Channel: SecAtor
Достаточно часто встречаются атаки на цепочку мудаков, о которых мы неоднократно писали, но редко случаются и другие не менее серьезные - атаки мудаков на цепочку поставок.
Как в случае с шестилетней уязвимостью веб-сервера Lighttpd, которая замылилась и прокралась в продукцию ведущих поставщиков, включая Intel и Lenovo.
Ошибка может привести к краже адресов памяти процесса, что может помочь злоумышленникам обойти механизмы защиты, такие как рандомизация адресного пространства ASLR.
Дело в том, что уязвимость была устранена в августе 2018 года разработчиками Lighthttpd втайне в версии 1.4.51 без назначения идентификатора CVE.
А это в свою очередь, привело к тому, что разработчики AMI MegaRAC BMC упустили из виду исправление и не интегрировали его в продукт.
Таким образом, уязвимость распространилась по цепочке поставок поставщикам систем и их клиентам.
Распознать столь изощренную атаку мудаков на цепочку поставок удалось исследователям Binarly в ходе недавнего сканирования контроллеров управления основной платой BMC, которое привело к обнаружению проблемы удаленного чтения кучи за пределами границ (OOB) через веб-сервер Lighttpd.
BMC - это микроконтроллеры, встроенные в материнские платы серверного уровня, которые применяются в ЦОДах и облачных средах, обеспечивая удаленное управление, перезагрузку, мониторинг и обновление прошивки на устройстве.
В общем, Binarly обнаружила, что AMI не смогла применить исправление Lighttpd с 2019 по 2023 год, что привело к последующему внедрению за эти годы около 2000+ устройств, уязвимых для удаленной эксплуатации ошибки.
Пострадали решения Intel, Lenovo и Supermicro.
Аналитики присвоили уязвимости Lighttpd три внутренних идентификатора, исходя из ее влияния на различных производителей и устройства: BRLY-2024-002 (Intel M70KLP версии 01.04.0030), BRLY-2024-003 (Lenovo BMC версии 2.88.58) и BRLY-2024-004 (общая уязвимость в Lighttpd до 1.4.51).
По отмечают Binarly, значительное число общедоступных и уязвимых устройств BMC останутся без исправлений в связи с достижением EOL.
Еще больше усугубляет ситуацию то, что все необходимые для создания рабочего эксплойта технические подробности об уязвимости теперь доступны для широкой аудитории.
Как в случае с шестилетней уязвимостью веб-сервера Lighttpd, которая замылилась и прокралась в продукцию ведущих поставщиков, включая Intel и Lenovo.
Ошибка может привести к краже адресов памяти процесса, что может помочь злоумышленникам обойти механизмы защиты, такие как рандомизация адресного пространства ASLR.
Дело в том, что уязвимость была устранена в августе 2018 года разработчиками Lighthttpd втайне в версии 1.4.51 без назначения идентификатора CVE.
А это в свою очередь, привело к тому, что разработчики AMI MegaRAC BMC упустили из виду исправление и не интегрировали его в продукт.
Таким образом, уязвимость распространилась по цепочке поставок поставщикам систем и их клиентам.
Распознать столь изощренную атаку мудаков на цепочку поставок удалось исследователям Binarly в ходе недавнего сканирования контроллеров управления основной платой BMC, которое привело к обнаружению проблемы удаленного чтения кучи за пределами границ (OOB) через веб-сервер Lighttpd.
BMC - это микроконтроллеры, встроенные в материнские платы серверного уровня, которые применяются в ЦОДах и облачных средах, обеспечивая удаленное управление, перезагрузку, мониторинг и обновление прошивки на устройстве.
В общем, Binarly обнаружила, что AMI не смогла применить исправление Lighttpd с 2019 по 2023 год, что привело к последующему внедрению за эти годы около 2000+ устройств, уязвимых для удаленной эксплуатации ошибки.
Пострадали решения Intel, Lenovo и Supermicro.
Аналитики присвоили уязвимости Lighttpd три внутренних идентификатора, исходя из ее влияния на различных производителей и устройства: BRLY-2024-002 (Intel M70KLP версии 01.04.0030), BRLY-2024-003 (Lenovo BMC версии 2.88.58) и BRLY-2024-004 (общая уязвимость в Lighttpd до 1.4.51).
По отмечают Binarly, значительное число общедоступных и уязвимых устройств BMC останутся без исправлений в связи с достижением EOL.
Еще больше усугубляет ситуацию то, что все необходимые для создания рабочего эксплойта технические подробности об уязвимости теперь доступны для широкой аудитории.
www.binarly.io
lighttpd vulnerability unfixed since 2018
A Lighttpd vulnerability dating back to 2018 is still putting Intel and Lenovo servers at risk. These vulnerable devices should not be exposed to the internet.
Американская CISA сообщает о серьезном инциденте со взломом крупного интегратора Sisense, клиентами которого являются крупнейшие компании мира, включая Nasdaq, Philips Healthcare, Verizon и многие другие (более 1000).
Регулятор в директивной форме рекомендовал клиентам корпоративных решений Sisense заменить все учетные данные и токены доступа, связанные с инструментами и услугами компании.
Несмотря на то, что Sisense публично не раскрыла этот инцидент, CISA стало известно об атаке от «независимых исследователей в сфере ИБ».
Предварительное расследование показало, что в числе пострадавших оказались помимо прочих и критически важные инфраструктурные организации в США и за ее пределами.
Директор по ИБ в Sisense Санграм Дэш оперативно продублировал сообщение регулятора с подтверждением утечки именно клиентских данных в приватной рассылке среди клиентов, содержание которой было опубличено Брайаном Кребсом.
К настоящему времени подробности инцидента не разглашаются, но представители ИБ-сообщества бьют тревогу, характеризую его в качестве «DEFCON 1».
Дело в том, что компания хранит учетные данные клиентов на своих серверах для обеспечения доступа к инфраструктуре и продуктам клиентов и сбора необходимой аналитики.
Кроме того, ряд спецов полагают имела место быть атака на цепочку поставок, при этом якобы часть данных уже задействовались для нацеливания на конкретных клиентов. Но пока официальных подтверждений на этот счет не имеется.
По данным исследователя Марка Роджерса, агентства в сфере кибербезопасности в странах FiveEyes также привлечены к расследованию инцидента, что указывает на максимальную степень его серьезности и критичности.
Так что будем посмотреть.
Регулятор в директивной форме рекомендовал клиентам корпоративных решений Sisense заменить все учетные данные и токены доступа, связанные с инструментами и услугами компании.
Несмотря на то, что Sisense публично не раскрыла этот инцидент, CISA стало известно об атаке от «независимых исследователей в сфере ИБ».
