киберсигурност

киберсигурностхардуеруязвимости

Стотици модели принтери на HP са уязвими от дистанционно изпълнение на код

HP printers

HP публикува съвети за сигурност за три уязвимости с критична сериозност, засягащи стотици техни модели принтери LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format и DeskJet.

Първият бюлетин за сигурност предупреждава за уязвимост с препълване на буфер, която може да доведе до отдалечено изпълнение на код на засегнатата машина. Проследен като CVE-2022-3942, проблемът със сигурността е докладван от екипа на Trend Micro на Zero Day Initiative.

Въпреки че идва с оценка на сериозност 8,4 (висока), изчислена с общата система за оценка на уязвимостите (CVSS), HP определя сериозността на грешката като критична.

HP пусна актуализации за защита на фърмуера за повечето от засегнатите продукти. За моделите без пач, компанията предоставя инструкции за смекчаване, които препоръчват главно деактивиране на LLMNR (Link-Local Multicast Name Resolution) в мрежовите настройки.

Екипът на KiK препоръчва регулярно извършване на оценка на уязвимости и тестове за пробив в сигурността за осигурява не на киберсигурност и защита на данните Ви.

Стъпки за изключване на мрежовите протоколи през вграденият веб сървър (EWS) за LaserJet Pro.

disabling HP LLMNR from printer's network settings

Втори бюлетин за сигурност от HP предупреждава за две критични и една уязвимост с висока степен на сериозност, които могат да бъдат използвани за разкриване на информация, отдалечено изпълнение на код и отказ на услуга.

Трите уязвимости се проследяват като CVE-2022-24291 (оценка: 7,5), CVE-2022-24292 ( оценка на сериозност - критична: 9,8) и CVE-2022-24293 (оценка - критична: 9,8). Заслугата за докладването им е и на екипа на Zero Day Initiative.

И в този случай официалната препоръка е да актуализирате фърмуера на принтера си до определените версии, но не са налични за всички засегнати модели.

Няма съвети за смекчаване и отстраняване на проблема за един от изброените модели LaserJet Pro, но той е маркиран като чакащ, така че актуализациите за сигурността трябва да станат достъпни скоро.

Администраторите на всички други модели могат да посетят официалния портал за изтегляне на софтуер и драйвери на HP, да навигират, за да изберат модела на своето устройство и да инсталират най-новата налична версия на фърмуера.

Въпреки, че не са публикувани много подробности за тези уязвимости, последиците от дистанционното изпълнение на код и разкриването на информация като цяло са широкообхватни и опасни.

Поради това се препоръчва да приложите актуализациите на защитата възможно най-скоро, да поставите устройствата зад мрежова защитна стена и да наложите правила за ограничаване на отдалечен достъп.

Цялата публикация
киберсигурностуязвимости

Уязвимостта на Windows 10 и 11, която дава администраторски права, отново получава неофициална корекция

Windows

Уязвимост 0-day, позволяваща ескалиране на локални привилегии на Windows, която Microsoft не успя да реши напълно от няколко месеца, позволява на потребителите да получат административни привилегии в Windows 10, Windows 11 и Windows Server.

Локално експлоатираната уязвимост в услугата Windows User Profile Service се проследява като CVE-2021-34484 и е получила CVSS v3 оценка 7,8. Въпреки че експлойтите са били публично разкривани в миналото, не се смята, че се ползват активно.

Особеността на този случай се крие във факта, че Microsoft не е в състояние да се справи с недостатъка след откриването му миналото лято и че маркира грешката като коригирана два пъти.

Според екипа на 0patch, който неофициално предоставя пачове за преустановени версии на Windows и някои уязвимости, които Microsoft няма да адресира, уязвимостта е все още некорегирана (0-day). Всъщност пачовете на Microsoft не успяха да поправят грешката и развалиха предишната неофициална корекция на 0patch.

Уязвимостта за повишаване на привилегиите в услугата на потребителските профили на Windows, проследявана като CVE-2021-34484, беше открита от изследователя по сигурността Абделхамид Насери и разкрита на Microsoft, която я поправи като част от корекцията от август 2021 г. във вторник.

Скоро след като корекцията беше пусната, Naceri забеляза, че корекцията на Microsoft е непълна и представи концепция (PoC), която я заобиколи във всички версии на Windows.

Windows 10 and 11 privileges escalation

Екипът на 0patch се намеси, като пусна неофициална актуализация на сигурността за всички версии на Windows и я направи безплатна за изтегляне за всички регистрирани потребители.

Microsoft също отговори на това заобикаляне с втора актуализация на сигурността, издадена с кръпката за вторник от януари 2022 г., като даде на байпаса нов проследяващ идентификатор като CVE-2022-21919 и го маркира като фиксиран. Въпреки това, Naceri намери начин да заобиколи тази корекция, като коментира, че този опит е по-лош от първия.

Докато тестваше корекцията си срещу втория байпас на изследователя, 0patch установи, че тяхната корекция към "profext.dll" DLL все още защитава потребителите срещу новия метод на експлоатация, позволявайки на тези системи да останат защитени.

Въпреки това, вторият опит за коригиране на Microsoft замени файла "profext.dll", което доведе до премахването на неофициалната корекция от всички, които са приложили актуализациите на Windows от януари 2022 г.

0patch вече пренесе корекцията, за да работи с актуализациите на корекцията от март 2022 г. и я направи достъпна безплатнa за всички регистрирани потребители.

Екипът на KiK препоръчва регулярно извършване на оценка на уязвимости и тестове за пробив в сигурността за осигурява не на киберсигурност и защита на данните Ви.

Версиите на Windows, които могат да се възползват от новата микрокръпка, са следните:

  • Windows 10 v21H1 (32 и 64 бита) актуализиран с актуализации от март 2022 г.
  • Windows 10 v20H2 (32 и 64 бита) актуализиран с актуализации от март 2022 г.
  • Windows 10 v1909 (32 и 64 бита) актуализиран с актуализации от март 2022 г.
  • Windows Server 2019 64-битов актуализиран с актуализации от март 2022 г

Трябва да се отбележи, че Windows 10 1803, Windows 10 1809 и Windows 10 2004 все още са защитени от оригиналната корекция на 0patch, тъй като са достигнали края на поддръжката и не са получили актуализацията на Microsoft, която заменя DLL.

Микрокръпката ще остане достъпна за безплатно изтегляне за потребители на горните версии на Windows, стига Microsoft да не пусне пълно решение за конкретния проблем с LPE и всички негови байпаси.

За тези, които се интересуват от това предложение, актуализирайте своя Windows 10 до най-новото ниво на корекция (март 2022 г.), създайте безплатен акаунт в 0patch central, а след това инсталирайте и регистрирайте от тук.

Цялата публикация
киберсигурностмалуеър

Unix руткит краде банкови данни от банкомати

ATM

Колеги анализирали дейността на LightBasin, съобщават за финансово мотивирана група хакери и неизвестен досега руткит за Unix, който се използва за кражба на банкови данни от банкомати и извършване на измамни транзакции.

Конкретната група наскоро беше наблюдавана да се насочва към телекомуникационни компании, докато през 2020 г. те бяха забелязани да компрометират доставчици на услуги и да преследват клиентите им.

В нов доклад на Mandiant, изследователите представят допълнителни доказателства за дейността на LightBasin, като се фокусират върху измамите с банкови карти и компрометирането на ключови системи.

Новият руткит на LightBasin е модул за Unix ядро, наречен „Caketap“, който инсталират на сървъри, работещи с операционната система Solaris на Oracle.

Когато се зареди, Caketap скрива мрежови връзки, процеси и файлове, инсталира няколко куки в системните функции, за да получава отдалечени команди и конфигурации.

Командите, наблюдавани от анализаторите, са следните:

  • Добавя модула CAKETAP обратно към списъка със автоматично зареждащи се модули
  • Подменя getdents64
  • Добавя мрежов филтър (формат p)
  • Изтрива мрежов филтър (формат p)
  • Задава текущата нишка TTY да не се филтрира от куката getdent64
  • Задава всички TTY да бъдат филтрирани от куката getdent64
  • Показва текущата конфигурация

Крайната цел на Caketap е да прихване данни за банкови карти и ПИН кодове от хакнати сървъри на банкомати, а след това използва откраднатите данни за улесняване на неоторизирани транзакции

Съобщенията, прихванати от Caketap, са предназначени за Payment Hardware Security Module (HSM), хардуерно устройство, което се използва в банковата индустрия за генериране, управление и валидиране на криптографски ключове за ПИН, магнитни ленти и EMV чипове.

