SecAtor

Исследователи предупреждают об активной эксплуатации N-day уязвимостей в популярном решении резервного копирования и восстановления Arcserve Unified Data Protection (UDP), которые используются для обеспечения доступа к сетям жертв. Тревогу забили за рубежом, а точнее в Национальной системе здравоохранения Великобритании, которая сообщила о начале атак с использованием трех исправленных недостатков, среди которых: - CVE-2024-0799 (9.8 критическая): обход аутентификации, которым может воспользоваться удаленный злоумышленник, не прошедший проверку подлинности, отправив HTTP-сообщение POST без параметра пароля в конечную точку /management/wizardLogin. - CVE-2024-0800 (высота 8,8): уязвимость обхода пути позволяет удаленному злоумышленнику, прошедшему проверку подлинности, загружать произвольные файлы в любой каталог файловой системы, где установлена UDP-консоль. - CVE-2024-0801 (ожидается оценка CVSS): уязвимость приводит к вызову состояния отказа в обслуживании (DoS). Arcserve опубликовала рекомендации по безопасности для уязвимостей в марте 2024 года и уже на следующий день Tenable выпустила PoC для CVE-2024-0799, CVE-2024-0800 и CVE-2024-0801. Вскоре после этого и последовали возможные попытки использования Arcserve UDP. Затронутым организациям настоятельно рекомендуется ознакомиться с рекомендациями по безопасности и оперативно применить все соответствующие обновления для Arcserve UDP версий 8.1–9.2.

Исследователи Cybernews сообщают об обнаружении 6 мая второй по величине утечки после Mother of All Breaches (MOAB) с 26 млрд. записей, которую назвали COMB (compilation of many breaches). Но главная ее особенность заключается даже не в объеме утечки (более 1,2 миллиарда записей), а в ее содержании - колоссальный набор конфиденциальных данных ориентирован исключительно на граждан Китая, покрывая до 87% жителей страны. Владелец COMB, вероятно, непреднамеренно произвел неправильные настройки экземпляра Elasticsearch, что сделало их доступными в Интернет. Причем работу по созданию COMB неизвестный актор начал не так давно, первая запись была загружена 29 апреля. Неделю спустя конечная версия уже включала 1 230 703 487 записей личных данных граждан Китая, и их количество продолжает расти. Полный набор данных имеет дубликаты, что по всей видимости, позволяет злоумышленникам просматривать все утекшие данные о человеке, связывая воедино различные данные из разных источников. Несмотря на то, что COMB был размещен в одном из ЦОДов в Германии, настройки интерфейса Kibana с китайским языком указывают, что админ может иметь китайское происхождение. Большая часть данных собрана из предыдущих публичных утечек, однако в компиляцию также включены некоторые частные и ранее не сливавшиеся наборы данных. Как выяснили исследователи, COMB включает в себя: по 600 и 500 млн. записей идентификаторов и номеров телефонов в QQ и Weibo, а также несколько десятков миллионов записей с номерами телефонов и документов, именами, почтовыми и электронными адресами из ShunFeng, Pingan, Jiedai, Siyaosu. Исследователи не располагают информацией о том, кому и зачем нужна была COMB, никто из киберподполья ответственности за утечку на себя не взял. Cybernews проинформировала немецкого провайдера, полагая, что COMB определенно имеет преступный потенциал и будет использоваться для планирования и совершения широкомасштабных атак на КНР.

Подкатил глобальный Apple Patch Day с исправлениями серьезных уявзвимостей в iPhone, iPad и macOS, включая 0-day на старых флагманских мобильных устройствах, которые, по всей видимости, уже подвергались атакам. В целом специалисты из Купертино задокументировали как минимум 16 уязвимостей в iPhone и iPad, обращая особое внимание на CVE-2024-23296, ошибку повреждения памяти в RTKit, которая «могла быть использована» до появления исправлений. Apple RTKit - это встроенная операционная система реального времени, которая работает практически на всех устройствах Apple и в прошлом подвергалась атакам с использованием эксплойтов, обходящих защиту памяти ядра. Apple заявила, что ошибка использовалась в старых версиях iOS, и выпустила iOS 16.7.8 и iPadOS 16.7.8 с исправлениями. Отдельно Apple задокументировала 14 дефектов безопасности в новейших версиях iOS и предупредила, что некоторые из этих проблем могут привести к RCE, раскрытию данных и конфиденциальности, а также к сбоям в системе. Компания также выкатила исправления для всей линейки настольных ОС: macOS Sonoma, macOS Ventura и macOS Monterey, отметив, что закрытые недостатки могут привести к выполнению RCE, повышению привилегий и несанкционированному доступу к данным.

Исследователи F.A.C.C.T. задетектили новый вредоносный загрузчик PhantomDL (PhantomGoDownloader), который, вероятно, имеет тесные связи с группой кибершпионажа PhantomCore и используется с марта 2024 года. PhantomCore работает по России с января 2024 года, нацеливаясь на компании в сфере ВПК РФ. Как правило, атакуют жертв через фишинговые письма с запароленными вредоносными архивами во вложении и замаскированными под официальные документы приманками. Основной инструмент APT - троян удаленного доступа PhantomRAT. В конце марта исследователям удалось обнаружили на платформе VirusTotal исполняемый файл и запароленный RAR-архив, который и включал этот файл и помимо него легитимный PDF-файл. Документ-приманка содержал информацию об акте приема-передачи строительной площадки для производства работ на территории российского предприятия из атомной отрасли. Злоумышленники задецствовали вариацию CVE-2023-38831 в WinRAR, в которой вместо ZIP-архивов используются RAR-архивы. Если пользователь с версией WinRAR меньшей 6.23 запустит PDF-файл, будет запущен исполняемый файл, содержащийся в одноименной директории архива. В случае, если версия WinRAR 6.23 и выше, пользователю будет отображен легитимный PDF-файл. Исполняемый файл является загрузчиком, написанным на языке Go. Для его обфускации, предположительно, используется утилита Garble. Спустя чуть больше месяца с момента первого обнаружения Go-загрузчика специалистам удалось выявить новый образец, который, в отличие от более раннего, не имел обфускации классов и методов. Это позволило идентифицировать название проекта D:\github\phantomDL и присвоить этому загрузчику имя PhantomDL. Останавливаться на технических аспектах и атрибуции загрузчика PhantomDL не будем, все это вместе с индикаторами компрометации можно найти в блоге. Но, очевидно, что PhantomCore активно развивает свой инструментарий и переходит от стадии тестирования к нападению. Если на ранних этапах злоумышленники использовали достаточно простой загрузчик PhantomCore.Downloader, то уже спустя месяц перешли к более сложному - PhantomDL. При этом злоумышленники тщательно подходят к подготовке документов-приманкок, содержание которых свидетельствует о нацеленности на российские предприятия в сфере ВПК или взаимодействующие с ними организации.

Не прошло и недели, как Chrome обзавелся новой 0-day, для исправления которой Google выпустила экстренные обновления безопасности. Спустя три дня вслед за пятым нулем CVE-2024-4671 в Visuals список текущего года пополнился шестым CVE-2024-4761. Новая ошибка затрагивает движок JavaScript Chrome V8 и представляет собой проблему записи за пределами границ. Подобные проблемы возникают, когда программе разрешено записывать данные за пределы указанного массива или буфера, что потенциально может привести к несанкционированному доступу к данным, выполнению произвольного кода или сбоям. В своем бюллетене Google предупреждает о существовании рабочего экспорта для CVE-2024-4761, но традиционно подробности не раскрывает. Компания устранила уязвимость, выпустив версии 124.0.6367.207/.208 для Mac/Windows и 124.0.6367.207 для Linux. Обновления будут доступны всем пользователям в ближайшие дни.

👴 Как найти человека и распознать его позу с помощью Wi-Fi? Как сообщают Kaspersky Daily, ученые утверждают, что научились распознавать положение и позы людей в помещениях с помощью Wi-Fi сигнала. Для этого они использовали обычные домашние роутеры и технологии машинного обучения. С помощью DensePose получается верно распознавать позы человеческих тел на фотографиях и даже строить UV-развертки их поверхностей.

Модель DensePose ищет на изображениях объекты, которые распознаются как человеческие тела. Далее эти объекты разделяются на отдельные участки, которые сопоставляются с теми или иными частями тела — каждая из них обрабатывается отдельно. Такой подход используется потому, что разные части тела двигаются очень по-разному: например, голова и торс ведут себя совсем не так, как руки и ноги.

Система уверенно справляется с не самыми обычными вариантами положения тела в пространстве. Скажем, нейросеть правильно распознает людей на велосипедах, мотоциклах и верхом на лошадях, а также верно определяет позы бейсболистов.

Не стоит спешить с заголовками вроде «Ученые научились видеть сквозь стены с помощью Wi-Fi». Начнем с того, что «зрение» это весьма абстрактно — модель не столько «видит» тело человека, сколько способна с определенной вероятностью предсказать его положение в пространстве и позу на основе косвенных данных.

Модель значительно уступает по точности оригинальному методу распознавания поз на фотографиях, а также достаточно серьезно «галлюцинирует». 👨‍🔬🔬Конфигурация тестового стенда в исследовании была максимально благоприятной: хорошо известная и простая геометрия, прямая видимость между источником и приемником, никаких существенных помех на пути радиосигнала — учеными были созданы идеальные условия для «просвечивания» сцены радиоволнами. В реальной жизни воссоздать настолько удачную конфигурацию, скорее всего, никогда не получится. 😹Шапочку из фольги можно снять. Подробнее: https://www.kaspersky.ru/blog/dense-pose-recognition-from-wi-fi-signal/37400/ ✋ @Russian_OSINT

͏Как я ворвался в инфосек. Часть 5.

Исследователи из Лаборатории Касперского обнаружили критические уязвимости в модемах Telit Cinterion, которые позволяют удаленно выполнить произвольный код через SMS. Сотовые модемы Cinterion обычно широко востребованы в системах автоматизации промышленности, здравоохранения, телекома для обеспечения удаленного управления. В общей сложности в ноябре 2023 года исследователями Kaspersky ICS CERT было найдено восемь проблем, семи из которых присвоены CVE-2023-47610 - CVE-2023-47616, еще одна - в ожидании регистрации. Все они затрагивают широкую линейку модемов, включая Cinterion BGS5, Cinterion EHS5/6/7, Cinterion PDS5/6/8, Cinterion ELS61/81 и Cinterion PLS62. Самая серьезная из них - CVE-2023-47610, проблема переполнения кучи, влияет на обработчики сообщений User Plane Location (SUPL) модема, открывая глубокий доступ к операционной системе. Исследователи оценили ее на 8,8, в то время как по оценке NIST проблема имеет критическое значение и получила оценку серьезности 9,8. Злоумышленники, воспользовавшиеся уязвимостью с помощью специально созданных SMS-сообщений, могут удаленно выполнить произвольный код на модеме без аутентификации и физического доступа. Причем интерфейс обмена SMS-сообщениями присутствует фактически на всех модемах, а доступ к нему возможен, если известен абонентский номер целевого модема в сети сотового оператора. Проблемы с отправкой двоичных SMS также можно нивелировать, задействуя поддельную базовую станцию, что обеспечит обход ограничений на стороне оператора. Другие обнаруженные уязвимости, несмотря на более низкий уровень серьезности, могут быть использованы для нарушения целостности MIDlet - Java-приложений с различными функциями. Одна из них CVE-2023-47611 позволяет злоумышленнику добиться выполнения кода с повышенными привилегиями (уровень производителя), обходя проверку цифровой подписи. Telit выпустила обновления прошивки для устранения проблем в конце прошлого года, но не всех: некоторые остались неисправленными. Исследователи предупреждают, что обнаруженные уязвимости в сочетании с широким распространением этих устройств в различных секторах несут потенциал масштабных глобальных сбоев. Тем более, что модемы встроены в другие решения, в связи с чем четко определить весь спектр затронутых продуктов достаточно сложно. Технические подробности и варианты эксплуатации для получения контроля над уязвимыми устройствами Telit Cinterion обещают раскрыть в субботу на конференции OffensiveCon в Берлине.

Продолжая тему, вслед за Европолом хакеры навестили и ведущую инфосек-компанию с доходом в 1,8 млрд. долл., доступ к которой на Breach Forums был выставлен на продажу все тем же IntelBroker. Как позже выяснилось, жертвой стала Zscaler, которая до последнего скрывала инцидент. Но по мере распространения слухов признала себя жертвой, сославшись на нарушения в изолированной тестовой среде. При этом проводимое расследование не выявило никаких доказательств взлома ее клиентской или производственной сред, а скомпрометированный сервер якобы не размещался в инфраструктуре Zscaler и не имел пересечений с основными системами. В свою очередь, IntelBroker предлагает доступ, который включает в себя «конфиденциальные и очень важные журналы, содержащие учетные данные, доступ SMTP, доступ к аутентификации по указателю PAuth, ключи доступа SSL и сертификаты SSL. Учитывая репутацию селлера и предыдущие кейсы, в отмазки Zscaler вериться с трудом, больше это походит на Qualys, которая в свое время заявляла, что сама установила зараженный SolarWinds Orion в тестовой среде для изучения. В конце концов, не зря же ведущая инфосек-компания обратилась за помощью к другой авторитетной фирме по реагированию на инциденты для расследования обстоятельств взлома. Так что будем следить за ситуацией.