Уязвимость классифицируется как zero day: на момент обнаружения она уже эксплуатировалась злоумышленниками. Это далеко не первая успешная попытка атаки на корпоративные решения Zoho. В начале ноября уже о случаях взлома «соседнего» программного модуля, известного как ManageEngine ADSelfService Plus. Это решение реализует систему Single Sign-On и предоставляет сотрудникам интерфейс для смены пароля.
Атаки на ADSelfService регистрируются с середины сентября. Тогда доступные извне инсталляции Zoho подверглись массовому сканированию, а позднее против уязвимых систем был применен эксплойт к багу . Уязвимость позволяла обойти систему авторизации на сервере, выполнить произвольный код и таким образом получить доступ к локальной сети предприятия. Пострадали как минимум девять организаций в США. На взломанные системы устанавливался бэкдор NGLite и инструмент для кражи учетных данных KdcSponge.
В начале ноября была еще одна атака с использованием уязвимости в компоненте Zoho ManageEngine ServiceDesk Plus. Атаки на Zoho совпали по времени с попытками взлома другого популярного корпоративного инструмента — Atlassian Confluence. Правда, эксплуатация в Jira началась через неделю после выпуска патча.
Что еще произошло:
Вышли новые отчеты экспертов «Лаборатории Касперского»: APT-атак в 2021 году и на 2022 год по угрозам для финансовых организаций.
BleepingComputer о фишинговой атаке на «проверенных» (verified) пользователей Твиттера.
В Канаде произошла угонов дорогих автомобилей с использованием меток Apple AirTags. Как минимум в пяти случаях злоумышленники приклеивали метку к автомобилю на общественной парковке. Это позволяло отслеживать его перемещения. Взлом машины, как правило, производился возле дома владельца. В статье упомянута интересная рекомендация от канадской полиции: «маячок» можно обнаружить, если у вас есть iPhone — он сообщит о чужой метке поблизости. Если ваш смартфон не от Apple, у вас нет возможности обнаружить слежку.
В США бывшего сотрудника компании Ubiquiti. Ранее он скопировал конфиденциальные данные с корпоративной учетки на GitHub и сервера AWS, после чего пытался получить два миллиона долларов выкупа. Переговоры с работодателем злоумышленник вел с домашнего компьютера через VPN-сервис, но в какой-то момент удалось установить его реальный IP. Судя по судебным документам, вымогателя подвел внезапный сбой подключения к VPN.
Тавис Орманди из Google Project Zero технический обзор уязвимости в — криптографической библиотеки, которую Mozilla разрабатывает для браузера Firefox и других решений. Уязвимость приводит к повреждению памяти, если передать в NSS подготовленный сертификат с подписью сверхбольшого размера. В статье есть два интересных вывода. Первый: ошибки встречаются даже в критически важном ПО, которое подвергается регулярному аудиту. Второй вывод: уязвимость удалось обнаружить благодаря снятию ограничений на размер данных, генерируемых фаззером. Типичное ограничение на размер payload в 10 килобайт подобную проблему не выявляет.
Издание Vice про использование «виртуальных телефонных номеров» для обхода системы авторизации через SMS. Поборники приватности часто рекомендуют сервисы, предоставляющие виртуальный номер для получения SMS, чтобы избежать привязки к постоянному номеру телефона. Но в данном случае злоумышленники применяют их же для создания множества фейковых аккаунтов, например на игровых серверах.
В ComputerWeekly интересный обзор последствий реальной атаки группы кибервымогателей на французскую компанию. Из рекомендаций по итогам данного опыта: есть смысл как можно позже выходить на связь с преступниками, это дает время на оценку масштабов взлома.
