метод обхода NAT и межсетевых экранов

Атака NAT Slipstreaming базируется на использовании механизма для отслеживания соединений ALG.

image

Исследователь безопасности Сами Камкар (Samy Kamkar) представил новый метод обхода механизма Network Address Translation (NAT) и межсетевых экранов, позволяющий получить удаленный доступ к сервисам TCP/UDP во внутренней сети жертвы.
В ходе атаки, получившей название NAT Slipstreaming, используется браузер и механизм Application Level Gateway (ALG) для отслеживания соединений, использующийся в межсетевых экранах, NAT и маршрутизаторах.
По словам Камкара, представленный им метод предусматривает использование таких техник, как извлечение внутренних IP-адресов с помощью атаки по времени или WebRTC, автоматизированное удаленное обнаружение MTU и IP-фрагментации, сжатие TCP-пакетов, неправильное использование аутентификации TURN, точный контроль границ пакетов и создание путаницы протоколов в браузере.
Поскольку порт назначения открывается NAT или межсетевым экраном, атака позволяет обходить реализованные в браузере ограничения на доступ к портам. Все основные современные браузеры уязвимы к этой атаке, которая представляет собой новый вариант атаки NAT Pinning, представленной Камкаром десять лет назад. Атака базируется на поддержке ALG в NAT/межсетевых экранах – обязательной функции для многопортовых протоколов, таких как FTP, IRC DCC, SIP, H323 (VoIP) и пр.
NAT различает соединения, которые внутренние хосты пытаются установить с одними и теми же адресами/портами, путем перезаписи исходных портов. С помощью ALG механизм NAT может отслеживать многопортовые протоколы, обеспечивая доставку нужных данных на запросивший их компьютер. Камкар выяснил, что можно «обойти NAT жертвы и подключиться непосредственно к любом порту на ее компьютере, раскрывая ранее защищенные/скрытые сервисы».
Подробнее: https://www.securitylab.ru/news/513749.php
 

    krolik

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Кибератака на США оказалась более масштабной, чем предполагалось

Кибератака «российских хакеров» на ресурсы правительства США, о которой впервые сообщили в середине декабря, затронула по меньшей мере 250 федеральных агентов и предприятий

image

Кибератака «российских хакеров» на ресурсы правительства США, о которой впервые сообщили в середине декабря, затронула по меньшей мере 250 федеральных агентов и предприятий, сообщает NYT со ссылкой на источники в американской разведке. По информации издания, недавняя серия взломов оказалась более масштабной, чем предполагали.
По последним оценкам эта серия взломов длилась с октября 2019 года, а её цели американцам до сих пор не понятны. Опрошенные изданием эксперты предположили, что Москва таким образом хочет продемонстрировать имеющиеся у неё возможности и поколебать уверенность Вашингтона в безопасности коммуникаций, которые используют его федеральные ведомства.
Источники NYT отметили, что киберкомандование и Агентство национальной безопасности внедрили в иностранные сети датчики «раннего предупреждения» для обнаружения назревающих атак, но они, очевидно, вышли из строя.
Атакам хакеров через программное обеспечение фирмы SolarWinds подверглись Пентагон, Минфин, Госдепартамент США, а также министерства внутренней безопасности, торговли, энергетики и Национальное агентство по ядерной безопасности.
Подробнее: https://www.securitylab.ru/news/515204.php
 

unbreakable

Модератор
Microsoft заявил о проникновении хакеров во внутренние сети компании

Злоумышленники получили доступ к внутренним сетям IT-гиганта, в том числе к исходному коду и внутренним системам

image

Компания Microsoft обвинила российских хакеров в завладении исходным кодом своих программ. Об этом американская компания сообщила в своем блоге в четверг, 31 декабря.
Компания входит в число клиентов фирмы SolarWinds, системы которой в конце 2020 года взломали хакеры. 17 декабря представители Microsoft признали , что в ее экосистеме был выявлен вредоносный код SolarWinds, который после изолировали и удалили.
31 декабря в Microsoft уточнили, что в ходе продолжающегося расследования была обнаружена необычная активность, связанная с небольшим числом внутренних аккаунтов. Эксперты компании сообщили, что один аккаунт использовался для просмотра программного кода в ряде репозиториев.
«Данный аккаунт не имел разрешения на изменение какого-либо кода или технических систем, в ходе расследования мы выяснили, что изменений не было», - пояснили в Microsoft. Кроме того, нет свидетельств о неправомерном доступе к персональным данным клиентов.