Предварительное расследование показало, что в числе пострадавших оказались помимо прочих и критически важные инфраструктурные организации в США и за ее пределами.
Директор по ИБ в Sisense Санграм Дэш оперативно продублировал сообщение регулятора с подтверждением утечки именно клиентских данных в приватной рассылке среди клиентов, содержание которой было опубличено Брайаном Кребсом.
К настоящему времени подробности инцидента не разглашаются, но представители ИБ-сообщества бьют тревогу, характеризую его в качестве «DEFCON 1».
Дело в том, что компания хранит учетные данные клиентов на своих серверах для обеспечения доступа к инфраструктуре и продуктам клиентов и сбора необходимой аналитики.
Кроме того, ряд спецов полагают имела место быть атака на цепочку поставок, при этом якобы часть данных уже задействовались для нацеливания на конкретных клиентов. Но пока официальных подтверждений на этот счет не имеется.
По данным исследователя Марка Роджерса, агентства в сфере кибербезопасности в странах FiveEyes также привлечены к расследованию инцидента, что указывает на максимальную степень его серьезности и критичности.
Так что будем посмотреть.
Linkedin
Brian Krebs on LinkedIn: There is something potentially huge popping up now. Has to do with a… | 77 comments
There is something potentially huge popping up now. Has to do with a compromise at business intelligence vendor Sisense. I'm hearing this is a supply chain… | 77 comments on LinkedIn
Forwarded from Social Engineering
Please open Telegram to view this post
VIEW IN TELEGRAM
Раскрыты подробности 0-day и доступен PoC для уязвимости, затрагивающей модуль ядра Linux, который поддерживает протокол мультиплексирования GSM 07.10.
Обнаружившего уязвимость исследователя изначально развели, пообещав 15к зеленых, присвоили авторство, но вскоре махинация была раскрыта, а вместе с ней и детали 0-day.
Недостаток можно использовать для атак с целью повышения привилегий.
К настоящему времени исправлений пока не представлено.
Обнаружившего уязвимость исследователя изначально развели, пообещав 15к зеленых, присвоили авторство, но вскоре махинация была раскрыта, а вместе с ней и детали 0-day.
Недостаток можно использовать для атак с целью повышения привилегий.
К настоящему времени исправлений пока не представлено.
PodcastIndex Social
voidzero (@[email protected])
Attached: 1 image
GitHub - YuriiCrimson/ExploitGSM: Exploit for 6.4 - 6.5 kernels and another exploit for 5.15 - 6.5
https://github.com/YuriiCrimson/ExploitGSM
> Exploit for 6.4 - 6.5 kernels and another exploit for 5.15 - 6.5 - YuriiCrimson/ExploitGSM…
GitHub - YuriiCrimson/ExploitGSM: Exploit for 6.4 - 6.5 kernels and another exploit for 5.15 - 6.5
https://github.com/YuriiCrimson/ExploitGSM
> Exploit for 6.4 - 6.5 kernels and another exploit for 5.15 - 6.5 - YuriiCrimson/ExploitGSM…
Исследователи из Лаборатории Касперского выкатили первую часть масштабного исследования, посвященного бэкдору в XZ Utils, ставшему знаковым инцидентом в инфосек-сообществе за последнее время.
Если другие атака на цепочку поставок в Node.js, PyPI, FDroid и Linux Kernel в основном состояли из атомарных вредоносных патчей, поддельных пакетов и опечаток в именах пакетов, то этот инцидент представлял собой целую многоэтапную операцию.
При этом бэкдор очень сложен и реализует изощренные методы уклонения от обнаружения: многоэтапная имплантация в репозиторий XZ, в том числе скрывающая части бэкдора в тест-кейсах, а также сложный код, содержащийся внутри самого двоичного файла.
Атакующие хотели добиться запуска произвольного кода через sshd, что давало бы им возможность скомпрометировать SSH-серверы в глобальном масштабе.
На вопросы о том, как такое удалось провернуть с технической точки зрения основательно пока что ответили лишь исследователи Лаборатории Касперского в своем отчете.
Если другие атака на цепочку поставок в Node.js, PyPI, FDroid и Linux Kernel в основном состояли из атомарных вредоносных патчей, поддельных пакетов и опечаток в именах пакетов, то этот инцидент представлял собой целую многоэтапную операцию.
При этом бэкдор очень сложен и реализует изощренные методы уклонения от обнаружения: многоэтапная имплантация в репозиторий XZ, в том числе скрывающая части бэкдора в тест-кейсах, а также сложный код, содержащийся внутри самого двоичного файла.
Атакующие хотели добиться запуска произвольного кода через sshd, что давало бы им возможность скомпрометировать SSH-серверы в глобальном масштабе.
На вопросы о том, как такое удалось провернуть с технической точки зрения основательно пока что ответили лишь исследователи Лаборатории Касперского в своем отчете.
Securelist
Kaspersky analysis of the backdoor in XZ
Kaspersky analysis of the backdoor recently found in XZ, which is used in many popular Linux distributions and in OpenSSH server process.
Forwarded from Life-Hack - Жизнь-Взлом / Хакинг
На четвёртой неделе курса "Linux для новичков" мы познакомились с основами работы сетей в Linux и научились применять их на практике. Мы изучили конфигурацию сети, работу с сетевыми интерфейсами, настройку DNS-сервера, работу с удаленными хостами через SSH, настройку файрвола, основы настройки и использования сетевых служб.
Если вы что-то пропустили и желаете прочитать, то вот список материалов четвертой недели:
• Конфигурация сети в Linux: настройка IP-адреса, маски подсети, шлюза.
• Проверка сетевого подключения: команда ping.
• Конфигурация сетевых интерфейсов: команды ifconfig и ip.
• Работа с удаленными хостами через SSH: подключение, передача файлов.
• Конфигурация DNS-сервера в Linux: файл /etc/resolv.conf.
• Настройка файрвола в Linux: команда iptables.
• Основы настройки и использования сетевых служб в Linux: FTP, Samba.
• Основы настройки и использования сетевых служб в Linux: Apache.
Не забывайте следить и делиться нашим бесплатным курсом "Linux для новичков"!
Первая серия материалов.
Вторая серия материалов.
Третья серия материалов.
Следующую неделю мы посвятим теме «Мониторинг, журналирование, проверка безопасности».
LH | Новости | Курсы | Мемы
Если вы что-то пропустили и желаете прочитать, то вот список материалов четвертой недели:
Неделя 4: Сетевые возможности Linux.
• Конфигурация сети в Linux: настройка IP-адреса, маски подсети, шлюза.
