Jump to content
¯\_( ツ)_/¯
  • Sponsored Ad
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.

Martina

Потребители
  • Мнения

    915
  • Присъединил/а се

  • Последно посещение

  • Days Won

    65

Martina last won the day on Април 10

Martina had the most liked content!

Обществена Репутация

217 Excellent

Относно Martina

  • Ранг
    Eleet Hacker

Последни посетители

1111 профилни разглеждания
  1. 15.01.2018 Специалистите по киберсигурност са забелязали нов вариант на скандалния IoT малуер Mirai, предназначен за хакване на несигурни устройства, които работят с вградени ARC процесори. Досега малуерът Mirai и неговите варианти бяха насочени към архитектурите на процесори, разположени в милиони IoT устройства - x86, ARM, Sparc, MIPS, PowerPC и Motorola 6800. Новият вариант на Mirai е наречен Okiru, забелязан е от @unixfreaxjp от екипа на MalwareMustDie и е докладван от независимия експерт Odisseus. Това е нов вид ELF малуер, насочен към вградени устройства, базирани на ARC, работещи под операционната система Linux. "Такова нещо се случва за ПЪРВИ ПЪТ в историята на компютърното инженерство - злонамерен софтуер за ARC процесор, и това е MIRAI OKIRU!! Трябва да обърнете внимание на този факт и трябва да бъдете готови за по-голямо въздействие на инфекцията Mirai (особено #Okiru) на устройства, които все още не са заразени", публикува Odisseus в Twitter. ARC вграденият процесор (Argonaut RISC Core) е второто най-популярно процесорно ядро в света, което се влага в повече от 2 милиарда продукта всяка година, включително в камери, мобилни телефони, измервателни уреди, телевизори, флаш памети, автомобили и различни IoT устройства. Това обаче не е първият ботнет вариант на Mirai, базиран на Linux ELF малуер. Mirai има и друг вариант, базиран на ELF, предназначен да атакува устройства, работещи с MIPS и ARM процесори. Такъв беше забелязан през лятото на 2016 година. Okiru е „много различен“ от IoT ботнета Satori, въпреки че имат и няколко сходни характеристики. Включването на ARC-базирани IoT устройства в ботнет схема ще повиши драстично броя на несигурните устройства до безпрецедентен размер, а това ще улесни хакерите в опитите им да получат контрол над огромен брой лошо конфигурирани и уязвими IoT устройства. English version of this article
  2. 15.01.2018 Acer, Asus, Dell, Fujitsu, HP, IBM, Lenovo, Panasonic, Toshiba и други производители на устройства започнаха да пускат актуализации на BIOS-а, които би трябвало да поправят наскоро откритите уязвимости Spectre и Meltdown. Уязвимостите, експлоатирани от атаките Meltdown и Spectre, са проследени като CVE-2017-5715, CVE-2017-5753 и CVE-2017-5754. Те позволяват на злонамерени приложения да заобиколят механизмите за изолиране на паметта и да достъпят до чувствителни данни. Засегнати са милиони компютри, сървъри, смартфони и таблети, използващи процесори на Intel, AMD, ARM, IBM и Qualcomm. Технологичните компании вече започнаха да пускат пачове, за да предотвратят атаките. За съжаление, някои от мерките за поправянето на уязвимостите могат да причинят значително забавяне на изпълнението на определени видове операции. Intel пусна пачове, включително актуализации на микрокода, за много от процесорите си, а AMD обеща да направи същото. Intel е предоставил поправките на производителите на системи и те пуснаха или скоро ще пусна актуализации на BIOS-а. Acer Acer съобщи на клиентите си, че уязвимостите Spectre и Meltdown засягат голяма част от настолните, преносимите и сървърните му продукти. Не е ясно дали ще има актуализации на BIOS-а за повечето от засегнатите устройства, но компанията е определила през март 2018 г. да пусне актуализации за сървърите. Сред засегнатите продукти са настолните компютри Aspire, Extensa, Gateway, Imd, Predator, Revo, ShangQi, Veriton и Wenxiang; лаптопите Aspire, Extensa, Gateway, Nitro, Packard Bell EasyNote, Spin, Swift, Switch и TravelMate; и сървърите Altos, AR, AT, AW и Veriton. Asus Asus също разработва актуализации на BIOS-а. Очаква се до края на месеца компанията да пусне пачове за засегнатите лаптопи, настолни и мини компютри. Asus публикува отделни съвети за сигурността на дънните платки, които поддържат процесори на Intel и са уязвими за атаките Meltdown и Spectre. Dell Dell вече пусна актуализации на BIOS-а за засегнатите продукти Alienware, Inspiron, Edge Gateway, ChengMing, Enterprise Server, Latitude, OptiPlex, Precision, Vostro, Venue и XPS. Компанията ще пусне повече актуализации по-късно през януари. Dell публикува отделни съвети за EMC продуктите, включително PowerEdge и Datacenter Scalable Solutions (DSS). Вече има налични актуализации за много от засегнатите системи. Fujitsu Fujitsu информира клиентите си, че са засегнати много от OEM платките, продуктите Esprimo, Celsius, Futuro, Stylistic, Lifebook, Celsius, Celvin, Primergy, Primequest, Sparc и др. Ъпдейти на BIOS-а обаче има само за няколко от изброените продукти. Intel Intel започна интегрирането на поправките на микрокода на процесорите в актуализациите на BIOS-а за NUC, Compute Stick и Compute Card. Вече са налични ъпдейти за много от продуктите, като се очаква да бъдат пуснати повече, но по-късно през този месец. Компанията също така разработва актуализации за продуктите Server Board и Visual Compute Accelerator, но до момента са пуснати само два ъпдейта на BIOS-а. Intel не е съобщил кога точно ще бъдат пуснати още актуализации. HP HP започна пускането на ъпдейти на BIOS-а, които поправят уязвимостите Meltdown и Spectre за търговски работни станции, настолни компютри, преносими компютри и POS устройства за продажба на дребно, потребителски настолни и преносими компютри. Ъпдейти за останалите системи се очакват да бъдат пуснати по-късно през януари или в началото на февруари. Lenovo Lenovo съобщи, че са засегнати много от настолните му компютри, IdeaPad, ThinkStation, Converged и ThinkAgile, Storage, Hyperscale, ThinkServer, ThinkSystem, System X, мрежовите суичове и сървърните продукти. Lenovo пусна актуализации на BIOS-а за много от продуктите си, като също така посъветва потребителите да актуализират операционната си система и драйверите на NVIDIA, за да са сигурни, че са защитени срещу Meltdown и Spectre атаките. Gigabyte Списъкът с уязвими дънни платки на Gigabyte е дълъг и включва сериите Z370, X299, B250, H110, Z270, H270, Q270, Z170, B150 и H170. Компанията обеща да пусне ъпдейти на BIOS-а през следващите няколко дни, но актуализации за повечето системи се очакват през следващите няколко седмици. MSI MSI пусна актуализации на BIOS-а на дънните платки Z370, Z270, H270, B250, Z170, H170, B150, H110, X299 и X99. Пачовете за другите устройства можем да очакваме според компанията "много скоро". IBM IBM пусна пачове на фърмуера за някои от процесорите POWER. Поправките за операционните системи AIX и IBM i се очакват в средата на февруари. Getac Technology Getac Technology обеща да пусне актуализации на BIOS-а на преносимите си компютри, таблети и джобни компютри до края на този месец. Toshiba Toshiba публикува списък със засегнатите устройства Qosmio, Satellite, Portege, Tecra, Chromebook, Kirabook, AIO, Regza, Mini Notebook, Encore, Excite и dynaPad, но все още няма никакви актуализации. QCT Доставчикът на хардуер за центове за данни QCT съобщи, че е интегрирал пачовете на микрокода в повечето от новите си продукти. Super Micro Super Micro също е пуснал поправки за много от своите единични, двойни и многопроцесорни системи, SuperBlade, MicroBlade и MicroCloud, както и за вградените, работните станции и настолните си системи. Wiwynn Wiwynn пусна актуализации на BIOS-а за продуктите си SV300G3, SV7200G3, SV5100G3 и SV5200G3, като се очакват и още през следващите няколко седмици. Panasonic Panasonic се надява да пусне актуализации за лаптопите и таблетите на компанията през следващите няколко месеца. English version of this article
  3. 15.01.2018 Инженерите на Lenovo са открили backdoor във фърмуера на мрежовите суичове RackSwitch и BladeCenter. Компанията пусна актуализации на фърмуера. Китайската компания съобщи, че е открила backdoor след вътрешен одит на сигурността на фърмуера на продукти, добавени към нейното портфолио след придобиването на други компании. Backdoor-ът е добавен през 2004 година Lenovo твърди, че backdoor-ът засяга само суичовете RackSwitch и BladeCenter, които работят на ENOS (Enterprise Network Operating System). Този backdoor е добавен в ENOS през 2004 г., когато ENOS е поддържан от Blade Server Switch Business Unit (BSSBU) на Nortel. Lenovo твърди, че Nortel явно е разрешил добавянето на backdoor-а "по искане на OEM клиент на BSSBU". Lenovo нарича backdoor-а "HP backdoor". Кодът на backdoor-а изглежда е оставен във фърмуера, дори след като Nortel промени BSSBU през 2006 г. на BLADE Network Technologies (BNT). Освен това backdoor-ът е останал в кода дори и след като IBM придоби BNT през 2010 г., а Lenovo закупи портфолиото на BNT от IBM през 2014 г. Актуализации за суичовете на Lenovo и IBM "Съществуването на механизми, които заобикалят автентикацията или оторизацията, са неприемливи за Lenovo и не следват сигурността на продуктите на Lenovo и индустриалните практики", казаха от Lenovo. "Lenovo премахна този механизъм от изходния код на ENOS и пусна актуализиран фърмуер за засегнатите продукти". Вече има налични ъпдейти както за по-новите суичове с марката Lenovo, така и за по-старите суичове с марката IBM, които все още са в обращение и работят с ENOS. Lenovo твърди, че не е намерен backdoor в CNOS (Cloud Network Operating System), така че суичовете, работещи с тази операционна система, не са засегнати от проблема. Backdoor-ът е труден за експлоатация Така нареченият "HP backdoor" не е скрит акаунт, а механизъм за заобикаляне на автентикацията, който се осъществява при много стриктни условия. Суичовете RackSwitch и BladeCenter поддържат различни методи за автентикация - чрез SSH, Telnet, уеб базиран интерфейс и серийна конзола. Хакерите могат да експлоатират този backdoor и да заобиколят автентикацията, когато засегнатите суичове имат различни механизми за автентикация, а функциите за сигурност са включени или изключени. Проблемът е проследен като CVE-2017-3765. English version of this article
  4. 15.01.2018 Seagate поправя уязвимост във фърмуера на NAS (Network Attached Storage) продукта си Seagate Personal Cloud Home Storage. Уязвимостта засяга Media Server, уеб приложение, което се изпълнява на NAS устройствата и позволява на потребителите да взаимодействат със съхранените в устройството данни чрез мрежова връзка. Интерфейсът на Media Server се изпълнява над приложението Django (Python). Специалистът по киберсигурност Йорик Костър е открил, че ако хакер изпрати неправилни заявки за двата файла getLogs и uploadTelemetry, може да измами приложението да изпълни команди на основното устройство. Проблемът, наречен неавтентикирана инжекция на команда, позволява на хакерите да изпълняват команди в основния фърмуер на устройството от уеб интерфейса за управление. Уязвимостта може да се използва, за да се позволи отдалечен SSH достъп до Seagate NAS и след това да се промени root паролата му. Този интерфейс обаче може да бъде достъпен само от локалната мрежа. Единственият начин да се експлоатира тази уязвимост е да подведете потребителя да достъпи модифициран URL адрес, докато сте в една и съща мрежа (LAN) с NAS устройството. Това може да се извърши или чрез фишинг, или чрез малвъртайзинг. Фишингът може да се използва за насочени атаки, а малвъртайзингът - за масова експлоатация. Хакерите могат да вградят кода на атаката в реклами, за да експлоатират устройствата Seagate NAS. Когато собственикът на NAS устройство достъпи до сайт със злонамерена реклама, скритият код на рекламата ще взаимодейства с уязвимото NAS устройство. Такъв сценарий е напълно възможен, например, DNSChanger използва същия този трик за експлоатиране на рутери и устройства за пренос на данни в затворени локални мрежи. Seagate тихомълком поправя проблема Костър е информирал Seagate за открития проблем чрез програмата за уязвимости на Beyond Security. От Beyond Security са се свързали със Seagate. "Seagate беше информиран за уязвимостта на 16 октомври, но въпреки че потвърди получаването на информацията за уязвимостта, отказа да отговори на техническите твърдения, да даде уточни срок или да координира поправянето й", разказват от Beyond Security. Костър твърди, че след като е пренебрегнал докладването на уязвимостта, Seagate тихичко е поправил докладваните уязвимости. "Мога да потвърдя, че е поправена на моето NAS устройство", коментира Костър. От Seagate отказват коментар. English version of this article
  5. 12.01.2018 AMD официално призна днес, че процесорите на компанията не са уязвими към бъга Meltdown, но са засегнати и от двата варианта на уязвимостта Spectre. Освен това, поради непрекъснатите въпроси за състоянието на GPU продуктите, Марк Пейпърмастър, старши вицепрезидент и CTO на AMD, изясни, че архитектурите на AMD Radeon GPU не използват speculative execution и по тази причина не са податливи на уязвимостите Meltdown и Spectre. AMD и Meltdown (CVE-2017-5754) AMD отново потвърди, че процесорите й не са уязвими на бъга Meltdown, заради различния избор на дизайн. AMD и първата от уязвимостите Spectre (CVE-2017-5753) AMD твърди, че процесори й са уязвими, но пачът на ниво операционна система е достатъчен, за да поправи тази уязвимост. Linux и Microsoft започнаха да разработват актуализации на операционните системи заради този проблем, въпреки че някои потребители на Windows съобщиха за BSOD грешки, случили се по-рано през седмицата, което накара Microsoft за момента да прекъсне внедряването на пача за първата от двете уязвимости Spectre. AMD съобщи, че тези BSOD грешки засегат само AMD Opteron, Athlon и AMD Turion X2 Ultra. "Очакваме този проблем скоро да бъде поправен и Microsoft би трябвало да възобнови актуализациите за тези стари процесори до следващата седмица", каза Пейпърмастър. AMD и втората от уязвимостите Spectre (CVE-2017-5715) Точно както при процесорите на Intel, процесорите на AMD имат нужда от актуализация на микрокода, за да бъде решен този проблем. Intel вече започна да издава актуализации за микрокода на процесорите на Intel, работещи под Linux. AMD обяви, че ще започне да пуска актуализации на микрокода за клиентите и партньорите си за процесорите Ryzen и EPYC от тази седмица, а за предходните генерации на CPU през следващите седмици. "Тези софтуерни актуализации ще бъдат предоставени от доставчиците на системи и операторите на операционни системи," каза Пейпърмастър, "моля, проверете при вашия доставчик има ли нова информация за налична опция за вашата конфигурация и изисквания." English version of this article
  6. 12.01.2018 Специалистите по киберсигурност забелязаха първия нов малуер за Mac за тази година. Той е наречен OSX/MaMi и всички доказателства сочат, че все още е в процес на разработка, но има някои доста опасни функции. Първата жертва на новия зловреден софтуер MaMi изглежда е учител от САЩ, който разбрал за злонамерената инфекция, чак след като осъзнал, че не може да промени DNS сървърите на Mac. MaMi има някои доста притеснителни функции Експертът по киберсигурност Патрик Уордъл е проследил злонамерения софтуер и е установил, че е хостван на уебсайт, намиращ се на адрес regardens[.]info. Малуерът се разпространява под формата на неподписан Mach-O 64-битов двоичен файл, който в момента не се засича от сканиращите търсачки като VirusTotal. Анализирайки изходния код на зловредния софтуер, Уордъл е открил код, според който малуерът може да: Инсталира локален сертификат Настрои персонализирани DNS настройки Прави скрийншотове Записва кликванията на мишката Стартира AppleScripts Постига постоянно присъствие при стартиране на ОС Изтегля и качва файлове Изпълнява команди Сегашната версия на този малуер все още не поддържа повечето от тези функции, но може да постигне постоянно присъствие при зареждане, да инсталира локален сертификат и да настрои персонализирани настройки на DNS сървъра. Като се има предвид останалата част от функциите обаче, може да става дума за троянски кон с отдалечен достъп, който е в процес на разработка, но в момента може да бъде класифициран като обикновен малуер, който поема контрола над DNS. MaMi може да еволюира в бъдеще "OSX/MaMi не е особено развит, но променя заразените системи по доста гаден и упорит начин", разказва Уордъл. "Чрез инсталирането на нов root сертификат и хакването на DNS сървърите атакуващите могат да извършват различни престъпни действия като man-in-the-middle слушане на трафика (може би за кражбата на лични входни данни или за инжектиране на реклами)." Уордъл се опасява обаче, че този нов малуер може да се развие доста бързо, а е възможно в кода му да има още скрити тайни. "Може би за да бъдат изпълнени (по-натрапчиви) методи (снимане на скрийншотове, изпълняване на команди), или за да бъде запазено присъствието на злонамерения софтуер, се изискват някои входни приложения или други предпоставки, които просто не са изпълнени в моя VM. Ще продължа да ровя!“, казва Уордъл. Двата DNS сървъра, които злонамереният софтуер добавя към заразените хостове, са: 82.163.143.135 82.163.142.137 English version of this article
  7. 12.01.2018 Експерт по киберсигурност от F-Secure е открил начин да използва Active Management Technology (AMT) на Intel, за да заобиколи BIOS паролите, личните входни данни за BitLocker и TPM пиновете, както и да получи достъп до защитени корпоративни компютри. Според Хари Синтонен от F-Secure, който е открил проблема миналия юли, са уязвими само лаптопите и компютрите, на които Intel AMT е провизирана (конфигурирана). Intel AMT е функция на процесорите на Intel, която позволява на системните администратори на по-големи мрежи да осъществяват отдалечено управление на персоналните компютри, за да наблюдават, поддържат, актуализират и извършват ъпгрейди отдалече, без да имат физически достъп до устройствата. Синтонен разказва, че всички компютри, на които AMT е конфигурирана без AMT парола, са уязвими. Според него хакер с достъп до устройството може да натисне CTRL+P по време на процеса на зареждане, да избере Intel Management Engine BIOS Extension (MEBx) за рутина на първоначално зареждане, както и ефективно да заобикаля всички предишни влизания в BIOS, BitLocker и TPM. За MEBx е необходима парола, но според Синтонен в повечето случаи компаниите не променят паролата по подразбиране и я оставят "admin". Хакерите обаче могат да променят паролата по подразбиране, да активират отдалечен достъп и да зададат опцията за въвеждане на потребител на AMT на “None”. Тогава те ще могат да получат отдалечен достъп до системата и от безжични, и от кабелни мрежи, стига да могат да се въведат в един и същи мрежови сегмент с жертвата. Достъпът до устройството може да се осъществи и извън локалната мрежа чрез CIRA сървър, управляван от хакерите. Извършването на атаката отнема по-малко от минута Тъй като тази атака отнема по-малко от една минута, за да бъде изпълнена, а устройството да се конфигурира за бъдещ отдалечен достъп, Синтонен е убеден, че този проблем не бива да се пренебрегва. Intel AMT се предлага в активирана или деактивирана по подразбиране, в зависимост от политиката на производителя на лаптопа/компютъра. English version of this article
  8. 12.01.2018 Експерти по киберсигурност откриха мобилен малуер, който прихваща SMS съобщенията на потребителите, за да краде банкови данни и пари. Според специалистите от Trend Micro злонамереният софтуер FakeBank е забелязан в няколко приложения за управление на SMS/MMS и атакува предимно жертви в Русия. "Жертвата се атакува чрез рекламираните възможности за SMS управление. Малуерът прихваща SMS според схема за кражба на средства от заразените потребители чрез техните системи за мобилно банкиране", коментират от Trend Micro. Експертите са наблюдавали как зловредният софтуер се насочва към клиенти на редица руски финансови институции - Sberbank, Leto Bank, VTB24 Bank и др. Малуерът е забелязан също така и в Китай, Украйна, Румъния и Германия. След като бъде инсталиран на заразен телефон, злонамереният софтуер замества програмите за управление на SMS по подразбиране със свои собствени и скрива иконата. Това му позволява да следи и анализира всеки получен SMS и да трие съобщения. "Това означава, че всяка проверка или заявка от банката на потребителя може да бъде прихваната и премахната. Дори може да се обади на определен телефонен номер, да изпрати определен SMS и да открадне дневниците на обажданията и списъците с контакти", казаха експертите. "Най-същественото е, че целият достъп до SMS-те на устройството дава на малуера възможност за незабележима кражба на пари от банковата сметка на потребителите". Освен това, злонамереното приложение може незабележимо да се свърже с интернет и да изпрати открадната информация на C&C сървъра си без знанието на потребителя. Тъй като много потребители свързват банковите си сметки с телефоните си и избират да получават текстови известия, малуерът може да прихваща тези съобщения, за да краде чувствителна банкова информация, каквито са съобщенията с кодовете за защита. След това хакерите могат да използват откраднатите данни, за да влязат в акаунтите за онлайн банкиране на жертвите, да нулират паролите и тайно да прехвърлят пари в собствените си сметки. FakeBank може също така да краде телефонните номера, списъка с инсталираните банкови приложения, салдото на свързаната банкова карта и данните за местоположението. Някои екземпляри искат администраторски потребителски права, като по този начин позволяват на злонамереното приложение да получи по-голям достъп до компрометираното устройство. "FakeBank също така пречи на потребителя да отвори легитимното приложение на банката мишена, за да предотврати всякакви промени в комуникацията между номера на банковата карта и телефонния ви номер", коментират специалистите. "Можем да приемем, че разработчикът на малуера е добре запознат с формата на банковите съобщения и процеса на трансфера, тъй като C&C забелязва и кодира всички SMS уведомления за плащанията". "Един от най-важните елементи на този малуер е начинът, по който се крие payload-а си. Малуерът има различни видове поведение, които затрудняват заразените потребители да се отърват от него, а решения за сигурност - да го открият“, допълват от Trend Micro. "Всъщност той използва три различни метода, за да прикрие злонамерения payload. Техниките варират по сложност и разработчиците като че ли предприемат многопластов подход, за да избегнат разкриването му." Повечето IP адреси на домейните на C&C на FakeBank са регистрирани от фирмата Wuxi Yilian, която и преди е била свързана с измамни домейни. English version of this article
  9. 12.01.2018 Хакерска група е направила Monero на стойност над четвърт милион долара, прониквайки в Oracle WebLogic сървъри, на които след това е инсталирала софтуер, добиващ криптовалута. Атаките за започнали в началото на декември 2017 г., според експертите по киберсигурност Джонатан Улрих от SANS Technology Institute и Ренато Мариньо от Morphus Labs. Хакерите са използвали наскоро изтеклия код на експлойта на CVE-2017-10271 в Oracle WebLogic сървърите, който Oracle поправи през октомври 2017 г. Хакерите не са избрали тази уязвимост случайно, тъй като тя е оценена с 9,8 CVSS точки, което означава, че лесно може да се експлоатира чрез интернет, позволява на хакерите да изпълнят злонамерен код на сървъра и да поемат контрола над основната машина. Онлайн са достъпни различни експлойти, но хакерите са избрали този, създаден от китайския изследовател по сигурността Лиан Джан, защото включва и IP скенер, търсещ уязвими хостове. Хакерите проникват в корпоративните мрежи без да крадат Почти всички жертви са предприятия, тъй като WebLogic почти не се използва извън корпоративните мрежи и интранет. Ренато Мариньо обаче е бил изненадан, че въпреки използването на експлойта, за да получат пълен достъп до корпоративните мрежи, хакерите само са инсталирали софтуер за добив на криптовалута, а не са се опитали да откраднат ценни корпоративни данни, да инсталират рансъмуер, троянски кон и др. В някои случаи хакерите са компрометирали и PeopleSoft инсталации, но въпреки това са решили да добиват криптовалута чрез сървърите, надявайки се, че никой няма да забележи свръх работата на сървърните процесори. Хакерите добивали AEON и Monero Мариньо и Улрих са идентифицирали две хакерски групи, които за извършвали атаките. Едната е добивала криптовалутата AEON, а другата е добивала Monero. Едната група е направила AEON на стойност около 6 000 долара, а втората - Monero на стойност над 226 000 долара. Мариньо и Улрих са успели да получат достъп до един от сървърите на хакерите и да получат регистъра на дейността на скенера. Двамата разказват, че хакерите са ударили предимно WebLogic, хоствани на облачни инфраструктури като Amazon, Digital Ocean, Google Cloud, Microsoft, Oracle Cloud и OVH. English version of this article
  10. 11.01.2018 Специалисти по киберсигурност от IOActive и Embedi са анализирали мобилните SCADA приложения на 34 доставчика и са открили уязвимости в по-голямата част от тях. Сред уязвимостите има и такива, които могат да бъдат експлоатирани за въздействие върху индустриалните процеси. Преди две години Александър Болшьов и Иван Юшкевич анализираха 20 мобилни приложения, предназначени да работят с ICS софтуер и хардуер. Тогава те откриха около 50 проблема със сигурността – имаше поне по един във всяко приложение. Болшьов, който сега работи за IOActive, и Юшкевич, който в момента е служител на Embedi, отново решили да анализират мобилни приложения, използвани за SCADA системите. Този път експертите са избрали на случаен принцип SCADA приложения, предлагани в Google Play Store от 34 доставчици - повечето от тях различни от тези, тествани през 2015 г. Болшьов и Юшкевич са открили много сериозни уязвимости, които могат да позволят на хакери с локален или отдалечен достъп до устройството (както и един MitM), да влияят пряко или косвено върху промишления процес или да подведат оператора да извърши вредно действие. Тествани са приложения на независими разработчици и големи доставчици, а откритите уязвимости са 147 в системите за клиентите и бекенда. Експертите установили, че с изключение на две, всички приложенията нямат имплементирана защита срещу подправяне на код. Двете приложения, които разполагат с такъв механизъм, имат имплементирана само базова функция за root разпознаване. На повече от половината от тестваните приложения им липсват сигурни механизми за оторизация - само 20% от локалните приложения са приложили правилно оторизиращата система. Най-често срещаните проблеми са липсата на защита с парола и наличието на функция "запомни паролата", която попречи на задаването на защита с парола. Почти половината от тестваните приложения също така не са съхранявали данните по сигурен начин. Данните често са съхранявани на SD картата или на виртуален дял, те не са защитени със списъци за контрол на достъпа (ACL) или други механизми за разрешение. Повече от една трета от анализираните приложения не подсигуряват комуникациите - неправилни версии на SSL, предаване на данни с четим текст и др. Експертите уточняват, че тестовете им не са обхванали приложения, използващи Modbus и други ICS протоколи, които са проектирани несигурни. Що се отнася до проблемите в бекенда, специалистите са открили различни видове уязвимости, позволяващи SQL инжекции, нарушаване на паметта, DoS и изтичане на информация. Повече от 20% от откритите проблеми позволяват на хакерите да дезинформират операторите и да влияят върху индустриалните процеси. English version of this article
  11. 11.01.2018 Китайската полиция успя да арестува само за четири дни хакера, който е проникнал в сървърите на две туристически агенции в Хонконг и е откраднал данните им, след което е поискал откуп в биткойни. Киберпрестъплението се е случило през първите дни на януари, а хакнатите фирми са Big Line Holiday и Goldjoy Travel. Полицията и туристическите агенции не разкриват как хакерът е успял да проникне, но съобщиха, че е успял да открадне копие на базите им данни, включващи имена на клиенти, идентификационни номера, номера на паспорти, телефонни номера, а в някои от случаите и данни на платежни карти. След като е направил копия на базите данни, хакерът е изпратил имейл до двете компании, заплашвайки ги да публикува данните онлайн, ако не му бъде платен откуп от 1 един (тогава около 15 000 долара). Хакерът твърдял, че разполага с информацията на около 200 000 клиенти. И двете туристически агенции са се свързали с полицията и са публикували официални изявления, съобщаващи за хакерската атака, в които се извиняват за инцидента и обявяват, че ще вземат мерки за подобряването на IT инфраструктурата им. Според местните медии полицията е арестувала 30-годишен мъж на 6 януари. Все още не е известно как се казва хакерът, но той е застрашен да прекара 14 години в китайски затвор. Полицията съобщи, че арестуваният е IT инженер. Полицаите са го арестували в дома му на остров Чунг Чау. Те претърсили дома и магазина му, откъдето са конфискували два настолни компютъра, два лаптопа, един таблет и пет смартфона. Суалик Мохамед от Бюрото за кибер и технологична престъпност съобщи, че следователите са проследили IP адреса на хакера, като са използвали сървърните логове, извлечени от двете хакнати туристически агенции. Полицията разследва връзка с атаката срещу WWPKG Полицията все още разследва дали заподозреният е виновен и за хакерската атака срещу най-голямата туристическа агенция в Хонконг WWPKG Holdings. През ноември 2017 г. хакер проникна в сървъра на WWPKG, открадна данните на 200 000 клиенти, като криптира някои от файловете на WWPKG и поиска откуп. Вместо да плати откупа обаче, WWPKG подаде жалба в полицията и с нейна помощ успя да декриптира файловете си. English version of this article
  12. 11.01.2018 Компания за киберсигурност е открила малуер, който смята за първия по рода си злонамерен софтуер за Android, написан на програмния език Kotlin. Малуерът е забелязан първоначално от Trend Micro в едно приложение за Android, достъпно в официалния Google Play Store, което се е представяло за легитимното приложение за почистване на телефони Swift Cleaner. Малуерът е току-що открит и затова все още няма име, но от Trend Micro го проследяват като ANDROIDOS_BKOTKLIND.HRX. Злонамереното приложение е било забелязано на заразени телефони със следните имена на пакетите: com.pho.nec.sg.app.cleanapplication com.pho.nec.pcs com.pho.nec.sg Google е премахнал от Google Play Store фалшивите приложения Swift Cleaner, разпространяващи този нов вид злонамерен софтуер. Експертите разказват, че новият малуер има много функции, но хакерите все още използват само няколко от тях. Според доклад на Trend Micro хакерите, които стоят зад зловредния софтуер, го използват, за да накарат заразените телефони да кликат върху реклами и за да абонират тайно телефона на жертвата за скъпи SMS услуги. Една от най-забележителните възможности на малуера е, че може да заобикаля CAPTCHA решенията, използвани от някои от тези SMS услуги. Освен това, злонамереният софтуер може да изпълнява дистанционно команди, да краде информация, да изпраща SMS и да препраща URL адреси. Всички видове зловреден софтуер за Android, открити до този момент, са написани на Java. Преминаването към Kotlin не е изненада, тъй като този език официално стана втория език за програмиране, поддържан от операционната система Android, а очакванията са през следващите години той да се превърне в основен език за писане на приложения за Android. English version of this article
  13. 11.01.2018 SAP пусна месечния комплект от пачове на сигурността, за да поправи три уязвимости в продуктите си. И трите уязвимости са оценени като среден риск за киберсигурността. В допълнение към трите бюлетина за сигурността, January 2018 SAP Security Patch Day включва четири актуализации на вече публикувани проблеми със сигурността. Те също бяха определени като среден риск за сигурността. Най-сериозните от пачовете са актуализации на издадения през октомври 2014 г. бюлетин за сигурността, който поправи бъг, позволяващ инжекцията на код в Knowledge Provider. Проблемът е проследен като CVE-2018-2363 и има резултат от 6.5 CVSS точки. "В зависимост от кода, атакуващите могат да инжектират и изпълнят свой собствен код, да получат допълнителна информация, която не трябва да се показва, да променят и изтриват данни, да променят изхода от системата, да създават нови потребители с по-високи привилегии, да контролират поведението на системата, или повишават привилегиите, като изпълнят злонамерен код, и дори да извършат DOS атака ", обясняват от ERPScan. Освен това SAP пусна актуализация на сигурността, публикувана през декември 2017 г., поправяща CVE-2017-16690 – атака, която позволява предварителното зареждане на DLL и която може да се извърши срещу NwSapSetup и инсталационна самоизвличаща програма на SAP Plant Connectivity (резултат от 5.0 CVSS точки). Сега новите уязвимости, които компанията поправя, са проследени като CVE-2018-2361 в SAP Solution Manager 7.2 (резултат от 6.3 CVSS), CVE-2018-2360 в Startup Service (резултат от 5.8 CVSS точки) и CVE-2018-2362 в SAP HANA (резултат от 5.3 CVSS точки). Чрез експлоатирането на CVE-2018-2360 хакерите могат да получат достъп до дадена услуга "без каквито и да било процедури за оторизиране и да използват функционалност на услугата, която е с ограничен достъп. Това може да доведе до разкриване на информация, повишаване на привилегиите и други атаки", разказват от ERPScan. Експлоатирането на CVE-2018-2361 предоставя на хакерите възможност да редактират всички таблици на сървъра, което може да доведе до компрометиране на данните. English version of this article
  14. 11.01.2018 Откриха бъг в macOS High Sierra 10.13.2, който позволява на хакерите да отключат предпочитанията за системата на App Store с произволно потребителско име и парола, стига да е влязъл като локален администратор. Това означава, че ако профилът ви е администраторски и оставите компютъра си без надзор, всеки може да промени настройките на App Store на Mac без да знаете. Макар че този бъг не е толкова сериозен, колкото наскоро откритата уязвимост, която позволява root достъп в macOS само чрез въвеждането на празно поле за паролата няколко пъти, това все пак показва, че има доста сериозни проблеми при одита на кода в macOS относно начина, по който могат да се използват паролите. За втори път в рамките на по-малко от три месеца се открива уязвимост, чрез която полето за паролите в macOS може да се използва от хакерите за получаването на допълнителни привилегии. Експлоатирането на този бъг е много просто, както можете да видите на видеоклипа: Просто отворете системните предпочитания на App Store и ако малката иконка е със заключен катинар, кликнете върху нея. След това macOS ще ви поиска да въведете потребителско име и парола. Въведете каквото си пожелаете потребителско име и парола, кликнете Unlock и предпочитанията за системата на App Store ще се отключат. Това ви позволява да промените настройките, например, какви актуализации да се инсталират, дали да се инсталират ъпдейтите на защитата и др. От досегашните проучвания на специалистите по киберсигурност изглежда, че бъгът засяга само 10.13.2 и по-ранните версии преди 10.13.3. Засега TAD GROUP може само да ви посъветва да не използвате локален администраторски акаунт и да не забравяте да си заключвате компютъра, когато не го използвате. English version of this article
  15. 10.01.2018 Великобританският информационен регулатор съобщи, че е наложил глоба от 400 000 паунда (539 400 долара) на Carphone Warehouse, заради кибератаката от 2015 г., при която бяха компрометирани личните данни на повече от 3 милиона клиенти. Кабинетът на комисаря по информацията (ICO) на Великобритания заяви, че веригата магазини за мобилни телефони Carphone Warehouse, собственост на Dixons Carphone, е виновна, че системите й са били уязвими, тъй като не е актуализирала софтуера си и не е извършвала рутинните пенетрейшън тестове. "Една компания, голяма, разполагаща с големи ресурси и известна, каквато е Carphone Warehouse, би трябвало активно да оценява своите системи за сигурност на данните и да гарантира, че системите са стабилни и неуязвими към такива атаки", заяви информационният комисар на Великобритания Елизабет Денъм в официално изявление. Тя добави, че това е една от най-високите глоби, които ICO е налагал до момента. "Carphone Warehouse би трябвало да бъде шампион в собствената си игра, когато става въпрос за киберсигурността, а е притеснително, че системните провали, които открихме, са свързани с най-обикновени мерки." Хакерите са използвали валидни данни за вход, за да получат достъп до системата на Carphone Warehouse чрез остаряла версия на платформата за съдържание Wordpress, съобщиха още от ICO. Хакерската атака компрометира през 2015 г. личните данни на повече от 3 милиона клиенти, включително техните имена, адреси, телефонни номера, дати на раждане и семейно положение. На повече от 18 000 от тези клиенти хакерите успяха да откраднат и информация за разплащателните им карти. Компрометирани са били също и записите на част от служителите на компанията, но според комисаря няма данни за кражба на самоличности, в резултат на атаката. Говорител на Carphone Warehouse заяви, че компанията изцяло е сътрудничила на разследването и приема решението на ICO. "Бързо задвижихме тогава въпроса със защитата на системите ни, въведохме допълнителни мерки за сигурност, информирахме ICO и потенциално засегнатите клиенти и колеги", съобщи говорителят. "От атаката през 2015 г. до сега работихме интензивно с експерти по киберсигурност, за да подобрим и ъпгрейднем системите ни за сигурност и процесите". English version of this article
×

Important Information

За да посещавате този уебсайт е необходимо да се съгласите с Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.