На прошлой неделе компания Forescout выложила подробный отчет об обнаружении 14 уязвимостей в роутерах тайваньской компании DrayTek, используемых, как правило, в корпоративном окружении. Одна из уязвимостей имеет максимальный рейтинг 10 баллов по шкале CVSS v3 и может приводить к выполнению произвольного кода.



Всего уязвимостям подвержены 24 модели роутеров данного производителя, из которых 11 официально более не поддерживаются производителем. Впрочем, несмотря на это, обновления прошивок, устраняющих уязвимости, выпущены для всех затронутых устройств и доступны на сайте производителя. В устаревших роутерах была закрыта только одна, наиболее опасная, уязвимость.

Главным событием прошлой недели в области информационной безопасности стало обнаружение четырех уязвимостей в службе печати Common Unix Printing System. Уязвимости актуальны для множества Linux- и Unix-дистрибутивов. И сами уязвимости, и способ их эксплуатации, разработанный первооткрывателем, исследователем Симоном Маргарителли, представляют большой интерес. Впрочем, помимо технических особенностей проблемы, на прошлой неделе также имела место драма со сложностями процесса ответственного раскрытия информации, а также с чрезмерным обсуждением персональных особенностей людей, вовлеченных в процесс.



Суть исследования Маргарителли приведена на скриншоте выше: в некоторых случаях мы можем обратиться к серверу, на котором установлен и запущен компонент cups-browsed, и без спроса добавить собственный принтер. С помощью всех остальных уязвимостей мы можем вызвать выполнение произвольного кода. Звучит страшновато, но для объективной оценки лучше сослаться на бюллетень компании Canonical: проблема затрагивает в основном десктопные системы и не может быть проэксплуатирована без участия пользователя. У этой простой формулировки есть множество дополнений мелким шрифтом, которые мы постараемся кратко изложить далее.

Важным событием прошлой недели стала масштабная попытка кражи данных у пользователей сервиса GitHub (новость на сайте BleepingComputer, новость на Хабре). Злоумышленники использовали стандартную функциональность репозитория, открывая новую запись в разделе Issues. В результате владельцы репозитория получали на почту уведомление следующего вида:



После перехода по ссылке на более не действующий сторонний сайт пользователю выводилось предложение «проверить, что вы не робот». И далее следовала гениальная находка атакующих: для «верификации» предлагалось открыть меню выполнения команд в Windows с помощью комбинации клавиш Win+R и вставить туда предварительно помещенный в буфер обмена кусок кода. Этот код открывал консоль PowerShell, скачивал и выполнял вредоносный файл. Если вам кажется, что настолько прямолинейная атака уж точно не затронет разработчиков, есть как минимум один аргумент, почему все же стоит опасаться и таких «вредоносных программ в ручном режиме».

Расскажем, почему изоляция от коллег и руководителя – это база, и в чем польза cтагнации.

Нет в жизни разработчика более надоедливого архетипа коллеги, чем “неравнодушный советчик”, который спешит причинить добро вне зависимости от твоего желания и последствий этого причинения. Причем, каждый второй обязательно собрал целое комбо из этих квазиполезных рекомендаций и готов делиться ими при каждом удобном случае. Мы нашли целых четверых таких советчиков и решили предоставить им трибуну для причинения добра в особо крупных размерах!



26 сентября мы проведем онлайн-митап “10+ вредных советов мобильному разработчику: как точно завалить проект и карьеру”. На нем опытные лиды и разрабы расскажут, какие действия обязательно затормозят твой промоушн и подожгут любой релиз.

Седьмого сентября исследователь Мордехай Гури опубликовал новую работу, предложив атаку PIXHELL — очередной метод эксфильтрации данных из компьютера, изолированного от Интернета и локальной сети. Гури — известный специалист по решению задач такого рода. За последние 10 лет он опубликовал минимум два десятка работ. Все они так или иначе решают следующую проблему: есть компьютер с особо секретными данными, отключенный от сети. Мы предполагаем, что на этом ПК каким-то образом удалось запустить вредоносное программное обеспечение, способное собрать секретную информацию. Осталось выяснить, как ее оттуда извлечь. Очевидные способы (подкупить сотрудника, заслать в охраняемое помещение шпиона) Мордехай Гури отметает как слишком скучные и вместо этого изобретает все новые нетривиальные подходы, которые наверняка учитываются в наиболее параноидальных сценариях защиты информации.



