Достаточно часто встречаются атаки на цепочку мудаков, о которых мы неоднократно писали, но редко случаются и другие не менее серьезные - атаки мудаков на цепочку поставок.

Как в случае с шестилетней уязвимостью веб-сервера Lighttpd, которая замылилась и прокралась в продукцию ведущих поставщиков, включая Intel и Lenovo.

Ошибка может привести к краже адресов памяти процесса, что может помочь злоумышленникам обойти механизмы защиты, такие как рандомизация адресного пространства ASLR.

Дело в том, что уязвимость была устранена в августе 2018 года разработчиками Lighthttpd втайне в версии 1.4.51 без назначения идентификатора CVE.

А это в свою очередь, привело к тому, что разработчики AMI MegaRAC BMC упустили из виду исправление и не интегрировали его в продукт.

Таким образом, уязвимость распространилась по цепочке поставок поставщикам систем и их клиентам.

Распознать столь изощренную атаку мудаков на цепочку поставок удалось исследователям Binarly в ходе недавнего сканирования контроллеров управления основной платой BMC, которое привело к обнаружению проблемы удаленного чтения кучи за пределами границ (OOB) через веб-сервер Lighttpd.

BMC - это микроконтроллеры, встроенные в материнские платы серверного уровня, которые применяются в ЦОДах и облачных средах, обеспечивая удаленное управление, перезагрузку, мониторинг и обновление прошивки на устройстве.

В общем, Binarly обнаружила, что AMI не смогла применить исправление Lighttpd с 2019 по 2023 год, что привело к последующему внедрению за эти годы около 2000+ устройств, уязвимых для удаленной эксплуатации ошибки.

Пострадали решения Intel, Lenovo и Supermicro.

Аналитики присвоили уязвимости Lighttpd три внутренних идентификатора, исходя из ее влияния на различных производителей и устройства: BRLY-2024-002 (Intel M70KLP версии 01.04.0030), BRLY-2024-003 (Lenovo BMC версии 2.88.58) и BRLY-2024-004 (общая уязвимость в Lighttpd до 1.4.51).

По отмечают Binarly, значительное число общедоступных и уязвимых устройств BMC останутся без исправлений в связи с достижением EOL.

Еще больше усугубляет ситуацию то, что все необходимые для создания рабочего эксплойта технические подробности об уязвимости теперь доступны для широкой аудитории.

Американская CISA сообщает о серьезном инциденте со взломом крупного интегратора Sisense, клиентами которого являются крупнейшие компании мира, включая Nasdaq, Philips Healthcare, Verizon и многие другие (более 1000).

Регулятор в директивной форме рекомендовал клиентам корпоративных решений Sisense заменить все учетные данные и токены доступа, связанные с инструментами и услугами компании.

Несмотря на то, что Sisense публично не раскрыла этот инцидент, CISA стало известно об атаке от «независимых исследователей в сфере ИБ».

Предварительное расследование показало, что в числе пострадавших оказались помимо прочих и критически важные инфраструктурные организации в США и за ее пределами.

Директор по ИБ в Sisense Санграм Дэш оперативно продублировал сообщение регулятора с подтверждением утечки именно клиентских данных в приватной рассылке среди клиентов, содержание которой было опубличено Брайаном Кребсом.

К настоящему времени подробности инцидента не разглашаются, но представители ИБ-сообщества бьют тревогу, характеризую его в качестве «DEFCON 1».

Дело в том, что компания хранит учетные данные клиентов на своих серверах для обеспечения доступа к инфраструктуре и продуктам клиентов и сбора необходимой аналитики.

Кроме того, ряд спецов полагают имела место быть атака на цепочку поставок, при этом якобы часть данных уже задействовались для нацеливания на конкретных клиентов. Но пока официальных подтверждений на этот счет не имеется.

По данным исследователя Марка Роджерса, агентства в сфере кибербезопасности в странах FiveEyes также привлечены к расследованию инцидента, что указывает на максимальную степень его серьезности и критичности.

Так что будем посмотреть.

Раскрыты подробности 0-day и доступен PoC для уязвимости, затрагивающей модуль ядра Linux, который поддерживает протокол мультиплексирования GSM 07.10.

