Новые уязвимости затрагивают все сотовые сети, начиная с 2G

Опасная уязвимость обнаружена в 150 моделях принтеров HP LaserJet и PageWide

Специалисты компании F-Secure, работающей в сфере информационной безопасности, обнаружили критическую уязвимость CVE-2021-39238, которая затрагивает свыше 150 моделей принтеров и МФУ компании HP серий LaserJet, LaserJet Managed, PageWide и PageWide Managed. Согласно имеющимся данным, производитель устранил проблему в очередном обновлении прошивки, которое было выпущено 1 ноября 2021 года.

Упомянутая уязвимость позволяет с помощью отправки на печать особым образом оформленного PDF-документа вызывать переполнение буфера обмена в обработчике шрифтов с целью выполнения кода на уровне прошивки. Атака такого типа может быть проведена на локальные устройства или сетевые принтеры.

После успешного проведения атаки скомпрометированный принтер может использоваться для проведения атак на локальную сеть, сниффинга трафика или организации скрытой точки присутствия внутри локальной сети жертвы. Уязвимость также может использоваться злоумышленниками для построения ботнет-сетей или как часть вредоносной кампании совместно с вредоносным программным обеспечением, сканирующим системы на предмет уязвимостей.

Для защиты от атак на принтеры специалисты рекомендуют размещать сетевые устройства в отдельные VLAN, ограничивая межсетевым экраном установку исходящих соединений от принтеров. Также рекомендуется использовать отдельный промежуточный сервер печати вместо прямого обращения к принтеру с рабочих мест пользователей.

Обнаружена массовая кибератака через уязвимость 2013 года в системе проверки цифровых подписей Windows

В начале ноября специализирующаяся на кибербезопасности компания Check Point Research обнаружила массовую атаку трояна Zloader, который похищает данные для доступа к интернет-банкам и персональные данные пользователей. По состоянию на 2 января зловредом были заражены машины, связанные с 2170 IP-адресами. Атака примечательна тем, что в ней используется старая уязвимость.

Троян Zloader известен довольно давно. Например, в 2020 году он распространялся через ресурсы для взрослых и даже рекламу в Google. Новая массовая атака, говорят эксперты, уникальна тем, что в её основе лежит система верификации ПО по цифровым подписям: полезная нагрузка вредоноса внедряется в подписанную системную библиотеку, которая не проверяется средствами защиты ОС.

Заражение производится через систему удалённого доступа и управления (RMM) Atera — демонстрационная версия этого стандартного корпоративного инструмента в модифицированном варианте устанавливается самой жертвой как файл java.msi, в котором в качестве администраторского указан подконтрольный злоумышленникам адрес электронной почты.

Далее оператор загружает на компьютер жертвы два bat-файла, используя функцию запуска скриптов. Первый скрипт модифицирует настройки Windows Defender, добавляя нужные исключения, а второй обеспечивает доставку данных со сторонних ресурсов. Далее запускается системный файл mshta.exe (обычно используется для запуска файлов HTML) с библиотекой appContast.dll в качестве параметра. Эта библиотека имеет подпись, но при этом содержит вредоносный код, благодаря которому загружается и запускается троян Zloader.

Ошибку с проверкой сертификатов Microsoft исправила ещё в 2013 году, однако впоследствии в 2014 году компания заявила, что соответствующее обновление может оказать влияние на существующее ПО, и оно стало доступно для установки только по желанию пользователя. По данным экспертов Check Point Research, за новой серией атак стоит хакерская группировка Malsmoke: её участникам свойственно выдавать вредоносное ПО за Java-плагины, а связанный с атакой URL-адрес уже использовался группировкой в 2020 году.

Новые уязвимости затрагивают все сотовые сети, начиная с 2G

Специалисты Нью-Йоркского университета Абу-Даби (NYUAD) рассказали об уязвимостях в механизме хендовер (handover), лежащем в основе современных сотовых сетей. Уязвимости могут быть использованы злоумышленниками для запуска атак типа «отказ в обслуживании» (DoS) и «человек посередине» (MitM) с помощью недорогого оборудования.

«Уязвимости в процессе хендовер не ограничивается только одним случаем и затрагивают разные случаи и сценарии хендовера, базирующиеся на непроверенных отчетах об измерениях и пороговых значениях мощности сигнала. Проблема затрагивает все поколения, начиная с 2G (GSM), и до сих пор остается неисправленной», - сообщили исследователи Евангелос Битсикас и Кристина Пеппер.

Хендовер, также известный как хендофф – фундаментальный механизм, лежащий в основе современных сотовых сетей. В сотовой связи – это процесс передачи обслуживания абонента во время вызова или сессии передачи данных от одной базовой станции к другой. Хендовер играет решающую роль в установлении сотовой связи, особенно когда пользователь находится в движении.

Процесс происходит следующим образом: устройство пользователя отправляет сети данные о мощности сигнала с целью установить, нужен ли хендовер, и если нужен, то облегчает переключение при обнаружении более подходящей базовой станции.

Хотя отчеты о мощности сигнала защищены шифрованием, их содержимое не проверяется, поэтому злоумышленник может заставить устройство подключиться к подконтрольной ему базовой станции.Суть атаки заключается в том, что исходная базовая станция не способна обрабатывать неверные значения в отчете о мощности сигнала, благодаря чему повышается вероятность вредоносного хендовера.

«Если атакующий манипулирует содержимым (отчета о мощности сигнала) путем включения его/ее измерений, сеть обработает поддельные значения. Это возможно путем имитации легитимной базовой станции и воспроизведения ее широковещательных сообщений», - сообщили исследователи. До осуществления атаки злоумышленник проводит начальную фазу разведки. С помощью смартфона он собирает данные, относящиеся к ближайшим легитимным базовым станциям, а затем использует эту информацию для настройки мошеннической базовой станции, выдающей себя за настоящую.

Затем злоумышленник вынуждает устройство жертвы подключиться к поддельной станции с помощью широковещательной рассылки блоков служебной информации (MIB и SIB), необходимой для того, чтобы помочь телефону подключиться к сети - с более высоким уровнем сигнала, чем у поддельной базовой станции.

Заставляя устройство пользователя подключиться к поддельной станции и сообщать сети о фиктивных измерениях мощности сигнала, злоумышленник инициирует хендовер и эксплуатирует уязвимости в процессе, чтобы вызвать отказ в обслуживании (DoS), осуществить MitM-атаку и спровоцировать раскрытие информации, что влияет как на пользователя, так и на оператора связи. Это ставит под угрозу не только конфиденциальность пользователей, но и доступность услуг.

«Когда устройство пользователя находится в зоне действия злоумышленника, и сигнал поддельной базовой станции достаточно мощный для того, чтобы привлечь устройство пользователя и вызвать отчет об изменениях мощности сигнала, у атакующего есть высокие шансы заставить устройство жертв подключиться к его/ее поддельной базовой станции путем злоупотребления процессом хендовер», - сообщили исследователи.

В популярных роутерах обнаружена уязвимость

Уязвимость для хакеров обнаружили эксперты в роутерах известных брендов. Американская SentinelOne в одном из компонентов роутеров брендов Netgear, TP-Link, Tenda, EDiMAX, D-Link и Western Digital нашла уязвимость, которая позволяет использовать компьютеры и другие устройства, подключенные к роутеру, для майнинга криптовалют или DDoS-атак.

Модуль NetUSB, в котором обнаружена критическая уязвимость, производит тайваньская KCodes, решение используется более чем в 20% сетевых устройств во всем мире. По данным TrendMicro, число атак на роутеры в 2020 году выросло почти втрое, а количество атакованных устройств — на 30%.

Хакеры взломали страницу правительства России в соцсети "ВКонтакте"

Официальная страница правительства России в соцсети "ВКонтакте" подверглась кибератаке, на ней появилось сообщение, связанное с украинской проблематикой. Попытка кибератаки была зафиксирована утром 15 марта. Неизвестные взломали главную страницу российского правительства "Вконтакте", оставив несколько посланий. Текст отобразился на странице рано утром, но через какое-то время исчез.

Хакеры заблокировали данные крупнейшего российского агрохолдинга «Мираторг»

Хакеры атаковали информационные ресурсы крупнейшего мясного холдинга «Мираторг», нарушив деятельность некоторых его предприятий. Об этом сообщил Россельхознадзор. «Вероятно, этот инцидент является проявлением той информационной и экономической “тотальной войны”, что развязал против России коллективный запад», — отмечается в сообщении службы.

Пострадало 18 предприятий, включая «Мираторг запад», «Продмир», «Торговую компанию “мираторг”», «Калининградскую мясную компанию» и т.д. «Вероятнее всего, перечисленные хозяйствующие субъекты будут не в состоянии оформлять производственные и транспортные эВСД (электронные ветеринарные сопроводительные документы) в течение нескольких суток», — говорится в сообщении Россельхознадзора.

Россельхознадзор ждет ответа от представителей «Мираторга», сможет ли холдинг бесперебойно поставлять свою продукцию. На момент публикации материала на официальном сайте холдинга информации о ликвидации последствий атаки опубликовано не было. Россельхознадзор также предупредил, что данный инцидент будет не последним.

Хакеры из Anonymous взломали более сотни российских принтеров

Хакеры из группировки Anonymous заявили, что взломали в России более сотни принтеров, на которых распечатали более чем 100 тысяч «антипропагандистских» листовок. Как сообщается, хакеры писали в листовках, как обходить блокировки в России с помощью браузера Tor, призывали россиян выступать против спецоперации на Украине и т.п.

«Мы распечатывали антипропагандистские листовки и инструкции по установке Tor на принтерах по всей России в течение двух часов. На данный момент мы напечатали более 100 тыс. копий. Над этой операцией прямо сейчас продолжают работать 15 человек», — заявили хакеры.

«Яндекс.Еда» закрыла систему, из которой утекли данные пользователей и извинилась перед клиентами

Сервис доставки «Яндекс.Еда» закрыл систему, через которую могла произойти утечка данных клиентов. Данные перенесены в более безопасное хранилище. Об этом сообщил в блоге компании руководитель сервиса Роман Маресов.

«Февральская утечка — беспрецедентный случай для Яндекса, который считает сохранность данных пользователей высшим приоритетом. Мы извлекли из этого много уроков, хотя и предпочли бы получить их менее суровым путём», — говорится в сообщении.

Маресов также подчеркнул, что сервис вскоре подключат к инструменту для управления данными, с помощью которого можно посмотреть, какие данные о вас накопили разные сервисы, и при желании удалить их. В компании отметили, что расследование утечки всё ещё продолжается. «Яндекс» проводит внутренние проверки и сотрудничает с регуляторами и правоохранительными органами.

Данные пользователей «Яндекс.Еды» утекли в конце февраля, а 22 марта в открытом доступе появился сайт, где данные пользователей были выложены с привязкой к конкретному адресу. Позже сайт был заблокирован Роскомнадзором.

В Череповце осужден хакер за установку вредоносных программ

21-летний житель Череповецкого района решил нажиться на интернет-пользователях. На протяжении нескольких месяцев юноша устанавливал на чужие компьютеры вредоносные программы дистанционным способом. Они блокировали работу технических средств, а на экранах пользователей появлялось сообщение с условиями возобновления работы.

«Программа выводила на экран пользователя предварительно заготовленное текстовое сообщение с предложением разблокировать компьютер за денежное вознаграждение в виде перевода на криптокошелек злоумышленника», — сообщает пресс-служба УФСБ РФ по Вологодской области.

Подобным занятием юноша занимался с августа по октябрь 2020 года. Всего череповчанин заблокировал больше тысячи компьютеров, сообщает пресс-служба ФСБ. После задержания молодой человек признал вину и оказал следствию необходимую помощь. Уголовное дело было возбуждено по фактам использования программ, предназначенных для блокировки информации и нейтрализации средств защиты. Сторона обвинения подчеркивала, что преступление совершено хакером из корыстной заинтересованности.

С учётом признания вины и содействия расследованию, осуждённому назначено наказание в виде года лишения свободы условно с испытательным сроком в полгода. Приговор вступил в законную силу.

Британский ритейлер The Works закрыл магазины после кибератаки

Ведущая британская сеть розничной торговли The Works была вынуждена закрыть несколько магазинов и частично остановить свою деятельность после кибератаки. Компания отключила доступ к компьютерным системам, включая электронную почту, в качестве меры предосторожности на время расследования.

Как сообщило издание The Guardian, пополнение запасов в магазины временно остановлено, а обычное окно доставки для выполнения online-заказов продлено, но ожидается, что поставки в магазины возобновятся в ближайшее время.

Платежные данные не были скомпрометированы, однако в настоящее время компания не может установить, в какой степени могли быть затронуты любые другие данные. В качестве меры предосторожности руководство проинформировало об инциденте Управление комиссара по информации (Information Commissioner’s Office, ICO). Предположительно, за атакой стоит вымогательская группировка, однако The Works не сообщила ни о каких требованиях выкупа.