Во всех своих работах Мордехай Гури описывает несколько общих способов организации скрытного канала передачи информации: это звук, свет, тепло, магнитное и электромагнитное излучение. Свежая работа описывает создание акустического канала эксфильтрации. Самый простой метод такого рода был описан в 2018 году: через динамики ноутбука или даже PC Speaker на материнской плате десктопа воспроизводятся аудиосигналы высокой частоты, которые люди в помещении, скорее всего, не услышат. Свежее исследование организует акустический канал чуть более сложным образом, используя паразитный шум электронных цепей компьютерного монитора.

Важной новостью прошлой недели стало обнаружение достаточно серьезной уязвимости в аппаратных ключах YubiKey 5, используемых для многофакторной аутентификации, в том числе по стандарту FIDO. Исследователи из компании NinjaLab показали (сайт проекта, исследовательская работа, пересказ для простых смертных в издании Ars Technica), как можно, по сути, такой ключ клонировать и в дальнейшем получать доступ к сервисам ничего не подозревающей жертвы. Атаку назвали EUCLEAK.



Исследование представляет интерес скорее своей сложностью, а не потенциальными последствиями. Для успешной атаки требуется физический доступ к устройству. Более того, нужно будет разобрать устройство и поработать паяльником, а сама атака занимает (в худшем случае) около 10 часов. В случае если речь идет об особо ценной информации, впрочем, и такие усилия могут быть оправданы. Но настоящая заслуга NinjaLab заключается в том, что они нашли уязвимость в особо защищенном и очень хорошо протестированном микроконтроллере компании Infineon, который используется и в контроллерах YubiKey, и во многих других устройствах.

На прошлой неделе исследователи Сэм Карри и Иэн Кэрролл сообщили о серьезной уязвимости в одном из сервисов, используемых для обеспечения безопасности в аэропортах США. В этой стране контроль безопасности во всех аэропортах передан общей администрации, известной как Transportation Security Administration. TSA обеспечивает в том числе специальные программы TSA PreCheck, ускоряющие проход для обычных пассажиров. Для пилотов и членов экипажей, как правило, предусмотрена отдельная очередь. Как выяснили Карри и Кэрролл, для записи в «члены экипажа» существует отдельная система, открытая для ряда сторонних организаций. И в одном из таких сторонних сервисов обнаружилась довольно банальная уязвимость.



В исследовании речь идет не только о быстром прохождении через контроль безопасности в аэропортах. Помимо этой системы, известной как Known Crewmember, существует также база данных Cockpit Access Security System. Она позволяет получить доступ в кокпит самолета. Например, если пилот авиакомпании летит пассажиром, то он может воспользоваться свободным местом в кабине летного экипажа. Администрированием этих двух систем занимается коммерческая компания Collins Aerospace, но она по сути предоставляет API, в то время как реальными «пропусками» управляют отдельные авиакомпании. И вот здесь авторы исследования наткнулись на сервис FlyCASS. В то время как крупные авиакомпании имеют собственные проприетарные системы контроля доступа, FlyCASS предоставляет услуги более мелким операторам. На сайте FlyCASS.com для каждого из них предусмотрен отдельный личный кабинет.

На прошлой неделе специалисты «Лаборатории Касперского» опубликовали отчет об эволюции уязвимостей в ПО за второй квартал 2024 года. Отчет основан на статистике из внешних источников и собственных данных компании. Особый интерес представляет статистика уязвимостей, эксплуатировать которые пытается реальное вредоносное ПО. Судя по этим данным, киберпреступники достаточно активно эксплуатируют несвежие проблемы в популярном программном обеспечении. В частности, пользователи компьютеров под управлением Windows чаще всего сталкиваются с эксплойтами, нацеленными на уязвимости, обнаруженные и закрытые от трех до семи лет назад. Эксплойты под Linux чаще нацелены на более свежие уязвимости в ядре ОС.


Совершенно противоположную картину демонстрирует статистика по часто эксплуатируемым уязвимостям в таргетированных атаках, нацеленных на бизнес. В этом случае в TOP 10 уязвимостей представлено куда больше недавно обнаруженных проблем, включая, например, уязвимость в VPN-сервере Ivanti Connect Secure. Помимо общей статистики, авторы отчета также выбрали три наиболее «интересные» уязвимости среди обнаруженных во втором квартале 2024 года.

На прошлой неделе компания iVerify обнародовала (оригинальное исследование, пост на Хабре) информацию об уязвимом приложении, которое устанавливалось на большинство смартфонов Google Pixel с сентября 2017 года. Приложение, известное как Showcase.apk, изначально было разработано по заказу сотового оператора Verizon и использовалось им для перевода телефона в специальный деморежим. Широкие привилегии приложения, невозможность удалить его стандартными методами теоретически позволяют перехватить контроль над устройством.



Главная претензия iVerify к приложению Showcase — небезопасный метод загрузки обновлений со стороннего сервера. При первом запуске программа обращается к серверу по незащищенному протоколу HTTP и скачивает обновления. Система верификации скачанного присутствует, но по факту не работает. Теоретически можно представить сценарий атаки типа man-in-the-middle, при котором Showcase.apk перенаправляется на сервер злоумышленника, скачивает оттуда вредоносное обновление и выполняет этот код с максимальными привилегиями.

На прошлой неделе в Лас-Вегасе в США прошла очередная парная конференция DEF CON / Black Hat. Именно к этим двум ежегодным мероприятиям многие компании и частные исследователи в сфере информационной безопасности готовят свои наиболее интересные доклады. Сегодня мы коротко расскажем о семи презентациях, затрагивающих большой спектр тем: от серьезной уязвимости в процессорах AMD до методов шпионажа с использованием небезопасного робота-пылесоса.



Начнем с исследования компании SafeBreach Labs, в котором был показан способ деинсталляции обновлений Windows. В результате такой атаки потенциальный злоумышленник может заново сделать систему уязвимой для известных атак, заменяя часть системных файлов на устаревшие. При этом встроенное средство обновления будет показывать, что все доступные апдейты установлены. Компания Microsoft знает о данных проблемах с февраля этого года и официально идентифицировала две уязвимости (1,2). Патчи для них пока не выпущены.

На прошлой неделе компания Google объявила об усилении защиты файлов cookie в браузере Google Chrome. Кража сессионных cookie активно практикуется вредоносным программным обеспечением. Зачастую это позволяет злоумышленникам сравнительно легко получить доступ к веб-сервисам (корпоративным или персональным), в которых залогинен пользователь, без кражи паролей к ним. В результате данные браузера становятся одной из главных мишеней инфостилеров. Улучшение касается Chrome под Windows. Начиная с версии браузера Chrome 127, будет внедрена система шифрования данных, ограничивающая доступ к ним со стороны других приложений.

Проблема, которую пытаются решить в Google, заключается в том, что информация, защищенная стандартным механизмом Data Protection API (DPAPI) в Windows, доступна любой другой программе, выполняемой с правами пользователя. В дополнение к этому в Chrome 127 реализована концепция шифрования, привязанного к конкретному приложению или Application-Bound Encryption. Отдельный сервис будет проверять обращения к файлам cookie и расшифровывать их, только если к ним обращается браузер.

На прошлой неделе компания BINARLY сообщила об утечке приватного ключа компании American Megatrends, который используется во множестве ноутбуков, компьютеров и серверов компаний Acer, Dell, GIGABYTE и Supermicro. Исследование BINARLY широко цитировалось в прессе (статья в издании Ars Technica, новость на сайте BleepingComputer, новость на Хабре), а сами первооткрыватели опубликовали подробный отчет. Разобраться в отчете, впрочем, нелегко, так как речь идет не о единичном случае утечки ключей для Secure Boot, а скорее о фундаментальном недосмотре ряда производителей, начало которому было положено еще в 2012 году.



