Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Житель Вологды заработал более 100 тыс. руб. на взломе почтовых аккаунтов

Преступник подбирал пароли к почтовым учетным записям, а затем продавал данные в интернете. <br />

Сотрудники УФСБ России по Вологодской области вычислили молодого человека, воровавшего логины и пароли от учетных записей пользователей в почтовых сервисах, а также копировавшего информацию из уязвимых баз данных. Подозреваемому предъявлены обвинения по ст. ч.2 ст.273 УК РФ (использование вредоносных компьютерных программ).

По данным следствия, 24-летний мужчина занимался киберпреступной деятельностью на протяжении 2016-2017 годов. С помощью вредоносной программы, предназначенной для кражи информации и противодействия защитным решениям, он подбирал пароли к почтовым учетным записям пользователей, а затем продавал данные в интернете. Таким образом злоумышленнику удалось заработать свыше 100 тыс. рублей.

Уголовное дело направлено в суд. Молодому человеку грозит до пяти лет лишения свободы.

Дата: 2018-09-18 11:05:10

Источник: http://www.securitylab.ru/news/495628.php



Открытый сервер MongoDB в очередной раз стал причиной крупной утечки данных

База размером 43,5 ГБ содержала персональные данные порядка 11 млн пользователей сервиса SaverSpy.

В Сети обнаружен незащищенный сервер MongoDB, на котором в открытом доступе хранились данные 11 млн пользователей маркетингового сервиса SaverSpy. База данных размером 43,5 ГБ включала полные имена, адреса электронной почты, физические адреса (штат, город и почтовый индекс) информацию о поле 10 9995 35 пользователей. Помимо персональных сведений, база также содержала данные DNS и информацию о статусе электронных писем, полученных пользователем.

По словам исследователя Боба Дьяченко, занимающегося отслеживанием незащищенных серверов MongoDB, БД находилась в открытом доступе по меньшей мере с 13 сентября нынешнего года. Судя по всему, злоумышленники уже получили к ней доступ, поскольку база, помимо обычного контента, содержала уведомление с требованием выкупа в размере 0,4 биткойна ($2,4 тыс.) за возвращение похищенных данных. Как показал поиск Google, данное уведомление и адрес криптовалютного кошелька, на который предлагалось перевести деньги, уже «засветились» в вымогательской кампании, проведенной в конце июня 2018 года. Тогда несколько владельцев серверов MongoDB в Китае сообщили о похожих инцидентах.

Изначально было неясно, кому принадлежит база данных, однако дальнейший анализ показал, что оператором сервера может являться маркетинговая компания SaverSpy. Представители компании никак не отреагировали на сообщение исследователя о проблеме, однако 18 сентября доступ к серверу был закрыт.

Ранее компания Veeam Software, специализирующаяся на разработке решений для управления виртуальной инфраструктурой и защиты данных, допустила утечку 445 млн записей своих клиентов. База данных объемом в 200 ГБ хранилась на открытом для общего доступа сервере MongoDB в инфраструктуре Amazon


Дата: 2018-09-18 10:05:25

Источник: http://www.securitylab.ru/news/495627.php



New trends in the world of IoT threats

Cybercriminals’ interest in IoT devices continues to grow: in H1 2018 we picked up three times as many malware samples attacking smart devices as in the whole of 2017. And in 2017 there were ten times more than in 2016. That doesn’t bode well for the years ahead.

We decided to study what attack vectors are deployed by cybercriminals to infect smart devices, what malware is loaded into the system, and what it means for device owners and victims of freshly armed botnets.

Number of malware samples for IoT devices in Kaspersky Lab’s collection, 2016-2018. (download)

One of the most popular attack and infection vectors against devices remains cracking Telnet passwords. In Q2 2018, there were three times as many such attacks against our honeypots than all other types combined.

service % of attacks
Telnet 75.40%
SSH 11.59%
other 13.01%

When it came to downloading malware onto IoT devices, cybercriminals’ preferred option was one of the Mirai family (20.9%).

# downloaded malware % of attacks
1 Backdoor.Linux.Mirai.c 15.97%
2 Trojan-Downloader.Linux.Hajime.a 5.89%
3 Trojan-Downloader.Linux.NyaDrop.b 3.34%
4 Backdoor.Linux.Mirai.b 2.72%
5 Backdoor.Linux.Mirai.ba 1.94%
6 Trojan-Downloader.Shell.Agent.p 0.38%
7 Trojan-Downloader.Shell.Agent.as 0.27%
8 Backdoor.Linux.Mirai.n 0.27%
9 Backdoor.Linux.Gafgyt.ba 0.24%
10 Backdoor.Linux.Gafgyt.af 0.20%

Top 10 malware downloaded onto infected IoT device following a successful Telnet password crack

And here are the Top 10 countries from which our traps were hit by Telnet password attacks:

Geographical distribution of the number of infected devices, Q2 2018. (download)

As we see, in Q2 2018 the leader by number of unique IP addresses from which Telnet password attacks originated was Brazil (23%). Second place went to China (17%). Russia in our list took 4th place (7%). Overall for the period January 1 – July 2018, our Telnet honeypot registered more than 12 million attacks from 86,560 unique IP addresses, and malware was downloaded from 27,693 unique IP addresses.

Since some smart device owners change the default Telnet password to one that is more complex, and many gadgets don’t support this protocol at all, cybercriminals are constantly on the lookout for new ways of infection. This is stimulated by the high competition between virus writers, which has led to password bruteforce attacks becoming less effective: in the event of a successful crack, the device password is changed and access to Telnet is blocked.

An example of the use of “alternative technology” is the Reaper botnet, whose assets at end-2017 numbered about 2 million IoT devices. Instead of bruteforcing Telnet passwords, this botnet exploited known software vulnerabilities:

Advantages of this distribution method over password cracking:

Although this method is more difficult to implement, it found favor with many virus writers, and it wasn’t long before new Trojans exploiting known vulnerabilities in smart device software started appearing.

New attacks, old malware

To see which vulnerabilities are targeted by malware, we analyzed data on attempts to connect to various ports on our traps. This is the picture that emerged for Q2 2018:

Service Port % of attacks Attack vector Malware families
Telnet 23, 2323 82.26% Bruteforce Mirai, Gafgyt
SSH 22 11.51% Bruteforce Mirai, Gafgyt
Samba 445 2.78% EternalBlue, EternalRed, CVE-2018-7445
tr-069 7547 0.77% RCE in TR-069 implementation Mirai, Hajime
HTTP 80 0.76% Attempts to exploit vulnerabilities in a web server or crack an admin console password
winbox (RouterOS) 8291 0.71% Used for RouterOS (MikroTik) authentication and WinBox-based attacks Hajime
Mikrotik http 8080 0.23% RCE in MikroTik RouterOS Chimay-Red Hajime
MSSQL 1433 0.21% Execution of arbitrary code for certain versions (2000, 2005, 2008); changing administrator password; data theft
GoAhead httpd 81 0.16% RCE in GoAhead IP cameras Persirai, Gafgyt
Mikrotik http 8081 0.15% Chimay-Red Hajime
Etherium JSON-RPC 8545 0.15% Authorization bypass (CVE-2017-12113)
RDP 3389 0.12% Bruteforce
XionMai uc-httpd 8000 0.09% Buffer overflow (CVE-2018-10088) in XionMai uc-httpd 1.0.0 (some Chinese-made devices) Satori
MySQL 3306 0.08% Execution of arbitrary code for certain versions (2000, 2005, 2008); changing administrator password; data theft

The vast majority of attacks still come from Telnet and SSH password bruteforcing. The third most common are attacks against the SMB service, which provides remote access to files. We haven’t seen IoT malware attacking this service yet. However, some versions of it contain serious known vulnerabilities such as EternalBlue (Windows) and EternalRed (Linux), which were used, for instance, to distribute the infamous Trojan ransomware WannaCry and the Monero cryptocurrency miner EternalMiner.

Here’s the breakdown of infected IoT devices that attacked our honeypots in Q2 2018:

Device % of infected devices
MikroTik 37.23%
TP-Link 9.07%
SonicWall 3.74%
AV tech 3.17%
Vigor 3.15%
Ubiquiti 2.80%
D-Link 2.49%
Cisco 1.40%
AirTies 1.25%
Cyberoam 1.13%
HikVision 1.11%
ZTE 0.88%
Miele 0.68%
Unknown DVR 31.91%

As can be seen, MikroTik devices running under RouterOS are way out in front. The reason appears to be the Chimay-Red vulnerability. What’s interesting is that our honeypot attackers included 33 Miele dishwashers (0.68% of the total number of attacks). Most likely they were infected through the known (since March 2017) CVE-2017-7240 vulnerability in PST10 WebServer, which is used in their firmware.

Port 7547

Attacks against remote device management (TR-069 specification) on port 7547 are highly common. According to Shodan, there are more than 40 million devices in the world with this port open. And that’s despite the vulnerability recently causing the infection of a million Deutsche Telekom routers, not to mention helping to spread the Mirai and Hajime malware families.

Another type of attack exploits the Chimay-Red vulnerability in MikroTik routers running under RouterOS versions below 6.38.4. In March 2018, it played an active part in distributing Hajime.

IP cameras

IP cameras are also on the cybercriminal radar. In March 2017, several major vulnerabilities were detected in the software of GoAhead devices, and a month after information about it was published, there appeared new versions of the Gafgyt and Persirai Trojans exploiting these vulnerabilities. Just one week after these malicious programs were actively distributed, the number of infected devices climbed to 57,000.

On June 8, 2018, a proof-of-concept was published for the CVE-2018-10088 vulnerability in the XionMai uc-httpd web server, used in some Chinese-made smart devices (for example, KKMoon DVRs). The next day, the number of logged attempts to locate devices using this web server more than tripled. The culprit for this spike in activity was the Satori Trojan, known for previously attacking GPON routers.

New malware and threats to end users

DDoS attacks

As before, the primary purpose of IoT malware deployment is to perpetrate DDoS attacks. Infected smart devices become part of a botnet that attacks a specific address on command, depriving the host of the ability to correctly handle requests from real users. Such attacks are still deployed by Trojans from the Mirai family and its clones, in particular, Hajime.

This is perhaps the least harmful scenario for the end user. The worst (and very unlikely) thing that can happen to the owner of the infected device is being blocked by their ISP. And the device can often by “cured” with a simple reboot.

Cryptocurrency mining

Another type of payload is linked to cryptocurrencies. For instance, IoT malware can install a miner on an infected device. But given the low processing power of smart devices, the feasibility of such attacks remains in doubt, even despite their potentially large number.

A more devious and doable method of getting a couple of cryptocoins was invented by the creators of the Satori Trojan. Here, the victim IoT device acts as a kind of key that opens access to a high-performance PC:

Data theft

The VPNFilter Trojan, detected in May 2018, pursues other goals, above all intercepting infected device traffic, extracting important data from it (user names, passwords, etc.), and sending it to the cybercriminals’ server. Here are the main features of VPNFilter:

The Trojan’s distribution method is still unknown: its code contains no self-propagation mechanisms. However, we are inclined to believe that it exploits known vulnerabilities in device software for infection purposes.

The very first VPNFilter report spoke of around 500,000 infected devices. Since then, even more have appeared, and the list of manufacturers of vulnerable gadgets has expanded considerably. As of mid-June, it included the following brands:

The situation is made worse by the fact that these manufacturers’ devices are used not only in corporate networks, but often as home routers.

Conclusion

Smart devices are on the rise, with some forecasts suggesting that by 2020 their number will exceed the world’s population several times over. Yet manufacturers still don’t prioritize security: there are no reminders to change the default password during initial setup or notifications about the release of new firmware versions, and the updating process itself can be complex for the average user. This makes IoT devices a prime target for cybercriminals. Easier to infect than PCs, they often play an important role in the home infrastructure: some manage Internet traffic, others shoot video footage, still others control domestic devices (for example, air conditioning).

Malware for smart devices is increasing not only in quantity, but also quality. More and more exploits are being weaponized by cybercriminals, and infected devices are used to steal personal data and mine cryptocurrencies, on top of traditional DDoS attacks.

Here are some simple tips to help minimize the risk of smart device infection:

Дата: 2018-09-18 10:00:36

Источник: https://securelist.com/new-trends-in-the-world-of-iot-threats/87991/



Обзор R-Vision 3.6. Новые возможности в управлении уязвимостями

Функционал управления уязвимостями позволяет агрегировать информацию со сканеров уязвимостей и сервиса Vulners.com на консоли R-Vision и контролировать процесс их устранения.

Карточка уязвимости содержит следующие данные: источник информации об уязвимости, ее статус, идентификатор, перечень связанных узлов, количество групп активов и сетей, которые ее затрагивают. Непосредственно из карточки уязвимости можно назначить ответственного за ее устранение, выставить срок по данной задаче, пометить уязвимость как нерелевантную.

Назначение ответственных можно автоматизировать через политики устранения уязвимостей: в зависимости от группы IT-активов будет осуществляться автоматическое назначение пользователей, и они получат уведомление по e-mail.

Уязвимости можно фильтровать по определенному критерию и сохранить фильтр в отдельной вкладке для регулярного просмотра.

Наблюдая за динамикой прогресс-бара, который показывает соотношение хостов, на которых уязвимость была устранена, к числу хостов, на которых она была обнаружена, можно контролировать процесс устранения уязвимостей. Также можно получать по почте уведомления об устранении уязвимости.

Подробности в видео-обзоре!

 

Дата: 2018-09-18 09:36:45

Источник: https://rvision.pro/blog-posts/obzor-r-vision-3-6-novye-vozmozhnosti-v-upravlenii-uyazvimostyami/



Facebook будет платить за информацию об утечках токенов доступа

Минимальная сумма вознаграждения составляет $500.

Компания Facebook расширила программу вознаграждения за найденные уязвимости. Теперь соцсеть будет выплачивать награду за информацию о случаях утечек пользовательских токенов доступа через сторонние сервисы и приложения. Минимальная сумма вознаграждения составляет $500.

Токены доступа позволяют пользователям Facebook авторизоваться в других приложениях и генерируются индивидуально для каждого лица, запроса на доступ и приложения. Утечка информации может привести к различным атакам, например, перехвату сеанса и контроля над учетной записью, хищению данных или атаке типа «человек посередине».

Ранее программа вознаграждения Facebook не распространялась на уязвимости в сторонних сервисах, но сейчас компания пересмотрела подход, правда, с рядом условий. В частности, Facebook рассмотрит отчеты об уязвимостях только в том случае, если они были обнаружены в процессе «пассивного просмотра данных, отправляемых с и на устройство при использовании приложения или web-сайта». Исследователям не разрешается «манипулировать отправляемыми приложению или сайту запросами или любым другим образом вмешиваться в обычную работу приложения или сайта» в процессе анализа.

Кроме того, во внимание будут приниматься только отчеты об уязвимостях в приложениях с аудиторией, превышающей 50 тыс. активных пользователей. Тестирование должно осуществляться исключительно в собственной учетной записи исследователя, а в отчете необходимо предоставить PoC-код.

Обновленная программа не распространяется на уязвимости типа SQLi, XSS, Open Redirect и баги, позволяющие обход разрешений.

В случае, если разработчики уязвимых приложений или вебмастеры откажутся исправлять проблему, компания приостановит работу этих продуктов на платформе, пока уязвимость не будет устранена.

Дата: 2018-09-18 09:19:18

Источник: http://www.securitylab.ru/news/495626.php



В Сети появился ботнет-«чистильщик»

Новый ботнет Fbot удаляет криптомайнеры с зараженных устройств.

Эксперты компании Qihoo 360Netlab обратили внимание на довольно необычный ботнет, появившийся в интернете. Ботсеть создана на основе варианта вредоносного ПО Mirai под названием Fbot. Удивление специалистов вызвал тот факт, что несмотря на наличие оригинального DDoS-модуля, активность ботнета пока далека от вредоносной - Fbot ищет зараженные программами для добычи криптовалюты устройства и удаляет их. В частности, речь идет о com.ufo.miner - известном варианте ADB.Miner, предназначенном для майнинга Monero на Android-устройствах.

