Дети и придворные ошибаются намного реже, чем родители и монархи.

Мирный семейный вечер перед телевизором. Мама. Папа. Сын. ...

Линус Торвальдс поднял вопрос целесообразности расширенной защиты от Spectre v2
Tue, 20 Nov 2018 09:48:49 +0300

В ночные сборки Firefox добавлена поддержка Wayland
Sat, 17 Nov 2018 12:19:38 +0300

Amazon выпустил Corretto, дистрибутив OpenJDK с длительным сроком поддержки
Fri, 16 Nov 2018 21:56:19 +0300

Время поддержки Ubuntu 18.04 увеличено до 10 лет
Thu, 15 Nov 2018 22:28:55 +0300

Представлена новая плата Raspberry Pi 3 Model A+
Thu, 15 Nov 2018 12:31:03 +0300

Подведены итоги выборов технического совета Linux Foundation
Thu, 15 Nov 2018 09:18:07 +0300

Debian запрещает использование в пакетах секции со специфичными для вендоров патчами
Wed, 14 Nov 2018 09:03:34 +0300

В Chrome развивается API для создания полноценных пользовательских приложений
Mon, 12 Nov 2018 23:58:04 +0300

Mozilla тестирует в Firefox две новые возможности: Price Wise и Email Tabs
Mon, 12 Nov 2018 21:15:57 +0300

Red Hat перевёл проект Ceph под покровительство Linux Foundation
Mon, 12 Nov 2018 18:26:46 +0300

HTTP поверх протокола QUIC будет стандартизирован как HTTP/3
Mon, 12 Nov 2018 08:27:27 +0300

Опубликован стандарт параллельного программирования OpenMP 5.0
Fri, 09 Nov 2018 10:49:14 +0300

Свободный проект Manuel Bastioni Laboratory закрывается
Fri, 09 Nov 2018 10:11:44 +0300

Samsung опубликовал Linux-окружение для смартфонов и планшетов с адаптером DeX
Fri, 09 Nov 2018 08:33:53 +0300

GitHub преодолел рубеж в 100 млн репозиториев
Thu, 08 Nov 2018 19:13:13 +0300

Новости OPENNET
Новости

Компания Cisco сообщила о выявлении вредоносного ПО VPNFilter, поразившего более 500 тысяч домашних и офисных маршрутизаторов, NAS и точек доступа. Благодаря модульной организации вредоносного ПО, оно может поражать различные модели устройств производства Linksys, MikroTik, Netgear, TP-Link и QNAP. После внедрения вредоносное ПО подключает устройство к ботнету, обрабатывает поступающие извне управляющие команды и может выполнять такие действия как вылавливание параметров аутентификации из транзитного трафика, проведение атак на другие устройства и запуск прокси для запутывания следов при совершении целевых атак.

Связанный с VPNFilter ботнет строился как минимум с 2016 года и находится под наблюдением исследователей безопасности из Cisco несколько месяцев. Последние три недели активность вовлечения новых устройств сильно возросла, что дало повод предупредить пользователей и раскрыть имеющуюся информацию до полного завершения изучения ботнета.

Об аналогичных наблюдениях также сообщила компания

Symantec, которая дополнительно опубликовала список моделей устройств, которые поражает VPNFilter:
  • Linksys E1200, E2500, WRVS4400N;
  • Mikrotik RouterOS for Cloud Core Routers 1016, 1036, 1072;
  • Netgear DGN2200, R6400, R7000, R8000, WNR1000, WNR2000;
  • QNAP TS251, TS439 Pro и другие NAS на базе ПО QTS;
  • TP-Link R600VPN.

В отличие от большинства вредоносных программ, поражающих домашние маршрутизаторы, VPNFilter не пропадает после перезагрузки устройства. Тем не менее, для удаления VPNFilter срабатывает сброс к заводским настройкам, для инициирования которого в большинстве устройств следует удерживать кнопку на задней панели от 5 до 10 секунд. Явные признаки компрометации устройства отсутствуют, когда вредоносное ПО не проявляет себя со стороны обнаружить его проблематично. Всем обладателям вышеотмеченных устройств для профилактики рекомендовано выполнить сброс к заводским настройкам, обновить прошивку, установить надёжный пароль, отключить дополнительные протоколы удалённого управления и ограничить доступ к web-интерфейсу. В крайнем случае рекомендуется хотя бы перезагрузить устройство, чтобы деактивировать вторую наиболее опасную стадию вредоносного ПО.

Пока неясно, используются для атаки только уже известные уязвимости, типовые пароли и оплошности в настройке или производится эксплуатация 0-day уязвимостей (в этом случае обновление прошивки не защищает от повторной атаки). Среди поддерживаемых команд отдельно выделяется функция вывода устройства из строя (порча прошивки, не восстанавливаемая без спецоборудования), с учётом размера ботнета позволяющая в один момент лишить сотен тысяч людей по всему миру доступа к глобальной сети как минимум на несколько часов до установки нового маршрутизатора.

VPNFilter также примечателен разделением процесса внедрения на несколько стадий и возможностью загрузки плагинов с реализацией дополнительной функциональности. После первичной эксплуатации на устройство устанавливается первая стадия вредоносного ПО, которая не удаляется после перезагрузки и применяется для доставки основной части вредоносного ПО. Получение сведений о второй стадии осуществляется через запрос картинки с сервиса Photobucket, в EXIF-метаданных которой содержится IP-адрес для загрузки (IP закодирован в поле координат GPS). Также предусмотрено два запасных варианта - прямое обращение к серверу ToKnowAll.com и создание слушающего соединения для прямой отправки данных о хосте для подключения после получения специального сетевого пакета.

После определения адреса на устройство загружается вторая базовая стадия вредоносного ПО, собранная для конкретных моделей устройств и архитектур CPU. Данная стадия не сохраняется после перезагрузки и должна быть загружена первой стадией повторно. Дополнительно по команде с управляющего сервера могут загружаться модули с расширенной функциональностью или выполняться произвольный код на устройстве. В частности, выявлены модули для анализа определённых видов трафика, например, для перехвата учётных записей и разбора протокола Modbus SCADA, а также модуль для обращения к управляющему серверу через Tor.

ФБР удалось по решению суда изъять доменное имя ToKnowAll.com, которое использовалось как запасной метод для доставки второй стадии вредоносного ПО на уже поражённые устройства.

На основании выявленной информации в ФБР сделан вывод о причастности к атаке группы Fancy Bear, деятельность которой по мнению некоторых аналитиков находится под покровительством российских спецслужб (достоверных доказательств, судя по всему, нет, только субъективные догадки, такие как использование русского языка и московское время при компиляции).

Дополнение: В маршрутизаторе D-Link DIR-620 выявлены 4 уязвимости, две из которых признаны очень опасными: Проблема CVE-2018-6213 связана с наличием неудаляемого без перепрошивки инженерного пароля (бэкдор), позволяющего получить полный доступ к web-интерфейсу. CVE-2018-6210 позволяет восстановить параметры аутентификации для подключения по протоколу telnet. CVE-2018-6211 даёт возможность выполнить любой код в системном окружении при наличии доступа в web-интерфейс. CVE-2018-6212 позволяет организовать межсайтовый скриптинг (XSS).

66.0081 75.3218 0.5851 9.507

НОВОСТИ: Итоги полугода работы проекта Repology, анализирующего информаци ... Thu, 15 Nov 2018 21:21:32 +0300

Прошли очередные полгода и проект Repology, в рамках которого регулярно собирается и сравнивается информация о версиях пакетов во множестве репозиториев, публикует очередной отчёт.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome