O incydencie bezpieczeństwa czytamy w dość lakonicznym oświadczeniu, które zaczyna się jednak konkretnie i groźnie: Po sygnałach wskazujących na możliwość wystąpienia incydentu bezpieczeństwa w niektórych naszych systemach, przeprowadziliśmy audyt bezpieczeństwa i znaleźliśmy dowody na to, że systemy produkcyjne zostały zhackowane. Following indications of an incident on some of our systems,…
Czytaj dalej »
W stosownym komunikacie amerykańska agencja cyber-bezpieczeństwa (CISA) nie specjalnie bawi się w konwenanse i „delikatne rekomendowanie”. Czytamy tutaj bowiem: Agencje federalne używające produktów: Ivanti Connect Secure [popularny system VPN – przyp. sekurak] or Ivanti Policy Secure solutions mają je natychmiast odłączyć od sieci. Ma to nastąpić maksymalnie do 2. lutego…
Czytaj dalej »
Cloudflare informuje tutaj o incydencie, który miał miejsce pod koniec 2023 roku. Atakujący uzyskali dostęp do Confluence (wiki) oraz Jiry, a zostali wykryci dopiero po przeszło tygodniu (23 listopada 2023): From November 14 to 17, a threat actor did reconnaissance and then accessed our internal wiki (which uses Atlassian Confluence)…
Czytaj dalej »
To nie jest pierwsza (i pewnie nie ostatnia) wpadka związana z niewłaściwym zarządzaniem sekretami w kodzie źródłowym. Pracownik firmy pozostawił w publicznie dostępnym repozytorium token dostępowy do serwera GitHub Enterprise. Uprawnienia dla tego tokenu pozwalały na nieograniczony, jak piszą badacze z redhuntlabs.com, dostęp do wewnętrznych zasobów firmy takich jak kod…
Czytaj dalej »
Wiadomości o kolejnych atakach chińskich grup APT to codzienność. Tym razem jednak operacje grupy Volt Typhoon, o której już pisaliśmy zostały w dość niekonwencjonalny sposób powstrzymane przez zatwierdzone sądowo działania Federalnego Biura Bezpieczeństwa. Urządzenia sieciowe, takie jak routery klasy SOHO (small office/home office) bywają zaniedbywane przez producentów. Wsparcie dla tego…
Czytaj dalej »
NSA przyznało się do kupowania historii danych przeglądania w celu identyfikacji stron internetowych i aplikacji używanych przez Amerykanów. Działanie to miało na celu obejście restrykcji prawnych, ponieważ pozyskanie takich informacji wprost wymagałoby nakazu sądowego. Stanowi to oczywiście naruszenie prywatności, szczególnie że na podstawie zachowań w sieci można profilować użytkowników, a…
Czytaj dalej »
Fizyczne rozwiązania bezpieczeństwa takie jak np. VPNy i Firewalle to łakomy kąsek dla atakujących, w tym grup ransomware czy APT. Dlatego oprogramowanie na takie urządzenia to bardzo wdzięczny temat do researchu pod kątem bezpieczeństwa. Na blogu SSD Secure Disclosure pojawiło się podsumowanie opisujące (załataną już) podatność zdalnego wykonania kodu przez…
Czytaj dalej »
Deweloperzy Jenkinsa opublikowali kolejną wersję ich flagowego narzędzia, która łata dziewięć podatności. Jedna z nich otrzymała identyfikator CVE-2024-23897 i zgodnie z opublikowaną notką oceniana jest jako krytyczna, bo pozwala na odczyt dowolnych plików przez tekstowy interfejs użytkownika, a w najgorszym przypadku może prowadzić do zdalnego wykonania kodu (RCE). Na blogu…
Czytaj dalej »
Do studentów Wyższej Szkoły Gospodarki w Bydgoszczy zostały wysłane e-maile informujące, że ich dane mogły zostać naruszone w wyniku cyberataku, do którego doszło 17 stycznia 2024 roku. Uczelnia nie podaje szczegółów, do jakiego ataku doszło, ale przyznaje, że doszło do czasowego zablokowania możliwości odczytu danych z serwerów (czyżby ransomware? tak)….
Czytaj dalej »
Aktywność grup APT ostatnimi czasy jest bardzo zauważalna. Wspomnieć wystarczy chociażby ataki na Microsoft, w których atakujący celowali w skrzynki mailowe pracowników. Poczta elektroniczna nie bez powodu staje się częstym celem działań wywiadowczych. Informacje zawarte w skrzynkach pocztowych mogą mieć kluczowe znaczenie dla operacji firmy czy nawet działania państwa. Konta…
Czytaj dalej »
Niedawno informowaliśmy o podobnej historii z Microsoftem – czytaj: rosyjska grupa APT uzyskała dostęp do treści emaili części pracowników Microsoftu. W tym szefów działów cybersecurity. W tym miejscu z kolei czytamy, że HPE zgłosił w grudniu 2023 incydent bezpieczeństwa. Mowa jest o rosyjskiej grupie APT oraz nieautoryzowanym dostępie do cloudowego…
Czytaj dalej »
W marcu ubiegłego roku informowaliśmy o możliwości wykonania kodu bez uwierzytelnienia (unauth RCE) w aplikacji GoAnywhere MFT. Aby móc skutecznie wyeksploitować podatność, atakujący musiał mieć dostęp do portalu administracyjnego, który w większości przypadków dostępny będzie tylko w sieci wewnętrznej (wystawienie takiego panelu do Internetu nie jest dobrą praktyką). Wtedy podatność…
Czytaj dalej »
O narzędziu grupy NSO – czyli Pegasusie pisaliśmy na łamach Sekuraka już wielokrotnie. Sprawa wzbudza emocje, ponieważ dotyczy również polskiego podwórka politycznego. Dotychczasowa analiza potwierdzająca infekcję, przeprowadzana między innymi w Citizen Lab była robiona na kopiach zapasowych urządzenia. Wykorzystywano w tym celu narzędzie od Amnesty International zwane MVT. Operuje ono…
Czytaj dalej »
Szczegóły załatanych luk dostępne są tutaj. Tym razem na uwagę zwraca duet podatności umożliwiający: W szczególności podatność CVE-2024-23222 opisywana jest z adnotacją 'mamy raport, który wspomina, że podatność jest aktywnie wykorzystywana’. Dostępna jest też wersja iOS 16.7.5, która również łata całą serię błędów (w tym wskazany powyżej). Najstarszy telefon, który…
Czytaj dalej »
TTIBI to duży broker ubezpieczeń na rynku indyjskim, założony przez Toyotę w 2008 roku. Badaczom z Eaton-Works udało się uzyskać dostęp do chmurowego środowiska tej firmy podczas… hackowania innej firmy produkującej motocykle. Jak? Wykorzystano partnerstwo Eicher Motors, bo o tej firmie mowa, z brokerami ubezpieczeń, co w branży motoryzacyjnej nie jest…
Czytaj dalej »