• Проверка сетевого подключения: команда ping.
• Конфигурация сетевых интерфейсов: команды ifconfig и ip.
• Работа с удаленными хостами через SSH: подключение, передача файлов.
• Конфигурация DNS-сервера в Linux: файл /etc/resolv.conf.
• Настройка файрвола в Linux: команда iptables.
• Основы настройки и использования сетевых служб в Linux: FTP, Samba.
• Основы настройки и использования сетевых служб в Linux: Apache.
Не забывайте следить и делиться нашим бесплатным курсом "Linux для новичков"!
Первая серия материалов.
Вторая серия материалов.
Третья серия материалов.
Следующую неделю мы посвятим теме «Мониторинг, журналирование, проверка безопасности».
LH | Новости | Курсы | Мемы
Telegraph
Конфигурация сети в Linux: настройка IP-адреса, маски подсети, шлюза.
В современном мире компьютерные сети играют важную роль в обмене информацией и обеспечении связи между различными устройствами. Для правильного функционирования сети необходимо правильно сконфигурировать устройства, подключенные к ней. Сегодня мы рассмотрим…
10-ти бальная 0-day в межсетевых экранах Palo Alto Networks эксплуатируется в целевых атаках APT, отлеживаемой как UTA0218 (или Operation MidnightEclipse).
Критическая уязвимость внедрения команд затрагивает функцию GlobalProtect VPN в PAN-OS и позволяет неаутентифицированному злоумышленнику выполнить произвольный код с правами root на брандмауэрах PAN-OS 10.2, PAN-OS 11.0 и PAN-OS 11.1.
Palo Alto Networks намерена выпустить исправления 14 апреля. Пока же хакеры реализуют CVE-2024-3400 для взлома внутренних сетей, кражи данных и учетных данных.
APT-активность заметили исследователи Volexity, которые полагают, что злоумышленник, судя по всему, разработал и протестировал нулевой день еще 26 марта, но не развертывал полезную нагрузку до 10 апреля.
Реальные атаки начались на прошлой неделе, когда UTA0218 начал развертывать бэкдор на основе Python под названием UPSTYLE на взломанных устройствах.
Помимо бэкдора, Volexity наблюдала, как злоумышленники доставляли дополнительные полезные нагрузки для запуска обратных оболочек, кражи данных конфигурации PAN-OS, удаления файлов журналов, запуска инструмента туннелирования Golang под названием GOST.
В одной из атак злоумышленник использовал сервисную учетную запись с высокими привилегиями брандмауэра Palo Alto Networks для горизонтального перемещения через SMB и WinRM.
После чего похитил конфиденциальные файлы Windows, включая базу данных Active Directory (ntds.dit), ключевые данные (DPAPI) и журналы событий Windows, а также информацию для входа в систему, файлы cookie и данные браузеров.
Volexity полагает, что замеченная активность инициируется одной группой, однако связать ее с ранее известными субъектами угроз или операциями пока не удалось. Также отсутствует понимание, насколько широко распространенной могла быть эксплуатация.
При этом исследователи заявляют, что имеют доказательства потенциальной разведывательной деятельности, включающей более широкомасштабную эксплуатацию, направленную на выявление уязвимых систем.
Если приблизительно - то речь идет о десятках тысяч жертв, ведь количество потенциально уязвимых устройств колеблется от 40к (Shodan) до 133к (Censys).
И, как полагают в Palo Alto Networks и Volexity, интенсивность атак на CVE-2024-3400, вероятно, в ближайшие несколько дней резко возрастет.
Критическая уязвимость внедрения команд затрагивает функцию GlobalProtect VPN в PAN-OS и позволяет неаутентифицированному злоумышленнику выполнить произвольный код с правами root на брандмауэрах PAN-OS 10.2, PAN-OS 11.0 и PAN-OS 11.1.
Palo Alto Networks намерена выпустить исправления 14 апреля. Пока же хакеры реализуют CVE-2024-3400 для взлома внутренних сетей, кражи данных и учетных данных.
APT-активность заметили исследователи Volexity, которые полагают, что злоумышленник, судя по всему, разработал и протестировал нулевой день еще 26 марта, но не развертывал полезную нагрузку до 10 апреля.
Реальные атаки начались на прошлой неделе, когда UTA0218 начал развертывать бэкдор на основе Python под названием UPSTYLE на взломанных устройствах.
Помимо бэкдора, Volexity наблюдала, как злоумышленники доставляли дополнительные полезные нагрузки для запуска обратных оболочек, кражи данных конфигурации PAN-OS, удаления файлов журналов, запуска инструмента туннелирования Golang под названием GOST.
В одной из атак злоумышленник использовал сервисную учетную запись с высокими привилегиями брандмауэра Palo Alto Networks для горизонтального перемещения через SMB и WinRM.
После чего похитил конфиденциальные файлы Windows, включая базу данных Active Directory (ntds.dit), ключевые данные (DPAPI) и журналы событий Windows, а также информацию для входа в систему, файлы cookie и данные браузеров.
Volexity полагает, что замеченная активность инициируется одной группой, однако связать ее с ранее известными субъектами угроз или операциями пока не удалось. Также отсутствует понимание, насколько широко распространенной могла быть эксплуатация.
При этом исследователи заявляют, что имеют доказательства потенциальной разведывательной деятельности, включающей более широкомасштабную эксплуатацию, направленную на выявление уязвимых систем.
Если приблизительно - то речь идет о десятках тысяч жертв, ведь количество потенциально уязвимых устройств колеблется от 40к (Shodan) до 133к (Censys).
И, как полагают в Palo Alto Networks и Volexity, интенсивность атак на CVE-2024-3400, вероятно, в ближайшие несколько дней резко возрастет.
Volexity
Zero-Day Exploitation of Unauthenticated Remote Code Execution Vulnerability in GlobalProtect (CVE-2024-3400)
Volexity would like to thank Palo Alto Networks for their partnership, cooperation, and rapid response to this critical issue. Their research can be found here. On April 10, 2024, Volexity identified zero-day exploitation of a vulnerability found within the…
Конечно, мы обратили внимание на заявления проукраинской хакерской группы Blackjack про «разрушительную» атаку на системы Москоллектора с использованием вредоносного ПО Fuxnet.
Копипастить отчетные сводки хакеров c их сайта не стали, ведь подобные заявления украинской стороны стоит делить на два, остаток - на четыре и тд.
Аналогичным образом поступили и в Сlaroty: исследователи из команды Team82 в своем недавнем расчехили украинских хакеров, не обнаружив подтверждений заявленным результатам атаки.
Они достаточно подробно изучили все представленные Blackjack в утечке данные, которые сопоставили с результатами собственного анализа инфраструктуры Москоллектора.
Кроме того, Сlaroty отследили поведение вредоносной программы Fuxnet, на основе чего смогли определить алгоритм действий злоумышленника в контексте названной атаки.
По итогу исследователи пришли к выводам, что Blackjack определенно демонстрирует понимание топологии и состава подключенных устройств, критически важных для система Москоллектора.
Однако реальное влияние предполагаемой атаки Blackjack на Москоллектор явно не соответствует заявленным показателям.
Вместо нейтрализации 87 000 удаленных датчиков Blackjack фактически могли заблокировать вредоносным ПО лишь немногим более 500 сенсорных шлюзов, а датчики и контроллеры, вероятно, остались нетронутыми.
При этом задействованное в атаке Fuxnet хоть и получило наименование Stuxnet на стероидах, в реальности - больше походит на бюджетную реплику легендарного ПО, и по большей части - только в названии.
Копипастить отчетные сводки хакеров c их сайта не стали, ведь подобные заявления украинской стороны стоит делить на два, остаток - на четыре и тд.
Аналогичным образом поступили и в Сlaroty: исследователи из команды Team82 в своем недавнем расчехили украинских хакеров, не обнаружив подтверждений заявленным результатам атаки.
Они достаточно подробно изучили все представленные Blackjack в утечке данные, которые сопоставили с результатами собственного анализа инфраструктуры Москоллектора.
Кроме того, Сlaroty отследили поведение вредоносной программы Fuxnet, на основе чего смогли определить алгоритм действий злоумышленника в контексте названной атаки.
По итогу исследователи пришли к выводам, что Blackjack определенно демонстрирует понимание топологии и состава подключенных устройств, критически важных для система Москоллектора.
Однако реальное влияние предполагаемой атаки Blackjack на Москоллектор явно не соответствует заявленным показателям.
Вместо нейтрализации 87 000 удаленных датчиков Blackjack фактически могли заблокировать вредоносным ПО лишь немногим более 500 сенсорных шлюзов, а датчики и контроллеры, вероятно, остались нетронутыми.
При этом задействованное в атаке Fuxnet хоть и получило наименование Stuxnet на стероидах, в реальности - больше походит на бюджетную реплику легендарного ПО, и по большей части - только в названии.
Claroty
Unpacking the Blackjack Group's Fuxnet Malware
Claroty Team82 has analyzed the Fuxnet malware developed by the Blackjack hacking group and used in an cyberattack against Moscow-based Moscollector, a sewage and communication infrastructure company.
Не успела Apple предупредить своих пользователей в 92 странах об угрозе атак с использованием spyware, как на ландшафте угроз замаячила новая кампания, нацеленная на Южую Азию с обновленной версией шпионского имплантата LightSpy для Apple iOS.
LightSpy, впервые задокументированный в 2020 году Trend Micro и Лабораторией Касперского, представляет собой продвинутый бэкдор iOS, распространяющийся через скомпрометированные новостные ресурсы.
LightSpy является полнофункциональным и модульным решением и предназначен для сбора конфиденциальной информации из популярных приложений, включая Telegram, QQ и WeChat, а также данные KeyChain iCloud, историю браузера Safari и Google Chrome.
Кроме того, LightSpy может собирать данные о подключенных Wi-Fi сетях, список установленных приложений, делать фотографии с помощью камеры устройства, записывать звук и выполнять команды, полученные с C2.
LightSpy использует закрепление сертификата для предотвращения обнаружения и перехвата связи со своим сервером C2. Таким образом, если жертва находится в сети, где анализируется трафик, соединение с сервером C2 установлено не будет.
Последняя версия этого шпионского ПО, получившая название F_Warehouse, демонстрирует более серьезные возможности для шпионажа. Исследователи из BlackBerry полагают, что новая кампания нацелена на Индию.
Анализ, проведенный специалистами ThreatFabric еще в октябре 2023 года, выявил связь между LightSpy и другим шпионским ПО для Android, известным как DragonEgg, что указывает на вероятные связи с китайской APT41, однако точной атрибуции до настоящего времени нет.
Тем не менее, в разработке LightSpy принимали участие носители китайского языка, а один из серверов, с которым взаимодействует вредоносное ПО, расположен в Китае и отображает сообщение на китайском языке при вводе неверных учетных данных.
Не пресловутый Pegasus конечно, но возвращение LightSpy с более расширенным функционалом сигнализирует об эскалации угроз в сфере мобильного шпионажа.
LightSpy, впервые задокументированный в 2020 году Trend Micro и Лабораторией Касперского, представляет собой продвинутый бэкдор iOS, распространяющийся через скомпрометированные новостные ресурсы.
LightSpy является полнофункциональным и модульным решением и предназначен для сбора конфиденциальной информации из популярных приложений, включая Telegram, QQ и WeChat, а также данные KeyChain iCloud, историю браузера Safari и Google Chrome.
Кроме того, LightSpy может собирать данные о подключенных Wi-Fi сетях, список установленных приложений, делать фотографии с помощью камеры устройства, записывать звук и выполнять команды, полученные с C2.
LightSpy использует закрепление сертификата для предотвращения обнаружения и перехвата связи со своим сервером C2. Таким образом, если жертва находится в сети, где анализируется трафик, соединение с сервером C2 установлено не будет.
Последняя версия этого шпионского ПО, получившая название F_Warehouse, демонстрирует более серьезные возможности для шпионажа. Исследователи из BlackBerry полагают, что новая кампания нацелена на Индию.
Анализ, проведенный специалистами ThreatFabric еще в октябре 2023 года, выявил связь между LightSpy и другим шпионским ПО для Android, известным как DragonEgg, что указывает на вероятные связи с китайской APT41, однако точной атрибуции до настоящего времени нет.
Тем не менее, в разработке LightSpy принимали участие носители китайского языка, а один из серверов, с которым взаимодействует вредоносное ПО, расположен в Китае и отображает сообщение на китайском языке при вводе неверных учетных данных.
Не пресловутый Pegasus конечно, но возвращение LightSpy с более расширенным функционалом сигнализирует об эскалации угроз в сфере мобильного шпионажа.
BlackBerry
LightSpy Returns: Renewed Espionage Campaign Targets Southern Asia, Possibly India
After months of inactivity, the advanced mobile spyware LightSpy has resurfaced with expanded capabilities, targeting individuals in Southern Asia.
Исследователи WatchTowr задаются вопросом, почему индустрия паникует по поводу бэкдора в библиотеках, в то время как поставщики решений безопасности не могут даже обновить используемые библиотеки в своих продуктах, допуская тривиальную эксплуатацию.
