чуваки нашли дыру в VPN-серверах Palo Alto Networks (уровень опасности 9,8 из 10), и 12 месяцев использовали её в своих продуктах для тестирования защиты сетей клиентов. Доступ к данным внутри сетей, получение данных учетных записей, просмотр устройств внутри сетей, и тд. Опасносте!

https://www.randori.com/blog/cve-2021-3064/

CEO компании поясняет, почему для них было важно использовать обнаруженную уязвимость — для реалистичности тестирования, как это бывает в реальном мире
https://www.randori.com/blog/why-zero-days-are-essential-to-security/

Позиция, возможно, спорная, но имеет право на жизнь.

PAN исправили уязвимость и апдейты можно найти тут
https://security.paloaltonetworks.com/CVE-2021-3064

если вы получили письмо от почтовых серверов ФБР сегодня, то а) поздравляю! б) похоже, чтото там у них в почте сломали

https://old.reddit.com/r/sysadmin/comments/qsun7o/email_from_fbi_looks_odd/

в) пока что все разбираются
https://twitter.com/spamhaus/status/1459450061696417792

"The FBI and CISA are aware of the incident this morning involving fake emails from an @ic.fbi.gov email account. This is an ongoing situation and we are not able to provide any additional information at this time."

Детали по поводу уязвимости, с помощью которой был разослан спам с домена американской ФБР. По сути, чувак нашёл форму, которая через POST запрос отправляла регистрирующемуся пользователю одноразовый пароль. Подмена параметров в запросе позволяла отправлять письма кому попало, чем и воспользовался исследователь (хакер?]. Вопрос в том, будет ли теперь его преследовать за это ФБР?  

https://krebsonsecurity.com/2021/11/hoax-email-blast-abused-poor-coding-in-fbi-website/

Ссылка от читателя на тему канала — о том, что якобы сервис Booking.com еще в 2016 году был взломан неким американцем, работающим на разведывательные органы США. В результате взлома были похищены данные на клиентов сервиса — имена и планы поездок — проживающих в странах Ближнего Востока. Booking.com утверждает, что провели проверку и не обнаружили следов доступа к личным или финансовым данным клиентов. Может ли это служить подтверждением взлома — не очень понятно

https://arstechnica.com/gadgets/2021/11/new-book-claims-us-intel-agency-hacked-booking-com-in-2016/

На прошлой недел Google Threat Analysis Group — команда по обнаружению компьютерных злоумышленников — опубликовала отчет о кампании, в рамках которой некие злоумышленники использовали на тот момент неизвестную уязвимость в macOS для атак на активистов в Гонконге.

https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/

Представители Google утверждают, что не могут однозначно сказать, кто стоит за этой атакой, но она имеет все признаки поддержки государства. Кампания была обнаружена в августе этого года и в сентбяре Apple выпустила обновление, исправляющее уязвимость.

Сама атака представляла собой формат "водопоя", когда легитимные сайты были взломаны и содержали в себе вредоносное ПО, эксплуатирующее zero-day уязвимость. Интересно, что параллельно к уязвимости нулевого дня в атаке также применялась и уже известная уязвимость, которую Apple исправила в версии macOS Big Sur, но на тот момент не исправила в версии Catalina. Предполагалось, что исправленная уязвимость была "совместима" только с Big Sur, но оказалось, что в предыдущей версии системы она тоже присутствовала.

также тут можно почитать детальный анализ самого вредоносного кода и его функциональности (скриншоты экрана, закачка файлов, выполнение терминальных команд, запись аудио, кейлоггинг), и даже для желающих — скачать его.
https://objective-see.com/blog/blog_0x69.html

Robinhood теперь «уточнил», что во время взлома сервиса украли еще и номера телефонов тысяч клиентов

https://blog.robinhood.com/news/2021/11/8/data-security-incident

И данные уже выставлены на продажу

https://www.bleepingcomputer.com/news/security/7-million-robinhood-user-email-addresses-for-sale-on-hacker-forum/

Таргетированный фишинг через 3…2…1…

Журналист BBC попытался в Москве найти концы хакеров, которые якобы связаны с Evil Corp (я чето не смог найти на русском версию. но TL;DR версия — поговорил с людьми, которые все отрицали, звонил на телефоны, где клали трубку).

https://www.bbc.com/news/technology-59297187

Не одна, а сразу две серьезные уязвимости, которые затрагивают целый набор процессоров Intel, и позволяют злоумышленникам эскалировать свои права на устройствах. Обе уязвимости находятся в BIOS некоторых процессоров Intel — собственно, никакого rocket science, а, например, неправильная проверка введенных данных. Работает это все только при наличии физического доступа к устройству.  Затронуты процессоры
• Intel® Xeon® Processor E Family
• Intel® Xeon® Processor E3 v6 Family
• Intel® Xeon® Processor W Family
• 3rd Generation Intel® Xeon® Scalable Processors
• 11th Generation Intel® Core™ Processors
• 10th Generation Intel® Core™ Processors
• 7th Generation Intel® Core™ Processors
• Intel® Core™ X-series Processors
• Intel® Celeron® Processor N Series
• Intel® Pentium® Silver Processor Series

Собственно, рекомендация простая: поставьте апдейт, пожалуйста.

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00562.html

Ну и чтобы два раза не вставать, еще одна уязвимость в Intel, обнаруженная экспертами компании Positive Technologies:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00528.html

https://www.ptsecurity.com/ww-en/about/news/positive-technologies-discovers-vulnerability-in-intel-processors-used-in-laptops-cars-and-other-devices/

Интересно, что один из затронутых процессоров — Intel Atom E3900 используется в нескольких моделях автомобилей, в том числе в Tesla Model 3.

=== РЕКЛАМА ====

5 коротких видеороликов, которые зайдут и профи, и новичку в ИБ

Не  всегда успеваете следить за теми направлениями ИБ, в которых сейчас не делаете ничего руками? Смотрите короткие ролики Security Small Talk.

Самая улыбчивая на рынке ИБ Лера Суворова и пять узких специалистов за пять минут освежат ваши знания и дополнят их своим практическим опытом. Полезно будет и начинающим безопасникам, и перегруженным ИБ-шникам, и ИТ-специалистам, и студентам.

Уже ждут просмотров ролики о Deception, защите данных в облаках, киберполигонах, автопентесте и Digital Risk Protection.

Вот ссылка на все ролики Вот ссылка на все ролики

А o Deception можно посмотреть, не выходя из канала
https://youtu.be/VQq-KL8_S1c

И не забываем про то, что на этой неделе у Microsoft был ноябрьский patch tuesday! Количество исправленных CVE — 55 штук! ну, допустим, не 71, как в октябре, но тем не менее. 6 из них критичные, 49 — так, ерунда, не стоит даже и упоминаний 🙂

https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov

Вот эта в Exchange Server, например, находится в активной эксплуатации
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321

Более полный обзор патча тут — https://www.zerodayinitiative.com/blog/2021/11/9/the-november-2021-security-update-review

но вы и так знаете, что делать 🙂

лол
https://twitter.com/troyhunt/status/1461445558833352704

Берегите свои печеньки!

TL;DR - предполагается, что утекшие файлы сами пользователи GitHub выложили по ошибке

https://www.theregister.com/2021/11/18/firefox_cookies_github/

хакеры у хакеров украли кораллы. ой, в смысле не украли, а пытались, и не кораллы, а инструменты для взлома: серверные корейцы против китайцев

https://www.thedailybeast.com/north-korean-hackers-caught-snooping-on-chinas-cyber-squad?ref=home

Meta (которая владеет Facebook, Instagram и WhatsApp), планировала ввести сквозное шифрование в коммуникационных продуктах уже в следующем году, но теперь обещает закончить это "гдето в 2023 году".

We’re taking our time to get this right and we don’t plan to finish the global rollout of end-to-end encryption by default across all our messaging services until sometime in 2023.

https://www.telegraph.co.uk/business/2021/11/20/people-shouldnt-have-choose-privacy-safety-says-facebook-safety/

интересный тред на твиттере о том, как в ФБ просрали полимеры с внедрением сквозного шифрования в своих продуктах в рамках инициативы объединения ФБ, ИГ и ВА. TL;DR: это непросто, плюс "менеджмент" — любители бросаться из крайности в крайность, не думая о деталях имплементации

https://twitter.com/elegant_wallaby/status/1462845336288825344

Никогда такого не было, и вот опять - новый zero-day для Windows 10/11. Позволяет стать администратором обычным пользователям.

https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/

Компания GoDaddy подала в Комиссию по ценным бумагам США уведомление о том, что компания обнаружила неавторизованный доступ к своим системам, где хостятся и управляются сервера WordPress клиентов компании. В уведомлении говорится, что злоумышленник использовал скомпрометированный пароль и получил доступ в районе 6 сентября. GoDaddy обнаружили факт взлома 17 ноября.

В результате взлома был получен доступ к данным на 1,2 млн активных и неактивных пользователей WordPress — что привело к утечке адресов электронной почты и номерам клиентов. Ущерб: увеличение рисков фишинговых атак. В том числе утек и пароль по умолчанию для WordPress, когда он создается. Кроме этого, утекли данные аккаунтов sFTP и логин-пароли к базам данных WordPress, а в некоторых случаях — и приватные ключи SSL. Всем все сбросили, новые ключи SSL выдают. Правда, все равно непонятно, что там делает их служба безопасности, которая два месяца не могла обнаружить взлом.

https://www.sec.gov/Archives/edgar/data/1609711/000160971121000122/gddyblogpostnov222021.htm

о! красивое!

It appears that GoDaddy was storing sFTP credentials either as plaintext, or in a format that could be reversed into plaintext. They did this rather than using a salted hash, or a public key, both of which are considered industry best practices for sFTP. This allowed an attacker direct access to password credentials without the need to crack them.
According to their SEC filing: “For active customers, sFTP and database usernames and passwords were exposed.”

https://www.wordfence.com/blog/2021/11/godaddy-breach-plaintext-passwords/

https://www.apple.com/ru/newsroom/2021/11/apple-sues-nso-group-to-curb-the-abuse-of-state-sponsored-spyware/

Ну что тут добавить, кроме как «что ж так тянули?»

Да, новость про иск Apple к NSO забавная. У меня вчера уже была открыта одна ссылка про NSO — о достаточно плачевной ситуации в компании. Серьезные долги (около 500 млн), отваливающиеся контракты, растущие риски того, что компания прекратит свою деятельность, тут еще санкции со стороны США подкатили.

https://www.technologyreview.com/2021/11/23/1040509/france-macron-nso-in-crisis-sanctions/

Ну и иск Apple, ссылку на новость о котором я давал вчера. Вот ссылка еще на полный документ иска (PDF):
https://www.apple.com/newsroom/pdfs/Apple_v_NSO_Complaint_112321.pdf

Забавно, как Apple, обычно избегающая в официальных анонсах упоминания конкурентов, пишет:

"Атаки с использованием этой технологии направлены на очень небольшое количество пользователей, но охватывают разные платформы, в том числе iOS и Android." Конечно, "мы тут все страдаем", если надо нарисовать картину общего бедствия. Ну и вообще фокус на вполне конкретном эксплойте FORCEDENTRY, который использовала NSO для взлома телефонов журналистов и других активистов. Более того, речь о том, что именно инженеры компании разработали этот эксплойт.

А вообще забавно другое: в частности, юрисдикция иска. NSO, как известно, компания израильская, но Apple подает в суд в северной Калифорнии. Почему? Все просто: инженерам NSO для разработки, тестирования и проведения атак нужен был доступ к iCloud, поэтому они создали более сотни фиктивных Apple ID. Но при создании Apple ID. они должны были принять пользовательское соглашение iCloud, в котором говорится, что все действия будут регулироваться законами штата Калифорния. Подозреваю, что снисхождения в Калифорнии NSO не получит.

Со своей стороны NSO утверждает, что продает свои решения только правительствам и правоохранительным органам, имеет инструменты предотвращения неправильного использования (но при этом в каком-то очередном скандале утверждали, что не видят, кто и как использует инструменты), а также что благодаря их инструментам были спасены "тысячи жизней".

А еще хорошие новости — то, что организации, которые ищут и находят подобные атаки — в частности, Citizen Lab — получат 10 миллионов долларов от Apple, а также любые выплаты NSO, которые будут присуждены Apple. Финансирование этих организаций — точно благое дело.

PS Важный момент, за которым нужно будет следить: чтобы подобные иски не привели к мерам против легитимных исследователей безопасности, которые могут взламывать системы и устройства в поисках уязвимостей.