Обед в России не еда, а время дня.

Встречаются два программиста и один другому сообщает потрясающую новость: ...

Перед GTK+ 4 планируется сформировать внеплановый выпуск GTK+ 3.24
Sun, 24 Jun 2018 18:06:52 +0300

Компания Oracle передала сообществу Apache 1.5 млн строк кода NetBeans
Fri, 22 Jun 2018 09:25:33 +0300

Начальный план разработки Qt 6
Thu, 21 Jun 2018 22:26:33 +0300

Разработчики Netfilter официально объявили инструментарий iptables устаревшим
Thu, 21 Jun 2018 14:18:47 +0300

Blender тестирует децентрализованный PeerTube после блокировки видео на YouTube
Wed, 20 Jun 2018 20:35:28 +0300

Представлен проект Fedora CoreOS
Wed, 20 Jun 2018 19:05:49 +0300

В OpenBSD добавлен код программного отключения SMT (HyperThreading)
Wed, 20 Jun 2018 12:11:25 +0300

В рамках проекта Devilution предпринята попытка воссоздания кода игры Diablo
Tue, 19 Jun 2018 13:06:26 +0300

Проекту FreeBSD исполнилось 25 лет
Tue, 19 Jun 2018 12:18:37 +0300

Открыт код C++ компилятора Zapcc
Mon, 18 Jun 2018 11:26:24 +0300

Установочный скрипт проекта yandex-disk-indicator удалял раздел /usr
Sun, 17 Jun 2018 20:11:45 +0300

Mozilla рассматривает возможность создания системы голосовой навигации для браузера
Sun, 17 Jun 2018 13:27:14 +0300

Разбор ситуации с обвинением OpenBSD в нарушении эмбарго при исправлении уязвимости KRACK
Sat, 16 Jun 2018 08:46:44 +0300

Подготовленный в Microsoft deb-пакет с Open R принудительно заменяет /bin/sh на bash
Thu, 14 Jun 2018 20:15:07 +0300

В Chrome будет прекращена поддержка установки дополнений по запросу сторонних сайтов
Thu, 14 Jun 2018 12:04:29 +0300

Новости OPENNET
Новости

Компания Cisco сообщила о выявлении вредоносного ПО VPNFilter, поразившего более 500 тысяч домашних и офисных маршрутизаторов, NAS и точек доступа. Благодаря модульной организации вредоносного ПО, оно может поражать различные модели устройств производства Linksys, MikroTik, Netgear, TP-Link и QNAP. После внедрения вредоносное ПО подключает устройство к ботнету, обрабатывает поступающие извне управляющие команды и может выполнять такие действия как вылавливание параметров аутентификации из транзитного трафика, проведение атак на другие устройства и запуск прокси для запутывания следов при совершении целевых атак.

Связанный с VPNFilter ботнет строился как минимум с 2016 года и находится под наблюдением исследователей безопасности из Cisco несколько месяцев. Последние три недели активность вовлечения новых устройств сильно возросла, что дало повод предупредить пользователей и раскрыть имеющуюся информацию до полного завершения изучения ботнета.

Об аналогичных наблюдениях также сообщила компания

Symantec, которая дополнительно опубликовала список моделей устройств, которые поражает VPNFilter:
  • Linksys E1200, E2500, WRVS4400N;
  • Mikrotik RouterOS for Cloud Core Routers 1016, 1036, 1072;
  • Netgear DGN2200, R6400, R7000, R8000, WNR1000, WNR2000;
  • QNAP TS251, TS439 Pro и другие NAS на базе ПО QTS;
  • TP-Link R600VPN.

В отличие от большинства вредоносных программ, поражающих домашние маршрутизаторы, VPNFilter не пропадает после перезагрузки устройства. Тем не менее, для удаления VPNFilter срабатывает сброс к заводским настройкам, для инициирования которого в большинстве устройств следует удерживать кнопку на задней панели от 5 до 10 секунд. Явные признаки компрометации устройства отсутствуют, когда вредоносное ПО не проявляет себя со стороны обнаружить его проблематично. Всем обладателям вышеотмеченных устройств для профилактики рекомендовано выполнить сброс к заводским настройкам, обновить прошивку, установить надёжный пароль, отключить дополнительные протоколы удалённого управления и ограничить доступ к web-интерфейсу. В крайнем случае рекомендуется хотя бы перезагрузить устройство, чтобы деактивировать вторую наиболее опасную стадию вредоносного ПО.

Пока неясно, используются для атаки только уже известные уязвимости, типовые пароли и оплошности в настройке или производится эксплуатация 0-day уязвимостей (в этом случае обновление прошивки не защищает от повторной атаки). Среди поддерживаемых команд отдельно выделяется функция вывода устройства из строя (порча прошивки, не восстанавливаемая без спецоборудования), с учётом размера ботнета позволяющая в один момент лишить сотен тысяч людей по всему миру доступа к глобальной сети как минимум на несколько часов до установки нового маршрутизатора.

VPNFilter также примечателен разделением процесса внедрения на несколько стадий и возможностью загрузки плагинов с реализацией дополнительной функциональности. После первичной эксплуатации на устройство устанавливается первая стадия вредоносного ПО, которая не удаляется после перезагрузки и применяется для доставки основной части вредоносного ПО. Получение сведений о второй стадии осуществляется через запрос картинки с сервиса Photobucket, в EXIF-метаданных которой содержится IP-адрес для загрузки (IP закодирован в поле координат GPS). Также предусмотрено два запасных варианта - прямое обращение к серверу ToKnowAll.com и создание слушающего соединения для прямой отправки данных о хосте для подключения после получения специального сетевого пакета.

После определения адреса на устройство загружается вторая базовая стадия вредоносного ПО, собранная для конкретных моделей устройств и архитектур CPU. Данная стадия не сохраняется после перезагрузки и должна быть загружена первой стадией повторно. Дополнительно по команде с управляющего сервера могут загружаться модули с расширенной функциональностью или выполняться произвольный код на устройстве. В частности, выявлены модули для анализа определённых видов трафика, например, для перехвата учётных записей и разбора протокола Modbus SCADA, а также модуль для обращения к управляющему серверу через Tor.

ФБР удалось по решению суда изъять доменное имя ToKnowAll.com, которое использовалось как запасной метод для доставки второй стадии вредоносного ПО на уже поражённые устройства.

На основании выявленной информации в ФБР сделан вывод о причастности к атаке группы Fancy Bear, деятельность которой по мнению некоторых аналитиков находится под покровительством российских спецслужб (достоверных доказательств, судя по всему, нет, только субъективные догадки, такие как использование русского языка и московское время при компиляции).

Дополнение: В маршрутизаторе D-Link DIR-620 выявлены 4 уязвимости, две из которых признаны очень опасными: Проблема CVE-2018-6213 связана с наличием неудаляемого без перепрошивки инженерного пароля (бэкдор), позволяющего получить полный доступ к web-интерфейсу. CVE-2018-6210 позволяет восстановить параметры аутентификации для подключения по протоколу telnet. CVE-2018-6211 даёт возможность выполнить любой код в системном окружении при наличии доступа в web-интерфейс. CVE-2018-6212 позволяет организовать межсайтовый скриптинг (XSS).

63.2396 73.7247 0.5739 9.7368

НОВОСТИ: Представлен проект Fedora CoreOS Wed, 20 Jun 2018 19:05:49 +0300

Лидер проекта Fedora представил новый проект Fedora CoreOS, в рамках которого будет продолжена разработка серверной Linux-системы Container Linux.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome