Традиционно по уязвимостям достаточно большой объем, вкратце остановимся на главном.
SAP в своем бюллетене представила исправления для 17 дефектов, включая CVE-2024-41730 с CVSS 9.8, которая позволяет обойти аутентификацию в SAP BusinessObjects 430 и 440 и полностью скомпрометировать систему дистанционно.
Fortinet выпустила исправления для трех уязвимостей в FortiOS, FortiAnalyzer, FortiManager, FortiProxy, FortiPAM и FortiSwitchManager, об использовании какой-либо из них в атаках не упоминается.

Чего не скажешь про решения Adobe, которая одновременно выпустила мощный пак исправлений для 72 уязвимостей, предупреждая пользователей Windows и macOS о рисках RCE, утечки памяти и атак типа DoS.

Только в Acrobat Reader устранено 12, из них 8 критических, из которых минимум 4 дыры эксплуатировались в реальных условиях.

Из 23 уязвимостей в Adobe Commerce, 7 - критических, включая CVE-2024-39397 (CVSS 9.0), связанную с RCE из-за возможности загрузки файла неаутентифицированным пользователем.

Обнаруженные Tenable ошибки службы Azure Health Bot могут быть использованы для горизонтального перемещения и привести к раскрытию конфиденциальных данных клиентов. Доказательств того, что уязвимости были использованы злоумышленниками, не получено.

В случае с интеллектуальными солнечными панелями Enphase все серьезнее.

Исследователи из Голландского института раскрытия уязвимостей (DIVD) обнаружили ряд уязвимостей и смогли отыскать более четырех миллионов открытых для интернета солнечных панелей Enphase в 150 странах.

Уязвимости включают слабые пароли и цепочки эксплойтов RCE до аутентификации. DIVD сообщает, что Enphase выпустила исправления для пяти из шести уязвимостей и сделала эксплуатацию шестой невозможной с помощью любого из других CVE.

У Ivanti как обычно, новые критические уязвимости (и последующие за этим атаки) в Neurons для ITSM, Avalanche и Virtual Traffic Manage.
В Neurons были устранены два дефекта, включая проблему раскрытия информации CVE-2024-7569 (CVSS 9,6), которая могла позволить неаутентифицированному злоумышленнику получить секрет клиента OIDC через отладочную информацию.

Другая CVE-2024-7570 (CVSS 8,3) связана с неправильной проверкой сертификатов и может позволить удаленному злоумышленнику, находящемуся в позиции MiTM, создать токен, который позволит получить доступ к ITSM любому пользователю.

В vTM закрыта CVE-2024-7593 (оценка CVSS 9,8), которую можно было использовать удаленно для обхода аутентификации и создания учетной записи администратора в панели администратора.
Ivanti также анонсировала исправления для пяти уязвимостей высокой степени серьезности в Avalanche, включая четыре, которые позволяют неаутентифицированным злоумышленникам проводить атаки DoS или читать произвольные файлы на сервере.

По данным Ivanti, им неизвестно о случаях эксплуатации какой-либо из этих уязвимостей в реальных условиях, но отмечается, что для критической уязвимости vTM доступен PoC.

FortiGuard Labs

PSIRT Advisories | FortiGuard Labs

Microsoft предупреждает о необходимости исправления Zero-click TCP/IP RCE, которая влияет на все системы Windows с включенным по умолчанию IPv6 и имеет повышенную вероятность эксплуатации.

CVE-2024-38063 была обнаружена СяоВэем из Kunlun Lab и вызвана уязвимостью Integer Underflow, которую можно использовать для переполнения буфера и выполнения произвольного кода в уязвимых системах Windows 10, Windows 11 и Windows Server.
Исследователь не намерен раскрывать подробности в краткосрочной перспективе, учитывая потенциальный ущерб, добавив, что блокировка IPv6 на локальном брандмауэре Windows не заблокирует эксплойты, поскольку уязвимость активируется до ее обработки брандмауэром.

Как пояснила Microsoft, неавторизованные злоумышленники могут удаленно воспользоваться уязвимостью в атаках низкой сложности, многократно отправляя пакеты IPv6, включающие специально созданные пакеты.

Компания также отметила уязвимость меткой «эксплуатация более вероятна».

Более того, Microsoft известно о прошлых случаях эксплуатации этого типа уязвимости, что делает ее привлекательной целью для злоумышленников.

В качестве меры смягчения для тех, кто не может немедленно установить обновления безопасности Windows, Microsoft рекомендует отключить IPv6, чтобы устранить поверхность атаки. 

Однако стек сетевых протоколов IPv6 является обязательной частью Windows Vista и Windows Server 2008 и более новых версий, и не рекомендует отключать IPv6, поскольку это может привести к прекращению работы некоторых компонентов Windows.
В ZDI Trend Micro также назвали CVE-2024-38063 одной из самых серьёзных уязвимостей, исправленных Microsoft в месячном патче, отметив её как уязвимость, способную стать червем.

При этом это уже не первая и, скорее всего, не последняя уязвимость Windows, которую можно эксплуатировать с помощью пакетов IPv6.

За последние четыре года компания Microsoft исправила другие проблемы IPv6, включая CVE-2020-16898/9 (Ping of Death), которые можно использовать для RCE и атак типа DoS с использованием вредоносных пакетов объявлений маршрутизатора ICMPv6.

Кроме того, ошибка фрагментации IPv6 (CVE-2021-24086) сделала все версии Windows уязвимыми для DoS-атак, а уязвимость DHCPv6 (CVE-2023-28231) - возможным получение RCE с помощью специально созданного вызова.

Несмотря на то, что злоумышленники пока не использовали их в широкомасштабных атаках, нацеленных на все устройства Windows с поддержкой IPv6, пользователям рекомендуется немедленно установить последние обновления.

cwe.mitre.org

CWE - CWE-191: Integer Underflow (Wrap or Wraparound) (4.15)

Common Weakness Enumeration (CWE) is a list of software weaknesses.

Все новые и новые операции, проводимые американскими силовиками, вносят диссонанс в разработанную ими же легенду о русских корнях современных банд вымогателей.

На этот раз в результате операции Минюста и ФБР США была ликвидирована серверная инфраструктура группы, известной как Dispossessor и RADAR.
Правоохранители конфисковали девять доменов и 24 сервера, в том числе 3 сервера в США, 3 - в Великобритании, 18 - в Германии, 8 доменов в США и 1 - в Германии.
Кроме того, в розыск объявлен один из организаторов под хакерским псевдонимом «Brain», который, по мнению словаков, находится в Европе, вероятнее в **Польше.

Dispossessor - это довольно уникальная группа, которая образовалась в августе 2023 года и представляет собой совместный проект двух операторов, которые ранее работали на более крупные банды (LockBit, Clop, Hunters International, 8Base и Snatch).**
Партнеры специализировались на взломе корпоративных или государственных сетей, краже файлов, а затем развертывании ransпmware в сети жертвы.

Конкретный штамм обычно арендовывали в той или иной RaaS, получая процент от суммы выкупа.

По сообщениям DataBreaches, SentinelOne, SOCRadar и vxdb, группа в нынешнем виде, по-видимому, образовалась, когда два оператора RADAR и Dispossessor решили объединиться.

По-началу выступали в качестве брокера первоначального доступа на подпольных форумах, позже развились и запустили собственный DLS-сайт в феврале 2024 года, добавив старых жертв своих прошлых атак.

В течение года на сайт начали добавляться новые жертвы, включая Delhi Hospital в Луизиане и Aire Dental в Нью-Йорке.
В мае-июне банда Dispossessor объявила о запуске полномасштабного RaaS с возможностью создания собственных сборок ransomware для своих атак.

Судя по всему, и сайт утечки, и RaaS были созданы на основе утекшего исходного кода банды LockBit, при этом сайт утечки данных по сути представляет собой переработанный в зеленых тонах прежний DLS LockBit.
Что неудивительно, поскольку Dispossessor, по-видимому, был одним из крупнейших операторов LockBit, на счету которого более 330 жертв за время работы в предыдущие годы.

Тем не менее, избежать ошибки в OPSEC банде не удалось, что и привело к логическому завершению карьеры.

Кстати, судя по всему, Dispossessor действительно обладает ограниченными техническими комплекциями, поскольку неоднократно обращалась на хакерских форумах за помощью в сфере ИТ.

DataBreaches.Net

RADAR and DISPOSSESSOR shift to R-a-a-S model

In April, Jim Walter of SentinelOne wrote an article about how some ransomware affiliates were teaming up with others to get paid if they had been cheated by previous partners. Perhaps the best-known recent example of this occurred after ALPHV allegedly secured…

͏На известной хакерской площадке некто под псевдонимом SGK202024 выкатил увесистый лот к продаже, предлагая две крупные утечки.

Первая утечка включает в себя украденные данные в отношении пользователей WeChat в объеме более 300 миллионов идентификаторов в паре с номерами мобильных телефонов, доступных за 300 долларов в различных криптовалютах.

В качестве примера приводится выборка из 1 миллиона записей. Кроме того, субъект реализует 1,13 миллиарда китайских мобильных номеров вместе с номерами IMEI за 250 долларов.

Другая утечка связана с базой данных UnionPay, которая содержит порядка 630 миллионов записей с персональными данными, включая полные имена, номера мобильных телефонов, пол, дату рождения, номера удостоверений личности, адреса и номера банковских карт.

Хакер также представил образцы и оценивает первые две копии предполагаемой утечки в 1000 долларов за каждую, а последующие — в 2000 долларов, с принятием условного депонирования.

На момент публикации ни одна копия еще не продана.

Группа исследователей из ЦИБ имени Гельмгольца CISPA в Германии раскрыла подробности новой уязвимости GhostWrite, уязвимости процессора RISC-V, которую можно эксплуатировать для получения полного доступа к целевым устройствам.
RISC-V - это архитектура с открытым исходным кодом (ISA), предназначенная для разработки специализированных процессоров под различные типы приложений, включая встраиваемые системы, микроконтроллеры, ЦОДы и высокопроизводительные компьютеры.

Исследователи CISPA обнаружили уязвимость в процессоре XuanTie C910 от китайской компании T-Head, который в настоящее время является одним из самых быстрых процессоров **RISC-V.

GhostWrite** позволяет злоумышленникам с ограниченными привилегиями выполнять чтение и запись в физическую память, что потенциально позволяет им получить полный и неограниченный доступ к целевому устройству.

Хотя уязвимость GhostWrite специфична для процессора XuanTie C910, тем не менее затрагивает несколько типов систем, включая ПК, ноутбуки, контейнеры и виртуальные машины на облачных серверах. 

Список уязвимых устройств включает в себя облачные экземпляры Scaleway Elastic Metal RV без ОС, одноплатные компьютеры (SBC) Sipeed Lichee Pi 4A, Milk-V Meles и BeagleV-Ahead, а также некоторые вычислительные кластеры Lichee, ноутбуки и игровые консоли.

Для того, чтобы воспользоваться уязвимостью, злоумышленнику необходимо выполнить непривилегированный код на уязвимом процессоре.

Дабы продемонстрировать свои выводы, исследователи показали, как злоумышленник может использовать GhostWrite для получения привилегий root или извлечения пароля администратора из памяти.

В отличие от многих ранее раскрытых атак на ЦП, GhostWrite не является атакой по сторонним каналам или атакой с кратковременным выполнением, а представляет собой архитектурную ошибку.

Исследователи сообщили о своих выводах T-Head, но неясно, предпринимает ли поставщик какие-либо действия. Оно и понятно, ведь уязвимость является аппаратной ошибкой, которую нельзя исправить обновлениями или исправлениями ПО.

Уязвимости GhostWrite еще не присвоен идентификатор CVE. Признаков того, что уязвимость была использована в реальных целях, исследователи CISPA не заметили.

Однако в настоящее время не существует специальных инструментов или методов для обнаружения атак.

Дополнительная техническая информация представлена в статье.

Исследователями также выпустили фреймворк с открытым исходным кодом под названием RISCVuzz, который использовался для выявления GhostWrite и других уязвимостей ЦП RISC-V.

Исследователи Quorum Cyber сообщают о ransomware-кампании Hunters International, нацеленной на ИТ-работников с помощью нового RAT на языке C# под названием SharpRhino, предназначенного для взлома корпоративных сетей.

Троян распространяется посредством сайта, выдающего себя за ресурс Angry IP Scanner - легитимного сетевого инструмента, используемого ИТ-специалистами.

Вредоносная ПО обеспечивает Hunters International первоначальное заражение, повышение своих привилегий на скомпрометированных системах, выполнение команд PowerShell и в конечном итоге развертываени вредоносной нагрузки.

Причем ранее в январе 2024 года за распространением вредоносного ПО через поддельный сайт Advanced IP Scanner также следили eSentire и исследователь 0xBurgers.
Hunters International - это относительно новая RaaS, запущенная в конце 2023 года и отмеченная как возможный ребрендинг Hiveиз-за схожести кода.

Среди известных жертв - подрядчик ВМС США Austal USA, японская Hoya, Integris Health и онкоцентр Фреда Хатча.
К настоящему времени на счету банды 134 атаки с использованием ransomware на различные организации по всему миру (за исключением стран СНГ), что ставит ее на десятое место среди самых активных группировок в этой области.

SharpRhino распространяется как 32-разрядный установщик с цифровой подписью (ipscan-3.9.1-setup.exe), содержащий самораспаковывающийся защищенный паролем архив 7z с дополнительными файлами для осуществления заражения.

Установщик изменяет реестр Windows для обеспечения его устойчивости и создает ярлык для Microsoft.AnyKey.exe, обычно исполняемого файла Microsoft Visual Studio, который в данном случае используется не по назначению.

Кроме того, установщик запускает LogUpdate.bat, который реализует на устройстве скрипты PowerShell для компиляции C# в память для скрытого выполнения вредоносного ПО.

Установщик также создает два каталога: C:\ProgramData\Microsoft: WindowsUpdater24 и LogUpdateWindows, которые используются для взаимодействия с C2.

В вредоносной ПО жестко запрограммированы две команды: delay для установки таймера следующего запроса POST для получения команды и exit для завершения коммуникации.

Анализ показывает, что вредоносная программа может запускать PowerShell на хосте, что может использоваться для выполнения различных опасных действий.

Новая тактика Hunters International по продвижению сайтов, выдающих себя за легитимные инструменты сканирования сетей с открытым исходным кодом, свидетельствует о нацеленности на ИТ-специалистов в расчете заполучить их учетные записи с повышенными привилегиями.

Quorum Cyber

New Hunters International RAT identified by Quorum Cyber

During a recent ransomware incident investigated by the Quorum Cyber Incident Response team, novel malware was identified previously unknown.

͏Опытный фишер рассказывает пользователю, как он спасет его от страшного заражения.

Рекордные 75 миллионов долларов США!!! были выплачены неназванной компанией в качестве выкупа вымогателям Dark Angels.
Данные представлены исследователями Zscaler ThreatLabz по результатам анализа ландшафта угроз, связанных с ransomware, за период с апреля 2023 года по апрель 2024 года.

Статистика демонстрирует как рост числа атак с использованием программ-вымогателей на 18% по сравнению с прошлым годом, так и сумм выкупов.

Помимо названного рекорда в список компаний, которые, как сообщается, в прошлом выплачивали крупные выкупы, вошли CNA Insurance(40 миллионов долларов),CDK Global(25 миллионов долларов) иChange Healthcare(22 миллиона долларов).

Хотя Zscaler не раскрыл, какая именно компания заплатила выкуп в размере 75 миллионов долларов, они упомянули, что компания входит в списокFortune 50, а атака произошла в начале 2024 года.

Одним из таких, пострадавших от кибератаки в феврале 2024 года, стал фармацевтический гигант Cencora, занявший 10-е место в списке Fortune 50.При этом ни одна банда не взяла на себя ответственность за атаку, что указывает на выплату выкупа.

Что известно про получателя рекордной суммы, Dark Angels - это RaaS, запущенная в мае 2022 года и нацеленная на крупный корпоративный сектор по всему миру, реализуя стратегию «охоты на крупную дичь».

Группировка Dark Angels использует узконаправленный подход, обычно атакуя одну крупную компанию за раз.

Как и большинство, операторы Dark Angels взламывают корпоративные сети и продвигаются горизонтально, пока в конечном итоге не получат административный доступ.

Параллельно крадут данные со скомпрометированных серверов, которые впоследствии используются в качестве дополнительного рычага при истребовании выкупа.

Получив доступ к контроллеру домена Windows, злоумышленники запускают ransomware для шифрования всех устройств в сети.

Изначально злоумышленники использовали шифровальщики Windows и VMware ESXi, созданные на основе утекшего исходного кода Babuk.Позже перешли на Linux-шифратор, который с 2021 года использовал Ragnar Locker.
Группировка также известна кражей огромных объемов информации у жертв - в случае с Johnson Controls они украли 27 ТБ файлов, потребовав выкуп в размере $51 млн.