Fbot сканирует Сеть на предмет устройств с открытым портом 5555, используемым службой ADB (Android Debug Bridge, отладочный мост), а затем загружает скрипт через интерфейс ADB. Одна из функций скрипта заключается в удалении com.ufo.miner, а вторая - в загрузке основного модуля Fbot, в который вшиты данные для коммуникации с C&C-сервером. Третья функция отвечает за самоуничтожение.

Еще одна особенность ботнета заключается в использовании альтернативной децентрализированной системы доменных имен Emer DNS, затрудняющей отслеживание доменов. По словам экспертов, управляющий сервер использует домен в зоне .lib (musl.lib), которая не зарегистрирована ICANN.

В настоящее время неясно, с какой целью операторы ботнета удаляют криптомайнеры и вместо них загружают ПО Fbot. Вполне возможно, таким образом они намереваются избавиться от конкурентов.

Emer DNS - децентрализованная система доменных имен на базе блокчейна EmerCoin - платформы, предлагающей услуги по регистрации доменных имен в альтернативных зонах .bazar, .coin, .emc, .lib.

Дата: 2018-09-18 07:36:08

Источник: http://www.securitylab.ru/news/495625.php



7. Check Point на максимум. Sandboxing. Заключение

xmepnl42hu5n1ojn6npmwq_-yly.png

Добро пожаловать на 7 урок. Сразу хотелось бы предупредить, что данный урок последний. Последний для данного курса. В планах уже два новых курса, поэтому следите за обновлениями. А тема сегодняшнего урока — Sandboxing (т.е. песочница). И прежде чем начать рассказывать что это такое и чем полезно, мне бы хотелось подвести небольшой итог уже проделанной нами работы. Давайте еще раз пробежимся по пройденному материалу.

Access Control


В самом начале мы выдвинули тезис, что одним из ключевых элементов защиты сети является человеческий фактор. Как всегда все упирается в кадры. Грамотная настройка решает большинство проблем с безопасностью.
После этого мы начали обсуждать различные блейды, которые призваны усилить защиту. Главная цель — максимально сократить возможную площадь атаки. В этом процессе каждый блейд имеет важное значение и дополняет другие. К сожалению, я не рассмотрел особенности настройки всех блейдов, да это и невозможно наверно, запихнуть все в рамки одного курса.
По сути, все блейды Check Point-а можно разделить на две категории: Access Control и Threat Prevention. Давайте начнем с первой категории. Какие же блейды и функции входят в Access Control и как они позволяют сократить площадь атаки.

a1di8pupzixtvyr59pbm8qhu4bg.png


Threat Prevention


Продолжаем сокращать площадь атаки. Давайте рассмотрим блейды категории Threat Prevention. Это уже чисто «секьюрные» функции:

20qzinhyihe_k5i_tkgydypy1vm.png


Что объединяет эти три блейда? Они работают только с известными угрозами. Это либо сигнатуры, либо список плохих ip-адресов или URL из чекпоинтовской глобальной базы Threat Cloud. На сколько это эффективно на сегодняшний день?
Согласно последним отчетам, такие традиционные, сигнатурные средства защиты способны отсекать порядка 70% существующих угроз. И то, этого показателя можно достичь только при грамотной настройке. Думаю всем очевидно, что этого катастрофически недостаточно. Что делать, если “прилетел” ранее неизвестный зловред и сигнатурные средства защиты облажались? Думаете это фантастика и маркетинговая выдумка? В видео ниже я подробно рассматриваю пример обхода антивируса с проверкой на VirusTotal. Первая часть теоретическая и дублирует текст выше, так что смело проматывайте до 6-ой минуты.

Sandbox


В этом же видео мы демонстрируем возможности песочницы Check Point. Понятие песочницы (Sandbox) появилось относительно недавно. И многие до сих пор относятся скептически к этому классу защиты (Вспомните историю про IPS ). В чем задача песочницы?

x0u7qbspshpwc7xnftmgwehdae8.png

Как вы понимаете, такой способ проверки кардинально отличается от сигнатурного анализа. Конечно, все не так просто, как описывается в этом слайде. Современные песочницы (особенно песочницы Check Point) используют множество технологий по определению вирусов. Мы сейчас не будем концентрироваться на их описании. Цель данного урока показать, что у традиционного сигнатурного подхода есть недостатки и современная защита нуждается в дополнительном уровне защиты. Т.е. песочницу можно рассматривать как последний рубеж вашей защиты, когда вирус уже прошел межсетевой экран, IPS и Антивирус.

Что же особенного в песочнице Check Point? На самом деле особенностей очень много. Данная технология носит название Check Point SandBlast и включает в себя сразу несколько блейдов:

rdcpui9apxu_8p0eeho3_xeiqfc.png

Это очень обширная тема, так что с вашего позволения, я расскажу об этом более подробно уже в рамках нового курса, который мы запустим в самое ближайшее время. Что же касается данного урока, то главный тезис:

Песочница — обязательный элемент комплексной защиты сети.

С этим нужно смириться и принять за факт. Тоже самое когда-то произошло с IPS.

Заключение


На этом мы пожалуй закончим наш курс. Большое спасибо всем кто досмотрел до конца, я искренне пытался поделиться чем-то полезным. Надеюсь эта информация кому-то пригодится. К сожалению рассказать абсолютно все в рамках такого мини курса просто невозможно. Поэтому если у вас вдруг остались вопросы, мы с радостью на них ответим. Можете писать на наш общий ящик, либо напрямую мне.

u584ake_tv5anvbrobqxftxaww8.png

Также, пользуясь случаем, хотел бы выразить благодарность Алексею Белоглазову (компания Check Point), который постоянно помогал мне консультациями в течение всего курса. Алексей, спасибо еще раз :)

Кроме того, хотел бы еще рассказать, что мы совершенно бесплатно предоставляем услугу по аудиту security настроек Check Point. В рамках такого аудита мы проверим все что обсуждалось в этом курсе и дополнительные вещи, которые не вошли в уроки. Поэтому не стесняйтесь, обращайтесь, я или наши инженеры с удовольствием “покопаемся” в ваших настройках и выдадим рекомендации. Обращаться можно через сайт или по тем же почтовым ящикам.

Спасибо за внимание и жду вас уже на новом курсе!

Дата: 2018-09-18 07:26:39

Источник: https://habr.com/post/423259/



Piriform насильно обновляет утилиту CCleaner

CCleaner обновляется до версии 5.46, даже если пользователь отключил функцию автоматического обновления.

Принадлежащий компании Avast разработчик Piriform обновляет утилиту CCleaner на компьютерах пользователей, даже если они отключили функцию автоматического обновления. Что еще хуже, после обновления до последней версии 5.46 установленные пользователем настройки конфиденциальности возвращаются к заводским, а значит, разработчику отправляются анонимные данные об использовании CCleaner.

Первая жалоба появилась на форуме Piriform еще 6 сентября. Тогда сотрудник компании ответил, что с выходом версии 5.46 некоторые пользовательские установки были обновлены с целью удовлетворения требованиям закона и предоставления пользователям большей автономии и прозрачности с точки зрения настроек конфиденциальности.

Лоуренс Абрамс (Lawrence Abrams) из Bleeping Computer решил проверить, насколько оправданными являются жалобы пользователей, и установил Slim-версию CCleaner 5.37. В процессе инсталляции Абрамс отключил автоматический поиск доступных обновлений. Тем не менее, установщик автоматически выполнил файл CCupdate.exe и программа была обновлена до версии 5.46 еще до того, как была запущена. Абрамс обратился к Piriform за разъяснениями, но ответа не получил.

Дата: 2018-09-18 06:53:40

Источник: http://www.securitylab.ru/news/495624.php



«Лаборатория Касперского» рассказала о масштабном заражении банковским трояном Asacub

Эксперты «Лаборатории Касперского» сообщили о том, что с конца августа 2018 года злоумышленники начали массово заражать Android-устройства банковским трояном Asacub. Он отправляет пользователям сообщения с их именем и призывом перейти по ссылке.

Откуда Asacub знает имя пользователя?

Троян отправляет сообщения с устройства жертвы и автоматически подставляет в них имена, под которыми записаны номера в телефонной книге. Иногда контакты берутся с сайтов объявлений, и смс приходит с незнакомого номера.

Троян AsacubТроян Asacub

Ссылка в сообщении ведет на страницу загрузки трояна с замаскированными инструкциями по его установке. Троян запрашивает права администратора устройства или разрешение использовать службу специальных возможностей. Когда пользователь соглашается, Asacub назначает себя приложением для обработки смс.

Что делает Asacub?

Троян отправляет злоумышленникам информацию об устройстве, список контактов и содержимое сообщений. Вредонос звонит на номера, которые пришлет командный сервер, закрывает приложения, читает и отправляет смс. Это дает преступникам доступ к банковским счетам жертвы, если карта привязана к номеру телефона. При этом во время взлома Asacub блокирует приложение банка, так что пользователь не сможет остановить снятие средств.

Как защититься от трояна?

Специалисты «Лаборатории Касперского» советуют не одобрять запросы на права администратора, доступ к специальным возможностям и установку нового приложения для смс по умолчанию.

Если Asacub уже контролирует устройство, нужно извлечь SIM-карту, запустить его в безопасном режиме, отключить права администратора для всех приложений, удалить неизвестные приложения и использовать антивирус.

В феврале 2018 года эксперты «Лаборатории Касперского» рассказали о 0day-уязвимости в Windows-клиенте Telegram, которую злоумышленники использовали для установки программ-майнеров и доставки бэкдора.

Source: блог «Лаборатории Касперского»

Наташа Маркова

Ещё интересное для вас:
— Тест «Насколько хорошо вы разбираетесь в C#?»
— Блиц-тест «Настоящий ли ты фронтендер?»
— Меньше готовить, больше кодить: обзор питания с доставкой на дом.

Дата: 2018-09-18 06:27:56

Источник: https://tproger.ru/news/asacub/



Уязвимость в ПО Nuuo ставит под угрозу сотни тысяч камер наблюдения

Злоумышленники могут просматривать и модифицировать записи с видеокамер, красть данные, а также отключать системы видеонаблюдения.

Специалисты компании Tenable раскрыли некоторые подробности об опасной уязвимости в программном решении для систем видеонаблюдения производства тайваньской компании Nuuo. С помощью данной уязвимости, получившей название Peekaboo, злоумышленники могут просматривать и модифицировать записи с видеокамер, похищать информацию, в том числе логины/пароли, данные об IP-адресах, используемых портах, моделях подключенных устройств, а также полностью отключать камеры и системы видеонаблюдения.

Исследователи выявили две уязвимости - первая представляет собой переполнение буфера в стеке и может быть проэксплуатирована удаленно неавторизованным атакующим, а вторая - бэкдор в коде отладки.

Главным образом проблема затрагивает автономный сетевой видеорегистратор для IP-камер NVRMini 2, служащего в качестве хаба для подключенных систем наблюдения. При успешной атаке злоумышленники могут получить доступ к интерфейсу системы управления содержимым и, соответственно, учетным данным всех подключенных к хранилищу устройств.

Программные решения Nuuo используются организациями по всему миру, в том числе банками, больницами, торговыми центрами и пр. Поскольку ПО Nuuo также распространяется по модели White Label, уязвимости может быть подвержена продукция более 100 брендов и 2,5 тыс. линеек IP-камер. По предварительным оценкам специалистов, речь может идти о сотнях тысяч web-камер и устройств по всему миру.

Эксперты решили не раскрывать технические подробности о Peekaboo до выпуска соответствующего патча. Известно, что уязвимыми являются версии прошивки Nuuo 3.9.0 и более ранние. Исследователи также выпустили плагин для проверки ПО на предмет наличия Peekaboo.

White Label («белая этикетка») - модель сотрудничества, предусматривающая производство продуктов или услуг одной компанией и реализацию другой компанией под своим брендом.

Дата: 2018-09-18 05:59:04

Источник: http://www.securitylab.ru/news/495623.php