Через взлом службы поддержки Okta были украдены токены доступа клиентов компании

https://sec.okta.com/harfiles

Пошла активная эксплуатация уязвимости в Atlassian Confluence Server

https://infosec.exchange/@ntkramer/111358137312740939

https://viz.greynoise.io/tag/atlassian-confluence-server-authentication-bypass-attempt?days=3

SysAid предупреждает, что хакеры, которые связаны со взломом MoveIT, похоже, эксплуатируют zero day уязвимость в их ПО для автоматизации

https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification

Берегите свои ssh ключи смолоду

Впервые исследователи продемонстрировали, что значительная часть криптографических ключей, используемых для защиты данных в SSH-трафике между компьютерами и серверами, уязвима для полной компрометации при возникновении естественных вычислительных ошибок в процессе установления соединения.

Уязвимость проявляется в ошибках при генерации подписи, возникающих при установлении соединения между клиентом и сервером. Она затрагивает только ключи, использующие криптографический алгоритм RSA, который исследователи обнаружили примерно в трети изученных ими подписей SSH.

https://eprint.iacr.org/2023/1711.pdf

смешно, но дальше даже немного хуже :)

Эта история про то, как разработчик смартфона Nothing попытался сделать bridge для iMessage, и какой кластерфак приватности из этого получился

https://arstechnica.com/gadgets/2023/11/nothings-imessage-app-was-a-security-catastrophe-taken-down-in-24-hours/

Злоумышленники активно используют две новые уязвимости нулевого дня для объединения маршрутизаторов и видеорегистраторов во враждебную бот-сеть, используемую для распределенных атак типа "отказ в обслуживании", сообщили в четверг исследователи из компании Akamai.

https://www.akamai.com/blog/security-research/new-rce-botnet-spreads-mirai-via-zero-days

766 третьих сторон???

кстати о Microsoft. отчет исследователей о том, как они смогли обойти датчики отпечатков пальцев в Windows Hello с помощью Raspberry Pi и Linux. Особенная вишенка на торте — то, что в ноутбуке Microsoft Surface компания не использует Secure Device Connection Protocol (SCDP), которая сама же разработала для валидации датчиков и шифрования передачи данных.

https://blackwinghq.com/blog/posts/a-touch-of-pwn-part-i/

Эксплуатация уязвимости в ownCloud с получением полного контроля над сервером

https://www.greynoise.io/blog/cve-2023-49103-owncloud-critical-vulnerability-quickly-exploited-in-the-wild

Сама уязвимость
https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/

BLUFFS — новый набор атак на Bluetooth, позволяющий расшифровывать данные в сессии обмена данными. Включает в себя парочку новых уязвимостей, затрагивает Bluetooth версий от 4.2 до 5.4

https://dl.acm.org/doi/pdf/10.1145/3576915.3623066
https://francozappa.github.io/post/2023/bluffs-ccs23/

Если у вас Хром на Маке, то не задерживайте с апдейтом

Google is aware that an exploit for CVE-2023-6345 exists in the wild.

https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html

и как это часто бывает в случае минорных апдейтов iOS/iPadOS/macOS:

Apple is aware of a report that this issue may have been exploited against versions of iOS before iOS 16.7.1.

https://support.apple.com/en-us/HT214031
https://support.apple.com/en-us/HT214032

Вот это сюрприз так сюрприз, никто этого не мог предсказать

https://techcrunch.com/2023/12/04/23andme-confirms-hackers-stole-ancestry-data-on-6-9-million-users/

очень интересная история, которая сегодня перешла в публичное обсуждение. Офис американского сенатора Роя Вайдена получил информацию о том, что существует программа, в рамках которой правительство США запрашивает у Google и Apple информацию о пуш-уведомлениях, которые компании рассылают пользователям. в рамках офиса они провели расследование, и призвали правительство разрешить компаниям информировать пользователей об этой программе.

Похоже, что сами уведомления, которые в случае Apple используют Apple Push Notification Service, а в случае Android —  Google’Firebase Cloud Messaging, зашифрованы и доступа к содержимому нет. Но даже мета-данные уведомлений могут предоставить заинтересованной стороне много полезной информации — например, второго участника переписки, информацию о приложениях, которые используют пользователи (и получают от них уведомления. Если это приложение о доставке чего-то, то можно, наверно, вычислить примерное местоположение, и тд.

И Google, и Apple подтвердили, что подобная программа была запрещена к разглашению указанием правительства. Поэтому, например, Apple не могла указывать ее в ежегодном отчете о "прозрачности", что, конечно, вызывает вопрос о том, что еще компании не могут указывать в таких отчетах, и какая реальная ценность этих отчетов в таком случае. как минимум, в случае с этой историей, Apple теперь будет вынуждена включать информацию об этой программе в своем отчете.

письмо из офиса сенатора:
https://www.documentcloud.org/documents/24191267-wyden_smartphone_push_notification_surveillance_letter_to_doj_-_signed

Atlassian молодцы, на 9 из 10 (в смысле, по критичности уязвимостей)

• CVE-2023-22522: Template injection flaw allowing authenticated users, including those with anonymous access, to inject unsafe input into a Confluence page (critical, with a 9.0 severity score). The flaw impacts all Confluence Data Center and Server versions after 4.0.0 and up to 8.5.3.
• CVE-2023-22523: Privileged RCE in Assets Discovery agent impacting Jira Service Management Cloud, Server, and Data Center (critical, with a 9.8 severity score). Vulnerable Asset Discovery versions are anything below 3.2.0 for Cloud and 6.2.0 for Data Center and Server.
• CVE-2023-22524: Bypass of blocklist and macOS Gatekeeper on the companion app for Confluence Server and Data Center for macOS, impacting all versions of the app prior to 2.0.0 (critical, with a 9.6 severity score).
• CVE-2022-1471:  RCE in SnakeYAML library impacting multiple versions of Jira, Bitbucket, and Confluence products (critical, with a 9.8 severity score).

I dug into the terms of Binance's settlement with feds. The world's biggest crypto exchange is about to open its database of transaction records to US regulators/law enforcement for a "24/7, 365-days-a-year financial colonoscopy."

https://bsky.app/profile/agreenberg.bsky.social/post/3kfvkdgf2bi24