MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Функцијата за автоматско пополнување на ингеренциите на Bitwarden содржи ризично однесување што може да дозволи малициозните iframes вградени во доверливи веб-сајтови да ги украдат ингеренциите на луѓето и да ги испратат до напаѓачот.

Проблемот беше пријавен од страна на аналитичарите на Flashpoint, кои изјавија дека Bitwarden првпат дознал за проблемот во 2018 година, но избрал да дозволи да се сместат легитимни сајтови кои користат iframes.

Flashpoint изјави дека сè уште има веб-сајтови кои ги исполнуваат барањата каде мотивираните хакери можат да се обидат да ги искористат овие недостатоци.

Bitwarden е популарна услуга за управување со лозинки со отворен код со екстензија на веб-прелистувач што складира кориснички имиња и лозинки на сметки во шифриран сеф.

Кога неговите корисници посетуваат веб-сајт, екстензијата открива дали има зачувано најавување за тој домен и нуди да ги пополни ингеренциите. Ако опцијата за автоматско пополнување е овозможена, таа автоматски ги пополнува при вчитувањето на страницата без корисникот да мора да направи нешто.

Додека го анализираа Bitwarden, истражувачите на Flashpoint открија дека екстензијата автоматски ги пополнува формите дефинирани во вградените iframes, дури и оние од надворешни домени.

Flashpoint истражуваше колку често iframes се вградени на страниците за најавување на веб-сајтовите со голем сообраќај и објави дека бројот на ризични случаи е многу мал, што значително го намалува ризикот.

Сепак, втор проблем откриен од страна на Flashpoint додека го истражува проблемот со iframes е дека Bitwarden исто така автоматски ќе ги пополнува ингеренциите на поддомени на основниот домен што одговараат на најавување.

Ова значи дека напаѓачот што хостира фишинг страница под поддомен што се совпаѓа со складирана најава за даден основен домен, ќе ги сними ингеренциите кога жртвата ќе ја посети страницата доколку е овозможено автоматско пополнување.

„Некои даватели на хостинг содржини дозволуваат хостирање на произволна содржина под поддомен на нивниот официјален домен, кој исто така им служи на нивната страница за најавување“, објаснува Flashpoint во извештајот.

„Како пример, доколку компанијата има страница за најавување на https://logins.company.tld и им дозволува на корисниците да сервираат содржина под https://<clientname>.company.tld, овие корисници можат да украдат ингеренции од Bitwarden екстензии.”

Регистрирањето на поддомен што одговара на основниот домен на легитимен веб-сајт не е секогаш можно, така што сериозноста на проблемот е намалена.

Сепак, некои услуги им дозволуваат на корисниците да креираат поддомени за да бидат хостирани содржини, како што се бесплатните услуги за хостирање, а нападот е сè уште можен преку крадење на поддомени.

Bitwarden нагласува дека функцијата за автоматско пополнување е потенцијален ризик, па дури и вклучува истакнато предупредување во својата документација, конкретно споменувајќи ја веројатноста за компромитирани страници да ја злоупотребат функцијата за автоматско пополнување за да украдат ингеренции.

Овој ризик првпат беше откриен во безбедносната проценка од ноември 2018 година, така што Bitwarden веќе некое време е свесен за безбедносниот проблем.

Меѓутоа, бидејќи корисниците треба да се логираат на услуги користејќи вградени iframes од надворешни домени, инженерите на Bitwarden одлучија да го задржат однесувањето непроменето и да додадат предупредување во документацијата на софтверот и соодветното мени за поставки на екстензијата.

Одговарајќи на вториот извештај на Flashpoint за управувањето со URI и како автоматското пополнување ги третира поддомените, Bitwarden вети дека ќе го блокира автоматското пополнување на пријавената околина за хостирање во идното ажурирање, но не планира да ја промени функционалноста на iframe.

Кога BleepingComputer контактираше со Bitwarden за безбедносниот ризик, тие потврдија дека знаат за овој проблем од 2018 година, но не ја промениле функционалноста бидејќи формуларите за најавување на легитимните сајтови користат iframes.

„Bitwarden прифаќа автоматско пополнување на iframe бидејќи многу популарни веб-сајтови го користат овој модел, на пример, icloud.com користи iframe од apple.com“, изјави Bitwarden за BleepingComputer.

„Значи, постојат совршено валидни случаи на употреба каде што формуларите за најавување се во iframe под различен домен“.

„Функцијата опишана за автоматско пополнување во објавата на блогот НЕ е стандардно овозможена во Bitwarden и има предупредувачка порака за таа функција токму поради оваа причина во производот и во документацијата за помош https://bitwarden.com/help/auto-fill-browser/#on-page-load.”

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

LastPass, кој во декември 2022 година откри сериозно пробивање на податоците што им овозможи на напаѓачите да пристапат до шифрирани сефови за лозинки, изјави дека тоа се случило како резултат на истиот напаѓач кој извршил втор напад врз неговите системи.

Компанијата соопшти дека на еден од DevOps инженерите му бил пробиен персоналниот домашен компјутер и бил заразен со keylogger како дел од постојан сајбер напад кој ексфилтрирал чувствителни податоци од серверите за складирање во облак на Amazon AWS.

„Напаѓачот искористил информации украдени за време на првиот инцидент, информации достапни од пробивање на податоци од трета страна и ранливост во медиумски софтверски пакет од трета страна за да започне координиран втор напад“, соопшти услугата за управување со лозинки.