Самое свежее событие в этом таймлайне относится к 2023 году: в январе компания BINARLY обнаружила публичный репозиторий на GitHub, в котором содержался один приватный ключ, в терминах экосистемы Secure Boot известный как Platform Key. Ключ был опубликован на GitHub в декабре 2022 года. Он был зашифрован, но при этом использовался четырехзначный пароль, который легко взломать. Этот ключ играет важную роль в обеспечении безопасности механизма Secure Boot. Потенциальный злоумышленник может с помощью Platform Key сгенерировать так называемый Key Exchange Key, а уже с его помощью подписать вредоносный компонент, который будет выполнен при загрузке компьютера. В итоге возникает риск серьезной компрометации системы, причем вредоносное ПО будет способно пережить полную переустановку ОС. Для реализации атаки потребуется физический доступ к ПК или серверу либо права администратора в системе. Второе вполне достижимо, а физический доступ открывает возможность реализации атаки класса supply chain: когда целая партия компьютеров «модифицируется» в пути от производителя к заказчику. Но самое важное, что это, скорее всего, не единственный приватный ключ, который можно считать скомпрометированным.

Главное событие прошлой недели — масштабный сбой ПК по всему миру, вызванный ошибкой в обновлении защитного ПО компании CrowdStrike. По мере распространения обновления для клиентской программы Falcon часть компьютеров, физических и виртуальных серверов у клиентов CrowdStrike падала в «синий экран», причем вывести подверженные системы из этого состояния зачастую можно было только путем принудительной загрузки в безопасный режим и удаления вызывающего сбой файла вручную. Для крупных организаций с большим количеством устройств это максимально неблагоприятный сценарий, на устранение последствий которого требуется много времени.



Наибольший резонанс вызвала не уникальность данного события (подобное происходит далеко не первый раз), а скорее масштаб сбоя, с которым столкнулись множество людей по всему миру. Среди пострадавших были и представители малого бизнеса, например небольшой мотель в США, в котором перестала работать система электронных ключей, а постояльцам рекомендовали временно блокировать двери каким-нибудь тяжелым предметом, покидая номер. Но больше всего сбой был заметен в крупных организациях: как минимум в трех авиакомпаниях в США, в аэропортах по всему миру, в больницах и в службах быстрого реагирования, в банках, онлайн-сервисах и телекомпаниях (подробнее о последствиях — в этой статье на Хабре) По данным компании Microsoft, сбой затронул 8,5 миллионов систем на Windows по всему миру. Это меньше 1% всех компьютеров и серверов под управлением ОС Microsoft. Проблема в том, что в ряде компаний была временно выведена из строя почти вся инфраструктура. На момент подготовки этого материала технические детали сбоя, его подлинная причина еще неизвестны. Тем не менее масштабный сбой породил массу дискуссий, часть из которых мы разберем.

На прошлой неделе американский сотовый оператор AT&T объявил о масштабной утечке клиентских данных (официальное заявление компании, новость и обсуждение на Хабре). Пострадали практически все клиенты оператора, включая абонентов MVNO, использующих сеть AT&T,— а это как минимум 110 миллионов абонентов сотовой связи, не считая пользователей традиционной телефонии. Утекло то, что можно назвать логами или метаданными: в базе содержатся записи о входящих и исходящих звонках, их дате и длительности, номера телефонов, данные о полученных и отправленных SMS. Об утечке компания узнала еще в апреле и по законам США должна была раскрыть информацию публично, но получила отсрочку от регулятора ввиду чувствительности информации.



Инцидент тесно связан с другими утечками корпоративных данных, произошедшими в апреле–мае этого года и связанными с атаками на плохо защищенные учетные записи в сервисе Snowflake, предоставляющем услуги облачного хостинга. В июне сообщалось о том, что злоумышленники получили доступ к данным 165 клиентов Snowflake, включая, например, испанский банк Santander, сеть магазинов Advance Auto Parts и сервис по продаже билетов на концерты Ticketmaster. По данным компании Mandiant, причиной масштабной атаки не была какая-либо уязвимость в облачном сервисе. Все пострадавшие учетки не были должным образом защищены: доступ к ним был возможен с помощью простой пары логин-пароль, а доступные на сервисе средства многофакторной аутентификации не были активированы. Данные к учетным записям попадали в руки злоумышленников в результате работы вредоносного программного обеспечения.

