На это неделе Cisco выпустила рекомендации по обеспечению безопасности для контроллеров беспроводной сети (WLC). Компания предупредила, что выявленная ошибка в коде может позволить удалённому злоумышленнику без проверки подлинности обойти средства контроля аутентификации и попасть в интерфейс управления администратора.

«Эта уязвимость связана с неправильной реализацией алгоритма проверки пароля, — говорится в бюллетене Cisco. — Злоумышленник может воспользоваться этой уязвимостью, войдя на уязвимое устройство с помощью созданных им учётных данных». Уязвимость CVE-2022-20695 позволяет злоумышленнику получить права администратора. Cisco присвоила уязвимости рейтинг серьёзности 10,0 из 10,0.

Источник изображения: Cisco

Этот баг может быть у продуктов Cisco, работающих под управлением программного обеспечения WLC версии 8.10.151.0 или 8.10.162.0 и для режима совместимости RADIUS фильтра MAC-адресов установлено значение «Другой». В их числе:

• Беспроводной контроллер Cisco 3504;
• Беспроводной контроллер Cisco 5520;
• Беспроводной контроллер Cisco 8540;
• Mobility Express;
• Виртуальный беспроводной контроллер (vWLC).

Для тех, кто не может немедленно установить патчи, Cisco в качестве временной меры предлагает изменить режим MAC-фильтрации. Cisco WLC поддерживают как локальный учёт MAC-адресов, так и с использованием сервера RADIUS. «Хотя эти обходные пути доказали свою эффективность в тестовой среде, клиенты должны определить применимость и эффективность в своей собственной среде и в своих собственных условиях использования», — предупредила компания.

Компания Positive Technologies сообщила о выпуске новой версии комплексного решения PT Application Inspector 4.0, предназначенного для выявления уязвимостей и ошибок в приложениях.

Особенностью комплекса PT Application Inspector является гибридный подход, сочетающий преимущества статического (Static application security testing, SAST), динамического (Dynamic application security testing, DAST) и интерактивного (Interactive application security testing, IAST) анализа, а также использующий базу знаний уязвимостей, накопленную экспертами Positive Technologies. Система работает со множеством платформ и языков, включая PHP, Java, .NET, SAP ABAP, HTML/JavaScript и SQL, а также со всеми типами уязвимостей приложений, включая SQLi, XXS и XXE. Решение выявляет уязвимости как в исходном коде, так и в работающем ПО, позволяет устранить их на ранней стадии, поддерживает процесс безопасной разработки DevSecOps.

Среди главных изменений PT Application Inspector 4.0 — поддержка операционных систем Linux, Docker-контейнеров и языка TypeScript (входит в десятку самых популярных языков программирования в мире). Также продукт дополнился веб-интерфейсом, поддержкой стандарта SAML 2.0 (Security Assertion Markup Language, открытый стандарт обмена данными аутентификации, основанный на языке XML) и технологии единого входа SSO (Single Sign-On).

По данным Positive Technologies, более трети (36 %) российских софтверных компаний уже включили меры по обеспечению безопасности в цикл разработки ПО и наработали определенную практику. В то же время отечественным разработчикам не хватает информации о практических кейсах внедрений (35 %), процессах (22 %), инструментах (20%), формальных методиках и архитектуре DevSecOps (18 %). Поэтому большинство улучшений в PT Application Inspector 4.0 были направлены на то, чтобы сделать работу по анализу защищённости кода понятной и удобной — как для специалистов по ИБ, так и для разработчиков.

Согласно оценкам SANS Technology Institute, у почти 21 тыс. серверов HP/HPE интерфейсы управления iLO находятся в открытом доступе в интернете. Для оценки ситуации использовался сервис Shodan, позволяющий искать различные типы серверов, подключённых к интернету.

С момента запуска платформа HP Integrated Lights-Out получила четыре мажорных релиза. И в каждой из её итераций (iLO, iLO 2, iLO3, iLO 4 и iLO 5) со временем было выявлено и исправлено множество уязвимостей. Некоторые из этих уязвимостей имели довольно высокие оценки CVSS. Например, CVE-2017-12542 с рейтингом 9,8 предоставляла простой способ обхода аутентификации, который затрагивал iLO 4 до версии 2.53.

Источник: isc.sans.edu

Но не все администраторы спешат устанавливать обновления ПО. Так, с помощью Shodan было выявлено значительное число серверов с iLO 4 и прошивкой версии младше 2.53, то есть заведомо уязвимой для злоумышленников. Спустя две недели после того, как исследователи сообщили о своих выводах международному сообществу CSIRT, картина стала немного лучше, хотя и она всё ещё далека от идеала.

Источник: isc.sans.edu

По числу уязвимых хостов лидируют США, Нидерланды и Россия. Исследователи рекомендуют для начала вынести все iLO-интерфейсы в изолированную VLAN с контролируемым доступом и разрешить доступ только посредством VPN, а также строго следовать советам и документации самой HPE, которая точно так же предлагает первым делом запретить прямой доступ к iLO из интернета. А если такая ошибка была допущена, то незамедлительно поменять пароль iLO.

В операционных системах Linux обнаружилась уязвимость под названием CVE-2021-4034. Она есть в компоненте PolKit и позволяет обычным пользователям повысить свои права до root. И хотя уязвимость нельзя использовать удалённо, а также нельзя выполнять с её помощью произвольный код, её могут использовать злоумышленники, которые уже имеют доступ к системе. Сама уязвимость появилась ещё в мае 2009 года, а о возможности её наличия говорилось в 2013 году.

Брешь назвали PwnKit, а обнаружили её специалисты Qualys. Сам компонент Polkit (ранее PolicyKit) отвечает за управления общесистемными привилегиями в Unix-подобных операционных системах. Он обеспечивает организованный способ взаимодействия непривилегированных процессов с привилегированными процессами. Для использования уязвимости даже не требуется, чтобы демон polkit был запущен.

Уязвимость присутствует в утилите pkexec, которая входит в состав PolKit. Она некорректно обрабатывает аргументы командной строки, из-за чего непривилегированный пользователь может запустить свой код с root-правами вне зависимости от настроек прав доступа. Несмотря на то, что фактически уязвимость приводит к повреждению памяти, она быстро и надёжно работает в независимости от архитектуры системы. До выхода патчей разработчики в качестве временной меры предлагают снять с pkexec SUID-флаг root.

Эксперты уже подготовили эксплойт, который проверили в Ubuntu, Debian, Fedora и CentOS, но он также может быть использован в других дистрибутивах. Исходники его пока не опубликованы из-за простоты воспроизведения, что не помешало другим исследователям выпустить собственные версии. Также отмечено, что компонент Polkit используется в BSD-системах и Solaris, но там уязвимость не проверяли. А вот в OpenBSD эта брешь отсутствует.

Компания «Алтэкс-Софт» сообщила о выпуске новой версии системы мониторинга защищённости IT-инфраструктуры предприятия RedCheck.

RedCheck представляет собой сканер безопасности, предоставляющий детальные сведения об эффективности мер по защите информации в корпоративной сети и её отдельных элементах. Программный комплекс определяет уязвимости операционных систем, СУБД, платформ виртуализации и приложений, потенциально опасные настройки, осуществляет оценку соответствия требованиям политик и стандартов ИБ, контроль целостности, инвентаризацию оборудования и программного обеспечения, формирует подробные отчёты.

Обновлённая версия RedCheck 2.6.8 дополнилась средствами аудита безопасности для платформы контейнеризации Docker, системы оркестрации Kubernetes и ряда отечественных ОС и приложений, в частности, «Альт 8 СП», Astra Linux Common Edition (релиз «Орёл»). Также продукт получил поддержку СУБД PostgreSQL, расширенные инструменты для создания динамических профилей заданий и построения отчётов. Отдельный акцент разработчиками был сделан на оптимизации API и повышении производительности программного комплекса.

Сканер безопасности RedCheck включён в реестр российского ПО и находится на инспекционном контроле по линии ФСТЭК России.

Специалисты по безопасности нашли серьёзную — 9,8 баллов из 10 по версии CVSSv3 — уязвимость в VMware vCenter Server версий Server 6.5, 6.7 and 7.0: CVE-2021-22005 (VMSA-2021-0020). Уязвимость позволяет любому, кто имеет доступ к порту 443 системы с vCenter, загрузить файл и выполнить произвольные команды на сервере в независимости от его настроек.

Эта проблема проявляется также в VMware Cloud Foundation и на программно-аппаратных комплексах Dell EMC VxRail и HPE SimpliVity. VMware рекомендует немедленно применить выпущенные ей патчи, поскольку в «дикой природе» уже замечены сканеры, ищущие уязвимые системы. Уязвимость касается службы Customer Experience Improvement Program (CEIP), однако её отключения для защиты недостаточно.

Технологии AMD SEV и Intel SGX позволяют создавать защищённые и зашифрованные области в памяти с ограниченным доступом. Первая в большей степени ориентирована на виртуализацию, вторая — на конфиденциальные вычисления. И для обеих исследователи нашли способ обойти защиту и ограничения, причём в обоих случаях используются атаки на аппаратном уровне с манипуляцией напряжением.

В статье, озаглавленной One Glitch to Rule Them All (Один глитч чтобы править всеми), исследователи из Берлинского технического университета (TU Berlin) описывают метод атаки на AMD Platform Secure Processor (PSP), независимый чип, присутствующий во всех процессорах EPYC всех поколений. PSP отвечает за безопасность платформы в целом, и за работу технологии SEV (Secure Encrypted Virtualization) во всех её вариантах. PSP проверяет целостность и корректность прошивок, загружаемых по цепочке во время старта системы.

Первичный загрузчик считывается из необновляемой ROM-области, после чего управление передаётся следующему загрузчику. Он проверяет и запускает внутреннюю ОС (PSP OS) и прошивку SEV, образы которых находятся уже в отдельной флеш-памяти на шине SPI. Атака, упрощённо говоря, сводится к инициированному сбою во время первичного общения PSP c ROM, что позволяет с некоторой долей вероятности заставить PSP посчитать ключ атакующего корректным и затем без проблем загрузить подписанные этим ключом и модифицированные по желанию атакующего образы из флеш-памяти на SPI.

Указанный сбой можно вызвать, точно манипулируя напряжением питания PSP. Для этого исследователи задействовали микроконтроллер Teensy 4.0, который подключался к шинам управления регулятором напряжения и SPI, а также к линии ATX для сброса CPU по питанию. Так как каждый сервер уникален, нужно время на первичную настройку параметров (около получаса), после чего микроконтроллер в автоматическом режиме начнёт атаковать систему со скоростью порядка 1100 попыток в час.

Ограничением в данном случае является тайм-аут линии ATX, поскольку после каждой неудачной попытки необходимо сбрасывать питание CPU. Это увеличивает время загрузки — от старта атаки до получения полного контроля проходит в среднем от 13,5 (Zen 1) до 46,5 (Zen 3) минут. Исследователи оговариваются, что это именно средние значения, так как разброс достаточно велик и неравномерен и не даёт даже приблизительно оценить время успешной атаки.

Схема атаки

Тем не менее, есть шанс, что увеличенное время загрузки никто не заметит, поскольку крупные системы (в первую очередь с большим объёмом памяти) и так могут загружаться не один десяток минут. В случае успешной атаки её будет весьма трудно обнаружить, поскольку появляется возможность подавить любые дальнейшие проверки и подменить данные внутренней телеметрии.

Основную опасность данный метод атаки представляет для облачных провайдеров и крупных корпоративных заказчиков — модификация сервера может быть произведена в цепочке поставок или сотрудником компании с нужными полномочиями. На подготовку тестовой системы на базе платы Supermicro H11DSU-iN и AMD EPYC 72F3 исследователям понадобилось менее четырёх часов. При это атака очень дешёвая — никакого особого оборудования не нужно, а из расходных материалов требуется только микроконтроллер (примерно $30) и SPI-программатор (около $12).

Маскировка лишних чипов на плате тоже вряд ли вызовет особые проблемы. В целом, данный сценарий очень напоминает историю Bloomberg от 2018 года о «жучках» в серверах Supermicro, поставляемых крупным американским IT-игрокам, которая не нашла официального подтверждения со стороны упомянутых в ней компаний.

Атака на AMD PSP была вдохновлена работой исследователей из Бирмингемского университета, которые развили идеи Plundervolt (CVE-2019-11157) и назвали свой метод VoltPillager. В случае Plundervolt точное манипулирование напряжением CPU позволяла нарушить корректность работы SGX (Software Guard Extensions) и целостность защищённых анклавов памяти, что в итоге позволяло восстановить ключи и получить содержимое анклавов.

Тестовый вариант VoltPillager

Атака требовала привилегированного доступа к системе и точно так же задействовала шину регулятора напряжения (SVID, Serial Voltage Identification). Доступ к этой шине можно было получить программно, так что Intel выпустила соответствующие патчи, позволяющие принудительно отключить эту возможность. Но против модификации «железа» они не помогают. В данном случае требуется только микроконтроллер (тот же Teensy 4.0) и доступ к системе.

И для AMD, и для Intel, по мнению исследователей, для защиты требуется аппаратная модификация самих процессоров, которые, в первую очередь, должны самостоятельно отслеживать питание и команды, управляющие им. Аналогичные методы атаки изучены и для других архитектур и чипов.

Что касается описанных выше методов, то AMD пока никак не прокомментировала ситуацию, а Intel сообщила, что данный метод находится вне фокуса защиты SGX, поскольку подразумевает модификацию «железа». За последние полгода это уже четвёртая атака на AMD SEV — для двух, выявленных весной, и ещё одной, под названием CIPHERLEAKS, признанной на днях, компания уже выпустила патчи и обновления. А Intel SGX успела пострадать и от Spectre, и от других уязвимостей.

Juniper Threat Labs обнаружила активное использование новых уязвимостей в прошивках миллионов домашних роутеров, а также в ряде IoT-устройств на той же кодовой базе. Объединяет их то что, они используют прошивку от Arcadyan, крупного OEM-производителя роутеров, терминалов, ТВ-приставок и других устройств, услугами которого пользуются множество брендов.

Уязвимости CVE-2021-20090 и CVE-2021-20091, обнаруженные Tenable, затрагивают маршрутизаторы минимум 17 брендов, в том числе те, что предоставляются конечным пользователям интернет-провайдерами. Они позволяют обойти аутентификацию и изменить конфигурацию устройства, открыв, к примеру, доступ к telnet с правами администратора.

Хуже всего то, что первая уязвимость присутствует более 10 лет, с мая 2008 года. По данным Tenable, минимум 13 интернет-провайдеров в 11 странах использует проблемные устройства. Вторая уязвимость есть не во всех устройствах, но даже первой достаточно для подмены DNS или, к примеру, доступа к другим устройствам в локальной сети. Кроме того, отмечают исследователи, даже если нет второй уязвимости, в прошивках всё равно есть другие.

Специалисты Juniper Threat Labs выявили несколько шаблонов атак, которые пытаются использовать бреши. Источником стал IP-адрес в Ухане, провинция Хубэй, Китай. Предполагается, что злоумышленники пытаются развернуть подобие ботнета Mirai. Несколько дней назад стало понятно, что атаки начались ещё в середине февраля этого года. А с июня те же злоумышленники начали дополнительно использовать и другие уязвимости в устройствах DLink, Cisco HyperFlex, Tenda и так далее.

В честь десятой годовщины с момента запуска программы Vulnerability Reward Program (VRP), в рамках которой исследователям выплачивается вознаграждение за найденные уязвимости в своих продуктах, Google запустила новую платформу bughunters.google.com. Программа VRP позволила обнаружить в общей сложности 11 055 уязвимостей, 2022 исследователя из 84 стран получили вознаграждения на сумму почти $30 млн.

Новый сайт собирает все VRP (Google, Android, Abuse, Chrome, Play) и предоставляет единую форму коммуникации, которая упрощает исследователям отправку сообщений о проблемах. Портал получил ряд улучшений:

• Больше возможностей для взаимодействия и конкуренции за счет геймификации, таблиц лидеров по странам, наград/значков за определённые ошибки и т. д. Списки лидеров будут составляться для каждой страны.
• Более функциональная и эстетичная рейтинговая таблица для помощи тем, кто использует свои достижения в VRP для того, чтобы найти работу.
• Сильный акцент на обучении: исследователи смогут улучшить свои навыки с помощью контента, доступного Bug Hunter University.
• Оптимизирован процесс публикации отчётов о багах.

Getty Images

«Мы знаем, какую ценность приносит обмен знаниями нашему сообществу. Вот почему мы хотим упростить вам публикацию отчетов об ошибках», — написал в блоге Ян Келлер (Jan Keller) технический менеджер программы VRP компании Google. В блоге также отмечено, что отправка исправлений для программного обеспечения с открытым исходным кодом тоже будет вознаграждаться. Кроме того, предусмотрены вознаграждения за исследовательские работы по безопасности открытого исходного кода и разработку программного обеспечения с открытым исходным кодом.

За последние 12 месяцев Microsoft в рамках программы Bug Bounty выплатила сторонним IT-специалистам по безопасности 13,6 млн долларов США в качестве вознаграждения за обнаруженные уязвимости в своих продуктах и сервисах.

Сообщается, что за год — с начала июля 2020-го по конец июня 2021 года — софтверным гигантом было получено свыше 1250 отчётов от заинтересованных ИБ-экспертов и энтузиастов. Денежное вознаграждение за поиск уязвимостей в программных решениях Microsoft получили более чем 340 исследователей безопасности из 58 стран мира. При этом самая крупная награда составила $200 тыс. за обнаружение серьёзного бага в гипервизоре Hyper-V, а средний размер одной награды достиг $10 тыс.

Впервые программа Bug Bounty была запущена Microsoft летом 2013 года и в настоящий момент охватывает 17 продуктовых направлений редмондской корпорации. Аналогичные программы премирования за информацию об особо опасных «дырах» действуют в Google, Mozilla, «Лаборатории Касперского», «Яндексе», Facebook*, Apple и многих других софтверных компаниях. Подробнее о Microsoft Bug Bounty Program и её условиях можно узнать на сайте microsoft.com/msrc/bounty.

* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».