Подробнее: https://www.securitylab.ru/news/515199.php
 

    krolik

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Более 100 000 межсетевых экранов и VPN-шлюзов Zyxel содержат встроенный бэкдор

Уязвимости подвержено множество популярных продуктов Zyxel из линейки устройств бизнес-класса, обычно развертываемых в частных корпоративных и государственных сетях.

image

В устройствах присутствует жестко встроенная учетная запись zyfwp с неизменяемым паролем. Удаленный злоумышленник, не прошедший проверку подлинности, может получить доступ к уязвимой системе через ssh или веб-интерфейс, используя жестко заданные учетные данные, а также получить привилегии администратора. Уязвимость имеет максимальную степень опасности - 10 баллов по шкале CVSS.
$ ssh zyfwp@192.168.1.252
Password: PrOw!aN_fXp
Router> show users current
No: 1
Name: zyfwp
Type: admin
(...)
Router>

По словам представителя Zyxel, учетная запись не связана с какой-либо злонамеренной активностью, а использовалась только для доставки автоматических обновлений прошивки через FTP. Zyxel рекомендует немедленно установить соответствующие обновления. Уязвимости подвержено множество популярных продуктов Zyxel из линейки устройств бизнес-класса, обычно развертываемых в частных корпоративных и государственных сетях. Сюда входят следующие устройства:
  • серия Advanced Threat Protection (ATP) - используется в основном в качестве межсетевого экрана
  • серия Unified Security Gateway (USG) - используется как гибридный межсетевой экран и VPN-шлюз
  • серия USG FLEX - используется как гибридный межсетевой экран и VPN-шлюз
  • серия VPN - используется в качестве VPN шлюза
  • серия NXC - используется в качестве WLAN контроллера точки доступа
Компания Zyxel была проинформирована о проблеме в конце ноября и частично устранила уязвимость 18 декабря. Уязвимость устранена в прошивке ZLD V4.60 Patch1, а для контроллеров точки доступа NXC2500 и NXC5500 исправление будет выпущено в апреле 2021 года.
Эксперты по безопасности предупреждают, что любой злоумышленник, начиная от операторов DDoS ботнетов и заканчивая спонсируемыми государством хакерскими группами и бандами вымогателей, может использовать эту встроенную учетную запись для доступа к уязвимым устройствам и дальнейшему проникновению во внутренние сети. Проблему усугубляет то, что VPN служба и веб-интерфейс для управления устройством по умолчанию используют 443 порт, из-за чего многие пользователи оставляли открытым 443 порт для внешних запросов и, таким образом, кроме точки подключения к VPN, оставляли и возможность входа в веб-интерфейс. По предварительной оценке в сети доступно более 100 тысяч уязвимых устройств с открытым 443 портом.
В прошлом году компания Zyxel исправила в своих сетевых хранилищах (NAS) критическую уязвимость, уже эксплуатируемую киберпреступниками в реальных атаках. Уязвимость CVE-2020-9054 позволяла неавторизованному злоумышленнику удаленно выполнить произвольный код. Благодаря этому атакующий может проэксплуатировать уязвимость, включив в имя пользователя определенные символы, и внедрять команды с привилегиями web-сервера. Затем с помощью встроенной в устройство утилиты setuid он может запускать команды с привилегиями суперпользователя.

Подробнее: https://www.securitylab.ru/news/515201.php
 

    krolik

    очки: 9.999
    Нет комментариев

    Stirik

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Отечественный аналог Zoom будет не по зубам хакерам

Защищенная платформа «Сферум» в настоящее время проходит тестирование в 15 субъектах РФ.

image

В Подмосковье успешно прошел тестирование новый российский сервис для дистанционного обучения школьников «Сферум». По словам министра просвещения Сергея Кравцова, сервис является защищенным, и «никакие хакерские атаки и взломы этой системы невозможны».
Разработанный Минпросвещения, Минцифры и ПАО «Ростелеком» сервис для дистанционного обучения «Сферум» позиционируется как отечественный аналог Zoom и в настоящее время проходит тестирование в 15 субъектах РФ. Платформа оснащена функциями аудио- и видеосвязи, сопоставимыми с популярными зарубежными сервисами конференцсвязи.
Как отметил Кравцов, новая платформа защищена «так же, как и видеонаблюдение на ЕГЭ». Министр подчеркнул, что за весь период проведения единого государственного экзамена ни одна попытка киберпреступников взломать систему видеонаблюдения не увенчалась успехом. Поэтому реализованные в ходе проведения ЕГЭ технологические решения также используются в «Сферуме».

Подробнее: https://www.securitylab.ru/news/515186.php
 

    krolik

    очки: 9.999
    Нет комментариев

    Stirik

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Американские спецслужбы назвали цель атаки русских хакеров

Спецслужбы Соединенных Штатов считают, что массовая хакерская атака на федеральные учреждения в декабре была попыткой получить разведданные и "вероятно, происходила из России".
Федеральное бюро расследований (ФБР), Агентство по кибербезопасности и обеспечению защиты инфраструктуры США (CISA) и Разведывательное сообщество США (ODNI) допустили причастность России к хакерской атаке на американские федеральные ведомства. Выводы приводятся в совместном заявлении спецслужб.
«Источник целенаправленной устойчивой угрозы, вероятно, происходит из России, несёт ответственность за подавляющее большинство или все недавно обнаруженные кибератаки как в отношении правительственных, так и неправительственных сетей», — отмечается в тексте.
Специально созданная для расследования взлома рабочая группа полагает, что атакам были подвержены менее 10 правительственных агентств и около 18 тыс. пользователей программы Orion от Solar Winds в государственном и частном секторах. Целью взлома, по мнению спецслужб, был сбор разведданных.

Подробнее: https://www.securitylab.ru/news/515269.php
 

    krolik

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Михаил Мишустин подписал распоряжение со списком обязательных программ для предустановки на электронные устройства

С первого апреля на смартфонах и планшетах в обязательном порядке будет предустановлено отечественное программное обеспечение.

image

Текст документа разбит на три части: приложения для смартфонов, программы для ноутбуков и стационарных компьютеров, сервисы для телевизоров с поддержкой SMART TV.
Изначально закон должен был вступить в силу с первого января, но его перенесли на один квартал. 31 декабря текст документа опубликовали на Портале правовой информации.

Первый список самый длинный, в нём 16 пунктов:​

  • "Яндекс.Браузер";
  • Поисковая система "Яндекса";
  • "Яндекс.Карты";
  • "Яндекс.Диск";
  • "Почта Mail.ru";
  • ICQ;
  • Голосовой ассистент "Маруся";
  • "Новости Mail.ru";
  • OK Live;
  • "ВКонтакте";
  • "Одноклассники";
  • MirPay (только Android);
  • "Госуслуги";
  • "МойОфис Документы";
  • Kaspersky Internet Security (только Android);
  • Applist.ru.

Программы для предустановки на смартфоны и планшеты с Android и iOS:

  • «Яндекс.Браузер»
  • Поисковая система «Яндекса»
  • «Яндекс.Диск»
  • «Яндекс.Карты»
  • «Почта Mail.ru»
  • ICQ
  • Голосовой ассистент «Маруся»
  • «Новости Mail.ru»
  • OK Live
  • «ВКонтакте»
  • «Одноклассники»
  • MirPay (только Android)
  • «Госуслуги»
  • «МойОфис Документы»
  • Kaspersky Internet Security (только Android)
  • Applist.ru

Список сервисов для предустановки на телевизоры с поддержкой Smart TV

  • Wink
  • ivi
  • «Первый»
  • «Кинопоиск»
  • Оkkо
  • Morе.tv
  • Premier
  • «Смотрим»
  • НТВ
  • Start
  • Поисковая система «Яндекса»
За нарушение закона предлагается штрафовать должностных лиц на сумму до 50 тыс. рублей, а юридических – до 200 тыс. рублей.