Важная новость прошлой недели: в библиотеке OpenSSH обнаружена и закрыта уязвимость, получившая название RegreSSHion. Проблему нашли специалисты компании Qualys (общее описание, подробная техническая информация, новость на Хабре). Уязвимость получила идентификатор CVE-2024-6387 и является вариантом совсем древней проблемы в OpenSSH, CVE-2006-5051, закрытой в OpenSSH 4.4 в сентябре 2006 года. Исправление, внесенное 16 сентября 2020 года и попавшее в релиз OpenSSH 8.5 в марте 2021 года, по сути сделало старую уязвимость снова актуальной, отсюда и название: RegreSSHion.



Особенности уязвимости представляют собой набор хороших и плохих новостей. Плохая новость: по оценке Qualys на 1 июня, примерно 14 миллионов доступных из сети SSH-серверов были уязвимы. Впрочем, практическую атаку можно провести примерно в отношении 700 тысяч из них. Хорошая новость: уязвимость не так-то просто эксплуатировать. Уязвимость актуальна для дистрибутивов, использующих стандартную библиотеку glibc. Для успешной атаки потребуется выполнить примерно 10 тысяч подключений к уязвимому серверу, что при стандартных ограничениях на количество одновременных подключений и их длительность потребует 6–8 часов. Плохая новость номер два: если атака все же успешна, то она может дать атакующему права суперпользователя. Реальная атака была продемонстрирована только на 32-разрядном дистрибутиве, в то время как для 64-разрядных систем практического метода эксплуатации пока не существует. Осложняют потенциальную атаку и стандартные средства защиты, такие как ASLR.

На прошлой неделе сразу несколько источников сообщили о компрометации ресурса polyfill.io, раздающего одноименную JavaScript-библиотеку для обеспечения совместимости с устаревшими браузерами (новость, статья на сайте Sansec и ее перевод на Хабре). Библиотека Polyfill распространяется свободно, и ее подгрузка с данного конкретного сайта — не единственный вариант использования. Тем не менее более ста тысяч сайтов подгружали ее именно с polyfill.io, несмотря на предупреждения от бывших разработчиков еще в феврале этого года.



Оригинальный репозиторий Polyfill на GitHub и домен polyfill.io были проданы в конце февраля малоизвестной компании Funnull. Уже тогда высказывались сомнения о безопасности дальнейшего использования библиотеки при ее загрузке с данного URL и предлагались альтернативные источники (помимо варианта self-hosted). Опасения стали реальностью на прошлой неделе: в библиотеку был добавлен код, вызывающий перенаправление на другие веб-сайты через URL, указанные в списке на скриншоте выше. Среди пострадавших веб-сайтов — библиотека JSTOR, сайт компании Intuit, британская газета Metro и многие другие.

В свежем исследовании специалистов «Лаборатории Касперского» подробно анализируется стойкость типичных пользовательских паролей к перебору. Главный вывод работы — 59% паролей могут быть взломаны менее чем за час. Для этого была проанализирована огромная база из 193 миллионов паролей, обнаруженных в свободном доступе на различных ресурсах в даркнете. Авторы исследования рассматривали вполне реалистичный сценарий, при котором атакуется база паролей пользователей какого-либо сервиса. Исключается самый печальный сценарий, при котором пароли хранятся в открытом виде. Если пароли захешированы с солью, такие хеши по сути необратимы, но с помощью перебора можно установить соответствие реального пароля и его хеша.



Для измерения времени подбора требуется задать целевую производительность. В качестве референса была выбрана видеокарта RTX 4090 — решение недешевое, но тем не менее повсеместно доступное. Скорость подбора в такой конфигурации составляет 164 миллиарда хешей в секунду. Пожалуй, самый положительный вывод статьи заключается в том, что сложные пароли в базах утечек встречаются не так уж и редко. 28% паролей состоят из заглавных и строчных символов, содержат цифры и спецсимволы. Брутфорс 85% таких паролей займет больше года. Впрочем, речь идет о самом прямолинейном методе полного перебора. В исследовании оцениваются и более эффективные способы.

На прошлой неделе исследователи «Лаборатории Касперского» опубликовали подробный отчет о поиске уязвимостей в биометрическом терминале компании ZKTeco. Терминал обеспечивает распознавание пользователей по лицу, но также предоставляет резервные методы аутентификации: по пин-коду и с помощью QR-кода, который сканируется встроенной фотокамерой. В статье подробно описывается типичный процесс исследования устройства для поиска аппаратных и программных уязвимостей, включая анализ «железа», физических и сетевых интерфейсов, исследование прошивки. Не меньший интерес представляет и список найденных уязвимостей: всего их было обнаружено 24 штуки. Авторы работы приходят к выводу, что передовая технология была реализована в крайне небезопасном виде.


Помимо традиционных уязвимостей, вроде вшитого пароля для SSH, отсутствующей или легко взламываемой защиты коммуникаций по проприетарному сетевому протоколу, в устройстве ZKTeco была обнаружена возможность проведения атаки с помощью «вредоносного» QR-кода. Отсутствие необходимых проверок вводимых пользователем данных либо приводит к аварийной перезагрузке биометрического терминала, либо, что гораздо интереснее, позволяет провести SQL-инъекцию и таким образом обойти систему аутентификации. Подробные технические описания каждой уязвимости опубликованы в репозитории на GitHub.

В пятницу 7 июня компания Microsoft сообщила о внесении изменений в работу фичи Microsoft Recall. Представленная ранее функция пока недоступна обычным пользователям и какое-то время будет работать только на ноутбуках Microsoft Surface и устройствах других производителей на базе новейших процессоров Qualcomm Snapdragon X. Microsoft Recall каждые несколько секунд делает скриншот экрана, распознает его содержимое, сохраняет информацию в базу данных и предоставляет пользователям возможность поиска по этой базе. По замыслу разработчиков, это должно значительно упростить жизнь владельца компьютера с вновь введенным обозначением «Copilot+ PC». Можно отыскать сайт, который вы когда-то посещали, по общему описанию типа «статья про домики красного цвета», вытащить из «истории» случайно удаленный текст и так далее. В некотором смысле Recall расширяет возможности, которые нам предоставляют сейчас разрозненные сервисы: поиск по архиву электронной почты и сообщений в мессенджере, история перемещений («где находится ресторан, в котором я был год назад»). Все это возможно благодаря сбору и хранению огромного массива данных обо всех аспектах деятельности пользователя. И именно это является проблемой.

«Взлом» криптокошелька, пароль к которому был утерян больше 10 лет назад, — это самая красивая история по теме кибербезопасности на прошлой неделе. Пожелавший остаться анонимным пользователь приобрел биткоины на сумму примерно 4000 евро в 2013 году. Криптовалюта хранилась в цифровом кошельке, доступ к которому был защищен паролем. Известный исследователь Джо Гранд на пару с коллегой помогли владельцу криптокошелька восстановить пароль, и не при помощи простого перебора, а, как правильно отметили в обсуждении на Хабре, «решив проблему мозгами». Джо Гранд любит подавать свои истории красиво, он снял видео и дал интервью журналу Wired, где использовал красивые и понятные более широкой аудитории метафоры типа «мы нашли способ повернуть время вспять».


Реально интересная техническая информация этой работы, впрочем, уместилась на одну страницу текстом. Для облегчения «взлома» криптокошелька хакерам требовалось уменьшить количество возможных вариаций пароля для перебора. Им удалось это сделать благодаря одной особенности программы RoboForm, которую владелец кошелька использовал для генерации пароля. И это, пожалуй, самое интересное: анализ старой версии RoboForm показывает нам пример, как не надо генерировать случайные последовательности символов.