Ponad 6700 serwer\u00f3w VMware zagro\u017conych nowym krytycznym b\u0142\u0119dem RCE<\/strong><\/h2>\n\n\nNowo wykryta podatno\u015b\u0107 RCE (zdalne wykonywanie kodu) stanowi zagro\u017cenie dla kilku tysi\u0119cy system\u00f3w VMware vCenter Server. Jak si\u0119 okazuje, szybkie za\u0142atanie b\u0142\u0119du jest dzi\u015b kluczowe \u2013 poniewa\u017c przest\u0119pcy ju\u017c skanuj\u0105 sie\u0107 w poszukiwaniu \u0142atwych ofiar.<\/p>\n\n\n\n
Dzi\u0119ki tej nowej taktyce ataku, hackerzy mog\u0105 \u0142atwo przej\u0105\u0107 nieza\u0142atane maszyny \u2013 i w konsekwencji uzyska\u0107 kontrol\u0119 nad ca\u0142\u0105 firmow\u0105 sieci\u0105.<\/p>\n\n\n\n
Podatno\u015b\u0107 CVE-2021-21972 dotyczy vSphere Client (HTML5). Jest to plugin VMware vCenter \u2013 odmiana serwera zwykle wdra\u017canego w du\u017cych sieciach korporacyjnych jako scentralizowane narz\u0119dzie do zarz\u0105dzania. Z jego pomoc\u0105 personel IT zarz\u0105dza produktami VMware zainstalowanymi na lokalnych stacjach roboczych. Sytuacj\u0119 pogarsza dodatkowo fakt, \u017ce exploit to jednowierszowe \u017c\u0105danie cURL. Znacz\u0105co u\u0142atwia to automatyzacj\u0119 ataku. Jest to na tyle nieskomplikowane, \u017ce mo\u017cliwe do przeprowadzenia nawet przez osoby o stosunkowo niskich kwalifikacjach \u201ehackerskich\u201d.<\/p>\n\n\n\n
![\"\"](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2021\/01\/stopka-raport2021.png\")
<\/a><\/figure><\/div>\n\n\n\nZ uwagi na centraln\u0105 rol\u0119 serwera vCenter, problem zosta\u0142 sklasyfikowany jako wysoce krytyczny. Otrzyma\u0142 9.8 na 10 punkt\u00f3w w skali CVSS. Z uwagi na klas\u0119 problemu, zosta\u0142 tak\u017ce prywatnie zg\u0142oszony firmie VMware. Producent 23 lutego 2021 r., wyda\u0142 oficjaln\u0105 \u0142atk\u0119.<\/p>\n\n\n\n
Jak pisali\u015bmy wcze\u015bniej, atakuj\u0105cy ju\u017c skanuj\u0105 w poszukiwaniu podatnych serwer\u00f3w vCenter. Wed\u0142ug zapytania Shodan ponad 6700 serwer\u00f3w VMware vCenter jest obecnie pod\u0142\u0105czonych do Internetu. Wszystkie te systemy s\u0105 podatne na atak i przej\u0119cie.<\/p>\n\n\n\n
Przest\u0119pcy maj\u0105 ju\u017c troch\u0119 uproszczone zadanie. W serwisie GitHub pojawi\u0142y si\u0119 ju\u017c pierwsze skrypty exploit\u00f3w proof-of-concept. Jeden z nich umo\u017cliwia przeprowadzanie atak\u00f3w na systemy Windows oraz Linux. Rozpocz\u0119\u0142a si\u0119 wi\u0119c walka z czasem.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\nMalware Silver Sparrow infekuje 30 tys. komputer\u00f3w Mac w 153 krajach w nieznanym celu<\/strong><\/h2>\n\n\nSpecjali\u015bci z Red Canary, Malwarebytes i VMware Carbon Black odkryli nowe z\u0142o\u015bliwe oprogramowanie dla komputer\u00f3w Mac – Silver Sparrow. Malware wykazuje niezwyk\u0142e w\u0142a\u015bciwo\u015bci, w tym komponent specjalnie skompilowany dla nowego chipa Apple M1.<\/p>\n\n\n\n
