Розділи сайту Всі
#security
В модуле ksmbd, предлагающем встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB, выявлено 14 уязвимостей, из которых четыре позволяют удалённо добиться выполнения своего кода с правами ядра. Атака может быть проведена без аутентификации, достаточно чтобы на системе был активирован модуль ksmbd. Проблемы проявляются начиная с ядра 5.15, в состав которого был принят модуль ksmbd. Уязвимости устранены в обновлениях ядра 6.3.2, 6.2.15, 6.1.28 и 5.15.112. Проследить за исправлением в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.
11 травня, деякі провайдери, які обслуговують абонентів, зокрема у Києві, зіткнулися з хакерськими атаками. У багатьох киян пропав інтернет. Про це повідомляють користувачі соціальних мереж.
 
Так, проблеми фіксуються у абонентів "Корбіна Телеком". Клієнти повідомляють про відсутність інтернету і домашнього телебачення. У службі підтримки компанії повідомили UBR.ua, що провайдер став жертвою кібератак і запевнили, що працюють над відновленням. При цьому терміни у "Корбіні Телеком" не назвали.

Аналогічні збої помітили абоненти Znet.
Розпорядження НЦУ № 179/963 від 06.03.2023 про внесення змін до Розпорядження НЦУ № 67/850 від 30.01.2023

НКЕК доводить до відома постачальників електронних комунікаційних мереж та/або послуг Розпорядження Національного центру оперативно-технічного управління мережами телекомунікацій (НЦУ) від 06.03.2023 № 179/963 про внесення змін до Розпорядження НЦУ № 67/850 від 30.01.2023.

Розпорядження НЦУ додається 179_06032023.zip

Постачальникам електронних комунікаційних мереж та/або послуг:
- до 21.03.2023 здійснити реєстрацію в системі фільтрації фішингових доменів та забезпечити подальше здійснення фільтрації фішингових доменів на рекурсивних DNS-серверах згідно з Регламентом роботи системи фільтрації фішингових доменів (додається);
- про реєстрацію в системі фільтрації фішингових доменів та початок здійснення фільтрації фішингових доменів згідно з Регламентом повідомити на електронну адресу оперативного чергового НЦУ - ncu@cip.gov.ua

Всего исправлено 8 уязвимостей, позволявших злоумышленникам совершать вредоносные действия на скомпрометированных устройствах.

Разработчики OpenSSL выпустили исправления для целого ряда уязвимостей, включая серьезную ошибку в инструментарии шифрования. Данная ошибка потенциально могла подвергнуть пользователей вредоносным атакам.

Уязвимость CVE-2023-0286 относится к разновидности «Type Confusion» («путаница типов»), которая может позволить злоумышленнику считывать содержимое памяти или вызывать отказ в обслуживании», — говорится в сообщении представителей OpenSSL.
Опубликован релиз OpenSSH 9.2, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии устранена уязвимость, приводящая к двойному освобождению области памяти на стадии до прохождения аутентификации. Уязвимости подвержен только выпуск OpenSSH 9.1, в более ранних версиях проблема не проявляется.

Для создания условий проявления уязвимости достаточно изменить баннер SSH-клиента на "SSH-2.0-FuTTYSH_9.1p1" для того, чтобы добиться выставления флагов "SSH_BUG_CURVE25519PAD" и "SSH_OLD_DHGEX", зависящих от версии SSH-клиента. После выставления данных флагов память под буфер "options.kex_algorithms" освобождается два раза - при выполнении функции do_ssh2_kex(), вызывающей compat_kex_proposal(), и при выполнении функции do_authentication2(), вызывающей по цепочке input_userauth_request(), mm_getpwnamallow(), copy_set_server_options(), assemble_algorithms() и kex_assemble_names().

Создание рабочего эксплоита для уязвимости считается маловероятным, так как процесс эксплуатации слишком усложнён - современные библиотеки распределения памяти предоставляют защиту от двойного освобождения памяти, а процесс pre-auth, в котором присутствует ошибка, выполняется с пониженными привилегиями в изолированном sandbox-окружении.
Недавно Cisco предупредила клиентов о критической уязвимости обхода аутентификации, затрагивающей несколько VPN-маршрутизаторов с истекшим сроком эксплуатации. Кроме того, код эксплойта доступен всем желающим.

Бреши в защите присвоен идентификатор CVE-2023-20025 . Она была обнаружена в веб-интерфейсе управления маршрутизаторами Cisco Small Business моделей RV016, RV042, RV042G и RV082 ИБ-специалистом Хоу Люяном из Qihoo 360 Netlab.
 
Обнаружена вторая за всю историю критическая уязвимость в OpenSSL

По словам команды проекта OpenSSL, новая версия инструментария будет полностью посвящена исправлениям безопасности.
 
Сопровождающие проекта OpenSSL объявили о предстоящем выпуске обновления, которое будет целиком посвящено исправлениям безопасности. Кроме того, в новом обновлении для инструментария будет исправлена первая за последние 6 лет критическая уязвимость.
Исследователь из Лёвенского католического университета продемонстрировал на конференции Black Hat технику компрометации пользовательского терминала Starlink, используемого для подключения абонентов к спутниковой сети SpaceX. Терминал оснащён собственным 64-разрядном SoC, созданным компанией STMicro специально для SpaceX. Программное окружение основано на Linux.
 
Предложенный метод позволяет выполнить свой код на терминале Starlink, получить root-доступ и доступ в недоступную пользователю через обычные порты внутреннюю сеть, используемую терминалами, например, для обновления прошивок. Опубликованные наработки также могут быть применены для продвинутых экспериментов в области программно определяемых радиосистем (SDR), в силу специфичной структуры терминала Starlink (фазированная антенная решётка, управляемая программно).

Взлом терминала Starlink интересен с точки зрения атаки на хорошо защищённую Linux-систему с качественной реализацией режима безопасной загрузки (Secure Boot). Так как программно систему не удалось скомпрометировать, взлом был осуществлён на аппаратном уровне с применением специального лабораторного оборудования. В конечном счёте, необходимое для взлома оборудование удалось свести к готовой плате-надстройке (modchip), использующей обычный микроконтроллер Raspberry Pi RP2040 (2-ядерный Cortex M0).

Подготовленная modchip-плата подключается к определённым дорожкам основной платы терминала Starlink и вызывает сбой путём изменения напряжения в определённых частях электрической схемы ("voltage fault"). Вызов сбоя в момент проверки цифровой подписи в ROM bootloader (BL1) позволяет запустить на SoC произвольный код, несмотря на отсутствие для этого кода корректной цифровой подписи.

Схема платы для взлома терминалов Starlink опубликована на GitHub в формате KiCad. Также опубликован код использованной для атаки прошивки микроконтроллера. Стоимость изготовления платы оценивается примерно в 25 долларов.
На это неделе Cisco выпустила рекомендации по обеспечению безопасности для контроллеров беспроводной сети (WLC). Компания предупредила, что выявленная ошибка в коде может позволить удалённому злоумышленнику без проверки подлинности обойти средства контроля аутентификации и попасть в интерфейс управления администратора.

«Эта уязвимость связана с неправильной реализацией алгоритма проверки пароля, — говорится в бюллетене Cisco. — Злоумышленник может воспользоваться этой уязвимостью, войдя на уязвимое устройство с помощью созданных им учётных данных». Уязвимость CVE-2022-20695 позволяет злоумышленнику получить права администратора. Cisco присвоила уязвимости рейтинг серьёзности 10,0 из 10,0.
Тема листа: Останнє попередження: оновлення системи безпеки облікового запису

Зміст:
Дорогий клієнт

Ваш обліковий запис буде заблоковано через невдалу перевірку
Щоб цього не сталося натисніть тут щоб оновити інформацію зараз

Дуже смішно виглядає, але офіціозно з зображеннями привату та інше. Сподіваюсь, нема таких, хто попадеться.

