Недавно Cisco предупредила клиентов о критической уязвимости обхода аутентификации, затрагивающей несколько VPN-маршрутизаторов с истекшим сроком эксплуатации. Кроме того, код эксплойта доступен всем желающим.

Бреши в защите присвоен идентификатор CVE-2023-20025 . Она была обнаружена в веб-интерфейсе управления маршрутизаторами Cisco Small Business моделей RV016, RV042, RV042G и RV082 ИБ-специалистом Хоу Люяном из Qihoo 360 Netlab.
 

Обнаружена вторая за всю историю критическая уязвимость в OpenSSL

По словам команды проекта OpenSSL, новая версия инструментария будет полностью посвящена исправлениям безопасности.
 
Сопровождающие проекта OpenSSL объявили о предстоящем выпуске обновления, которое будет целиком посвящено исправлениям безопасности. Кроме того, в новом обновлении для инструментария будет исправлена первая за последние 6 лет критическая уязвимость.

Исследователь из Лёвенского католического университета продемонстрировал на конференции Black Hat технику компрометации пользовательского терминала Starlink, используемого для подключения абонентов к спутниковой сети SpaceX. Терминал оснащён собственным 64-разрядном SoC, созданным компанией STMicro специально для SpaceX. Программное окружение основано на Linux.
 
Предложенный метод позволяет выполнить свой код на терминале Starlink, получить root-доступ и доступ в недоступную пользователю через обычные порты внутреннюю сеть, используемую терминалами, например, для обновления прошивок. Опубликованные наработки также могут быть применены для продвинутых экспериментов в области программно определяемых радиосистем (SDR), в силу специфичной структуры терминала Starlink (фазированная антенная решётка, управляемая программно).

Взлом терминала Starlink интересен с точки зрения атаки на хорошо защищённую Linux-систему с качественной реализацией режима безопасной загрузки (Secure Boot). Так как программно систему не удалось скомпрометировать, взлом был осуществлён на аппаратном уровне с применением специального лабораторного оборудования. В конечном счёте, необходимое для взлома оборудование удалось свести к готовой плате-надстройке (modchip), использующей обычный микроконтроллер Raspberry Pi RP2040 (2-ядерный Cortex M0).

Подготовленная modchip-плата подключается к определённым дорожкам основной платы терминала Starlink и вызывает сбой путём изменения напряжения в определённых частях электрической схемы ("voltage fault"). Вызов сбоя в момент проверки цифровой подписи в ROM bootloader (BL1) позволяет запустить на SoC произвольный код, несмотря на отсутствие для этого кода корректной цифровой подписи.

Схема платы для взлома терминалов Starlink опубликована на GitHub в формате KiCad. Также опубликован код использованной для атаки прошивки микроконтроллера. Стоимость изготовления платы оценивается примерно в 25 долларов.

Кіберфахівці Служби безпеки України заблокували протиправну діяльність підпільного дата-центру, який функціонував у столиці.

Зловмисники «здавали у віртуальну оренду» понад 100 виділених серверів, розташованих на території Києва та за кордоном. У подальшому їх використовували для зламу комп’ютерів, крадіжки паролів і здійснення DDoS-атак, у тому числі на сайти органів державної влади.

Встановлено, що організував протиправну діяльність мешканець Києва разом зі спільником. «Клієнтів» шукали здебільшого в мережі Darknet.

На это неделе Cisco выпустила рекомендации по обеспечению безопасности для контроллеров беспроводной сети (WLC). Компания предупредила, что выявленная ошибка в коде может позволить удалённому злоумышленнику без проверки подлинности обойти средства контроля аутентификации и попасть в интерфейс управления администратора.

«Эта уязвимость связана с неправильной реализацией алгоритма проверки пароля, — говорится в бюллетене Cisco. — Злоумышленник может воспользоваться этой уязвимостью, войдя на уязвимое устройство с помощью созданных им учётных данных». Уязвимость CVE-2022-20695 позволяет злоумышленнику получить права администратора. Cisco присвоила уязвимости рейтинг серьёзности 10,0 из 10,0.

Тема листа: Останнє попередження: оновлення системи безпеки облікового запису

Зміст:
Дорогий клієнт

Ваш обліковий запис буде заблоковано через невдалу перевірку
Щоб цього не сталося натисніть тут щоб оновити інформацію зараз

Дуже смішно виглядає, але офіціозно з зображеннями привату та інше. Сподіваюсь, нема таких, хто попадеться.

Received: from outgoing28.jnb.host-h.net (outgoing28.jnb.host-h.net [129.232.250.44])

Received: from dedi1181.jnb2.host-h.net ([156.38.250.109])
    by antispam7-jnb1.host-h.net with esmtpsa (TLSv1.3:TLS_AES_256_GCM_SHA384:256)
    (Exim 4.92)
    (envelope-from <privat24@gi.ua>)

Received: from [146.70.29.189]
    by dedi1181.jnb2.host-h.net with esmtpa (Exim 4.92)
    (envelope-from <privat24@gi.ua>)

X-Report-Abuse-To: spam@antispammaster.host-h.net

VMware настоятельно рекомендует установить исправления для Workspace ONE Access и продуктов VMware, включающих компоненты VMware Identity Manager.

На этой неделе поставщик решений для виртуализации и облачных вычислений VMware сообщил о восеми уязвимостях в пяти своих продуктах и призвал пользователей Workspace ONE Access и всех остальных продуктов, включающих компоненты VMware Identity Manager, немедленно установить исправления.

На росії та білорусії перестали працювати GeoTrust, Sectigo, DigiCert, Thawte, Rapid. Це значить, що https помирає. Ще відключаться інші й їм залишиться перейти на "ісконно руській" якийсь яндекс браузер, в якому вже зашиті сертифікати держави, а значить - ніякої приватної інформації та безпеки. Нех#й щаст#ть.
  

У вівторок, 15 лютого, відбувається масова атака на ресурси банків, зокрема Приват24, Ощад 24/7, та портал "Дія", також недоступні сайти Міністерства оборони України, Збройних сил України та Державної служби з надзвичайних ситуацій

Про це повідомив співзасновник Monobank Олег Гороховський.

"DdoS-атака насправді йде на майже всі українські банки з різною результативністю. Приват, Ощад. Пробували Альфу и А-банк. Зараз пішли до нас масовані запити з вузла в Нідерландах", - повідомив співзасновник Monobank.

Гороховський додав, що якщо буде "потужно штормити", то банк відключить послуги у світі та тимчасово залишить їх лише в Україні.

Водночас міністр цифрової трансформації Михайло Федоров повідомив, що потужна атака сталася і на портал "Дія".

"Початковий вектор - Росія та Китай. Десь 600 тис. пакетів шкідливого трафіку в секунду. Наші фахівці швидко "обрізали" цей напрямок, але атака повернулася вже із Чехії та Узбекистану. І знову була "відбита". Для користувачів "Дії" атака залишилася непомітною", - написав Федоров.

Він додав, що команда порталу працює "під постійним тиском та провокаціями, але зберігає спокій".

"Користувачі Приват24 повідомляють про проблеми з платежами та загалом з роботою застосунку. Деяким користувачів зовсім не вдається зайти у Приват24, в інших не відображаються баланс і останні транзакції", - повідомляє Центр стратегічних комунікацій та інформаційної безпеки.

Уязвимость также затрагивает широко используемые дистрибутивы Linux, такие как Red Hat, SUSE Linux и Ubuntu.

Разработчики пакета программ Samba выпустили обновление безопасности, устраняющее большое количество уязвимостей. Их успешная эксплуатация позволяет удаленным злоумышленникам выполнить произвольный код с наивысшими привилегиями на уязвимых системах.

Самой опасной проблемой является CVE-2021-44142 , которая затрагивает все версии Samba до 4.13.17. Уязвимость чтения/записи кучи за пределами памяти содержится в модуле VFS vfs_fruit, который обеспечивает совместимость с клиентами Apple SMB. Эксплуатация проблемы позволяет удаленным злоумышленникам выполнить произвольный код от имени суперпользователя.

Уязвимость с рейтингом опасности 9,9 балла из максимальных 10 по шкале CVSS была обнаружена исследователем в области кибербезопасности Оранжем Цаем (Orange Tsai) из DEVCORE. По данным Координационного центра CERT (CERT/CC), уязвимость также затрагивает широко используемые дистрибутивы Linux, такие как Red Hat, SUSE Linux и Ubuntu.

Хотя адаптированный под UniFi-устройства PoC-эксплоит был опубликован еще в декабре, атаки с ним начались только в конце января.

Киберпреступники используют кастомизированную версию публично доступного эксплоита для нашумевшей уязвимости Log4Shell, чтобы атаковать сетевые установки Ubiquiti с установленным программным обеспечением UniFi.
 