Подробнее: https://www.securitylab.ru/news/515327.php
 

    Stirik

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Новая атака позволяет клонировать ключ безопасности Google Titan и YubiKey

Уязвимость в устройствах позволяет восстановить первичный ключ шифрования и обойти двухфакторную аутентификацию.

image

Французские исследователи безопасности из NinjaLab обнаружили опасную уязвимость (CVE-2021-3011) в микросхемах, используемых в аппаратных ключах безопасности Google Titan и YubiKey.
Эксплуатация уязвимости позволяет злоумышленникам восстановить первичный ключ шифрования (алгоритм ECDSA), используемый аппаратным ключом безопасности для создания криптографических токенов и обхода операций двухфакторной аутентификации.
По словам экспертов, атаку по сторонним каналам нельзя осуществить удаленно, через Интернет или по локальной сети. Для использования ключа безопасности Google Titan или Yubico злоумышленнику сначала необходимо открыть корпус устройства, а сделать это, не повреждая пластик, достаточно сложно.
«Пластиковый корпус состоит из двух частей, которые прочно склеены между собой, и их непросто разделить ножом, резаком или скальпелем. Мы использовали термофен, чтобы размягчить белый пластик и иметь возможность легко разделить две части корпуса с помощью скальпеля. Процедура достаточно простая и, при аккуратном выполнении, позволяет сохранить печатную плату в безопасности», — отметили исследователи.
Исследователи заявили, что, изучив около 6 тыс. операций, выполняемых на микроконтроллере NXP A7005a, чипе, используемом в ключах безопасности Google Titan, они смогли восстановить первичный ключ шифрования ECDSA для подписи каждого криптографического токена, когда-либо созданного на устройстве.
Специалисты также отметили, что процесс взлома обычно занимает несколько часов, требует дорогостоящего оборудования и специального программного обеспечения.
Уязвимость затрагивает все версии Google Titan, Yubico Yubikey Neo, Feitian FIDO NFC USB-A/K9, Feitian MultiPass FIDO/K13, Feitian ePass FIDO USB-C/K21, Feitian FIDO NFC USB-C/K40, а также устройства на базе чипов NXP JavaCard (J3A081, J2A081, J3A041, J3D145_M59, J2D145_M59, J3D120_M60, J3D082_M60, J2D120_M60, J2D082_M60, J3D081_M59, J2D081_M59, J3D081_M61, J2D081_M61, J3D081_M59_DF, J3D081_M61_DF, J3E081_M64, J3E081_M66, J2E081_M64, J3E041_M66, J3E016_M66, J3E016_M64, J3E041_M64, J3E145_M64, J3E120_M65, J3E082_M65, J2E145_M64, J2E120_M65, J2E082_M65, J3E081_M64_DF, J3E081_M66_DF, J3E041_M66_DF, J3E016_M66_DF, J3E041_M64_DF и J3E016_M64_DF).

Подробнее: https://www.securitylab.ru/news/515339.php
 

    Stirik

    очки: 9.999
    Нет комментариев

unbreakable

Модератор
Обзор инцидентов безопасности за период с 23 по 29 января 2021 года

Краткий обзор инцидентов безопасности за прошлую неделю.

