Материалы по тегу: уязвимость
16.08.2023 [22:39], Руслан Авдеев
Уязвимости в SDK Codesys угрожают безопасности миллионов промышленных контроллеров Интернета вещейИсследователь из Microsoft продемонстрировал уязвимости, позволяющие атаковать платформу Codesys V3, используемую для разработки, управления и автоматизации индустриальных программируемых логических контроллеров (PLC). Как сообщает Silicon Angle, в первую очередь речь идёт о контроллерах промышленного Интернета вещей (IIoT). Эксперт Microsoft Владимир Токарев рассказал о проблеме на конференции BlackHat. SDK Codesys Group широко используется для работы с PLC, нашедших применение в самых разных устройствах — от светофоров и энергосистем до водоочистных сооружений и систем автоматизации коммерческой недвижимости. Всего примерно в 1 тыс. различных типов устройств от более чем 500 компаний. Уязвимости устранены в Codesys V3 версии 3.5.19.0. Для их использования необходимы аутентификация, а также глубокое знание проприетарных сетевых протоколов Codesys. 15 уязвимостей, получивших общее название CoDe16, были выявлены почти год назад. Они позволяют получить контроль над PLC, внедрить вредоносное ПО, выполнить удалённое исполнение кода или добиться отказа в обслуживании. Токарев уже позаботился о потенциальных жертвах, опубликовав на GitHub результаты исследований, а также другие материалы, включая инструмент для выявления компонентов, находящихся в группе риска. Дополнительно рекомендуется сегментация и изоляция PLC от Сети, а также ограничение прав пользователей, имеющих доступ к устройствам.
01.08.2023 [15:35], Сергей Карасёв
«Яндекс» заплатит до 2,8 млн руб. за информацию о критических дырах в своих продуктах«Яндекс» объявил о запуске нового конкурса в рамках программы «Охота за ошибками». Эксперты в области информационной безопасности смогут получить денежное вознаграждение до 2,8 млн руб. за обнаружение критических уязвимостей в продуктах и сервисах российского IT-гиганта. Это в пять раз больше обычных премий, которые «Яндекс» выплачивает этичным хакерам. Охотники за ошибками смогут получить повышенное вознаграждение за отчёты в двух категориях. Одна из них — IDOR (Insecure Direct Object Reference), или небезопасный прямой доступ к объектам. Это уязвимости в механизмах защиты сайтов, через которые злоумышленники могут получить доступ к приватной информации через ошибки в API. Вторая категория — прочие технические недоработки и уязвимости, которые дают возможность получить доступ к закрытой информации, например, личным закладкам, персональным промокодам или черновикам статей. Размер вознаграждения зависит от критичности уязвимости, простоты её эксплуатации и влияния на безопасность данных. Сумма премии может быть уменьшена, если эксплуатация дыры усложнена компенсирующими мерами. В соответствии с правилами, исследователи могут использовать только собственные тестовые аккаунты для проверки возможных уязвимостей. Пытаться получить доступ к информации других пользователей нельзя. «Яндекс» отдаст приоритет найденным во время конкурса ошибкам и оперативно их исправит. Мероприятие проводится до 31 августа 2023 года.
10.07.2023 [18:46], Владимир Мироненко
«Базальт СПО» присоединилась к российскому консорциуму по исследованию безопасности ядра Linux«Базальт СПО», разработчик линейки российских ОС «Альт» для рабочих станций, серверов и построения виртуальной инфраструктуры, сообщил о присоединении к Соглашению о формировании Консорциума участников по поддержке Технологического центра исследования безопасности ядра Linux. Этим соглашением регламентируется проведение совместных работ с участием ИСП РАН и присоединившихся организаций. Задачей Консорциума является обеспечение эффективного взаимодействия в рамках Технологического центра исследования безопасности ядра Linux, структурного подразделения ИСП РАН, для внедрения принципов безопасной разработки программного обеспечения и исключение дублирования усилий по исследованию безопасности ядра Linux. «Мы рассчитываем, что участие в Консорциуме даст большой синергетический эффект, — заявил генеральный директор «Базальт СПО». — Задачи Консорциума и наши задачи по улучшению ядра Linux во многом совпадают. Поэтому совместная и скоординированная работа с другими командами будет полезна всем, позволит сэкономить время и силы». «Проверка безопасности ядра Linux — достаточно трудоёмкий процесс, где используются специальные инструменты, где нужны определённые профили проверки, — отметил первый заместитель генерального директора «Базальт СПО». — Здесь много ручной работы. В одиночку проверить ядро сложно. Поэтому необходимо объединять усилия разработчиков, и иметь возможность использовать полученные результаты в своих сборках ядра. Важно отметить, что правила Консорциума совпадают с правилами разработки свободного ПО, которым “Базальт СПО” следует вот уже 20 лет. Обнаруженные ошибки, уязвимости, предлагаемые патчи отправляются в международную организацию The Linux Kernel Organization». Помимо работы над уязвимостями, Технологический центр занимается развитием ядра Linux. Координатор Консорциума — Институт системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН).
07.07.2023 [14:57], Сергей Карасёв
В коммутаторах Cisco Nexus 9000 нашли уязвимость для перехвата зашифрованного трафика — патчей против неё пока нетКомпания Cisco предупредила о наличии серьёзной уязвимости в коммутаторах серии Nexus 9000. Брешь позволяет удалённому злоумышленнику, не прошедшему проверку подлинности, перехватывать и изменять зашифрованный трафик, передающийся между узлами. Дыра описана в бюллетене CVE-2023-20185 (CVSS 7.4): проблема связана с функцией шифрования CloudSec. Киберпреступник может перехватить пакеты данных и взломать шифрование с помощью криптоаналитических методов. Уязвимость затрагивает серию коммутаторов Cisco Nexus 9000 (в ACI Mode) с прошивкой 14.0 и более поздними версиями с активированной функцией CloudSec. Уязвимость затрагивает Cisco Nexus 9332C, Nexus 9364C Fixed Spine и Cisco Nexus 9500 Spine, оснащённые картой Cisco Nexus N9K-X9736C-FX. Ситуация ухудшается тем, что Cisco пока не выпустила обновление, устраняющее брешь, а известного пути обхода проблемы нет. Специалисты отмечают, что возможность перехватывать, расшифровывать и потенциально изменять трафик является серьёзной проблемой, особенно в дата-центрах, где хранится конфиденциальная информация. Рекомендуется отключить уязвимые коммутаторы.
05.07.2023 [19:22], Владимир Мироненко
Сотни тысяч сетевых шлюзов FortiGate сохранили критическую уязвимость, потому что никто не установил на них патчиРазработчик решений для обеспечения безопасности Bishop Fox LLC выпустил в минувшую в пятницу предупреждение о том, что сотни тысяч межсетевых экранов Fortinet Inc. остаются уязвимыми для атак, поскольку не получили патчи после раскрытия критической уязвимости в июне. Уязвимость CVE-2023-27997 относится к типу багов, связанных с переполнением буфера (heap-based buffer overflow). Её обнаружили в ОС FortiOS. Уязвимость оценивается как критическая — 9,8 балла из 10 возможных по шкале CVSS. Благодаря ей злоумышленник может осуществлять удалённое выполнение кода на уязвимом устройстве с интерфейсом SSL VPN, доступном из Сети. Fortinet выпустила обновления FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 и 7.2.5, где уязвимость была устранена. Однако, как выяснила Bishop Fox, администраторы пренебрегли призывами установить патчи, так что более 300 тыс. брандмауэров FortiGate (69 % от 490 тыс. из обнаруженных в Сети) по-прежнему уязвимы для потенциальных эксплойтов. Чтобы продемонстрировать риск, связанный с уязвимостью, команда Bishop Fox разработала эксплойт, который запускает удалённое выполнение кода, компрометирующего целевую систему, позволяя ей обратно подключиться к серверу, контролируемому злоумышленником. Эксплойт предоставляет интерактивную оболочку на целевом устройстве. Исследователи Bishop Fox настоятельно рекомендуют всем владельцам Fortinet FortiGate как можно скорее установить исправление, чтобы избежать опасности взлома системы. Им вторят эксперты из других компаний, занимающихся вопросами информационной безопасности.
30.06.2023 [17:55], Андрей Крупин
Сканер программного кода Solar appScreener дополнился модулем анализа состава ПОКомпания «Ростелеком-Solar», занимающаяся разработкой продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, выпустила новую версию сканера программного кода Solar appScreener. Обновлённый программный комплекс получил модуль анализа состава ПО (Software composition analysis, SCA), дополнивший инструменты статического (Static application security testing, SAST) и динамического (Dynamic application security testing, DAST) анализа кода. Новый модуль SCA позволяет ускорить выявление и устранение уязвимостей. Система самостоятельно обнаруживает все сторонние компоненты, используя крупнейшие базы уязвимостей, а также собственный реестр данных, который регулярно обновляется экспертами компании. Для минимизации количества ложных срабатываний используется собственная технология Fuzzy Logic Engine. Обновлённый Solar appScreener дополнительно получил поддержку классификации уязвимостей OWASP MASVS и стандарта PCI DSS (Payment Card Industry Data Security Standard) версии 4.0. Разработчиками продукта была изменена логика работы с пользователями по протоколу LDAP, значительно расширена база правил поиска уязвимостей для Java и C#, а также добавлены новые паттерны поиска уязвимостей для целого ряда языков программирования. Кроме того, был внесён ряд изменений для повышения удобства работы пользователя с системой, например, при первом входе в систему теперь появляются интерактивные подсказки. Появление возможности управлять очередью сканирований позволяет при запуске анализа назначать приоритет сканирования и отслеживать очередь на новой странице в разделе «Проекты». Также разработчики упростили работу ИБ-служб в организациях, которые внедряют решение в процессы безопасной разработки, добавив возможность автоматически создавать задачи в Jira по результатам сканирования.
19.06.2023 [13:18], Владимир Мироненко
Mandiant нашла связь между взломом шлюзов безопасности Barracuda ESG и китайскими госхакерамиСпециалисты по кибербезопасности из принадлежащей Google Cloud компании Mandiant, привлечённой Barracuda для расследования обстоятельств взлома устройств Barracuda Email Security Gateway (ESG), установили связь атаковавшей шлюзы хакерской группы с Китаем. Этой группе компания присвоила название UNC4841. Barracuda настоятельно рекомендует избавиться от взломанных ESG, обещая бесплатно предоставить замену. По словам Чарльза Кармакала (Charles Carmakal), технического директора Mandiant Consulting, кампания по кибершпионажу была самой масштабной со времён хакерских атак с использованием бага в Microsoft Exchange Server в начале 2021 года. «В случае с Barracuda злоумышленники взломали средства защиты электронной почты сотен организаций. У части жертв они украли электронные письма известных сотрудников, занимающихся вопросами, представляющими интерес для китайского правительства», — добавил он. По данным Mandiant, UNC4841 поддерживается государством и выполняет разведывательные задачи для китайского правительства. Также были обнаружены точки пересечения UNC4841 с инфраструктурой, приписываемой другим китайским субъектам шпионажа, что указывает на то, что Пекин использует объединенный подход к своим операциям по взлому. «Mandiant с высокой уверенностью полагает, что UNC4841 вела шпионскую деятельность в поддержку Китайской Народной Республики», — сообщили исследователи в отчёте. Mandiant отметила, что хакеры изменили свое вредоносное ПО вскоре после выпуска патча в мае. Кроме того, они задействовали дополнительные механизмы, чтобы сохранить доступ к сетям жертв. После взлома сетей хакеры нацеливались на конкретные данные, «представляющие интерес для эксфильтрации», а также попытались использовать скомпрометированные компоненты для заражения других систем. В ходе семимесячной кампании UNC4841 использовала три вредоносные программы — Saltwater, Seaspy и Seaside, замаскированные под модули или сервисы Barracuda ESG. После своего раскрытия UNC4841 занялась модификацией некоторых компонентов Saltwater и Seaspy, чтобы предотвратить эффективное исправление уязвимостей. Компания также запустила новый руткит в виде модуля ядра Linux, получившего название Sandbar, которым троянизировал некоторые официальные модули Barracuda. «UNC4841 продемонстрировала высокую чувствительность к оборонительным усилиям и активно модифицирует TTP для поддержания их функционирования. Mandiant настоятельно рекомендует пострадавшим клиентам Barracuda продолжать поиск этого субъекта и исследовать затронутые сети», — сообщили исследователи.
11.06.2023 [15:27], Владимир Мироненко
Barracuda порекомендовала клиентам выкинуть заражённые почтовые шлюзы ESG — патчи уже не смогут им помочьПоставщик ИБ-решений Barracuda Networks заявил, что клиентам необходимо немедленно заменить затронутые эксплойтом шлюзы Email Security Gateway (ESG), даже если те установили все доступные патчи. При этом компания пообещала оказывать клиентам, в числе которых Samsung, Delta Airlines, Mitsubishi и Kraft Heinz, необходимую помощь в замене ESG. Шлюзы ESG предназначены для защиты входящего и исходящего трафика электронной почты. Они доступны как в виде физических серверов, так и в виде программных комплексов, в том числе в AWS и Microsoft Azure. Уязвимость в ESG была обнаружена в мае этого года. 18 мая компания заявила о том, что обратилась за помощью к Mandiant, специализирующейся на сложных кибератаках, после того как был обнаружен аномальный трафик, направлявшийся с устройств ESG. 19 мая в устройствах была выявлена критическая уязвимость нулевого дня CVE-2023-2868, позволявшая хакерам удалённо выполнять произвольный код на шлюзах ESG. Уязвимость затрагивает версии ПО ESG с 5.1.3.001 по 9.2.0.006, позволяя злоумышленнику добиться удалённого выполнения кода (RCE) с повышенными привилегиями. Расследование Mandiant и Barracuda показало, что уязвимость активно используется хакерами с октября 2022 года. Было установлено, что уязвимость использовалась для получения несанкционированного доступа к множеству шлюзов ESG, на которых сначала размещались бэкдоры Saltwater и Seaspy, а затем модуль Seaside, отслеживающий входящий трафик и устанавливающий оболочку для выполнения команд на удалённом сервере. Всё вместе это даёт возможность хакеру сохранять доступ к серверу или шлюзу даже после устранения уязвимости основного ПО с помощью патча. 