Received: from outgoing28.jnb.host-h.net (outgoing28.jnb.host-h.net [129.232.250.44])

Received: from dedi1181.jnb2.host-h.net ([156.38.250.109])
    by antispam7-jnb1.host-h.net with esmtpsa (TLSv1.3:TLS_AES_256_GCM_SHA384:256)
    (Exim 4.92)
    (envelope-from <privat24@gi.ua>)

Received: from [146.70.29.189]
    by dedi1181.jnb2.host-h.net with esmtpa (Exim 4.92)
    (envelope-from <privat24@gi.ua>)

X-Report-Abuse-To: spam@antispammaster.host-h.net
VMware настоятельно рекомендует установить исправления для Workspace ONE Access и продуктов VMware, включающих компоненты VMware Identity Manager.

На этой неделе поставщик решений для виртуализации и облачных вычислений VMware сообщил о восеми уязвимостях в пяти своих продуктах и призвал пользователей Workspace ONE Access и всех остальных продуктов, включающих компоненты VMware Identity Manager, немедленно установить исправления.
У вівторок, 15 лютого, відбувається масова атака на ресурси банків, зокрема Приват24, Ощад 24/7, та портал "Дія", також недоступні сайти Міністерства оборони України, Збройних сил України та Державної служби з надзвичайних ситуацій

Про це повідомив співзасновник Monobank Олег Гороховський.

"DdoS-атака насправді йде на майже всі українські банки з різною результативністю. Приват, Ощад. Пробували Альфу и А-банк. Зараз пішли до нас масовані запити з вузла в Нідерландах", - повідомив співзасновник Monobank.

Гороховський додав, що якщо буде "потужно штормити", то банк відключить послуги у світі та тимчасово залишить їх лише в Україні.

Водночас міністр цифрової трансформації Михайло Федоров повідомив, що потужна атака сталася і на портал "Дія".

"Початковий вектор - Росія та Китай. Десь 600 тис. пакетів шкідливого трафіку в секунду. Наші фахівці швидко "обрізали" цей напрямок, але атака повернулася вже із Чехії та Узбекистану. І знову була "відбита". Для користувачів "Дії" атака залишилася непомітною", - написав Федоров.

Він додав, що команда порталу працює "під постійним тиском та провокаціями, але зберігає спокій".

"Користувачі Приват24 повідомляють про проблеми з платежами та загалом з роботою застосунку. Деяким користувачів зовсім не вдається зайти у Приват24, в інших не відображаються баланс і останні транзакції", - повідомляє Центр стратегічних комунікацій та інформаційної безпеки.
Уязвимость также затрагивает широко используемые дистрибутивы Linux, такие как Red Hat, SUSE Linux и Ubuntu.

Разработчики пакета программ Samba выпустили обновление безопасности, устраняющее большое количество уязвимостей. Их успешная эксплуатация позволяет удаленным злоумышленникам выполнить произвольный код с наивысшими привилегиями на уязвимых системах.

Самой опасной проблемой является CVE-2021-44142 , которая затрагивает все версии Samba до 4.13.17. Уязвимость чтения/записи кучи за пределами памяти содержится в модуле VFS vfs_fruit, который обеспечивает совместимость с клиентами Apple SMB. Эксплуатация проблемы позволяет удаленным злоумышленникам выполнить произвольный код от имени суперпользователя.

Уязвимость с рейтингом опасности 9,9 балла из максимальных 10 по шкале CVSS была обнаружена исследователем в области кибербезопасности Оранжем Цаем (Orange Tsai) из DEVCORE. По данным Координационного центра CERT (CERT/CC), уязвимость также затрагивает широко используемые дистрибутивы Linux, такие как Red Hat, SUSE Linux и Ubuntu.