Caketap манипулира съобщенията за проверка на картата, за да наруши процеса, спира тези, които съвпадат с измамни банкови карти и вместо тях генерира валиден отговор.

Във втора фаза записва вътрешно валидни съобщения, които съответстват на реални PAN (основни номера на акаунти) и ги изпраща до HSM, така че рутинните клиентски транзакции да не бъдат засегнати и операциите по имплантиране да останат скрити.

„Вярваме, че CAKETAP е бил използван от UNC2891 (LightBasin) като част от по-голяма операция за успешно използване на измамни банкови карти за извършване на неразрешени тегления на пари от терминали на банкомати в няколко банки“, обяснява докладът на Mandiant.

Други инструменти, свързани с престъпната хакерска група в предишни атаки - Slapstick, Tinyshell, Steelhound, Steelcorgi, Wingjook, Wingcrack, Binbash, Wiperight и Mignogcleaner според Mandiant все още се използват в атаки на LightBasin.

unix rootkit ATM schematic

LightBasin умело се възползва от прехвалената сигурност в критичните Unix и Linux системи, които често се третират като вътрешно защитени или до голяма степен се игнорират поради тяхната неизвестност.

Точно това е мястото, където престъпни групировки като LightBasic процъфтяват и колегите от Mandiant очакват те да продължат да се възползват от същата оперативна стратегия.

Анализаторите забелязват някои припокривания със заплахи от UNC1945, но все още нямат никакви конкретни връзки, за да направят сигурни заключения.

Цялата публикация
киберсигурностмалуеър

Варианти на рансъмуеър, използвани при 722 атаки през последните 3 месеца на 2021 г

Ransomware

Употребата на рансъмуер беше много активна през последното тримесечие на 2021 г. Бяха наблюдавани 722 различни атаки, внедряващи 34 различни варианта.

Това голямо количество създава проблеми за IT отделите, което затруднява поддържането на индивидуалните групови тактики, индикаторите за компрометиране и възможностите за откриване.

В сравнение с третото тримесичие на 2021, последното тримесечие имаше 18% по-висок обем на атаките, докато сравненo с Q2 2021 води до разлика от 22%, коeто означава, че има тенденция за увеличаване на броя на атаките.

Най-разпространените варианти на рансъмуер през четвъртото тримесечие на 2021 г., според доклад на Intel 471, са LockBit 2.0 (29,7%), Conti (19%), PYSA (10,5%) и Hive (10,1%).

В сравнение с предходното тримесечие само PYSA имаше забележимо покачване на активността, което беше отбелязано и в доклад на NCC Group, който разгледа данните през ноември 2021 г.

Най-целенасоченият регион беше Северна Америка, която представлява почти половината от всички атаки на рансъмуер, споменати по-горе. Следва Европа с около 30%, оставяйки само 20% на останалия свят.

Regions targeted by Conti in Q4 2021

Статистиката е доста балансирана за целевите индустрии и само секторът за потребителски и индустриални продукти се откроява, като представлява една от четири атаки. Производството, професионалните услуги и секторът на недвижимите имоти също имат значителни дялове.

Targeted industry sectors malware q4 2021

Когато погледнем това от гледна точка на тенденциите, в сравнение с данните за третото тримесечие на 2021 г., производственият сектор спада, докато на потребителските и промишлените продукти се повишават. В допълнение, науките за живота и здравеопазването също имат значителен ръст.

Тази промяна може да се дължи на сезонния интерес към пазаруване по време на Коледа и Черен петък/Кибер понеделник, което прави свързаните цели по-доходоносни.

Ransomware attaks per sector Q4 2021 vs Q3 2021.

Здравеопазването също получава по-голямо внимание, тъй като е близо края на годината. Вероятно поради зимата в северното полукълбо, която носи по-високи нива на предаване на вируси.

