Re: Новости об уязвимостях га джетов
 

Microsoft не закроет найденную в браузере уязвимость

Специалисты по безопасности из компании Cisco обнаружили уязвимость, которая существует во всех популярных браузерах, включая Chrome, Safari и Edge. В отличие от Google и Apple, которые уже выпустили патчи, Microsoft не сделала этого. Там считают, что речь идёт не о баге, а об устройстве браузера.

Уязвимости CVE-2017-5033 и CVE-2017-2419 есть в старых версиях Chrome и Safari, поэтому нужно обновиться как минимум до версии Chrome 57.0.2987.98, Safari 10.1 и iOS 10.3. Баг был найден в версии Edge 40.15063, в более современных версиях он также есть.

Уязвимость безопасности связана с обработкой браузером about:blank, что делает возможным межсайтовый скриптинг, который даст доступ к пользовательской информации. Подобные уязвимости не столь опасны, как дистанционное выполнение кода (RCE), но без патча, если обойти политику сервера Content Security, конфиденциальные данные могут быть украдены.

Атаки XSS могут даже дать доступ к учётным записям пользователей. Content Security Policy разработана для их предотвращения и позволяет серверу создавать белый список ресурсов, которым можно доверять выполнение в браузере.

Пользователям рекомендуется всегда обновлять браузеры до последней версии.

Re: Новости об уязвимостях га джетов
 

Zerodium заплатит $1 млн за уязвимости нулевого дня в Tor

Занимающаяся покупкой уязвимостей компания Zerodium в очередной раз подняла свои ставки. Всего три недели назад вендор заявил , что заплатит $500 тыс. за уязвимости нулевого дня в защищенных мессенджерах наподобие Signal и WhatsApp. Теперь же компания предложила вдвое большую сумму за 0-day в браузере Tor.

Zerodium готова заплатить $1 млн за функциональные, ранее неизвестные эксплоиты для Tor под ОС Windows и TAILS. За комбинацию уязвимостей, позволяющих удаленно выполнить код и получить привилегии суперпользователя и на Windows, и на TAILS, исследователи могут быть вознаграждены в размере $250 тыс. За эту же комбинацию, работающую только на Windows или только на TAILS, компания заплатит $200 тыс. Меньшие суммы Zerodium предложила за отдельные уязвимости, позволяющие удаленно выполнить код, а также за уязвимости, эксплуатация которых возможна, только если разрешено использование JavaScript.

Эксплоиты, предполагающие какие-либо манипуляции с узлами Tor или способные нарушить работу сети, компанию не интересуют. Желающие продать уязвимость исследователи должны предоставить полностью рабочий, ранее нигде не публиковавшийся эксплоит и подробную инструкцию по его эксплуатации.

Как и в случае с защищенными мессенджерами, Zerodium отметила, что уязвимости нулевого дня в Tor ей нужны для оказания помощи правоохранительным органам в поимке опасных преступников.

TAILS – дистрибутив Linux на основе Debian, созданный для обеспечения приватности и анонимности. Все исходящие соединения заворачиваются в анонимную сеть Tor, а все неанонимные блокируются. Система предназначена для загрузки с LiveCD или LiveUSB и не оставляет следов на машине, где использовалась.

Re: Новости об уязвимостях га джетов
 

В iTerm2 исправлена опасная уязвимость

В популярном Mac-приложении iTerm2, использующемся в качестве альтернативы официальному Apple Terminal, исправлена опасная уязвимость, позволяющая похищать содержимое терминала с помощью DNS-запросов.

Версия 3.1.1 отключает функцию, впервые появившуюся в iTerm 3.0.0 и включенную по умолчанию – «Выполнить поиск DNS для проверки подлинности URL?». Когда пользователь проводит мышью поверх контента в терминале и вдруг останавливается над каким-нибудь словом, iTerm2 пытается определить, является ли оно действительным URL-адресом, и выделяет слово как кликабельную ссылку. Во избежание появления нерабочих ссылок, путем отправки DNS-запросов iTerm2 определяет, существует ли такой домен в действительности.

Данная функция представляет большую угрозу безопасности, поскольку мышь зачастую останавливается возле паролей, имен пользователей, ключей API и других конфиденциальных данных. DNS-запросы осуществляются в незашифрованном виде, поэтому злоумышленники могут без труда их перехватить и похитить передаваемую информацию.

Проблема была обнаружена 10 месяцев назад. Тогда производитель добавил в версию 3.0.13 опцию, позволяющую отключать уязвимую функцию. Тем не менее, во всех последующих релизах она по-прежнему была активирована по умолчанию. На этой неделе нидерландский инженер Петер ван Дейк (Peter van Dijk) предоставил более подробный отчет об уязвимости, отметив, что в первоначальном сообщении утечка конфиденциальных данных не упоминалась. Специалист по обслуживанию iTerm2 Джордж Начман (George Nachman) незамедлительно выпустил исправляющее проблему обновление 3.1.1 и извинился за недостаточно внимательное изучение уязвимости после получения первого отчета.

Re: Новости об уязвимостях га джетов
 

Уязвимости в Cisco SMI по-прежнему открывают доступ к сетевым коммутаторам

Уязвимости в протоколе Cisco Smart Install (SMI) по-прежнему позволяют злоумышленникам удаленно подключиться к сетевым коммутаторам, похитить конфиденциальные данные и получить полный контроль над целевым устройством. С момента выхода в 2010 году в протоколе было найдено множество опасных уязвимостей и, несмотря на выпускаемые Cisco патчи, количество уязвимых устройств практически не изменилось, показало исследование компании по безопасности Rapid7.

Протокол SMI предназначен для настройки и управления коммутаторами Cisco и использует комбинацию DHCP, TFTP и протокола TCP. С момента выхода было обнаружено несколько уязвимостей в SMI, включая CVE-2011-3271, позволявшую удаленно выполнить код, а также CVE-2012-0385, CVE-2013-1146, CVE-2016-1349 и CVE-2016-6385, предоставлявшие возможность провести DDoS-атаку.

В 2016 году исследователи обнаружили ряд новых проблем безопасности в SMI. Эксперты из Tenable, Trustwave SpiderLabs и Digital Security в рамках конференции по безопасности Zeronights обнародовали информацию о ряде уязвимостей в SMI, позволявших скомпрометировать устройство.

Уязвимости в SMI могут позволить злоумышленнику получить полный контроль над целевым коммутатором, отметил старший исследователь безопасности Rapid7 Джон Харт (Jon Hart). Злоумышленники также могут получить доступ к конфиденциальным данным, таким как имена пользователей, пароли, хэши, настройки межсетевого экрана и пр. Более того, уязвимости в SMI могут позволить злоумышленнику скомпрометировать целевое устройство и загрузить произвольный код, после чего изменять, перенаправлять или перехватывать трафик. По утверждению Cisco, данные проблемы являются не уязвимостями, а скорее, «неправильным использованием протокола». Тем не менее, компания все равно порекомендовала клиентам по возможности отключать SMI.

Наибольшее количество уязвимых устройств зафиксировано в США (26,3%), России (7%) и Японии (6,9%).

Re: Новости об уязвимостях га джетов
 

Уязвимость в Joomla позволяет похитить учетные данные

Исследователи компании RIPS Technologies обнаружили серьезную уязвимость (CVE-2017-14596) в системе управления контентом Joomla. Проблема возникает при использовании протокола LDAP для аутентификации и затрагивает версии от 1.5 до 3.7.5. LDAP реализован в Joomla через «родной» плагин аутентификации, активировать которой можно в менеджере плагинов.

Анализ страницы авторизации Joomla при включенном плагине LDAP показал недостаточный уровень проверки вводимых данных. В результате, злоумышленник может символ за символом у***ать учетные данные.

«Путем эксплуатации уязвимости в странице авторизации удаленный неавторизованный атакующий может успешно получить все учетные данные сервера LDAP, используемого в установках Joomla. Сюда входят имя пользователя и пароль суперпользователя, администратора Joomla», – пояснили исследователи.

По словам экспертов, злоумышленник может использовать похищенные данные для авторизации в панели управления и получить контроль над установкой Joomla (а также потенциально над web-сервером), загрузив кастомизированные расширения Joomla для удаленного выполнения кода.

Исследователи опубликовали PoC-код для эксплуатации уязвимости, демонстрирующее атаку видео и техническую информацию о проблеме. По словам экспертов, для эксплуатации уязвимости также необходимо осуществить обход фильтра, однако подробности о том, как это сделать, не раскрываются.

Производитель узнал о проблеме 27 июля текущего года, но выпустил обновление Joomla 3.8 только на этой неделе. По классификации RIPS Technologies уязвимость является критической, однако производитель характеризует ее как средней опасности.

LDAP (Lightweight Directory Access Protocol) – протокол прикладного уровня для доступа к службе каталогов X.500. Протокол был разработан Инженерным советом интернета (IETF) как облегченный вариант протокола DAP. LDAP является относительно простым протоколом, использующим TCP/IP и позволяющим осуществлять аутентификацию (bind), поиск (search) и сравнение (compare), а также операции добавления, изменения или удаления записей.

Re: Новости об уязвимостях га джетов
 

Siemens устранила опасную уязвимость в своих промышленных коммутаторах

Компания Siemens выпустила патчи, исправляющие уязвимость (CVE-2017-12736), которая позволяла удаленно взломать ряд моделей промышленных коммутаторов производителя. Проблема затрагивает промышленные коммутаторы SCALANCE X, Ruggedcom и serial-to-Ethernet устройства, работающие под управлением ОС Rugged Operating System (ROS).

Уязвимость содержится в протоколе Ruggedcom Discovery Protocol (RCDP), позволяющем Ruggedcom Explorer (инструмент для облегчения настройки и обслуживания устройств на базе ROS) находить и конфигурировать устройства под управлением ROS.

Согласно сообщению производителя, из-за некорректной конфигурации протокола RCDP в введенных в эксплуатацию устройствах, неавторизованный атакующий с доступом к сети может удаленно осуществлять действия с правами администратора.

Siemens выпустила обновления ROS 5.0.1 и ROS 4.3.4, исправляющие уязвимость в устройствах серии Ruggedcom RSL910 и другом оборудовании, работающем на базе ROS.

Корректирующие обновления для коммутаторов SCALANCE XB-200, XC-200, XP-200, XR300-WG, XR-500 и XM-400 в настоящее время недоступны. Для предотвращения эксплуатации уязвимости пользователям рекомендуется вручную отключить протокол RCDP.

Коммутаторы Ruggedcom применяются для связи между устройствами, работающими в тяжелых условиях эксплуатации, например, на электроподстанциях, в интеллектуальных системах управления дорожным движением и на железнодорожном транспорте и т.п.

Коммутаторы серии SCALANCE X используются для обеспечения связи между различными компонентами промышленной системы, например, программируемыми логическими контроллерами (ПЛК) или человеко-машинными интерфейсами (ЧМИ).

Re: Новости об уязвимостях га джетов
 

Netgear исправила более 50 уязвимостей в различных устройствах

Компания Netgear выпустила патчи, исправляющие более 50 уязвимостей, затрагивающих маршрутизаторы, сетевые коммутаторы, сетевые хранилища (NAS) и точки беспроводного доступа производителя.

Опубликованные предупреждения описывают уязвимости в различных устройствах ReadyNAS (модели R7800, R9000), маршрутизаторах (WNR2000v5) и других продуктах компании. Ошибки, в числе прочего, позволяли удаленно выполнить код, внедрить комманду, обойти аутентификацию, вызвать переполнение буфера, получить учетные данные администратора. Некоторые уязвимости были связаны с некорректной конфигурацией настроек безопасности или позволяли осуществить XSS-атаку. С полным списком уязвимостей и затронутых устройств можно ознакомиться на сайте компании.

Наибольшее число исправленных уязвимостей содержались в сетевых коммутаторах. В их числе уязвимости, позволявшие повысить привилегии, провести XSS-атаку, вызвать отказ в обслуживании, уязвимости типа directory traversal (обход каталога), а также проблемы, связанные с некорректной конфигурацией настроек.

Уязвимости были обнаружены как сотрудниками Netgear, так и сторонними исследователями безопасности в рамках программы вознаграждений за найденые уязвимости. Программа, запущенная в январе 2017, года предлагает максимальное вознаграждение в размере $15 тыс. За время ее существования исследователи обнаружили более 270 уязвимостей.

Netgear - американская компания, разрабатывающая сетевые продукты для малых и средних предприятий и домашних пользователей

Re: Новости об уязвимостях га джетов
 

Представлен бесплатный сервис для проверки безопасности мобильных приложений

Компания High-Tech Bridge представила бесплатный online-сервис Mobile X-Ray для проверки безопасности и конфиденциальности мобильных приложений. Сервис оперативно определяет широкий спектр распространенных ошибок и уязвимостей, в том числе включенных в рейтинг OWASP Mobile Top Ten, а также предоставляет отчет о выявленных проблемах с рекомендациями по их устранению.

В начале октября нынешнего года эксперты выявили сомнительную функцию в мобильном приложении Uber, которая незаметно делала снимки экранов смартфонов пользователей. Ранее бюро кредитных историй Equifax было вынуждено удалить свое мобильное приложение из интернет-каталогов в связи с риском утечки данных. С помощью сервиса Mobile X-Ray любой пользователь может выявить подобные проблемы в используемых приложениях.

Согласно статистическим данным, полученным с помощью платформы для тестирования приложений ImmuniWeb, 88% API и web-сервисов, используемых в мобильных приложениях, подвержены уязвимостям, позволяющим получить доступ к важным или конфиденциальным данным. При этом 69% API и web-сервисов не обладают адекватными механизмами защиты от распространенных web-атак.

Отмечается, что 97% приложений для Android содержат по меньшей мере одну уязвимость из рейтинга OWASP Mobile Top Ten, свыше 78% программ подвержены по крайней мере одной уязвимости с высокой степенью опасности и двум со средним уровнем риска. При этом в 69% приложений отсутствует шифрование или реализованы ненадежные алгоритмы шифрования. По данным компании, каждое второе Android-приложение содержит вшитые ключи шифрования, учетные данные или другую важную информацию. Наконец, менее 5% приложений используют антиотладочные механизмы для предотвращения реверс-инжиниринга.

В случае с iOS-приложениями ситуация не менее критичная. Как выяснилось, хотя бы одну уязвимость из Топ-10 OWASP содержат 85% приложений. Свыше 69% программ содержат одну опасную уязвимость и две средней степени опасности. В более 50% проанализированных приложений отсутствует шифрование либо используется ненадежное шифрование при оправке или получении важных данных. Так же, как и в случае с Android-приложениями, каждая вторая программа для iOS содержит вшитые ключи шифрования, учетные данные либо другую информацию. Антиотладочные механизмы используют менее 9% приложений.

Re: Новости об уязвимостях га джетов
 

В самом популярном клиенте для сети Ethereum обнаружен баг

В самом популярном клиенте для сети Ethereum - Geth была обнаружена уязвимость, которая открывает возможности для DoS (denial-of-service) атак.
Разработчики уже выпустили новую версию программы. И все это произошло накануне одного из самых больших обновлений в сети под названием Византия.

Команда разработчиков Geth уже устранила эту уязвимость и опубликовала новую версию программного обеспечения, однако данные с сайта Ether Nodes говорят о том, что всего 1,9 процента нод Geth обновились до последней версии ПО.

На Geth работает около 75 процентов всех нод ethereum. Эта уязвимость делает ноды работающие на предыдущей версии программы, уже кстати совместимой с Византией, более восприимчивым к DoS-атакам после хардфорка.

Уязвимость возникла из-за одной из новых функций Византии. Она позволяет злоумышленникам отключать ноды ethereum в автономном режиме - форма атаки, с которой сообщество ethereum уже сталкивалось в прошлом.

Geth не единственный клиент, в котором были обнаружены баги. Вчера команда Parity, второго по распространенности программного обеспечения для сети ethereum, выпустила новую версию своего программного обеспечения (четвертая итерация), в которой наконец была исправлена ошибка, которая могла привести к расколу сети после обновления Византия. В настоящее время менее 20 процентов нод Parity обновились до новой версии.

Уязвимости и баги, которые были обнаружены буквально накануне апдейта Византия, привели к появлению предложений о переносе даты обновления. Однако, как заметил один из разработчиков Parity, Афри Шоедон, гораздо легче исправить ошибку в одном ПО, чем обновить все остальные.

Афри также предложил в будущем не назначать жесткую дату апдейта, пока все клиенты не выпустят новые версии, которые будут должным образом протестированы.

Re: Новости об уязвимостях га джетов
 

Уязвимости в платформе SmartVista приводят к утечке данных

Исследователи из компании Rapid7 сообщили о двух уязвимостях в единой платформе для электронного бизнеса и процессинга пластиковых карт SmartVista, которые могут привести к утечке данных. Речь идет о двух проблемах, позволяющих внедрить SQL-код в системе SmartVista Front-End версии 2.2.10 (сборка 287921). Атакующий с доступом к интерфейсу SmartVista Front-End может проэксплуатировать уязвимости и получить информацию, хранящуюся в базе данных на сервере.

Страница «Транзакции» (Transactions) в разделе «Обслуживание клиентов» (Customer Service) интерфейса SmartVista Front-End позволяет пользователям просматривать данные о транзакциях, связанных с определенными картами или счетами. Проблема заключается в том, что поля, где указываются номер карты и счета, не проводят должную очистку введенной пользователем информации, пояснили эксперты. Таким образом, злоумышленник с помощью специально сформированных запросов может заставить приложение отображать информацию из базы данных сервера, в том числе логины, пароли, номера платежных карт и другие сведения о транзакциях.

По словам экспертов, при попытке ввести двоичный поисковый термин, например, ‘ or ‘1’=’1 в поле «Номер счета» (Account Number), отображается вся информация о транзакциях.

Rapid7 проинформировала разработчика платформы «БПЦ Банковские технологии» об уязвимостях в мае нынешнего года, однако компания до сих пор не выпустила корректирующие патчи. Все попытки специалистов координационных центров CERT/CC и SwissCERT связаться с вендором также оказались безуспешными. В качестве метода предотвращения эксплуатации уязвимостей специалисты рекомендуют по возможности ограничить доступ к управлению интерфейсом SmartVista, проводить мониторинг успешных и безуспешных попыток авторизации, а также установить WAF (Web Aplication Firewall - межсетевой экран прикладного уровня).

SmartVista - интегрированная полнофункциональная система, предназначенная для решения всех задач, связанных с управлением сетями банкоматов, тарификацией и выставлением счетов, мобильными и бесконтактными платежами, взаиморасчетами, приемом платежей в торговых точках, эмиссией карт, эквайрингом, микрофинансированием и обработкой электронных платежей.

Re: Новости об уязвимостях га джетов
 

Уязвимости WPA2 представляют угрозу для промышленных систем

В начале текущей недели стало известно об опасных уязвимостях в реализациях протокола WPA2, позволяющих обойти защиту и перехватить передаваемый Wi-Fi трафик. Как полагают исследователи «Лаборатории Касперского», атака, получившая название KRACK (Key Reinstallation Attack), может также представлять угрозу для систем промышленной автоматизации. К примеру, существует ряд ПЛК (программируемый логический контроллер), применяющих технологию Wi-Fi для беспроводной настройки и управления. Но в основном проблема безопасности WPA2 затрагивает сетевые устройства, смартфоны и планшеты, используемые инженерами и операторами для удаленного доступа к АСУ ТП.

Угроза MitM-атак уже давно является актуальной проблемой для промышленных сетей. В отличие от персональных операционных систем, производители которых уже устранили большинство уязвимостей в реализациях сетевых протоколов транспортного уровня, ПО промышленного оборудования до сих пор подвержено множеству позволяющих осуществить перехват и внедрение трафика проблем, таких как использование предсказуемых ISN для TCP пакетов, reusing the nonce и т.п. Обнаруженные уязвимости в реализациях протокола WPA2 предоставляют злоумышленникам еще одну возможность для атак «человек посередине» на промышленные сети, использующие Wi-Fi для управления промышленным оборудованием, отмечают эксперты.

Wi-Fi используется на промышленных объектах, в том числе на складах (включая порты и сортировочные терминалы), в логистике и при автоматизации производства (особенно в медицинской и пищевой промышленности), в том числе для сбора данных в рамках технического и коммерческого учета. Несанкционированный доступ к такого рода информации, полученный атакующими после расшифровки Wi-Fi трафика, может привести к серьезным последствиям, вплоть до временной остановки процесса транспортировки грузов и потери продукции.

По словам экспертов, проблему не решит даже полный запрет Wi-Fi на территории промышленных предприятий. Как показывают проверки информационной безопасности АСУ ТП, наличие неконтролируемых беспроводных сетей и прямого подключения беспроводных маршрутизаторов к сети управления входят в число типовых нарушений.

Ряд производителей уже выпустили патчи, устраняющие данные уязвимости. До выхода и установки исправлений безопасности при передаче данных по Wi-Fi специалисты рекомендуют использовать шифрование, не связанное с беспроводной передачей данных, например, SSL (SSH, VPN и пр.), которое обеспечит защиту информации даже в случае компрометации Wi-Fi.

Re: Новости об уязвимостях га джетов
 

Баг в работе адаптивных иконок уводит Android-устройства в бесконечную перезагрузку

Разработчик приложения Swipe for Facebook, известный под псевдонимом Jcbsera, обнаружил баг в работе адаптивных иконок (Adaptive Icons), новой функции, представленной в Android Oreo (8.0).

Новая функция позволяет разработчикам и производителям изменять форму и размер иконок приложений в зависимости от конкретного устройства и лаунчера, на котором они отображаются. Это позволяет стилистически привести все иконки к некому «общему знаменателю», к примеру, в одном случае все иконки будут круглыми, а в другом случае они будут иметь форму квадрата со скругленными углами.

Стили адаптивных иконок хранятся в локальном файле XML, и именно с этим связан обнаруженный Jcbsera баг. Совершенно случайно разработчик заметил, что если присвоить одинаковые имена самому XML-файлу и изображению, использующемуся в иконке на переднем плане (к примеру, ic_launcher_main.png и ic_launcher_main.xml), это может привести к очень неприятным последствиям.

Jcbsera не заметил баг сразу, так как тестировал новую версию своего приложения в эмуляторе Android Studio, а там проблема никак себя не проявила. Но стоило ему отправить обновленную версию приложения в релиз, как страницу в Google Play наводнили негативные отзывы. Пользователи массово жаловались, что их устройства теперь беспрестанно «крашатся».

Оказалось, что одинаковые имена файлов приводят к созданию циклической ссылки, в результат чего SystemUI и лаунчер «падают» каждый раз после запуска устройства. Проблема затрагивает Pixel Launcher и другие лаунчеры с поддержкой адаптивных иконок. В результате пользователь даже не может удалить вызывающее сбой приложение, так как устройство просто продолжает циклично перезагружаться раз за разом.

Jcbsera подчеркивает, что для срабатывания бага даже не нужно запускать проблемное приложение, достаточно просто его установить. После этого единственным способом вернуть устройству работоспособность остается удаление приложения в режиме отладки, с помощью Android Debug Bridge. Но и здесь придется каким-то образом улучить момент между перезагрузками, а также понадобится активированный режим отладки через USB. К тому же Android в такой ситуации предложит пострадавшим произвести сброс к заводским настройкам, что повлечет за собой потерю множества данных.

Разработчик уже обновил Swipe for Facebook, избавившись от проблемы в своем коде, и сообщает, что патч для данной проблемы должен войти в состав Android Oreo 8.1. Но пока ошибка не будет устранена, и большинство пользователей не обновят свои устройства, проблема в работе адаптивных иконок имеет все шансы стать грозным оружием в руках пранкеров и вымогателей.

Re: Новости об уязвимостях га джетов
 

В Tor нашли опасную уязвимость

В Италии специалисты, занимающиеся кибербезопасностью, нашли уязвимость в анонимной сети Tor, которая могла привести к деанонимизации пользователей сервиса. Об этом сообщает газета La Repubblica.

На уязвимость наткнулся сотрудник компании We Are Segment Филиппо Кавалларин (Filippo Cavallarin). Венецианский специалист по IT-безопасности обнаружил брешь в протоколах сети у пользователей операционных систем MacOS и Linux. Благодаря уязвимости можно было отследить владельцев сетевых узлов.

Сотрудники We Are Segment сообщили о находке разработчикам Tor. Их находка могла положить конец существованию сервиса, который разрабатывался с целью сохранять анонимность его пользователей благодаря шифрованию. Они решили придать историю огласке только после того, как брешь будет устранена. Разработчики после устранения проблемы поблагодарили «этичных хакеров».

В апреле сообщалось, что специалисты испанского университета Деусто обнаружили частое использование Tor данных из обычного интернета, что ставит под угрозу приватность пользователей. Было изучено около полутора миллионов страниц в даркнете. Обнаружилось, что 20 процентов из них используют информацию из обычного интернета: на сайты импортируются изображения и файлы JavaScript. По данным исследователей, Google в состоянии отследить трафик к 13 процентам изученных сайтов.

Re: Новости об уязвимостях га джетов
 

Мобильные приложения, "слепленные умельцами", воруют ваши данные

Компания Appthority, занимающаяся вопросами безопасности мобильных устройств в корпоративной среде, заявила, что порядка 700 приложений в корпоративной мобильной среде, включая более 170, которые размещены в официальных магазинах приложений, могут быть подвержены риску шпионажа из-за уязвимости Eavesdropper. Об этом сообщает TechNewsWorld.

Компания рассказала, что уязвимые приложения для Android-устройств были загружены около 180 миллионов раз.

Согласно Appthority, Eavesdropper является результатом того, что разработчики “жестко” кодируют учетные данные в мобильных приложениях, которые используют Twilio Rest API или SDK. Это противоречит практике, которую Twilio рекомендует в своей собственной документации, и Twilio уже обратилась к сообществу разработчиков для работы по обеспечению безопасности учетных записей.

Appthority впервые обнаружила уязвимость еще в апреле.

Сообщается, что уязвимость предоставляет огромное количество конфиденциальных данных, включая записи звонков, минуты вызовов, сделанных на мобильных устройствах, и минуты звуковых записей звонков, а также содержание текстовых сообщений SMS и MMS.

Неверное кодирование

Уязвимость Eavesdropper не ограничивается приложениями, созданными с использованием Twilio Rest API или SDK.

«Основная проблема - это лень разработчика, и это не такое уж большое открытие», - сказал Стив Блум, главный аналитик Tellus Venture Associates.

«С приложениями, разрабатываемыми одним человеком или небольшой командой, нет обычных проверок контроля качества, - добавил Блум.

К сожалению, слишком часто вопросы безопасности рассматривается как "места возникновения затрат", а конфиденциальность рассматривается как генератор доходов для компании, которая разрабатывает приложение. Поэтому приложения часто не защищены, а конфиденциальности не существует - чтобы минимизировать затраты и максимизировать доход.

Единственный способ борьбы с этими нарушениями - фактически заплатить полную цену за использование приложений и отклонение приложений, поддерживающих рекламу.

Кроме того, уязвимость не устраняется после того, как затронутое приложение было удалено с устройства пользователя. Вместо этого данные приложения остаются открытыми.

Некоторые пользователи могут приобретать телефоны с предварительно загруженными приложениями, которые могут угрожать их личной информации.

«Twilio может заставить разработчиков обновить свой код приложения путем аннулирования всех учетных данных доступа к их уязвимым API-интерфейсам услуг», - отмечают в TechNewsWorld.

Похоже, что у пользователей мало вариантов, и для потребителей может быть трудно даже увидеть уязвимость приложений, затронутых Eavesdropper.

Отмечается, что это проблема возникла в немалой степени, потому что разработчики были неаккуратными. Кроме того, отчасти это потребительская проблема, ведь многие люди предпочитают простоту использования безопасности мобильных устройств.

«Потребители по-прежнему слишком небрежно относятся к своей конфиденциальности и предпочитают не платить», - отметили в Recon Analytics.

Re: Новости об уязвимостях га джетов
 

Китай оттягивает раскрытие уязвимостей с целью их эксплуатации

Утечки эксплоитов ЦРУ и АНБ США являются свидетельством того, что американские власти не сообщают производителям об уязвимостях в их продуктах с целью в дальнейшем использовать их в атаках. Без сомнения, правительства других государств поступают точно так же, однако информация об этом широкой общественности не раскрывается.

В четверг, 16 ноября, компания Recorded Future опубликовала исследование, согласно которому Китай, если и не занимается сбором, то, по крайней мере, оттягивает раскрытие критических уязвимостей. В промежутке между обнаружением и сообщением о проблеме ее эксплуатируют APT-группы, предположительно связанные с китайским правительством.

Вышеупомянутое исследование является продолжением более раннего исследования, демонстрирующего, что национальная база уязвимостей КНР (находится в ведении Министерства госбезопасности Китая) пополняется гораздо быстрее, чем ее американский эквивалент. Тем не менее, в некоторых случаях уязвимости попадают в нее позже. Как раз эти случаи и заинтересовали специалистов Recorded Future, и в ходе своего исследования они пришли к неожиданным выводам.

В частности эксперты обратили внимание на три уязвимости, попавшие в китайскую базу позже, чем в американскую. Первая из них – CVE-2017-0199, использовавшаяся в атаках WannaCry и NotPetya. В американской базе она появилась 12 апреля 2017 года, а в китайской – на 50 дней позже (7 июня). По данным компании Proofpoint, в этот промежуток времени проблема эксплуатировалась китайской хакерской группой TA459 для атак на предприятия аэрокосмической промышленности России и Республики Беларусь. Министерство госбезопасности КНР могло намеренно отложить внесение уязвимости в национальную базу, чтобы использовать ее в своих операциях или дать возможность другим организациям эксплуатировать ее в интересах китайского правительства, считают в Recorded Future.

Еще две уязвимости – CVE-2016-10136 и CVE-2016-10138, затрагивающие ПО для Android-устройств, разработанное китайской компанией Shanghai Adups Technology. Как сообщили в ноябре прошлого года исследователи Kryptowire, уязвимости были равнозначны бэкдору, похищающему и передающему на сервер в Китае текстовые сообщения, списки контактов, журналы звонков, и другие данные с некоторых моделей Android-устройств. В американскую базу они были добавлены спустя два месяца после публичного раскрытия, а в китайскую – еще через восемь.

В общей сложности исследователи проанализировали 300 случаев несвоевременного добавления уязвимостей в китайскую национальную базу. По их словам, они зафиксировали целый ряд примеров, когда уязвимости добавлялись вразрез со стандартной статистикой, и в некоторых случаях к оттягиванию добавления уязвимостей имело отношение Министерство госбезопасности КНР.

Re: Новости об уязвимостях га джетов
 

Эксплоит для атак на маршрутизаторы Huawei опубликован в открытом доступе

Данный эксплоит использовался вредоносным ПО Brickerbot и Satori.

На портале Pastebin опубликован эксплоит, использовавшийся вредоносным ПО Satori (вариант Mirai) для заражения маршрутизаторов Huawei Home Gateway. Об этом сообщил исследователь безопасности Анкит Анубхав (Ankit Anubhav) в своем блоге.

Эксплоит для уязвимости CVE- 2017-17215 использовался хакером под псевдонимом Nexus Zeta для распространения вредоносного ПО Satori, также известного как Okiku. По словам аналитика компании Check Point Майи Хоровитц (Maya Horowitz), теперь, когда эксплоит стал доступен публично, его начнут активно использовать злоумышленники. Можно предположить, что IoT-ботнеты, пытающиеся проэксплуатировать как можно больший набор уязвимостей, будут добавлять CVE-2017-17215 в свой арсенал, добавила она.

Уязвимость CVE-2017-17215 в модели маршрутизатора Huawei HG532 была обнаружена ранее в этом месяце. Проблема позволяла удаленному злоумышленнику отправлять вредоносные пакеты на порт 37215 для выполнения кода на уязвимых устройствах.

Как пояснили эксперты, причиной уязвимости была ошибка, связанная с SOAP - протоколом, используемым многими IoT-устройствами. Ранее уязвимости в SOAP и TR-064 широко эксплуатировались различными вариантами ботнета Mirai.
Злоумышленник может проэксплуатировать проблему путем отправки специально сформированных пакетов на порт 37215. Структура UPnP поддерживает функцию DeviceUpgrade, позволяющую выполнять обновление прошивки, пояснил специалист. Таким образом уязвимость позволяет удаленно выполнить произвольные команды, вставляя метасимволы оболочки в процесс DeviceUpgrade.

По словам Анубхава, данный эксплоит уже использовался вредоносным ПО Brickerbot и Satori. Теперь, когда этот код является общедоступным, он будет включен в множество различных вариантов вредоносного ПО. Из соображений безопасности исследователь не стал публиковать ссылку на эксплоит.

Re: Новости об уязвимостях га джетов
 

Разработчики Linux и Windows исправляют серьезную уязвимость в процессорах

Уязвимость позволяет получить из памяти ядра конфиденциальные данные.

Разработчики Linux и Windows вынуждены срочно переписывать части ядер в связи с серьезной ошибкой в проектировании процессоров Intel, выпущенных за последнее десятилетие. Уязвимость также затрагивает ARM64.

Подробности об аппаратной проблеме не раскрываются до публикации исправлений, которых следует ожидать в середине текущего месяца с выходом плановых бюллетеней безопасности. Исследователь Brainsmoke уже представил PoC-эксплоит, способный читать закрытую память ядра при запуске непривилегированного процесса.

Уязвимость связана с тем, что при спекулятивном выполнении кода чипы производства Intel не проверяют безопасность инструкций, позволяющих читать сегменты памяти. Таким образом, любое приложение может получить доступ к памяти ядра и прочитать конфиденциальные данные (например, ключи шифрования и пароли). Особо опасна уязвимость для систем виртуализации, поскольку с ее помощью злоумышленник может получить доступ к памяти за пределами гостевой системы.

Разработчики предложили временное решение проблемы – полностью разделили память ядра и память пользовательского ПО. Тем не менее, из-за этого все время нужно менять указатели на память, поэтому производительность программ значительно уменьшается. Попытка обхода проблемы на компьютерах с процессорами Intel чревата уменьшением производительности ПО на 5-30% и даже на 63% при выполнении определенных задач. На машинах с более новыми процессорами падение производительности при применении исправления не так заметно благодаря PCID/ASID.

Согласно официальному пресс-релизу Intel, уязвимость затрагивает процессоры не только ее производства. Проблеме также подвержены чипы и устройства от других производителей.

Re: Новости об уязвимостях га джетов
 

Уязвимость в Intel AMT ставит под угрозу миллионы корпоративных ноутбуков

Исследователи безопасности из компании F-Secure обнаружили уязвимость в Intel Active Management Technology (AMT), затрагивающую множество корпоративных ноутбуков по всему миру. Уязвимость позволяет локальному злоумышленнику установить бэкдор на устройство менее чем за 30 секунд.

Как пояснили исследователи, проблема позволяет злоумышленнику обойти процедуру ввода учетных данных, включая пароли BIOS, Bitlocker и кодов TPM, а затем получить удаленный доступ для последующей эксплуатации устройства.

По словам специалистов, проблема сравнительно проста в эксплуатации, однако обладает большим разрушительным потенциалом. На практике данная уязвимость может позволить атакующему получить полный контроль над корпоративным ноутбуком, несмотря на все меры по безопасности.

Проблема заключается в том, что установка пароля BIOS, которая, как правило, запрещает неавторизованному пользователю загружать устройство или вносить на нем какие-либо изменения, не предотвращает несанкционированный доступ к расширению AMT BIOS, позволяя злоумышленнику получить доступ к настройке AMT и сделать возможной удаленную эксплуатацию.

Для эксплуатации уязвимости атакующему нужно включить или перезагрузить целевой компьютер и нажать CTRL+P во время загрузки. После этого злоумышленник сможет войти в Intel Management Engine BIOS Extension (MEBx), используя пароль по умолчанию (admin). Затем атакующий может изменить дефолтный пароль, включить удаленный доступ и отключить пользователям доступ к AMT.

Таким образом злоумышленник может получить удаленный доступ к системе как из беспроводной, так и проводной сетей. Доступ к устройству также возможен из-за пределов локальной сети с помощью сервера CIRA, управляемого злоумышленником.

Как пояснили эксперты, хотя атака требует физического доступа, скорость, с которой она может быть выполнена, делает ее легко доступной для эксплуатации.

Данная уязвимость затрагивает большинство ноутбуков, поддерживающих Intel Management Engine/Intel AMT.
javascript:void(null);
Intel AMT - решение для удаленного мониторинга и обслуживания персональных компьютеров корпоративного класса.

Re: Новости об уязвимостях га джетов
 

Более 90% пользователей всех сервисов Google находятся в большой опасности

Американская корпорация Google за двадцать лет своего существования успела создать десятки различных сервисов, которыми пользуются миллиарды людей. Любой современный человек, который выходит в Интернет, хотя бы раз использовал один из ее фирменных продуктов. Это могли быть карты, музыка, почта, облачное хранилище, видеохостинг YouTube или что-либо еще. Для входа во все эти сервисы, чтобы их можно было полноценно использовать, необходимо авторизироваться с помощью единой учетной записи, которая практически наверняка есть у каждого пользователя глобальной сети.

Согласно официальным данным от Google, более 90% пользователей всех ее сервисов находятся в большой опасности. Она утверждает, что с каждым годом злоумышленники находят все более изощренные способы кражи ценной информации, а пользователи на это совсем никак не реагируют. По сути, если у человека украдут учетную запись Google, то он потеряет буквально все, вплоть до денег на своих банковских счетах, так как к аккаунте можно привязать сразу несколько банковских карт.

Эксперты по безопасности из Google сумели выяснить, что в зоне риска находятся 90% пользователей всех фирменных сервисов, в том числе Gmail и YouTube. Все такие пользователи не используют двухфакторную авторизацию, которая исключает возможность взлома учетной записи даже в том случае, если злоумышленник узнал ее логин и пароль. Она работает по очень простому принципу. Когда кто-то пытается войти в аккаунт с нового устройства, то после привычного пароля необходимо ввести одноразовый PIN-код, приходящий в виде SMS-сообщения.

Функция двухфакторной идентификации личности доступна пользователям всех сервисов Google еще с лета 2016 года, однако за полтора года пользоваться ей начало только 10% от всех пользователей, тогда как остальные предпочитают использовать связку из привычного логина и пароля. Если эти данные каким-то образом попадут к злоумышленникам, то они смогут украсть абсолютно всю информацию из аккаунта без каких-либо сложностей. Именно поэтому «поисковой гигант» просит всех людей, кому дорога собственная безопасность в сети, активировать новый способ защиты.

Re: Новости об уязвимостях га джетов
 

«Баг хантеры» зарабатывают в разы больше по сравнению с программистами

Занимающиеся поиском уязвимостей топовые исследователи зарабатывают в среднем в 2,7 раза больше, чем рядовые программисты. Такие данные приводятся в 40-страничном отчете «2018 Hacker Report» компании HackerOne.

Свои выводы компания сделала на основе опроса, проведенного среди 1700 исследователей безопасности, зарегистрированных на платформе HackerOne. Разница в размерах зарплаты и вознаграждений за обнаруженные уязвимости отличаются в зависимости от страны. Тем не менее, как показывает исследование, поиск уязвимостей приобретает большую популярность в качестве постоянной профессии. Особенно это касается менее развитых стран, где bug bounty помогает талантливым программистам обрести финансовую независимость.

Лучше всего «баг хантеры» живут в Индии, где топовые исследователи безопасности могут зарабатывать в 16 раз больше по сравнению с рядовыми программистами. На втором месте находится Аргентина, где размер вознаграждений в рамках bug bounty превышает среднюю зарплату инженера в 15,6 раза. Далее следуют Египет (в 8,1 раза), Гонконг (в 7,6 раза), Филиппины (в 5,4 раза) и Латвия (в 5,2 раза).

Поиск уязвимостей приобретает популярность в качестве постоянной профессии также в развитых странах. Тем не менее, здесь разница в размерах вознаграждений и среднестатистических зарплат не столь ощутима. К примеру, в США топовые исследователи зарабатывают в 2,4 раза больше по сравнению с рядовыми программистами. В Канаде этот показатель составляет 2,5 раза, в Германии – 1,8 раза, а в Израиле – 1,6 раза.

Согласно отчету, 58% исследователей, участвующих в программе выплаты вознаграждений за поиск уязвимостей, являются самоучками. 37% «белых» хакеров занимаются тестированием безопасности в качестве хобби в свободное от основной работы время. Около 12% зарегистрированных на HackerOne исследователей за год зарабатывают на поиске уязвимостей $20 тыс. и больше. 3% удается заработать за год более $100 тыс., а 1,1% - более $350 тыс.

По словам 13,7% опрошенных, вознаграждение за выявленные уязвимости составляет 90-100% от их годового дохода.

Каждый четвертый хакер не сообщает производителю об уязвимостях в его продукте из-за отсутствия соответствующих каналов. Интересно, что финансовая выгода не является главной мотивацией исследователей (в списке мотиваций заработок занимает лишь 4-е место).

HackerOne – компания, занимающаяся раскрытием уязвимостей и одноименная bug bounty платформа, соединяющая бизнес и исследователей безопасности. HackerOne базируется в Сан-Франциско (Калифорния, США) и обслуживает такие компании, как Twitter, Slack, Adobe Systems, Yahoo!, LinkedIn, Airbnb и пр.

Re: Новости об уязвимостях га джетов
 

Представлен инструмент для автоматического поиска и взлома уязвимых IoT-устройств

AutoSploit представляет собой пакет, включающий несколько инструментов, в частности Shodan и Metasploit.

Взломать систему не всегда так сложно, как кажется. Некоторые непрофессиональные хакеры используют различные программы для взлома чужих учетных записей с помощью баз утекших логинов и паролей, или ПО, разработанное для оптимизации процессов. Теперь список пополнился еще одним инструментом – AutoSploit, предназначенным для автоматического поиска и удаленного взлома уязвимых IoT-устройств в Сети.

Если кратко, AutoSploit представляет собой пакет, включающий несколько инструментов, в частности Shodan и фреймворк Metasploit (законченная среда для написания, тестирования и использования кода эксплойтов).

«По сути, вы запускаете инструмент, вводите поисковый запрос, например, "apache". Затем инструмент использует API Shodan для поиска компьютеров, описываемых как "apache" в Shodan. После этого загружается список модулей Metasploit и сортируется в зависимости от поискового запроса. Когда нужные модули будут подобраны, они последовательно запустятся в соответствии со списком объектов атаки», - пояснил разработчик AutoSploit, использующий псевдоним Vector.

Публикация AutoSploit вызвала ряд критических замечаний со стороны экспертов в области безопасности. К примеру, исследователь Ричард Бейтлик (Richard Bejtlich) считает , что не стоит публиковать инструмент массовой эксплуатации на доступных ресурсах, где его легко могут найти скрипт-кидди.

В свою очередь Vector заявил, что подобная критика может быть отнесена к любому, кто выпускает свободные инструменты, которые могут применяться для атак.

«Лично я считаю, что информация должна быть открытой, я поклонник опенсорса, так почему нет?», - заявил он.

Shodan - поисковая система, которую можно использовать для нахождения подключенных к интернету устройств и точной информации о различных web-сайтах. При помощи Shodan можно узнать, какую операционную систему использует то или иное устройство, или найти местные FTP с открытым анонимным доступом.

Re: Новости об уязвимостях га джетов
 

Обнаружено 139 вредоносов, эксплуатирующих уязвимости Meltdown и Spectre

Большинство вредоносов являются расширенными версиями PoC-эксплоитов для различных платформ.

Исследователи безопасности из лаборатории AV-Test выявили более 130 образцов вредоносного ПО, эксплуатирующего опасные уязвимости Spectre и Meltdown.

Обнаруженные в начале января 2018 года уязвимости Meltdown и Spectre позволяют злоумышленникам обойти механизмы изоляции памяти в большинстве современных процессоров и получить доступ к паролям, фотографиям, документам, электронной почте и другим конфиденциальным данным.

17 января исследователи сообщили об обнаружении 77 образцов вредоносных программ, эксплуатирующих данные уязвимости. К 23 января их число увеличилось до 119. По состоянию на 31 января исследователи получили 139 образцов из различных источников, в том числе от исследователей, тестировщиков и антивирусных компаний.

«Судя по всему, большинство из них являются перекомпилированными/расширенными версиями PoC-эксплоитов для различных платформ, таких как Windows, Linux и MacOS […] Мы также обнаружили первые JavaScript PoC-эксплоиты для web-браузеров, таких как Internet Explorer, Chrome и Firefox», - рассказал порталу SecurityWeek генеральный директор AV-TEST Андреас Маркс (Andreas Marx).

Как полагает эксперт, обнаруженные образцы вредоносного ПО все еще находятся на стадии разработки и злоумышленники, скорее всего, ищут способы извлечения информации с компьютеров, в частности web-браузеров.

Re: Новости об уязвимостях га джетов
 

Уязвимость в Oracle Micros угрожает безопасности корпоративных данных

Уязвимость позволяет неавторизованному злоумышленнику получить доступ к базе данных PoS-сервера.

Исследователь безопасности из компании ERPScan Дмитрий Частухин обнаружил в программном обеспечении для PoS-терминалов Oracle Micros опасную уязвимость, позволяющую неавторизованному злоумышленнику получить доступ к базе данных PoS-сервера.

По словам исследователя, атакующий с доступом к уязвимым кассовым терминалам, например, сотрудник магазина, может прочитать локальные файлы, найти в них имена пользователей и пароли и с их помощью получить полный доступ к базе данных.

Если злоумышленнику неизвестно, может ли устройство быть атаковано, он может просканировать сеть. Задача облегчается, если устройства подключены к одной локальной сети магазина.

По словам представителей Oracle, уязвимость была исправлена ранее в этом месяце. После этого исследователи из ERPScan опубликовали PoC-эксплоит для данной проблемы.

Re: Новости об уязвимостях га джетов
 

В Flash Player обнаружена уязвимость нулевого дня

Компьютерная группа реагирования на чрезвычайные инциденты (CERT) Южной Кореи сообщила о новой уязвимости нулевого дня в Adobe Flash Player, уже эксплуатируемой хакерами в реальных атаках. Проблема (CVE-2018-4878) затрагивает текущую версию продукта 28.0.0.137 и более ранние.

По словам экспертов, с целью проэксплуатировать уязвимость злоумышленники могут заставить жертву открыть документ Microsoft Office, web-страницу или фишинговое письмо, содержащие файл Flash SWF с вредоносным кодом. Как отметил исследователь компании Hauri Саймон Чой (Simon Choi), уязвимость эксплуатируется с середины ноября 2017 года. Ее используют северокорейские хакеры для атак на южнокорейских специалистов, занимающихся вопросом КНДР.

Производителю известно о проблеме, и патч для уязвимости будет выпущен 5 февраля. Как пояснил производитель, начиная с версии 27, администраторы могут настраивать Flash Player таким образом, чтобы перед воспроизведением SWF-контента пользователи Internet Explorer на Windows 7 и более ранних версиях ОС получали соответствующие уведомления.

SWF (ранее Shockwave Flash, теперь Small Web Format) –проприетарный формат для флеш-анимации, векторной графики, в интернете.

Re: Новости об уязвимостях га джетов
 

Уязвимости в секс-игрушках позволяют хакерам перехватывать контроль над ними
image

В игрушке «panty buster» от Vibratissimo обнаружены серьезные проблемы с безопасностью.

Популярные «умные» секс-игрушки уязвимы к кибератакам и представляют угрозу безопасности конфиденциальных данных. Об этом говорится в новом отчете экспертов немецкой компании SEC Consult.

Согласно отчету, в небольшой игрушке «panty buster» от Vibratissimo, подключаемой к мобильному устройству по Bluetooth, есть ряд уязвимостей. Одна из этих уязвимостей позволяет посторонним удаленно перехватывать управление вибратором через интернет. Проблема связана с функцией «quick control», позволяющей пользователю отправлять своему партнеру в текстовом сообщении или по электронной почте ссылку для управления игрушкой. По словам исследователей, злоумышленники могут перехватить ссылку и получить контроль над вибратором.

Исследователи обнаружили еще одну уязвимость, позволяющую находящемуся неподалеку злоумышленнику установить неавторизованное Bluetooth-подключение и перехватить управление устройством. Кроме того, сопутствующее приложение не запрашивает подтверждения получения контроля третьими сторонами, а облачный сервер, где хранятся персональные данные пользователей, является незащищенным. Имена пользователей, пароли, истории чатов и даже галереи интимных фото, созданные самыми пользователями, хранятся в полностью открытой базе данных. Злоумышленники также могут получить доступ к реальным именам и домашним адресам пользователей.

Исследователи уведомили производителя о существующих проблемах с безопасностью еще в ноябре прошлого года, однако они до сих пор остаются неисправленными. Число пользователей, чьи данные присутствуют в базе данных, неизвестно. Тем не менее, по словам исследователей, оно выражается шестизначным числом. Согласно данным Google Play Store, сопутствующее приложение было загружено от 50 тыс. до 100 тыс. раз.

Re: Новости об уязвимостях га джетов
 

Критическая уязвимость в web-сервере CODESYS ставит под угрозу более 100 АСУ ТП

Уязвимость позволяет злоумышленнику добиться отказа в обслуживании и выполнить произвольный код на web-сервере.

В компоненте, используемом более чем в 100 автоматизированных системах управления технологическими процессами (АСУ ТП) от различных производителей обнаружена критическая уязвимость, позволяющая удаленному злоумышленнику выполнить произвольный код.

Уязвимость CVE-2018-5440 затрагивает web-сервер продукта 3S-Smart Software Solutions CODESYS WebVisu, который позволяет отображать пользовательский интерфейс программируемых логических контроллеров (ПЛК) в web-браузере.

Согласно информации на web-сайте 3S-Smart Software Solutions, продукт WebVisu используется в 116 моделях ПЛК и ЧМИ (человеко-машинный интерфейс) от порядка 50 производителей, включая Schneider Electric, WAGO, Hitachi, Advantech, Beck IPC, Berghof Automation, Hans Turck и NEXCOM.

Проблема представляет собой уязвимость переполнения буфера, позволяющая злоумышленнику добиться отказа в обслуживании (DoS) и выполнить произвольный код на web-сервере.

Уязвимость затрагивает web-серверы CODESYS v2.3, работающие под управлением любой версии ОС Windows (включая Windows Embedded Compact). Проблема исправлена с выходом версии 1.1.9.19.

По словам представителей 3S-Smart Software Solutions, в настоящее время нет свидетельств того, что данная уязвимость была проэксплуатирована хакерами. Производитель отметил, что для ее эксплуатации не требуется иметь какие-либо специальные навыки.

По данным поисковика Shodan, в настоящее время в Сети насчитывается более 5600 систем, доступных через порт 2455. Большинство из них находится в США, Германии, Турции, Китае и Франции.

CODESYS — инструментальный программный комплекс промышленной автоматизации. Производится и распространяется компанией 3S-Smart Software Solutions GmbH.

Re: Новости об уязвимостях га джетов
 

Уязвимость в WordPress позволяет любому отключить атакуемые сайты

В WordPress обнаружена простая, но серьезная уязвимость на уровне приложения, позволяющая вызвать отказ в обслуживании и отключить множество сайтов. Как правило, для осуществления подобной DDoS-атаки на уровне сети нужны большие объемы трафика, однако недавно обнаруженная уязвимость позволяет добиться желаемого эффекта с помощью всего лишь одного компьютера.

Производитель отказывается выпускать исправление, поэтому уязвимость (CVE-2018-6389) присутствует практически во всех версиях WordPress, выпущенных за последние девять лет, в том числе в последнем стабильном релизе 4.9.2. Проблема была обнаружена израильским исследователем безопасности Бараком Тауили (Barak Tawily) и связана с тем, как встроенный в систему скрипт load-scripts.php обрабатывает определяемые пользователем запросы.

С помощью файла load-scripts.php администраторы могут улучшать производительность сайтов и повышать скорость загрузки страниц путем объединения (на стороне сервера) нескольких JavaScript-файлов в один запрос. Однако для включения load-scripts.php на странице администратора (wp-login.php) авторизация не требуется, то есть, функция доступна каждому.

В зависимости от установленных плагинов и модулей файл load-scripts.php выборочно вызывает необходимые файлы JavaScript, передавая их имена в параметр «load» через запятую, например: https://your-wordpress-site.com/wp-a...,media-gallery.

При загрузке сайта load-scripts.php (упомянутый в начале страницы) пытается найти имя каждого файла JavaScript, указанного в URL-адресе, добавить их содержимое в один файл и отправить обратно браузеру пользователя.

По словам Тауили, злоумышленник может заставить load-scripts.php вызвать все возможные файлы JavaScript (то есть, 181 скрипт), передав их имена в URL-адресе. Таким образом атакующий сможет существенно замедлить работу сайта. Тем не менее, одного запроса недостаточно для того, чтобы полностью «положить» сайт. Поэтому Тауили использовал PoC-скрипт doser.py, отправляющий большое количество одновременных запросов на один и тот же URL-адрес, пытаясь использовать как можно больше ресурсов процессоров серверов и тем самым снизить их производительность.

Re: Новости об уязвимостях га джетов
 

Стали известны новые подробности об уязвимости нулевого дня в Flash Player

Исследователи кибербезопасности из компаний FireEye и Cisco Talos проанализировали атаки, в которых эксплуатировалась недавно выявленная уязвимость нулевого дня в Adobe Flash Player и связали их с группой, известной своими атаками на цели в Южной Корее.

Ранее компьютерная группа реагирования на чрезвычайные инциденты (CERT) Южной Кореи сообщила о новой уязвимости нулевого дня в Adobe Flash Player, эксплуатируемой хакерами в реальных атаках. Проблема (CVE-2018-4878) позволяет удаленному злоумышленнику выполнить произвольный код и затрагивает текущую версию продукта 28.0.0.137 и более ранние. По словам исследователей безопасности, уязвимость эксплуатируется по меньшей мере с середины ноября 2017 года. Adobe подтвердила наличие проблемы и заявила о выходе патча в ближайшее время.

Исследователи из FireEye провели расследование, в ходе которого им удалось связать атаки с хакерской группировкой, которую они назвали TEMP.Reaper. Считается, что данная группировка действует из Северной Кореи, поскольку IP-адреса, с которых они связывались с C&C-серверами, принадлежат интернет-провайдеру Star JV - совместному предприятию Северной Кореи и Таиланда.

«Большая часть атак была сосредоточена на южнокорейской правительственной, военной и оборонной промышленной базе, однако в прошлом году они расширили географию своих атак и начали атаковать цели в других странах. Они проявили интерес к вопросам, имеющим большое значение для Корейской Народно-Демократической Республики (КНДР), таким как попытки объединения Кореи и прием северокорейских перебежчиков», - отметили исследователи.

Как выяснили эксперты, хакеры эксплуатировали уязвимость в Flash Player с помощью вредоносных документов Microsoft Office, содержащих специально сформированный SWF-файл. В случае успешной эксплуатации уязвимое устройство заражается вредоносным ПО DOGCALL (по класификации FireEye).

Специалисты Cisco Talos также сообщили об атаках с использованием данного вредоносного ПО, которое они назвали Rokrat . Исследователи связали атаки с той же хакерской группировкой, которая фигурирует в отчетах Cisco Talos под названием Group 123. В прошлом месяце специалисты из Talos подробно описали несколько кампаний, проведенных данной группировкой против южнокорейских чиновников и правозащитных организаций.

Re: Новости об уязвимостях га джетов
 

В ноутбуках Lenovo ThinkPad исправлены опасные уязвимости

Компания Lenovo выпустила исправление для двух уязвимостей, затрагивающих по меньшей мере 25 моделей ноутбуков серии Lenovo ThinkPad.

Уязвимости CVE-2017-11120 и CVE-2017-11121 присутствуют в драйвере Broadcom BCM4356 Wireless LAN Driver для Windows 10, используемом в устройствах ThinkPad. Обе проблемы оцениваются как критические (10 баллов по шкале CVSS).

Уязвимость CVE-2017-11120 представляет собой проблему повреждения памяти, которая может быть проэксплуатирована злоумышленниками для выполнения произвольного кода и создания бэкдора на целевом устройстве. Проблема была обнаружена исследователями безопасности из компании Google в июне 2017 года, а информация о ней обнародована в сентябре.

Вторая уязвимость (CVE-2017-11121), также обнаруженная экспертами из Google, является проблемой переполнения буфера, вызванной некорректной проверкой сигналов Wi-Fi.

"Специально сформированные запросы могут потенциально вызвать переполнение кучи и/или стека во встроенном программном обеспечении Wi-Fi, что может привести к отказу в обслуживании или другим последствиям", - следует из описания уязвимости.

Проблемы затрагивают устройства моделей ThinkPad 10, ThinkPad L460, ThinkPad P50s, ThinkPad T460, ThinkPad T460p, ThinkPad T460s, ThinkPad T560, ThinkPad X260 and ThinkPad Yoga 260 и пр.

Re: Новости об уязвимостях га джетов
 

В промышленном оборудовании Siemens обнаружены опасные уязвимости

В оборудовании для автоматизированных систем управления технологическими процессами SIMATIC, SIMOTION, и SINUMERIK от компании Siemens обнаружены опасные уязвимости, позволяющие добиться повышения привилегий, выполнить произвольный код и получить доступ к данным на уязвимой системе.

В общей сложности было выявлено 8 уязвимостей. Из них наибольшую опасность представляет критическая уязвимость CVE-2017-5712, позволяющая удаленному злоумышленнику выполнить произвольный код. Уязвимости CVE-2017-5705, CVE-2017-5706 и CVE-2017-5707, CVE-2017-5711 также могут быть проэксплуатированы для выполнения произвольного кода, однако в данном случае для этого требуется локальный доступ.

Уязвимости CVE-2017-5708, CVE-2017-5709 и CVE-2017-5710 позволяют атакующему повысить привилегии на системе и получить доступ к данным.

Проблемы затрагивают следующие устройства:

SIMATIC Field-PG M3: ME до версии V6.2.61.3535,
SIMATIC Field-PG M4: BIOS до версии V18.01.06,
SIMATIC Field-PG M5: BIOS до версии V22.01.04,
SIMATIC HMI IPC677C: ME до версии V6.2.61.3535,
SIMATIC IPC427D: BIOS до версии V17.0?.10,
SIMATIC IPC427E: BIOS до версии V21.01.07,
SIMATIC IPC477D: BIOS до версии V17.0?.10,
SIMATIC IPC477D PRO: BIOS до версии V17.0?.10,
SIMATIC IPC477E: BIOS до версии V21.01.07,
SIMATIC IPC547D: ME до версии V7.1.91.3272,
SIMATIC IPC547E: ME до версии V9.1.41.3024,
SIMATIC IPC547G: ME до версии V11.8.50.3425 and BIOS < R1.21.0,
SIMATIC IPC627C: ME до версии V6.2.61.3535,
SIMATIC IPC627D: ME до версии V9.1.41.3024,
SIMATIC IPC647C: ME до версии V6.2.61.3535,
SIMATIC IPC647D: ME до версии V9.1.41.3024,
SIMATIC IPC677D: ME до версии V9.1.41.3024,
SIMATIC IPC827C: ME до версии V6.2.61.3535,
SIMATIC IPC827D: ME до версии V9.1.41.3024,
SIMATIC IPC847C: ME до версии V6.2.61.3535,
SIMATIC IPC847D: ME до версии V9.1.41.3024,
SIMATIC ITP1000: BIOS до версии V23.01.03,
SINUMERIK PCU50.5-C, WIN7: ME до версии V6.2.61.3535,
SINUMERIK PCU50.5-C, WINXP: ME до версии V6.2.61.3535,
SINUMERIK PCU50.5-P, WIN7: ME до версии V6.2.61.3535,
SINUMERIK PCU50.5-P, WINXP: ME до версии V6.2.61.3535,
SIMOTION P320-4S: BIOS < S17.02.06.83.1

В качестве общей меры безопасности Siemens настоятельно рекомендует защищать сетевой доступ к уязвимым устройствам с использованием соответствующих механизмов. Для запуска устройств в защищенной IT-среде компания рекомендует пользователям настраивать среду в соответствии с «Эксплуатационными инструкциями Siemens по промышленной безопасности» и следовать рекомендациям в руководствах к продуктам.

Re: Новости об уязвимостях га джетов
 

Линус Торвальдс раскритиковал экспертов, раскрывших уязвимости в чипах AMD

В среду, 14 марта, мы писали о подобных Spectre и Meltdown уязвимостях в процессорах AMD Ryzen и EPYC, выявленных специалистами израильского стартапа CTS Labs. Что интересно, исследователи предоставили производителю всего 24 часа на ознакомление с отчетом, подтверждение проблемы и подготовку патчей, после чего обнародовали информацию. Впрочем, CTS Labs не раскрыла никаких технических подробностей об уязвимостях. Тем не менее, данное решение вызвало возмущение со стороны сообщества экспертов по кибербезопасности, заподозривших, что с помощью «выдуманных» уязвимостей компания просто пытается стимулировать снижение стоимости акций AMD и приобрести их по более выгодной цене.

Создатель ядра Linux Линус Торвальдс также призвал критичнее относиться к подобным отчетам. «Когда вы в последний раз видели предупреждение, которое, по сути ''если вы замените микрокод BIOS или CPU злой версией, то получите проблему безопасности''? Вот именно», - написал Торвальдс в соцсети Google+.

Ряд экспертов в области безопасности, с которыми CTS Labs поделилась информацией, подтвердили, что уязвимости действительно существуют. «Несмотря на шумиху, вызванную публикацией, уязвимости реальны, точно описаны в их [CTS Labs] отчете, и эксплоит работает», - написал специалист компании Trail of Bits Дэн Гуидо (Dan Guido). - «Да, все уязвимости требуют прав администратора, но это именно уязвимости, а не ожидаемая функциональность».

Торвальдс не отрицает наличия проблем, но считает, что общественность должна относиться к подобным отчетам с долей скепсиса. По его мнению, многие эксперты стараются всеми силами привлечь внимание даже к самой незначительной уязвимости. «Сейчас запоминающееся название и web-сайт стали практически требованием для громкого раскрытия. Исследователям нужно понимать, что из-за этого они выглядят, как клоуны. Всей индустрии нужно признать, что творится много всякой х**и, и они должны использовать – и поощрять – критическое мышление», - заявил Торвальдс.

В свою очередь, главный технический директор CTS Labs Илья Люк-Зильберман (Ilia Luk-Zilberman) в открытом письме пояснил позицию компании. По его словам, текущая модель «ответственного раскрытия» информации об уязвимостях обладает серьезной проблемой. Если исследователь находит уязвимость, данная модель предполагает, что эксперт и вендор работают в тандеме для выпуска патчей в ограниченное время (30/45/90 дней), и по истечении этого срока исследователь публикует данные об уязвимости.

«Главная проблема, по моему мнению, заключается в том, что в этот период вендор самостоятельно решает, информировать своих клиентов о наличии проблемы или нет. Насколько я знаю, производители довольно редко уведомляют клиентов ранее срока […]. Как правило, это всегда происходит уже после – "У нас были проблемы, вот патч, не нужно беспокоиться". Вторая проблема - если вендор вовремя не предоставляет исправление, что тогда? Исследователь публикует информацию? С техническими подробностями и эксплоитами? Поставив под угрозу пользователей? […] Мне кажется, лучшим методом будет сразу уведомлять общественность о существовании уязвимостей и их влиянии. Проинформировать одновременно и пользователей, и производителя, и не раскрывать никакие подробности, если проблема уже не исправлена. [Нужно] с самого начала подвергнуть производителя общественному давлению, но никогда не ставить под угрозу пользователей», - написал Люк-Зильберман.

Re: Новости об уязвимостях га джетов
 

Уязвимость в Telegram позволяет получить доступ к приватным чатам

Исследователь обнаружил в Telegram и Telegraph несколько серьезных уязвимостей.

Исследователь безопасности, известный на «Хабрахабр» как w9w, обнаружил в мессенджере Telegram ряд серьезных уязвимостей. По словам исследователя, защищенный мессенджер не такой защищенный, как принято считать. Так, мошенники могут использовать ссылки t.me для заманивания пользователей на фишинговые сайты, конфиденциальность приватных чатов оставляет желать лучшего, а публикации в сервисе Telegraph могут редактировать посторонние.

Как отметил исследователь, «на t.me присутствуют явные проблемы с запретом индексации конфиденциального контента». Коды Telegram-ботов появляются в результатах поиска поисковых систем из-за отсутствия в robots соответствующих запретов. Злоумышленник может воспользоваться этим для получения данных пользователей. Помимо электронных адресов, являющихся публичной информацией, таким образом хакер способен также получить доступ в приватные чаты и каналы.

Вторая обнаруженная исследователем уязвимость – Open Redirect. «Уязвимость позволяет сделать прямой редирект из t.me на любой фишинговый сайт, скачивание трояна, вредоносный js (например, js майнер или использование последнего 0-day в процессорах intel) и др.», - пишет исследователь. С ее помощью злоумышленник может отредактировать чужую статью в Telegraph, имея в своем распоряжении лишь номер страницы page_id.

Третьей уязвимостью оказалась межсайтовая подделка запросов (CSRF). Токен находится в исходнике статьи, например, статье telegra.ph/Durov-01-22 принадлежит id 7f0d501375c9e2acbd1ef.

Исследователь сообщил разработчикам Telegram о своих находках в рамках программы выплаты вознаграждения за обнаруженные уязвимости. За первую из них он получил €50, за Open Redirect – €100, а за CSRF в Telegraph – €1400.

Re: Новости об уязвимостях га джетов
 

Со всех государственных сайтов США требуют удалить Flash

По словам сенатора Рона Уайдена, он не хочет повторения «ситуации с Windows XP», поэтому призывает удалить весь Flash с сайтов госорганов за год до окончания официальной поддержки этой технологии.

http://internetua.com/uploads/blogs/...j_47187e96.png
Долой Flash

Сенатор от штата Орегон Рон Уайден (Ron Wyden) выпустил открытое письмо, в котором призвал государственные учреждения США скорейшим образом отказаться от использования Adobe Flash на их сайтах.

Компания Adobe объявила, что свернет техническую поддержку Flash к концу 2020 г. Уайден призвал устранить все Flash-элементы на государственных сайтах к 1 августа 2019 г., чтобы избежать повторения ситуации с Windows XP.

Напомним, Microsoft официально прекратила поддержку своей операционной системы 2001 г. в 2014 г. после долгих проволочек. Windows XP оказалась настолько популярна и настолько глубоко интегрированна в крупных корпорациях и правительственных сайтах США, что некоторые из них до сих пор продолжают использовать ее, выплачивая Microsoft крупные суммы за сохранение технической поддержки.

«Федеральному правительству слишком часто не удавалось в надлежащий срок избавиться от устаревшего программного обеспечения», - указывает Уайден в своем письме, отмечая заодно, что у Flash имеются «серьезные, в основном не поддающиеся исправлениям проблемы с кибербезопасностью». По мнению сенатора, именно эти проблемы являются причиной, по которой правительственные учреждения должны полностью отказаться от Flash еще до официального окончания его поддержки разработчиком.

Устаревшая и небезопасная технология

Уайден предлагает запустить пилотную программу, в рамках которой до 1 марта 2019 г. произошла бы частичная замена решений на базе Flash на более безопасные аналоги, а к 1 августа 2019 г. он был бы удален со всех правительственных компьютеров.

Письмо сенатора было направлено руководителям Национального института стандартов и технологий США, Агентства национальной безопасности и Министерству внутренней безопасности США.

«Мнение сенатора относительно Flash обосновано: эта технология действительно устарела, а ее уровень защищенности оказался недостаточно высоким, - в течение нескольких лет Flash являлся одним из главных источников киберугроз, - полагает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - На сегодняшний день Flash - уходящая натура. Однако госорганы во всем мире обычно не торопятся производить замену оборудования или ПО, поэтому вероятность их полного отказа от Flash даже к 2020 году, к сожалению, невелика».

По данным W3Techs, сегодня менее чем 5% от общего числа веб-сайтов в мире - будь то глобально популярные ресурсы или заброшенные частные страницы - все еще используют Flash в том или ином виде. К 2020 г. процент пользователей этой технологии, скорее всего, снизится до значений статистической погрешности.

Источник: cnews.ru

Re: Новости об уязвимостях га джетов
 

В Google Play нашли приложения, ворующие банковские данные пользователей

Компания Trend Micro была основана в 1988 году, она занимается разработкой антивирусного ПО и решений в области безопасности гибридного облака, сетевой защиты, малого бизнеса и защиты конечных точек. Компании удалось найти в Google Play два небезопасных приложения, которые воровали банковские данные пользователей. Речь идёт о конвертере валют Currency Converter и приложении BatterySaverMobi. В настоящее время они удалены из Google Play, однако второе скачали 5000 раз, что довольно немало.

В описании к приложению для экономии заряда аккумулятора можно встретить положительные обзоры и 71 оценку со средним показателем 4,5 звезды. В очередной раз можно убедиться в том, что отзывы — не показатель качества приложения, Google нужно что-то с этим делать. Trend Micro изучили софт, оказалось, что их программный код сильно похож на код вредоносного банковского ПО Anubis. Кроме того, приложения подключались к серверу aserogeege.space, который был связан с Anubis. Помимо aserogeege.space, они включали в себя 18 доменов, которые обращались к одному серверу 47.254.26.2. Данный IP адрес менялся достаточно часто и за октябрь мог смениться 6 раз.

Как приложения избегают обнаружения?

http://internetua.com/uploads/wysiwy...9/66666789.jpg

Разработчик вредоносного ПО предположил, что песочница для сканирования вредоносного ПО — это эмулятор без датчиков движения, поэтому вредоносный код запускается только в том случае, когда смартфон находится в движении. Это позволяет избежать обнаружения.

После отрабатывания кода на экране появляется фейковое окно с просьбой установить обновление. На деле же после установки в фоновом режиме запускается вредоносное ПО кейлогер, которое сканирует любые нажатия по экрану и способно делать скриншоты рабочего стола. Кроме того, Anubis получает доступ к контактам и геолокации, вирус может записывать аудио, отправлять SMS, звонить и контролировать хранилище.

Re: Новости об уязвимостях га джетов
 

Во всех смартфонах Samsung обнаружили шпионское ПО

https://portaltele.com.ua/wp-content...51-696x495.jpg

Как известно, южнокорейская корпорация Samsung является одними из самых крупных и известных в мире производителей мобильных устройств, а ее телефоны так и вовсе являются самыми продаваемыми на рынке вот уже как более чем 12 лет. Компания уверяет, что такие в полной мере безопасны, однако, как оказалось, все не так однозначно в этом плане. На форуме Reddit появилась публикация, которая очень быстро набрала колоссальную популярность, а увидели ее уже сотни тысяч человек по всему миру. Так, одному из разработчиков удалось выяснить, что во все смартфоны и планшеты от данного производителя электроники установлено шпионское программное обеспечение, которое может использоваться для слежки за кем-либо, причем без каких-либо сложностей, и этот человек при этом даже не сможет узнать, что за ним так и вовсе вообще следят.

Как сообщил пользователь под ником @kchaxcer с популярного интернет-ресурса, в смартфонах Samsung имеется такая функция, как Device Care. Именно ее в публикации и называют программным обеспечением для шпионажа. Эта программа присутствует на абсолютно всех смартфонах и планшетах от данного производителя, по крайней мере если говорить о современных моделях. Сообщается, что в этом самом модуле содержится сервис Qihoo 360, который активно связывается с китайскими серверами. Ранее это ПО уже многократно раскрывали, в результате чего оно оказывалось в центре множества скандалов, связанных с приватностью, конфиденциальностью и скрытым сбором личных данных пользователей. Проще говоря, это приложение предназначен исключительно для слежки и дистанционного шпионажа.

Почему компания Samsung использует Qihoo 360 в своих мобильных устройствах и планшетных компьютерах не сообщается. Пользователь, который все это обнаружил, заявил о том, что даже сам факт наличия такого рода программное обеспечение является достаточно рискованным, потому что тот же самый сканер отпечатков пальцев собирает персональные данные, и они могут передавать кому-либо, попадая тем самым в руки третьих лиц. При этом, согласно китайскому законодательству, которому подчиняется данным сервис, любая компания должна по требованию правительства предоставлять любые имеющиеся у нее данные или же предоставить такие данные, доступ к которым она может получить с использованием своих технологий. На практике это означает, что, в теории, власти Китая и спецслужбы этой страны могут без труда получить любые сведения с электроники южнокорейской корпорации.

Некоторые разработчики проверили эти сведения и самостоятельно убедились в том, что в функцию Device Care на самом деле встроено это китайское программное обеспечение, а поскольку речь идет о заводской системой возможности, заложенной на уровне операционной системы, пользователю даже не нужно выдавать какие-либо разрешения, либо же делать что-то еще, чтобы его личные данные начали попадать в руки третьих лиц. Все это, что очевидно, не в лучшем свете выставляет компанию Samsung, особенно на фоне грядущей презентации ее новых мобильных устройств. Конечно, данный производитель может придумать любые оправдания наличия такого ПО в своих смартфонах и планшетах, но вполне себе очевидно, что нет никакой гарантии, что за владельцами таких на самом деле никто не следит, ведь в продукцию иных брендов сервис Qihoo 360 не встроен.