Розділи сайту Всі
#security
Хто нещодавно оновлювався перевірте.

У популярній утиліті для стискання xz, що широко використовується в більшості дистрибутивів Linux, був виявлений прихований бекдор. Цей шкідливий код, впроваджений у пакет утиліти, створює критичну загрозу для ланцюга поставок, що потенційно дозволяє зловмисникам отримати несанкціонований доступ до служб SSH.

Програміст із Microsoft Andres Freund виявив бекдор і повідомив про нього в компанію Openwall, яка займається безпекою Linux, у п'ятницю вранці. Шкідливі .m4 файли, додані до архівів xz версії 5.6.0, випущеної 24 лютого, містили інструкції automake для складання бібліотеки стиснення liblzma, що модифікують її функції для несанкціонованого доступу.

Ці зміни в liblzma можуть призвести до компрометації sshd через те, що багато дистрибутивів Linux включають libsystemd. Цей компонент, що відповідає за активацію повідомлень systemd, ґрунтується на liblzma, що робить його критичним елементом у структурі OpenSSH.
В модуле ksmbd, предлагающем встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB, выявлено 14 уязвимостей, из которых четыре позволяют удалённо добиться выполнения своего кода с правами ядра. Атака может быть проведена без аутентификации, достаточно чтобы на системе был активирован модуль ksmbd. Проблемы проявляются начиная с ядра 5.15, в состав которого был принят модуль ksmbd. Уязвимости устранены в обновлениях ядра 6.3.2, 6.2.15, 6.1.28 и 5.15.112. Проследить за исправлением в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.
11 травня, деякі провайдери, які обслуговують абонентів, зокрема у Києві, зіткнулися з хакерськими атаками. У багатьох киян пропав інтернет. Про це повідомляють користувачі соціальних мереж.
 
Так, проблеми фіксуються у абонентів "Корбіна Телеком". Клієнти повідомляють про відсутність інтернету і домашнього телебачення. У службі підтримки компанії повідомили UBR.ua, що провайдер став жертвою кібератак і запевнили, що працюють над відновленням. При цьому терміни у "Корбіні Телеком" не назвали.

Аналогічні збої помітили абоненти Znet.
Розпорядження НЦУ № 179/963 від 06.03.2023 про внесення змін до Розпорядження НЦУ № 67/850 від 30.01.2023

НКЕК доводить до відома постачальників електронних комунікаційних мереж та/або послуг Розпорядження Національного центру оперативно-технічного управління мережами телекомунікацій (НЦУ) від 06.03.2023 № 179/963 про внесення змін до Розпорядження НЦУ № 67/850 від 30.01.2023.

Розпорядження НЦУ додається 179_06032023.zip

Постачальникам електронних комунікаційних мереж та/або послуг:
- до 21.03.2023 здійснити реєстрацію в системі фільтрації фішингових доменів та забезпечити подальше здійснення фільтрації фішингових доменів на рекурсивних DNS-серверах згідно з Регламентом роботи системи фільтрації фішингових доменів (додається);
- про реєстрацію в системі фільтрації фішингових доменів та початок здійснення фільтрації фішингових доменів згідно з Регламентом повідомити на електронну адресу оперативного чергового НЦУ - ncu@cip.gov.ua

Всего исправлено 8 уязвимостей, позволявших злоумышленникам совершать вредоносные действия на скомпрометированных устройствах.

Разработчики OpenSSL выпустили исправления для целого ряда уязвимостей, включая серьезную ошибку в инструментарии шифрования. Данная ошибка потенциально могла подвергнуть пользователей вредоносным атакам.

Уязвимость CVE-2023-0286 относится к разновидности «Type Confusion» («путаница типов»), которая может позволить злоумышленнику считывать содержимое памяти или вызывать отказ в обслуживании», — говорится в сообщении представителей OpenSSL.
Опубликован релиз OpenSSH 9.2, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии устранена уязвимость, приводящая к двойному освобождению области памяти на стадии до прохождения аутентификации. Уязвимости подвержен только выпуск OpenSSH 9.1, в более ранних версиях проблема не проявляется.

Для создания условий проявления уязвимости достаточно изменить баннер SSH-клиента на "SSH-2.0-FuTTYSH_9.1p1" для того, чтобы добиться выставления флагов "SSH_BUG_CURVE25519PAD" и "SSH_OLD_DHGEX", зависящих от версии SSH-клиента. После выставления данных флагов память под буфер "options.kex_algorithms" освобождается два раза - при выполнении функции do_ssh2_kex(), вызывающей compat_kex_proposal(), и при выполнении функции do_authentication2(), вызывающей по цепочке input_userauth_request(), mm_getpwnamallow(), copy_set_server_options(), assemble_algorithms() и kex_assemble_names().

Создание рабочего эксплоита для уязвимости считается маловероятным, так как процесс эксплуатации слишком усложнён - современные библиотеки распределения памяти предоставляют защиту от двойного освобождения памяти, а процесс pre-auth, в котором присутствует ошибка, выполняется с пониженными привилегиями в изолированном sandbox-окружении.
Недавно Cisco предупредила клиентов о критической уязвимости обхода аутентификации, затрагивающей несколько VPN-маршрутизаторов с истекшим сроком эксплуатации. Кроме того, код эксплойта доступен всем желающим.

Бреши в защите присвоен идентификатор CVE-2023-20025 . Она была обнаружена в веб-интерфейсе управления маршрутизаторами Cisco Small Business моделей RV016, RV042, RV042G и RV082 ИБ-специалистом Хоу Люяном из Qihoo 360 Netlab.
 
Обнаружена вторая за всю историю критическая уязвимость в OpenSSL

По словам команды проекта OpenSSL, новая версия инструментария будет полностью посвящена исправлениям безопасности.
 