Обнаружившего уязвимость исследователя изначально развели, пообещав 15к зеленых, присвоили авторство, но вскоре махинация была раскрыта, а вместе с ней и детали 0-day.

Недостаток можно использовать для атак с целью повышения привилегий.

К настоящему времени исправлений пока не представлено.

Исследователи из Лаборатории Касперского выкатили первую часть масштабного исследования, посвященного бэкдору в XZ Utils, ставшему знаковым инцидентом в инфосек-сообществе за последнее время.

Если другие атака на цепочку поставок в Node.js, PyPI, FDroid и Linux Kernel в основном состояли из атомарных вредоносных патчей, поддельных пакетов и опечаток в именах пакетов, то этот инцидент представлял собой целую многоэтапную операцию.

При этом бэкдор очень сложен и реализует изощренные методы уклонения от обнаружения: многоэтапная имплантация в репозиторий XZ, в том числе скрывающая части бэкдора в тест-кейсах, а также сложный код, содержащийся внутри самого двоичного файла.

Атакующие хотели добиться запуска произвольного кода через sshd, что давало бы им возможность скомпрометировать SSH-серверы в глобальном масштабе.

На вопросы о том, как такое удалось провернуть с технической точки зрения основательно пока что ответили лишь исследователи Лаборатории Касперского в своем отчете.

На четвёртой неделе курса "Linux для новичков" мы познакомились с основами работы сетей в Linux и научились применять их на практике. Мы изучили конфигурацию сети, работу с сетевыми интерфейсами, настройку DNS-сервера, работу с удаленными хостами через SSH, настройку файрвола, основы настройки и использования сетевых служб.

Если вы что-то пропустили и желаете прочитать, то вот список материалов четвертой недели:

Неделя 4: Сетевые возможности Linux.
• Конфигурация сети в Linux: настройка IP-адреса, маски подсети, шлюза.
• Проверка сетевого подключения: команда ping.
• Конфигурация сетевых интерфейсов: команды ifconfig и ip.
• Работа с удаленными хостами через SSH: подключение, передача файлов.
• Конфигурация DNS-сервера в Linux: файл /etc/resolv.conf.
• Настройка файрвола в Linux: команда iptables.
• Основы настройки и использования сетевых служб в Linux: FTP, Samba.
• Основы настройки и использования сетевых служб в Linux: Apache.

Не забывайте следить и делиться нашим бесплатным курсом "Linux для новичков"!

Первая серия материалов.
Вторая серия материалов.
Третья серия материалов.

Следующую неделю мы посвятим теме «Мониторинг, журналирование, проверка безопасности».

LH | Новости | Курсы | Мемы

10-ти бальная 0-day в межсетевых экранах Palo Alto Networks эксплуатируется в целевых атаках APT, отлеживаемой как UTA0218 (или Operation MidnightEclipse).

Критическая уязвимость внедрения команд затрагивает функцию GlobalProtect VPN в PAN-OS и позволяет неаутентифицированному злоумышленнику выполнить произвольный код с правами root на брандмауэрах PAN-OS 10.2, PAN-OS 11.0 и PAN-OS 11.1.

Palo Alto Networks намерена выпустить исправления 14 апреля. Пока же хакеры реализуют CVE-2024-3400 для взлома внутренних сетей, кражи данных и учетных данных.

APT-активность заметили исследователи Volexity, которые полагают, что злоумышленник, судя по всему, разработал и протестировал нулевой день еще 26 марта, но не развертывал полезную нагрузку до 10 апреля.

Реальные атаки начались на прошлой неделе, когда UTA0218 начал развертывать бэкдор на основе Python под названием UPSTYLE на взломанных устройствах.

Помимо бэкдора, Volexity наблюдала, как злоумышленники доставляли дополнительные полезные нагрузки для запуска обратных оболочек, кражи данных конфигурации PAN-OS, удаления файлов журналов, запуска инструмента туннелирования Golang под названием GOST.

В одной из атак злоумышленник использовал сервисную учетную запись с высокими привилегиями брандмауэра Palo Alto Networks для горизонтального перемещения через SMB и WinRM. 

После чего похитил конфиденциальные файлы Windows, включая базу данных Active Directory (ntds.dit), ключевые данные (DPAPI) и журналы событий Windows, а также информацию для входа в систему, файлы cookie и данные браузеров.

Volexity полагает, что замеченная активность инициируется одной группой, однако связать ее с ранее известными субъектами угроз или операциями пока не удалось. Также отсутствует понимание, насколько широко распространенной могла быть эксплуатация.

При этом исследователи заявляют, что имеют доказательства потенциальной разведывательной деятельности, включающей более широкомасштабную эксплуатацию, направленную на выявление уязвимых систем.

Если приблизительно - то речь идет о десятках тысяч жертв, ведь количество потенциально уязвимых устройств колеблется от 40к (Shodan) до 133к (Censys).

И, как полагают в Palo Alto Networks и Volexity, интенсивность атак на CVE-2024-3400, вероятно, в ближайшие несколько дней резко возрастет.

Конечно, мы обратили внимание на заявления проукраинской хакерской группы Blackjack про «разрушительную» атаку на системы Москоллектора с использованием вредоносного ПО Fuxnet.

Копипастить отчетные сводки хакеров c их сайта не стали, ведь подобные заявления украинской стороны стоит делить на два, остаток - на четыре и тд.

Аналогичным образом поступили и в Сlaroty: исследователи из команды Team82 в своем недавнем расчехили украинских хакеров, не обнаружив подтверждений заявленным результатам атаки.

Они достаточно подробно изучили все представленные Blackjack в утечке данные, которые сопоставили с результатами собственного анализа инфраструктуры Москоллектора.

Кроме того, Сlaroty отследили поведение вредоносной программы Fuxnet, на основе чего смогли определить алгоритм действий злоумышленника в контексте названной атаки.

По итогу исследователи пришли к выводам, что Blackjack определенно демонстрирует понимание топологии и состава подключенных устройств, критически важных для система Москоллектора.

Однако реальное влияние предполагаемой атаки Blackjack на Москоллектор явно не соответствует заявленным показателям.

Вместо нейтрализации 87 000 удаленных датчиков Blackjack фактически могли заблокировать вредоносным ПО лишь немногим более 500 сенсорных шлюзов, а датчики и контроллеры, вероятно, остались нетронутыми.

При этом задействованное в атаке Fuxnet хоть и получило наименование Stuxnet на стероидах, в реальности - больше походит на бюджетную реплику легендарного ПО, и по большей части - только в названии.

Не успела Apple предупредить своих пользователей в 92 странах об угрозе атак с использованием spyware, как на ландшафте угроз замаячила новая кампания, нацеленная на Южую Азию с обновленной версией шпионского имплантата LightSpy для Apple iOS.

LightSpy, впервые задокументированный в 2020 году Trend Micro и Лабораторией Касперского, представляет собой продвинутый бэкдор iOS, распространяющийся через скомпрометированные новостные ресурсы.

LightSpy является полнофункциональным и модульным решением и предназначен для сбора конфиденциальной информации из популярных приложений, включая Telegram, QQ и WeChat, а также данные KeyChain iCloud, историю браузера Safari и Google Chrome.

Кроме того, LightSpy может собирать данные о подключенных Wi-Fi сетях, список установленных приложений, делать фотографии с помощью камеры устройства, записывать звук и выполнять команды, полученные с C2.

LightSpy использует закрепление сертификата для предотвращения обнаружения и перехвата связи со своим сервером C2. Таким образом, если жертва находится в сети, где анализируется трафик, соединение с сервером C2 установлено не будет.

Последняя версия этого шпионского ПО, получившая название F_Warehouse, демонстрирует более серьезные возможности для шпионажа. Исследователи из BlackBerry полагают, что новая кампания нацелена на Индию.

Анализ, проведенный специалистами ThreatFabric еще в октябре 2023 года, выявил связь между LightSpy и другим шпионским ПО для Android, известным как DragonEgg, что указывает на вероятные связи с китайской APT41, однако точной атрибуции до настоящего времени нет.

