С утра понедельника только хорошие новости про девять уязвимостей в TCP/IP, и про 100 млн IoT устройств, которые подвержены этой уязвимости. Встречайте Name:Wreck, набор уязвимостей в имплементации работы с DNS, что позволяет злооумышленникам закрешить устройство или получить контроль над ним. This is fine.jpg
https://us-cert.cisa.gov/ncas/current-activity/2021/04/15/namewreck-dns-vulnerabilities
https://www.bleepingcomputer.com/news/security/name-wreck-dns-vulnerabilities-affect-over-100-million-devices/
https://us-cert.cisa.gov/ncas/current-activity/2021/04/15/namewreck-dns-vulnerabilities
https://www.bleepingcomputer.com/news/security/name-wreck-dns-vulnerabilities-affect-over-100-million-devices/
us-cert.cisa.gov
NAME:WRECK DNS Vulnerabilities | CISA
Cybersecurity researchers from Forescout and JSOF have released a report on a set of nine vulnerabilities—referred to as NAME:WRECK—affecting Domain Name System (DNS) implementations. NAME:WRECK affects at least four common TCP/IP stacks—FreeBSD, IPNet, NetX…
IoT + уязвимости + безответственный производитель - что может пойти не так? Начать можно с того, что зачем фритюрнице вайфай в принципе, а закончить тем, что уязвимость даёт возможность управлять устройством удалённо.
https://blog.talosintelligence.com/2021/04/vuln-spotlight-co.html
https://blog.talosintelligence.com/2021/04/vuln-spotlight-co.html
Cisco Talos Blog
Vulnerability Spotlight: Remote code execution vulnerabilities in Cosori smart air fryer
Dave McDaniel of Cisco Talos discovered this vulnerability. Blog by Jon Munshaw.
Update (April 27, 2021): Cosori has released an update for this product that fixes these two vulnerabilities.
Cisco Talos recently discovered two code execution vulnerabilities…
Update (April 27, 2021): Cosori has released an update for this product that fixes these two vulnerabilities.
Cisco Talos recently discovered two code execution vulnerabilities…
Никто не учится
Корпоративные данные нескольких сотен крупных и тысяч небольших российских компаний оказались в открытом доступе. Эти организации размещали информацию на досках бесплатного онлайн-менеджера проектов Trello. Злоумышленники используют подобные ресурсы для организации атак на сотрудников компаний и взлома корпоративных Instagram-аккаунтов, предупреждают специалисты по кибербезопасности. Кроме того, за размещение персональных данных сотрудников и клиентов в публичном доступе компаниям могут грозить штрафы по закону о защите персональных данных.
https://www.kommersant.ru/doc/4781538
Корпоративные данные нескольких сотен крупных и тысяч небольших российских компаний оказались в открытом доступе. Эти организации размещали информацию на досках бесплатного онлайн-менеджера проектов Trello. Злоумышленники используют подобные ресурсы для организации атак на сотрудников компаний и взлома корпоративных Instagram-аккаунтов, предупреждают специалисты по кибербезопасности. Кроме того, за размещение персональных данных сотрудников и клиентов в публичном доступе компаниям могут грозить штрафы по закону о защите персональных данных.
https://www.kommersant.ru/doc/4781538
Коммерсантъ
Свои в досках
В открытом доступе оказались данные сотен российских компаний
я знаю, что сегодня не пятница, и вообще тема не совсем про информационную безопасность, но это невероятно интересный лонгрид про компьютеризированные автоматы мороженого в Макдональдсах и других фастфудах, и борьбе с производителем этих машин. (там суть такая, что есть «хакеры», которые научились считывать информацию в этих автоматах и продают устройства, которые умеют диагностировать автоматы до их поломки. Я лично с удовольствием почитал, и если ваш английский (или автоматический переводчик) позволяет, то рекомендую
https://www.wired.com/story/they-hacked-mcdonalds-ice-cream-makers-started-cold-war/
ДОПОЛНЕНИЕ от читателя
«Я сделал пересказ лонгрида, вот: https://t.me/notboring_tech/1729»
https://www.wired.com/story/they-hacked-mcdonalds-ice-cream-makers-started-cold-war/
ДОПОЛНЕНИЕ от читателя
«Я сделал пересказ лонгрида, вот: https://t.me/notboring_tech/1729»
WIRED
The Cold War Over Hacking McDonald’s Ice Cream Machines
Secret codes. Legal threats. Betrayal. How one couple built a device to fix McDonald’s notoriously broken soft-serve machines—and how the fast-food giant froze them out.
