FreeSwitch

Atklātas vairākas ievainojamības open source telefonijas (SIP un WebRTC) risinājumā FreeSwitch.

Android

Savvaļā ekspluatēts Android “0day” caurums. Dotā problēma noveda pie privilege escalation (t.i. uzbrucējiem būtu sākumā jāpārliecina lietotāju uzinstalēt telefonā noteiktu aplikāciju), bet novembra ielāpos iekļauti arī arī divas RCE (Remote Code Execution) tipa ievainojamības.

Linux

Kritiska attālināti izmantojama Linux ievainojamība TIPC modulī, kas tiek izmantots Linux klāsteros. Lai gan vairumam lietotāju šis modulis netiks ieslēgts, to var iespējot uzbrucēji, — tādēļ ieteicams nekavējoties uzinstalēt sistēmas atjauninājumus.

CISCO

Kārtējos CISCO switchos atrastas statiski iešūtas SSH atslēgas. Lai gan šis artifakts visticamāk nejauši palicis pāri no izstrādes, tehniski tas ir pielīdzināms backdoor. Diemžēl, šī nebūt nav pirmā reize, kad CISCO produktos tiek atrastas izstrādātāja kontrolētas SSH atslēgas.

Open Identity Platform (OpenAM)

Publicēts eksploits Open Identity Platform risinājumā. Ievainojamība CVE-2021-29156 atklāta martā, bet tagad ar strādājošu eksploitu to var izmantot ikviens. Identity Management varētu būt tāda sistēma, kas tiek atjaunināta retāk par citām, — ja atjauninājumi joprojām nav uzinstalēti, šobrīd ir īstais laiks to izdarīt.

Thunderbird

Izlabotas vairākas ievainojamības Thunderbird epastu klientā.

Google Chrome

Atklāta uXSS ievainojamība Google Chrome pārlūkā, kas skara “New Tab” funkcionalitāti. Ievainojamības ceļš ir neparasts un detalizētais apraksts varētu būt noderīgs bug-hounteriem.

BrakTooth

Septembrī atklātajām “BrakTooth” ievainojamībām (skar dažādas ierīces ar BlueTooth atbalstu) publicēti eksploiti. Diemžēl, daudzi ražotāji joprojām nav izlaiduši atjauninājumus, lai novērstu šo problēmu.

EU prasības viedtālruņiem un IoT ierīcēm

EU nosaka jaunus standartus viedtālruņiem un IoT iekārtām. Par šāda veida regulējumu runāts jau sen, tagad beidzot ir pirmais ieskats tajā, kas praksē tiks prasīts no ražotājiem. Lai gan runa par tādām “common sense” lietām kā unikālām parolēm un paredzamiem atjauninājumiem, acīmredzams ka daudzi ražotāji patstāvīgi šo labo praksi ieviest nav spējīgi.

Jauns pētījums norāda, ka vairums ražotājiem pat nav definēta formāla “vulnerability disclosure” programma.

NIST standarts

NIST publicē līdzīgu standartu, taču tas paredzēts gala lietotāju (“consumer-grade”) programmatūrai. Arī te iekļautas drošības pamatlietas kā piemēram multi-faktoru autentifikācija (MFA).

CISA aktuālo ievainojamību saraksts

CISA publicē ievainojamību sarakstu, kurā iekļautas problēmas, kas šobrīd tiek aktīvi ekspluatētas. Sarakstā šobrīd iekļautas vairāk par 300 ievainojamībām un dažas no tām ir vairāk kā 10 gadus vecas.

ASV valsts organizācijām ir pienākums likvidēt šīs ievainojamības savos tīklos, taču informācija, protams, noderīga arī citiem uzņēmumiem.

ASV sankcijas

ASV uzliek sankcijas uzņēmumiem, kas pārdod eksploitus citu valstu valdībām: NSO Group (IL), Positive Technologies (RU), Candiru (IL) un Computer Security Initiative Consultancy (SG).

Ļaunatūra NodeJS bibliotēkās

Līdzīgi kā pagājušās nedēļas incidentā ar UA-Parse-JS bibliotēku, šonedēļ atklāta ļaunatūra citās NPM bibliotēkās:

• Coa – komandrindas argumentu parseris
• Rc - konfigurācijas failu parseris

Bibliotēkas inficētas, pārņemot izstrādātāju NPM kontus (kas nav aizsargāti ar MFA).

GitLab serveru botnets

GitLab serveri, kas uzlauzti caur pirms vairākiem mēnešiem publicētajām RCE ievainojamībām, ievietoti botnetā, kas iesaistīts 1Tbps lielos dDoS uzbrukumos.

Kaspersky SES atslēgas

No kāda Kaspersky sadarbības partnera nozagta SES atslēga, kas paredzēta masveida epastu izsūtīšanai Kaspersky vārdā. Šī atslēga ļāva uzbrucējiem izsūtīt ticamus pikšķerēšanas epastus Kaspersky lietotājiem, bet par laimi tā vietā atslēga izmantota parastā Office 365 pikšķerēšanas kampaņā.

Steam un Discord

Steam spēļu platformas lietotāji saņēma pikšķerēšanas epastus it kā Discord čata vārdā, kur piedāvāts bezmaksas iegūt Discord Nitro funkcionalitāti, ja Discord kontam tiks piesaistīts Steam. Patiesībā uzbrucēji vienkārši pārņēma Steam kontu.

MageCart ievieš VM pārbaudes

MageCart (grupa, kas veic uzbrukumus internet-veikaliem) ievieš JavaScript kodā pārbaudes, lai atpazītu virtuālās mašīnas. Šāda veida pārbaudes bieži tiek lietotas Windows ļaunatūrā, taču pikšķerēšanas lapas parasti tās neveic. Dotajā gadījumā virtuālās mašīnas tiek noteiktas pēc videokaršu klātbūtnes (izmantojot WebGL tehnoloģiju).

Karderiem tēmēts phishing

Kļūst aizvien populārākas pikšķerēšanas mājaslapas, kas tēmētas uz noziedzniekiem. Šajā rakstā aprakstīti viltus karderu portāli, t.i. vietnes, kas tirgo zagtas kredītkartes.

ASV pret DarkSide / BlackMatter

ASV izsludina iespaidīgu atlīdzības naudu — $10 miljonus — par DarkSide / BlackMatter operatoriem un $5 miljonus par to sadarbības partneriem.

DarkSide ir noziedzīgā grupa, kas cita starpā pavasarī veikusi uzbrukumu Colonial Pipeline naftas un dabasgāzes vadam. Vasarā viņi pārsauca sevi par BlackMatter, turpinot vērienīgus uzbrukumus.

Kopā ar ASV atlīdzības sludinājumu, BlackMatter publicē paziņojumu par to, ka apstādina savu darbību.

Citi vērā ņemami uzbrukumi

Citi iespaidīgi ransowmare uzbrukumi:

• Pakistānas nacionālā banka
• Toronto publiskais transports

Malware klasifikācija pēc API

Jauns kolaboratīvs projekts plāno izveidot MITRE matricai līdzīgu malware klasifikāciju pēc lietotajiem API.

MITRE hardware ievainojamību saraksts

MITRE publicē 2021. gada populārākās hardware ievainojamības. Saraksts ir līdzīgs OWASP uzturētajam software ievainojamību sarakstam.

Google paaugstina Linux bug bounty

Google paaugstina bug bounty par Linux kodola ievainojamībām. Maksimālā izmaksa tagad sasniegs $50000 (piecas reizes vairāk, ja eksploits aktuāls arī Android vidē).

Bug bounty programmā iekļauts arī Kubernetes escape.

Pwn2Own Austin 2021

Pagāja Pwn2Own Austin, kurā uzlauzti rūteri, printeri, NAS iekārtas - kopumā publiskots 61 0day.

Minimum Viable Secure Product

Google publicē minimālās drošības prasības jauniem izstrādes projektiem. Šis projekts paredzēts kā čeklists, kam iziet cauri pirms jauna projekta publiskošanas, lai pārliecinātos, ka nav piemirstas pamatlietas.

Nozagti $55 miljoni no bZx kriptovalūtu platformas

No decentralizētas finanšu platformas bZx nozagti $55 miljoni. Kā jau ierasts izstrādātāji lūdz uzbrucējiem atgriezt piesavinātos resursus apmaiņā pret mazāku bug bounty.