В общем, обрушились с критикой на IBM, которая не обновляла свой флагманский продукт, можно сказать, жемчужину компании и сердце стека безопасности многих ее клиентов, - QRadar SIEM.
Оставляя уязвимым для давней ошибки сервера Apache (CVE-2022-26377, CVSS: 7,3), поставщик открывал злоумышленникам возможность перехватить на себя сеанс пользователя и взять под контроль экземпляр QRadar SIEM в одном запросе.
Поставщика, безусловно, уведомили и были выпущены соответствующие исправления, но неприятный осадочек остался.
В общем, обрушились с критикой на IBM, которая не обновляла свой флагманский продукт, можно сказать, жемчужину компании и сердце стека безопасности многих ее клиентов, - QRadar SIEM.
Оставляя уязвимым для давней ошибки сервера Apache (CVE-2022-26377, CVSS: 7,3), поставщик открывал злоумышленникам возможность перехватить на себя сеанс пользователя и взять под контроль экземпляр QRadar SIEM в одном запросе.
Поставщика, безусловно, уведомили и были выпущены соответствующие исправления, но неприятный осадочек остался.
watchTowr Labs - Blog
IBM QRadar - When The Attacker Controls Your Security Stack (CVE-2022-26377)
Welcome to April 2024.
A depressing year so far - we've seen critical vulnerabilities across a wide range of enterprise software stacks.
In addition, we've seen surreptitious and patient threat actors light our industry on fire with slowly introduced backdoors…
A depressing year so far - we've seen critical vulnerabilities across a wide range of enterprise software stacks.
In addition, we've seen surreptitious and patient threat actors light our industry on fire with slowly introduced backdoors…
Forwarded from Russian OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
͏После разборок со спецслужбами BreachForums перешел на разборки внутри киберподполья, став жертвой новой скоординированной кибератаки, которая привела к его приостановке.
В прошлый раз форум окучили в июне 2023 года хакеры ShinyHunters, выкрав и опубличив впоследствии базу данных пользователей.
На этот раз ответственность за инцидент взяли на себя R00TK1T (известная многочисленными кибератаками в Малайзии) и Cyber Army of Russia, усилия которых привели к выводу из строя серверной инфраструктуры Breach.
Помимо атаки хакеры обещают слить в сеть данные всех участников BreachForums, включая их IP, email и пр., развеяв таким образом иллюзию анонимности.
При этом текущий админ BreachForums, скорее всего и так сливающий все данные в ФБР США, Baphomet подтвердил блокировку домена и приступил к расследованию инцидента, не гарантируя безопасность пользовательских данных.
Но будем посмотреть.
В прошлый раз форум окучили в июне 2023 года хакеры ShinyHunters, выкрав и опубличив впоследствии базу данных пользователей.
На этот раз ответственность за инцидент взяли на себя R00TK1T (известная многочисленными кибератаками в Малайзии) и Cyber Army of Russia, усилия которых привели к выводу из строя серверной инфраструктуры Breach.
Помимо атаки хакеры обещают слить в сеть данные всех участников BreachForums, включая их IP, email и пр., развеяв таким образом иллюзию анонимности.
При этом текущий админ BreachForums, скорее всего и так сливающий все данные в ФБР США, Baphomet подтвердил блокировку домена и приступил к расследованию инцидента, не гарантируя безопасность пользовательских данных.
Но будем посмотреть.
Наряду с новыми видами атак вроде "атаки на цепочку мудаков" или "атаки мудаков на цепочку поставок" пора вводить новые термины и для выявленных уязвимостей.
Итак, встречайте - МX-day уязвимость.
Здесь X - это переменная, равная количеству дней, в течение которых мудаки-разработчики забивали на информацию об ошибке в их продукте, направляемую им исследователями.
То есть в случае с Delinea - это будет M60-day уязвимость.
Возможно, что переменная могла иметь и большее значение, ведь форсировать исправления поставщику PAM-решений пришлось после начала атак, нацеленных на критическую уязвимость обхода аутентификации.
При этом о ней поставщику сообщалось неоднократно, начиная с 12 февраля, в том числе через Координационный центр CERT в Университете Карнеги-Меллон.
В ответ на молчание и полный игнор со стороны Delinea обнаруживший проблему исследователь Джонни Ю (straight_blast) решил вывалить в паблик технические подробности в придачу с кодом PoC-эксплойта.
После чего, внимание к проблеме обратили все заинтересованные стороны, включая и хакеров.
В связи с чем, 12 апреля Delinea сообщила клиентам о начале расследования инцидента безопасности, предупреждая также о возможности возникновения перебоев в обслуживании.
На следующий день Delinea проснулась и подтвердила наличие критической уязвимости обхода аутентификации в SOAP API Secret Server Cloud.
Для противодействия атаке Delinea пришлось заблокировать затронутые конечные точки SOAP для клиентов Secret Server Cloud.
Позже компания также представила клиентам IoC, позволяющие обнаружить потенциальные попытки взлома.
Позже в тот же день Delinea объявила о выпуске исправлений для платформы Delinea и Secret Server Cloud. 14 апреля компания анонсировала патчи для Secret Server On-Premises.
На этом можно считать M60-day закрытой, правда, остается еще дождаться, когда ей присвоят CVE.
Итак, встречайте - МX-day уязвимость.
Здесь X - это переменная, равная количеству дней, в течение которых мудаки-разработчики забивали на информацию об ошибке в их продукте, направляемую им исследователями.
То есть в случае с Delinea - это будет M60-day уязвимость.
Возможно, что переменная могла иметь и большее значение, ведь форсировать исправления поставщику PAM-решений пришлось после начала атак, нацеленных на критическую уязвимость обхода аутентификации.
При этом о ней поставщику сообщалось неоднократно, начиная с 12 февраля, в том числе через Координационный центр CERT в Университете Карнеги-Меллон.
В ответ на молчание и полный игнор со стороны Delinea обнаруживший проблему исследователь Джонни Ю (straight_blast) решил вывалить в паблик технические подробности в придачу с кодом PoC-эксплойта.
После чего, внимание к проблеме обратили все заинтересованные стороны, включая и хакеров.
В связи с чем, 12 апреля Delinea сообщила клиентам о начале расследования инцидента безопасности, предупреждая также о возможности возникновения перебоев в обслуживании.
На следующий день Delinea проснулась и подтвердила наличие критической уязвимости обхода аутентификации в SOAP API Secret Server Cloud.
Для противодействия атаке Delinea пришлось заблокировать затронутые конечные точки SOAP для клиентов Secret Server Cloud.
