Jeśli ktoś pasjonuje się cyberbezpieczeństwem, najpewniej słyszał o MITRE. CVE, czy program ATT&CK – za nimi właśnie stoi wspomniana korporacja. Co się wydarzyło? MITRE relacjonuje akcję niemal na jednym wydechu: ❌ Atakujący użyli dwóch podatności 0day w systemie VPN Ivanti (patrz też: zhackowana amerykańska agencja odpowiedzialna za cyberbezpieczeństwo (CISA). Zaatakowali…
Czytaj dalej »
Ostatnie tygodnie to zdecydowanie nie jest dobry czas dla producentów sprzętowych VPN-ów. Zapewne pierwsze doniesienia skłoniły badaczy do dokładniejszego przyjrzenia się konkretnym aplikacjom np. od firmy Ivanti, a dalej zadziałała już kwestia skali. Niestety, jak na aplikacje sprzętowe, które mają gwarantować bezpieczny dostęp do sieci wewnętrznej to nie wygląda to…
Czytaj dalej »
Okazuje się, że Fortinet to nie jedyny producent, któremu aktywnie przyglądają się nie tylko badacze bezpieczeństwa ale i grupy APT :). Po niedawnych rewelacjach dotyczących Connect Secure, znów pojawiła się informacja o pilnej potrzebie aktualizacji wskazanego VPNa a także dwóch innych rozwiązań. Tym razem jest to podatność typu XXE (XML…
Czytaj dalej »
Systemy (serwery) VPN zazwyczaj są wystawione do Internetu (bo muszą), co jednak gdy ktoś zlokalizuje podatność umożliwiającą przejęcie serwera (urządzenia) VPN i to bez uwierzytelnienia? No może samo zlokalizowanie jeszcze niewiele zmienia, ale aktywna exploitacja już tak. Po tym wstępie przechodzimy do podatności, którą niedawno zaznaczaliśmy na sekuraku (dwa zero…
Czytaj dalej »
TLDR: warto aktualizować również część kliencką naszych rozwiązań VPNowych. Tutaj ciekawy opis załatanej niedawno luki CVE-2022-26113: FortiClient Arbitrary File Write As SYSTEM. Przechodząc od razu do sedna: FortiClient VPN allows normal users of the VPN Client to backup their VPN configuration. The backup file is written by FortiClient’s scheduler service…
Czytaj dalej »
Wbrew pozorom w większości przypadków ten temat nie brzmi nierealnie. Sporo osób, szczególnie z IT, pracuje zdalnie, a dostęp do zasobów firmowych z domu jest potrzebny. O ile przy dobrym poziomie zabezpieczeń ryzyko można zminimalizować, to niestety nie każdy szyfruje dyski, aktualizuje oprogramowanie czy wykonuje kopie zapasowe. W opisanym przypadku…
Czytaj dalej »
Większość mediów pisze o tym, że private relay nie będzie dostępny w krajach typu Chiny czy Białoruś, sama funkcja wygląda bardzo ciekawie i ma być wliczona w obecne plany iCloud: Apple says the feature sends traffic to a server maintained by Apple, where a piece of information called its IP…
Czytaj dalej »
Według nowych informacji, podanych przez Charlesa Carmakala, wektorem ataku na największy system rurociągów w USA – Colonial Pipeline – było zapomniane konto VPN: Dodatkowo hasło wykorzystane do utworzenia konta widniało w wycieku danych, co oznacza, że pracownik Colonial Pipeline mógł popełnić podstawowy błąd w higienie dotyczącej haseł – użycie jednego…
Czytaj dalej »
Firma FireEye wydała ostrzeżenie dotyczące wykorzystywania nowych podatności w Pulse Secure VPN przez grupy APT (advanced persistent threat): Krytyczna luka CVE-2021-22893 pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu: Jedna z grup wykorzystujących tę podatność – UNC2630 – została powiązana z chińskim rządem, a jej głównym celem były podmioty z sektora…
Czytaj dalej »
ProtonVPN to dostawca usług wirtualnej sieci prywatnej (VPN) obsługiwany przez szwajcarską firmę Proton Technologies AG, dostawcę poczty ProtonMail. Właściciel firmy, Andy Yen, 23 Marca skrytykował Apple zablokowanie publikacji nowej aktualizacji ProtonVPN zawierającej między innymi poprawki bezpieczeństwa i prywatności. Walka o wolność słowa Właściciel Proton Technologies podkreśla, że głównym założeniem firmy…
Czytaj dalej »
Masz serwer czy PC-ta, na który dostał się nieproszony gość. No więc w ostateczności robisz pełen reinstall przywracasz pliki i cieszysz się z nowego systemu :-) Czasem jednak to nie wystarczy. Supermicro pisze o nowej funkcji TrickBoot, w Trickbocie: TrickBoot is a new functionality within the TrickBot malware toolset capable of discovering…
Czytaj dalej »
Troy Hunt donosi o wycieku dotyczącym SuperVPN oraz GeckoVPN: MalwareBytes relacjonuje, że poza danymi z tytułu, mogły wyciec również: imię, nazwisko, część danych finansowych czy losowo generowane hasło. Dane te wg relacji miały być wystawione na sprzedaż: –ms
Czytaj dalej »
Chodzi o podatne rozwiązania VPN – Pulse Secure. Ktoś kojarzony z Rosją udostępnił 1800 adresów IP, gdzie można znaleźć te podatne rozwiązania. Jako bonus dorzucone zostały dodatkowe dane (typu loginy i hasła w plaintext – więcej o tym za chwilę): A well-known Russian-speaking Threat Actor shared details of over 1800 IPs…
Czytaj dalej »
W zasadzie można by tu postawić kropkę, kwitując faktem że sama sytuacja jest mocno kuriozalna. Dla tych którzy nie czytali naszego niedawnego newsa: jakiś czas temu na jednym z serwerów znaleziono przeszło 1 TB bazę Elasticsearch zawierającą dość poufne informacje z 7 VPNów. Były to takie informacje jak: Activity logs, PII…
Czytaj dalej »
Dane siedziały sobie na zupełnie niezabezpieczonej instancji Elasticsearch. O jakie VPNy chodzi? Oto ich lista: UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, Rabbit VPN. Wg badaczy core infrastruktury wszystkich tych rozwiązań jest takie samo – a różne nazwy to po prostu ładna, nowa naklejka na ten…
Czytaj dalej »