Новости об уязвимостях га джетов

[satvitek]

В маршрутизаторах Humax HG-100R обнаружены уязвимости

Эксперты компании Trustwave SpiderLabs обнаружили в маршрутизаторах Humax HG-100R уязвимость, позволяющую получить учетные данные для авторизации в сети Wi-Fi и пароль администратора устройства.

Проэксплуатировать уязвимость очень просто. Для того чтобы обойти механизм аутентификации, злоумышленнику достаточно лишь отправить на консоль управления специально сконфигурированные запросы. Проблема связана с отсутствием проверки токена сеанса при отправке ответа для некоторых методов в url/api. Проэксплуатировав уязвимость, злоумышленник может получить такую информацию, как частный/общественный IP-адрес, название сети (SSID) и пароли.

Вторая уязвимость в Humax HG-100R позволяет обойти механизм аутентификации и получить доступ к функции резервного копирования. Данная функция используется для сохранения и сброса настроек конфигурации. Поскольку прошивка не проверяет подлинность cookie-файлов login и login_token, атакующий способен загрузить и выгрузить все конфигурационные настройки маршрутизатора. К примеру, злоумышленник может изменить настройки DNS для перехвата трафика пользователей.

Исследователи также обнаружили, что пароль администратора хранится в файле GatewaySettings.bin в незашифрованном виде. Если в маршрутизаторе предусмотрено удаленное изменение конфигурационных настроек, злоумышленник может с легкостью получить доступ к панели управления и изменить настройки по своему усмотрению. Даже если такая возможность не предусмотрена, злоумышленник все равно может проэксплуатировать уязвимость в местах с общественными сетями Wi-Fi (например, в кафе или аэропортах).

[satvitek]

В IoT-устройствах AGFEO обнаружены уязвимости

Немецкая компания AGFEO является очередным производителем устройств «Интернета вещей» (IoT), предлагающим продукты с незащищенным web-интерфейсом. Исследователи SEC Consult обнаружили в контроллерах для «умных домов» ряд уязвимостей, позволяющих получить неавторизованный доступ к некоторым сервисам, осуществить XSS-атаку, а также получить вшитые ключи шифрования.

Прошивка AGFEO ES 5xx и 6xx имеет три сертификата с привязанными закрытыми ключами, с помощью которых злоумышленники могут получить права администратора. Однако для успешного взлома наличие привилегий администратора вовсе необязательно. Разработчики создали web-сервис для отладки в ES 5xx и забыли удалить его после поступления продукта в продажу. Согласно уведомлению, сервис «доступен через необычный порт» и работает с правами суперпользователя. Кроме того, есть удобный скрипт для чтения файлов, а значит, можно просмотреть все файлы в операционной системе.

Конфигурационные порты также являются открытыми (TCP 19002, 19004, 19006, 19009, 19010, 19080 и 19081) и предоставляют злоумышленникам возможность читать информацию об устройстве и изменять его конфигурацию. Поскольку имена пользователей и пароли хранятся в БД SQLite, хакеры могут похитить учетные данные всех пользователей.

Производитель получил уведомление об уязвимостях в январе текущего года, однако обновления вышли только 30 июня.

[satvitek]

Уязвимость в Kerberos

В сетевом протоколе аутентификации Kerberos обнаружена уязвимость, просуществовавшая там 21 год. Протокол предназначен для взаимной аутентификации сервера и клиента. Поскольку Kerberos широко применяется производителями ПО, найденная «дыра» опасна для операционных систем Microsoft и Apple, а также дистрибутивов Linux. Уязвимость была обнаружена исследователями безопасности Джеффри Альтманом (Jeffrey Altman), Виктором Духовны (Viktor Duchovni) и Нико Вильямсом (Nico Williams).

Исследователи назвали найденную уязвимость Orpheus Lyre («Лира Орфея»). В греческой мифологии звуки лиры прославленного певца Орфея могли усыпить трехглавого пса Цербера, в честь которого был назван сам протокол Kerberos.

Технические особенности

Вместо того, чтобы использовать публичные ключи шифрования из авторизованных сертификацмонных центров, Kerberos применяет ключи из доверенного центра распространения ключей (KDC). Такие центры пользуются краткосрочными мандатами, предназначенными для аутентификации пользователя в конкретном сервисе. Зашифрованная часть мандата содержит имя пользователя, метаданные и ключ сеанса. Центр также предоставляет клиенту ключ сеанса, созданный аутентификатором, который пользователь использует как подтверждение.

Один из главных недостатков Kerberos — использование слишком большого количества неавторизованного простого текста в протоколе. В результате ошибка в двух строках кода привела к тому, что метаданные могут быть взяты из простого текста мандата, а не из зашифрованного ответа KDC.

Благодаря этому становится возможной атака типа «человек посередине», в ходе которой злоумышленник может удаленно украсть учетные данные пользователя, повысить свои привилегии в системе и взломать шифрование Kerberos. Завладев мандатом, из которого сервер может извлечь ключ сеанса, и ключом аутентификатора, хакер может действовать от имени пользователя. Исследователи отмечают, что пропатчить уязвимость со стороны сервера сложно, это лучше делить со стороны устройства клиента.

Сфера распространения

Протокол Kerberos используется в Active Directory — службе каталогов Microsoft для ОС семейства Windows Server. Вчера Microsoft выпустила патч, закрывший Orpheus Lyre.

Операционные системы Debian и FreeBSD и пакет ПО Samba также уязвимы перед Orpheus Lyre, поскольку используют Kerberos 5, реализованный в открытом защитном ПО Heimdal. Heimdal уязвим для Orpheus Lyre до версии 7.4.

Реализация Kerberos в macOS тоже позволяет атаковать систему Apple через эту уязвимость. Из дистрибутивов Linux уязвимым оказался Fedora. Все компании уже создали обновления, защищающие их продукты от этой угрозы.

Изначально Kerberos разрабатывался в Массачусетском технологическом институте (MIT), первая его версия появилась в 1983 г. Исследователи, нашедшие Orpheus Lyre, сообщают, что в том варианте протокола, который используется институтом, уязвимости нет.

[satvitek]

Вредоносная программа на macOS отключает защиту системы

Недавно в системе macOS было найдено вредоносное приложение под названием OSX Dok, которое меняет настройки для снижения уровня защиты. Теперь оно научилось выдавать себя за сайты банков, пытаясь украсть данные пользователей для получения доступа к их аккаунтам.

Используются фишинг и атаки вида «человек посередине» для проникновения на компьютеры, о чём в мае сообщила компания ESET. Сначала программа обманным путём выманивала доступ к персональным данным пользователей, а потом добралась до банковских аккаунтов. Фальшивые сайты банков вынуждают пользователей установить приложение на мобильное устройство, что может привести к дополнительной утечке персональных данных.

Apple постоянно отзывает сертификаты, использовавшиеся приложением для проникновения на устройства, но толку от этого пока немного. Авторы программы продолжают получать новые сертификаты ежедневно.

Компании вроде Google, Microsoft и Apple борются с фишингом, однако лишь от пользователя зависит, будет он переходить только по ссылкам от доверенных источников или нет. Многие финансовые учреждения обновляют свои сайты с предупреждениями об угрозах, а в свете последних атак приложений-вымогателей следует проявлять особую осторожность.

[satvitek]

Эксперт сообщил о 27 тыс. уязвимостей в Tizen

Исследователь безопасности Program Verification Systems Андрей Карпов заявил об обнаружении в ОС Tizen тысячи уязвимостей. Исследовав с помощью синтаксического анализатора PVS Studio всего лишь 3,3% кода операционной системы, Карпов обнаружил порядка 900 проблем. По его подсчетам, весь код содержит 27 000 уязвимостей.

«Я исследовал более 2 400 000 строк кода (вместе с комментариями) и обнаружил 900 ошибок. Весь проект Tizen , включительно со сторонними библиотеками, состоит из 72 500 000 кода (без учета комментариев) на C и C++. Следовательно, я проверил 3,3% кода. Подсчеты: (72500000 * 900/2400000 = 27187)», – заявил Карпов.

Исследователь уведомил Samsung о проблеме и предложил свою помощь, однако компания отказалась проводить исследование. «У нас есть свой собственный аналитический инструмент, который мы регулярно используем для анализа Tizen. Как бы то ни было, мы не согласны с тем, что в Tizen есть 27 000 дефектов», - заявили в компании.

Tizen – открытая операционная система на базе ядра Linux, предназначенная для широкого круга устройств, включая смартфоны и планшеты, компьютеры, автомобильные информационно-развлекательные системы, «умные» телевизоры и цифровые камеры, разрабатываемая и управляемая такими корпорациями, как Intel и Samsung.

[satvitek]

B]В менеджере файлов GNOME обнаружена опасная уязвимость[/B]


Обнаружена опасная уязвимость в GNOME - популярном графическом интерфейсе для Linux, позволяющая выполнить произвольный код на целевой системе. Уязвимость CVE-2017-11421 затрагивает менеджер файлов стороннего производителя под названием GNOME files, входящий в состав GNOME по умолчанию.

Информация о ошибке вместе с PoC-кодом была опубликована в блоге немецкого исследователя Нильса Дагссона Москоппа (Nils Dagsson Moskopp). Согласно опубликованной информации, уязвимость присутствует в коде, отвечающим за обработку имени .msi файлов во время отображения иконок к приложению. Злоумышленник может обманом заставить пользователя загрузить специально сформированный .msi файл на систему и затем выполнить произвольный VBScript, содержащийся в имени файла.

Вредоносный код выполняется, как только пользователь открывает папку с вредоносным файлом с помощью GNOME files.

[satvitek]

Из-за пассивности производителя банкоматов хакеры опубликовали инструкцию по их очистке от денег

Компания IOActive опубликовала бюллетень, в котором информирует об обнаружении критических уязвимостей в банкоматах Diebold Opteva. Используя их комбинацию, злоумышленники могут получить доступ к купюрам в сейфе банкомата.

Две уязвимости. Использовать последовательно

Эксперты компании IOActive обнаружили сразу две уязвимости в банкоматах компании Diebold — физическую и программную. Они касаются серии Opteva — банкоматов на базе платформы AFD (Advanced Function Dispenser — диспенсер с расширенными функциями). В них хранилище купюр и управляющий компьютер разделены физически, и каждая секция требует отдельной авторизации для получения доступа. Однако исследователи смогли найти уязвимые места и там, и там.

Просунув в отверстие громкоговорителя на передней панели железный прут, им удалось поднять металлическую пластину, запирающую устройство, и получить физический доступ к установленному внутри компьютеру, к которому по USB подключен контроллер AFD. Исследователи подключили к нему свой собственный компьтер.

Специалисты IOActive также произвели реверсный инженеринг протокола связи и программной оболочки AFD. Выяснилось, что AFD не производит проверку подключенных внешних устройств и не обменивается с ними зашифрованными ключами. Как следствие, экспертам удалось получить доступ к AFD и содержимому кассет с купюрами — без какой-либо авторизации.

Вялая реакция

Корпорация Diebold была проинформирована об уязвимости еще в начале 2016 г. В январе 2017 г. ей представили информацию о программной бреши в защите устройств. Реакция производителя банкоматов была исключительно вялой. Лишь в конце марта 2016 г. представители Diebold заявили, что использовавшаяся при тестировании система является устаревшей и лишенной программных обновлений.

На вопрос, были ли в принципе выпущены обновления для этой конкретной уязвимости, ответа не последовало. Выждав положенные три месяца и так и не получив больше никакой обратной связи, IOActive приняли решение опубликовать результаты исследования.

[satvitek]

В реализациях Intel BIOS обнаружены множественные уязвимости

За последние несколько лет компания Intel вложила немало усилий в разработку технологий защиты прошивки, используемой в современных компьютерных платформах. Специалист компании Cylance Алекс Матросов выявил ряд уязвимостей, связанных с реализацией мер защиты UEFI BIOS крупными поставщиками материнских плат, проэксплуатировав которые атакующий может скомпрометировать систему и получить полный контроль над ней.

UEFI (Unified Extensible Firmware Interface) является связующей оболочкой между операционной системой и аппаратной частью. Intel разработала многочисленные технологии защиты прошивки от атак, в том числе Intel Boot Guard и BIOS Guard.

Матросов выявил по меньшей мере 6 уязвимостей в реализации функций безопасности прошивки различными вендорами. В частности в компактном ПК ASUS Vivo Mini, Lenovo ThinkCentre и MSI Cubi2 были выявлены уязвимости повышения привилегий (CVE-2017-11315, CVE-2017-3753 и CVE-2017-11312/CVE-2017-11316 соответственно), также эксперт обнаружил ряд проблем (CVE-2017-11313, CVE-2017-11314) в мини-ПК Gigabyte BRIX, совместная эксплуатация которых позволяет обойти защиту BIOS Guard.

Исследователь проинформировал производителей о найденных уязвимостях.

[satvitek]

Неисправимая уязвимость затрагивает почти все современные автомобили

Уязвимость, скрытая глубоко в конструкции всех современных автомобилей, позволяет атакующему с локальным или даже удаленным доступом к транспортному средству отключать его различные системы (в том числе подушки безопасности, тормоза, датчики парковки и т.д.). Проблема затрагивает протокол CAN, широко используемый в современных автомобилях для обеспечения связи между внутренними компонентами.

Уязвимость была обнаружена совместными усилиями экспертов Миланского технического университета, Linklayer Labs, и Trend Micro FTR. По их словам, проблема не является уязвимостью в привычном понимании этого слова. Загвоздка кроется в принципе работы самого протокола и для ее устранения пришлось бы изменить то, как CAN работает на самых нижних уровнях. В связи с этим выпустить исправление для уязвимости невозможно. Производители автомобилей могут лишь несколько снизить риски, предприняв некоторые меры безопасности.

По словам исследователей, для полного решения проблемы необходимо обновить стандарт CAN и использовать в автомобилестроении уже новую его версию. На деле это займет много времени. Обычный отзыв автомобилей или рассылка обновлений «по воздуху» здесь не сработают, так как нужно будет выпустить целое поколение новых машин.

Уязвимость позволяет осуществить DoS-атаку. Для ее эксплуатации достаточно лишь подключить к шине CAN через локальный открытый порт автомобиля особое устройство.

CAN (Controller Area Network) – стандарт промышленной сети, ориентированный, прежде всего, на объединение в единую сеть различных исполнительных устройств и датчиков. Режим передачи – последовательный, широковещательный, пакетный. CAN был разработан компанией Robert Bosch GmbH в середине 1980-х и в настоящее время широко распространен в промышленной автоматизации, технологиях «умного дома», автомобильной промышленности и многих других областях. Стандарт для автомобильной автоматики.

[satvitek]

Разработчик отказался исправлять уязвимость в LabVIEW


Исследователями из Cisco Talos была обнаружена уязвимость (CVE-2017-2779) в платформе для разработки систем LabVIEW 2016 v.16.0, разработанной компанией National Instruments. Уязвимость позволяет вызвать повреждения памяти и выполнить произволный код на системе. Для этого жертва должна открыть специально сформированный файл c расшиением .VI.

Согласно отчету Cisco Talos, уязвимость существует из-за ошибки проверки границ данных. Брешь позволяет злоумышленнику перезаписать произвольные участки памяти на системе и выполнить произвольный код с привилегиями пользователя, запустившего уязвимое приложение. Уязвимость является достаточно опасной, поскольку ее успешная эксплуатация может позволить злоумышленнику скомпрометировать уязвимую систему.

Тем не менее, National Instruments отказалась выпускать патч, так как не считает данную проблему в своем продукте уязвимостью.

Программа LabVIEW предназначенна для построения систем сбора данных, управления приборами и промышленной автоматизации в различных операционных системах: Windows, MacOS, Linux и Unix.

[satvitek]

Microsoft не закроет найденную в браузере уязвимость

Специалисты по безопасности из компании Cisco обнаружили уязвимость, которая существует во всех популярных браузерах, включая Chrome, Safari и Edge. В отличие от Google и Apple, которые уже выпустили патчи, Microsoft не сделала этого. Там считают, что речь идёт не о баге, а об устройстве браузера.

Уязвимости CVE-2017-5033 и CVE-2017-2419 есть в старых версиях Chrome и Safari, поэтому нужно обновиться как минимум до версии Chrome 57.0.2987.98, Safari 10.1 и iOS 10.3. Баг был найден в версии Edge 40.15063, в более современных версиях он также есть.

Уязвимость безопасности связана с обработкой браузером about:blank, что делает возможным межсайтовый скриптинг, который даст доступ к пользовательской информации. Подобные уязвимости не столь опасны, как дистанционное выполнение кода (RCE), но без патча, если обойти политику сервера Content Security, конфиденциальные данные могут быть украдены.

Атаки XSS могут даже дать доступ к учётным записям пользователей. Content Security Policy разработана для их предотвращения и позволяет серверу создавать белый список ресурсов, которым можно доверять выполнение в браузере.

Пользователям рекомендуется всегда обновлять браузеры до последней версии.

[satvitek]

Zerodium заплатит $1 млн за уязвимости нулевого дня в Tor

Занимающаяся покупкой уязвимостей компания Zerodium в очередной раз подняла свои ставки. Всего три недели назад вендор заявил , что заплатит $500 тыс. за уязвимости нулевого дня в защищенных мессенджерах наподобие Signal и WhatsApp. Теперь же компания предложила вдвое большую сумму за 0-day в браузере Tor.

Zerodium готова заплатить $1 млн за функциональные, ранее неизвестные эксплоиты для Tor под ОС Windows и TAILS. За комбинацию уязвимостей, позволяющих удаленно выполнить код и получить привилегии суперпользователя и на Windows, и на TAILS, исследователи могут быть вознаграждены в размере $250 тыс. За эту же комбинацию, работающую только на Windows или только на TAILS, компания заплатит $200 тыс. Меньшие суммы Zerodium предложила за отдельные уязвимости, позволяющие удаленно выполнить код, а также за уязвимости, эксплуатация которых возможна, только если разрешено использование JavaScript.

Эксплоиты, предполагающие какие-либо манипуляции с узлами Tor или способные нарушить работу сети, компанию не интересуют. Желающие продать уязвимость исследователи должны предоставить полностью рабочий, ранее нигде не публиковавшийся эксплоит и подробную инструкцию по его эксплуатации.

Как и в случае с защищенными мессенджерами, Zerodium отметила, что уязвимости нулевого дня в Tor ей нужны для оказания помощи правоохранительным органам в поимке опасных преступников.

TAILS – дистрибутив Linux на основе Debian, созданный для обеспечения приватности и анонимности. Все исходящие соединения заворачиваются в анонимную сеть Tor, а все неанонимные блокируются. Система предназначена для загрузки с LiveCD или LiveUSB и не оставляет следов на машине, где использовалась.

[satvitek]

В iTerm2 исправлена опасная уязвимость

В популярном Mac-приложении iTerm2, использующемся в качестве альтернативы официальному Apple Terminal, исправлена опасная уязвимость, позволяющая похищать содержимое терминала с помощью DNS-запросов.

Версия 3.1.1 отключает функцию, впервые появившуюся в iTerm 3.0.0 и включенную по умолчанию – «Выполнить поиск DNS для проверки подлинности URL?». Когда пользователь проводит мышью поверх контента в терминале и вдруг останавливается над каким-нибудь словом, iTerm2 пытается определить, является ли оно действительным URL-адресом, и выделяет слово как кликабельную ссылку. Во избежание появления нерабочих ссылок, путем отправки DNS-запросов iTerm2 определяет, существует ли такой домен в действительности.

Данная функция представляет большую угрозу безопасности, поскольку мышь зачастую останавливается возле паролей, имен пользователей, ключей API и других конфиденциальных данных. DNS-запросы осуществляются в незашифрованном виде, поэтому злоумышленники могут без труда их перехватить и похитить передаваемую информацию.

Проблема была обнаружена 10 месяцев назад. Тогда производитель добавил в версию 3.0.13 опцию, позволяющую отключать уязвимую функцию. Тем не менее, во всех последующих релизах она по-прежнему была активирована по умолчанию. На этой неделе нидерландский инженер Петер ван Дейк (Peter van Dijk) предоставил более подробный отчет об уязвимости, отметив, что в первоначальном сообщении утечка конфиденциальных данных не упоминалась. Специалист по обслуживанию iTerm2 Джордж Начман (George Nachman) незамедлительно выпустил исправляющее проблему обновление 3.1.1 и извинился за недостаточно внимательное изучение уязвимости после получения первого отчета.

[satvitek]

Уязвимости в Cisco SMI по-прежнему открывают доступ к сетевым коммутаторам

Уязвимости в протоколе Cisco Smart Install (SMI) по-прежнему позволяют злоумышленникам удаленно подключиться к сетевым коммутаторам, похитить конфиденциальные данные и получить полный контроль над целевым устройством. С момента выхода в 2010 году в протоколе было найдено множество опасных уязвимостей и, несмотря на выпускаемые Cisco патчи, количество уязвимых устройств практически не изменилось, показало исследование компании по безопасности Rapid7.

Протокол SMI предназначен для настройки и управления коммутаторами Cisco и использует комбинацию DHCP, TFTP и протокола TCP. С момента выхода было обнаружено несколько уязвимостей в SMI, включая CVE-2011-3271, позволявшую удаленно выполнить код, а также CVE-2012-0385, CVE-2013-1146, CVE-2016-1349 и CVE-2016-6385, предоставлявшие возможность провести DDoS-атаку.

В 2016 году исследователи обнаружили ряд новых проблем безопасности в SMI. Эксперты из Tenable, Trustwave SpiderLabs и Digital Security в рамках конференции по безопасности Zeronights обнародовали информацию о ряде уязвимостей в SMI, позволявших скомпрометировать устройство.

Уязвимости в SMI могут позволить злоумышленнику получить полный контроль над целевым коммутатором, отметил старший исследователь безопасности Rapid7 Джон Харт (Jon Hart). Злоумышленники также могут получить доступ к конфиденциальным данным, таким как имена пользователей, пароли, хэши, настройки межсетевого экрана и пр. Более того, уязвимости в SMI могут позволить злоумышленнику скомпрометировать целевое устройство и загрузить произвольный код, после чего изменять, перенаправлять или перехватывать трафик. По утверждению Cisco, данные проблемы являются не уязвимостями, а скорее, «неправильным использованием протокола». Тем не менее, компания все равно порекомендовала клиентам по возможности отключать SMI.

Наибольшее количество уязвимых устройств зафиксировано в США (26,3, России (7 и Японии (6,9.

[satvitek]

Уязвимость в Joomla позволяет похитить учетные данные

Исследователи компании RIPS Technologies обнаружили серьезную уязвимость (CVE-2017-14596) в системе управления контентом Joomla. Проблема возникает при использовании протокола LDAP для аутентификации и затрагивает версии от 1.5 до 3.7.5. LDAP реализован в Joomla через «родной» плагин аутентификации, активировать которой можно в менеджере плагинов.

Анализ страницы авторизации Joomla при включенном плагине LDAP показал недостаточный уровень проверки вводимых данных. В результате, злоумышленник может символ за символом у***ать учетные данные.

«Путем эксплуатации уязвимости в странице авторизации удаленный неавторизованный атакующий может успешно получить все учетные данные сервера LDAP, используемого в установках Joomla. Сюда входят имя пользователя и пароль суперпользователя, администратора Joomla», – пояснили исследователи.

По словам экспертов, злоумышленник может использовать похищенные данные для авторизации в панели управления и получить контроль над установкой Joomla (а также потенциально над web-сервером), загрузив кастомизированные расширения Joomla для удаленного выполнения кода.

Исследователи опубликовали PoC-код для эксплуатации уязвимости, демонстрирующее атаку видео и техническую информацию о проблеме. По словам экспертов, для эксплуатации уязвимости также необходимо осуществить обход фильтра, однако подробности о том, как это сделать, не раскрываются.

Производитель узнал о проблеме 27 июля текущего года, но выпустил обновление Joomla 3.8 только на этой неделе. По классификации RIPS Technologies уязвимость является критической, однако производитель характеризует ее как средней опасности.

LDAP (Lightweight Directory Access Protocol) – протокол прикладного уровня для доступа к службе каталогов X.500. Протокол был разработан Инженерным советом интернета (IETF) как облегченный вариант протокола DAP. LDAP является относительно простым протоколом, использующим TCP/IP и позволяющим осуществлять аутентификацию (bind), поиск (search) и сравнение (compare), а также операции добавления, изменения или удаления записей.

[satvitek]

Siemens устранила опасную уязвимость в своих промышленных коммутаторах

Компания Siemens выпустила патчи, исправляющие уязвимость (CVE-2017-12736), которая позволяла удаленно взломать ряд моделей промышленных коммутаторов производителя. Проблема затрагивает промышленные коммутаторы SCALANCE X, Ruggedcom и serial-to-Ethernet устройства, работающие под управлением ОС Rugged Operating System (ROS).

Уязвимость содержится в протоколе Ruggedcom Discovery Protocol (RCDP), позволяющем Ruggedcom Explorer (инструмент для облегчения настройки и обслуживания устройств на базе ROS) находить и конфигурировать устройства под управлением ROS.

Согласно сообщению производителя, из-за некорректной конфигурации протокола RCDP в введенных в эксплуатацию устройствах, неавторизованный атакующий с доступом к сети может удаленно осуществлять действия с правами администратора.

Siemens выпустила обновления ROS 5.0.1 и ROS 4.3.4, исправляющие уязвимость в устройствах серии Ruggedcom RSL910 и другом оборудовании, работающем на базе ROS.

Корректирующие обновления для коммутаторов SCALANCE XB-200, XC-200, XP-200, XR300-WG, XR-500 и XM-400 в настоящее время недоступны. Для предотвращения эксплуатации уязвимости пользователям рекомендуется вручную отключить протокол RCDP.

Коммутаторы Ruggedcom применяются для связи между устройствами, работающими в тяжелых условиях эксплуатации, например, на электроподстанциях, в интеллектуальных системах управления дорожным движением и на железнодорожном транспорте и т.п.

Коммутаторы серии SCALANCE X используются для обеспечения связи между различными компонентами промышленной системы, например, программируемыми логическими контроллерами (ПЛК) или человеко-машинными интерфейсами (ЧМИ).

[satvitek]

Netgear исправила более 50 уязвимостей в различных устройствах

Компания Netgear выпустила патчи, исправляющие более 50 уязвимостей, затрагивающих маршрутизаторы, сетевые коммутаторы, сетевые хранилища (NAS) и точки беспроводного доступа производителя.

Опубликованные предупреждения описывают уязвимости в различных устройствах ReadyNAS (модели R7800, R9000), маршрутизаторах (WNR2000v5) и других продуктах компании. Ошибки, в числе прочего, позволяли удаленно выполнить код, внедрить комманду, обойти аутентификацию, вызвать переполнение буфера, получить учетные данные администратора. Некоторые уязвимости были связаны с некорректной конфигурацией настроек безопасности или позволяли осуществить XSS-атаку. С полным списком уязвимостей и затронутых устройств можно ознакомиться на сайте компании.

Наибольшее число исправленных уязвимостей содержались в сетевых коммутаторах. В их числе уязвимости, позволявшие повысить привилегии, провести XSS-атаку, вызвать отказ в обслуживании, уязвимости типа directory traversal (обход каталога), а также проблемы, связанные с некорректной конфигурацией настроек.

Уязвимости были обнаружены как сотрудниками Netgear, так и сторонними исследователями безопасности в рамках программы вознаграждений за найденые уязвимости. Программа, запущенная в январе 2017, года предлагает максимальное вознаграждение в размере $15 тыс. За время ее существования исследователи обнаружили более 270 уязвимостей.

Netgear - американская компания, разрабатывающая сетевые продукты для малых и средних предприятий и домашних пользователей

[satvitek]

Представлен бесплатный сервис для проверки безопасности мобильных приложений

Компания High-Tech Bridge представила бесплатный online-сервис Mobile X-Ray для проверки безопасности и конфиденциальности мобильных приложений. Сервис оперативно определяет широкий спектр распространенных ошибок и уязвимостей, в том числе включенных в рейтинг OWASP Mobile Top Ten, а также предоставляет отчет о выявленных проблемах с рекомендациями по их устранению.

В начале октября нынешнего года эксперты выявили сомнительную функцию в мобильном приложении Uber, которая незаметно делала снимки экранов смартфонов пользователей. Ранее бюро кредитных историй Equifax было вынуждено удалить свое мобильное приложение из интернет-каталогов в связи с риском утечки данных. С помощью сервиса Mobile X-Ray любой пользователь может выявить подобные проблемы в используемых приложениях.

Согласно статистическим данным, полученным с помощью платформы для тестирования приложений ImmuniWeb, 88% API и web-сервисов, используемых в мобильных приложениях, подвержены уязвимостям, позволяющим получить доступ к важным или конфиденциальным данным. При этом 69% API и web-сервисов не обладают адекватными механизмами защиты от распространенных web-атак.

Отмечается, что 97% приложений для Android содержат по меньшей мере одну уязвимость из рейтинга OWASP Mobile Top Ten, свыше 78% программ подвержены по крайней мере одной уязвимости с высокой степенью опасности и двум со средним уровнем риска. При этом в 69% приложений отсутствует шифрование или реализованы ненадежные алгоритмы шифрования. По данным компании, каждое второе Android-приложение содержит вшитые ключи шифрования, учетные данные или другую важную информацию. Наконец, менее 5% приложений используют антиотладочные механизмы для предотвращения реверс-инжиниринга.

В случае с iOS-приложениями ситуация не менее критичная. Как выяснилось, хотя бы одну уязвимость из Топ-10 OWASP содержат 85% приложений. Свыше 69% программ содержат одну опасную уязвимость и две средней степени опасности. В более 50% проанализированных приложений отсутствует шифрование либо используется ненадежное шифрование при оправке или получении важных данных. Так же, как и в случае с Android-приложениями, каждая вторая программа для iOS содержит вшитые ключи шифрования, учетные данные либо другую информацию. Антиотладочные механизмы используют менее 9% приложений.

[satvitek]

В самом популярном клиенте для сети Ethereum обнаружен баг

В самом популярном клиенте для сети Ethereum - Geth была обнаружена уязвимость, которая открывает возможности для DoS (denial-of-service) атак.
Разработчики уже выпустили новую версию программы. И все это произошло накануне одного из самых больших обновлений в сети под названием Византия.

Команда разработчиков Geth уже устранила эту уязвимость и опубликовала новую версию программного обеспечения, однако данные с сайта Ether Nodes говорят о том, что всего 1,9 процента нод Geth обновились до последней версии ПО.

На Geth работает около 75 процентов всех нод ethereum. Эта уязвимость делает ноды работающие на предыдущей версии программы, уже кстати совместимой с Византией, более восприимчивым к DoS-атакам после хардфорка.

Уязвимость возникла из-за одной из новых функций Византии. Она позволяет злоумышленникам отключать ноды ethereum в автономном режиме - форма атаки, с которой сообщество ethereum уже сталкивалось в прошлом.

Geth не единственный клиент, в котором были обнаружены баги. Вчера команда Parity, второго по распространенности программного обеспечения для сети ethereum, выпустила новую версию своего программного обеспечения (четвертая итерация), в которой наконец была исправлена ошибка, которая могла привести к расколу сети после обновления Византия. В настоящее время менее 20 процентов нод Parity обновились до новой версии.

Уязвимости и баги, которые были обнаружены буквально накануне апдейта Византия, привели к появлению предложений о переносе даты обновления. Однако, как заметил один из разработчиков Parity, Афри Шоедон, гораздо легче исправить ошибку в одном ПО, чем обновить все остальные.

Афри также предложил в будущем не назначать жесткую дату апдейта, пока все клиенты не выпустят новые версии, которые будут должным образом протестированы.

[satvitek]

Уязвимости в платформе SmartVista приводят к утечке данных

Исследователи из компании Rapid7 сообщили о двух уязвимостях в единой платформе для электронного бизнеса и процессинга пластиковых карт SmartVista, которые могут привести к утечке данных. Речь идет о двух проблемах, позволяющих внедрить SQL-код в системе SmartVista Front-End версии 2.2.10 (сборка 287921). Атакующий с доступом к интерфейсу SmartVista Front-End может проэксплуатировать уязвимости и получить информацию, хранящуюся в базе данных на сервере.

Страница «Транзакции» (Transactions) в разделе «Обслуживание клиентов» (Customer Service) интерфейса SmartVista Front-End позволяет пользователям просматривать данные о транзакциях, связанных с определенными картами или счетами. Проблема заключается в том, что поля, где указываются номер карты и счета, не проводят должную очистку введенной пользователем информации, пояснили эксперты. Таким образом, злоумышленник с помощью специально сформированных запросов может заставить приложение отображать информацию из базы данных сервера, в том числе логины, пароли, номера платежных карт и другие сведения о транзакциях.

По словам экспертов, при попытке ввести двоичный поисковый термин, например, ‘ or ‘1’=’1 в поле «Номер счета» (Account Number), отображается вся информация о транзакциях.

Rapid7 проинформировала разработчика платформы «БПЦ Банковские технологии» об уязвимостях в мае нынешнего года, однако компания до сих пор не выпустила корректирующие патчи. Все попытки специалистов координационных центров CERT/CC и SwissCERT связаться с вендором также оказались безуспешными. В качестве метода предотвращения эксплуатации уязвимостей специалисты рекомендуют по возможности ограничить доступ к управлению интерфейсом SmartVista, проводить мониторинг успешных и безуспешных попыток авторизации, а также установить WAF (Web Aplication Firewall - межсетевой экран прикладного уровня).

SmartVista - интегрированная полнофункциональная система, предназначенная для решения всех задач, связанных с управлением сетями банкоматов, тарификацией и выставлением счетов, мобильными и бесконтактными платежами, взаиморасчетами, приемом платежей в торговых точках, эмиссией карт, эквайрингом, микрофинансированием и обработкой электронных платежей.

[satvitek]

Уязвимости WPA2 представляют угрозу для промышленных систем

В начале текущей недели стало известно об опасных уязвимостях в реализациях протокола WPA2, позволяющих обойти защиту и перехватить передаваемый Wi-Fi трафик. Как полагают исследователи «Лаборатории Касперского», атака, получившая название KRACK (Key Reinstallation Attack), может также представлять угрозу для систем промышленной автоматизации. К примеру, существует ряд ПЛК (программируемый логический контроллер), применяющих технологию Wi-Fi для беспроводной настройки и управления. Но в основном проблема безопасности WPA2 затрагивает сетевые устройства, смартфоны и планшеты, используемые инженерами и операторами для удаленного доступа к АСУ ТП.

Угроза MitM-атак уже давно является актуальной проблемой для промышленных сетей. В отличие от персональных операционных систем, производители которых уже устранили большинство уязвимостей в реализациях сетевых протоколов транспортного уровня, ПО промышленного оборудования до сих пор подвержено множеству позволяющих осуществить перехват и внедрение трафика проблем, таких как использование предсказуемых ISN для TCP пакетов, reusing the nonce и т.п. Обнаруженные уязвимости в реализациях протокола WPA2 предоставляют злоумышленникам еще одну возможность для атак «человек посередине» на промышленные сети, использующие Wi-Fi для управления промышленным оборудованием, отмечают эксперты.

Wi-Fi используется на промышленных объектах, в том числе на складах (включая порты и сортировочные терминалы), в логистике и при автоматизации производства (особенно в медицинской и пищевой промышленности), в том числе для сбора данных в рамках технического и коммерческого учета. Несанкционированный доступ к такого рода информации, полученный атакующими после расшифровки Wi-Fi трафика, может привести к серьезным последствиям, вплоть до временной остановки процесса транспортировки грузов и потери продукции.

По словам экспертов, проблему не решит даже полный запрет Wi-Fi на территории промышленных предприятий. Как показывают проверки информационной безопасности АСУ ТП, наличие неконтролируемых беспроводных сетей и прямого подключения беспроводных маршрутизаторов к сети управления входят в число типовых нарушений.

Ряд производителей уже выпустили патчи, устраняющие данные уязвимости. До выхода и установки исправлений безопасности при передаче данных по Wi-Fi специалисты рекомендуют использовать шифрование, не связанное с беспроводной передачей данных, например, SSL (SSH, VPN и пр.), которое обеспечит защиту информации даже в случае компрометации Wi-Fi.

[satvitek]

Баг в работе адаптивных иконок уводит Android-устройства в бесконечную перезагрузку

Разработчик приложения Swipe for Facebook, известный под псевдонимом Jcbsera, обнаружил баг в работе адаптивных иконок (Adaptive Icons), новой функции, представленной в Android Oreo (8.0).

Новая функция позволяет разработчикам и производителям изменять форму и размер иконок приложений в зависимости от конкретного устройства и лаунчера, на котором они отображаются. Это позволяет стилистически привести все иконки к некому «общему знаменателю», к примеру, в одном случае все иконки будут круглыми, а в другом случае они будут иметь форму квадрата со скругленными углами.

Стили адаптивных иконок хранятся в локальном файле XML, и именно с этим связан обнаруженный Jcbsera баг. Совершенно случайно разработчик заметил, что если присвоить одинаковые имена самому XML-файлу и изображению, использующемуся в иконке на переднем плане (к примеру, ic_launcher_main.png и ic_launcher_main.xml), это может привести к очень неприятным последствиям.

Jcbsera не заметил баг сразу, так как тестировал новую версию своего приложения в эмуляторе Android Studio, а там проблема никак себя не проявила. Но стоило ему отправить обновленную версию приложения в релиз, как страницу в Google Play наводнили негативные отзывы. Пользователи массово жаловались, что их устройства теперь беспрестанно «крашатся».

Оказалось, что одинаковые имена файлов приводят к созданию циклической ссылки, в результат чего SystemUI и лаунчер «падают» каждый раз после запуска устройства. Проблема затрагивает Pixel Launcher и другие лаунчеры с поддержкой адаптивных иконок. В результате пользователь даже не может удалить вызывающее сбой приложение, так как устройство просто продолжает циклично перезагружаться раз за разом.

Jcbsera подчеркивает, что для срабатывания бага даже не нужно запускать проблемное приложение, достаточно просто его установить. После этого единственным способом вернуть устройству работоспособность остается удаление приложения в режиме отладки, с помощью Android Debug Bridge. Но и здесь придется каким-то образом улучить момент между перезагрузками, а также понадобится активированный режим отладки через USB. К тому же Android в такой ситуации предложит пострадавшим произвести сброс к заводским настройкам, что повлечет за собой потерю множества данных.

Разработчик уже обновил Swipe for Facebook, избавившись от проблемы в своем коде, и сообщает, что патч для данной проблемы должен войти в состав Android Oreo 8.1. Но пока ошибка не будет устранена, и большинство пользователей не обновят свои устройства, проблема в работе адаптивных иконок имеет все шансы стать грозным оружием в руках пранкеров и вымогателей.

[satvitek]

В Tor нашли опасную уязвимость

В Италии специалисты, занимающиеся кибербезопасностью, нашли уязвимость в анонимной сети Tor, которая могла привести к деанонимизации пользователей сервиса. Об этом сообщает газета La Repubblica.

На уязвимость наткнулся сотрудник компании We Are Segment Филиппо Кавалларин (Filippo Cavallarin). Венецианский специалист по IT-безопасности обнаружил брешь в протоколах сети у пользователей операционных систем MacOS и Linux. Благодаря уязвимости можно было отследить владельцев сетевых узлов.

Сотрудники We Are Segment сообщили о находке разработчикам Tor. Их находка могла положить конец существованию сервиса, который разрабатывался с целью сохранять анонимность его пользователей благодаря шифрованию. Они решили придать историю огласке только после того, как брешь будет устранена. Разработчики после устранения проблемы поблагодарили «этичных хакеров».

В апреле сообщалось, что специалисты испанского университета Деусто обнаружили частое использование Tor данных из обычного интернета, что ставит под угрозу приватность пользователей. Было изучено около полутора миллионов страниц в даркнете. Обнаружилось, что 20 процентов из них используют информацию из обычного интернета: на сайты импортируются изображения и файлы JavaScript. По данным исследователей, Google в состоянии отследить трафик к 13 процентам изученных сайтов.

[satvitek]

Мобильные приложения, "слепленные умельцами", воруют ваши данные

Компания Appthority, занимающаяся вопросами безопасности мобильных устройств в корпоративной среде, заявила, что порядка 700 приложений в корпоративной мобильной среде, включая более 170, которые размещены в официальных магазинах приложений, могут быть подвержены риску шпионажа из-за уязвимости Eavesdropper. Об этом сообщает TechNewsWorld.

Компания рассказала, что уязвимые приложения для Android-устройств были загружены около 180 миллионов раз.

Согласно Appthority, Eavesdropper является результатом того, что разработчики “жестко” кодируют учетные данные в мобильных приложениях, которые используют Twilio Rest API или SDK. Это противоречит практике, которую Twilio рекомендует в своей собственной документации, и Twilio уже обратилась к сообществу разработчиков для работы по обеспечению безопасности учетных записей.

Appthority впервые обнаружила уязвимость еще в апреле.

Сообщается, что уязвимость предоставляет огромное количество конфиденциальных данных, включая записи звонков, минуты вызовов, сделанных на мобильных устройствах, и минуты звуковых записей звонков, а также содержание текстовых сообщений SMS и MMS.

Неверное кодирование

Уязвимость Eavesdropper не ограничивается приложениями, созданными с использованием Twilio Rest API или SDK.

«Основная проблема - это лень разработчика, и это не такое уж большое открытие», - сказал Стив Блум, главный аналитик Tellus Venture Associates.

«С приложениями, разрабатываемыми одним человеком или небольшой командой, нет обычных проверок контроля качества, - добавил Блум.

К сожалению, слишком часто вопросы безопасности рассматривается как "места возникновения затрат", а конфиденциальность рассматривается как генератор доходов для компании, которая разрабатывает приложение. Поэтому приложения часто не защищены, а конфиденциальности не существует - чтобы минимизировать затраты и максимизировать доход.

Единственный способ борьбы с этими нарушениями - фактически заплатить полную цену за использование приложений и отклонение приложений, поддерживающих рекламу.

Кроме того, уязвимость не устраняется после того, как затронутое приложение было удалено с устройства пользователя. Вместо этого данные приложения остаются открытыми.

Некоторые пользователи могут приобретать телефоны с предварительно загруженными приложениями, которые могут угрожать их личной информации.

«Twilio может заставить разработчиков обновить свой код приложения путем аннулирования всех учетных данных доступа к их уязвимым API-интерфейсам услуг», - отмечают в TechNewsWorld.

Похоже, что у пользователей мало вариантов, и для потребителей может быть трудно даже увидеть уязвимость приложений, затронутых Eavesdropper.

Отмечается, что это проблема возникла в немалой степени, потому что разработчики были неаккуратными. Кроме того, отчасти это потребительская проблема, ведь многие люди предпочитают простоту использования безопасности мобильных устройств.

«Потребители по-прежнему слишком небрежно относятся к своей конфиденциальности и предпочитают не платить», - отметили в Recon Analytics.

[satvitek]

Китай оттягивает раскрытие уязвимостей с целью их эксплуатации

Утечки эксплоитов ЦРУ и АНБ США являются свидетельством того, что американские власти не сообщают производителям об уязвимостях в их продуктах с целью в дальнейшем использовать их в атаках. Без сомнения, правительства других государств поступают точно так же, однако информация об этом широкой общественности не раскрывается.

В четверг, 16 ноября, компания Recorded Future опубликовала исследование, согласно которому Китай, если и не занимается сбором, то, по крайней мере, оттягивает раскрытие критических уязвимостей. В промежутке между обнаружением и сообщением о проблеме ее эксплуатируют APT-группы, предположительно связанные с китайским правительством.

Вышеупомянутое исследование является продолжением более раннего исследования, демонстрирующего, что национальная база уязвимостей КНР (находится в ведении Министерства госбезопасности Китая) пополняется гораздо быстрее, чем ее американский эквивалент. Тем не менее, в некоторых случаях уязвимости попадают в нее позже. Как раз эти случаи и заинтересовали специалистов Recorded Future, и в ходе своего исследования они пришли к неожиданным выводам.

В частности эксперты обратили внимание на три уязвимости, попавшие в китайскую базу позже, чем в американскую. Первая из них – CVE-2017-0199, использовавшаяся в атаках WannaCry и NotPetya. В американской базе она появилась 12 апреля 2017 года, а в китайской – на 50 дней позже (7 июня). По данным компании Proofpoint, в этот промежуток времени проблема эксплуатировалась китайской хакерской группой TA459 для атак на предприятия аэрокосмической промышленности России и Республики Беларусь. Министерство госбезопасности КНР могло намеренно отложить внесение уязвимости в национальную базу, чтобы использовать ее в своих операциях или дать возможность другим организациям эксплуатировать ее в интересах китайского правительства, считают в Recorded Future.

Еще две уязвимости – CVE-2016-10136 и CVE-2016-10138, затрагивающие ПО для Android-устройств, разработанное китайской компанией Shanghai Adups Technology. Как сообщили в ноябре прошлого года исследователи Kryptowire, уязвимости были равнозначны бэкдору, похищающему и передающему на сервер в Китае текстовые сообщения, списки контактов, журналы звонков, и другие данные с некоторых моделей Android-устройств. В американскую базу они были добавлены спустя два месяца после публичного раскрытия, а в китайскую – еще через восемь.

В общей сложности исследователи проанализировали 300 случаев несвоевременного добавления уязвимостей в китайскую национальную базу. По их словам, они зафиксировали целый ряд примеров, когда уязвимости добавлялись вразрез со стандартной статистикой, и в некоторых случаях к оттягиванию добавления уязвимостей имело отношение Министерство госбезопасности КНР.

[satvitek]

Эксплоит для атак на маршрутизаторы Huawei опубликован в открытом доступе

Данный эксплоит использовался вредоносным ПО Brickerbot и Satori.

На портале Pastebin опубликован эксплоит, использовавшийся вредоносным ПО Satori (вариант Mirai) для заражения маршрутизаторов Huawei Home Gateway. Об этом сообщил исследователь безопасности Анкит Анубхав (Ankit Anubhav) в своем блоге.

Эксплоит для уязвимости CVE- 2017-17215 использовался хакером под псевдонимом Nexus Zeta для распространения вредоносного ПО Satori, также известного как Okiku. По словам аналитика компании Check Point Майи Хоровитц (Maya Horowitz), теперь, когда эксплоит стал доступен публично, его начнут активно использовать злоумышленники. Можно предположить, что IoT-ботнеты, пытающиеся проэксплуатировать как можно больший набор уязвимостей, будут добавлять CVE-2017-17215 в свой арсенал, добавила она.

Уязвимость CVE-2017-17215 в модели маршрутизатора Huawei HG532 была обнаружена ранее в этом месяце. Проблема позволяла удаленному злоумышленнику отправлять вредоносные пакеты на порт 37215 для выполнения кода на уязвимых устройствах.

Как пояснили эксперты, причиной уязвимости была ошибка, связанная с SOAP - протоколом, используемым многими IoT-устройствами. Ранее уязвимости в SOAP и TR-064 широко эксплуатировались различными вариантами ботнета Mirai.
Злоумышленник может проэксплуатировать проблему путем отправки специально сформированных пакетов на порт 37215. Структура UPnP поддерживает функцию DeviceUpgrade, позволяющую выполнять обновление прошивки, пояснил специалист. Таким образом уязвимость позволяет удаленно выполнить произвольные команды, вставляя метасимволы оболочки в процесс DeviceUpgrade.

По словам Анубхава, данный эксплоит уже использовался вредоносным ПО Brickerbot и Satori. Теперь, когда этот код является общедоступным, он будет включен в множество различных вариантов вредоносного ПО. Из соображений безопасности исследователь не стал публиковать ссылку на эксплоит.

[satvitek]

Разработчики Linux и Windows исправляют серьезную уязвимость в процессорах

Уязвимость позволяет получить из памяти ядра конфиденциальные данные.

Разработчики Linux и Windows вынуждены срочно переписывать части ядер в связи с серьезной ошибкой в проектировании процессоров Intel, выпущенных за последнее десятилетие. Уязвимость также затрагивает ARM64.

Подробности об аппаратной проблеме не раскрываются до публикации исправлений, которых следует ожидать в середине текущего месяца с выходом плановых бюллетеней безопасности. Исследователь Brainsmoke уже представил PoC-эксплоит, способный читать закрытую память ядра при запуске непривилегированного процесса.

Уязвимость связана с тем, что при спекулятивном выполнении кода чипы производства Intel не проверяют безопасность инструкций, позволяющих читать сегменты памяти. Таким образом, любое приложение может получить доступ к памяти ядра и прочитать конфиденциальные данные (например, ключи шифрования и пароли). Особо опасна уязвимость для систем виртуализации, поскольку с ее помощью злоумышленник может получить доступ к памяти за пределами гостевой системы.

Разработчики предложили временное решение проблемы – полностью разделили память ядра и память пользовательского ПО. Тем не менее, из-за этого все время нужно менять указатели на память, поэтому производительность программ значительно уменьшается. Попытка обхода проблемы на компьютерах с процессорами Intel чревата уменьшением производительности ПО на 5-30% и даже на 63% при выполнении определенных задач. На машинах с более новыми процессорами падение производительности при применении исправления не так заметно благодаря PCID/ASID.

Согласно официальному пресс-релизу Intel, уязвимость затрагивает процессоры не только ее производства. Проблеме также подвержены чипы и устройства от других производителей.

[satvitek]

Уязвимость в Intel AMT ставит под угрозу миллионы корпоративных ноутбуков

Исследователи безопасности из компании F-Secure обнаружили уязвимость в Intel Active Management Technology (AMT), затрагивающую множество корпоративных ноутбуков по всему миру. Уязвимость позволяет локальному злоумышленнику установить бэкдор на устройство менее чем за 30 секунд.

Как пояснили исследователи, проблема позволяет злоумышленнику обойти процедуру ввода учетных данных, включая пароли BIOS, Bitlocker и кодов TPM, а затем получить удаленный доступ для последующей эксплуатации устройства.

По словам специалистов, проблема сравнительно проста в эксплуатации, однако обладает большим разрушительным потенциалом. На практике данная уязвимость может позволить атакующему получить полный контроль над корпоративным ноутбуком, несмотря на все меры по безопасности.

Проблема заключается в том, что установка пароля BIOS, которая, как правило, запрещает неавторизованному пользователю загружать устройство или вносить на нем какие-либо изменения, не предотвращает несанкционированный доступ к расширению AMT BIOS, позволяя злоумышленнику получить доступ к настройке AMT и сделать возможной удаленную эксплуатацию.

Для эксплуатации уязвимости атакующему нужно включить или перезагрузить целевой компьютер и нажать CTRL+P во время загрузки. После этого злоумышленник сможет войти в Intel Management Engine BIOS Extension (MEBx), используя пароль по умолчанию (Мой хозяюшка). Затем атакующий может изменить дефолтный пароль, включить удаленный доступ и отключить пользователям доступ к AMT.

Таким образом злоумышленник может получить удаленный доступ к системе как из беспроводной, так и проводной сетей. Доступ к устройству также возможен из-за пределов локальной сети с помощью сервера CIRA, управляемого злоумышленником.

Как пояснили эксперты, хотя атака требует физического доступа, скорость, с которой она может быть выполнена, делает ее легко доступной для эксплуатации.

Данная уязвимость затрагивает большинство ноутбуков, поддерживающих Intel Management Engine/Intel AMT.
javascript:void(null);
Intel AMT - решение для удаленного мониторинга и обслуживания персональных компьютеров корпоративного класса.

[satvitek]

Более 90% пользователей всех сервисов Google находятся в большой опасности

Американская корпорация Google за двадцать лет своего существования успела создать десятки различных сервисов, которыми пользуются миллиарды людей. Любой современный человек, который выходит в Интернет, хотя бы раз использовал один из ее фирменных продуктов. Это могли быть карты, музыка, почта, облачное хранилище, видеохостинг YouTube или что-либо еще. Для входа во все эти сервисы, чтобы их можно было полноценно использовать, необходимо авторизироваться с помощью единой учетной записи, которая практически наверняка есть у каждого пользователя глобальной сети.

Согласно официальным данным от Google, более 90% пользователей всех ее сервисов находятся в большой опасности. Она утверждает, что с каждым годом злоумышленники находят все более изощренные способы кражи ценной информации, а пользователи на это совсем никак не реагируют. По сути, если у человека украдут учетную запись Google, то он потеряет буквально все, вплоть до денег на своих банковских счетах, так как к аккаунте можно привязать сразу несколько банковских карт.

Эксперты по безопасности из Google сумели выяснить, что в зоне риска находятся 90% пользователей всех фирменных сервисов, в том числе Gmail и YouTube. Все такие пользователи не используют двухфакторную авторизацию, которая исключает возможность взлома учетной записи даже в том случае, если злоумышленник узнал ее логин и пароль. Она работает по очень простому принципу. Когда кто-то пытается войти в аккаунт с нового устройства, то после привычного пароля необходимо ввести одноразовый PIN-код, приходящий в виде SMS-сообщения.

Функция двухфакторной идентификации личности доступна пользователям всех сервисов Google еще с лета 2016 года, однако за полтора года пользоваться ей начало только 10% от всех пользователей, тогда как остальные предпочитают использовать связку из привычного логина и пароля. Если эти данные каким-то образом попадут к злоумышленникам, то они смогут украсть абсолютно всю информацию из аккаунта без каких-либо сложностей. Именно поэтому «поисковой гигант» просит всех людей, кому дорога собственная безопасность в сети, активировать новый способ защиты.

[satvitek]

«Баг хантеры» зарабатывают в разы больше по сравнению с программистами

Занимающиеся поиском уязвимостей топовые исследователи зарабатывают в среднем в 2,7 раза больше, чем рядовые программисты. Такие данные приводятся в 40-страничном отчете «2018 Hacker Report» компании HackerOne.

Свои выводы компания сделала на основе опроса, проведенного среди 1700 исследователей безопасности, зарегистрированных на платформе HackerOne. Разница в размерах зарплаты и вознаграждений за обнаруженные уязвимости отличаются в зависимости от страны. Тем не менее, как показывает исследование, поиск уязвимостей приобретает большую популярность в качестве постоянной профессии. Особенно это касается менее развитых стран, где bug bounty помогает талантливым программистам обрести финансовую независимость.

Лучше всего «баг хантеры» живут в Индии, где топовые исследователи безопасности могут зарабатывать в 16 раз больше по сравнению с рядовыми программистами. На втором месте находится Аргентина, где размер вознаграждений в рамках bug bounty превышает среднюю зарплату инженера в 15,6 раза. Далее следуют Египет (в 8,1 раза), Гонконг (в 7,6 раза), Филиппины (в 5,4 раза) и Латвия (в 5,2 раза).

Поиск уязвимостей приобретает популярность в качестве постоянной профессии также в развитых странах. Тем не менее, здесь разница в размерах вознаграждений и среднестатистических зарплат не столь ощутима. К примеру, в США топовые исследователи зарабатывают в 2,4 раза больше по сравнению с рядовыми программистами. В Канаде этот показатель составляет 2,5 раза, в Германии – 1,8 раза, а в Израиле – 1,6 раза.

Согласно отчету, 58% исследователей, участвующих в программе выплаты вознаграждений за поиск уязвимостей, являются самоучками. 37% «белых» хакеров занимаются тестированием безопасности в качестве хобби в свободное от основной работы время. Около 12% зарегистрированных на HackerOne исследователей за год зарабатывают на поиске уязвимостей $20 тыс. и больше. 3% удается заработать за год более $100 тыс., а 1,1% - более $350 тыс.

По словам 13,7% опрошенных, вознаграждение за выявленные уязвимости составляет 90-100% от их годового дохода.

Каждый четвертый хакер не сообщает производителю об уязвимостях в его продукте из-за отсутствия соответствующих каналов. Интересно, что финансовая выгода не является главной мотивацией исследователей (в списке мотиваций заработок занимает лишь 4-е место).

HackerOne – компания, занимающаяся раскрытием уязвимостей и одноименная bug bounty платформа, соединяющая бизнес и исследователей безопасности. HackerOne базируется в Сан-Франциско (Калифорния, США) и обслуживает такие компании, как Twitter, Slack, Adobe Systems, Yahoo!, LinkedIn, Airbnb и пр.