Позже компания также представила клиентам IoC, позволяющие обнаружить потенциальные попытки взлома.
Позже в тот же день Delinea объявила о выпуске исправлений для платформы Delinea и Secret Server Cloud. 14 апреля компания анонсировала патчи для Secret Server On-Premises.
На этом можно считать M60-day закрытой, правда, остается еще дождаться, когда ей присвоят CVE.
Medium
“All Your Secrets Are Belong To Us” — A Delinea Secret Server AuthN/AuthZ Bypass
Delinea Secret Server is a privileged access management (PAM) solution that helps organizations secure, manage, and monitor privileged…
Forwarded from Social Engineering
• Эксперты Positive Technologies опубликовали очень объемный отчет, в котором описан уникальный метод сокрытия вредоносов использующийся одной из хакерских группировок.
• Было выявлено большое количество атак по всему миру с использованием широко известного ПО, среди которого: Agent Tesla, FormBook, Remcos, Lokibot, Guloader, SnakeKeylogger, XWorm, NjRAT, EkipaRAT. Хакеры строили длинные цепочки кибернападений и использовали взломанные легитимные FTP-серверы в качестве С2-серверов, а также SMTP-серверы как С2 и сервисы для фишинга.
• Хакеры активно применяли технику стеганографии: зашивали в картинки и текстовые материалы файлы полезной нагрузки в виде RTF-документов, VBS и PowerShell-скриптов со встроенным эксплойтом.
• В полной версии отчета Вы найдете описание техник группировки по матрице MITRE ATT&CK, индикаторы компрометации и разбор различных цепочек атак с разными семействами ВПО. Содержание отчета следующее:
- Жертвы;
- Начало исследования;
- Другие цепочки заражения;
- 1.1 Атака с применением Agent Tesla: основной сценарий с использованием XLS-документа и техники стеганографии;
- 1.2 Атака с применением Agent Tesla: другой сценарий с использованием DOCX-документа;
- 1.3 Атака с использованием Remсos;
- 1.4 Атака с использованием XWorm;
- 1.5 Атака с использованием LokiBot;
- 1.6 Атака с использованием GuLoader и FormBook;
- 1.7 Атака с использованием Snake Keylogger;
- 1.8 Другие примеры атак;
- Использование группой легитимных FTP- и SMTP- серверов;
- Атрибуция;
- Тактики и техники по матрице MITRE ATT&CK;
- Заключение.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Как одна маленькая ошибка может подорвать безопасность целой индустрии?
А очень просто поскольку в популярном клиенте SSH и Telnet в версиях PuTTY с 0.68 по 0.80, выпущенных до обновления 0.81, была найдена критическая уязвимость (CVE-2024-31497), позволяющая атакующему восстановить секретный ключ пользователя.
Эта уязвимость особенно опасна в сценариях, когда злоумышленник может читать сообщения, подписанные с помощью PuTTY или Pageant. Набор подписанных сообщений может быть доступен публично, например, если они хранятся на общедоступном Git-сервисе, использующем SSH для подписи коммитов.
Это означает, что злоумышленник может уже иметь достаточно информации для компрометации частного ключа жертвы, даже если уязвимые версии PuTTY больше не используются.
Ахтунг, собственно, кроется в том, что после компрометации ключа злоумышленник может провести атаки на цепочку поставок программного обеспечения, хранящегося в Git.
Более того, существует второй, независимый сценарий, который включает в себя злоумышленника, управляющего SSH-сервером, к которому жертва аутентифицируется (для удаленного входа или копирования файлов), даже если этот сервер не полностью доверен жертвой.
Оператор такого сервера может вывести частный ключ жертвы и использовать его для несанкционированного доступа к другим сервисам. Если эти сервисы включают в себя Git-сервисы, то злоумышленник снова может провести атаки на цепочку поставок.
Уязвимость затрагивает не только PuTTY, но и другие популярные инструменты, такие как FileZilla до версии 3.67.0, WinSCP до версии 6.3.3, TortoiseGit до версии 2.15.0.1 и TortoiseSVN до версии 1.14.6.
Предупрежден, значит обновлен. Увы не тот случай, когда с обновлением можно повременить.
А очень просто поскольку в популярном клиенте SSH и Telnet в версиях PuTTY с 0.68 по 0.80, выпущенных до обновления 0.81, была найдена критическая уязвимость (CVE-2024-31497), позволяющая атакующему восстановить секретный ключ пользователя.
Эта уязвимость особенно опасна в сценариях, когда злоумышленник может читать сообщения, подписанные с помощью PuTTY или Pageant. Набор подписанных сообщений может быть доступен публично, например, если они хранятся на общедоступном Git-сервисе, использующем SSH для подписи коммитов.
Это означает, что злоумышленник может уже иметь достаточно информации для компрометации частного ключа жертвы, даже если уязвимые версии PuTTY больше не используются.
Ахтунг, собственно, кроется в том, что после компрометации ключа злоумышленник может провести атаки на цепочку поставок программного обеспечения, хранящегося в Git.
Более того, существует второй, независимый сценарий, который включает в себя злоумышленника, управляющего SSH-сервером, к которому жертва аутентифицируется (для удаленного входа или копирования файлов), даже если этот сервер не полностью доверен жертвой.
Оператор такого сервера может вывести частный ключ жертвы и использовать его для несанкционированного доступа к другим сервисам. Если эти сервисы включают в себя Git-сервисы, то злоумышленник снова может провести атаки на цепочку поставок.
Уязвимость затрагивает не только PuTTY, но и другие популярные инструменты, такие как FileZilla до версии 3.67.0, WinSCP до версии 6.3.3, TortoiseGit до версии 2.15.0.1 и TortoiseSVN до версии 1.14.6.
Предупрежден, значит обновлен. Увы не тот случай, когда с обновлением можно повременить.
Cisco сообщает о крупномасштабной брутфорс-атаке, нацеленной на сервисы VPN и SSH на устройствах Cisco, CheckPoint, Fortinet, SonicWall, RD Web Services, Miktrotik, Draytek и Ubiquiti по всему миру.
Наблюдаемая кампания стартовала 18 марта 2024 года. При этом большинство воздействий исходят с узлов Tor, а также с использованием VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy и Proxy Rack для обхода блокировок.
По наблюдениям исследователей в переборе задействуются как общие имена пользователей, так и реальные имена в конкретных организациях. Вместе с тем, атаки носят неизбирательный характер и не направлены на конкретный регион или отрасль.
В зависимости от целевой среды в случае успеха атаки могут привести к несанкционированному доступу к сети, блокировке учетных записей или отказам в обслуживании. Трафик, связанный с этими атаками, со временем увеличился и, вероятно, продолжит расти.