Вот это будет интересно. Хакеры взломали сеть компании Quanta - производителя ноутбуков для разных компаний, включая Apple. И якобы получили схемы нового ноутбука, а теперь требуют выкуп 50млн доллларов за то, чтобы не публиковать украденную информацию
https://www.bloomberg.com/news/articles/2021-04-21/apple-targeted-in-50-million-ransomware-hack-of-supplier-quanta
https://www.bloomberg.com/news/articles/2021-04-21/apple-targeted-in-50-million-ransomware-hack-of-supplier-quanta
Bloomberg.com
Apple Targeted in $50 Million Ransomware Hack of Supplier Quanta
As Apple Inc. was revealing its newest line of iPads and flashy new iMacs on Tuesday, one of its primary suppliers was enduring a ransomware attack from a Russian operator claiming to have stolen blueprints of the U.S. company’s latest products.
блииииииииииин, ну это же невозможно просто. Cellebrite, компания, которая занимается добыванием данных с телефонов, недавно объявила, что теперь «поддерживает данные Signal». Ребята в Signal не обиделись, а случайно нашли упавший с грузовика гаджет Cellebrite, изучили его и нашли в нем уязвимости, о которых радостно опубликовали пост. (например, библиотека FFmpeg, которая не обновлялась с 2012 года, к которой просто мегатонна исправлений безопасности была). Поэтому теперь, например, если разместить на смартфоне невинный файл, и подключить устройство к Cellebrite, на нем можно начать исполнять код. Сама тема исполнения кода путем размещения файла на изучаемом устройстве — не новость, но Signal нашли новые способы. Молодцы.
А еще они нашли чужие библиотеки в коде Cellebrite, на использование которых компания вряд ли получала разрешение (например, DLL от iTunes).
какая прелесть всетаки. Хорошо представляю себе панику в Cellebrite, которая там царит.
https://signal.org/blog/cellebrite-vulnerabilities/
А еще они нашли чужие библиотеки в коде Cellebrite, на использование которых компания вряд ли получала разрешение (например, DLL от iTunes).
какая прелесть всетаки. Хорошо представляю себе панику в Cellebrite, которая там царит.
https://signal.org/blog/cellebrite-vulnerabilities/
Signal
Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer from an app's perspective
Cellebrite makes software to automate physically extracting and indexing data from mobile devices. They exist within the grey – where enterprise branding joins together with the larcenous to be called “digital intelligence.” Their customer list has included…
Берегите свои QNAP-ы!
https://therecord.media/new-qlocker-ransomware-is-hitting-hundreds-of-qnap-nas-devices-per-day/
https://therecord.media/new-qlocker-ransomware-is-hitting-hundreds-of-qnap-nas-devices-per-day/
therecord.media
New Qlocker ransomware is hitting hundreds of QNAP NAS devices per day
A new ransomware strain named Qlocker is on a rampage and infecting hundreds of QNAP network-attached storage (NAS) devices every day, taking over hard drives, moving users\' files inside password-protected 7zip archives, and asking for a $550 ransom payment.
Просто хороший тред в твиттере https://twitter.com/christogrozev/status/1384885575073902592
X (formerly Twitter)
ChristoGrozev@bsky.social (@christogrozev) on X
Dear GRU, a bit dumb to try to phish-hack exactly the journos who just outed your largest black-op ever. You might have waited a day or two. And generally you might improve your phishing tradecraft. A .ru hop-over server? Bumbling idiots.
У второй по размерам страховой в США что-то там взломали и что-то там украли, возможно, номера водительских удостоверений. А непонятно потому что они толком рассказать не могут пока что
https://www.theverge.com/2021/4/19/22392566/geico-data-breach-exposed-customer-drivers-license-numbers-security
https://www.theverge.com/2021/4/19/22392566/geico-data-breach-exposed-customer-drivers-license-numbers-security
The Verge
Geico data breach exposed customers’ driver’s license numbers for more than a month
It’s not clear how widespread the breach was.
Сегодня у Apple день апдейтов (не так, конечно, как у MSFT patch tuesday, но все равно). Функциональность функциональностью, а список фиксов безопасности в iOS/macOS еще предстоит разобрать, но! Если у вас Мак, рекомендуется установить вышедший апдейт 11.3 как можно скорее. Апдейт для macOS содержит в себе исправление уязвимости, которая позволяла обходить многие защитные механизмы macOS. Баг тривиально эксплуатировать двойным кликом по файлу, и, что даже важнее, уязвимость вроде как действительно эксплуатировалась в 2021 году. Некоторые исследователи уже назвали эту уязвимость одной из худших в macOS за последние годы. Большой пост с разбором уязвимости и механизма её эксплуатации тут:
https://objective-see.com/blog/blog_0x64.html
Новость об этом
https://techcrunch.com/2021/04/26/shlayer-mac-malware-macos-security/
https://objective-see.com/blog/blog_0x64.html
Новость об этом
https://techcrunch.com/2021/04/26/shlayer-mac-malware-macos-security/
TechCrunch
A software bug let malware bypass macOS’ security defenses
The Shlayer malware has been exploiting this newly discovered vulnerability since at least January.
Так, и пока у редакции этого великолепного издания выходной, хочу вас просто оставить с напоминанием о том, что в iOS 14.5, которая вышла вчера, появилась новая функция для улучшения конфиденциальности данных пользователей. App Tracking Transparency (ATT) — та самая опция, от которой сильно печет у Фейсбука. Суть её в том, что теперь приложения, которые хотят получить доступ к advertising identifier на устройстве, (чтобы потом следить за пользователем на сайтах и в других приложениях) должны спросить разрешения у пользователя. Но спрашивать — это плохо, считает ФБ, что ж… Ну и тут видео сама Эпол подогнала о том, как работает эта функциональность
https://www.youtube.com/watch?v=Ihw_Al4RNno
Берегите свои данные! И не сломайте тут интернет.
https://www.youtube.com/watch?v=Ihw_Al4RNno
Берегите свои данные! И не сломайте тут интернет.
История со Стравой и возможностью посмотреть перемещения солдат вокруг военных баз, пока они бегают, были первыми звоночками, что неконтролируемый сбор информации о геолокации до добра не доведёт
https://www.wsj.com/articles/the-ease-of-tracking-mobile-phones-of-u-s-soldiers-in-hot-spots-11619429402
https://www.wsj.com/articles/the-ease-of-tracking-mobile-phones-of-u-s-soldiers-in-hot-spots-11619429402
WSJ
The Ease of Tracking Mobile Phones of U.S. Soldiers in Hot Spots
The armed forces are facing a challenge of how to protect personnel in an age when highly revealing data are being bought and sold in bulk, and available for purchase by America’s adversaries.
Cellebrite выдал на-гора обновление, которое исправляет недавно упоминаемую и обнаруженную разработчиками Signal уязвимость. Но что даже более интересно, одно из устройств компании больше не работает с iPhone после обновления:
This message is to inform you that we have new product updates available for the following solutions:
Cellebrite UFED v7.44.0.205
Cellebrite Physical Analyzer v7.44.2
Cellebrite UFED Cloud v7.44.2
Cellebrite UFED 7.44.0.205 and Cellebrite Physical Analyzer 7.44.2 have been released to address a recently identified security vulnerability. This security patch strengthens the protection of the solutions.
As part of the update, the Advanced Logical iOS extraction flow is now available in Cellebrite UFED only.
Забавно, что, возможно, мы не до конца осознаем потенциальные последствия этой истории. Оно вроде бы и смешно: Cellebrite похвастался, что они могут добывать чаты Signal с устройства, Signal нашел уязвимость в устройстве, все посмеялись. А уже начались жалобы юристов в делах, где обвинения основываются на доказательствах, добытых с помощью Cellebrite, и аргументам, что им не стоит доверять. Может быть интересно.
https://www.vice.com/en/article/qj8pjm/cellebrite-pushes-update-after-signal-owner-hacks-device
This message is to inform you that we have new product updates available for the following solutions:
Cellebrite UFED v7.44.0.205
Cellebrite Physical Analyzer v7.44.2
Cellebrite UFED Cloud v7.44.2
Cellebrite UFED 7.44.0.205 and Cellebrite Physical Analyzer 7.44.2 have been released to address a recently identified security vulnerability. This security patch strengthens the protection of the solutions.