Групите за изнудване имат за цел да нарушат дейността на фирмите във възможно най-лошия момент, за да увеличат шансовете за бързо разрешаване на плащането на искания откуп.

Например, наскоро ФБР предупреди, че бандите за откупи обикновено се насочват към компании по време на сливания и придобивания, за да упражняват допълнително натиск по време на преговорите.

Въпреки това, в много случаи целевите компании са чисто опортюнистични по своята същност, при които бандите за рансъмуер просто атакуват всеки, до когото могат да получат достъп.

Цялата публикация
киберсигурностмалуеър

CaddyWiper e нов мауеър изтриващ данни в укрински компрометирани мрежи

CaddyWiper data wiping malware hits Ukrainian networks

Новооткритият злонамерен софтуер за унищожаване на данни беше наблюдаван по-рано днес при атаки, насочени към украински организации и изтриване на данни в системи в компрометирани мрежи.

„Този ​​нов злонамерен софтуер изтрива потребителските данни и информацията за дялове от всички прикачени устройства“, обясниха от ESET Research Labs.

„Телеметрията на ESET показва, че е била наблюдавана в няколко десетки системи в ограничен брой организации.“

Въпреки че е проектиран да изтрива данни в домейни на Windows, на които е разположен, CaddyWiper използва функцията DsRoleGetPrimaryDomainInformation(), за да провери дали дадено устройство е домейн контролер. Ако е така, данните на домейн контролера няма да бъдат изтрити.

Това вероятно е тактика, използвана от нападателите, за да поддържат достъп вътре в компрометираните мрежи от организации, които са пострадали, като същевременно все още силно смущават операциите чрез изтриване на други критични устройства.

При анализиране PE заглавката на извадка от злонамерен софтуер, открита в мрежата на украинска организация, беше открито също, че злонамереният софтуер е бил разгърнат при атаки в същия ден, когато е бил компилиран.

„CaddyWiper не споделя никакво значимо сходство на кода с HermeticWiper, IsaacWiper или друг зловреден софтуер, известен ни. Извадката, която анализирахме, не беше цифрово подписана“, добавят от ESET.

„Подобно на внедряването на HermeticWiper, наблюдавахме, че CaddyWiper се разгръща чрез GPO, което показва, че нападателите са имали предварителен контрол върху мрежата на целта предварително.“

CaddyWiper - вренето на компилиране според хедъра

CaddyWiper е четвъртият злонамерен софтуер за изтриване на данни, използван при атаки в Украйна от началото на 2022 г., като анализаторите на ESET Research Labs по-рано откриха две други, а Microsoft – трета.

Един ден преди началото на руската инвазия в Украйна, на 23 февруари, изследователите на ESET забелязаха злонамерен софтуер за изтриване на данни, сега известен като HermeticWiper, използван в Украйна заедно с рансъмуеър атаки.

Те също така откриха софтуер за унищожаване на данни, който нарекоха IsaacWiper, и нов червей на име HermeticWizard, който нападателите използваха, за да изхвърлят полезни товари на HermeticWiper в деня, когато Русия нахлу в Украйна.

Microsoft също така откри wiper, който сега се проследява като WhisperGate, използван при атаки за изтриване на данни срещу Украйна в средата на януари, маскиран като ransomware.

Както каза президентът и заместник-председател на Microsoft Брад Смит, тези продължаващи атаки с разрушителен зловреден софтуер срещу украински организации „са били точно насочени“.

Това контрастира с безразборното нападение на злонамерен софтуер NotPetya в световен мащаб, което удари Украйна и други страни през 2017 г., атака, по-късно свързана с Sandworm, група за черно хакерство на ГРУ.

Подобни разрушителни атаки са част от хибридната война според украинската служба за сигурност (SSU) точно преди началото на войната.

Цялата публикация
киберсигурностхардуеруязвимости
Напиши коментар

Експлойт заобикаля съществуващите Spectre-V2 защити за процесори Intel и Arm

Експлойт заобикаля съществуващите Spectre-V2 защити за процесори Intel и Arm

Колеги разкриха нова техника, която може да бъде използвана за заобикаляне на съществуващите защити в съвременните процесори от Intel, AMD и Arm и да организират спекулативни атаки за изпълнение като Spectre за изтичане на чувствителна информация от паметта на хоста.

Атаките като Spectre са предназначени да нарушат изолацията между различни приложения, като се възползват от техника за оптимизация, наречена спекулативно изпълнение в хардуерните реализации на процесора, за да подмамят програмите да получат достъп до произволни места в паметта.

Производителите на чипове имплементират както софтуерни, така и хардуерни защити, включително Retpoline, както и предпазни мерки като Enhanced Indirect Branch Restricted Speculation (eIBRS) и Arm CSV2, но най-новият метод, демонстриран от VUSec успява да заобиколи всички тези защити.

Наречен Branch History Injection (BHI или Spectre-BHB), това е нов вариант подобна на Spectre-V2 атаки (проследени като CVE-2017-5715), който заобикаля, както eIBRS, така и CSV2, като изследователите го описват като „чист от край до край експлойт” изтичане на произволна памет от ядрото на съвременните процесори на Intel.

„Хардуерните защити не позволяват на непривилегирован нападател да инжектира записи в предсказателния сектор за ядрото“, поясняват изследователите.

„Въпреки това, предикторът разчита на глобална история, за да избере целевите записи за спекулативно изпълнение. Нападателят може да отрови тази история, за да принуди ядрото да прогнозира погрешно към по-„интересни“ цели на ядрото (т.е. джаджи), така изтичат данни“, добавя групата за системи и мрежова сигурност във университета Vrije.

Казано по друг начин, част от злонамерен код може да използва споделената история на клонове, която се съхранява в буфера за история на клоновете на процесора (BHB), за да повлияе на неправилно прогнозирани клонове в хардуерния контекст на жертвата, което води до спекулативно изпълнение, което след това може да се използва за извличане на информация която иначе би трябвало да е недостъпна.

Spectre-BHB прави уязвими всички процесори Intel и Arm, които преди това са били засегнати от Spectre-V2, заедно с редица чипсети от AMD, което кара трите компании да пуснат софтуерни актуализации, за да отстранят проблема.

Intel препоръчва на клиентите си да деактивират непривилегированите разширени филтри за пакети Berkeley (eBPF) на Linux, да активират както eIBRS, така и превенцията на изпълнение в режим на надзорник (SMEP) и да добавят „LFENCE към определени идентифицирани джаджи, за които е установено, че могат да се експлоатират“.

„Защитите на Intel eIBRS и на Arm CSV2 работят по предназначение, но остатъчната повърхност на атака е много по-значителна, отколкото първоначално предполагаха доставчиците“, коментираха колегите.

„Въпреки това, намирането на експлоатируеми джаджи е по-трудно от преди, тъй като нападателят не може директно да инжектира цели за прогнозиране. Това означава, че ядрото няма да прескача спекулативно към произволни цели, предоставени от нападателя, а само спекулативно ще изпълнява валидни кодови фрагменти, които вече е изпълнявало в миналото."

Цялата публикация
киберсигурностхардуер

100 милиона смарфона Samsung Galaxy са засегнати от дефектна функция за хардуерно криптиране

Samsung smartphones

Група учени от университета в Тел Авив разкриха подробности за вече коригирани сериозни дефекти в дизайна, засягащи около 100 милиона смартфона на Samsung, базирани на Android, които биха могли да доведат до извличане на секретни криптографски ключове

Уязвимостие са открити в резултат от анализ на криптографския дизайн и внедряването на Keystore на Android във водещите устройства на Samsung Galaxy S8, S9, S10, S20 и S21, казаха изследователите Алон Шакевски, Еял Ронен и Авишай Вул

Доверените среди за изпълнение (TEEs) са защитена зона, която осигурява изолирана среда за изпълнение на доверени приложения (TAs) за изпълнение на критични за сигурността задачи, за да се гарантира поверителността и целостта.

В Android, Keystore е система, която улеснява създаването и съхранението на криптографски ключове в TEE, което ги прави по-трудни за извличане от устройството, като не позволява на основната операционна система да има директен достъп.

Android Keystore предлага приложни програмни интерфейси (API) под формата на Keymaster TA (доверено приложение) за извършване на криптографски операции в тази среда, включително генериране на защитени ключове, съхранение и използването им за цифрово подписване и криптиране. На мобилни устройства на Samsung Keymaster TA работи в TEE, базиран на ARM TrustZone.

