• Самый известный в мире физик-футоролог Никола Тесла еще в 1926 году предсказал появление того, что сейчас мы называем интернетом вещей. В интервью журналу Collier’s ученый рассказал, что в будущем все физические предметы объединятся в огромную систему. Более того, он предположил, что приборы, с помощью которых такое объединение станет возможным, будут размером со спичечный коробок и легко поместятся в кармане. Имел ли он в ввиду именно смартфон, уже никто не узнает. Да и инструкций для изготовления таких технологических новшеств Тесла не оставил.
• Неформально история технологии интернета вещей началась с автомата Coca-Cola в 1982 году. Сначала это был обычный вендинговый аппарат на третьем этаже университета Карнеги-Меллон. Запасы бутылок в нем заканчивались очень быстро, и студенты, поднимаясь на третий этаж, как правило, разочарованно возвращались в аудиторию с пустыми руками. Чтобы не подниматься наверх почём зря, они установили в автомате датчики, проверяющие не только то, есть ли напиток в автомате, но и определяющие его температуру. Студенты подключили автомат к университетскому компьютеру PDP-10. Через него они проверяли, можно ли уже идти за банкой газировки. За рамки студенческой самодеятельности этот проект так и не вышел, и технология IoT появилась спустя несколько лет.
• Кстати, у Coca-Cola ранее были очень оригинальные решения на основе уже привычного IoT. Среди самых «хайповых» оказались: автомат дружбы между Индией и Пакистаном (страны с 1947 года враждуют из-за спорной территории Кашмир. В 2013 году, чтобы наладить отношения между жителями стран, в них установили аппараты, которые транслировали происходящее в другой стране и за добрые жесты и приветствия раздавали напитки), Coke Hug Machine в Сингапуре (датчики срабатывали на человеческое тепло, нужно было обнять автомат, чтобы получить напиток) и акция ко дню Всех влюблённых в Стамбуле (автомат включался при приближении двух идущих близко друг к другу людей и выдавал бесплатные напитки за объятия).
• Официальная история IoT начинается в 1990 году, когда один из создателей протокола TCP/IP Джон Ромки привез свой домашний тостер на выставку технологий Interop и продемонстрировал публике причудливый эксперимент: он смог приготовить тост без прямого контакта с прибором, управляя им через удалённое подключение.
• Объединить предметы в единую сеть и управлять ими через интернет тогда не было самоцелью разработчиков. Все великое, как водится, рождается случайно. Так и тостер был всего лишь демонстрацией революционной на тот момент технологии RFID.
• Радиометки пиарили как могли: ими повсеместно обклеивали товары на складах и магазинах. Суть интернета вещей тогда сводилась к дистанционному учёту и контролю предметов с помощью радиосигнала. Соответственно, первыми «вещами» стали именно коробки с товаром, а ритейл — первой отраслью, в которой применялся IoT.
• Правда, самого термина «интернет вещей» тогда ещё не было, его ввели в обиход лишь спустя девять лет. Разработчики RFID свою миссию выполнили: популяризировали технологию, а об умном тостере почти на десятилетие все забыли. Впрочем, в 2017 году Джон Ромки сообщил, что тот тостер до сих пор «иногда поджаривает хлеб» у него дома..
• Еще одним прародителем интернета вещей считается умный фонтан. В 1998 году компьютерный учёный Марк Уэйзер научил городскую достопримечательность работать синхронно с переменами на фондовом рынке...
#Разное #IoT
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
• Вероятно, Вы уже слышали о таком инструменте, как Evilginx — это обратный прокси‑сервер, который проксирует соединение между пользователем и целевым веб‑ресурсом, позволяя перехватить логин, пароль и ключи сеанса. С помощью этого фреймворка можно обойти двухфакторную аутентификацию.
• В Evilginx используются фишлеты — это такие файлы, которые задают правила основной работы Evilginx. В фишлетах указывается, по каким параметрам определять авторизацию, как выглядят cookie-сессии и все другие данные для успешного фишинга.
• Так вот, с такими фишлетами можно ознакомиться в репозитории по ссылке ниже. Тут вы найдете интерактивные логон-страницы основных облачных сервисов Google, AWS и Microsoft. Всё собрано под Evilginx3: https://github.com/simplerhacking/Evilginx3-Phishlets
• Учитывайте, что этот материал для тех, кто хочет понять, как проводятся фишинговые атаки и как обезопасить пользователей от фишинга через reverse proxy.
#Фишинг
Please open Telegram to view this post
VIEW IN TELEGRAM
• А вы знали, что меню "Пуск" впервые появилось в Windows 95? Оно ознаменовало собой революцию в пользовательском взаимодействии с операционной системой. Правда, понятно это стало много позже. Тем более, что реализация этого компонента в Windows 95 на техническом уровне отличалась не только от того, что мы видим в ОС сегодня, но даже от исполнения в Windows NT.
• В Windows 95 меню "Пуск" базировалось на предварительно подготовленных растровых, или битмаповых изображениях. Этот подход, хотя и эффективный для своего времени, имел ряд ограничений:
• При разработке Windows NT команда Microsoft приняла решение о радикальном переосмыслении технической реализации меню "Пуск". Ключевой целью стало создание компонента, который бы отрисовывался в реальном времени посредством программного кода, а не полагался на предварительно подготовленные изображения.
• При имплементации нового подхода разработчики столкнулись с рядом проблем, одной из которых была необходимость отображения вертикального текста для боковой панели меню. На тот момент Windows API не предоставляло прямых способов для решения этой задачи.
• Решение было найдено благодаря уникальным возможностям Windows NT. Эта версия позволяла осуществлять ротацию контекста устройства (device context, DC). Этот механизм открыл путь к программной реализации вертикального текста без необходимости в специальных растровых изображениях.
• Меню "Пуск" продолжало эволюционировать с каждым новым релизом Windows, адаптируясь к меняющимся требованиям пользователей и технологическим возможностям. Однако не все изменения были успешными. Наиболее заметным экспериментом стало удаление классического меню "Пуск" в Windows 8 в пользу полноэкранного интерфейса Metro.
• Этот радикальный отход от привычной парадигмы вызвал значительное недовольство пользователей, включая некоторых разработчиков, которые быстро вернулись к использованию Windows 7. Негативная реакция сообщества привела к возвращению модифицированного меню "Пуск" в Windows 10 и 11, которое сочетало в себе элементы классического дизайна с новыми функциональными возможностями...
#Разное #Windows
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Хакеры злоупотребляют малоизвестной функцией WordPress под названием Must Use Plugins для установки и сокрытия вредоносного ПО от администраторов сайта, обеспечивая при этом постоянный удаленный доступ.
Функция Must Use Plugins, также известная как mu-plugins, была добавлена в WordPress CMS в 2022 году.
Плагины, помещенные в специальную папку с именем /mu-plugins, выполняются WordPress без необходимости их явного включения и одобрения через панель администратора.
Они не отображаются в обычном разделе «Плагины» бэкэнда WordPress, так чтобы пользователи не могли случайно отключить или удалить их. Это делает каталог идеальным местом для размещения вредоносного ПО.
По данным GoDaddy Sucuri, злоумышленники начали злоупотреблять Must Use Plugins по крайней мере с февраля этого года.
Теперь эта активность значительно прогрессировала.
Хакеры взламывают сайты WordPress и размещают вредоносное ПО в папку mu-plugins, зная, что оно будет автоматически запущено и не отобразится в бэкэндах сайта.
Более того, поскольку это относительно неизвестная функция, многие инструменты безопасности WordPress даже не сканируют папку на предмет возможных угроз.
Sucuri обнаружила, что злоумышленники задействуют mu-plugins для развертывания бэкдоров и веб-шеллов, размещения SEO-спама на взломанных сайтах, а также перенаправления трафика на вредоносные сайты, размещая различные варианты вредоносного PHP-кода:
- wp-content/mu-plugins/redirect.php
- wp-content/mu-plugins/index.php
- wp-content/mu-plugins/custom-js-loader.php
При этом redirect.ph» маскируется под обновление веб-браузера, чтобы обманом заставить жертв установить вредоносное ПО, которое может похищать данные или сбрасывать дополнительные полезные данные.
Широкий спектр злоупотреблений указывает на то, что этот кейс набирает популярность среди киберподполья, представители которого используют этот каталог в качестве устойчивого плацдарма для вредоносной активности.
Владельцам сайтов рекомендуется мониторить содержимое папки, и если плагины Must Use не используются - удалить их, убедившись в безвозвратности этого действия.
Функция Must Use Plugins, также известная как mu-plugins, была добавлена в WordPress CMS в 2022 году.
Плагины, помещенные в специальную папку с именем /mu-plugins, выполняются WordPress без необходимости их явного включения и одобрения через панель администратора.
Они не отображаются в обычном разделе «Плагины» бэкэнда WordPress, так чтобы пользователи не могли случайно отключить или удалить их. Это делает каталог идеальным местом для размещения вредоносного ПО.
По данным GoDaddy Sucuri, злоумышленники начали злоупотреблять Must Use Plugins по крайней мере с февраля этого года.
Теперь эта активность значительно прогрессировала.
Хакеры взламывают сайты WordPress и размещают вредоносное ПО в папку mu-plugins, зная, что оно будет автоматически запущено и не отобразится в бэкэндах сайта.
Более того, поскольку это относительно неизвестная функция, многие инструменты безопасности WordPress даже не сканируют папку на предмет возможных угроз.
Sucuri обнаружила, что злоумышленники задействуют mu-plugins для развертывания бэкдоров и веб-шеллов, размещения SEO-спама на взломанных сайтах, а также перенаправления трафика на вредоносные сайты, размещая различные варианты вредоносного PHP-кода:
- wp-content/mu-plugins/redirect.php
- wp-content/mu-plugins/index.php
- wp-content/mu-plugins/custom-js-loader.php
При этом redirect.ph» маскируется под обновление веб-браузера, чтобы обманом заставить жертв установить вредоносное ПО, которое может похищать данные или сбрасывать дополнительные полезные данные.
Широкий спектр злоупотреблений указывает на то, что этот кейс набирает популярность среди киберподполья, представители которого используют этот каталог в качестве устойчивого плацдарма для вредоносной активности.
Владельцам сайтов рекомендуется мониторить содержимое папки, и если плагины Must Use не используются - удалить их, убедившись в безвозвратности этого действия.
Sucuri Blog
Hidden Malware Strikes Again: Mu-Plugins Under Attack
Hidden malware strikes WordPress mu-plugins. Our latest findings reveal how to safeguard your site against these threats.
• Добавляем в нашу коллекцию еще один репозиторий для изучения Bash, содержащий в себе более 1000 скриптов, которые могут оказаться полезными для DevOps и не только — AWS, GCP, Kubernetes, Docker, CI/CD, APIs, SQL, PostgreSQL, MySQL, Hive, Impala, Kafka, Hadoop, Jenkins, GitHub, GitLab, BitBucket, Azure DevOps, TeamCity, Spotify, MP3, LDAP, Code/Build Linting, pkg mgmt для Linux, Mac, Python, Perl, Ruby, NodeJS, Golang, .bashrc, .vimrc, .gitconfig, .screenrc, tmux...
#bash #DevOps
Please open Telegram to view this post
VIEW IN TELEGRAM
• В эпоху облаков настройка Linux-сервера своими руками кажется неким вымирающим искусством. Для непосвящённого человека даже bash-скрипты выглядят как заклинания, а коллеги проникаются уважением к сисадмину, как древние индейцы к своему шаману…
• Сейчас это «древнее искусство» вновь стало актуальным. История идёт по кругу — всё старое возвращается в новом виде. Запуск сервера на своём хостинге стал хорошей альтернативой облакам. Автор этой статьи называет ряд причин, почему настройка и управление Linux-сервером на своём собственном железе/хостинге это круто и даже необходимо...
#Linux
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Исследователи Лаборатории Касперского задетектили модифицированную версию троянца Triada, которая внедрялась в прошивки совсем новых Android-устройств - подделки под разные популярные модели смартфонов.
Ничего не подозревающий покупатель рискует приобрести такой гаджет, например, в онлайн-магазинах по сниженным ценам.
Новой версией Triada оказались заражены более 2600 пользователей в разных странах, большинство из которых в России.
Причем эта статистика охватывает период с 13 по 27 марта 2025 года.
Обновленная версия распространяется в прошивках заражённых Android-устройств и внедряется в системный фреймворк устройства, затрагивая фактически все системные процессы.
Зловред обладает широкой функциональностью и реализует злоумышленникам почти неограниченные возможности контроля над гаджетом, включая:
- кражу аккаунтов пользователей в мессенджерах и соцсетях, в частности в Telegram и TikTok;
- скрытую отправку сообщений от лица жертвы в WhatsApp и Telegram с удалением следов активности;
- кражу крипты через подмену адреса кошельков в нужных приложениях;
- контроль активности жертвы в браузерах и подмену ссылок;
- подмену вызываемого номера во ходе соединения;
- контроль СМС: перехват, отправка и удаление сообщений, в том числе премиум-СМС;
- загрузку и запуск других программ на заражённом смартфоне;
- блокировку сетевых соединений.
Triada известена давно, но всё ещё остаётся одной из наиболее сложных и опасных угроз для Android.
Его новая версия проникает в прошивки смартфонов ещё до того, как гаджеты попадают в руки пользователей.
Вероятно, на одном из этапов цепочка поставок оказывается скомпрометированной, поэтому в магазинах могут даже не подозревать, что реализуют среди покупателей смартфоны с предустановленной Triada под капотом.
Решения Лаборатории Касперского детектируют новую версию Triada как Backdoor.AndroidOS.Triada.z.
При этом операторы новой версии Triada активно монетизируют свои разработку и судя по транзакциям их заработки составляют почти 270 тысяч долларов в разной криптовалюте.
В реальности сумма больше, ведь злоумышленники также нацелены на Monero, которую трудно отследить.
Ничего не подозревающий покупатель рискует приобрести такой гаджет, например, в онлайн-магазинах по сниженным ценам.
Новой версией Triada оказались заражены более 2600 пользователей в разных странах, большинство из которых в России.
Причем эта статистика охватывает период с 13 по 27 марта 2025 года.
Обновленная версия распространяется в прошивках заражённых Android-устройств и внедряется в системный фреймворк устройства, затрагивая фактически все системные процессы.
Зловред обладает широкой функциональностью и реализует злоумышленникам почти неограниченные возможности контроля над гаджетом, включая:
- кражу аккаунтов пользователей в мессенджерах и соцсетях, в частности в Telegram и TikTok;
- скрытую отправку сообщений от лица жертвы в WhatsApp и Telegram с удалением следов активности;
- кражу крипты через подмену адреса кошельков в нужных приложениях;
- контроль активности жертвы в браузерах и подмену ссылок;
- подмену вызываемого номера во ходе соединения;
- контроль СМС: перехват, отправка и удаление сообщений, в том числе премиум-СМС;
- загрузку и запуск других программ на заражённом смартфоне;
- блокировку сетевых соединений.
Triada известена давно, но всё ещё остаётся одной из наиболее сложных и опасных угроз для Android.
Его новая версия проникает в прошивки смартфонов ещё до того, как гаджеты попадают в руки пользователей.
Вероятно, на одном из этапов цепочка поставок оказывается скомпрометированной, поэтому в магазинах могут даже не подозревать, что реализуют среди покупателей смартфоны с предустановленной Triada под капотом.
Решения Лаборатории Касперского детектируют новую версию Triada как Backdoor.AndroidOS.Triada.z.
При этом операторы новой версии Triada активно монетизируют свои разработку и судя по транзакциям их заработки составляют почти 270 тысяч долларов в разной криптовалюте.
В реальности сумма больше, ведь злоумышленники также нацелены на Monero, которую трудно отследить.
/
Новая версия Triada крадёт криптовалюту, аккаунты в мессенджерах и подменяет номера телефонов во время звонков
Пользователи рискуют купить уже заражённые троянцем смартфоны в неавторизованных онлайн-магазинах
• Распространение ПО с открытым исходным кодом никогда не был настолько простым и быстрым, как сейчас. Повсеместная доступность интернета и удобные инструменты позволяют получать доступ к открытому ПО в любое время. Но в начале 90-х, когда интернет лишь начал широко распространяться среди обычных людей, ситуация была полностью противоположной. Даже там, где интернет уже был, пользователям зачастую было проще скопировать данные на дискету и принести эту дискету в другое место. Такое явление шутливо называли «флоппинет».
• Когда требовалось передать большой файл, его сжимали с помощью архиватора. Полученный архив разделяли на части, не превышающие стандартной ёмкости 3,5” дискеты. Каждая часть записывалась на отдельный носитель, а на принимающей стороне архив собирался в обратном порядке и нужные данные извлекались на компьютер. Появление компакт-дисков стало революционным событием, ведь их ёмкость была в 500 раз выше и архиваторы потеряли своё значение. Ну почти. Это время стало «золотым веком» для одной из первых в мире компаний-дистрибьюторов открытого ПО — Walnut Creek Software.
• Компания Walnut Creek Software была основана в августе 1991 года и изначально стала заниматься изданием сборников приложений на компакт-дисках. До появления Архива интернета существовал похожий проект The Simtel archive, представлявший собой хранилище бесплатного и условно-бесплатного программного обеспечения. Там были приложения для самых разных операционных систем.
• Проблем было ровно две: где хранить и как давать доступ. На первых порах (с 1979 по 1983 год) Simtel жил на компьютере PDP-10 в недрах Массачусетского технологического института. Потом ресурсы этой ЭВМ понадобились для других целей — и проекту пришлось срочно искать куда «переехать».
• Одним из вариантов для размещения архива стал мейнфрейм DECSYSTEM-20. Более того, этот мейнфрейм работал в ARPANET, что дало возможность организовать доступ по FTP с адресом
simtel20.arpa• Со временем архив разрастался, и стало ясно, что нужен ещё какой-то механизм доставки. Доступ в сеть был не у всех, так что было решено записывать содержимое на компакт-диски и рассылать всем желающим за небольшую плату. Этакий флоппинет на максималках. Вокруг этой идеи и был построен бизнес Walnut Creek Software.
• Спустя некоторое время компания решилась на эксперимент. Они стали не только выпускать сборники софта на компакт-дисках, но и организовали один из самых популярных FTP-серверов того времени —
ftp.cdrom.com. В 1993 архив Simtel был вынужден вновь искать площадку для размещения. И именно Walnut Creek Software протянул руку помощи. Другие архивы, такие как Aminet (софт для компьютеров Amiga) и CICA Shareware (коллекция условно-бесплатных приложений для Windows), также стали выпускаться на физических носителях и получили место на FTP.• К тому времени были налажены очень тесные связи с проектом FreeBSD, что превратилось в отличную коллаборацию. Walnut Creek Software стали издавать FreeBSD на компакт-дисках, сделали дистрибутивы доступными на своих серверах и даже стали спонсировать конференции по этой операционной системе. Это резко увеличило приток клиентов, которые стали всё более активно заказывать диски.
• Но всё, что имеет начало, имеет и конец. К концу 90-х годов всё больше людей стало получать доступ к интернету. Посещаемость их FTP-сервера стала рекордной. Так, в 1998 году FTP-сервер в среднем раздавал 417 Гб за сутки, а спустя год эта цифра увеличилась вдвое. Интерес к программному обеспечению на компакт-дисках неуклонно снижался, и это стало сокращать доходы компании.
• Чтобы оставаться на плаву, в 2000 году Walnut Creek Software объединилась c Berkeley Software Design. Предполагалось, что компания при этом сможет сфокусироваться на FreeBSD и производных. Увы, но последующие слияния и поглощения не оставили от первоначальной компании ни следа. Спустя несколько лет активы были поделены между новыми собственниками, а идея о дистрибуции открытого программного обеспечения на физических носителях канула в Лету...
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
S.E.Book
Photo
OSI.jpg
469 KB
• Даже не знаю, можно ли изобразить схему OSI более подробней чем здесь?
• P.S. Не забывайте про наш репозиторий, в котором собран полезный материал для изучения сетей: https://github.com/SE-adm/Awesome-network
#Сети
• P.S. Не забывайте про наш репозиторий, в котором собран полезный материал для изучения сетей: https://github.com/SE-adm/Awesome-network
#Сети
Forwarded from SecAtor
Новая коричневая полоса в жизни клиентов Ivanti связана с критической уязвимостью Connect Secure, которая позволяет удаленно выполнять код и активно эксплуатируется китайской APT как минимум с середины марта 2025 года.
CVE-2025-22457 вызвана уязвимостью переполнения буфера на основе стека и влияет на Pulse Connect Secure 9.1x (поддержка которого закончилась в декабре), Ivanti Connect Secure 22.7R2.5 и более ранние версии, Policy Secure и Neurons для шлюзов ZTA.
Согласно рекомендациям Ivanti, удаленные злоумышленники могут использовать ее в сложных атаках, не требующих аутентификации или взаимодействия с пользователем. Ошибка исправлено 11 февраля 2025 года с выпуском Ivanti Connect Secure 22.7R2.6.
При этом она была идентифицирована поставщиком как непригодная для удаленного выполнения кода и не отвечающая требованиям отказа в обслуживании.
Однако к удивлению Ivanti исследователи выяснили, что уязвимость можно эксплуатировать с помощью сложных средств, и обнаружили доказательства ее активной эксплуатации в реальных условиях.
При этом исправления для шлюзов ZTA и Ivanti Policy Secure все еще находятся в разработке и будут выпущены только к 19 и 21 апреля соответственно, но Ivanti заверяет, что ей «не известно о каких-либо случаях эксплуатации» шлюзов.
Тем не менее Ivanti порекомендовала администраторам полагаться на ICT и следить за возможными сбоями веб-сервера. Если будут обнаружены какие-либо признаки компрометации, следует сбросить настройки затронутых устройств и вернуть их в эксплуатацию с помощью версии 22.7R2.6.
Пока в Ivanti отмалчиваются по поводу эксплуатации, исследователи Mandiant и Google Threat Intelligence Group (GTIG) сообщают, что предполагаемый злоумышленник (UNC5221) эксплуатировал уязвимость, по крайней мере с середины марта 2025 года.
UNC5221 известен тем, что нацеливается на 0-day в сетевых периферийных устройствах с 2023 года, включая различные устройства Ivanti и NetScaler.
Совсем недавно китайские хакеры задействовали CVE-2025-0282, еще одно переполнение буфера Ivanti Connect Secure для доставки нового вредоносного ПО Dryhook и Phasejam на скомпрометированные устройства VPN.
Год назад хакерская группа также объединила две 0-day Connect Secure и Policy Secure (CVE-2023-46805 и CVE-2024-21887) для удаленного выполнения произвольных команд на целевых устройствах ICS VPN и IPS network access control (NAC). Одной из их жертв стала корпорация MITRE.
По данным Volexity, в январе 2024 года UNC5221 взломал более 2100 устройств Ivanti, используя веб-шелл GIFTEDVISITOR, в атаках, объединяющих две 0-day.
В новых замеченных атаках после успешной эксплуатации наблюдалось развертывание двух новых семейств вредоносных ПО: дроппера TRAILBLAZE, работающего только в памяти, и пассивного бэкдора BRUSHFIRE.
Кроме того, также выявлены ранее задокументированной экосистемы вредоносных ПО SPAWN, приписываемой UNC5221.
Злоумышленник, вероятно, изучил исправление для уязвимости в ICS 22.7R2.6, отыскав варианты эксплуатации 22.7R2.5 и более ранних версий для удаленного выполнения кода.
Впрочем, такими темпами и обходы для последней версии скоро назреют.
Так что новый сезон захватывающего сериала под названием Ivanti, можно констатировать, - только начинается.
CVE-2025-22457 вызвана уязвимостью переполнения буфера на основе стека и влияет на Pulse Connect Secure 9.1x (поддержка которого закончилась в декабре), Ivanti Connect Secure 22.7R2.5 и более ранние версии, Policy Secure и Neurons для шлюзов ZTA.
Согласно рекомендациям Ivanti, удаленные злоумышленники могут использовать ее в сложных атаках, не требующих аутентификации или взаимодействия с пользователем. Ошибка исправлено 11 февраля 2025 года с выпуском Ivanti Connect Secure 22.7R2.6.
При этом она была идентифицирована поставщиком как непригодная для удаленного выполнения кода и не отвечающая требованиям отказа в обслуживании.
Однако к удивлению Ivanti исследователи выяснили, что уязвимость можно эксплуатировать с помощью сложных средств, и обнаружили доказательства ее активной эксплуатации в реальных условиях.
При этом исправления для шлюзов ZTA и Ivanti Policy Secure все еще находятся в разработке и будут выпущены только к 19 и 21 апреля соответственно, но Ivanti заверяет, что ей «не известно о каких-либо случаях эксплуатации» шлюзов.
Тем не менее Ivanti порекомендовала администраторам полагаться на ICT и следить за возможными сбоями веб-сервера. Если будут обнаружены какие-либо признаки компрометации, следует сбросить настройки затронутых устройств и вернуть их в эксплуатацию с помощью версии 22.7R2.6.
Пока в Ivanti отмалчиваются по поводу эксплуатации, исследователи Mandiant и Google Threat Intelligence Group (GTIG) сообщают, что предполагаемый злоумышленник (UNC5221) эксплуатировал уязвимость, по крайней мере с середины марта 2025 года.
UNC5221 известен тем, что нацеливается на 0-day в сетевых периферийных устройствах с 2023 года, включая различные устройства Ivanti и NetScaler.
Совсем недавно китайские хакеры задействовали CVE-2025-0282, еще одно переполнение буфера Ivanti Connect Secure для доставки нового вредоносного ПО Dryhook и Phasejam на скомпрометированные устройства VPN.
Год назад хакерская группа также объединила две 0-day Connect Secure и Policy Secure (CVE-2023-46805 и CVE-2024-21887) для удаленного выполнения произвольных команд на целевых устройствах ICS VPN и IPS network access control (NAC). Одной из их жертв стала корпорация MITRE.
По данным Volexity, в январе 2024 года UNC5221 взломал более 2100 устройств Ivanti, используя веб-шелл GIFTEDVISITOR, в атаках, объединяющих две 0-day.
В новых замеченных атаках после успешной эксплуатации наблюдалось развертывание двух новых семейств вредоносных ПО: дроппера TRAILBLAZE, работающего только в памяти, и пассивного бэкдора BRUSHFIRE.
Кроме того, также выявлены ранее задокументированной экосистемы вредоносных ПО SPAWN, приписываемой UNC5221.
Злоумышленник, вероятно, изучил исправление для уязвимости в ICS 22.7R2.6, отыскав варианты эксплуатации 22.7R2.5 и более ранних версий для удаленного выполнения кода.
Впрочем, такими темпами и обходы для последней версии скоро назреют.
Так что новый сезон захватывающего сериала под названием Ivanti, можно констатировать, - только начинается.
Google Cloud Blog
Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability (CVE-2025-22457) | Google Cloud…
#DevOps #Cloud #Курс
Please open Telegram to view this post
VIEW IN TELEGRAM
• В своё время эта программа стала первым графическим менеджером файлов от Microsoft. Она позволяла копировать, перемещать и удалять файлы, выделяя их мышью. Программа пришла на смену управлению файлами в MS-DOS и стала заменой многочисленным файловым оболочкам вроде Norton Commander, хотя многие пользователи по привычке ещё долгие годы пользовались и до сих пор пользуются NC, FAR и Windows-версией Total Commander.
• Самая первая 16-битная версия Windows File Manager поддерживала только имена файлов в формате 8.3. Поддержки длинных имён файлов не было, как и поддержки пробелов в именах. Если Диспетчеру приходилось отображать длинные файлы, то он показывал первые шесть символов, затем символ тильды "
~" и число, обычно единицу. Если папка содержала несколько файлов с одинаковыми первыми шестью символами в названии, то им присваивались цифры 2, 3 и так далее.• Затем программу переписали под 32 бита для Windows NT. Она уже могла отображать длинные имена файлов и поддерживала файловую систему NTFS.
• В 1990-1999 годы Диспетчер файлов оставался стандартным компонентом Windows и поставлялся в составе операционной системы. Он до сих пор доступен для скачивания как опциональный менеджер файлов, даже в версии Windows 10, хотя в стандартной поставке его давно заменил Проводник Windows (Windows Explorer).
• 6 апреля 2018 года компания Microsoft выложила на GitHub исходный код оригинальной версии Windows File Manager, который поставлялся в составе операционной системы Windows в 90-е годы, а также доработанную и улучшенную версию Диспетчера файлов: https://github.com/Microsoft/winfile
• Скомпилировав и запустив этот артефакт на современной машине, вы оцените потрясающую обратную совместимость программ под Windows, ведь софт 34-летней давности почти без модификаций работает на последней ОС. Если вы не работали на первых версиях Windows, то можете оценить, какими программами приходилось тогда пользоваться. Только учтите, что в начале 90-х и сама Windows 3.0, и этот Диспетчер файлов заметно тормозили на многих персональных компьютерах. Специально для установки Windows 3.0 приходилось докупать несколько мегабайт оперативной памяти, а иногда и апгрейдить процессор, например, с 20 МГц до 40 МГц. Но в награду пользователь получал текстовый редактор Word под Windows с поддержкой множества кириллических шрифтов и форматированием WYSIWYG — вместо убогого однообразия «Лексикона» или Word под DOS.
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Google выкатила исправления для 62 уязвимостей в Android за апрель 2025 года, включая две 0-day, которые использовались в целевых атаках.
Один из нулей - это уязвимость безопасности с высокой степенью риска, связанная с EoP (CVE-2024-53197) в драйвере USB-audio ядра Linux для устройств ALSA.
Как отмечается, ошибка задействовалась спецслужбами Сербии для разблокировки изъятых устройств Android в рамках цепочки эксплойтов, разработанной израильской в сфере цифровой криминалистики Cellebrite.
Кроме того, в цепочка также включала уязвимость нулевого дня USB Video Class (CVE-2024-53104), исправленную в феврале, и другой 0-day Human Interface Devices (CVE-2024-50302), закрытую в марте.
Она была обнаружена, связанная с EoP (CVE-2024в середине 2024 года в ходе анализа журналов, найденных на устройствах, разблокированных сербской полицией.
В январе Google предоставила исправления OEM-партнерам.
Другая исправленная в апреле 0-day отслеживается как CVE-2024-53150 и представляет собой уязвимость раскрытия информации ядра Android, вызванную проблемой чтения за пределами выделенного буфера памяти, позволяя локальным злоумышленникам получать доступ к конфиденциальной информации на уязвимых устройствах без взаимодействия с пользователем.
Обновления безопасности Android за март 2025 года также содержат исправления для 60 других уязвимостей, большинство из которых относится к категории серьезные проблем, приводящих к EoP.
Традиционно Google анонсировала два набора исправлений: уровни 2025-04-01 и 2025-04-05. Последний также включает обновления для сторонних компонентов с закрытым исходным кодом и подкомпонентов ядра, которые не обязательно применимы ко всем устройствам Android.
Устройства Google Pixel получают эти обновления немедленно, в то время как другим поставщикам часто требуется больше времени для тестирования и настройки исправлений безопасности для своих конкретных конфигураций оборудования.
Один из нулей - это уязвимость безопасности с высокой степенью риска, связанная с EoP (CVE-2024-53197) в драйвере USB-audio ядра Linux для устройств ALSA.
Как отмечается, ошибка задействовалась спецслужбами Сербии для разблокировки изъятых устройств Android в рамках цепочки эксплойтов, разработанной израильской в сфере цифровой криминалистики Cellebrite.
Кроме того, в цепочка также включала уязвимость нулевого дня USB Video Class (CVE-2024-53104), исправленную в феврале, и другой 0-day Human Interface Devices (CVE-2024-50302), закрытую в марте.
Она была обнаружена, связанная с EoP (CVE-2024в середине 2024 года в ходе анализа журналов, найденных на устройствах, разблокированных сербской полицией.
В январе Google предоставила исправления OEM-партнерам.
Другая исправленная в апреле 0-day отслеживается как CVE-2024-53150 и представляет собой уязвимость раскрытия информации ядра Android, вызванную проблемой чтения за пределами выделенного буфера памяти, позволяя локальным злоумышленникам получать доступ к конфиденциальной информации на уязвимых устройствах без взаимодействия с пользователем.
Обновления безопасности Android за март 2025 года также содержат исправления для 60 других уязвимостей, большинство из которых относится к категории серьезные проблем, приводящих к EoP.
Традиционно Google анонсировала два набора исправлений: уровни 2025-04-01 и 2025-04-05. Последний также включает обновления для сторонних компонентов с закрытым исходным кодом и подкомпонентов ядра, которые не обязательно применимы ко всем устройствам Android.
Устройства Google Pixel получают эти обновления немедленно, в то время как другим поставщикам часто требуется больше времени для тестирования и настройки исправлений безопасности для своих конкретных конфигураций оборудования.
• https://opensource.builders — очень полезный сервис, который содержит бесплатные аналоги известных коммерческих решений. Весь софт имеет открытый исходный код и аккуратно распределен по категориям. К примеру есть аналог Notion, Teams, Discord, Teamviewer и т.д. Однозначно в закладки!
#Разное
Please open Telegram to view this post
VIEW IN TELEGRAM
• Программа 90-дневного обучения по кибербезу, которая содержит ссылки на материалы, видео и онлайн-лабы.
➡ Network+;
➡ Security+;
➡ Linux;
➡ Python;
➡ Traffic Analysis;
➡ Git;
➡ ELK;
➡ AWS;
➡ Azure;
➡ Hacking.
➡️ https://github.com/farhanashrafdev/90DaysOfCyberSecurity
#ИБ
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• Здесь собраны материалы, которые могут быть полезны с практической точки зрения. Из них можно узнать о способах атак на приложения, прочитать об уязвимостях, изучить, как работают механизмы операционной системы и т.д.:
• iOS Security Awesome:
• Android Security Awesome:
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• Идея поиска уязвимостей в системах безопасности появилась задолго до написания первых программ. В XIX веке английская компания, разрабатывающая дверные замки, предлагала 200 золотых гиней (что-то около $30 тыс. по нынешнему курсу) за взлом одного из своих товаров. Тогда американский изобретатель Альфред Чарльз Хоббс принял вызов и справился с задачей за 25 минут, получив награду.
• Прошло более 100 лет, и вопросы безопасности, которые решают компании, переместились в цифровое пространство. Программные уязвимости, которыми могут воспользоваться недоброжелатели, стали для бизнеса не меньшей проблемой, чем ненадежные дверные замки.
• Предположительно, первой программой поощрения за поиск уязвимостей в ИТ стало объявление от Hunter & Ready, датируемое 1983 годом. Компания разрабатывала операционную систему реального времени VRTX и предлагала в качестве награды за найденный в ней баг Volkswagen Beetle. Однако победитель мог забрать свой приз и деньгами — давали тысячу долларов.
• К середине 90-х в мире уже произошло несколько крупных хакерских атак и начала формироваться современная индустрия ИТ-безопасности. Тогда же набирали популярность первые веб-браузеры — в этой нише шло противостояние между продуктами Netscape и Microsoft. 1995-й был особенно успешным для первой — компания, пользуясь своим лидирующим положением на рынке, удачно провела IPO. В том же году инженер технической поддержки Netscape Джарретт Ридлинхафер, обнаружил, что многие пользователи-энтузиасты самостоятельно искали баги в браузере и выкладывали для них фиксы в сеть. Поэтому Джарретт предложил руководству поощрить подобную деятельность и начать выплачивать денежные вознаграждения.
• И 10 октября 1995 года Netscape запустили первую программу Bug Bounty (анонс на фото). Они платили пользователям бета-версии браузера Netscape Navigator 2.0, которые находили в нем уязвимости и сообщали об этом компании. По некоторым данным, Ридлинхаферу выделили первоначальный бюджет в $50 тыс. Наградами для участников программы служили не только деньги, но и товары из магазина Netscape.
• Что касается последователей Netscape, то первым в привлечении пользователей к поиску багов стала компания iDefense, занимающаяся вопросами безопасности. В 2002 году она запустила свою программу Bug Bounty. Сумма вознаграждения варьировалась в зависимости от типа уязвимости, объема предоставленной информации о ней и согласия пользователя не разглашать сведения о баге в будущем. Заработать на одном баге таким образом можно было до $500...
#bb #Разное
Please open Telegram to view this post
VIEW IN TELEGRAM