Специалисты по кибербезопасности из принадлежащей Google Cloud компании Mandiant, привлечённой Barracuda для расследования обстоятельств взлома устройств Barracuda Email Security Gateway (ESG), установили связь атаковавшей шлюзы хакерской группы с Китаем. Этой группе компания присвоила название UNC4841. Barracuda настоятельно рекомендует избавиться от взломанных ESG, обещая бесплатно предоставить замену.

По словам Чарльза Кармакала (Charles Carmakal), технического директора Mandiant Consulting, кампания по кибершпионажу была самой масштабной со времён хакерских атак с использованием бага в Microsoft Exchange Server в начале 2021 года. «В случае с Barracuda злоумышленники взломали средства защиты электронной почты сотен организаций. У части жертв они украли электронные письма известных сотрудников, занимающихся вопросами, представляющими интерес для китайского правительства», — добавил он.

По данным Mandiant, UNC4841 поддерживается государством и выполняет разведывательные задачи для китайского правительства. Также были обнаружены точки пересечения UNC4841 с инфраструктурой, приписываемой другим китайским субъектам шпионажа, что указывает на то, что Пекин использует объединенный подход к своим операциям по взлому. «Mandiant с высокой уверенностью полагает, что UNC4841 вела шпионскую деятельность в поддержку Китайской Народной Республики», — сообщили исследователи в отчёте.

Источник изображения: Barracuda Networks

Mandiant отметила, что хакеры изменили свое вредоносное ПО вскоре после выпуска патча в мае. Кроме того, они задействовали дополнительные механизмы, чтобы сохранить доступ к сетям жертв. После взлома сетей хакеры нацеливались на конкретные данные, «представляющие интерес для эксфильтрации», а также попытались использовать скомпрометированные компоненты для заражения других систем.

В ходе семимесячной кампании UNC4841 использовала три вредоносные программы — Saltwater, Seaspy и Seaside, замаскированные под модули или сервисы Barracuda ESG. После своего раскрытия UNC4841 занялась модификацией некоторых компонентов Saltwater и Seaspy, чтобы предотвратить эффективное исправление уязвимостей. Компания также запустила новый руткит в виде модуля ядра Linux, получившего название Sandbar, которым троянизировал некоторые официальные модули Barracuda.

«UNC4841 продемонстрировала высокую чувствительность к оборонительным усилиям и активно модифицирует TTP для поддержания их функционирования. Mandiant настоятельно рекомендует пострадавшим клиентам Barracuda продолжать поиск этого субъекта и исследовать затронутые сети», — сообщили исследователи.

Поставщик ИБ-решений Barracuda Networks заявил, что клиентам необходимо немедленно заменить затронутые эксплойтом шлюзы Email Security Gateway (ESG), даже если те установили все доступные патчи. При этом компания пообещала оказывать клиентам, в числе которых Samsung, Delta Airlines, Mitsubishi и Kraft Heinz, необходимую помощь в замене ESG.

Шлюзы ESG предназначены для защиты входящего и исходящего трафика электронной почты. Они доступны как в виде физических серверов, так и в виде программных комплексов, в том числе в AWS и Microsoft Azure. Уязвимость в ESG была обнаружена в мае этого года. 18 мая компания заявила о том, что обратилась за помощью к Mandiant, специализирующейся на сложных кибератаках, после того как был обнаружен аномальный трафик, направлявшийся с устройств ESG.

Изображение: Barracuda Networks

19 мая в устройствах была выявлена критическая уязвимость нулевого дня CVE-2023-2868, позволявшая хакерам удалённо выполнять произвольный код на шлюзах ESG. Уязвимость затрагивает версии ПО ESG с 5.1.3.001 по 9.2.0.006, позволяя злоумышленнику добиться удалённого выполнения кода (RCE) с повышенными привилегиями. Расследование Mandiant и Barracuda показало, что уязвимость активно используется хакерами с октября 2022 года.

Было установлено, что уязвимость использовалась для получения несанкционированного доступа к множеству шлюзов ESG, на которых сначала размещались бэкдоры Saltwater и Seaspy, а затем модуль Seaside, отслеживающий входящий трафик и устанавливающий оболочку для выполнения команд на удалённом сервере. Всё вместе это даёт возможность хакеру сохранять доступ к серверу или шлюзу даже после устранения уязвимости основного ПО с помощью патча.

20–21 мая компания выпустила патчи против уязвимости, однако это не дало результата, поскольку злоумышленники оставили вредоносное ПО на затронутых системах, которое продолжало действовать. «Если вы не заменили своё устройство после получения уведомления в пользовательском интерфейсе, обратитесь в службу поддержки сейчас, — сообщила компания клиентам. — Рекомендация Barracuda по исправлению в настоящее время заключается в полной замене затронутых ESG».

Изображение: Barracuda Networks

По словам Rapid7, решение о полной замене «подразумевает, что вредоносное ПО, установленное злоумышленниками, каким-то образом достигает устойчивости на достаточно низком уровне, так что даже очистка устройства не уничтожит доступ к нему злоумышленника». К Сети может быть подключено до 11 тыс. устройств ESG — Rapid7 выявила значительные объёмы вредоносной активности в те же сроки, о которых сообщила Barracuda.

В дополнение к прекращению использования и замене уязвимых устройств ESG компания Barracuda рекомендовала клиентам немедленно обновить учётные данные любых устройств или служб, подключавшихся к ESG. Также было предложено провести проверку сетевых журналов, которая может помочь выявить любое потенциальное вторжение.

Два исследователя в области информационной безопасности, аспирант Зитаи Чен (Zitai Chen) и профессор Дэвид Освальд (David Oswald), по сообщению The Register, на конференции Black Hat Asia 2023 рассказали о новой кибератаке, которая может использоваться для вывода из строя CPU в серверах на базе определённых материнских плат.

Схема получила название PMFault. Суть атаки сводится к использованию шины управления питанием PMBus на основе протокола I2C для повышения напряжения, подаваемого на центральный процессор. В результате, CPU может стать полностью неработоспособным без возможности последующего восстановления. Так, в ходе экспериментов исследователи уничтожили два чипа Intel Xeon.

Источник изображения: pixabay.com

Для организации атаки физический доступ к серверу необязателен. Нападение может быть осуществлено через I2C-подключение через ОС с правами администратора или через уязвимости в контроллере Baseboard Management Controller (BMC), который входит в оснащение многих серверных материнских плат.

Отмечается, что проблема в числе прочего затрагивает платы Supermicro с поддержкой IPMI (X11, X12, H11 и H12), а также некоторые платы ASRock. Более того, утверждают исследователи, теоретически атака может быть осуществлена на любые системы с доступом к PMBus посредством I2C. Компания Supermicro уже отреагировала на сообщения о проблеме и выпустила необходимые исправления. На сайте GitHub доступен инструмент PMBusDetect, при помощи которого можно определить возможность проведения атаки PMFault.

В ряде операционных систем для оборудования QNAP обнаружены уязвимости, которые затрагивают приблизительно 80 тыс. устройств по всему миру. Дыры присутствуют в программном обеспечении QTS, QuTS hero, QuTScloud и QVP, а их эксплуатация может приводить в том числе к выполнению произвольного кода в системе жертвы.

Баги выявлены специалистами Sternum. Проблемы связаны с нарушением прав доступа к памяти. В случае успешной атаки злоумышленники могут повлиять на стабильность работы оборудования или спровоцировать непредсказуемое поведение устройства. В бюллетене безопасности QNAP также говорится о возможности извлечения «секретных значений».

Источник изображения: pixabay.com

Уязвимости получили индексы CVE-2022-27597 и CVE-2022-27598. Они устранены в QTS версии 5.0.1.2346 (сборка 20230322 и более поздние модификации), а также в QuTS hero версии h5.0.1.2348 (сборка 20230324 и выше). Обновления для операционных систем QuTScloud и QVP пока не выпущены, но QNAP заявляет, что в срочном порядке решает проблемы.

Отмечается также, что дыры представляют не слишком большую опасность. К тому же пока не зафиксированы случаи их практической эксплуатации. С другой стороны, говорят эксперты в области информационной безопасности, устройства QNAP, как и многое другое оборудование IoT, зачастую имеют некорректную конфигурацию, остаются незащищёнными брандмауэром и не обновляются. Это создаёт дополнительные риски для организаций.

Эксперты в области информационной безопасности, как сообщает Bloomberg, зафиксировали масштабную киберкампанию, нацеленную на внедрение программы-вымогателя в IT-системы организаций по всему миру для последующего получения выкупа от жертв. Злоумышленники атакуют серверы, эксплуатируя уязвимость в гипервизоре VMware ESXi.

По оценкам, только в течение минувших выходных программа-вымогатель поразила более 2100 серверов. Наибольшее количество вторжений зафиксировано в США, Франции и Германии. Кроме того, пострадали корпоративные системы в других странах, в частности, в Италии и Канаде. Патч для этой дыры был выпущен ещё в феврале 2021 года, но нынешняя волна взломов говорит о том, что далеко не все компании загрузили апдейт.

Источник изображения: pixabay.com

Уязвимость, описанная в бюллетене CVE-2021-21974, вызвана проблемой переполнения памяти в службе OpenSLP. Брешь может быть использована злоумышленниками, не прошедшими проверку подлинности, для выполнения произвольных команд. Проблема затрагивает ESXi версии 7.x до ESXi70U1c-17325551, ESXi версии 6.7.x до ESXi670-202102401-SG и ESXi версии 6.5.x до ESXi650-202102101-SG.

Эксплуатируя дыру, злоумышленники внедряют вредоносную программу ESXiArgs. Зловред шифрует файлы с расширениями .vmxf, .vmx, .vmdk, .vmsd и .nvram на поражённых серверах и создаёт файл .args для каждого зашифрованного документа с метаданными (вероятно, необходимыми для расшифровки). Кроме того, преступники оставляют сообщение с требованием выкупа. Анализ показывает, что ESXiArgs, вероятно, основан на исходном коде шифровальщика Babuk, который ранее использовался в ходе других кампаний по вымогательству.

Как сообщает Dark Reading, исследователи из компании Eclypsium выявили в прошивках BMC у крупных производителей серверного оборудования опасные уязвимости под общим названием BMC&C, позволяющие злоумышленникам достаточно легко получить контроль над системой. Они затрагивают оборудование, поставляемое AMD, Ampere Computing, ASRock, Asus, Arm, Dell EMC, Gigabyte, HPE, Hitachi Vantara, Huawei, Inspur, Intel, Lenovo, NetApp, NVIDIA, Qualcomm, Quanta и Tyan.

Таким образом, под угрозу попадает большое количество серверов, используемых, в том числе, крупными провайдерами облачных услуг, однако Eclypsium пока затрудняется в оценке масштаба данной проблемы. Очевидно, что для атаки требуется подключение сервера к Сети. Последние прошивки AMI MegaRAC базируются на открытом проекте OpenBMC, поэтому их особенности известны широкому кругу разработчиков, включая потенциальных злоумышленников. О первых трёх уязвимостях Eclypsium сообщила ещё в декабре прошлого года, а публикацию информации об ещё двух было решено отложить до конца января, чтобы дать AMI время на выпуск патчей.

Источник: Eclypsium

Уязвимость CVE-2022-26872 позволяет атакующему удалённо сбросить пароль доступа в определённый момент между использованием одноразового пароля и заданием нового. Другая уязвимость, CVE-2022-40258, описывает хеширование паролей с помощью достаточно слабого алгоритма, который может быть взломан. Однако есть и более серьёзные проблемы: так, в API имеются опасные команды (CVE-2022-40259), а использование параметров доступа по умолчанию (CVE-2022-40242) и вовсе допускает выполнение произвольного кода. Еще одна уязвимость, CVE-2022-2827, позволяет получить список пользователей.

Как полагают специалисты Eclypsium, в утечке потенциально опасной информации вины AMI нет. Вероятнее всего, она произошла, когда один из поставщиков оборудования столкнулся с группой вымогателей. В настоящее время AMI выпущены «заплатки» для всех пяти уязвимостей и крупные компании уже сообщили своим клиентам о проблеме и способах её решения, однако далеко не все из них подготовили патчи для всех затронутых продуктов — в случае некоторых вендоров этот процесс затянется до мая 2023 года.

Центр мониторинга и реагирования на киберугрозы UserGate добавил в «Систему обнаружения вторжений» (СОВ) две новые сигнатуры, которые детектируют атаки с использованием уязвимостей CVE-2022-3602 и CVE-2022-3786 в библиотеке OpenSSL. Проблема заключается в переполнении буфера, вызванном ошибкой в реализации punycode, которая потенциально может привести к удаленному выполнению кода.

Злоумышленник может выполнить TLS-запрос с аутентификацией по специально созданному сертификату, приведя к переполнению буфера. В соответствии с CVSSv3.1 уязвимости пока не был присвоен рейтинг, однако OpenSSL Project Team присвоила рейтинг CRITICAL. Впоследствии была найдена похожая уязвимость (CVE-2022-3786), а их рейтинг был снижен до HIGH.

Фото: Unsplash/Carlos Nunez

Уязвимость затронула версии OpenSSL с 3.0.0 по 3.0.6, которые используются, в частности, в Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing и Unstable, а также других дистрибутивах. Более ранние выпуски OpenSSL 1.1.1, а заодно и деривативы в лице LibreSSL и BoringSSL, такой проблемы не имеют (punycode есть только в >OpenSSL 3.0.x).

Специалисты UserGate рекомендуют пользователям убедиться, что оборудование не использует уязвимую версию OpenSSL и, в случае нахождения уязвимой версии, обновить ее. Кроме того рекомендуется проверить актуальность подписки на модуль Security Updates и добавить в блокирующее правило IDPS сигнатуры «Possible OpenSSL X.509 Email Address 4-byte Buffer Overflow» и «Possible OpenSSL X.509 Email Address Variable Length Buffer Overflow».

Как известно, в июле этого года был обнаружен новый способ потенциальной атаки, связанный с механизмами спекулятивного исполнения кода в современных процессорах, включая Intel Kaby Lake/Coffee Lake и AMD Zen 1/1+/2. Эта уязвимость получила название Retbleed. Варианты за номерами CVE-2022-29900 и CVE-2022-29901 отличаются от Spectre-v2 тем, что позволяют выполнять произвольный код при обработке инструкции «ret» и организации неверного предсказания перехода, отсюда и название Retbleed.

Источник: lore.kernel.org

Уязвимость касается процессоров Intel с шестого по восьмое поколение и процессоров AMD на базе архитектур Zen 1/1+/2. В более современных CPU уже есть необходимые механизмы защиты. Хотя компании-производители и опубликовали рекомендации по защите от новой уязвимости, уже тогда отмечалось, что использование этих методов может снизить производительность на 12–28%. Даже такая цифра весьма неприятна в условиях борьбы за каждый процент производительности в современных ЦОД.

Но инженеры VMware обнаружили, что парой десятков процентов дело не ограничивается. Как показало проведённое ими тестирование ядра Linux 5.19 в среде ESXi, при включении опции защиты вычислительная производительность могла упасть на 70%, производительность сетевой подсистемы — на 30%. Проблема затрагивала даже работу с накопителями, которая замедлилась примерно на 13%. Следует отметить, что проблема связана не с гипервизором VMware как таковым, а с работой ядра Linux в нём.

В частности, был отмечен серьёзный рост задержки при создании потоков, это время выросло с 16 до 27 мс, возросло и время, требуемое на запуск и остановку виртуальных машин, а пропускная способность виртуализированной сети упала с 11,9 Гбит/с до 8,56 Гбит/с. В настоящее время Intel работает над менее затратными способами защиты от Retbleed.

Для тестирования использовался сервер с четырьмя процессорами Intel Xeon Skylake-SP (112 потоков, 2 Тбайт RAM) и основной ОС Ubuntu 20.04. Для проверки также были проведены тесты с полным отключением защиты (spectre_v2=off), которые показали, что в этом случае производительность Linux 5.19 мало чем отличалась от Linux 5.18.

Американская компания Cisco заявила, что не будет устранять уязвимость нулевого дня CVE-2022-20923 (cisco-sa-sb-rv-vpnbypass-Cpheup9O) в своих маршрутизаторах, которая позволяет обойти авторизацию и получить доступ к сети IPSec VPN. Такое решение обусловлено тем, что проблема затрагивает маршрутизаторы, период поддержки которых давно завершён.

Согласно имеющимся данным, речь идёт о VPN-маршрутизаторах для малого бизнеса RV110W, RV130, RV130W и RV215W, жизненный цикл которых завершился ещё в 2019 году. Что касается самой уязвимости, то она связана с ошибкой в алгоритме проверки паролей. Уязвимость позволяет злоумышленникам подключиться к VPN-сети с помощью особым образом подготовленных учётных данных, но только при условии, что на маршрутизаторе активирован VPN-сервер IPSec.

Изображения: Cisco

«Успешная эксплуатация уязвимости может позволить злоумышленнику обойти аутентификацию и получить доступ к сети IPSec VPN. Злоумышленник может получить привилегии того же уровня, что и администратор, в зависимости от используемых специально созданных учётных данных», — говорится в сообщении Cisco.

Производитель не только подтвердил наличие проблемы, но также сообщил, что не намерен выпускать патч для исправления упомянутой уязвимости. Пользователям, которые продолжают использовать устаревшие модели маршрутизаторов, рекомендуется приобрести более современные устройства, продолжающие получать обновления безопасности. В компании также отметили, что на данный момент не было зафиксировано каких-либо признаков того, что уязвимость CVE-2022-20923 используется злоумышленниками на практике.

Но это не единственная серьёзная уязвимость старых продуктов Cisco, которая не была исправлена производителем из-за окончания срока поддержки. Например, в августе 2021 года компания заявила, что не намерена исправлять критическую уязвимость CVE-2021-34730 в вышеупомянутых маршрутизаторах, эксплуатация которой может позволить осуществить удалённое выполнение кода с правами администратора. В июне этого года стало известно об аналогичной критической уязвимости CVE-2022-20825 в тех же устройствах. Во всех случаях Cisco рекомендует приобрести более современные устройства.

Компания Positive Technologies дополнила представленный ранее облачный сервис PT BlackBox Scanner для поиска уязвимостей в веб-приложениях On-Premise-версией решения PT BlackBox. Продукт предполагает модель оплаты по подписке и устанавливается на серверах заказчика.

Особенностью комплекса PT BlackBox является гибридный подход, сочетающий преимущества статического (Static application security testing, SAST) и динамического (Dynamic application security testing, DAST) анализа, а также использующий базу знаний уязвимостей, накопленную экспертами Positive Technologies. Продукт позволяет выявлять уязвимости на ранней стадии жизненного цикла ПО и поддерживает процессы безопасной разработки DevSecOps.

Сравнение PT BlackBox и PT BlackBox Scanner

Для удобства работы с PT BlackBox предусмотрено внедрение сканера в процессы непрерывной интеграции (Continuous integration, CI) и непрерывной доставки (Continuous delivery, CD): запуск сканирования возможен параллельно с приёмочным тестированием, а также после тестирования и развёртывания программных решений. Кроме того, PT BlackBox можно применять для ручного сканирования приложений в интернете.

Веб-приложения по-прежнему остаются популярной целью для злоумышленников. По данным Positive Technologies, в среднем онлайновые сервисы одной организации могут содержать больше двух десятков уязвимостей, пятая часть из которых — опасные. Если атакующий сможет найти их, компания рискует столкнуться с серьёзными финансовыми и репутационными последствиями: кражей важных данных, проникновением в IT-инфраструктуру, простоями бизнес-процессов или полной остановкой информационных систем.