Команда Talos поделилась полным списком IoC для этой активности на GitHub, включая IP-адреса злоумышленников, а также список имен пользователей и паролей, используемых в бруте.
Причем ранее Cisco уже предупреждала о волне брута на RAVPN в устройствах Cisco Secure Firewall.
Тогда вредоносную активность приписали ботнету Brutus. Вполне возможно, что и текущие атаки инициированы им, но пока на этот счет информации нет.
Будем посмотреть.
Наблюдаемая кампания стартовала 18 марта 2024 года. При этом большинство воздействий исходят с узлов Tor, а также с использованием VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy и Proxy Rack для обхода блокировок.
По наблюдениям исследователей в переборе задействуются как общие имена пользователей, так и реальные имена в конкретных организациях. Вместе с тем, атаки носят неизбирательный характер и не направлены на конкретный регион или отрасль.
В зависимости от целевой среды в случае успеха атаки могут привести к несанкционированному доступу к сети, блокировке учетных записей или отказам в обслуживании. Трафик, связанный с этими атаками, со временем увеличился и, вероятно, продолжит расти.
Команда Talos поделилась полным списком IoC для этой активности на GitHub, включая IP-адреса злоумышленников, а также список имен пользователей и паролей, используемых в бруте.
Причем ранее Cisco уже предупреждала о волне брута на RAVPN в устройствах Cisco Secure Firewall.
Тогда вредоносную активность приписали ботнету Brutus. Вполне возможно, что и текущие атаки инициированы им, но пока на этот счет информации нет.
Будем посмотреть.
Cisco Talos Blog
Large-scale brute-force activity targeting VPNs, SSH services with commonly used login credentials
Cisco Talos would like to acknowledge Anna Bennett and Brandon White of Cisco Talos and Phillip Schafer, Mike Moran, and Becca Lynch of the Duo Security Research team for their research that led to the identification of these attacks.
Cisco Talos is actively…
Cisco Talos is actively…
Критическая уязвимость брандмауэра PAN-OS компании Palo Alto Networks обзавелась рабочим эксплойтом и теперь активно реализуется в атаках, а меры по смягчению оказались неэффективными.
Как ранее мы сообщали, CVE-2024-3400 может позволить неаутентифицированным злоумышленникам выполнять произвольный код под root посредством внедрения команд в атаках низкой сложности на PAN-OS 10.2, PAN-OS 11.0 и PAN-OS 11.1.
Через день после того, как Palo Alto Networks начала выпускать исправления для CVE-2024-3400, watchTowr Labs также опубликовала подробный анализ уязвимости и экспериментальный эксплойт, который можно использовать на непропатченных брандмауэрах.
И это при том, что исследователи обнаружили более 82 000 уязвимых для атак CVE-2024-34000 экземпляров, 40% из которых находились в США.
Рабочим эксплойтом, позволяющим загрузить файл конфигурации брандмауэра, поделились TrustedSec, которые обнаружили его в ходе расследования реальных атак, позволяющим злоумышленникам загрузить файл конфигурации брандмауэра.
Кроме того, Palo Alto Networks выяснили, что ранее опубликованные меры по устранению последствий оказались неэффективными для защиты устройств от уязвимости.
Заявленное отключение телеметрии в реальности не позволяет защититься от атак, работает только лишь последнее обновление программного обеспечения PAN-OS.
Как ранее мы сообщали, CVE-2024-3400 может позволить неаутентифицированным злоумышленникам выполнять произвольный код под root посредством внедрения команд в атаках низкой сложности на PAN-OS 10.2, PAN-OS 11.0 и PAN-OS 11.1.
Через день после того, как Palo Alto Networks начала выпускать исправления для CVE-2024-3400, watchTowr Labs также опубликовала подробный анализ уязвимости и экспериментальный эксплойт, который можно использовать на непропатченных брандмауэрах.
И это при том, что исследователи обнаружили более 82 000 уязвимых для атак CVE-2024-34000 экземпляров, 40% из которых находились в США.
Рабочим эксплойтом, позволяющим загрузить файл конфигурации брандмауэра, поделились TrustedSec, которые обнаружили его в ходе расследования реальных атак, позволяющим злоумышленникам загрузить файл конфигурации брандмауэра.
Кроме того, Palo Alto Networks выяснили, что ранее опубликованные меры по устранению последствий оказались неэффективными для защиты устройств от уязвимости.
Заявленное отключение телеметрии в реальности не позволяет защититься от атак, работает только лишь последнее обновление программного обеспечения PAN-OS.
watchTowr Labs - Blog
Palo Alto - Putting The Protecc In GlobalProtect (CVE-2024-3400)
Welcome to April 2024, again. We’re back, again.
Over the weekend, we were all greeted by now-familiar news—a nation-state was exploiting a “sophisticated” vulnerability for full compromise in yet another enterprise-grade SSLVPN device.
We’ve seen all the…
Over the weekend, we were all greeted by now-familiar news—a nation-state was exploiting a “sophisticated” vulnerability for full compromise in yet another enterprise-grade SSLVPN device.
We’ve seen all the…
Исследователи из Лаборатории Касперского рассказывают о том, как утечка конструктора LockBit 3.0 привела к созданию хакерами мощных инструментов под конкретные цели.
В своем отчете по результатам реагирования на инциденты исследователи подробно проанализировали последствия утечки, позволившей по итогу злоумышленникам создавать гибко настраиваемые индивидуальные версии вредоносного ПО.
Это привело к значительной эскалации угроз заражения благодаря возможностям настройке распространения вируса по сети, отключать средства защитные целевых компаний, шифровать данные и стирать журналы событий, скрывая следы активности.
Файлы конструктора упрощают процесс создания вредоносной программы, позволяя генерировать публичные и приватные ключи для шифрования данных, а также настраивать функции ПО с помощью скрипта Build.bat и конфигурационных файлов.
Конфигурационный файл позволяет активировать функции подмены идентификаторов, шифрования сетевых дисков, отключения защиты и распространения по сети, формируя максимально адаптированный под структуру целевой сети малварь.
Исследование показало, что созданные с помощью утечки конструктора файлы были использованы для атак по всему миру, включая и страны СНГ.
Все нападения, скорее всего, не были связаны между собой и были осуществлены независимыми субъектами.
Были выявлены различные методики и инструменты, задействуемые хакеры для распространения и управления атакой, включая использование скрипта SessionGopher для извлечения сохранённых учётных данных.
