Информационная безопасность *

RedHunt Labs на GitHub нашла в публичном репозитории API-токен, позволяющий получить неограниченный доступ к внутренним репозиториям компании Mercedes-Benz, размещённым на внутреннем сервере на базе платформы Github Enterprise Server. Токен был случайно выложен одним из сотрудников Mercedes-Benz среди кода, размещённого в публичном репозитории на GitHub с 29 сентября 2023 года.

Токен был выявлен 11 января 2024 года, а 24 января он был отозван. По заявлению Mercedes-Benz, при помощи этого токена можно было получить доступ не ко всему исходному коду, размещённому на сервере, а лишь к отдельным внутренним репозиториям компании. В RedHunt Labs пояснили, что во внутренних репозиториях, к которым можно было подключиться при помощи этого токена, была закрытая техническая документация и информация, представляющая коммерческую тайну, а также конфиденциальные данные, включая учётные данные для подключения к СУБД, ключи доступа к облачным сервисам, ключи доступа к API и пароли подключения к сервисам.

Ранее эксперты Escape провели сканирование миллиона доменов на предмет наличия в открытом доступе ключей и API-токенов. При сканировании, в ходе которого проанализировано 189.5 млн URL, было выявлено 18458 встроенных на страницы ключей и токенов доступа (к GitHub, GitLab, Stripe, OpenAI, AWS, Twitch, Coinbase, X/Twitter, Slack и Di), из которых 41% являются критически важными, их утеря приводит к значительным финансовым рискам.

СМИ показали комплект официального iPhone с джейлбрейком от Apple для исследователей безопасности.

Apple, судя по всему, восприняла термин «джейлбрейк», используя его в официальных инструкциях к своему смартфону Security Research Device.

«Мы упростили запуск существующих инструментов на устройстве для исследования безопасности. Через подсистему cryptex вы можете загрузить свои инструменты, и они будут работать с привилегиями платформы и любыми правами, которые вы захотите. Это позволяет остальным политикам безопасности оставаться включенными, обеспечивая гибкость взломанного устройства, сохраняя при этом системы, которые вы исследуете, в неповрежденном состоянии, аналогичном как они работают на обычном клиентском устройстве», — говорится в инструкции к тестовому iPhone.

Эксперт ИБ пояснил СМИ, что его устройство «идентично» iPhone 14 Pro. Внизу заблокированного экрана там есть надпись «Устройство для исследования безопасности» и номер телефона Apple для возврата.

В июле 2020 года Apple заявила о старте новой программы по поиску уязвимостей в iOS для ИБ-исследователей — Apple Security Research Device Program. Компания будет выдавать участникам этой программы определенным образом настроенные iPhone под названием «устройства исследования безопасности» (Security Research Device — SRD). Специальные смартфоны будут выдаваться исследователям на 12 месяцев с условием обязательного возврата и возможностью продления периода их использования в случае договоренности с Apple.

Qualys выявила уязвимость CVE-2023-6246 в стандартной библиотеке Glibc, позволяющую через манипуляции с запуском SUID-приложений добиться выполнения кода с повышенными привилегиями. Исследователи представили рабочий локальный эксплойт для получения прав root через манипуляцию с аргументами командной строки при запуске утилиты su.

Уязвимость вызвана переполнением буфера в функций __vsyslog_internal(), используемой при вызове функций syslog() и vsyslog(). Баг возникает из-за ошибки при попытке вывода через макрос SYSLOG_HEADER слишком длинного имени приложения. При попытке расширения буфера с учётом длинного имени возникает сбой, а данные записываются в старый буфер изначального меньшего размера.

При организации атаки через утилиту su атакующий может изменить имя процесса при запуске приложения через замену значения argv[0], которое используется для получения информации об имени программы при выводе в лог, и добиться контролируемой перезаписи данных за пределами выделенного буфера.Переполнение можно использовать для перезаписи структуры ss_module в библиотеке nss для создания разделяемой библиотеки и её загрузки с правами root.

Этот баг есть с выпуска glibc 2.37 (августа 2022 года), включающего изменение, обрабатывающее ситуацию с попыткой записи слишком больших сообщений. Патч был бэкпортирован в ветку glibc 2.36 и и пакеты дистрибутивов с более старыми версиями glibc. Наличие уязвимости подтверждено в Debian 12/13, Ubuntu 23.04/23.10 и
Fedora 37-39.

Источник: OpenNET.

«СберФакторинг» открыла программу поиска уязвимостей на платформе BI.ZONE Bug Bounty. Программа охватывает сайт компании и личные кабинеты клиентов. Как и в случае с другими программами на платформе BI.ZONE Bug Bounty, вознаграждение за подтверждённую уязвимость зависит от уровня её критичности.

По словам директора по информационным технологиям «СберФакторинг» Андрея Глушака, выход на платформу связан с внедрением новых технологий, несущих новые риски.

«СберФакторинг» предоставляет комплекс услуг для предприятий, ведущих торговую деятельность на условиях отсрочки платежа и интегрированием сервисов и собственной онлайн‑платформы, обеспечивающей полностью бесконтактный путь реализации сделки: от заявки на факторинг до финансирования и мониторинга клиентом статусов по поставкам.

Состоялся релиз специализированного дистрибутива Tails 5.22 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для анонимного выхода в сеть.

Анонимный выход в сеть в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1 ГБ.

В Tails 5.22:

• в Tor Browser разрешено сохранение файлов в каталоги Documents, Downloads, Music, Pictures и Videos, а также передача файлов из этих каталогов.

• в случае повреждения постоянного хранилища реализована попытка восстановления файловой системы после её разблокировки на экране приветствия входа в систему.

• при клонировании постоянного хранилища обеспечено отображение скорости записи.

• убраны попытки разблокировки или удаления постоянного хранилища на USB-носителях, доступных только в режиме чтения.

• обновлены версии Tor Browser 13.0.9 и Thunderbird 115.7.

Источник: OpenNET.

Разработчики анонимной сети Tor опубликовали результаты второго аудита со стороны Radically Open Security с апреля по август 2023 года (до этого с ноября 2022 года по апрель 2023 года компанией Cure53 проводился первый аудит). Проверка затронула код для обеспечения работы выходных узлов, браузер Tor Browser, компоненты инфраструктуры (сбор метрик, SWBS, API Onionoo) и утилиты для тестирования.

Основной задачей повторной проверки была оценка изменений, внесённых для повышения скорости и надёжности сети Tor, таких как добавленный в выпуске Tor 0.4.8 протокол разделения трафика Conflux и методы защиты Onion‑сервисов от DoS‑атак на основе доказательства выполнения работы.

В ходе аудита были выявлены 17 уязвимостей. Одна из них отнесена к категории опасных. Четырём уязвимостям присвоен средний уровень опасности, а 12 отнесены к проблемам с незначительным уровнем опасности. Наиболее опасная уязвимость выявлена в приложении onbasca (Onion Bandwidth Scanner), применяемом для сканирования пропускной способности узлов сети.

Уязвимость вызвана возможностью отправки запросов через HTTP-метод GET, позволяющих выполнить подстановку межсайтовых запросов от лица другого пользователя (CSRF, Cross-Site Request Forgery), что даёт атакующему возможность добавить свои мостовые узлы в БД через манипуляцией с параметром bridge_lines.

Источник: OpenNET.

Вышел релиз дистрибутива Parrot 6.0 на пакетной базе Debian и включающий в себя подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены несколько iso-образов с окружением MATE, предназначенных для повседневного использования, тестирования безопасности, установки на платах Raspberry Pi и создания специализированных установок, например, для применения в облачных окружениях.

Проект Parrot позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета вещей. В состав проекта включены криптографические инструменты и программы обеспечения защищённого выхода в сеть, в том числе предлагаются TOR, I2P, anonsurf, gpg, tccf, zulucrypt, veracrypt, truecrypt и luks.

В новой версии:

• осуществлён переход на пакетную базу Debian 12;

• ядро Linux обновлено до 6.5 (c 6.0) с патчами для расширения возможностей сниффинга, подстановки сетевых пакетов и поддержки технологий, связанных с информационной безопасностью;

• в состав включены бэкпортированные для ядра 6.5 модули DKMS с дополнительными драйверами для беспроводных карт, обновлены драйверы Nvidia;

• обновлены многие специализированные утилиты;

• по умолчанию задействован Python 3.11;

• улучшен графический интерфейс.

• из Debian Unstable перенесена свежая версия VirtualBox;

• добавлена поддержка платы Raspberry Pi 5.

  

  Источник: OpenNET.

«Группа Астра» и «Стахановец» подтвердили корректную работу клиентской части программных комплексов «Стахановец 9» и «Стахановец 10» с операционной системой Astra Linux Special Edition. По результатам проведённых испытаний, ПО получило сертификат соответствия в рамках программы Ready for Astra, рассказали информационной службе Хабра в пресс-службе «Группе Астра».

«Стахановец» представляет собой программный комплекс для защиты персональных и коммерческих данных с функционалом кадровой аналитики. Комплекс предназначен для выявления и предотвращения утечек информации (DLP), проведения расследований, включая оценку поведения сотрудников и анализатор рисков, и решения кадровых задач. ПО входит в реестр Минцифры РФ, имеет сертификат ФСТЭК 4 уровня доверия.

Группа компаний (ГК) «Гарда» и компания «К2 Кибербезопасность» объявили о новом сотрудничестве. В рамках сотрудничества компании займутся выявлением и предотвращением атак, направленных на похищение данных. Обе компании будут развивать направление по защите и маскированию баз данных, рассказали информационной службе Хабра в пресс‑службе ГК «Гарда».

Партнёры намерены усилить защиту конфиденциальной информации, управлять доступом к базам данных, проводить мониторинг и аудит действий пользователей и предотвращать попытки несанкционированного доступа в СУБД своих клиентов. Также сотрудничество предусматривает выявление чувствительных данных в информационных системах, обезличивание данных в СУБД, обеспечение необходимой защиты информации при передаче и многое другое.

Как отключить кеширование браузера с помощью мета-тегов HTML.

Правильный минимальный набор заголовков, который работает в наиболее распространённых браузерах:

• Cache-Control: no-cache, no-store, must-revalidate

• Pragma: no-cache

• Expires: 0

Где:

• Cache-Control для HTTP 1.1

• Pragmaдля HTTP 1.0

• Expires для proxies

Разработчики проекта OpenSSH представили план прекращения поддержки ключей на базе алгоритма DSA.

В настоящее время DSA-ключи не обеспечивают должного уровня защиты, так как используют размер закрытого ключа всего в 160 бит и хэш SHA1, что по уровню безопасности соответствует примерно 80-разрядному симметричному ключу.

По умолчанию использование ключей DSA прекращено в 2015 году, но поддержка DSA оставалась в качестве опции, так как данный алгоритм является единственным обязательным к реализации в протоколе SSHv2. Подобное требование появилось из‑за того, что во время создания и утверждения протокола SSHv2 все альтернативные алгоритмы подпадали под действие патентов. Сейчас прекратили действие патенты, связанные с RSA, добавлен алгоритм ECDSA, значительно опережающий DSA по производительности и безопасности, а также EdDSA, который безопаснее и быстрее ECDSA. Единственным фактором продолжения поддержки DSA оставалось сохранение совместимости с устаревшими устройствами.