Тем не менее, в разработке LightSpy принимали участие носители китайского языка, а один из серверов, с которым взаимодействует вредоносное ПО, расположен в Китае и отображает сообщение на китайском языке при вводе неверных учетных данных.

Не пресловутый Pegasus конечно, но возвращение LightSpy с более расширенным функционалом сигнализирует об эскалации угроз в сфере мобильного шпионажа.

Исследователи WatchTowr задаются вопросом, почему индустрия паникует по поводу бэкдора в библиотеках, в то время как поставщики решений безопасности не могут даже обновить используемые библиотеки в своих продуктах, допуская тривиальную эксплуатацию.

В общем, обрушились с критикой на IBM, которая не обновляла свой флагманский продукт, можно сказать, жемчужину компании и сердце стека безопасности многих ее клиентов, - QRadar SIEM.

Оставляя уязвимым для давней ошибки сервера Apache (CVE-2022-26377, CVSS: 7,3), поставщик открывал злоумышленникам возможность перехватить на себя сеанс пользователя и взять под контроль экземпляр QRadar SIEM в одном запросе.

Поставщика, безусловно, уведомили и были выпущены соответствующие исправления, но неприятный осадочек остался.

͏Минутка истории на канале SecAtor

͏После разборок со спецслужбами BreachForums перешел на разборки внутри киберподполья, став жертвой новой скоординированной кибератаки, которая привела к его приостановке.

В прошлый раз форум окучили в июне 2023 года хакеры ShinyHunters, выкрав и опубличив впоследствии базу данных пользователей.

На этот раз ответственность за инцидент взяли на себя R00TK1T (известная многочисленными кибератаками в Малайзии) и Cyber Army of Russia, усилия которых привели к выводу из строя серверной инфраструктуры Breach.

Помимо атаки хакеры обещают слить в сеть данные всех участников BreachForums, включая их IP, email и пр., развеяв таким образом иллюзию анонимности.

При этом текущий админ BreachForums, скорее всего и так сливающий все данные в ФБР США, Baphomet подтвердил блокировку домена и приступил к расследованию инцидента, не гарантируя безопасность пользовательских данных.

Но будем посмотреть.

Наряду с новыми видами атак вроде "атаки на цепочку мудаков" или "атаки мудаков на цепочку поставок" пора вводить новые термины и для выявленных уязвимостей.

Итак, встречайте - МX-day уязвимость.

Здесь X - это переменная, равная количеству дней, в течение которых мудаки-разработчики забивали на информацию об ошибке в их продукте, направляемую им исследователями.

То есть в случае с Delinea - это будет M60-day уязвимость.

Возможно, что переменная могла иметь и большее значение, ведь форсировать исправления поставщику PAM-решений пришлось после начала атак, нацеленных на критическую уязвимость обхода аутентификации.

При этом о ней поставщику сообщалось неоднократно, начиная с 12 февраля, в том числе через Координационный центр CERT в Университете Карнеги-Меллон.

В ответ на молчание и полный игнор со стороны Delinea обнаруживший проблему исследователь Джонни Ю (straight_blast) решил вывалить в паблик технические подробности в придачу с кодом PoC-эксплойта.

После чего, внимание к проблеме обратили все заинтересованные стороны, включая и хакеров.

В связи с чем, 12 апреля Delinea сообщила клиентам о начале расследования инцидента безопасности, предупреждая также о возможности возникновения перебоев в обслуживании.

На следующий день Delinea проснулась и подтвердила наличие критической уязвимости обхода аутентификации в SOAP API Secret Server Cloud.

Для противодействия атаке Delinea пришлось заблокировать затронутые конечные точки SOAP для клиентов Secret Server Cloud.

Позже компания также представила клиентам IoC, позволяющие обнаружить потенциальные попытки взлома.

Позже в тот же день Delinea объявила о выпуске исправлений для платформы Delinea и Secret Server Cloud. 14 апреля компания анонсировала патчи для Secret Server On-Premises.

На этом можно считать M60-day закрытой, правда, остается еще дождаться, когда ей присвоят CVE.

Как одна маленькая ошибка может подорвать безопасность целой индустрии?

А очень просто поскольку в популярном клиенте SSH и Telnet в версиях PuTTY с 0.68 по 0.80, выпущенных до обновления 0.81, была найдена критическая уязвимость (CVE-2024-31497), позволяющая атакующему восстановить секретный ключ пользователя.

Эта уязвимость особенно опасна в сценариях, когда злоумышленник может читать сообщения, подписанные с помощью PuTTY или Pageant. Набор подписанных сообщений может быть доступен публично, например, если они хранятся на общедоступном Git-сервисе, использующем SSH для подписи коммитов.

Это означает, что злоумышленник может уже иметь достаточно информации для компрометации частного ключа жертвы, даже если уязвимые версии PuTTY больше не используются.

Ахтунг, собственно, кроется в том, что после компрометации ключа злоумышленник может провести атаки на цепочку поставок программного обеспечения, хранящегося в Git.

Более того, существует второй, независимый сценарий, который включает в себя злоумышленника, управляющего SSH-сервером, к которому жертва аутентифицируется (для удаленного входа или копирования файлов), даже если этот сервер не полностью доверен жертвой.

Оператор такого сервера может вывести частный ключ жертвы и использовать его для несанкционированного доступа к другим сервисам. Если эти сервисы включают в себя Git-сервисы, то злоумышленник снова может провести атаки на цепочку поставок.

Уязвимость затрагивает не только PuTTY, но и другие популярные инструменты, такие как FileZilla до версии 3.67.0, WinSCP до версии 6.3.3, TortoiseGit до версии 2.15.0.1 и TortoiseSVN до версии 1.14.6.

Предупрежден, значит обновлен. Увы не тот случай, когда с обновлением можно повременить.

Cisco сообщает о крупномасштабной брутфорс-атаке, нацеленной на сервисы VPN и SSH на устройствах Cisco, CheckPoint, Fortinet, SonicWall, RD Web Services, Miktrotik, Draytek и Ubiquiti по всему миру.

Наблюдаемая кампания стартовала 18 марта 2024 года. При этом большинство воздействий исходят с узлов Tor, а также с использованием VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy и Proxy Rack для обхода блокировок.

По наблюдениям исследователей в переборе задействуются как общие имена пользователей, так и реальные имена в конкретных организациях. Вместе с тем, атаки носят неизбирательный характер и не направлены на конкретный регион или отрасль.

В зависимости от целевой среды в случае успеха атаки могут привести к несанкционированному доступу к сети, блокировке учетных записей или отказам в обслуживании. Трафик, связанный с этими атаками, со временем увеличился и, вероятно, продолжит расти.

Команда Talos поделилась полным списком IoC для этой активности на GitHub, включая IP-адреса злоумышленников, а также список имен пользователей и паролей, используемых в бруте.

Причем ранее Cisco уже предупреждала о волне брута на RAVPN в устройствах Cisco Secure Firewall.

Тогда вредоносную активность приписали ботнету Brutus. Вполне возможно, что и текущие атаки инициированы им, но пока на этот счет информации нет.

Будем посмотреть.

Критическая уязвимость брандмауэра PAN-OS компании Palo Alto Networks обзавелась рабочим эксплойтом и теперь активно реализуется в атаках, а меры по смягчению оказались неэффективными.

Как ранее мы сообщали, CVE-2024-3400 может позволить неаутентифицированным злоумышленникам выполнять произвольный код под root посредством внедрения команд в атаках низкой сложности на PAN-OS 10.2, PAN-OS 11.0 и PAN-OS 11.1.

Через день после того, как Palo Alto Networks начала выпускать исправления для CVE-2024-3400, watchTowr Labs также опубликовала подробный анализ уязвимости и экспериментальный эксплойт, который можно использовать на непропатченных брандмауэрах.

И это при том, что исследователи обнаружили более 82 000 уязвимых для атак CVE-2024-34000 экземпляров, 40% из которых находились в США.

Рабочим эксплойтом, позволяющим загрузить файл конфигурации брандмауэра, поделились TrustedSec, которые обнаружили его в ходе расследования реальных атак, позволяющим злоумышленникам загрузить файл конфигурации брандмауэра.