Z\u0142o\u015bliwe oprogramowanie zainfekowa\u0142o 29 139 urz\u0105dze\u0144 Mac w 153 krajach<\/strong>. Du\u017c\u0105 liczb\u0119 ofiar odnotowano m.in. w Stanach Zjednoczonych, Wielkiej Brytanii, Kanadzie, Francji i Niemczech.<\/p>\n\n\n\nSilver Sparrow jest rozprowadzany jako dwa r\u00f3\u017cne pliki – \u201eupdater.pkg\u201d [VirusTotal] lub \u201eupdate.pkg\u201d [VirusTotal]. Jedyn\u0105 r\u00f3\u017cnic\u0105 widoczn\u0105 jest to, \u017ce plik update.pkg zawiera zar\u00f3wno plik binarny Intel x86_64, jak i plik binarny Apple M1. Plik updater.pkg zawiera tylko plik wykonywalny Intela.<\/p>\n\n\n\n
W przeciwie\u0144stwie do wi\u0119kszo\u015bci adware macOS, kt\u00f3re u\u017cywaj\u0105 skrypt\u00f3w \u201epreinstall\u201d i \u201epostinstall\u201d do wykonywania polece\u0144 lub instalowania z\u0142o\u015bliwego oprogramowania, Silver Sparrow wykorzystuje API Javascript w installerze macOS do wykonywania komend. U\u017cycie JavaScript generuje r\u00f3\u017cne dane telemetryczne, kt\u00f3re utrudniaj\u0105 wykrycie z\u0142o\u015bliwej aktywno\u015bci na podstawie argument\u00f3w wiersza polece\u0144.<\/p>\n\n\n
Silver Sparrow pod obserwacj\u0105<\/h5>\n\n\n
Korzystaj\u0105c z JavaScript, Silver Sparrow tworzy skrypty pow\u0142oki wykorzystywane przez malware w celu komunikacji z serwerami C&C oraz pliki XML LaunchAgent Plist w celu okresowego wykonywania skrypt\u00f3w pow\u0142oki.<\/p>\n\n\n\n
LaunchAgent \u0142\u0105czy si\u0119 co godzin\u0119 z serwerem C&C, aby sprawdzi\u0107, czy s\u0105 nowe polecenia do wykonania. Malware sprawdzi obecno\u015b\u0107 pliku ~ \/ Library \/._ insu, a je\u015bli zostanie znaleziony, usunie siebie i wszystkie powi\u0105zane pliki. Badacze nie byli w stanie okre\u015bli\u0107, co powoduje ten kill switch.<\/p>\n\n\n\n
Po tygodniowej obserwacji badacze z Red Canary nie mogli wykry\u0107 kolejnych \u0142adunk\u00f3w pobieranych i uruchamianych przez te cogodzinne kontrole. Dlatego te\u017c prawdziwy cel Silver Sparrow pozostaje tajemnic\u0105. Pliki binarne Intel i Mach-O po uruchomieniu wy\u015bwietlaj\u0105 jedynie okno z napisem \u201cHello World\u201d lub \u201cYou did it!\u201d wi\u0119c wygl\u0105da\u0142oby to na proof-of-concept. By\u0107 mo\u017ce powi\u0105zane z\u0142o\u015bliwe oprogramowanie jest jeszcze w fazie rozwoju.<\/p>\n\n\n\n
Po odkryciu tego malware, Apple uniewa\u017cni\u0142o niekt\u00f3re certyfikaty kont programist\u00f3w zapobiegaj\u0105c zainfekowaniu nowych maszyn z systemem macOS. Z nieoficjalnej informacji przekazanej przez pracownika Apple wynika, \u017ce nie ma obecnie dowod\u00f3w na z\u0142o\u015bliwe dzia\u0142anie Silver Sparrow. <\/p>\n\n\n\n
\u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n![\"\"](\"https:\/\/xopero.com\/blog\/wp-content\/uploads\/2020\/12\/beta-zapisy-pl.png\")
<\/a><\/figure><\/div>\n\n\n\n<\/div>\n\n\n\n<\/a>\n\n\nDane producenta samolot\u00f3w, firmy Bombardier, s\u0105 dost\u0119pne w dark webie po w\u0142amaniu do FTA<\/strong><\/h2>\n\n\nBombardier, wiod\u0105cy na \u015bwiecie producent samolot\u00f3w, poinformowa\u0142, \u017ce cyberprzest\u0119pcy uzyskali dost\u0119p do poufnych danych dotycz\u0105cych pracownik\u00f3w, klient\u00f3w i dostawc\u00f3w. Naruszenie zosta\u0142o odkryte po tym, jak niekt\u00f3re informacje zosta\u0142y opublikowane na nielegalnym forum internetowym obs\u0142ugiwanym przez operator\u00f3w ransomware Clop. <\/p>\n\n\n\n
Wst\u0119pne dochodzenie ujawni\u0142o, \u017ce osoba nieupowa\u017cniona uzyska\u0142a dost\u0119p do danych wykorzystuj\u0105c luk\u0119 w aplikacji do przesy\u0142ania plik\u00f3w innej firmy. Aplikacja dzia\u0142a\u0142a na serwerach odizolowanych od g\u0142\u00f3wnej sieci informatycznej Bombardiera. <\/p>\n\n\n\n
Uwa\u017ca si\u0119, \u017ce napastnicy uzyskali dost\u0119p poprzez luk\u0119 zero-day w Accellion FTA, zewn\u0119trznym serwerze internetowym u\u017cywanym do hostowania i udost\u0119pniania du\u017cych plik\u00f3w, kt\u00f3rych nie mo\u017cna wys\u0142a\u0107 poczt\u0105 elektroniczn\u0105. P\u00f3\u017aniej w komunikacie prasowym Accellion potwierdzi\u0142, \u017ce serwer\u00f3w FTA u\u017cywa 300 klient\u00f3w, z czego stu zosta\u0142o zaatakowanych, a dane skradzione z 25 firm. <\/p>\n\n\n\n
Wcze\u015bniej, w zwi\u0105zku z luk\u0105 wyciek\u0142y dane firmy Furgo zajmuj\u0105cej si\u0119 danymi geoprzestrzennymi, przedsi\u0119biorstwa technologicznego Danaher, lidera w\u015br\u00f3d singapurskich telco Singtel oraz ameryka\u0144skiej kancelarii prawnej Jones Day.<\/p>\n\n\n\n
Udost\u0119pniane na stronie dane Bombardiera obejmowa\u0142y dokumenty projektowe r\u00f3\u017cnych samolot\u00f3w i ich cz\u0119\u015bci. \u017badne dane osobowe nie zosta\u0142y udost\u0119pnione, ale producent musi zmierzy\u0107 si\u0119 teraz z faktem, \u017ce cz\u0119\u015b\u0107 jego w\u0142asno\u015bci intelektualnej jest teraz oferowana do bezp\u0142atnego pobrania w dark webie.<\/p>\n\n\n\n
<\/a><\/figure><\/div>\n\n\n\nZ uwagi na centraln\u0105 rol\u0119 serwera vCenter, problem zosta\u0142 sklasyfikowany jako wysoce krytyczny. Otrzyma\u0142 9.8 na 10 punkt\u00f3w w skali CVSS. Z uwagi na klas\u0119 problemu, zosta\u0142 tak\u017ce prywatnie zg\u0142oszony firmie VMware. Producent 23 lutego 2021 r., wyda\u0142 oficjaln\u0105 \u0142atk\u0119.<\/p>\n\n\n\n
Jak pisali\u015bmy wcze\u015bniej, atakuj\u0105cy ju\u017c skanuj\u0105 w poszukiwaniu podatnych serwer\u00f3w vCenter. Wed\u0142ug zapytania Shodan ponad 6700 serwer\u00f3w VMware vCenter jest obecnie pod\u0142\u0105czonych do Internetu. Wszystkie te systemy s\u0105 podatne na atak i przej\u0119cie.<\/p>\n\n\n\n
Przest\u0119pcy maj\u0105 ju\u017c troch\u0119 uproszczone zadanie. W serwisie GitHub pojawi\u0142y si\u0119 ju\u017c pierwsze skrypty exploit\u00f3w proof-of-concept. Jeden z nich umo\u017cliwia przeprowadzanie atak\u00f3w na systemy Windows oraz Linux. Rozpocz\u0119\u0142a si\u0119 wi\u0119c walka z czasem.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Specjali\u015bci z Red Canary, Malwarebytes i VMware Carbon Black odkryli nowe z\u0142o\u015bliwe oprogramowanie dla komputer\u00f3w Mac – Silver Sparrow. Malware wykazuje niezwyk\u0142e w\u0142a\u015bciwo\u015bci, w tym komponent specjalnie skompilowany dla nowego chipa Apple M1.<\/p>\n\n\n\n Z\u0142o\u015bliwe oprogramowanie zainfekowa\u0142o 29 139 urz\u0105dze\u0144 Mac w 153 krajach<\/strong>. Du\u017c\u0105 liczb\u0119 ofiar odnotowano m.in. w Stanach Zjednoczonych, Wielkiej Brytanii, Kanadzie, Francji i Niemczech.<\/p>\n\n\n\n Silver Sparrow jest rozprowadzany jako dwa r\u00f3\u017cne pliki – \u201eupdater.pkg\u201d [VirusTotal] lub \u201eupdate.pkg\u201d [VirusTotal]. Jedyn\u0105 r\u00f3\u017cnic\u0105 widoczn\u0105 jest to, \u017ce plik update.pkg zawiera zar\u00f3wno plik binarny Intel x86_64, jak i plik binarny Apple M1. Plik updater.pkg zawiera tylko plik wykonywalny Intela.<\/p>\n\n\n\n W przeciwie\u0144stwie do wi\u0119kszo\u015bci adware macOS, kt\u00f3re u\u017cywaj\u0105 skrypt\u00f3w \u201epreinstall\u201d i \u201epostinstall\u201d do wykonywania polece\u0144 lub instalowania z\u0142o\u015bliwego oprogramowania, Silver Sparrow wykorzystuje API Javascript w installerze macOS do wykonywania komend. U\u017cycie JavaScript generuje r\u00f3\u017cne dane telemetryczne, kt\u00f3re utrudniaj\u0105 wykrycie z\u0142o\u015bliwej aktywno\u015bci na podstawie argument\u00f3w wiersza polece\u0144.<\/p>\n\n\n Korzystaj\u0105c z JavaScript, Silver Sparrow tworzy skrypty pow\u0142oki wykorzystywane przez malware w celu komunikacji z serwerami C&C oraz pliki XML LaunchAgent Plist w celu okresowego wykonywania skrypt\u00f3w pow\u0142oki.<\/p>\n\n\n\n LaunchAgent \u0142\u0105czy si\u0119 co godzin\u0119 z serwerem C&C, aby sprawdzi\u0107, czy s\u0105 nowe polecenia do wykonania. Malware sprawdzi obecno\u015b\u0107 pliku ~ \/ Library \/._ insu, a je\u015bli zostanie znaleziony, usunie siebie i wszystkie powi\u0105zane pliki. Badacze nie byli w stanie okre\u015bli\u0107, co powoduje ten kill switch.<\/p>\n\n\n\n Po tygodniowej obserwacji badacze z Red Canary nie mogli wykry\u0107 kolejnych \u0142adunk\u00f3w pobieranych i uruchamianych przez te cogodzinne kontrole. Dlatego te\u017c prawdziwy cel Silver Sparrow pozostaje tajemnic\u0105. Pliki binarne Intel i Mach-O po uruchomieniu wy\u015bwietlaj\u0105 jedynie okno z napisem \u201cHello World\u201d lub \u201cYou did it!\u201d wi\u0119c wygl\u0105da\u0142oby to na proof-of-concept. By\u0107 mo\u017ce powi\u0105zane z\u0142o\u015bliwe oprogramowanie jest jeszcze w fazie rozwoju.<\/p>\n\n\n\n Po odkryciu tego malware, Apple uniewa\u017cni\u0142o niekt\u00f3re certyfikaty kont programist\u00f3w zapobiegaj\u0105c zainfekowaniu nowych maszyn z systemem macOS. Z nieoficjalnej informacji przekazanej przez pracownika Apple wynika, \u017ce nie ma obecnie dowod\u00f3w na z\u0142o\u015bliwe dzia\u0142anie Silver Sparrow. <\/p>\n\n\n\n \u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n Bombardier, wiod\u0105cy na \u015bwiecie producent samolot\u00f3w, poinformowa\u0142, \u017ce cyberprzest\u0119pcy uzyskali dost\u0119p do poufnych danych dotycz\u0105cych pracownik\u00f3w, klient\u00f3w i dostawc\u00f3w. Naruszenie zosta\u0142o odkryte po tym, jak niekt\u00f3re informacje zosta\u0142y opublikowane na nielegalnym forum internetowym obs\u0142ugiwanym przez operator\u00f3w ransomware Clop. <\/p>\n\n\n\n Wst\u0119pne dochodzenie ujawni\u0142o, \u017ce osoba nieupowa\u017cniona uzyska\u0142a dost\u0119p do danych wykorzystuj\u0105c luk\u0119 w aplikacji do przesy\u0142ania plik\u00f3w innej firmy. Aplikacja dzia\u0142a\u0142a na serwerach odizolowanych od g\u0142\u00f3wnej sieci informatycznej Bombardiera. <\/p>\n\n\n\n Uwa\u017ca si\u0119, \u017ce napastnicy uzyskali dost\u0119p poprzez luk\u0119 zero-day w Accellion FTA, zewn\u0119trznym serwerze internetowym u\u017cywanym do hostowania i udost\u0119pniania du\u017cych plik\u00f3w, kt\u00f3rych nie mo\u017cna wys\u0142a\u0107 poczt\u0105 elektroniczn\u0105. P\u00f3\u017aniej w komunikacie prasowym Accellion potwierdzi\u0142, \u017ce serwer\u00f3w FTA u\u017cywa 300 klient\u00f3w, z czego stu zosta\u0142o zaatakowanych, a dane skradzione z 25 firm. <\/p>\n\n\n\n Wcze\u015bniej, w zwi\u0105zku z luk\u0105 wyciek\u0142y dane firmy Furgo zajmuj\u0105cej si\u0119 danymi geoprzestrzennymi, przedsi\u0119biorstwa technologicznego Danaher, lidera w\u015br\u00f3d singapurskich telco Singtel oraz ameryka\u0144skiej kancelarii prawnej Jones Day.<\/p>\n\n\n\n Udost\u0119pniane na stronie dane Bombardiera obejmowa\u0142y dokumenty projektowe r\u00f3\u017cnych samolot\u00f3w i ich cz\u0119\u015bci. \u017badne dane osobowe nie zosta\u0142y udost\u0119pnione, ale producent musi zmierzy\u0107 si\u0119 teraz z faktem, \u017ce cz\u0119\u015b\u0107 jego w\u0142asno\u015bci intelektualnej jest teraz oferowana do bezp\u0142atnego pobrania w dark webie.<\/p>\n\n\n\nMalware Silver Sparrow infekuje 30 tys. komputer\u00f3w Mac w 153 krajach w nieznanym celu<\/strong><\/h2>\n\n\n
Silver Sparrow pod obserwacj\u0105<\/h5>\n\n\n
<\/a><\/figure><\/div>\n\n\n\nDane producenta samolot\u00f3w, firmy Bombardier, s\u0105 dost\u0119pne w dark webie po w\u0142amaniu do FTA<\/strong><\/h2>\n\n\n