image

Уходящая неделя оказалась очень беспокойной с точки зрения инцидентов безопасности. ИБ-эксперты продолжают «расхлебывать» последствия кибератаки на SolarWinds, киберпреступники продолжают атаковать любителей эротики и интернет-знакомств, а операторы вымогательского ПО находят новые, необычные способы заражения. Об этих и других инцидентах безопасности за период с 23 по 29 января 2021 года читайте в нашем обзоре.
Команда исследователей безопасности «Лаборатории Касперского» сообщила , что сотни промышленных организаций установили вредоносное ПО под названием Sunburst в результате атаки на цепочку поставок SolarWinds. Результаты расследования атаки на компанию SolarWinds показали, что около 18 тыс. пользователей могли получить троянизированные обновления для ПО Orion. Обновления содержали бэкдор Sunburst, который давал злоумышленникам доступ к системам жертв, позволяя развертывать другие полезные загрузки и похищать конфиденциальную информацию. О связанных с SolarWinds, в частности, сообщили четыре поставщика систем безопасности: Mimecast, Palo Alto Networks, Qualys и Fidelis.
О новых способах распространения вымогательского ПО рассказали специалисты из Sophos Rapid Response. В частности, операторы программы-вымогателя Nemty (также известной как Nefilim) используют учетные записи умерших сотрудников компаний для распространения программ-вымогателей. В одном из расследуемых специалистами случаев взломанная учетная запись администратора принадлежала бывшему сотруднику, скончавшемуся примерно за три месяца до кибератаки. Вместо того, чтобы отозвать доступ и закрыть «аккаунт-призрак», фирма решила оставить ее активной и открытой, «потому что были службы, для которых она использовалась».
Новые техники также осваивают фишеры. К примеру, специалисты FireEye Email Security зафиксировали волну фишинговых атак на пользователей в Европе, Северной и Южной Америке, в ходе которых злоумышленники используют обфускацию вредоносного кода с помощью шифра подстановки на базе WOFF и Telegram-каналы для связи.
Киберпреступники продолжают атаковать пользователей сайтов «для взрослых» и приложений для знакомств. Так, в продаже на киберпреступном форуме были обнаружены данные 2 млн платных подписчиков сайта «для взрослых» MyFreeCams. По утверждению продавца, база данных попала в его распоряжение недавно в результате успешной SQL-инъекции, и с ее помощью можно похищать деньги премиум-подписчиков.
Хакер(ы), известный(е) как ShinyHunters, бесплатно опубликовал (и) на общедоступном хакерском форуме данные более чем 2,28 млн пользователей, зарегистрированных на web-сайте знакомств MeetMindful. База данных содержит обширную информацию, которую пользователи предоставили при настройке профилей на сайте MeetMindful и мобильных приложениях, включая настоящие имена, адреса электронной почты, сведения о городе, штате и почтовом индексе, сведения о внешности, предпочтения при свиданиях, семейный статус, даты рождения, IP-адреса, хеши паролей учетных записей Bcrypt, ID пользователей Facebook и токены аутентификации Facebook.
На одном из киберпреступных форумов также был выставлен на продажу доступ к базе данных с телефонными номерами пользователей Facebook. Для большего удобства продавец также предлагает покупателям осуществлять поиск по этим номерам с помощью автоматизированного Telegram-бота. Данные были собраны через уязвимость в Facebook, исправленную в августе 2019 года. Хотя этой информации несколько лет, она по-прежнему представляет угрозу безопасности и конфиденциальности пользователей, поскольку номера телефонов меняются нечасто. По словам продавца, в его распоряжении есть данные 533 млн человек.
Киберпреступная группировка ShinyHunters, ранее связанная с продажей украденных баз данных компаний, опубликовала на хакерском форуме имена, адреса электронной почты, номера телефонов, записи транзакций в криптовалюте и банковские реквизиты около 325 тыс. пользователей криптовалютой биржи BuyUcoin.
Команда ИБ-специалистов Threat Analysis Group компании Google выявила текущую кампанию, нацеленную на исследователей безопасности, которые изучают уязвимости в ПО. По словам экспертов, кампания продолжается уже несколько месяцев, а за атаками стоит «поддерживаемая правительством организация, базирующаяся в Северной Корее». Преступники обычно используют социальную инженерию, чтобы вызвать доверие у жертв. Как сообщили в Microsoft, хакеры нацелены на специалистов по тестированию на проникновение, исследователей безопасности и сотрудников технических и охранных компаний. Другие исследователи отслеживают эту хакерскую группировку под названием Lazarus.
Помимо северокорейских, продолжали свою деятельность и ливанские кибершпионы. Киберпреступная группировка Lebanese Cedar, связанная с ливанской военизированной организацией Хезболла, взломала целый ряд операторов связи и интернет-провайдеров в США, Великобритании, Израиле, Египте, Саудовской Аравии, Ливане, Иордании, ОАЭ и Палестинской национальной администрации. Обнаруженная специалистами ИБ-компании Clearsky вредоносная операция стартовала в начале 2020 года и продолжалась почти год.
Неизвестные киберпреступники атаковали IT-системы ведущего производителя кранов и подъемных устройств Palfinger. Как сообщил производитель, в настоящее время невозможно оценить масштабы и последствия атаки.
Техногигант Intel стал жертвой кибератаки, в ходе которой злоумышленник похитил финансовую конфиденциальную информацию с ее корпоративного web-сайта. Американский производитель компьютерных чипов считает, что преступник получил доступ к подробной информации о прибылях и убытках компании, отчет о которых Intel должна была опубликовать после закрытия фондовой биржи. Обнаружив взлом, компания опубликовала финансовый отчет раньше запланированного срока.
Жертвой хакеров также стал американский оператор связи USCellular. Злоумышленники обманом заставили сотрудников розничных магазинов USCellular загрузить на компьютеры вредоносное ПО и получили доступ к системе управления взаимоотношениями с клиентами (CRM). При просмотре учетных записей клиентов USCellular в CRM-системе злоумышленники могли видеть их имена, адреса, PIN-коды, номера сотовых телефонов, тарифные планы и отчеты о биллинге и использовании. Номера соцстрахования и данные банковских карт не были видны киберпреступникам, уверил оператор.
Производитель аппаратных решений безопасности SonicWall опубликовал срочное уведомление о проникновении хакеров в его внутренние системы через уязвимость нулевого дня в его же VPN-продуктах. В своем уведомлении SonicWall, специализирующийся на производстве межсетевых экранов, VPN-шлюзов и решений сетевой безопасности корпоративного уровня, сообщил, что злоумышленники проэксплуатировали ранее неизвестную уязвимость в VPN-устройстве Secure Mobile Access (SMA) и VPN-клиенте NetExtender для осуществления «сложной» атаки на его внутренние системы.
Исследователь безопасности из компании ESET Лукас Стефанко (Lukas Stefanko) сообщил о новом вредоносном ПО для Android-устройств, автоматически распространяющемся через сообщения в WhatsApp. Главное предназначение вредоносного ПО заключается в том, чтобы заставить пользователей попасться на мошенничество с рекламным ПО или подпиской.