Кроме того, Palo Alto Networks выяснили, что ранее опубликованные меры по устранению последствий оказались неэффективными для защиты устройств от уязвимости.

Заявленное отключение телеметрии в реальности не позволяет защититься от атак, работает только лишь последнее обновление программного обеспечения PAN-OS.

Исследователи из Лаборатории Касперского рассказывают о том, как утечка конструктора LockBit 3.0 привела к созданию хакерами мощных инструментов под конкретные цели.

В своем отчете по результатам реагирования на инциденты исследователи подробно проанализировали последствия утечки, позволившей по итогу злоумышленникам создавать гибко настраиваемые индивидуальные версии вредоносного ПО.

Это привело к значительной эскалации угроз заражения благодаря возможностям настройке распространения вируса по сети, отключать средства защитные целевых компаний, шифровать данные и стирать журналы событий, скрывая следы активности.

Файлы конструктора упрощают процесс создания вредоносной программы, позволяя генерировать публичные и приватные ключи для шифрования данных, а также настраивать функции ПО с помощью скрипта Build.bat и конфигурационных файлов.

Конфигурационный файл позволяет активировать функции подмены идентификаторов, шифрования сетевых дисков, отключения защиты и распространения по сети, формируя максимально адаптированный под структуру целевой сети малварь.

Исследование показало, что созданные с помощью утечки конструктора файлы были использованы для атак по всему миру, включая и страны СНГ.

Все нападения, скорее всего, не были связаны между собой и были осуществлены независимыми субъектами.

Были выявлены различные методики и инструменты, задействуемые хакеры для распространения и управления атакой, включая использование скрипта SessionGopher для извлечения сохранённых учётных данных.

Проведенный ЛК новый анализ билдера LockBit 3.0 продемонстрировал, насколько легко злоумышленники могут генерировать индивидуальные версии угрозы в соответствии со своими потребностями, делая атаки более эффективными и максимализируя воздействие на сеть.

Учитывая, что ransomware-атаки могут иметь разрушительные последствия, в отчете Лаборатория Касперского представила превентивные инфраструктурно-независимые меры по снижению риска таких атак.

Что ни решение Ivanti, то ниже 9 по CVSS не обходится.

На этот раз в очередной серии Ivanti bugs - 27 уязвимостей в продукте Avalanche MDM, конечно же, включая две критические ошибки на борту, приводящие к выполнению команд.

CVE-2024-24996 и CVE-2024-29204 описываются как проблемы переполнения кучи в компонентах WLInfoRailService и WLAvalancheService в MDM-решении.

Обе, как отмечает Ivanti в своем бюллетене, могут быть использованы удаленно, без аутентификации, и имеют оценку CVSS 9,8.

Представленные Ivanti исправления в Avalanche также устраняют многочисленные уязвимости высокой степени серьезности, которые могут позволить удаленным злоумышленникам, не прошедшим проверку подлинности, выполнять команды с системными привилегиями.

Восемь из них описаны как проблемы обхода пути в веб-компоненте Ivanti Avalanche.

Ошибка неограниченной загрузки файлов и две уязвимости состояния гонки (TOCTOU) в веб-компоненте также могут быть использованы для выполнения команд в качестве System.

Еще одна серьезная ошибка переполнения кучи в компоненте WLInfoRailService может быть использована удаленно и без аутентификации для выполнения команд.

Другая не менее серьезная проблема использования после освобождения в WLAvalancheService приводит к удаленному выполнению кода.

Выпущенные обновления также устраняют несколько ошибок высокой степени серьезности, связанных с DoS, и проблемы средней серьезности, позволяющих удаленным злоумышленникам, не прошедшим проверку подлинности, извлекать конфиденциальную информацию из памяти.

Недостаткам подвержены все поддерживаемые версии решения MDM (версии 6.3.1 и выше), включая и более старые версии. 6.4.3 Avalanche содержит исправления.

По данным Ivanti, ни одна из устраненных уязвимостей не использовалась в реальных условиях.

Но верить на слово поставщику со столь «безупречной» репутацией не стоит, такой флеш-рояль явно уже в руках опытных акторов, которые ранее уже эксплуатировали недостатки, для которых были выпущены патчи.