Специалисты по безопасности нашли серьёзную — 9,8 баллов из 10 по версии CVSSv3 — уязвимость в VMware vCenter Server версий Server 6.5, 6.7 and 7.0: CVE-2021-22005 (VMSA-2021-0020). Уязвимость позволяет любому, кто имеет доступ к порту 443 системы с vCenter, загрузить файл и выполнить произвольные команды на сервере в независимости от его настроек.

Эта проблема проявляется также в VMware Cloud Foundation и на программно-аппаратных комплексах Dell EMC VxRail и HPE SimpliVity. VMware рекомендует немедленно применить выпущенные ей патчи, поскольку в «дикой природе» уже замечены сканеры, ищущие уязвимые системы. Уязвимость касается службы Customer Experience Improvement Program (CEIP), однако её отключения для защиты недостаточно.

Технологии AMD SEV и Intel SGX позволяют создавать защищённые и зашифрованные области в памяти с ограниченным доступом. Первая в большей степени ориентирована на виртуализацию, вторая — на конфиденциальные вычисления. И для обеих исследователи нашли способ обойти защиту и ограничения, причём в обоих случаях используются атаки на аппаратном уровне с манипуляцией напряжением.

В статье, озаглавленной One Glitch to Rule Them All (Один глитч чтобы править всеми), исследователи из Берлинского технического университета (TU Berlin) описывают метод атаки на AMD Platform Secure Processor (PSP), независимый чип, присутствующий во всех процессорах EPYC всех поколений. PSP отвечает за безопасность платформы в целом, и за работу технологии SEV (Secure Encrypted Virtualization) во всех её вариантах. PSP проверяет целостность и корректность прошивок, загружаемых по цепочке во время старта системы.

Первичный загрузчик считывается из необновляемой ROM-области, после чего управление передаётся следующему загрузчику. Он проверяет и запускает внутреннюю ОС (PSP OS) и прошивку SEV, образы которых находятся уже в отдельной флеш-памяти на шине SPI. Атака, упрощённо говоря, сводится к инициированному сбою во время первичного общения PSP c ROM, что позволяет с некоторой долей вероятности заставить PSP посчитать ключ атакующего корректным и затем без проблем загрузить подписанные этим ключом и модифицированные по желанию атакующего образы из флеш-памяти на SPI.

Указанный сбой можно вызвать, точно манипулируя напряжением питания PSP. Для этого исследователи задействовали микроконтроллер Teensy 4.0, который подключался к шинам управления регулятором напряжения и SPI, а также к линии ATX для сброса CPU по питанию. Так как каждый сервер уникален, нужно время на первичную настройку параметров (около получаса), после чего микроконтроллер в автоматическом режиме начнёт атаковать систему со скоростью порядка 1100 попыток в час.

Ограничением в данном случае является тайм-аут линии ATX, поскольку после каждой неудачной попытки необходимо сбрасывать питание CPU. Это увеличивает время загрузки — от старта атаки до получения полного контроля проходит в среднем от 13,5 (Zen 1) до 46,5 (Zen 3) минут. Исследователи оговариваются, что это именно средние значения, так как разброс достаточно велик и неравномерен и не даёт даже приблизительно оценить время успешной атаки.

Схема атаки

Тем не менее, есть шанс, что увеличенное время загрузки никто не заметит, поскольку крупные системы (в первую очередь с большим объёмом памяти) и так могут загружаться не один десяток минут. В случае успешной атаки её будет весьма трудно обнаружить, поскольку появляется возможность подавить любые дальнейшие проверки и подменить данные внутренней телеметрии.

Основную опасность данный метод атаки представляет для облачных провайдеров и крупных корпоративных заказчиков — модификация сервера может быть произведена в цепочке поставок или сотрудником компании с нужными полномочиями. На подготовку тестовой системы на базе платы Supermicro H11DSU-iN и AMD EPYC 72F3 исследователям понадобилось менее четырёх часов. При это атака очень дешёвая — никакого особого оборудования не нужно, а из расходных материалов требуется только микроконтроллер (примерно $30) и SPI-программатор (около $12).

Маскировка лишних чипов на плате тоже вряд ли вызовет особые проблемы. В целом, данный сценарий очень напоминает историю Bloomberg от 2018 года о «жучках» в серверах Supermicro, поставляемых крупным американским IT-игрокам, которая не нашла официального подтверждения со стороны упомянутых в ней компаний.

Атака на AMD PSP была вдохновлена работой исследователей из Бирмингемского университета, которые развили идеи Plundervolt (CVE-2019-11157) и назвали свой метод VoltPillager. В случае Plundervolt точное манипулирование напряжением CPU позволяла нарушить корректность работы SGX (Software Guard Extensions) и целостность защищённых анклавов памяти, что в итоге позволяло восстановить ключи и получить содержимое анклавов.

Тестовый вариант VoltPillager

Атака требовала привилегированного доступа к системе и точно так же задействовала шину регулятора напряжения (SVID, Serial Voltage Identification). Доступ к этой шине можно было получить программно, так что Intel выпустила соответствующие патчи, позволяющие принудительно отключить эту возможность. Но против модификации «железа» они не помогают. В данном случае требуется только микроконтроллер (тот же Teensy 4.0) и доступ к системе.

И для AMD, и для Intel, по мнению исследователей, для защиты требуется аппаратная модификация самих процессоров, которые, в первую очередь, должны самостоятельно отслеживать питание и команды, управляющие им. Аналогичные методы атаки изучены и для других архитектур и чипов.

Что касается описанных выше методов, то AMD пока никак не прокомментировала ситуацию, а Intel сообщила, что данный метод находится вне фокуса защиты SGX, поскольку подразумевает модификацию «железа». За последние полгода это уже четвёртая атака на AMD SEV — для двух, выявленных весной, и ещё одной, под названием CIPHERLEAKS, признанной на днях, компания уже выпустила патчи и обновления. А Intel SGX успела пострадать и от Spectre, и от других уязвимостей.

Juniper Threat Labs обнаружила активное использование новых уязвимостей в прошивках миллионов домашних роутеров, а также в ряде IoT-устройств на той же кодовой базе. Объединяет их то что, они используют прошивку от Arcadyan, крупного OEM-производителя роутеров, терминалов, ТВ-приставок и других устройств, услугами которого пользуются множество брендов.

Уязвимости CVE-2021-20090 и CVE-2021-20091, обнаруженные Tenable, затрагивают маршрутизаторы минимум 17 брендов, в том числе те, что предоставляются конечным пользователям интернет-провайдерами. Они позволяют обойти аутентификацию и изменить конфигурацию устройства, открыв, к примеру, доступ к telnet с правами администратора.

Хуже всего то, что первая уязвимость присутствует более 10 лет, с мая 2008 года. По данным Tenable, минимум 13 интернет-провайдеров в 11 странах использует проблемные устройства. Вторая уязвимость есть не во всех устройствах, но даже первой достаточно для подмены DNS или, к примеру, доступа к другим устройствам в локальной сети. Кроме того, отмечают исследователи, даже если нет второй уязвимости, в прошивках всё равно есть другие.

Специалисты Juniper Threat Labs выявили несколько шаблонов атак, которые пытаются использовать бреши. Источником стал IP-адрес в Ухане, провинция Хубэй, Китай. Предполагается, что злоумышленники пытаются развернуть подобие ботнета Mirai. Несколько дней назад стало понятно, что атаки начались ещё в середине февраля этого года. А с июня те же злоумышленники начали дополнительно использовать и другие уязвимости в устройствах DLink, Cisco HyperFlex, Tenda и так далее.

В честь десятой годовщины с момента запуска программы Vulnerability Reward Program (VRP), в рамках которой исследователям выплачивается вознаграждение за найденные уязвимости в своих продуктах, Google запустила новую платформу bughunters.google.com. Программа VRP позволила обнаружить в общей сложности 11 055 уязвимостей, 2022 исследователя из 84 стран получили вознаграждения на сумму почти $30 млн.

Новый сайт собирает все VRP (Google, Android, Abuse, Chrome, Play) и предоставляет единую форму коммуникации, которая упрощает исследователям отправку сообщений о проблемах. Портал получил ряд улучшений:

• Больше возможностей для взаимодействия и конкуренции за счет геймификации, таблиц лидеров по странам, наград/значков за определённые ошибки и т. д. Списки лидеров будут составляться для каждой страны.
• Более функциональная и эстетичная рейтинговая таблица для помощи тем, кто использует свои достижения в VRP для того, чтобы найти работу.
• Сильный акцент на обучении: исследователи смогут улучшить свои навыки с помощью контента, доступного Bug Hunter University.
• Оптимизирован процесс публикации отчётов о багах.

Getty Images

«Мы знаем, какую ценность приносит обмен знаниями нашему сообществу. Вот почему мы хотим упростить вам публикацию отчетов об ошибках», — написал в блоге Ян Келлер (Jan Keller) технический менеджер программы VRP компании Google. В блоге также отмечено, что отправка исправлений для программного обеспечения с открытым исходным кодом тоже будет вознаграждаться. Кроме того, предусмотрены вознаграждения за исследовательские работы по безопасности открытого исходного кода и разработку программного обеспечения с открытым исходным кодом.

За последние 12 месяцев Microsoft в рамках программы Bug Bounty выплатила сторонним IT-специалистам по безопасности 13,6 млн долларов США в качестве вознаграждения за обнаруженные уязвимости в своих продуктах и сервисах.

Сообщается, что за год — с начала июля 2020-го по конец июня 2021 года — софтверным гигантом было получено свыше 1250 отчётов от заинтересованных ИБ-экспертов и энтузиастов. Денежное вознаграждение за поиск уязвимостей в программных решениях Microsoft получили более чем 340 исследователей безопасности из 58 стран мира. При этом самая крупная награда составила $200 тыс. за обнаружение серьёзного бага в гипервизоре Hyper-V, а средний размер одной награды достиг $10 тыс.

Впервые программа Bug Bounty была запущена Microsoft летом 2013 года и в настоящий момент охватывает 17 продуктовых направлений редмондской корпорации. Аналогичные программы премирования за информацию об особо опасных «дырах» действуют в Google, Mozilla, «Лаборатории Касперского», «Яндексе», Facebook, Apple и многих других софтверных компаниях. Подробнее о Microsoft Bug Bounty Program и её условиях можно узнать на сайте microsoft.com/msrc/bounty.

Производитель сетевого оборудования SonicWall выпустил срочное предупреждение для своих клиентов, в котором сообщил о риске атаки вирусов-вымогателей. В компании заявили, что они нацелены на сетевое оборудовании, которое уже не поддерживается, но всё ещё используется некоторыми заказчиками. Речь идёт об уязвимости в продуктах Secure Mobile Access (SMA) серии 100 и Secure Remote Access (SRA) с 8-й версией прошивки.

В свете этого специалисты призывает клиентов как можно скорее обновить прошивку своих устройств, разумеется, если таковая доступна. В SonicWall заявили, что оборудование, срок эксплуатации которого истёк, и для которого нет прошивки 9-й версии, может быть потенциально уязвимым. Если нет возможности оперативно заменить или обновить оборудование, SonicWall рекомендует немедленно отключить такие устройства и сбросить пароли доступа, а также задействовать многофакторную аутентификацию, если она поддерживается.

Список устройств и рекомендаций выглядит так:

• SRA 4600/1600 (поддержка завершилась в 2019 г.) — немедленно отключить и сбросить пароли;
• SRA 4200/1200 (поддержка завершилась в 2016 г.) — то же самое;
• SSL-VPN 200/2000/400 (поддержка завершилась в 2013/2014 г.г.) — то же самое;
• SMA 400/200 (ограниченная поддержка) — обновить прошивку минимум до 9.0.0.10 или 10.2.0.7-34, сбросить пароли, включить многофакторную аутентифиацию;
• SMA 210/410/500v (поддерживаются) — обновить прошивку до 9.x или 10.x.

Отметим, что в конце января 2021 года компания сообщила о взломе. Тогда хакеры использовали «уязвимость нулевого дня» в шлюзах Secure Mobile Access (SMA). Через неделю обнаружилась ещё одна брешь, а в апреле FireEye нашла третью. При этом эксперт безопасности CrowdStrike Хизер Смит (Heather Smith) сообщила, что рекомендация SonicWall относится к уязвимости, подробно описанной в июне.

Злоумышленники используют её для проникновения в корпоративные сети и распространения зловредов Darkside, FiveHands и HelloKitty. Клиентам с устаревшим оборудованием, для которого не будет новых версий прошивок, компания бесплатно предоставит до 31 октября 2021 года лицензию на виртуализированную версию SMA 500v, чтобы упростить миграцию со старых устройств.

Руководство облачной платформы Mail.ru Cloud Solutions увеличило оплату за обнаружение уязвимостей. Речь идёт о программе Bug Bounty, где за особо крупный баг можно получить до $40 тыс. Одну такую награду уже выплатили в июле. Как отмечается, вознаграждения выплачиваются еженедельно, а сумма варьируется от $150 до $40 тыс. Это зависит от серьезности проблемы, новизны, возможности и вероятности использования, а также иных факторов. Самые крупные выплаты положены за уязвимости, которые позволяют удалённо выполнять код на сервере.

Помимо этого, в Mail.ru Group запустили бонусную систему для бесплатного поиска багов. Теперь специалисты могут получить до 3 тыс. руб. на исследование информационной безопасности сервисов облачной платформы. Это можно активировать в личном кабинете. При этом сама компания отмечает, что её программа Bug Bounty для Mail.ru Cloud Solutions — самая высокооплачиваемая и доходная в России.

threatpost.com

«Мы заботимся о наших пользователях и стремимся постоянно совершенствовать свои продукты, поэтому хорошо понимаем ценность работы багхантеров. Они помогают нам находить потенциальные слабые места наших продуктов и оперативно устранять уязвимости», — отметил Антон Жаболенко, ведущий инженер по информационной безопасности Mail.ru Cloud Solutions.

Компания Positive Technologies вывела на рынок систему управления уязвимостями нового поколения MaxPatrol VM.

Представленный отечественным разработчиком продукт построен на базе платформы MaxPatrol 10, объединяющей продукты Positive Technologies для мониторинга безопасности корпоративной IT-инфраструктуры. MaxPatrol VM позволяет выстроить полный цикл управления уязвимостями: от сбора информации об IT-активах, выявления и приоритизации уязвимостей по уровню их опасности до контроля их устранения. Система снижает нагрузку на подразделения ИТ и ИБ, автоматизируя большинство рутинных процессов, и повышает эффективность мероприятий по защите.

В основу MaxPatrol VM положена технология управления активами Security Asset Management (SAM). Она позволяет системе с помощью активного и пассивного сбора данных строить в каждый момент времени актуальную и полную модель наблюдаемой инфраструктуры. За счёт понимания IT-среды решение помогает выстроить и автоматизировать управление уязвимостями с учётом значимости компонентов сети для бизнес-процессов, охватить все системы организации, а также учитывать изменения инфраструктуры.

MaxPatrol VM поддерживает интеграцию с другими продуктами Positive Technologies — системой выявления инцидентов в реальном времени MaxPatrol SIEM и системой анализа трафика PT Network Attack Discovery, что позволяет обогатить знания об IT-активах предприятия и добиться полной видимости инфраструктуры. Подробные сведения о новом программном комплексе можно найти на сайте ptsecurity.com/products/mp-vm.

Компания «Алтэкс-Софт» сообщила о выпуске обновлённой версии сканера безопасности RedCheck 2.6.6.

RedCheck представляет собой средство анализа защищённости, предоставляющее детальные сведения об эффективности мер по защите информации в корпоративной сети и её отдельных элементах. Программа определяет уязвимости операционных систем, СУБД, платформ виртуализации и приложений, потенциально опасные настройки, осуществляет оценку соответствия требованиям политик и стандартов, контроль целостности, инвентаризацию оборудования и программного обеспечения, формирует подробные отчёты.

В RedCheck версии 2.6.6 завершён перевод всех компонентов сканера на х64-архитектуру, при этом для устаревших платформ остался доступен x86-агент. Переход на x64-архитектуру позволил увеличить производительность и устойчивость продукта при работе в сетях класса Enterprise. Разработчиками были расширены функции аудита в режиме «Пентест», улучшены инструменты построения отчётов и планировщик заданий, исправлены ошибки и дополнена поддержка (сканирование) ряда новых операционных систем. Особое внимание было уделено отечественным решениям ОС «Альт 8 СП» и Astra Linux Common Edition («Орёл»).

RedCheck внесён в реестр российских программ для электронных вычислительных машин и баз данных. Подробные сведения о продукте можно найти на сайте redcheck.ru.

Статистика, собранная Компьютерной командой экстренной готовности США (US-CERT), говорит о том, что в нынешнем году установлен новый антирекорд по количеству обнаруженных уязвимостей в программном обеспечении (ПО).

На момент подготовки этого материала данные US-CERT говорили о выявлении в 2020 году 17 550 «дыр» разного уровня опасности в программных продуктах. Для сравнения: в прошлом году число обнаруженных уязвимостей составило 17 306.

Сообщается, что в 2020-м выявлены 4177 уязвимостей с высоким уровнем опасности против 4337 в прошлом году. Основную массу составили «дыры» среднего уровня опасности — 10 776, что ниже прошлогоднего значения в 10 956. А вот число малоопасных уязвимостей поднялось с 2013 до 2597.

Нажмите для увеличения

Таким образом, в уходящем году в четвёртый раз подряд поставлен негативный рекорд по количеству новых уязвимостей. Специалисты говорят, что наблюдающаяся картина может объясняться двумя причинами — ухудшающимся качеством программного кода и возросшей активностью «белых» хакеров, которые ищут проблемные места в софте за вознаграждение от разработчиков. 

Основная часть уязвимостей касалась веб-приложений, однако заметен рост и в других сегментах. Например, число обнаруженных дыр в API выросло вдвое, а для Android — втрое. Кроме того, сменились и цели для атак и изучения. Если раньше компании больше беспокоились о проблемах в продуктах, с которыми взаимодействуют их конечные потребители, то теперь внимание уделяется и собственной IT-инфраструктуре, и продуктам, которые используются сотрудниками.