Подробнее: https://www.securitylab.ru/news/516063.php
 

unbreakable

Модератор
Обзор инцидентов безопасности за период с 6 по 12 февраля 2021 года

Краткий обзор инцидентов безопасности за неделю.

image

Прошедшая неделя ознаменовалась целым рядом громких инцидентов безопасности. Из-за несоблюдения правил кибергигиены злоумышленники чуть не отравили водопроводную воду в одном из городов Флориды, популярный разработчик компьютерных игр CD Projekt подвергся кибератаке, в результате которой произошла утечка исходного кода его продуктов, SEO-спамеры атаковали PyPI и GitLab и пр. Об этих и других событиях в мире ИБ читайте в нашем обзоре.
Одним из самых громких инцидентов безопасности стала кибератака на компанию CD Projekt с использованием вымогательского ПО. Киберпреступной группировке HelloKitty удалось получить доступ к ее внутренней компьютерной сети, зашифровать некоторые устройства и похитить данные. Вымогатели дали жертве 48 часов на уплату выкупа, пригрозив в случае неуплаты опубликовать похищенные данные. Компания четко дала понять, что не намерена платить. Впоследствии киберпреступники выставили на аукцион предполагаемый исходный код популярных компьютерных игр от CD Projekt, в том числе The Witcher 3, Thronebreaker и Cyberpunk 2077.
Жертвами вымогательского ПО также стали две крупнейшие бразильские электроэнергетические компании Centrais Eletricas Brasileiras (Eletrobras) и Companhia Paranaense de Energia (Copel). Обе компании принадлежат государству, при этом Copel является крупнейшей в штате Парана, а Eletrobras – самой крупной электроэнергетической компанией во всей Южной Америке. Eletrobras также принадлежит дочерняя компания Eletronuclear, участвующая в строительстве и эксплуатации атомных электростанций. В результате кибератак были сорваны некоторые операции обеих компаний. Кроме того, им пришлось отключить часть своих систем, по крайней мере, временно.
Еще один громкий инцидент прошедшей недели – проникновение злоумышленников в компьютерные сети водоочистной станции в городе Олдсмар (штат Флорида, США) с целью изменить уровни химических веществ в водопроводной воде. Атакующим удалось получить доступ к компьютерной системе для удаленного контроля за процессами очистки воды и повысить содержание гидроксида натрия (вещества для очистки и смягчения воды) до опасных уровней. Однако, как оказалось, станция сама сделала все для того, чтобы ее атаковали, в том числе использовала готовое, а не кастомное ПО для управления критическими процессами и ни разу не меняла пароль.
Портал Python Package Index (PyPI) и сайт для хостинга исходного кода GitLab стали жертвами SEO-спамеров. Злоумышленники засыпали их мусорным трафиком и наводнили рекламой сомнительных сайтов и сервисов. Атаки на оба ресурса не связаны между собой.
Правительственные ведомства ОАЭ стали жертвами новой кампании кибершпионажа, предположительно организованной иранскими хакерами. Как полагают исследователи безопасности, за киберпреступной операцией стоит группировка Static Kitten (также известная как MERCURY или MuddyWater). Целью преступников является установка инструмента для удаленного управления под названием ScreenConnect (теперь называется ConnectWise Control) с уникальными параметрами запуска. Вредоносные исполняемые файлы и URL-адреса, используемые в этой кампании, замаскированы под ресурсы Министерства иностранных дел Кувейта и Национального совета ОАЭ.
Еще одна иранская киберпреступная группировка под названием Domestic Kitten (также известная как APT-C-50) атакует пользователей на территории Ирана и «может представлять угрозу стабильности режима» в стране. В числе ее жертв – противники действующего режима, правозащитники и активисты, журналисты и юристы. В течение последних четырех лет Domestic Kitten осуществляла масштабную слежку за пользователями и провела не менее десяти отдельных вредоносных кампаний, а ее жертвами стали как минимум 1,2 тыс. человек.
Компания Microsoft сообщила о новом типе кибератак под названием «несоответствие используемых зависимостей» (dependency confusion) или «атака с подменой» (substitution attack). Суть атаки заключается во вмешательстве в процесс разработки приложения в корпоративной среде. Кроме того, Microsoft предупредила об участившихся атаках с использованием web-оболочек.
В свою очередь, специалисты компании Netscout предупредили о новом способе DDoS-атак с использованием техник усиления «мусорного» трафика и увеличения мощности атак. Киберпреступники используют для этих целей устройства, работающие на базе ПО Plex Media Server - web-приложения для управления медиаконтентом и его потоковой трансляции.
Более 100 компаний, оказывающих финансовые услуги, стали жертвами масштабной вредоносной кампании. В конце прошлого года финансовые организации по всему миру получили угрозы от хакерской группировки, которая намеревалась осуществить разрушительные DDoS-атаки, если фирмы не заплатят выкуп. Хакеры начали распределенные атаки типа «отказ в обслуживании» на определенные компании с целью демонстрации своих способностей. Как утверждали преступники, они якобы являлись представителями известных хакерских группировок, таких как Fancy Bear и Lazarus Group.
В рамках новой целенаправленной фишинговой кампании хакеры применили новую тактику обфускации, заключающуюся в использовании азбуки Морзе для сокрытия вредоносных URL-адресов во вложении электронной почты и обхода почтовых шлюзов и фильтров. Кампания является целенаправленной — злоумышленники используют сервис logo.clearbit.com для вставки логотипов компаний-получателей в форму авторизации, чтобы сделать ее более убедительной.
Личные данные пациентов двух больничных сетей в США оказались в открытом доступе вследствие хакерской атаки. На одном из хакерских форумов были обнаружены десятки тысяч файлов из внутренних сетей ряда больниц из нескольких городов штата Техас и города Майами. Опубликовавшая эти файлы хакерская группировка хорошо известна специалистам по кибербезопасности. Обычно эти хакеры требуют выкуп со своих жертв, однако в больницах пока не получали от хакеров никаких сообщений.
В свободном доступе была опубликована база данных, содержащая более чем 370 млн строк. В нее входят 108 текстовых файлов, каждый из которых содержит данные пользователей Facebook из той или иной страны, в том числе имена и фамилии, номера телефонов, электронные адреса, идентификаторы Facebook, сведения о половой принадлежности и другая информация, которую пользователи указывают в шапке профиля.
Об утечке информации также сообщила компания «Яндекс». По результатам расследования стало известно, что один из сотрудников компании предоставлял несанкционированный доступ к почтовым ящикам пользователей. Злоумышленником оказался один из трех системных администраторов, обладавших правами доступа для выполнения рабочих задач по обеспечению технической поддержки сервиса. В результате его действий было скомпрометировано 4887 почтовых ящиков.
Подробнее: https://www.securitylab.ru/news/516545.php
 
Сверху