20–21 мая компания выпустила патчи против уязвимости, однако это не дало результата, поскольку злоумышленники оставили вредоносное ПО на затронутых системах, которое продолжало действовать. «Если вы не заменили своё устройство после получения уведомления в пользовательском интерфейсе, обратитесь в службу поддержки сейчас, — сообщила компания клиентам. — Рекомендация Barracuda по исправлению в настоящее время заключается в полной замене затронутых ESG». По словам Rapid7, решение о полной замене «подразумевает, что вредоносное ПО, установленное злоумышленниками, каким-то образом достигает устойчивости на достаточно низком уровне, так что даже очистка устройства не уничтожит доступ к нему злоумышленника». К Сети может быть подключено до 11 тыс. устройств ESG — Rapid7 выявила значительные объёмы вредоносной активности в те же сроки, о которых сообщила Barracuda. В дополнение к прекращению использования и замене уязвимых устройств ESG компания Barracuda рекомендовала клиентам немедленно обновить учётные данные любых устройств или служб, подключавшихся к ESG. Также было предложено провести проверку сетевых журналов, которая может помочь выявить любое потенциальное вторжение.
17.05.2023 [21:40], Сергей Карасёв
Кибератака PMFault позволяет удалённо уничтожать серверные процессоры повышенным напряжениемДва исследователя в области информационной безопасности, аспирант Зитаи Чен (Zitai Chen) и профессор Дэвид Освальд (David Oswald), по сообщению The Register, на конференции Black Hat Asia 2023 рассказали о новой кибератаке, которая может использоваться для вывода из строя CPU в серверах на базе определённых материнских плат. Схема получила название PMFault. Суть атаки сводится к использованию шины управления питанием PMBus на основе протокола I2C для повышения напряжения, подаваемого на центральный процессор. В результате, CPU может стать полностью неработоспособным без возможности последующего восстановления. Так, в ходе экспериментов исследователи уничтожили два чипа Intel Xeon. Для организации атаки физический доступ к серверу необязателен. Нападение может быть осуществлено через I2C-подключение через ОС с правами администратора или через уязвимости в контроллере Baseboard Management Controller (BMC), который входит в оснащение многих серверных материнских плат. Отмечается, что проблема в числе прочего затрагивает платы Supermicro с поддержкой IPMI (X11, X12, H11 и H12), а также некоторые платы ASRock. Более того, утверждают исследователи, теоретически атака может быть осуществлена на любые системы с доступом к PMBus посредством I2C. Компания Supermicro уже отреагировала на сообщения о проблеме и выпустила необходимые исправления. На сайте GitHub доступен инструмент PMBusDetect, при помощи которого можно определить возможность проведения атаки PMFault.
06.04.2023 [13:58], Сергей Карасёв
Уязвимости нулевого дня угрожают 80 тыс. устройств QNAP по всему мируВ ряде операционных систем для оборудования QNAP обнаружены уязвимости, которые затрагивают приблизительно 80 тыс. устройств по всему миру. Дыры присутствуют в программном обеспечении QTS, QuTS hero, QuTScloud и QVP, а их эксплуатация может приводить в том числе к выполнению произвольного кода в системе жертвы. Баги выявлены специалистами Sternum. Проблемы связаны с нарушением прав доступа к памяти. В случае успешной атаки злоумышленники могут повлиять на стабильность работы оборудования или спровоцировать непредсказуемое поведение устройства. В бюллетене безопасности QNAP также говорится о возможности извлечения «секретных значений». Уязвимости получили индексы CVE-2022-27597 и CVE-2022-27598. Они устранены в QTS версии 5.0.1.2346 (сборка 20230322 и более поздние модификации), а также в QuTS hero версии h5.0.1.2348 (сборка 20230324 и выше). Обновления для операционных систем QuTScloud и QVP пока не выпущены, но QNAP заявляет, что в срочном порядке решает проблемы. Отмечается также, что дыры представляют не слишком большую опасность. К тому же пока не зафиксированы случаи их практической эксплуатации. С другой стороны, говорят эксперты в области информационной безопасности, устройства QNAP, как и многое другое оборудование IoT, зачастую имеют некорректную конфигурацию, остаются незащищёнными брандмауэром и не обновляются. Это создаёт дополнительные риски для организаций. |
|