Разработчики OpenSSH пришли к выводу, что затраты на продолжение сопровождения DSA не оправдывают себя и его удаление позволит стимулировать прекращение поддержки DSA в других реализациях SSH и криптографических библиотеках. В апрельском выпуске OpenSSH планируется сохранить сборку с DSA, но предоставить возможность отключения DSA на стадии компиляции. В июньском выпуске OpenSSH по умолчанию DSA будет отключён при сборке, а в начале 2025 года реализация DSA будет удалена из кодовой базы.

Источник: OpenNET.

Состоялся релиз динамически управляемого межсетевого экрана firewalld 2.1, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект задействован во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+.

Код проекта написан на языке Python и распространяется под лицензией GPLv2.

Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб.

Для изменения конфигурации межсетевого экрана можно использовать графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt). Поддержка управления межсетевым экраном firewalld через D-BUS API firewalld доступна в NetworkManager, libvirt, podman, docker и fail2ban.

Ключевые изменения в версии 2.1:

• добавлен сервис для использования DNS поверх протокола QUIC (DNS over QUIC, DoQ, RFC 9250);

• появилась поддержка типов сообщений ICMPv6 MLD (Multicast Listener Discovery);

• в файл конфигурации firewalld.conf добавлена опция ReloadPolicy;

• добавлены сервисы для приёма клиентских SMTP-запросов на TCP-порту 587 (mail submission), для поддержки ALVR (стриминг VR-игр с ПК на портативные устройства по Wi-Fi) и для поддержки протокола VRRP.

Источник: OpenNET.

Вышел проект развивающего криминалистического OSINT-инструмента, который разыскивает учётные записи пользователей в публичных данных (разведка на основе открытых источников), Snoop 1.4.0.

Программа анализирует различные сайты, форумы и социальные сети на предмет наличия искомого имени пользователя и позволяет определить на каких сайтах имеется пользователь с указанным ником. Проект разработан на материалах исследовательской работы в области скрапинга публичных данных. Сборки подготовлены для Linux и Windows.

Код написан на языке Python и распространяется под лицензией, ограничивающей применение только для личного пользования. При этом проект является ответвлением от кодовой базы проекта Sherlock, поставляемой под лицензией MIT (форк был создан из-за невозможности расширить базу сайтов).

Snoop внесён в российский Единый реестр российских программ для электронных вычислительных машин и баз данных с заявленным кодом 26.30.11.16: "Программное Обеспечение, обеспечивающее выполнение установленных действий при проведении оперативно-розыскных мероприятий: No7012 приказ 07.10.2020 No515". На данный момент Snoop выслеживает наличие пользователя на более 3700 интернет ресурсах в полной версии и по самым популярным ресурсам в Demo-версии.

Изменения в версии 1.4.0:

• поисковая база увеличена до 3716 сайтов;

• ускорен запуск на старых ПК с ОС Windows/HDD;

• обновлён HTML-отчёт.

Источник: OpenNET.

Состоялся выпуск системы синхронизации точного времени NTPsec 1.2.3. Проект является форком эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированной на переработке кодовой базы с целью повышения безопасности (выполнена чистка устаревшего кода, задействованы методы предотвращения атак, защищённые функции для работы с памятью и строками).

Проект NTPsec развивается при участии некоторых разработчиков оригинального NTP Classic, инженеров из Hewlett Packard и Akamai Technologies, а также проектов GPSD и RTEMS. Исходные тексты NTPsec распространяются под лицензиями BSD, MIT и NTP.

Обновления в NTPsec:

• изменено выравнивание пакетов управляющего протокола Mode 6 (может привести к нарушению совместимости с классическим NTP). Протокол Mode 6 используется для передачи сведений о состоянии сервера и изменении поведения сервера на лету;

• в ntpq по умолчанию задействован алгоритм шифрования AES;

• при помощи механизма Seccomp обеспечена блокировка некорректных имён системных вызовов;

• включён ежечасный сброс некоторой статистики. Добавлены лог-файлы с записываемой каждый час статистикой NTS и NTS-KE. Добавлено отражение в логе ошибок и статистики ms-sntp;

• по умолчанию включена сборка с отладочными символами;

• добавлена поддержка указания списка допустимых эллиптических кривых ECDH (настройка tlsecdhcurves), поддерживаемые в OpenSSL;

• в buildprep добавлена опция update;

• в JSON-выводе для ntpdig обеспечен показ данных о задержке пакетов.

Источник: OpenNET.

Angara Security проанализировала более 200 реализованных проектов и конкурсных процедур в сфере анализа защищенности данных за 2022-2023 годы и выяснила:

• около 60% проектов по анализу защищенности реализуется в рамках
  двух ценовых сегментов: от 500 тыс. рублей до 1 млн рублей (23,7%) и от
  1 млн до 2 млн рублей (37%);

• по сравнению с 2022 годом доля проектов в отмеченных ценовых сегментах выросла в среднем на 65%;

• услуги анализа защищенности наиболее востребованы среди финансовых организаций и страховых компаний (около 40% проектов и конкурсных процедур), телеком- и IT-компаний (28,8%).

ИБ-эксперты отметили спрос на решения для мониторинга эффективности средств защиты информации на внешнем периметре, поэтому на рынке также востребованы услуги комплексной симуляции кибератак (red team) с проверкой реакции сотрудников внутренних SOC-центров и ИБ-подразделений в филиалах крупных компаний. Также растет спрос на анализ защищенности в режиме «белого ящика». Такие пентесты выявляют практически все уязвимости приложений и имеют наибольшую эффективность.

Среди перспективных направлений в сфере анализа защищенности аналитики Angara Security также отмечают автоматизацию проверок, которые могут проводиться без привлечения экспертов, а также объединение в комплексные услуги пентестов инструментов OSINT и анализа фишинговых атак, управление поверхностью атаки внешнего периметра, сопоставление актуальных для отрасли техник и атак.

«Яндекс ID» получил международный сертификат безопасности ISO/IEC 27001. В ходе тестирований и проверок независимыми экспертами изучались организационные и технические процессы обеспечения кибербезопасности, политика компании и ее реализация на практике.

ISO/IEC 27001 — это международный стандарт, который определяет требования к системе управления информационной безопасностью (ISMS). Это означает, что компания предотвращает утечки данных и несанкционированный доступ к ним, а также гарантирует бесперебойное выполнение критически важных функций в условиях инцидентов безопасности.

Проверка проводится относительно трех ключевых критериев обеспечения безопасности данных: конфиденциальности, целостности и доступности. Наличие такого сертификата доказывает, что данные пользователей «Яндекс ID» надежно защищены в соответствии с лучшими мировыми стандартами безопасности.

«Яндекс ID» — это единый аккаунт для входа в Go, «Еду», «Почту», «Диск», «Кинопоиск», «Музыку», остальные сервисы «Яндекса» и в центр управления личными данными. С помощью «Яндекс ID» авторизация доступна на сервисах «Яндекса», а также на более чем 15 тыс. других сайтов и мобильных приложений.

Группа компаний «Гарда» заявила о выпуске новой версии системы выявления и реагирования на сетевые угрозы «Гарда NDR 3.4». В новой версии решения появилась возможность быстрее выявлять атаки на корпоративную сеть и создавать новые формы настраиваемых отчётов, рассказали информационной службе Хабра в пресс‑службе ИБ‑компании.

В новой версии системы «Гарда NDR» добавлены такие функции:

• улучшены анализ и обработка сетевых данных за счёт поддержки протокола NSEL. Оптимизация обработки данных NetFlow, включая группировку сессий, позволила наглядно отображать события и сократить время подготовки отчётов;

• усовершенствован процесс обнаружения вредоносного программного обеспечения: внедрён механизм подсчёта хэш‑сумм файлов и ссылка для автоматической проверки на вирусы. Опция помогает обогащать информацию о зловреде;

• добавлена возможность передачи данных в SIEM и поддержку внешних интеграций через Python‑скрипты для ML и пороговых поведенческих моделей;

• сняты ограничения по количеству и вложенности логических групп управления информационными активами, пользователь может создавать и распределять активы в полную иерархическую структуру групп;

• представлен новый редактор отчётов, позволяющий настраивать виджеты в соответствии с индивидуальными потребностям пользователе и получать репорты по расписанию;

• форма отчётов стала гибкой. Виджеты можно экспортировать и импортировать — разработчики облегчили перенос конфигураций дашбордов и упростили настройку.

В подсистеме Netfilter выявлена уязвимость (CVE-2023-6817), потенциально позволяющая локальному пользователю повысить свои привилегии в системе. Проблема вызвана обращением к памяти после её освобождения (use-after-free) в модуле nf_tables, обеспечивающем работу пакетного фильтра nftables. Уязвимость проявляется начиная с версии ядра Linux 5.6. Исправление уязвимости предложено в тестовом выпуске ядра Linux 6.7-rc5 и перенесено в актуальные стабильные ветки 5.10.204, 5.15.143, 6.1.68 и 6.6.7.

Проблема вызвана ошибкой в функции nft_pipapo_walk, из-за которой в процессе перебора элементов PIPAPO (Pile Packet Policies) не проверялось наличие дубликатов, что приводило к двойному освобождению памяти. Для проведения атаки требуется наличие доступа к nftables, который можно получить при наличии прав CAP_NET_ADMIN в любом пространстве имён идентификаторов пользователей (user namespace) или сетевом пространстве имён (network namespace), которые могут предоставляться, например, в изолированных контейнерах. Для тестирования своих систем опубликован прототип эксплоита.

Источник: OpenNET.

В 2023 году количество пользователей сервисов VK, которые усилили защиту своего аккаунта, установив двухфакторную аутентификацию (2FA), достигло 16 млн пользователей (на 21% больше по сравнению с прошлым годом).

Двухфакторная аутентификация усиливает защиту учётных данных пользователей, добавляя дополнительный этап верификации входа по СМС, звонку или с помощью генератора одноразовых паролей. В сервисах VK, а также партнёров компании, двухфакторная аутентификация обеспечивается через единую систему входа VK ID.

В 2023 году месячная активная аудитория VK ID в России достигла 91 млн пользователей, что на 14,6% выше, чем годом ранее. В среднем через VK ID авторизуются более 500 млн человек в месяц.

Flipper Zero используют для рассылки спама по Bluetooth. Впервые об этом сообщил в сентябре исследователь безопасности Techryptic. Атаки изначально устраивали на устройства Apple.

С тех пор разработчики создали специальную прошивку Flipper Zero, которая могла запускать спам-атаки на смартфоны Android и ноутбуки с Windows. Затем Саймон Данкельманн перенёс атаку в приложение для Android, что позволило запускать её без использования Flipper Zero.

Участники конференции Midwest FurFest 2023 сообщили о серьёзных перебоях в работе своих считывателей платежей Square, а другие столкнулись со сбоем контроллера инсулиновой помпы. 

Хотя некоторые утверждают, что Apple незаметно внедрила меры по смягчению последствий атак BLE в iOS 17.2, но в Android проблема так и не была решена.

В BleepingComputer же выяснили, что атаки продолжали работать после установки iOS 17.2.

Новый проект Wall of Flippers направлен на выявление злоумышленников, проводящих спам-атаки. Его участники представили сценарий на Python, который может работать в Linux и Windows, постоянно информируя пользователя о статусе ближайших устройств BTLE, любых потенциальных угрозах и общей активности. Скрипт сканирует пакеты BTLE поблизости и анализирует переданные пакеты на соответствие набору предопределённых шаблонов, которые считаются индикаторами вредоносной активности.

Инструкции по установке WoF и настройке можно найти в репозитории на GitHub.