Как сообщают специалисты ИБ-компании Morphisec, первые атаки начались 20 января 2022 года. Злоумышленники использовали PoC-эксплоит, ранее опубликованный на GitHub.

Разработанный компанией Sprocket Security PoC-эксплоит позволяет эксплуатировать уязвимость Log4Shell в утилите Log4j на UniFi-устройствах Ubiquiti.

ПО UniFi может устанавливаться на Linux- и Windows-серверах и позволяет сетевым администраторам управлять беспроводным и сетевым оборудованием Ubiquiti из одного централизованного web-приложения. Это приложение написано с использованием Java и использует утилиту Log4j для поддержки функции журналирования. Приложение присутствует в списке продуктов, затрагиваемых уязвимостью Log4Shell, и получило исправление 10 декабря 2021 года – на следующий день после того, как о Log4Shell стало известно широкой общественности.

Компания Qualys выявила уявзвимость (CVE-2021-4034) в системном компоненте Polkit (бывший PolicyKit), используемом в дистрибутивах для организации выполнения непривилегированными пользователями действий, требующих повышенных прав доступа. Уязвимость позволяет непривилегированному локальному пользователю повысить свои привилегии до пользователя root и получить полный контроль за системой. Проблема получила кодовое имя PwnKit и примечательная подготовкой рабочего эксплоита, работающего в конфигурации по умолчанию в большинстве дистрибутивов Linux.

Проблема присутствует во входящей в состав PolKit утилите pkexec, поставляемой с флагом SUID root и предназначенной для запуска команд с привилегиями другого пользователя в соответствии с заданными правилами PolKit. Из-за некорректной обработки передаваемых в pkexec аргументов командной строки непривилегированный пользователь мог обойти аутентификацию и добиться запуска своего когда с правами root, независимо от установленных правил доступа. Для атаки не важно какие настройки и ограничения в PolKit заданы, достаточно чтобы для исполняемого файла с утилитой pkexec был выставлен признак SUID root.

VPN провайдер занимался предоставлением доступа к своей сети для анонимизации конечного потребителя. Это привлекало людей, которые занимались распространением вымогательского ПО или просто атаками в сети. Провайдер был закрыт совместными усилиями правоохранителей разных стран.
 
И это довольно интересно. Приземлили именно серверы у хостинговых площадок. Не запретили доступ через какой-то закон или список СНБО, а именно закрыли у хостера. Конечно, такое должно делаться сразу, если отсутствует реакция владельцев на выявленные угрозы и криминал, но тем не менее. Хотя, если бы серверы находились в странах, где нет юрисдикции, то что тогда? Как повлиять на хостеров?

Европол говорит, что 17 января обнаружили и отключили 15 серверов, которые использовались для проведения неправомерных действий в Германии, Нидерландах, Канаде, Чехии, Франции, Венгрии, Латвии, Украине, США и Великобритании.

Около 100 компаний были определены и уведомлены о том, что они могли стать жертвами действий, которые проводились через этого VPN провайдера.

В accel-ppp обнаружилась уязвимость на переполнение буффера с помощью пакета, прилетающего в порты radauth/radacct/CoA

До обновления советуют фильтровать трафик на этих портах, если вдруг еще нету этого.

На сколько я понимаю: в акселе нельзя указать интерфейс и src откуда должны приходить пакеты от радиуса.
Т.е. кто угодно может сформировать специальный пакет и, представивишись еще одним радиусом, сделать buffer overflow

CVE пока нету, но обещают.

Патч есть на гитхабе

This patch fixes buffer overflow if radius packet contains invalid atribute length
and attrubute type from the following list: ipv4addr, ipv6addr or ifid

Reported-by: Chloe Ong
Reported-by: Eugene Lim spaceraccoon@users.noreply.github.com
Signed-off-by: Sergey V. Lobanov sergey@lobanov.in

Опубликованы корректирующие выпуски пакета Samba 4.15.2, 4.14.10 и 4.13.14 с устранением 8 уязвимостей, большинство из которых могут привести к полной компрометации домена Active Directory. Примечательно, что одну из проблем исправляли с 2016 года, а пять - с 2020 года, тем не менее одно исправление привело к невозможности запустить winbindd при наличии настройки "allow trusted domains = no" (разработчики намерены оперативно опубликовать ещё одно обновление с исправлением). Выпуск обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.