As part of the update, the Advanced Logical iOS extraction flow is now available in Cellebrite UFED only.
Забавно, что, возможно, мы не до конца осознаем потенциальные последствия этой истории. Оно вроде бы и смешно: Cellebrite похвастался, что они могут добывать чаты Signal с устройства, Signal нашел уязвимость в устройстве, все посмеялись. А уже начались жалобы юристов в делах, где обвинения основываются на доказательствах, добытых с помощью Cellebrite, и аргументам, что им не стоит доверять. Может быть интересно.
https://www.vice.com/en/article/qj8pjm/cellebrite-pushes-update-after-signal-owner-hacks-device
Vice
Cellebrite Pushes Update After Signal Owner Hacks Device
The law enforcement forensics provider updated some of its products a few days after a security researcher claimed to have found critical vulnerabilities in Cellebrite’s devices.
как мне напомнили читатели, я пропустил историю про взлом Passwordstate — менеджера паролей компании Clickstudios. Речь идет о корпоративном менеджере паролей, а взлом произошел через систему обновлений продукта: злоумышленники подложили туда вредоносный файл, и если клиенты компании в процессе обновления скачали этот файл, то информация, хранящаяся в Passwordstate, утекала к взломщикам. Рекомендация, разумеется, поменять все пароли. Очень удобно.
https://www.clickstudios.com.au/advisories/Incident_Management_Advisory-01-20210424.pdf
https://gizmodo.com/enterprise-password-manager-passwordstate-hacked-expos-1846756832
и на русском https://www.kommersant.ru/doc/4792041
https://www.clickstudios.com.au/advisories/Incident_Management_Advisory-01-20210424.pdf
https://gizmodo.com/enterprise-password-manager-passwordstate-hacked-expos-1846756832
и на русском https://www.kommersant.ru/doc/4792041
Если у вас есть учётка на DigitalOcean, то есть риск, что информация по её оплате могла утечь после несанкционированного доступа к системам компании
https://www.bleepingcomputer.com/news/security/digitalocean-data-breach-exposes-customer-billing-information/
https://www.bleepingcomputer.com/news/security/digitalocean-data-breach-exposes-customer-billing-information/
BleepingComputer
DigitalOcean data breach exposes customer billing information
Cloud hosting provider DigitalOcean has disclosed a data breach after a flaw exposed customers' billing information.
Важный комментарий сотрудника ЛК по поводу якобы обнаружения вредоносного ПО ЦРУ https://twitter.com/JusticeRage/status/1387778868291964934
Twitter
Ivan Kwiatkowski
For the record, this is a clear misrepresentation of my teammates' research. 1) We did *not* attribute these samples to any organization. 2) Lambert is *not* an internal name for the CIA. If you're going to attribute attacks, do it in your own name.twitt…
И только неделю назад тут был в новостях Qnap с софтом-вымогателем Qlocker, а тут вот опять Qnap и там уже AgeLocker. За ними не уследить!
https://therecord.media/qnap-warns-of-agelocker-ransomware-attacks-against-nas-devices/
https://therecord.media/qnap-warns-of-agelocker-ransomware-attacks-against-nas-devices/
The Record
QNAP warns of AgeLocker ransomware attacks against NAS devices
Taiwanese hardware vendor QNAP said today that its network-attached storage (NAS) devices are under attack by a ransomware operation known as AgeLocker.
Там вышли iOS/iPadOS 14.5.1, ну и watchOS 7.4.1, macOS 11.3.1. В них исправлены две важные уязвимости в WebKit, которые уже эксплуатируются, и, я думаю, вы знаете, что делать! https://support.apple.com/en-us/HT212336
Apple Support
About the security content of iOS 14.5.1 and iPadOS 14.5.1
This document describes the security content of iOS 14.5.1 and iPadOS 14.5.1.