Ответ компании NSO Group :: Амазон отключил инфраструктуру и заблокировал учетные записи, которые принадлежат NSO Group
Предтеча: ФБР пытается найти след NSO Group во взломе главы Amazon
В межсетевых экранах Cisco линеек ASA и FTD (Firepower Threat Defense) пропатчена уязвимость, позволяющая вызвать на устройстве состояние отказа в обслуживании (DoS). Степень опасности проблемы оценена как высокая, пользователям рекомендуется обновить программное обеспечение.
Согласно бюллетеню Cisco Systems, уязвимость CVE-2021-1422, получившая 7,7 балла по CVSS, вызвана некорректной работой криптомодуля и проявляется при обработке некоторых ошибок расшифровки. Эксплуатация осуществляется отправкой вредоносных пакетов по IPsec-туннелю. В случае успеха автор атаки сможет вызвать аварийный отказ с последующей перезагрузкой.
Удаленный эксплойт требует аутентификации, для атаки man-in-the-middle она не нужна. Разработчик подчеркивает, что скомпрометировать шифрованные данные при этом не удастся.
Уязвимость затрагивает устройства Firepower серии 2100, Firepower NGFW Virtual и ASAv, на которых установлен софт FTD 7.0.0 или ASA 9.16.1 и включена поддержка связи по протоколу IPsec.
Обновления безопасности доступны бесплатно для обеих систем, альтернативной защиты Cisco не предлагает. Данных о злонамеренном использовании CVE-2021-1422 пока нет.
Патчи для межсетевых экранов Cisco ASA выходят с завидной регулярностью. Последний раз разработчики вносили исправления в код в июне — из-за несовершенства прошлогодней заплатки против XSS и роста активности злоумышленников, пытающихся этим воспользоваться.
надеюсь, последнее на сегодня про NSO Group, Pegasus, взломы телефонов политиков, журналистов и активистов.
1. Ответ компании NSO Group:
https://www.nsogroup.com/Newses/following-the-publication-of-the-recent-article-by-forbidden-stories-we-wanted-to-directly-address-the-false-accusations-and-misleading-allegations-presented-there/
если в двух словах, то «мы-то что, мы продаем решение, и понятия не имеем, кто и как его использует. Также мы точно знаем, что наше решение не было использовано при организации убийства журналиста Джамаля Хашогги!»
а, главное, не понятно определение некорректного использования продукта, о котором пишет компания.
2. Комментарий компании Apple по поводу информации об эксплуатации уязвимостей нулевого дня в iOS, от Ивана Крстича, руководителя разработки и архитектуры безопасности (Apple Security Engineering and Architecture):
“Apple unequivocally condemns cyberattacks against journalists, human rights activists, and others seeking to make the world a better place. For over a decade, Apple has led the industry in security innovation and, as a result, security researchers agree iPhone is the safest, most secure consumer mobile device on the market. Attacks like the ones described are highly sophisticated, cost millions of dollars to develop, often have a short shelf life, and are used to target specific individuals. While that means they are not a threat to the overwhelming majority of our users, we continue to work tirelessly to defend all our customers, and we are constantly adding new protections for their devices and data.”
тоже в двух словах: «они редиски, мы их осуждаем. мы стараемся делать безопасные iPhone, насколько это возможно, потому что есть всякие редиски. эти атаки — направленные на конкретные цели, массовым юзерам не грозят. осуждаем и продолжаем улучшать!»
компания NSO в этом канале постоянный гость — в новостях, понятное дело. надеюсь, тут сотрудников NSO нет. поиск по каналу быстро покажет и про саму компанию, и про её вредоносно-шпионское ПО Pegasus, которое различные правительства и другие организации используют для слежки за неугодными. Amnesty International опубликовали огромный отчет изучения этого самого Pegasus, который изобилует техническими деталями о том, кто как куда и зачем. Например, интересный нюанс про то, что исследователи в июле наблюдали эксплуатацию нескольких 0-day против iPhone 12 с последним релизом iOS 14.6. при этом механизм без кликов пользователем. А столько было разговоров о новой схеме защиты в Messages в iOS 14 BlastDoor— видимо, не помогло. Также используются для векторов атаки парсеры JPG и GIF.
Такой документ хорошо получить в пятницу и спокойно на выходных почитать, но уж как есть. Главный вывод: NSO может сколько угодно рассказывать о том, что они продают свой софт для борьбы с терроризмом, но используется он совсем не для этого.
https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
статья о расследовании в Washington Post
https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/
Список доменов, которые использует NSO
https://github.com/AmnestyTech/investigations/blob/master/2021-07-18_nso/domains.txtтут очень интересная ветка истории про SolarWinds, которая включает в себя 0-day для iPhone.
Речь идет о CVE-2021-1879 в Safari, о которой в том числе рассказывается в посте Google — суть её в том, что она перенаправляла пользователей на домены, где на iPhone устанавливлся вредоносный пакет. Все это было в рамках спланированной кампании и таргетинга разных ОС, и для пользователей iOS-устройств как раз применялась CVE-2021-1879, позволявшая отключать защиту в браузере и собирать кукисы популярных сайтов. Уязвимость была исправлена в марте 2021 года.
After several validation checks to ensure the device being exploited was a real device, the final payload would be served to exploit CVE- 2021-1879. This exploit would turn off Same-Origin-Policy (https://en.wikipedia.org/wiki/Same-origin_policy) protections in order to collect authentication cookies from several popular websites, including Google, Microsoft, LinkedIn, Facebook, and Yahoo and send them via WebSocket to an attacker-controlled IP. The victim would need to have a session open on these websites from Safari for cookies to be successfully exfiltrated. There was no sandbox escape or implant delivered via this exploit. The exploit targeted iOS versions 12.4 through 13.7.
Детали по ссылке
https://blog.google/threat-analysis-group/how-we-protect-users-0-day-attacks/
Citizen Lab опять обнаружили какие-то адские уязвимости нулевого дня, которые использовала израильская компания Candiru для разработки шпионского ПО, которое она затем продавала правительствам для слежки. В прошлый раз это были уязвимости для iPhone, в этот раз - для Windows, хотя продукты компании могут заражать практически все современные платформы. Жертвы продуктов компании были обнаружены в Палестине, Израиле, Иране, Испании, Великобритании, Турции, Армении и Сингапуре. Среди жертв - активисты за права человека, диссиденты, журналисты, политики. По ссылке - статья о компании, её продукте и функциональности вирусного ПО:
https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/
Продолжая тему NSO, как мне тут уже несколько раз прислали ссылку читатели - Амазон отключил инфраструктуру и заблокировал учетные записи, которые принадлежат NSO Group
https://www.vice.com/en/article/xgx5bw/amazon-aws-shuts-down-nso-group-infrastructure
Коментарі
Дописати коментар
Олег Мічман в X: «Donations and support for media resources, bloggers, projects, and individuals. https://t.co/HPKsNRd4Uo https://t.co/R6NXVPK62M» / X
https://twitter.com/olukawy/status/1703876551505309973