На ‎одном‏ ‎из ‎японских ‎озер, ‎очевидцы ‎на‏ ‎лодке ‎сняли‏ ‎как‏ ‎красиво ‎взлетают ‎утки.

На ‎трассе‏ ‎в ‎Дагестане, ‎один ‎из ‎водителей‏ ‎зафиксировал, ‎как‏ ‎джигит‏ ‎снимал ‎сам ‎себя‏ ‎на ‎телефон,‏ ‎высунувшись ‎из ‎окна ‎автомобиля.

Так ‎проходит‏ ‎Обычный ‎день ‎в ‎лос-анджелесском ‎супермаркете.

Уж‏ ‎не ‎знаю,‏ ‎что‏ ‎конкретно ‎там ‎произошло,‏ ‎но ‎известно,‏ ‎что ‎Калифорния ‎— ‎один‏ ‎из‏ ‎самых ‎продемократических‏ ‎штатов, ‎вот‏ ‎народ ‎и ‎выгребает ‎по ‎полной‏ ‎все.

Впечатляет,‏ ‎правда? ‎«Свободный‏ ‎воздух ‎Америки»,‏ ‎ну ‎что ‎тут ‎еще ‎добавить?

Уязвимости ‎Telerik‏ ‎Report ‎Server, ‎идентифицированные ‎как ‎CVE-2024-4358 и‏ ‎CVE-2024-1800, позволяют ‎злоумышленникам,‏ ‎не‏ ‎прошедшим ‎проверку ‎подлинности,‏ ‎выполнять ‎произвольный‏ ‎код ‎на ‎уязвимых ‎серверах.

Схема‏ ‎атаки

📌Первоначальный‏ ‎доступ: злоумышленник ‎идентифицирует‏ ‎уязвимый ‎экземпляр‏ ‎сервера ‎отчетов ‎Telerik.

📌Использование ‎CVE-2024-4358: Злоумышленник ‎отправляет‏ ‎обработанный‏ ‎запрос ‎на‏ ‎конечную ‎точку‏ ‎/Startup/Register ‎для ‎создания ‎новой ‎учетной‏ ‎записи‏ ‎администратора.

📌Повышение‏ ‎привилегий: ‎Злоумышленник‏ ‎входит ‎в‏ ‎систему, ‎используя‏ ‎только‏ ‎что ‎созданную‏ ‎учетную ‎запись ‎администратора.

📌Использование ‎CVE-2024-1800: ‎Злоумышленник‏ ‎создает ‎вредоносный‏ ‎отчет,‏ ‎который ‎использует ‎уязвимость‏ ‎десериализации ‎для‏ ‎выполнения ‎произвольного ‎кода.

📌Выполнение ‎команды:‏ ‎Злоумышленник‏ ‎выполняет ‎произвольные‏ ‎команды ‎на‏ ‎сервере, ‎добиваясь ‎удаленного ‎выполнения ‎кода.

Сценарий‏ ‎атаки

Идентификация‏ ‎цели:

📌Злоумышленник ‎идентифицирует‏ ‎уязвимый ‎экземпляр‏ ‎сервера ‎отчетов ‎Telerik, ‎как ‎правило,‏ ‎путем‏ ‎сканирования‏ ‎общедоступных ‎экземпляров‏ ‎с ‎помощью‏ ‎таких ‎инструментов,‏ ‎как‏ ‎Shodan.

Обход ‎проверки‏ ‎подлинности ‎(CVE-2024-4358):

📌Злоумышленник ‎использует ‎уязвимость ‎в‏ ‎мастере ‎настройки‏ ‎сервера‏ ‎отчетов ‎Telerik ‎для‏ ‎обхода ‎проверки‏ ‎подлинности. ‎Эта ‎уязвимость ‎позволяет‏ ‎злоумышленнику‏ ‎создать ‎новую‏ ‎учетную ‎запись‏ ‎администратора ‎без ‎предварительной ‎проверки ‎подлинности.

📌Конкретной‏ ‎используемой‏ ‎конечной ‎точкой‏ ‎является ‎Telerik.ReportServer.Web.dll!‏ ‎Telerik.ReportServer.Web.Controllers.StartupController.Register, ‎которая ‎не ‎проверяет, ‎был‏ ‎ли‏ ‎процесс‏ ‎установки ‎уже‏ ‎завершен.

📌Злоумышленник ‎отправляет‏ ‎созданный ‎HTTP-запрос‏ ‎на‏ ‎конечную ‎точку‏ ‎/Startup/Register ‎для ‎создания ‎новой ‎учетной‏ ‎записи ‎администратора:

curl‏ ‎'http://TARGET_HERE/Startup/Register'‏ ‎-d ‎'Username=USERNAME_HERE& ‎Password=PASSWORD_HERE&‏ ‎ConfirmPassword=PASSWORD_HERE& ‎Email=backdoor%http://40admin.com&‏ ‎FirstName=backdoor& ‎LastName=user'

Создание ‎учетной ‎записи‏ ‎и‏ ‎проверка ‎подлинности:

📌После‏ ‎успешной ‎эксплуатации‏ ‎злоумышленник ‎получает ‎привилегированный ‎доступ ‎к‏ ‎серверу‏ ‎отчетов ‎Telerik,‏ ‎используя ‎только‏ ‎что ‎созданную ‎учетную ‎запись ‎администратора.

📌Злоумышленник‏ ‎входит‏ ‎в‏ ‎систему, ‎используя‏ ‎учетные ‎данные‏ ‎учетной ‎записи‏ ‎backdoor,‏ ‎созданной ‎на‏ ‎предыдущем ‎шаге.

Эксплойт ‎десериализации ‎(CVE-2024-1800):

📌Имея ‎административный‏ ‎доступ, ‎злоумышленник‏ ‎использует‏ ‎уязвимость ‎десериализации ‎на‏ ‎сервере ‎отчетов‏ ‎Telerik ‎для ‎выполнения ‎произвольного‏ ‎кода‏ ‎на ‎сервере.

📌Злоумышленник‏ ‎создает ‎вредоносный‏ ‎отчет, ‎который ‎запускает ‎ошибку ‎десериализации,‏ ‎позволяя‏ ‎выполнять ‎произвольные‏ ‎команды ‎на‏ ‎сервере.

📌Скрипт ‎PoC ‎автоматизирует ‎этот ‎процесс,‏ ‎включая‏ ‎генерацию‏ ‎случайных ‎имен‏ ‎пользователей ‎и‏ ‎паролей ‎для‏ ‎бэкдорской‏ ‎учетной ‎записи‏ ‎и ‎создание ‎отчета ‎о ‎вредоносных‏ ‎программах:

python ‎http://CVE-2024-4358.py --target‏ ‎http://192.168.253.128:83 -c‏ ‎«whoami»

ОАЭ ‎активно‏ ‎развивают ‎партнерские ‎отношения, ‎особенно ‎с‏ ‎США, ‎и‏ ‎привлекают‏ ‎инвестиции ‎для ‎создания‏ ‎собственного ‎производства‏ ‎передовых ‎полупроводников, ‎которые ‎важны‏ ‎для‏ ‎их ‎стремления‏ ‎стать ‎мировым‏ ‎лидером ‎в ‎области ‎искусственного ‎интеллекта‏ ‎и‏ ‎технологическим ‎центром.

Планы‏ ‎ОАЭ ‎по‏ ‎производству ‎полупроводников

📌ОАЭ ‎активно ‎стремятся ‎к‏ ‎партнерству‏ ‎с‏ ‎Соединенными ‎Штатами‏ ‎для ‎создания‏ ‎передовых ‎полупроводниковых‏ ‎чипов,‏ ‎имеющих ‎решающее‏ ‎значение ‎для ‎приложений ‎искусственного ‎интеллекта‏ ‎(ИИ).

📌Омар ‎Аль-Олама,‏ ‎государственный‏ ‎министр ‎ОАЭ ‎по‏ ‎вопросам ‎искусственного‏ ‎интеллекта, ‎подчеркнул, ‎что ‎«это‏ ‎сработает‏ ‎только ‎в‏ ‎том ‎случае,‏ ‎если ‎мы ‎сможем ‎наладить ‎устойчивые‏ ‎и‏ ‎долгосрочные ‎партнерские‏ ‎отношения ‎с‏ ‎такими ‎странами, ‎как ‎США, ‎где‏ ‎мы‏ ‎можем‏ ‎создавать ‎передовые‏ ‎чипы».

📌ОАЭ ‎стремятся‏ ‎разрабатывать ‎чипы‏ ‎нового‏ ‎поколения, ‎а‏ ‎не ‎конкурировать ‎по ‎цене ‎с‏ ‎более ‎дешевыми‏ ‎аналогами‏ ‎от ‎крупных ‎производителей.

📌Создание‏ ‎производства ‎полупроводников‏ ‎в ‎регионе ‎Персидского ‎залива‏ ‎сталкивается‏ ‎с ‎серьезными‏ ‎препятствиями, ‎такими‏ ‎как ‎получение ‎одобрения ‎правительства ‎США‏ ‎из-за‏ ‎региональных ‎связей‏ ‎с ‎Китаем,‏ ‎привлечение ‎талантов ‎и ‎опыта ‎со‏ ‎всего‏ ‎мира.

Финансирование‏ ‎собственных ‎чипов‏ ‎искусственного ‎интеллекта

📌Государственная‏ ‎группа ‎MGX‏ ‎из‏ ‎Абу-Даби ‎ведет‏ ‎переговоры ‎о ‎поддержке ‎планов ‎OpenAI‏ ‎по ‎разработке‏ ‎собственных‏ ‎полупроводниковых ‎чипов ‎для‏ ‎искусственного ‎интеллекта.

📌OpenAI‏ ‎ищет ‎инвестиции ‎в ‎размере‏ ‎триллионов‏ ‎долларов ‎по‏ ‎всему ‎миру‏ ‎для ‎внутреннего ‎производства ‎чипов ‎для‏ ‎искусственного‏ ‎интеллекта ‎и‏ ‎снижения ‎зависимости‏ ‎от ‎Nvidia.

📌 Потенциальные ‎инвестиции ‎MGX ‎соответствуют‏ ‎стратегии‏ ‎ОАЭ‏ ‎по ‎размещению‏ ‎Абу-Даби ‎в‏ ‎центре ‎«стратегии‏ ‎развития‏ ‎искусственного ‎интеллекта‏ ‎с ‎глобальными ‎партнерами ‎по ‎всему‏ ‎миру».

Стратегическая ‎важность

📌Современные‏ ‎полупроводники‏ ‎являются ‎важнейшими ‎компонентами‏ ‎в ‎цепочке‏ ‎поставок ‎ИИ, ‎необходимыми ‎для‏ ‎обработки‏ ‎огромных ‎объемов‏ ‎данных, ‎необходимых‏ ‎для ‎приложений ‎ИИ.

📌Развитие ‎внутреннего ‎производства‏ ‎полупроводников‏ ‎является ‎ключевой‏ ‎частью ‎стремления‏ ‎ОАЭ ‎стать ‎ведущим ‎технологическим ‎центром‏ ‎и‏ ‎диверсифицировать‏ ‎свою ‎экономику,‏ ‎не ‎ограничиваясь‏ ‎добычей ‎нефти.

📌Партнерство‏ ‎с‏ ‎США ‎в‏ ‎области ‎производства ‎полупроводников ‎помогло ‎бы‏ ‎снять ‎обеспокоенность‏ ‎по‏ ‎поводу ‎связей ‎ОАЭ‏ ‎с ‎Китаем‏ ‎в ‎важных ‎технологических ‎секторах.

В ‎статье «Использование‏ ‎Национальной ‎базы ‎данных ‎уязвимостей ‎для‏ ‎распространения ‎вредоносного‏ ‎ПО»‏ ‎от ‎Nozomi ‎Networks‏ ‎обсуждаются ‎потенциальные‏ ‎риски ‎и ‎уязвимости, ‎связанные‏ ‎с‏ ‎NVD.

📌NVD ‎—‏ ‎палка ‎о‏ ‎двух ‎концах: Предполагается, ‎что ‎NVD ‎—‏ ‎это‏ ‎настоящая ‎сокровищница‏ ‎для ‎профессионалов‏ ‎в ‎области ‎кибербезопасности, ‎но ‎угадайте,‏ ‎что?‏ ‎Это‏ ‎также ‎золотая‏ ‎жила ‎для‏ ‎киберпреступников. ‎Они‏ ‎могут‏ ‎легко ‎получить‏ ‎доступ ‎к ‎подробной ‎информации ‎об‏ ‎уязвимостях, ‎что‏ ‎превращает‏ ‎их ‎работу ‎по‏ ‎разработке ‎эксплойтов‏ ‎в ‎прогулку ‎по ‎парку.

📌Распространение‏ ‎вредоносных‏ ‎программ ‎через‏ ‎NVD: Представьте ‎себе‏ ‎иронию ‎— ‎для ‎распространения ‎вредоносных‏ ‎программ‏ ‎используется ‎база‏ ‎данных, ‎предназначенная‏ ‎для ‎нашей ‎защиты. ‎Киберпреступники ‎могут‏ ‎вставлять‏ ‎вредоносные‏ ‎ссылки ‎в‏ ‎записи ‎NVD,‏ ‎и ‎ничего‏ ‎не‏ ‎подозревающие ‎пользователи‏ ‎могут ‎просто ‎переходить ‎по ‎ним,‏ ‎думая, ‎что‏ ‎получают‏ ‎доступ ‎к ‎легитимным‏ ‎ресурсам.

📌Автоматизированные ‎инструменты‏ ‎и ‎сценарии: ‎Автоматизированные ‎инструменты,‏ ‎которые‏ ‎сканируют ‎сетевую‏ ‎систему ‎на‏ ‎наличие ‎уязвимостей, ‎могут ‎быть ‎взломаны.‏ ‎Этими‏ ‎инструментами, ‎разработанными‏ ‎для ‎обеспечения‏ ‎безопасности ‎организаций, ‎можно ‎манипулировать ‎для‏ ‎загрузки‏ ‎и‏ ‎запуска ‎вредоносного‏ ‎ПО.

📌Проблемы ‎с‏ ‎доверием: Многие ‎доверяют‏ ‎NVD,‏ ‎но ‎этим‏ ‎доверием ‎можно ‎воспользоваться. ‎Если ‎киберпреступникам‏ ‎удастся ‎внедрить‏ ‎вредоносные‏ ‎данные ‎в ‎NVD,‏ ‎они ‎могут‏ ‎использовать ‎это ‎доверие ‎для‏ ‎широкого‏ ‎распространения ‎своих‏ ‎вредоносных ‎программ.‏ ‎Не ‎доверяйте ‎никому, ‎даже ‎своему‏ ‎любимому‏ ‎NVD.

📌Стратегии ‎снижения‏ ‎рисков: Конечно, ‎есть‏ ‎способы ‎снизить ‎эти ‎риски, ‎но‏ ‎они‏ ‎требуют‏ ‎усилий. ‎Организациям‏ ‎необходимо ‎проверять‏ ‎данные, ‎которые‏ ‎они‏ ‎извлекают ‎из‏ ‎NVD, ‎и ‎обеспечивать ‎безопасность ‎своих‏ ‎автоматизированных ‎инструментов.

Проект ‎EvilLsassTwin‏ ‎на ‎GitHub, размещенный ‎в ‎репозитории ‎Nimperiments,‏ ‎посвящен ‎конкретному‏ ‎методу‏ ‎извлечения ‎учетных ‎данных‏ ‎из ‎процесса‏ ‎Local ‎Security ‎Authority ‎Subsystem‏ ‎Service‏ ‎(LSASS) ‎в‏ ‎системах ‎Windows.

📌Цель: Цель‏ ‎проекта ‎— ‎продемонстрировать ‎метод ‎сброса‏ ‎учетных‏ ‎данных ‎из‏ ‎процесса ‎LSASS,‏ ‎который ‎является ‎распространенной ‎целью ‎злоумышленников,‏ ‎стремящихся‏ ‎получить‏ ‎конфиденциальную ‎информацию,‏ ‎такую ‎как‏ ‎пароли ‎и‏ ‎токены.

📌Техника:‏ ‎Метод ‎предполагает‏ ‎создание ‎«двойника» ‎процесса ‎LSASS. ‎Этот‏ ‎двойной ‎процесс‏ ‎используется‏ ‎для ‎обхода ‎определенных‏ ‎механизмов ‎безопасности,‏ ‎которые ‎защищают ‎исходный ‎процесс‏ ‎LSASS‏ ‎от ‎прямого‏ ‎доступа.

📌Внедрение: ‎Проект‏ ‎предусматривает ‎детальную ‎реализацию ‎методики, ‎включая‏ ‎необходимый‏ ‎код ‎и‏ ‎шаги ‎для‏ ‎воспроизведения ‎процесса. ‎Это ‎включает ‎в‏ ‎себя‏ ‎создание‏ ‎дубликата ‎процесса‏ ‎LSASS, ‎использование‏ ‎дублирующего ‎процесса‏ ‎для‏ ‎чтения ‎памяти‏ ‎исходного ‎процесса ‎LSASS, ‎извлечение ‎учетных‏ ‎данных ‎из‏ ‎памяти‏ ‎исходного ‎процесса ‎LSASS.

📌Доступность‏ ‎кода: ‎Полный‏ ‎исходный ‎код ‎и ‎документация‏ ‎доступны‏ ‎на ‎странице‏ ‎GitHub, ‎что‏ ‎позволяет ‎пользователям ‎детально ‎изучить ‎и‏ ‎понять‏ ‎технологию.

Влияние ‎и‏ ‎последствия ‎для‏ ‎отрасли

📌Повышенный ‎риск ‎кражи ‎учетных ‎данных:‏ ‎технология‏ ‎EvilLsassTwin‏ ‎выявляет ‎уязвимость‏ ‎процесса ‎LSASS,‏ ‎в ‎котором‏ ‎хранится‏ ‎конфиденциальная ‎информация,‏ ‎такая ‎как ‎зашифрованные ‎пароли, ‎хэши‏ ‎NT, ‎хэши‏ ‎LM‏ ‎и ‎запросы ‎Kerberos.‏ ‎Злоумышленники, ‎использующие‏ ‎этот ‎метод, ‎могут ‎получить‏ ‎несанкционированный‏ ‎доступ ‎к‏ ‎этим ‎учетным‏ ‎данным, ‎что ‎может ‎привести ‎к‏ ‎потенциальным‏ ‎утечкам ‎данных‏ ‎и ‎несанкционированному‏ ‎доступу ‎к ‎критически ‎важным ‎системам.

📌Распространение‏ ‎и‏ ‎повышение‏ ‎привилегий: ‎Как‏ ‎только ‎злоумышленники‏ ‎получают ‎учетные‏ ‎данные‏ ‎из ‎процесса‏ ‎LSASS, ‎они ‎могут ‎использовать ‎их‏ ‎для ‎распространения‏ ‎по‏ ‎сети, ‎повышая ‎свои‏ ‎привилегии ‎и‏ ‎компрометируя ‎дополнительные ‎системы. ‎Это‏ ‎может‏ ‎привести ‎к‏ ‎широкомасштабной ‎компрометации‏ ‎сети, ‎что ‎затруднит ‎организациям ‎сдерживание‏ ‎атаки.

📌Реальные‏ ‎примеры: ‎Атака‏ ‎программы-вымогателя ‎BlackCat‏ ‎является ‎ярким ‎примером ‎того, ‎как‏ ‎злоумышленники‏ ‎использовали‏ ‎сброс ‎данных‏ ‎из ‎памяти‏ ‎LSASS ‎для‏ ‎извлечения‏ ‎учетных ‎данных.‏ ‎Они ‎изменили ‎конфигурацию ‎WDigest, ‎чтобы‏ ‎считывать ‎пароли‏ ‎учетных‏ ‎записей ‎пользователей, ‎и‏ ‎использовали ‎такие‏ ‎инструменты, ‎как ‎Mimikatz, ‎для‏ ‎выполнения‏ ‎дампа, ‎что‏ ‎позволило ‎им‏ ‎получить ‎дополнительный ‎доступ ‎и ‎перемещаться‏ ‎по‏ ‎сети ‎в‏ ‎поперечном ‎направлении.

Технические ‎подробности‏ ‎и ‎практика ‎использования ‎CVE-2024-24919 в ‎реальных‏ ‎условиях ‎подчеркивают‏ ‎критический‏ ‎характер ‎этой ‎уязвимости‏ ‎и ‎важность‏ ‎оперативного ‎устранения ‎для ‎защиты‏ ‎от‏ ‎потенциальных ‎утечек‏ ‎данных ‎и‏ ‎сетевых ‎компрометаций.

Описание ‎уязвимости

📌 CVE-2024-24919 ‎— ‎уязвимость,‏ ‎связанная‏ ‎с ‎раскрытием‏ ‎информации, ‎которая‏ ‎позволяет ‎удаленному ‎злоумышленнику, ‎не ‎прошедшему‏ ‎проверку‏ ‎подлинности,‏ ‎считывать ‎содержимое‏ ‎произвольных ‎файлов‏ ‎на ‎уязвимом‏ ‎устройстве.

📌 Уязвимость‏ ‎классифицируется ‎как‏ ‎«Передача ‎конфиденциальной ‎информации ‎неавторизованному ‎субъекту».

📌 Уязвимость‏ ‎затрагивает ‎системы‏ ‎с‏ ‎удаленным ‎доступом ‎мобильным‏ ‎или ‎VPN.

Уязвимые‏ ‎Продукты

📌CloudGuard ‎Network

📌Quantum ‎Maestro

📌Quantum ‎Scalable‏ ‎Chassis

📌Quantum‏ ‎Security ‎Gateways

📌Quantum‏ ‎Spark ‎Appliances

Подробности‏ ‎Эксплуатации

📌 Уязвимостью ‎можно ‎воспользоваться, ‎отправив ‎созданный‏ ‎запрос‏ ‎на ‎конечную‏ ‎точку ‎/clients/MyCRL,‏ ‎которая ‎предназначена ‎для ‎обработки ‎статических‏ ‎файлов‏ ‎из‏ ‎файловой ‎системы.

📌 Включая‏ ‎в ‎текст‏ ‎запроса ‎последовательности‏ ‎обхода‏ ‎пути, ‎такие‏ ‎как ‎././etc/passwd, ‎злоумышленник ‎может ‎считывать‏ ‎конфиденциальные ‎файлы,‏ ‎такие‏ ‎как ‎/etc/shadow, ‎для‏ ‎получения ‎хэшей‏ ‎паролей.

📌 Уязвимость ‎позволяет ‎считывать ‎любой‏ ‎файл‏ ‎в ‎системе,‏ ‎а ‎не‏ ‎только ‎конкретные ‎файлы, ‎указанные ‎поставщиком.

PoC

📌 Исследователи‏ ‎в‏ ‎области ‎безопасности‏ ‎опубликовали ‎общедоступный‏ ‎PoC-эксплойт ‎для ‎CVE-2024-24919, ‎содержащий ‎технические‏ ‎подробности‏ ‎о‏ ‎том, ‎как‏ ‎использовать ‎уязвимость.

📌 PoC‏ ‎демонстрирует ‎способность‏ ‎считывать‏ ‎произвольные ‎файлы,‏ ‎включая ‎извлечение ‎хэшей ‎паролей ‎и‏ ‎другой ‎конфиденциальной‏ ‎информации.

Практическое‏ ‎применение

📌 Компания ‎Check ‎Point‏ ‎наблюдала ‎активную‏ ‎эксплуатацию ‎этой ‎уязвимости ‎вживую‏ ‎с‏ ‎начала ‎апреля‏ ‎2024 ‎года.

📌 Злоумышленники‏ ‎использовали ‎уязвимость ‎для ‎извлечения ‎хэшей‏ ‎паролей,‏ ‎перемещения ‎по‏ ‎сетям ‎и‏ ‎компрометации ‎серверов ‎Active ‎Directory ‎путем‏ ‎извлечения‏ ‎файла‏ ‎ntds.dit.

Анализ ‎кода

Первоначальный‏ ‎анализ:

📌 Уязвимый ‎код‏ ‎выполняет ‎операции‏ ‎ввода-вывода‏ ‎файлов, ‎на‏ ‎которые ‎указывают ‎ссылки ‎на ‎такие‏ ‎функции, ‎как‏ ‎_fopen‏ ‎и ‎_fread.

📌 Код ‎сравнивает‏ ‎запрошенный ‎URL-адрес‏ ‎со ‎списком ‎жестко ‎заданных‏ ‎строк‏ ‎из ‎таблицы‏ ‎строк, ‎чтобы‏ ‎определить, ‎может ‎ли ‎файл ‎быть‏ ‎обработан.

Ошибка‏ ‎сравнения ‎строк:

📌 В‏ ‎коде ‎используется‏ ‎функция ‎strstr ‎для ‎проверки ‎того,‏ ‎содержит‏ ‎ли‏ ‎запрашиваемый ‎URL-адрес‏ ‎какие-либо ‎строки‏ ‎из ‎таблицы.‏ ‎Эта‏ ‎функция ‎выполняет‏ ‎поиск ‎подстроки, ‎а ‎не ‎строгое‏ ‎сравнение.

📌 Это ‎позволяет‏ ‎злоупотреблять‏ ‎кодом, ‎включив ‎допустимую‏ ‎подстроку ‎в‏ ‎последовательность ‎обхода ‎пути, ‎такую‏ ‎как‏ ‎http://icsweb.cab/././etc/passwd.

Использование ‎обхода‏ ‎пути:

📌 Первоначальные ‎попытки‏ ‎использовать ‎обход ‎пути ‎путем ‎включения‏ ‎в‏ ‎URL-адрес ‎последовательностей‏ ‎типа ‎././etc/passwd‏ ‎завершились ‎неудачей, ‎поскольку ‎операционная ‎система‏ ‎правильно‏ ‎определила‏ ‎путь ‎как‏ ‎недопустимый.

📌 Была ‎найдена‏ ‎вторая ‎таблица‏ ‎строк,‏ ‎содержащая ‎записи,‏ ‎указывающие ‎на ‎пути ‎к ‎каталогам,‏ ‎такие ‎как‏ ‎CSHELL/.

Эксплуатация:

📌 Создав‏ ‎запрос, ‎который ‎включал‏ ‎строку ‎каталога‏ ‎CSHELL/, ‎за ‎которой ‎следовала‏ ‎последовательность‏ ‎обхода ‎пути,‏ ‎исследователи ‎смогли‏ ‎обойти ‎проверки.

📌 Запрос ‎был ‎выполнен ‎успешно:

POST‏ ‎/clients/MyCRL‏ ‎HTTP/1.1

Host: ‎<redacted>

Content-Length:‏ ‎39

aCSHELL/./././././././etc/shadow

📌 Этот ‎запрос‏ ‎вернул ‎содержимое ‎файла ‎/etc/shadow, ‎подтвердив‏ ‎уязвимость‏ ‎для‏ ‎произвольного ‎чтения‏ ‎файла.

Последствия:

📌 Возможность ‎чтения‏ ‎файла ‎/etc/shadow‏ ‎указывает‏ ‎на ‎то,‏ ‎что ‎злоумышленник ‎обладает ‎правами ‎суперпользователя,‏ ‎позволяющими ‎ему‏ ‎читать‏ ‎любой ‎файл ‎в‏ ‎файловой ‎системе.

📌 Это‏ ‎более ‎серьезная ‎проблема, ‎чем‏ ‎рекомендация‏ ‎поставщика, ‎которая‏ ‎предполагала ‎ограниченный‏ ‎доступ ‎к ‎информации.

В ‎блоге подробно‏ ‎рассказывается ‎об ‎их ‎участии ‎в‏ ‎двух ‎хакатонах,‏ ‎организованных‏ ‎кампусом ‎киберзащиты ‎armasuisse‏ ‎Science ‎and‏ ‎Technology.

Хакатон ‎ICS

📌Фокус: ‎Криминалистика ‎и‏ ‎обнаружение‏ ‎атак ‎в‏ ‎промышленных ‎системах‏ ‎управления ‎(ICS).

Мероприятия:

📌Реверс-анализ ‎встроенного ‎ПО ‎в‏ ‎сценариях‏ ‎SCADA.

📌Анализ ‎сетевого‏ ‎трафика.

📌Практическое ‎техническое‏ ‎обучение ‎по ‎ICS ‎forensics.

📌Разработка ‎и‏ ‎тестирование‏ ‎атак‏ ‎в ‎имитируемой‏ ‎среде ‎SCADA.

Инструменты‏ ‎и ‎устройства:

📌ABB‏ ‎Relion‏ ‎670, ‎Elvexys‏ ‎XPG, ‎Omicron ‎Stationguard ‎RBX1 ‎и‏ ‎Omicron ‎CMC256-6.

📌Датчик‏ ‎Guardian‏ ‎от ‎Nozomi ‎Networks‏ ‎использовался ‎для‏ ‎идентификации ‎устройств ‎и ‎версий‏ ‎встроенного‏ ‎ПО.

Результаты:

📌Навыки ‎анализа‏ ‎устройств ‎SCADA.

📌Понимание‏ ‎фирменных ‎протоколов.

📌Вклад ‎в ‎коллективные ‎знания‏ ‎в‏ ‎области ‎кибербезопасности‏ ‎посредством ‎сбора‏ ‎и ‎анализа ‎данных.

Автомобильный ‎хакатон

📌Фокус: ‎Автомобильная‏ ‎кибербезопасность,‏ ‎в‏ ‎частности, ‎направления‏ ‎атак ‎на‏ ‎электромобили ‎и‏ ‎их‏ ‎уязвимости.

Мероприятия:

📌Анализ ‎встроенного‏ ‎программного ‎обеспечения ‎информационно-развлекательной ‎системы ‎автомобиля.

📌Изучение‏ ‎возможностей ‎беспроводных‏ ‎атак.

📌Взаимодействие‏ ‎с ‎электромобилями ‎(Renault‏ ‎Zoes, ‎Skoda‏ ‎Octavia, ‎Skoda ‎Enyaq ‎IV‏ ‎80,‏ ‎Honda).

Инструменты:

📌Донглы ‎OBD2,‏ ‎адаптеры ‎CAN-to-USB,‏ ‎HackRF, ‎USRP, ‎антенны ‎Wi-Fi/Bluetooth.

Интересная ‎презентация:

📌Атака‏ ‎«Broken‏ ‎Wire» ‎на‏ ‎комбинированную ‎систему‏ ‎зарядки ‎(CCS) ‎электромобилей, ‎демонстрирующая, ‎как‏ ‎воспроизведение‏ ‎специального‏ ‎пакета ‎может‏ ‎нарушить ‎процесс‏ ‎зарядки.

Сотрудничество ‎—‏ ‎ikakprosto.commercial@gmail.com

Мой ‎Бусти ‎— ‎https://boosty.to/ikakprosto

Эксклюзивный ‎контент‏ ‎— ‎https://taplink.cc/ikakprosto

Мой‏ ‎магазин‏ ‎— ‎https://podsas.ru

ВКонтакте ‎—‏ ‎https://vk.com/ikakprosto

На ‎Рутубе‏ ‎— ‎https://rutube.ru/channel/21014334/

Телеграм ‎— ‎https://t.me/ikakprosto

В‏ ‎Дзене‏ ‎–

Аудиоверсия ‎—‏ ‎https://band.link/ikakprosto

Таймкоды:

00:00 Начало

03:24 Новый ‎Шрек

04:20 Шелли‏ ‎Дюваль

04:58 Революция ‎в ‎Нью-Йорке

15:07 Самолёты

25:35 Захват ‎территорий

35:18 Новости ‎спорта

41:51 Шестидневка

43:43 Смерть‏ ‎MTV

44:50 Жизнь‏ ‎WikiLeaks

49:17 Снова ‎выборы

01:00:17 Вован‏ ‎и ‎Лексус

01:03:53 Новые‏ ‎санкции

01:14:03 Иволга ‎4.0

01:15:53 Иноагенты

01:19:23 Саммит ‎ШОС

01:21:40 Выходки ‎Байдена

01:40:51 Покушение ‎на‏ ‎Трампа

01:50:21 Выборы‏ ‎во‏ ‎Франции

01:52:14 Запрет ‎поцелуев

01:53:07 Слоны‏ ‎в ‎Грузии

01:56:08 «Свобода‏ ‎слова»

01:59:44 Африканские ‎слоны

02:01:27 Новости‏ ‎с‏ ‎фронта

02:18:05 Блокировка ‎YouTube

NSM-22 представляет ‎собой‏ ‎обновление ‎политики ‎безопасности ‎критической ‎инфраструктуры‏ ‎США, ‎в‏ ‎котором‏ ‎особое ‎внимание ‎уделяется‏ ‎обязательному ‎соблюдению‏ ‎требований, ‎усиленному ‎управлению ‎рисками‏ ‎и‏ ‎расширению ‎сотрудничества.‏ ‎Владельцы ‎и‏ ‎операторы ‎критической ‎инфраструктуры ‎должны ‎подготовиться‏ ‎к‏ ‎этим ‎изменениям,‏ ‎чтобы ‎обеспечить‏ ‎безопасность ‎и ‎устойчивость ‎своей ‎деятельности.

Обновленная‏ ‎основа‏ ‎политики:

📌NSM-22‏ ‎модернизирует ‎основы‏ ‎политики ‎в‏ ‎целях ‎противодействия‏ ‎технологическому‏ ‎прогрессу, ‎растущим‏ ‎угрозам ‎и ‎геополитической ‎напряженности.

📌Министерству ‎внутренней‏ ‎безопасности ‎(DHS)‏ ‎и‏ ‎Агентству ‎по ‎кибербезопасности‏ ‎и ‎защите‏ ‎инфраструктуры ‎(CISA) ‎поручено ‎возглавить‏ ‎скоординированные‏ ‎усилия ‎по‏ ‎управлению ‎рисками‏ ‎в ‎16 ‎важнейших ‎инфраструктурных ‎секторах.

Агентства‏ ‎по‏ ‎управлению ‎отраслевыми‏ ‎рисками ‎(SRMAS):

📌Меморандум‏ ‎подтверждает ‎определение ‎16 ‎секторов ‎критической‏ ‎инфраструктуры‏ ‎и‏ ‎соответствующих ‎SRMA,‏ ‎которые ‎координируют‏ ‎деятельность ‎в‏ ‎каждом‏ ‎секторе.

📌SRMA ‎отвечают‏ ‎за ‎разработку ‎планов ‎управления ‎рисками‏ ‎для ‎конкретного‏ ‎сектора‏ ‎и ‎координацию ‎с‏ ‎CISA.

Минимальные ‎требования‏ ‎к ‎безопасности ‎и ‎отказоустойчивости:

📌В‏ ‎NSM-22‏ ‎особое ‎внимание‏ ‎уделяется ‎разработке‏ ‎минимальных ‎требований ‎к ‎безопасности ‎и‏ ‎отказоустойчивости‏ ‎для ‎объектов‏ ‎критически ‎важной‏ ‎инфраструктуры, ‎переходя ‎от ‎добровольных ‎стандартов‏ ‎к‏ ‎обязательному‏ ‎соблюдению.

📌Перед ‎регулирующими‏ ‎и ‎надзорными‏ ‎органами ‎поставлена‏ ‎задача‏ ‎разработать ‎эти‏ ‎требования ‎и ‎механизмы ‎подотчетности.

Системно ‎важные‏ ‎организации ‎(SIE):

📌CISA‏ ‎поручено‏ ‎определить ‎и ‎поддерживать‏ ‎закрытый ‎для‏ ‎общественности ‎список ‎SIE, ‎которые‏ ‎получат‏ ‎приоритетный ‎доступ‏ ‎к ‎информации‏ ‎о ‎снижении ‎рисков ‎и ‎оперативным‏ ‎ресурсам.

Новый‏ ‎цикл ‎управления‏ ‎рисками:

📌NSM-22 ‎вводит‏ ‎новый ‎цикл ‎управления ‎рисками, ‎требующий‏ ‎от‏ ‎SRMA‏ ‎выявлять, ‎оценивать‏ ‎и ‎определять‏ ‎приоритеты ‎рисков‏ ‎в‏ ‎своих ‎секторах.‏ ‎Кульминацией ‎этого ‎цикла ‎станет ‎разработка‏ ‎Национального ‎плана‏ ‎управления‏ ‎рисками ‎в ‎сфере‏ ‎инфраструктуры ‎на‏ ‎2025 ‎год.

Последствия ‎для ‎владельцев‏ ‎и‏ ‎операторов ‎критически‏ ‎важной ‎инфраструктуры

Усиление‏ ‎регулирования:

📌NSM-22 ‎знаменует ‎собой ‎значительный ‎сдвиг‏ ‎в‏ ‎сторону ‎регулирования,‏ ‎и ‎в‏ ‎течение ‎следующих ‎18 ‎месяцев ‎ожидается‏ ‎переход‏ ‎от‏ ‎добровольных ‎стандартов‏ ‎к ‎обязательному‏ ‎соблюдению.

📌Владельцам ‎и‏ ‎операторам‏ ‎следует ‎подготовиться‏ ‎к ‎принятию ‎новых ‎директив ‎и‏ ‎правил ‎в‏ ‎области‏ ‎кибербезопасности, ‎особенно ‎в‏ ‎таких ‎секторах,‏ ‎как ‎аэропорты, ‎трубопроводы, ‎нефтегазовая‏ ‎отрасль‏ ‎и ‎железнодорожный‏ ‎транспорт.

Распределение ‎ресурсов:

📌Соблюдение‏ ‎новых ‎правил ‎и ‎дублирующих ‎друг‏ ‎друга‏ ‎мандатов ‎может‏ ‎быть ‎дорогостоящим‏ ‎и ‎трудоемким ‎процессом. ‎Организациям ‎необходимо‏ ‎будет‏ ‎обеспечить‏ ‎безопасное ‎осуществление‏ ‎инвестиций ‎и‏ ‎их ‎интеграцию‏ ‎в‏ ‎операционную ‎деятельность.

📌В‏ ‎меморандуме ‎не ‎упоминаются ‎дополнительные ‎ресурсы‏ ‎для ‎тех,‏ ‎кто‏ ‎находится ‎на ‎передовой,‏ ‎для ‎чего‏ ‎в ‎будущем ‎может ‎потребоваться‏ ‎финансирование‏ ‎со ‎стороны‏ ‎Конгресса.

Кибер-защита:

📌Владельцы ‎должны‏ ‎усилить ‎свою ‎кибер-защиту, ‎чтобы ‎защитить‏ ‎активы,‏ ‎обеспечить ‎непрерывность‏ ‎работы ‎и‏ ‎выполнить ‎свою ‎общественную ‎миссию. ‎Последствия‏ ‎невыполнения‏ ‎этого‏ ‎требования ‎включают‏ ‎физический, ‎финансовый‏ ‎и ‎репутационный‏ ‎ущерб.

Сотрудничество:

📌Эффективное‏ ‎управление ‎рисками‏ ‎потребует ‎сотрудничества ‎между ‎федеральными ‎агентствами,‏ ‎органами ‎государственной‏ ‎власти‏ ‎штатов ‎и ‎местного‏ ‎самоуправления, ‎организациями‏ ‎частного ‎сектора ‎и ‎другими‏ ‎заинтересованными‏ ‎сторонами.

📌Владельцам ‎и‏ ‎операторам ‎следует‏ ‎взаимодействовать ‎с ‎отраслевыми ‎координационными ‎советами‏ ‎и‏ ‎соответствующими ‎регулирующими‏ ‎органами, ‎чтобы‏ ‎быть ‎в ‎курсе ‎новых ‎требований‏ ‎и‏ ‎соответствовать‏ ‎им.