Овој упад ги таргетираше инфраструктурата, ресурсите на компанијата и еден од вработените од 12 август 2022 до 26 октомври 2022 година. Оригиналниот инцидент, од друга страна, заврши на 12 август 2022 година.

Пробивањето во август им овозможи на напаѓачите да пристапуваат до изворниот код и сопствените технички информации од неговата развојна околина со помош на една компромитирана сметка на вработен.

Во декември 2022 година, LastPass откри дека напаѓачот ги искористил украдените информации за да пристапи до околина за складирање базирана на облак и да добие „одредени елементи од информациите за нашите клиенти“.

Подоцна во истиот месец, непознатиот напаѓач беше обелоденет дека добил пристап до резервна копија од податоците од сефот на клиентите за кои изјави дека се заштитени со 256-битна AES шифрирање.

GoTo, матичната компанија на LastPass, исто така откри дека има пробивање минатиот месец поради неовластен пристап до услугата за складирање во облак од трета страна.

Според компанијата, напаѓачот се вклучил во нова серија „активности за извидување, попишување и ексфилтрација“ насочени кон услугата за складирање во облак помеѓу август и октомври 2022 година.

„Конкретно, напаѓачот можеше да користи валидни акредитиви украдени од постар DevOps инженер за да пристапи до заедничка средина за складирање во облак“, изјави LastPass, додавајќи дека инженерот „имал пристап до клучевите за дешифрирање потребни за пристап до услугата за складирање во облак“.

Ова му овозможи на напаѓачот да добие пристап до AWS S3 во кои се сместени резервните копии на клиентите на LastPass.

Лозинките на вработениот биле избришани со таргетирање на домашниот компјутер на поединецот и користење на „ранлив медиумски софтверски пакет од трета страна“ за да се постигне далечинско извршување на кодот и да се постави софтвер за клучеви.

„Напаѓачот можеше да ја сними главната лозинка на вработениот како што беше внесена, откако вработениот се автентицира со MFA и да добие пристап до корпоративниот трезор на инженерот DevOps LastPass“, изјави LastPass.

LastPass не го откри името на користениот медиумски софтвер од трета страна, но индикациите се дека тоа би можело да биде Plex врз основа на фактот дека претрпе пробивање кон крајот на август 2022 година.

По инцидентот, LastPass изјави дека применил дополнителни мерки за зацврстување на S3 за да воспостави механизми за евиденција и предупредување.

На корисниците на LastPass им се препорачува да ги променат своите главни лозинки за да ги ублажат потенцијалните ризици, доколку веќе не се направени.

Извор: TheHackerNews

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Хакерите ја искористуваат популарноста на OpenAI ChatGPT четботот за да дистрибуираат малициозен софтвер за Windows и Android, или да ги насочат жртвите на фишинг страници.

ChatGPT доби огромно внимание по неговата појава во ноември 2022 година, станувајќи најбрзо растечката потрошувачка апликација во модерната историја со повеќе од 100 милиони корисници до јануари 2023 година.

Оваа огромна популарност и брзиот раст го принудија OpenAI да ја намали употребата на алатката и воведе платено ниво од 20 долари/месечно (ChatGPT Plus) за поединци кои сакаат да го користат четботот без ограничувања за достапност.

Овој потег создаде услови за хакерите да ја искористат популарноста на алатката ветувајќи непрекинат и бесплатен пристап до премиум ChatGPT. Понудите се големи и целта е да се намамат корисниците да инсталираат малициозен софтвер.

Безбедносниот истражувач Dominic Alvieri беше меѓу првите што забележа еден таков пример со користење на доменот „chat-gpt-pc.online“ за да ги инфицира посетителите со Redline малициозен софтвер за крадење информации.

Таа веб-страница беше промовирана од страна на Facebook која користеше официјални логоа на ChatGPT за да ги измами корисниците да бидат пренасочени на малициозната страница.

Alvieri, исто така, забележал лажни ChatGPT апликации кои се промовираат на Google Play и на third – party Android апликации, за да се шири сомнителен софтвер на уредите на луѓето.

Истражувачите од Cyble денес објавија релевантен извештај каде што презентираат дополнителни наоди во врска со кампањата за дистрибуција на малициозен софтвер откриена од страна на Alvieri, како и други малициозни активности кои ја искористуваат популарноста на ChatGPT.

Cyble откри страница за крадење кредитни картички на „pay.chatgptftw.com“ која наводно им нуди на посетителите портал за плаќање за да купат ChatGPT Plus.

Кога станува збор за лажни апликации, Cyble изјави дека открил над 50 малициозни апликации кои ја користат иконата на ChatGPT и слично име, и дека сите се лажни и се обидуваат да нанесат штета на уредите на корисниците.

Два примери нагласени во извештајот се „chatGPT1“, која е апликација за измама за СМС наплата и „AI Photo“, која содржи Spynote малициозен софтвер, кој може да украде дневници за повици, списоци со контакти, СМС и датотеки од уредот.

ChatGPT е алатка базирана исклучиво на интернет достапна само на „chat.openai.com“ и не нуди никакви мобилни или десктоп апликации за ниту еден оперативен систем во моментот.

Сите други апликации или сајтови кои тврдат дека се ChatGPT се лажни кои се обидуваат да измамат или шират малициозен софтвер и треба да се сметаат за сомнителни, а корисниците треба да ги избегнуваат.

Извор: BleepingComputer