Проведенный ЛК новый анализ билдера LockBit 3.0 продемонстрировал, насколько легко злоумышленники могут генерировать индивидуальные версии угрозы в соответствии со своими потребностями, делая атаки более эффективными и максимализируя воздействие на сеть.
Учитывая, что ransomware-атаки могут иметь разрушительные последствия, в отчете Лаборатория Касперского представила превентивные инфраструктурно-независимые меры по снижению риска таких атак.
В своем отчете по результатам реагирования на инциденты исследователи подробно проанализировали последствия утечки, позволившей по итогу злоумышленникам создавать гибко настраиваемые индивидуальные версии вредоносного ПО.
Это привело к значительной эскалации угроз заражения благодаря возможностям настройке распространения вируса по сети, отключать средства защитные целевых компаний, шифровать данные и стирать журналы событий, скрывая следы активности.
Файлы конструктора упрощают процесс создания вредоносной программы, позволяя генерировать публичные и приватные ключи для шифрования данных, а также настраивать функции ПО с помощью скрипта Build.bat и конфигурационных файлов.
Конфигурационный файл позволяет активировать функции подмены идентификаторов, шифрования сетевых дисков, отключения защиты и распространения по сети, формируя максимально адаптированный под структуру целевой сети малварь.
Исследование показало, что созданные с помощью утечки конструктора файлы были использованы для атак по всему миру, включая и страны СНГ.
Все нападения, скорее всего, не были связаны между собой и были осуществлены независимыми субъектами.
Были выявлены различные методики и инструменты, задействуемые хакеры для распространения и управления атакой, включая использование скрипта SessionGopher для извлечения сохранённых учётных данных.
Проведенный ЛК новый анализ билдера LockBit 3.0 продемонстрировал, насколько легко злоумышленники могут генерировать индивидуальные версии угрозы в соответствии со своими потребностями, делая атаки более эффективными и максимализируя воздействие на сеть.
Учитывая, что ransomware-атаки могут иметь разрушительные последствия, в отчете Лаборатория Касперского представила превентивные инфраструктурно-независимые меры по снижению риска таких атак.
Securelist
Leaked LockBit builder in a real-life incident response case
Kaspersky researchers revisit the leaked LockBit 3.0 builder and share insights into a real-life incident involving a custom targeted ransomware variant created with this builder.
Что ни решение Ivanti, то ниже 9 по CVSS не обходится.
На этот раз в очередной серии Ivanti bugs - 27 уязвимостей в продукте Avalanche MDM, конечно же, включая две критические ошибки на борту, приводящие к выполнению команд.
CVE-2024-24996 и CVE-2024-29204 описываются как проблемы переполнения кучи в компонентах WLInfoRailService и WLAvalancheService в MDM-решении.
Обе, как отмечает Ivanti в своем бюллетене, могут быть использованы удаленно, без аутентификации, и имеют оценку CVSS 9,8.
Представленные Ivanti исправления в Avalanche также устраняют многочисленные уязвимости высокой степени серьезности, которые могут позволить удаленным злоумышленникам, не прошедшим проверку подлинности, выполнять команды с системными привилегиями.
Восемь из них описаны как проблемы обхода пути в веб-компоненте Ivanti Avalanche.
Ошибка неограниченной загрузки файлов и две уязвимости состояния гонки (TOCTOU) в веб-компоненте также могут быть использованы для выполнения команд в качестве System.
Еще одна серьезная ошибка переполнения кучи в компоненте WLInfoRailService может быть использована удаленно и без аутентификации для выполнения команд.
Другая не менее серьезная проблема использования после освобождения в WLAvalancheService приводит к удаленному выполнению кода.
Выпущенные обновления также устраняют несколько ошибок высокой степени серьезности, связанных с DoS, и проблемы средней серьезности, позволяющих удаленным злоумышленникам, не прошедшим проверку подлинности, извлекать конфиденциальную информацию из памяти.
Недостаткам подвержены все поддерживаемые версии решения MDM (версии 6.3.1 и выше), включая и более старые версии. 6.4.3 Avalanche содержит исправления.
По данным Ivanti, ни одна из устраненных уязвимостей не использовалась в реальных условиях.
Но верить на слово поставщику со столь «безупречной» репутацией не стоит, такой флеш-рояль явно уже в руках опытных акторов, которые ранее уже эксплуатировали недостатки, для которых были выпущены патчи.
На этот раз в очередной серии Ivanti bugs - 27 уязвимостей в продукте Avalanche MDM, конечно же, включая две критические ошибки на борту, приводящие к выполнению команд.
CVE-2024-24996 и CVE-2024-29204 описываются как проблемы переполнения кучи в компонентах WLInfoRailService и WLAvalancheService в MDM-решении.
Обе, как отмечает Ivanti в своем бюллетене, могут быть использованы удаленно, без аутентификации, и имеют оценку CVSS 9,8.
Представленные Ivanti исправления в Avalanche также устраняют многочисленные уязвимости высокой степени серьезности, которые могут позволить удаленным злоумышленникам, не прошедшим проверку подлинности, выполнять команды с системными привилегиями.
Восемь из них описаны как проблемы обхода пути в веб-компоненте Ivanti Avalanche.
Ошибка неограниченной загрузки файлов и две уязвимости состояния гонки (TOCTOU) в веб-компоненте также могут быть использованы для выполнения команд в качестве System.
Еще одна серьезная ошибка переполнения кучи в компоненте WLInfoRailService может быть использована удаленно и без аутентификации для выполнения команд.
Другая не менее серьезная проблема использования после освобождения в WLAvalancheService приводит к удаленному выполнению кода.
Выпущенные обновления также устраняют несколько ошибок высокой степени серьезности, связанных с DoS, и проблемы средней серьезности, позволяющих удаленным злоумышленникам, не прошедшим проверку подлинности, извлекать конфиденциальную информацию из памяти.
Недостаткам подвержены все поддерживаемые версии решения MDM (версии 6.3.1 и выше), включая и более старые версии. 6.4.3 Avalanche содержит исправления.
По данным Ivanti, ни одна из устраненных уязвимостей не использовалась в реальных условиях.
Но верить на слово поставщику со столь «безупречной» репутацией не стоит, такой флеш-рояль явно уже в руках опытных акторов, которые ранее уже эксплуатировали недостатки, для которых были выпущены патчи.
Ivanti
Avalanche 6.4.3 Security Hardening and CVEs addressed
<p>Avalanche 6.4.3 has addressed some new security hardening and vulnerabilities in our Q1 2024 release. We are not aware of any exploitation of these vulnerabilities at the time of disclosure.
To address the security vulnerabilities listed below, it is…
To address the security vulnerabilities listed below, it is…
HTML Embed Code: