Исследователи Claroty сообщают о серьезных последствиях взлома газового хроматографа Emerson с использованием вновь обнаруженных критических уязвимостей.

Газовый хроматограф - это по сути химический анализатор, который реализует измерение содержания различных компонентов в образце и зачастую используются в больницах для анализов крови, а также в сфере экологического контроля загрязнений воздуха.

Как правило, устройства газовой хроматографии Emerson подключаются к внутренним сетям и контролируются техническими специалистами удаленно по каналу связи, использующему собственный протокол. 

Claroty в своем исследовании сосредоточились на Emerson Rosemount 370XA, который ресерчеры смогли полностью смоделировать и оттестить.

Анализ показал, и позже Emerson подтвердила, что продукты Rosemount GC370XA, GC700XA и GC1500XA подвержены четырем уязвимостям.

Список включает в себя критическую инъекцию команд, которая позволяет неаутентифицированному злоумышленнику с доступом к сети удаленно выполнять произвольные команды с привилегиями root.

Кроме того, имелась проблема высокой серьезности, которая позволяет неаутентифицированному сетевому злоумышленнику обойти аутентификацию и получить возможности администратора.

Остальные уязвимости отнесены к категории средней степени серьезности.

Один из них позволяет злоумышленнику, не прошедшему аутентификацию, получить конфиденциальную информацию или DoS, а другой - злоумышленнику, прошедшему аутентификацию, выполнять произвольные команды.

Компрометация таких устройств может оказать существенное влияние в различных отраслях.

Так, при производстве продуктов питания атаки на газовые хроматографы могут повлиять на обнаружение бактерий и привести к остановке технологической цепочки.

Подобные же атаки на больничные хроматографы могут исказить результаты анализов крови и других образцов пациентов.

Emerson проинформировала клиентов о доступности обновлений прошивки, которые должны были устранить уязвимости, а также рекомендовала изолировать уязвимый продукт от Интернета в соответствии с лучшими отраслевыми практиками.

https://endoflife.date/ — очень полезный ресурс, в котором собрана информация по дате окончания того или иного продукта (софт, ОС и т.д.). Однозначно в закладки.

#Разное

GitLab выпустила обновления для исправления 14 уязвимостей, включая одну критическую и три проблемы высокой степени серьезности.

Затрагивающая GitLab CE/EE с 15.8 по 16.11.4, с 17.0.0 по 17.0.2 и с 17.1.0 по 17.1.0 критическая уязвимость при определенных обстоятельствах может быть использована для запуска конвейеров от имени любого пользователя.

Проблема отслеживается как CVE-2024-5655 и имеет степень серьезности 9,6 из 10, исправлена в версиях 17.1.1, 17.0.3 и 16.11.5.

Учитывая, что конвейеры GitLab реализуют функционал непрерывной интеграции/непрерывного развертывания (CI/CD), поставщик настоятельно рекомендует как можно скорее обновить все инсталляции с уязвимой версией.

Кроме того, поставщик также сообщил, что обновление содержит два критических изменения:

- Pipelines больше не будут запускаться автоматически, когда запрос на слияние перенацеливается после слияния его предыдущей целевой ветви. Пользователи должны вручную запустить конвейер, чтобы выполнить CI для своих изменений.

- CI_JOB_TOKEN теперь по умолчанию отключен для аутентификации GraphQL, начиная с версии 17.0.0, причем это изменение перенесено в версии 17.0.3 и 16.11.5. Чтобы получить доступ к API GraphQL, пользователям необходимо настроить один из поддерживаемых типов токенов для аутентификации.

Среди других ошибок, серьезность которых оценена как высокая (CVSS v3.1: 7,5–8,7) следующие:

- CVE-2024-4901: XSS-уязвимость, позволяющая вредоносным заметкам о фиксации из импортированных проектов внедрять сценарии, что потенциально может привести к несанкционированным действиям и раскрытию данных.

- CVE-2024-4994: CSRF-уязвимость в API GraphQL, позволяющая злоумышленникам выполнять произвольные изменения GraphQL, обманывая аутентифицированных пользователей и заставляя их выполнять нежелательные запросы, что может привести к манипулированию данными и несанкционированным операциям.

- CVE-2024-6323: ошибка авторизации в функции глобального поиска GitLab, позволяющая злоумышленникам просматривать результаты поиска из частных репозиториев в общедоступных проектах, что потенциально может привести к утечке информации и несанкционированному доступу к конфиденциальным данным.

Ресурсы для обновлений GitLab доступны здесь, а рекомендации по GitLab Runner можно найти на этой странице.

Исследователи Rapid7 раскрыла атаку на цепочку поставок ПО, в рамках которой хакеры взломали индийского разработчика Conceptworld для распространения инфостилера через его приложения.

В результате инцидента были троянизированы установщики таких приложений, как Notezilla, RecentX и Copywhiz. Причем вредоносные версии имели больший размер файла, чем их легитимные аналоги.

По данным Rapid7, взлом, по-видимому, произошел 18 июня 2024 года и включал задействование штамма вредоносного ПО под названием dllFake.

В настоящее время неясно, как конкретно был скомпрометирован официальный conceptworld[.]com для размещения поддельных установщиков.

Однако после начала установки приложения пользователю предлагается продолжить процесс, связанный с ПО, хотя в реальности он предназначен для загрузки и выполнения двоичного dllCrt32.exe, который отвечает за запуск пакетного сценария dllCrt.bat.

Помимо обеспечения постоянного присутствия на машине, он настроен на выполнение другого dllBus32.exe, который, в свою очередь, устанавливает соединения с C2 для получения команд.

Вредоносная ПО способна красть учетные данные браузеров Google Chrome, Mozilla Firefox, криптокошельков Atomic, Coinomi, Electrum, Exodus и Guarda.

Кроме того, способен собирать файлы определенных расширений (.txt, .doc, .png и .jpg), регистрировать содержимое буфера обмена и нажатия клавиш, а также выполнять дополнительные полезные нагрузки на зараженных хостах Windows.

dllFake также обеспечивает постоянство с помощью запланированной задачи для выполнения основной полезной нагрузки каждые три часа.

Проблема была устранена 24 июня в течение 12 часов с момента раскрытия информации. IoC и MITRE ATT&CK - отчете.

Позитивы поделились аналитикой по результатам подведения ежегодных итогов пентестов за 2023 год, охватывающей 28 реализованных проектов, при этом 39% из протестированных организаций состояли в рейтинге RAEX-600.

Подробно на цифрах, трендовых уязвимостях и проблемах останавливаться не будем, рекомендуем с ними ознакомиться в расширенном исследовании, где есть и соответствующие им рекомендации, а сфокусируемся на ключевых показателях.

В целом, результаты оказались традиционно неутешительными, пентесты показали в подавляющем большинстве достаточно низкий уровень защищенности в протестированных организациях.

Из основного:

- Как и в 2022 году в 96% проектов организации оказались не защищены от проникновения злоумышленников в их внутреннюю сеть. В тех, где был получен доступ к внутренней сети, установить полный контроль над ресурсами домена удалось в 100%.

- Самое быстрое проникновение в локальную внутреннюю сеть организации было реализовано в первый же день с момента начала работ. В среднем специалистам на это потребовалось 10 дней.

- Во всех организациях удалось установить полный контроль над ИТ-инфраструктурой.

- В 63% протестированных компаний злоумышленник с низкой квалификацией сможет проникнуть в корпоративную сеть извне.

- В 64% проектов злоумышленник мог бы получить несанкционированный доступ к важной конфиденциальной информации, а в 96% - учетные данные сотрудников. 

- В 21% проектах были обнаружены следы компрометации. Иными словами, реальные злоумышленники ранее взламывали ИТ-инфраструктуру этих организаций.

- В 70% проектах по внешнему тестированию были найдены критически опасные уязвимости, связанные с использованием устаревшего ПО, в 19% проектах были обнаружены уязвимости, связанные с небезопасным кодом веб-приложений.

- 19% организаций были подвержены критически опасным уязвимостям парольной политики.

- В 11% было подтверждено наличие критически опасных уязвимостей из-за некорректной конфигурации используемого ПО.

Без комментариев.

͏Влед за MOAB («Мать всех утечек») с 12 ТБ и 26 млрд. записей подкатила еще одна грандиозная утечка RockYou2024, включающая 10 млрд. паролей, став крупнейшей подборкой в своем роде.

Подборку с ошеломляющими 9 948 575 739 уникальными текстовыми паролями обнаружили исследователи Cybernews 4 июля на популярном хакерском форуме ObamaCare.

Ресерчеры сравнили пароли из утечки RockYou2024 с данными Leaked Password Checker от Cybernews, результаты показали, что они были получены как из старых, так и новых утечек данных.

По сути, RockYou2024 представляет собой подборку реальных паролей, используемых людьми по всему миру, максимализируя риски атак с подстановкой учетных данных, как в случае с Snowflake, Santander, Ticketmaster, Advance Auto Parts, QuoteWizard и др.

Причем, как выяснили исследователи, в основу новой RockYou2024 легла трехгодичная подборка RockYou2021, которая в свое время также была крупнейшей, включала 8,4 млрд. паролей в виде обычного текста и являлась расширением аналогичной от 2009 года.

Автор RockYou2024 по факту обогатил предыдущую, добавив еще 1,5 миллиарда паролей с 2021 по 2024 год из новых утечек и увеличив тем самым набор данных на 15 процентов.

Таким образом, последняя версия RockYou содержит информацию, собранную из более чем 4000 баз данных за более чем два десятилетия.

Cybernews полагает, что в сочетании с наводнившими даркнет утечками, которые, например, содержат адреса электронной почты и другие учетные данные, RockYou2024 может способствовать каскаду таких утечек и сопутствующих целевых атак.

📦 Подборка площадок для тренировки Blue Team.

• Небольшая подборка актуальных ресурсов, где можно получить практический опыт и получить необходимые знания для Blue Team специалистов. Переходим сразу к делу:

• codeby.games — специализируется на наступательной безопасности, платформа абсолютно бесплатна.

• Dfir-Dirva — сборник бесплатного и открытого материала, который включает в себя учебные лаборатории и полноценные задачи для подготовки blue team.

• Malware-Traffic-Analysis.net — ресурс, который позиционирует себя, как хранилище заданий и викторин по анализу трафика.

• Cybrary — платформа для обучения blue team на практике. По бесплатной подписке предоставляет полный доступ к виртуальным машинам с различными конфигурациями (сканеры уязвимостей, SIEM, TIP и другое), что даёт возможность практиковаться в реальных условиях без необходимости первичной настройки средств защиты информации.

• Letsdefend — учебная платформа с кучей учебного материала, курсов и доступных лабораторных. Весь контент отображается в соответствии с матрицей MITRE ATT&CR.

• CyberDefenders — платформа для комплексного обучения Blue Team. На бесплатной основе доступно выполнение различного рода задачек по расследованию инцидентов (даются архивы с логами) и сетевой криминалистике (дампы трафика в pcap). Есть задания на разбор инцидентов в Windows, Linux и Android.

• TryHackMe — не нуждается в представлении. Стоит обратить внимание на этот материал: SOC Level 1, SOC Level 2 и Security Engineer.

#Blue_Team