Сопровождающие проекта OpenSSL объявили о предстоящем выпуске обновления, которое будет целиком посвящено исправлениям безопасности. Кроме того, в новом обновлении для инструментария будет исправлена первая за последние 6 лет критическая уязвимость.
Исследователь из Лёвенского католического университета продемонстрировал на конференции Black Hat технику компрометации пользовательского терминала Starlink, используемого для подключения абонентов к спутниковой сети SpaceX. Терминал оснащён собственным 64-разрядном SoC, созданным компанией STMicro специально для SpaceX. Программное окружение основано на Linux.
 
Предложенный метод позволяет выполнить свой код на терминале Starlink, получить root-доступ и доступ в недоступную пользователю через обычные порты внутреннюю сеть, используемую терминалами, например, для обновления прошивок. Опубликованные наработки также могут быть применены для продвинутых экспериментов в области программно определяемых радиосистем (SDR), в силу специфичной структуры терминала Starlink (фазированная антенная решётка, управляемая программно).

Взлом терминала Starlink интересен с точки зрения атаки на хорошо защищённую Linux-систему с качественной реализацией режима безопасной загрузки (Secure Boot). Так как программно систему не удалось скомпрометировать, взлом был осуществлён на аппаратном уровне с применением специального лабораторного оборудования. В конечном счёте, необходимое для взлома оборудование удалось свести к готовой плате-надстройке (modchip), использующей обычный микроконтроллер Raspberry Pi RP2040 (2-ядерный Cortex M0).

Подготовленная modchip-плата подключается к определённым дорожкам основной платы терминала Starlink и вызывает сбой путём изменения напряжения в определённых частях электрической схемы ("voltage fault"). Вызов сбоя в момент проверки цифровой подписи в ROM bootloader (BL1) позволяет запустить на SoC произвольный код, несмотря на отсутствие для этого кода корректной цифровой подписи.

Схема платы для взлома терминалов Starlink опубликована на GitHub в формате KiCad. Также опубликован код использованной для атаки прошивки микроконтроллера. Стоимость изготовления платы оценивается примерно в 25 долларов.
На это неделе Cisco выпустила рекомендации по обеспечению безопасности для контроллеров беспроводной сети (WLC). Компания предупредила, что выявленная ошибка в коде может позволить удалённому злоумышленнику без проверки подлинности обойти средства контроля аутентификации и попасть в интерфейс управления администратора.

«Эта уязвимость связана с неправильной реализацией алгоритма проверки пароля, — говорится в бюллетене Cisco. — Злоумышленник может воспользоваться этой уязвимостью, войдя на уязвимое устройство с помощью созданных им учётных данных». Уязвимость CVE-2022-20695 позволяет злоумышленнику получить права администратора. Cisco присвоила уязвимости рейтинг серьёзности 10,0 из 10,0.
Тема листа: Останнє попередження: оновлення системи безпеки облікового запису

Зміст:
Дорогий клієнт

Ваш обліковий запис буде заблоковано через невдалу перевірку
Щоб цього не сталося натисніть тут щоб оновити інформацію зараз

Дуже смішно виглядає, але офіціозно з зображеннями привату та інше. Сподіваюсь, нема таких, хто попадеться.

Received: from outgoing28.jnb.host-h.net (outgoing28.jnb.host-h.net [129.232.250.44])

Received: from dedi1181.jnb2.host-h.net ([156.38.250.109])
    by antispam7-jnb1.host-h.net with esmtpsa (TLSv1.3:TLS_AES_256_GCM_SHA384:256)
    (Exim 4.92)
    (envelope-from <privat24@gi.ua>)

Received: from [146.70.29.189]
    by dedi1181.jnb2.host-h.net with esmtpa (Exim 4.92)
    (envelope-from <privat24@gi.ua>)

X-Report-Abuse-To: spam@antispammaster.host-h.net
VMware настоятельно рекомендует установить исправления для Workspace ONE Access и продуктов VMware, включающих компоненты VMware Identity Manager.

На этой неделе поставщик решений для виртуализации и облачных вычислений VMware сообщил о восеми уязвимостях в пяти своих продуктах и призвал пользователей Workspace ONE Access и всех остальных продуктов, включающих компоненты VMware Identity Manager, немедленно установить исправления.
У вівторок, 15 лютого, відбувається масова атака на ресурси банків, зокрема Приват24, Ощад 24/7, та портал "Дія", також недоступні сайти Міністерства оборони України, Збройних сил України та Державної служби з надзвичайних ситуацій

Про це повідомив співзасновник Monobank Олег Гороховський.

"DdoS-атака насправді йде на майже всі українські банки з різною результативністю. Приват, Ощад. Пробували Альфу и А-банк. Зараз пішли до нас масовані запити з вузла в Нідерландах", - повідомив співзасновник Monobank.

Гороховський додав, що якщо буде "потужно штормити", то банк відключить послуги у світі та тимчасово залишить їх лише в Україні.

Водночас міністр цифрової трансформації Михайло Федоров повідомив, що потужна атака сталася і на портал "Дія".

"Початковий вектор - Росія та Китай. Десь 600 тис. пакетів шкідливого трафіку в секунду. Наші фахівці швидко "обрізали" цей напрямок, але атака повернулася вже із Чехії та Узбекистану. І знову була "відбита". Для користувачів "Дії" атака залишилася непомітною", - написав Федоров.

Він додав, що команда порталу працює "під постійним тиском та провокаціями, але зберігає спокій".

"Користувачі Приват24 повідомляють про проблеми з платежами та загалом з роботою застосунку. Деяким користувачів зовсім не вдається зайти у Приват24, в інших не відображаються баланс і останні транзакції", - повідомляє Центр стратегічних комунікацій та інформаційної безпеки.