чуваки нашли дыру в VPN-серверах Palo Alto Networks (уровень опасности 9,8 из 10), и 12 месяцев использовали её в своих продуктах для тестирования защиты сетей клиентов. Доступ к данным внутри сетей, получение данных учетных записей, просмотр устройств внутри сетей, и тд. Опасносте!
https://www.randori.com/blog/cve-2021-3064/
CEO компании поясняет, почему для них было важно использовать обнаруженную уязвимость — для реалистичности тестирования, как это бывает в реальном мире
https://www.randori.com/blog/why-zero-days-are-essential-to-security/
Позиция, возможно, спорная, но имеет право на жизнь.
PAN исправили уязвимость и апдейты можно найти тут
https://security.paloaltonetworks.com/CVE-2021-3064
https://www.randori.com/blog/cve-2021-3064/
CEO компании поясняет, почему для них было важно использовать обнаруженную уязвимость — для реалистичности тестирования, как это бывает в реальном мире
https://www.randori.com/blog/why-zero-days-are-essential-to-security/
Позиция, возможно, спорная, но имеет право на жизнь.
PAN исправили уязвимость и апдейты можно найти тут
https://security.paloaltonetworks.com/CVE-2021-3064
Ibm
QRadar SaaS | IBM
Palo Alto Networks recently completed the acquisition of IBM's QRadar Software as a Service (SaaS) assets. IBM continue to sale QRadar on-premises.
если вы получили письмо от почтовых серверов ФБР сегодня, то а) поздравляю! б) похоже, чтото там у них в почте сломали
https://old.reddit.com/r/sysadmin/comments/qsun7o/email_from_fbi_looks_odd/
в) пока что все разбираются
https://twitter.com/spamhaus/status/1459450061696417792
"The FBI and CISA are aware of the incident this morning involving fake emails from an @ic.fbi.gov email account. This is an ongoing situation and we are not able to provide any additional information at this time."
https://old.reddit.com/r/sysadmin/comments/qsun7o/email_from_fbi_looks_odd/
в) пока что все разбираются
https://twitter.com/spamhaus/status/1459450061696417792
"The FBI and CISA are aware of the incident this morning involving fake emails from an @ic.fbi.gov email account. This is an ongoing situation and we are not able to provide any additional information at this time."
Reddit
From the sysadmin community on Reddit: Email From FBI Looks Odd
Explore this post and more from the sysadmin community
Детали по поводу уязвимости, с помощью которой был разослан спам с домена американской ФБР. По сути, чувак нашёл форму, которая через POST запрос отправляла регистрирующемуся пользователю одноразовый пароль. Подмена параметров в запросе позволяла отправлять письма кому попало, чем и воспользовался исследователь (хакер?]. Вопрос в том, будет ли теперь его преследовать за это ФБР?
https://krebsonsecurity.com/2021/11/hoax-email-blast-abused-poor-coding-in-fbi-website/
https://krebsonsecurity.com/2021/11/hoax-email-blast-abused-poor-coding-in-fbi-website/
Krebsonsecurity
Hoax Email Blast Abused Poor Coding in FBI Website
The Federal Bureau of Investigation (FBI) confirmed today that its fbi.gov domain name and Internet address were used to blast out thousands of fake emails about a cybercrime investigation. According to an interview with the person who claimed responsibility…
Ссылка от читателя на тему канала — о том, что якобы сервис Booking.com еще в 2016 году был взломан неким американцем, работающим на разведывательные органы США. В результате взлома были похищены данные на клиентов сервиса — имена и планы поездок — проживающих в странах Ближнего Востока. Booking.com утверждает, что провели проверку и не обнаружили следов доступа к личным или финансовым данным клиентов. Может ли это служить подтверждением взлома — не очень понятно
https://arstechnica.com/gadgets/2021/11/new-book-claims-us-intel-agency-hacked-booking-com-in-2016/
https://arstechnica.com/gadgets/2021/11/new-book-claims-us-intel-agency-hacked-booking-com-in-2016/
Ars Technica
Booking.com was reportedly hacked by a US intel agency but never told customers
Data involving Middle Eastern countries stolen by man working for unknown US agency.
На прошлой недел Google Threat Analysis Group — команда по обнаружению компьютерных злоумышленников — опубликовала отчет о кампании, в рамках которой некие злоумышленники использовали на тот момент неизвестную уязвимость в macOS для атак на активистов в Гонконге.
https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/
Представители Google утверждают, что не могут однозначно сказать, кто стоит за этой атакой, но она имеет все признаки поддержки государства. Кампания была обнаружена в августе этого года и в сентбяре Apple выпустила обновление, исправляющее уязвимость.
Сама атака представляла собой формат "водопоя", когда легитимные сайты были взломаны и содержали в себе вредоносное ПО, эксплуатирующее zero-day уязвимость. Интересно, что параллельно к уязвимости нулевого дня в атаке также применялась и уже известная уязвимость, которую Apple исправила в версии macOS Big Sur, но на тот момент не исправила в версии Catalina. Предполагалось, что исправленная уязвимость была "совместима" только с Big Sur, но оказалось, что в предыдущей версии системы она тоже присутствовала.
также тут можно почитать детальный анализ самого вредоносного кода и его функциональности (скриншоты экрана, закачка файлов, выполнение терминальных команд, запись аудио, кейлоггинг), и даже для желающих — скачать его.
https://objective-see.com/blog/blog_0x69.html
https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/
Представители Google утверждают, что не могут однозначно сказать, кто стоит за этой атакой, но она имеет все признаки поддержки государства. Кампания была обнаружена в августе этого года и в сентбяре Apple выпустила обновление, исправляющее уязвимость.
Сама атака представляла собой формат "водопоя", когда легитимные сайты были взломаны и содержали в себе вредоносное ПО, эксплуатирующее zero-day уязвимость. Интересно, что параллельно к уязвимости нулевого дня в атаке также применялась и уже известная уязвимость, которую Apple исправила в версии macOS Big Sur, но на тот момент не исправила в версии Catalina. Предполагалось, что исправленная уязвимость была "совместима" только с Big Sur, но оказалось, что в предыдущей версии системы она тоже присутствовала.
также тут можно почитать детальный анализ самого вредоносного кода и его функциональности (скриншоты экрана, закачка файлов, выполнение терминальных команд, запись аудио, кейлоггинг), и даже для желающих — скачать его.
https://objective-see.com/blog/blog_0x69.html
Google
Analyzing a watering hole campaign using macOS exploits
To protect our users, TAG routinely hunts for 0-day vulnerabilities exploited in-the-wild. In late August 2021, TAG discovered watering hole attacks targeting visitors t…
Robinhood теперь «уточнил», что во время взлома сервиса украли еще и номера телефонов тысяч клиентов
https://blog.robinhood.com/news/2021/11/8/data-security-incident
И данные уже выставлены на продажу
https://www.bleepingcomputer.com/news/security/7-million-robinhood-user-email-addresses-for-sale-on-hacker-forum/
Таргетированный фишинг через 3…2…1…
https://blog.robinhood.com/news/2021/11/8/data-security-incident
И данные уже выставлены на продажу
https://www.bleepingcomputer.com/news/security/7-million-robinhood-user-email-addresses-for-sale-on-hacker-forum/
Таргетированный фишинг через 3…2…1…
Robinhood Newsroom
Robinhood Announces Data Security Incident (Update) - Robinhood Newsroom
Update on November 16, 2021 at 9:55 AM PT: We’re providing the following update to keep our customers and other
Журналист BBC попытался в Москве найти концы хакеров, которые якобы связаны с Evil Corp (я чето не смог найти на русском версию. но TL;DR версия — поговорил с людьми, которые все отрицали, звонил на телефоны, где клали трубку).
https://www.bbc.com/news/technology-59297187
https://www.bbc.com/news/technology-59297187
BBC News
Evil Corp: 'My hunt for the world's most wanted hackers'
The BBC’s Joe Tidy goes to Russia in search of men on the FBI’s cyber most wanted list.
Не одна, а сразу две серьезные уязвимости, которые затрагивают целый набор процессоров Intel, и позволяют злоумышленникам эскалировать свои права на устройствах. Обе уязвимости находятся в BIOS некоторых процессоров Intel — собственно, никакого rocket science, а, например, неправильная проверка введенных данных. Работает это все только при наличии физического доступа к устройству. Затронуты процессоры
• Intel® Xeon® Processor E Family
• Intel® Xeon® Processor E3 v6 Family
• Intel® Xeon® Processor W Family
• 3rd Generation Intel® Xeon® Scalable Processors
• 11th Generation Intel® Core™ Processors
• 10th Generation Intel® Core™ Processors
• 7th Generation Intel® Core™ Processors
• Intel® Core™ X-series Processors
• Intel® Celeron® Processor N Series
• Intel® Pentium® Silver Processor Series
Собственно, рекомендация простая: поставьте апдейт, пожалуйста.
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00562.html
Ну и чтобы два раза не вставать, еще одна уязвимость в Intel, обнаруженная экспертами компании Positive Technologies:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00528.html
https://www.ptsecurity.com/ww-en/about/news/positive-technologies-discovers-vulnerability-in-intel-processors-used-in-laptops-cars-and-other-devices/
Интересно, что один из затронутых процессоров — Intel Atom E3900 используется в нескольких моделях автомобилей, в том числе в Tesla Model 3.
• Intel® Xeon® Processor E Family
• Intel® Xeon® Processor E3 v6 Family
• Intel® Xeon® Processor W Family
• 3rd Generation Intel® Xeon® Scalable Processors
• 11th Generation Intel® Core™ Processors
• 10th Generation Intel® Core™ Processors
• 7th Generation Intel® Core™ Processors
• Intel® Core™ X-series Processors
• Intel® Celeron® Processor N Series
• Intel® Pentium® Silver Processor Series
Собственно, рекомендация простая: поставьте апдейт, пожалуйста.
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00562.html
Ну и чтобы два раза не вставать, еще одна уязвимость в Intel, обнаруженная экспертами компании Positive Technologies:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00528.html
https://www.ptsecurity.com/ww-en/about/news/positive-technologies-discovers-vulnerability-in-intel-processors-used-in-laptops-cars-and-other-devices/
Интересно, что один из затронутых процессоров — Intel Atom E3900 используется в нескольких моделях автомобилей, в том числе в Tesla Model 3.
Intel
INTEL-SA-00562
=== РЕКЛАМА ====
5 коротких видеороликов, которые зайдут и профи, и новичку в ИБ
Не всегда успеваете следить за теми направлениями ИБ, в которых сейчас не делаете ничего руками? Смотрите короткие ролики Security Small Talk.
Самая улыбчивая на рынке ИБ Лера Суворова и пять узких специалистов за пять минут освежат ваши знания и дополнят их своим практическим опытом. Полезно будет и начинающим безопасникам, и перегруженным ИБ-шникам, и ИТ-специалистам, и студентам.
Уже ждут просмотров ролики о Deception, защите данных в облаках, киберполигонах, автопентесте и Digital Risk Protection.
Вот ссылка на все ролики
А o Deception можно посмотреть, не выходя из канала
https://youtu.be/VQq-KL8_S1c
5 коротких видеороликов, которые зайдут и профи, и новичку в ИБ
Не всегда успеваете следить за теми направлениями ИБ, в которых сейчас не делаете ничего руками? Смотрите короткие ролики Security Small Talk.
Самая улыбчивая на рынке ИБ Лера Суворова и пять узких специалистов за пять минут освежат ваши знания и дополнят их своим практическим опытом. Полезно будет и начинающим безопасникам, и перегруженным ИБ-шникам, и ИТ-специалистам, и студентам.
Уже ждут просмотров ролики о Deception, защите данных в облаках, киберполигонах, автопентесте и Digital Risk Protection.
Вот ссылка на все ролики
А o Deception можно посмотреть, не выходя из канала
https://youtu.be/VQq-KL8_S1c
YouTube
#SecuritySmallTalk О Deception
Зачем смотреть?
🔹 Узнать, что такое Deception Tool, если никогда не работали с этой технологией
🔹 Разобраться, есть ли разница между Honeypot и Deception
🔹 Понять, чем отличаются ловушки и приманки
🔹 Решить, будет ли польза от этой технологии в том или ином…
🔹 Узнать, что такое Deception Tool, если никогда не работали с этой технологией
🔹 Разобраться, есть ли разница между Honeypot и Deception
🔹 Понять, чем отличаются ловушки и приманки
🔹 Решить, будет ли польза от этой технологии в том или ином…
И не забываем про то, что на этой неделе у Microsoft был ноябрьский patch tuesday! Количество исправленных CVE — 55 штук! ну, допустим, не 71, как в октябре, но тем не менее. 6 из них критичные, 49 — так, ерунда, не стоит даже и упоминаний 🙂
https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov
Вот эта в Exchange Server, например, находится в активной эксплуатации
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321
Более полный обзор патча тут — https://www.zerodayinitiative.com/blog/2021/11/9/the-november-2021-security-update-review
но вы и так знаете, что делать 🙂
https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov
Вот эта в Exchange Server, например, находится в активной эксплуатации
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321
Более полный обзор патча тут — https://www.zerodayinitiative.com/blog/2021/11/9/the-november-2021-security-update-review
но вы и так знаете, что делать 🙂
Zero Day Initiative
Zero Day Initiative — The November 2021 Security Update Review
The second Tuesday of the month is upon us, and with it comes the latest security patches from Adobe and Microsoft. Take a break from your regularly scheduled activities and join us as we review the details for their latest security offerings. Adobe Patches…
Берегите свои печеньки!
TL;DR - предполагается, что утекшие файлы сами пользователи GitHub выложили по ошибке
https://www.theregister.com/2021/11/18/firefox_cookies_github/
TL;DR - предполагается, что утекшие файлы сами пользователи GitHub выложили по ошибке
https://www.theregister.com/2021/11/18/firefox_cookies_github/
The Register
Thousands of Firefox users accidentally commit login cookies on GitHub
GitHub: 'Credentials exposed by our users are not in scope'
хакеры у хакеров украли кораллы. ой, в смысле не украли, а пытались, и не кораллы, а инструменты для взлома: серверные корейцы против китайцев
https://www.thedailybeast.com/north-korean-hackers-caught-snooping-on-chinas-cyber-squad?ref=home
https://www.thedailybeast.com/north-korean-hackers-caught-snooping-on-chinas-cyber-squad?ref=home
The Daily Beast
North Korean Hackers Caught Snooping on China’s Cyber Squad
North Korean hackers are under fierce pressure to raise revenue to fund regime goals. Now they’re trying to spy on Chinese security researchers to get better hacking tools.
Meta (которая владеет Facebook, Instagram и WhatsApp), планировала ввести сквозное шифрование в коммуникационных продуктах уже в следующем году, но теперь обещает закончить это "гдето в 2023 году".
We’re taking our time to get this right and we don’t plan to finish the global rollout of end-to-end encryption by default across all our messaging services until sometime in 2023.
https://www.telegraph.co.uk/business/2021/11/20/people-shouldnt-have-choose-privacy-safety-says-facebook-safety/
We’re taking our time to get this right and we don’t plan to finish the global rollout of end-to-end encryption by default across all our messaging services until sometime in 2023.
https://www.telegraph.co.uk/business/2021/11/20/people-shouldnt-have-choose-privacy-safety-says-facebook-safety/
The Telegraph
We'll protect privacy and prevent harm, writes Facebook safety boss
The head of safety at Meta, which owns Facebook and WhatsApp, says the company is working hard to get the balance right
интересный тред на твиттере о том, как в ФБ просрали полимеры с внедрением сквозного шифрования в своих продуктах в рамках инициативы объединения ФБ, ИГ и ВА. TL;DR: это непросто, плюс "менеджмент" — любители бросаться из крайности в крайность, не думая о деталях имплементации
https://twitter.com/elegant_wallaby/status/1462845336288825344
https://twitter.com/elegant_wallaby/status/1462845336288825344
Twitter
David Thiel
Please stop with this. Child safety is not FUD, nor disingenuous. Here is what happened with Facebook's haphazard E2EE plan, from someone who was there and familiar with the underlying systems. 1/ twitter.com/evan_greer/sta…
Никогда такого не было, и вот опять - новый zero-day для Windows 10/11. Позволяет стать администратором обычным пользователям.
https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/
https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/
BleepingComputer
New Windows zero-day with public exploit lets you become an admin
A security researcher has publicly disclosed an exploit for a new Windows zero-day local privilege elevation vulnerability that gives admin privileges in Windows 10, Windows 11, and Windows Server.
Компания GoDaddy подала в Комиссию по ценным бумагам США уведомление о том, что компания обнаружила неавторизованный доступ к своим системам, где хостятся и управляются сервера WordPress клиентов компании. В уведомлении говорится, что злоумышленник использовал скомпрометированный пароль и получил доступ в районе 6 сентября. GoDaddy обнаружили факт взлома 17 ноября.
В результате взлома был получен доступ к данным на 1,2 млн активных и неактивных пользователей WordPress — что привело к утечке адресов электронной почты и номерам клиентов. Ущерб: увеличение рисков фишинговых атак. В том числе утек и пароль по умолчанию для WordPress, когда он создается. Кроме этого, утекли данные аккаунтов sFTP и логин-пароли к базам данных WordPress, а в некоторых случаях — и приватные ключи SSL. Всем все сбросили, новые ключи SSL выдают. Правда, все равно непонятно, что там делает их служба безопасности, которая два месяца не могла обнаружить взлом.
https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm
В результате взлома был получен доступ к данным на 1,2 млн активных и неактивных пользователей WordPress — что привело к утечке адресов электронной почты и номерам клиентов. Ущерб: увеличение рисков фишинговых атак. В том числе утек и пароль по умолчанию для WordPress, когда он создается. Кроме этого, утекли данные аккаунтов sFTP и логин-пароли к базам данных WordPress, а в некоторых случаях — и приватные ключи SSL. Всем все сбросили, новые ключи SSL выдают. Правда, все равно непонятно, что там делает их служба безопасности, которая два месяца не могла обнаружить взлом.
https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm
о! красивое!
It appears that GoDaddy was storing sFTP credentials either as plaintext, or in a format that could be reversed into plaintext. They did this rather than using a salted hash, or a public key, both of which are considered industry best practices for sFTP. This allowed an attacker direct access to password credentials without the need to crack them.
According to their SEC filing: “For active customers, sFTP and database usernames and passwords were exposed.”
https://www.wordfence.com/blog/2021/11/godaddy-breach-plaintext-passwords/
It appears that GoDaddy was storing sFTP credentials either as plaintext, or in a format that could be reversed into plaintext. They did this rather than using a salted hash, or a public key, both of which are considered industry best practices for sFTP. This allowed an attacker direct access to password credentials without the need to crack them.
According to their SEC filing: “For active customers, sFTP and database usernames and passwords were exposed.”
https://www.wordfence.com/blog/2021/11/godaddy-breach-plaintext-passwords/
Wordfence
GoDaddy Breached - Plaintext Passwords - 1.2M Affected
There is an update available here: GoDaddy Breach Widens to tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet, and Host Europe This morning, GoDaddy disclosed that an unknown attacker had gained unauthorized access to the system used to provision…
https://www.apple.com/ru/newsroom/2021/11/apple-sues-nso-group-to-curb-the-abuse-of-state-sponsored-spyware/
Ну что тут добавить, кроме как «что ж так тянули?»
Ну что тут добавить, кроме как «что ж так тянули?»
Apple
Официальная служба поддержки Apple
Служба поддержки Apple всегда готова прийти на помощь. Узнайте больше о популярных темах и найдите ресурсы, посвященные любым продуктам Apple.