Samsung hardware backed keystore

Въпреки това, пропуските в сигурността, открити при внедряването на Samsung, означават, че биха могли да осигурят на хакер с root привилегии работещ път за възстановяване на хардуерно защитените частни ключове от защитения елемент. Списъкът с идентифицирани проблеми е както следва –

  • Повторна употреба на инициализиращ вектор (IV) в Keymaster TA (CVE-2021-25444) – Уязвимост за повторно използване на IV в Keymaster преди SMR AUG-2021 Release 1 позволява декриптиране на персонализиран keyblob с привилегирован процес. (Galaxy S9, J3 Top, J7 Top, J7 Duo, TabS4, Tab-A-S-Lite, A6 Plus и A9S)
  • Атака за понижаване на Keymaster TA (CVE-2021-25490) – Атака за понижаване на keyblob в Keymaster преди SMR Oct-2021 Release 1 позволява на атакуващ да задейства уязвимост за повторно използване на IV с привилегирован процес. (Galaxy S10, S20 и S21)
Samsung Galaxy attack

Накратко, успешното използване на уязвимостите в Keymaster TA може да постигне неоторизиран достъп до хардуерно защитени ключове и данни, защитени от TEE. Последиците от такава атака могат да варират от байпас за удостоверяване до разширени атаки, които могат да нарушат сигурността, предлагана от криптографските системи.

След отговорното разкриване през май и юли 2021 г. проблемите бяха отстранени чрез актуализации от август и октомври 2021 г. за засегнатите устройства. Очаква се констатациите да бъдат представени на следващият симпозиум за киберсигурност и информационна сигурност на USENIX.

„Доставчици, включително Samsung и Qualcomm, поддържат тайна около тяхното внедряване и дизайн на TrustZone и TA“, казаха изследователите. „Детайлите за проектиране и внедряване трябва да бъдат добре одитирани и прегледани от независими изследователи и не трябва да разчитат на трудността на собствените системи за обратно инженерство.“

Цялата публикация
киберсигурностLinuxуязвимости

Linux Root Уязвимост "PwnKit" Засяга Всички Дистрибуции

Kолегите от Qualys откриха 12-годишна уязвимост в Linux, която останала неразкрита досега. Грешката, наречена PwnKit, позволява на злонамерени хакери да получат пълни root привилегии чрез непривилегирован потребител, благодарение на уязвимост в управление на паметта в pkexec на polkit. Това е SUID-root програма, която на практика присъства във всяка голяма Linux дистрибуция.

Polkit е компонент за контролиране на привилегиите в Unix-подобни операционни системи, включително Linux дистрибуции. Той ефективно позволява на непривилегированите процеси да комуникират с привилегированите процеси, работещи в момента. Ако сте администратор (или root), можете да използвате Polkit за повиване на привилегии на определени процеси и команди, ако е необходимо.

Все пак действията, необходими за успешното използване на PwnKit, са доста сложни (можете да прочетете целият анализ тук). От Qualys успяха независимо да проверят уязвимостта, да разработят експлойт и да получат пълни привилегии на root при инсталации по подразбиране на Ubuntu, Debian, Fedora и CentOS. Други дистрибуции на Linux вероятно също са уязвими и експлоатируеми.

За щастие уязвимостта беше открита от отговорни изследователи на киберсигурността и, доколкото знаем, все още не е била използвана криманално проявени хакери. Експлойтът обаче вече е публичен, позволявайки на всеки да се докопа до този хак.

За щастие, кръпките за PwnKit вече са пуснати за всички основни дистрибуции на Linux, което предотвратява експлоатирането на уязвимостта. Затова силно препоръчваме да инсталирате тази корекция. По принцип е добра практика в Linux да са приложени всички налични актуализации.

Цялата публикация
MoonBounce UEFI Malware
киберсигурностмалуеърUEFI

MoonBounce мауеърът се крие в BIOS чипа. Уцелява след форматиране.

Новият злонамерен софтуер е определено по-скрит и труден за премахване за вашата операционна система - той се крие в BIOS чипа и по този начин остава дори след като преинсталирате вашата ОС или форматирате твърдия диск.

MoonBounce не е първият UEFI злонамерен софтуер, който е насочен към SPI флаш чипа. Kaspersky казва, че преди него са LoJax и MosaicRegressor. Въпреки това, MoonBounce показва „значителен напредък и по-голяма техническа сложност“. Изглежда също така е заразил машина от разстояние.

Kaspersky наблюдава нарастването на заплахите от злонамерен софтуер на фърмуера (UEFI) от 2019 г., като повечето съхраняват зловреден софтуер в системния дял EFI на устройството за съхранение на компютъра. Въпреки това, през Нова година са забелязали зловещо развитие с нов UEFI зловреден софтуер, открит от скенера на Kasperksy, който имплантира злонамерен код във флаш чипа чрез серийния периферен интерфейс (SPI) на дънната платка. Изследователите по киберсигурност нарекоха този резидентен UEFI малуеър „MoonBounce“.

MoonBounce е безспорно умен направен в начина, по който влиза в системата и е труден за откриване и почистване. „Източникът на инфекцията започва с набор от кукички, които прихващат изпълнението на няколко функции в таблицата на EFI Boot Services“, обясняват от Kaspersky в своя блог SecureList. След това куките се използват за пренасочване на извиквания на функции към злонамерения шелкод, който нападателите са добавили към CORE_DXE. Това от своя страна „настройва допълнителни куки в следващите компоненти на веригата за зареждане, а именно зареждането на Windows“, казаха изследователите по сигурността. Това позволява зловредният софтуер да бъде инжектиран в процес svchost.exe, когато компютърът се стартира Windows.

Мауеър MoonBounce

Компания за транспортни технологии е единствената регистрирана атака към момента

Разбира се, Kaspersky са проявили интерес да разберат какво ще направи зловредният софтуер. И така, на заразена машина, изследователите наблюдават процеса на мауеърът, който се опитва да получи достъп до URL, за да извлече полезния товар на следващия етап и да го стартира в паметта. Интересното е, че тази част от усъвършенстваната атака изглежда не отива никъде, така че не било възможно да се анализират каквито и да било допълнителни стъпки от MoonBounce. Може би зловредният софтуер все още е бил в тестване, когато е бил забелязан, и/или е задържан за специални цели. В допълнение, зловредният софтуер не е базиран на файлове и извършва поне някои от операциите си само в паметта, което прави трудно да се види точно какво е правил MoonBounce на единичния хост в мрежата на компанията.

По-долу диаграмата показва как MoonBounce се зарежда и разгръща от момента, в който вашият UEFI компютър е включен, през зареждането на Windows, до превръщането му в уж нормално използваем, но заразен компютър.

Една-единствена машина, собственост на транспортна компания е единствената в логовете на Kaspersky, която има инфекция MoonBounce в своя SPI Flash. Не е сигурно как е станала инфекцията, но се смята, че е предизвикана дистанционно. Тази единствена машина в компания за транспортни технологии изглежда е разпространила импланти, различни от UEFI, към други машини в мрежата. Тъй като голяма част от работата му е безфайлова и е резидентна само в паметта, не е лесно да се наблюдава от тази единствена извадка.

Мауеърът MoonBounce заразява BIOS/UEFI

Откритите следи водят към APT41

Друг важен клон от работата, извършвана от изследователи по киберсигурност като Kaspersky, разглеждат кой стои зад зловредния софтуер и какви са целите мауеърът.

Според Kaspersky MoonBounce е дело на китайската хакерска група от черни шапки APT41. В този случай пушещият пистолет е „уникален сертификат“, за който ФБР по-рано съобщи, че сигнализира за използването на инфраструктура, собственост на APT41. APT41 има история на атаки на веригата за доставки, така че това е продължение на централна нишка от злонамерените операции на APT41.

Предпазни мерки

За да не станете жертва на MoonBounce или подобен UEFI зловреден софтуер, колегите от Kaspersky предлагат редица мерки. Ние от KiK също препоръчваме на потребителите да актуализират своя UEFI фърмуер директно от производителя, да проверят дали BootGuard е активиран, където е наличен, и да активират модулите на Trust Platform. Не на последно място, препоръчваме решение за сигурност, което сканира системния фърмуер за проблеми, така че да могат да се вземат мерки при откриване на UEFI злонамерен софтуер.

Цялата публикация
Sql инжектиране в wordpress
киберсигурностsql инжектиране

SQL инжекция в WordPress (CVE-2022–21661)

Функцията clean_query се извиква от get_sql_for_clause. При четене на кода на функцията ще видим, че работата на тази функцията е да създава клаузи за условието в SQL заявка, по-специално нейната работа ще бъде да обработва получените данни, да комбинира тези данни в условие в SQL заявката и да ги върне към родителската функция. Така можем да контролираме данните за връщане на тази функция, което означава, че можем да контролираме SQL заявката и да изпълним SQL инжекция.

Анализ

Във версия 5.8.3 на Wordpress e поправен този бъг. Сравнявайки промените, можем да видим, че във функцията clean_query е добавена проверка $query[‘field’] преди обработката на променливата $query[‘terms’].

sql injection in wordpress

Функцията clean_query се извиква от get_sql_for_clause. При четене на кода на функцията ще видим, че работата на тази функцията е да създава клаузи за условието в SQL заявка, по-специално нейната работа ще бъде да обработва получените данни, да комбинира тези данни в условие в SQL заявката и да ги върне към родителската функция. Така можем да контролираме данните за връщане на тази функция, което означава, че можем да контролираме SQL заявката и да изпълним SQL инжекция.

sql injection in wordpress

Връщайки се към функцията clean_query, без тази промяна, по подразбиране стойностите в $query[‘terms’] просто ще бъдат премахнати и след това ще се извикат $this->transform_query( $query, ‘term_taxonomy_id’) ;.

За да се избегне if, $query[‘taxonomy’] трябва да е празна или стойност за is_taxonomy_hierarchical да върне false.

sql injection in wordpress

Във функцията transform_query ще провери $query['field'] == $resulting_field, така че ако променливата $query['field'] е term_taxonomy_id, тогава можем да излезем от функцията, без да променяме $query ['terms'] стойност на променливата. (За сравнението тук се използва == и страда от вратичката на слаби сравнения. В някои случаи тази грешка може да се използва за създаване на условно сравнение по желание).

sql injection in wordpress

След излизане от функцията, интерпретаторът ще се върне на мястото, където е извикана функцията clean_query, което е функцията get_sql_for_clause, стойността в променливата $query['terms'] ще се използва директно като условие на SQL заявката и водеща към SQL инжекция.

sql injection in wordpress

Така в обобщение, за да се случи SQL инжекция, трябва да бъдат изпълнени две условия: $query['field'] is term_taxonomy_id $query['taxonomy'] е празна или is_taxonomy_hierarchical($query['taxonomy']) === false води до следната грешка:

sql injection in wordpress

Експлойт

Въпреки че това е грешка в ядрото на Wordpress, не задейства грешката, така че трябва да се обърнем към намиране на грешки в плъгини и теми. Плъгинът/темата ще извика класа WP_Query, когато искаме да направиме заявка към базата данни, начинът да разпознаем грешката от изходния код е, когато използваме WP_Query($data) и $data е нещо, което можем да контролираме.

Например WP_Query(json_decode($_POST[‘query_vars’])), тогава товарът ще изглежда така:

query_vars={“tax_query”:{“0”:{“field”:”term_taxonomy_id”,”terms”:[“”]}}} or query_vars={“tax_query”:{“0”:{“taxonomy “:”nav_menu”,”field”:true,”terms”:[“”]}}}

Когато създаваме среда за тестване на грешки, активирането на функцията DEBUG ще направи възможно откриването на SQL инжекция базирана на грешки:

Заключение

В корекцията на Wordpress е добавена проверка на $query[‘field’], в противен случай $query[‘terms’] ще се преобразува в цяло число, така че SQLi да не може да се случи.

Поради големия брой плъгини и теми за WordPress, нашият екип се фокусира само върху търсенето на тези с изтегляния над 100 000 и безплатна версия.

В резултат на това бяха открити доста плъгини и теми, засегнати от уязвимостта.

Цялата публикация