Рекордный платеж, кстати, также был замечен специалистами Chainalysis, о чем они поделились у себя в X.

Вкратце по уязвимостям и исправлениям, коих оказалось не мало на неделе.
Zoho выпустила два обновления безопасности для своего ПО ManageEngine с исправлением двух SQL-уязвимостей после аутентификации в Exchange Reporter Plus.
Ошибки отслеживаются как CVE-2024-38871 и CVE-2024-38872 (обе с CVSS 8,3), в дикой природе еще не эксплуатировались, во всяком случае пока.

Многострадальная Progress выпустила исправление для не менее многострадального MOVEit Transfer.
Уязвимость неправильной аутентификации CVE-2024-6576 в модуль SFTP имеет CVSS 7.3 и может привести к повышению привилегий. Упоминаний об эксплуатации нет, но зная MOVEit - ожидать определенно стоит.
Salt Security опубликовала технические подробности о XSS-уязвимости в сервисе Hotjar, которая могла раскрыть доступ к пользовательским данным на крупных онлайн-сервисах, включая сайты мировых брендов, таких как Adobe, Microsoft, Panasonic, Columbia, RyanAir, Decathlon, T-Mobile, Nintendo и др.

Теперь для уязвимости CosmicSting Magento доступна несколько PoC-эксплойтов.

При этом уязвимость стала активно эксплуатироваться еще в начале этого месяца.
CloudSEK обнаружила, что злоумышленники использовали уязвимость LFI в Jenkins, идентифицированную как CVE-2024-23897, для взлома репозиториев **Github.

Microsoftсообщила о задействовании 0-day VMware ESXi (CVE-2024-37085) в реальных атаках несколькими злоумышленниками для развертывания программ-вымогателей, таких как Akira и Black Basta.
Уязвимость нулевого дня (CVE-2024-37085) находилась в интеграции ESXi Active Directory.Она позволяла злоумышленникам обходить аутентификацию и создавать пользователей-администраторов на серверах ESXi,** присоединенных к домену.

Manageengine

CVE-2024-38872 - Authenticated SQL injection vulnerability in Exchange Reporter Plus

This page covers the details of the vulnerability in Exchange Reporter Plus and the reported incident's response plan if your system is affected.

Исследователи из watchTowr Labs стали предвестниками новых печальных новостей для владельцев устройств NAS QNAP, которые, как мы знаем, пользуются особым интересом со стороны банд вымогателей и APT.

На этот раз во встроенном ПО NAS обнаружено 15 уязвимостей, некоторые из которых могут быть использованы для атак с удаленным выполнением кода, не требующих аутентификации.

В своем отчете исследователи сосредоточились на на одном из них — CVE-2024-27130, ошибке переполнения стека без аутентификации, которая позволяет удаленно выполнять код (хотя и с небольшим предварительным условием).

Самое печальное то, что к настоящему времени поставщик исправил только первые четыре из пятнадцати, не включая CVE-2024-27130, для них доступны исправленные QTS 5.1.6.2722, сборка 20240402 и QuTS Hero h5.1.6.2734, сборка 20240414.

Тем не менее, после выдачи поставщику ряд продлений срока в рамках скоординированного раскрытия watchTowr Labs опубликовала PoC для одной из наиболее серьезных ошибок в наборе.

Всем затронутым пользователям исследователи порекомендовали рассмотреть возможность отключения таких систем или строго ограничить доступ до тех пор, пока не будут доступны исправления.

А будут они не скоро, ведь, как отметили в watchTowr, у QNAP мягко сказать замудренная кодовая база на любимом языке хакеров C с тяжелыми устаревшими компонентами.

Но это не останавливает исследователей и в ближайшее время будут выходить новые отчеты по оставшимся проблемам, которые с нетерпением также будут ждать операторы DeadBolt, Checkmate и Qlocker.

watchTowr Labs - Blog

QNAP QTS - QNAPping At The Wheel (CVE-2024-27130 and friends)

Infosec is, at it’s heart, all about that data. Obtaining access to it (or disrupting access to it) is in every ransomware gang and APT group’s top-10 to-do-list items, and so it makes sense that our research voyage would, at some point, cross paths with…