20242
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
красивое название у уязвимости (точнее, набора из 14) — 5Ghoul. Уязвимость в 5G модемах Qualcomm и MediaTek, которая затрагивает сотни смартфонов на Android и iOS, и другие устройства. основной результат эксплуатации — denial of service, то есть невозможность использовать 5G. Иногда - ребут модема.
https://asset-group.github.io/disclosures/5ghoul/
Читатель прислал письмо, которое получил. Взломали Bangkok Airways, унесли данные участников программы по накоплению миль, включая имена, адреса, телефоны, явки…
Читать полностью…
I dug into the terms of Binance's settlement with feds. The world's biggest crypto exchange is about to open its database of transaction records to US regulators/law enforcement for a "24/7, 365-days-a-year financial colonoscopy."
https://bsky.app/profile/agreenberg.bsky.social/post/3kfvkdgf2bi24
очень интересная история, которая сегодня перешла в публичное обсуждение. Офис американского сенатора Роя Вайдена получил информацию о том, что существует программа, в рамках которой правительство США запрашивает у Google и Apple информацию о пуш-уведомлениях, которые компании рассылают пользователям. в рамках офиса они провели расследование, и призвали правительство разрешить компаниям информировать пользователей об этой программе.
Похоже, что сами уведомления, которые в случае Apple используют Apple Push Notification Service, а в случае Android — Google’Firebase Cloud Messaging, зашифрованы и доступа к содержимому нет. Но даже мета-данные уведомлений могут предоставить заинтересованной стороне много полезной информации — например, второго участника переписки, информацию о приложениях, которые используют пользователи (и получают от них уведомления. Если это приложение о доставке чего-то, то можно, наверно, вычислить примерное местоположение, и тд.
И Google, и Apple подтвердили, что подобная программа была запрещена к разглашению указанием правительства. Поэтому, например, Apple не могла указывать ее в ежегодном отчете о "прозрачности", что, конечно, вызывает вопрос о том, что еще компании не могут указывать в таких отчетах, и какая реальная ценность этих отчетов в таком случае. как минимум, в случае с этой историей, Apple теперь будет вынуждена включать информацию об этой программе в своем отчете.
письмо из офиса сенатора:
https://www.documentcloud.org/documents/24191267-wyden_smartphone_push_notification_surveillance_letter_to_doj_-_signed
и как это часто бывает в случае минорных апдейтов iOS/iPadOS/macOS:
Apple is aware of a report that this issue may have been exploited against versions of iOS before iOS 16.7.1.
https://support.apple.com/en-us/HT214031
https://support.apple.com/en-us/HT214032
BLUFFS — новый набор атак на Bluetooth, позволяющий расшифровывать данные в сессии обмена данными. Включает в себя парочку новых уязвимостей, затрагивает Bluetooth версий от 4.2 до 5.4
https://dl.acm.org/doi/pdf/10.1145/3576915.3623066
https://francozappa.github.io/post/2023/bluffs-ccs23/
кстати о Microsoft. отчет исследователей о том, как они смогли обойти датчики отпечатков пальцев в Windows Hello с помощью Raspberry Pi и Linux. Особенная вишенка на торте — то, что в ноутбуке Microsoft Surface компания не использует Secure Device Connection Protocol (SCDP), которая сама же разработала для валидации датчиков и шифрования передачи данных.
https://blackwinghq.com/blog/posts/a-touch-of-pwn-part-i/
Злоумышленники активно используют две новые уязвимости нулевого дня для объединения маршрутизаторов и видеорегистраторов во враждебную бот-сеть, используемую для распределенных атак типа "отказ в обслуживании", сообщили в четверг исследователи из компании Akamai.
https://www.akamai.com/blog/security-research/new-rce-botnet-spreads-mirai-via-zero-days
смешно, но дальше даже немного хуже :)
Читать полностью…
Берегите свои ssh ключи смолоду
Впервые исследователи продемонстрировали, что значительная часть криптографических ключей, используемых для защиты данных в SSH-трафике между компьютерами и серверами, уязвима для полной компрометации при возникновении естественных вычислительных ошибок в процессе установления соединения.
Уязвимость проявляется в ошибках при генерации подписи, возникающих при установлении соединения между клиентом и сервером. Она затрагивает только ключи, использующие криптографический алгоритм RSA, который исследователи обнаружили примерно в трети изученных ими подписей SSH.
https://eprint.iacr.org/2023/1711.pdf
Пошла активная эксплуатация уязвимости в Atlassian Confluence Server
ntkramer/111358137312740939" rel="nofollow">https://infosec.exchange/@ntkramer/111358137312740939
https://viz.greynoise.io/tag/atlassian-confluence-server-authentication-bypass-attempt?days=3
bitwarded добавляет поддержку passkeys
https://bitwarden.com/help/releasenotes/#:~:text=Save%20passkeys%20to%20your%20vault%3A
красивое, как с помощью Flipper Zero можно отправить айфоны в ближайшем радиусе в бесконечную перезагрузку
https://arstechnica.com/security/2023/11/flipper-zero-gadget-that-doses-iphones-takes-once-esoteric-attacks-mainstream/
https://ileakage.com
We present iLeakage, a transient execution side channel targeting the Safari web browser present on Macs, iPads and iPhones. iLeakage shows that the Spectre attack is still relevant and exploitable, even after nearly 6 years of effort to mitigate it since its discovery. We show how an attacker can induce Safari to render an arbitrary webpage, subsequently recovering sensitive information present within it using speculative execution. In particular, we demonstrate how Safari allows a malicious webpage to recover secrets from popular high-value targets, such as Gmail inbox content. Finally, we demonstrate the recovery of passwords, in case these are autofilled by credential managers.
неважно какой у вас менеджер паролей, ясно? :)
у Apple сегодня вышли апдейты iOS/iPadOS/macOS и тд, и как обычно, там есть и улучшения безопасности
например, iOS 17.2 исправляет 10 различных уязвимостей. Но хорошие новости, например, что ни одна из них, похоже, не была zero day с активной эксплуатацией.
https://support.apple.com/en-us/HT214035
"Департамент СМИ и рекламы Москвы запретил владельцам билбордов размещать рекламу с QR-кодами
Это произошло после того, как вчера ФБК разместил в столице, а также Петербурге и Новосибирске билборды, на которых QR-код, изначально отсылавший на нейтральный сайт, в итоге путем редиректа перенаправлял на сайт антипутинской кампании."
это очень смешно, а также нет :)
Atlassian молодцы, на 9 из 10 (в смысле, по критичности уязвимостей)
• CVE-2023-22522: Template injection flaw allowing authenticated users, including those with anonymous access, to inject unsafe input into a Confluence page (critical, with a 9.0 severity score). The flaw impacts all Confluence Data Center and Server versions after 4.0.0 and up to 8.5.3.
• CVE-2023-22523: Privileged RCE in Assets Discovery agent impacting Jira Service Management Cloud, Server, and Data Center (critical, with a 9.8 severity score). Vulnerable Asset Discovery versions are anything below 3.2.0 for Cloud and 6.2.0 for Data Center and Server.
• CVE-2023-22524: Bypass of blocklist and macOS Gatekeeper on the companion app for Confluence Server and Data Center for macOS, impacting all versions of the app prior to 2.0.0 (critical, with a 9.6 severity score).
• CVE-2022-1471: RCE in SnakeYAML library impacting multiple versions of Jira, Bitbucket, and Confluence products (critical, with a 9.8 severity score).
Вот это сюрприз так сюрприз, никто этого не мог предсказать
https://techcrunch.com/2023/12/04/23andme-confirms-hackers-stole-ancestry-data-on-6-9-million-users/
Если у вас Хром на Маке, то не задерживайте с апдейтом
Google is aware that an exploit for CVE-2023-6345 exists in the wild.
https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html
Эксплуатация уязвимости в ownCloud с получением полного контроля над сервером
https://www.greynoise.io/blog/cve-2023-49103-owncloud-critical-vulnerability-quickly-exploited-in-the-wild
Сама уязвимость
https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
Эта история про то, как разработчик смартфона Nothing попытался сделать bridge для iMessage, и какой кластерфак приватности из этого получился
https://arstechnica.com/gadgets/2023/11/nothings-imessage-app-was-a-security-catastrophe-taken-down-in-24-hours/
да что вы знаете о кибербезопасности. ФБ нашел пост 10-летней давности про шутку о совпадении чисел 11 декабря 2013 года — в определенное время могла получиться длинная последовательность последовательных чисел. причем это даже был репост из твиттера с комментарием. И решил, что это имеет какоето отношение к кибербезопасности.
И так у них все.
SysAid предупреждает, что хакеры, которые связаны со взломом MoveIT, похоже, эксплуатируют zero day уязвимость в их ПО для автоматизации
https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification
Через взлом службы поддержки Okta были украдены токены доступа клиентов компании
https://sec.okta.com/harfiles
тут какаято история про то, Евросоюз хочет обязать браузеры, доступные в европе, доверять ключам и сертификатам, выбранным европейским правительством. Что позволит им перехватывать трафик, разумеется.
https://last-chance-for-eidas.org
Компания по генетическому тестированию 23andMe столкнулась с коллективным иском из-за своих практик в области безопасности после того, как хакеры похитили и опубликовали данные о миллионе человек с еврейским происхождением.
Утечка данных была обнародована после того, как хакеры разместили базу данных с названием "Ashkenazi DNA Data of Celebrities" на форумах в темных уголках интернета. Большинство людей в списке не являются знаменитостями, и база данных содержит информацию, такую как отображаемые имена, пол, год рождения и некоторые сведения о генетическом происхождении пользователей.
Хакер, который впервые устроил утечку, предложил продать профили данных оптом по цене от 1 до 10 долларов за аккаунт. Однако может быть продано до 7 миллионов аккаунтов — половина пользователей 23andMe. Неясно, является ли тот, кто составил список Ashkenazi, — на самом деле в нем 999 999 записей, — тем же человеком или группой, которая выставила его на продажу, сообщили в NBC News.
23andMe рассматривает эту утечку как подлинную и проводит расследование инцидента. Кроме того, она требует от своих пользователей изменить пароли.
23andMe подтвердила, что ее данные были скомпрометированы, но утверждает, что ее системы не были нарушены.
там в Торонто на прошлой неделе проходила PWN2OWN, где исследователи соревнуются в взламывании разных устройств и программных продуктов.
Тут можно посмотреть результаты взломов
https://www.zerodayinitiative.com/blog
У меня просто глаз зацепился за новость “Security researchers hacked the Samsung Galaxy S23 smartphone two more times on the second day of the Pwn2Own 2023 hacking competition in Toronto, Canada.”
1Password, a password manager used by millions of people and more than 100,000 businesses, said it detected suspicious activity on a company account provided by Okta, the identity and authentication service that disclosed a breach on Friday.
“On September 29, we detected suspicious activity on our Okta instance that we use to manage our employee-facing apps,” 1Password CTO Pedro Canahuati wrote in an email. “We immediately terminated the activity, investigated, and found no compromise of user data or other sensitive systems, either employee-facing or user-facing.”
https://arstechnica.com/security/2023/10/1password-detects-suspicious-activity-in-its-internal-okta-account/
Будем надеяться, что в этот раз пронесло.