Știrile săptămânii din cybersecurity (24.08.2023)
O nouă campanie de hacking vizează conturile LinkedIn
Cercetătorii au observat o campanie de hacking în curs de desfășurare care vizează conturile LinkedIn pentru deturnare și pentru a fi folosite ulterior pentru inginerie socială, șantaj, colectarea de date și deteriorarea reputației.
Atacatorii par să exploateze informațiile de conectare scurse sau să folosească bruteforce pentru a încerca să obțină un număr semnificativ de conturi LinkedIn.
După compromiterea conturilor nesecurizate necorespunzător, hackerii schimbă adresa de e-mail asociată cu una asociată serviciului ”rambler[.]ru”.
Conform Google Trends, în ultimele luni a existat o creșetere cu 5000% a căutărilor legate de hackurile și recuperarea contului LinkedIn.
Utilizatorii sunt îndemnați să adopte măsuri proactive pentru a-și consolida eficient conturile LinkedIn împotriva activităților malițioase.
Google abordează cinci vulnerabilități de securitate în actualizarea Chrome 116
Google a lansat o actualizare de securitate Chrome 116 ce abordează cinci vulnerabilități de securitate, patru dintre ele fiind evaluate cu un grad de severitate ridicat.
Cea mai gravă dintre acestea este identificată prin CVE-2023-4430 în componenta Vulkan și este raportată de cercetătorul Cassidy Kim care a primit o recompensă de 10.000 de dolari.
A doua vulnerabilitate este identificată prin CVE-2023-4429, rezidă în componenta Loader și a fost raportată de un cercetătoru anonim care a primit o recompensă de 3.000 de dolari.
CVE-2023-4428, CVE-2023-4427 și CVE-2023-4431 sunt erori de acces la memorie în afara limitelor în CSS, respectiv V8 și Fonts și, conform politicii Google, nu va fi plătită nicio recompensă cercetătorilor care au raportat aceste vulnerabilități.
Cea mai recentă iterație Chrome este lansată ca versiunea 116.0.5845.110 pentru Mac și Linux și ca versiuni 116.0.5845.110/.111 pentru Windows.
Google nu menționează deocamdată exploatări active ale vulnerabilităților remediate, însă acest aspect s-ar putea schimba în următoarea perioadă, iar utilizatorilor li se recomandă actualizarea browser-ului la cea mai recentă versiune.
O campanie de phishing cu răspândire în masă vizează utilizatorii Zimbra
Potrivit unui raport al cercetătorilor ESET, o campanie de phishing în cadrul căreia un atacator necunoscut deocamdată încearcă să fure acreditările pentru serverele de e-mail Zimbra Collaboration este în desfășurare cel puțin din aprilie 2023, iar e-mailurile malițioase sunt trimise organizațiilor din întreaga lume, fără a se concentra în mod specific asupra unor companii sau sectoare.
E-mailurile de phishing informează utilizatorii despre o actualizare iminentă a serverului de e-mail, ceea ce va duce la dezactivarea temporară a contului, iar destinatarului i se cere să deschidă un fișier HTML atașat pentru a afla mai multe despre actualizarea serverului și pentru a urma instrucțiuni de evitare a dezactivării contului.
ESET raportează că, în unele cazuri, atacatorii folosesc conturi de administrator compromise pentru a crea noi adrese de e-mail care sunt folosite pentru diseminarea e-mailurilor de phishing către alți membri ai organizației.
Analiștii subliniază că, în ciuda lipsei de sofisticare a acestei campanii, răspândirea și succesul acesteia sunt impresionante, iar utilizatorii Zimbra Collaboration ar trebui să fie conștienți de amenințare.
Raportul cercetătorilor cuprinde indicatorii de compromitere și tehnicile MITRE ATT&CK.
O vulnerabilitate WinRAR permite hackerilor rularea de programe
RARLAB a lansat versiunea 6.23 a WinRAR pentru remedierea unei vulnerabilități de mare severitate ce permite atacatorilor să execute cod arbitrar pe sistemul țintă după deschiderea unui fișier RAR special creat.
Vulnerabilitatea este identificată prin CVE-2023-40477 și, deoarece exploatarea ei implică participarea victimei, a primit un scor de 7,8 conform CVSS.
Utilizatorii WinRAR sunt sfătuiți să aplice imediat actualizarea de securitate disponibilă, să fie precauți la deschiderea fișierelor și să folosească un instrument antivirus ce poate scana arhivele.
Vulnerabilitățile Ivanti pot afecta 30.000 de organizații
Două vulnerabilități critice de securitate ce afectează Ivanti Avalanche, o soluție de gestionare a dispozitivelor mobile pentru organizații, au fost raportate și sunt identificate colectiv prin CVE-2023-32560 (scor CVSS:9,8).
Exploatarea ambelor vulnerabilități de către un atacator aflat la distanță îi permite acestuia să trimită un mesaj special conceput ce ar putea cauza întreruperi ale serviciului sau execuția arbitrară de cod.
Ivanti a lansat actualizarea de securitate Avalanche versiunea 6.4.1 pe 3 august 2023, care remediază și vulnerabilități suplimentare RCE și bypass de autentificare (CVE-2023-32561, CVE-2023-32562, CVE-2023-32563, CVE-2023-32564, CVE-2023-32565, CVE-2023-32566).
Având în vedere că vulnerabilitățile de securitate ale software-ului Ivanti au fost exploatate activ în ultimele săptămâni, utilizatorii sunt sfătuiți să aplice urgent actualizările necesare pentru a atenua potențialele amenințări.
DNSC scoate la concurs 6 noi posturi în cadrul Direcției Generale Operațiuni Tehnice
Directoratul Național de Securitate Cibernetică (DNSC) organizează o serie de concursuri pentru angajarea a 6 noi colegi, ca personal contractual, pe o perioadă nedeterminată.
Posturile scoase la concurs:
Direcția Generală Operațiuni Tehnice - Direcția Infrastructură Tehnică
- 2 posturi de Expert dezvoltare, implementare și administrare infrastructuri securitate cibernetică1 - grad Debutant, studii superioare, poziție de execuție - fișele de post: #865, #866
- 4 posturi de Expert dezvoltare, implementare și administrare infrastructuri securitate cibernetică1 - grad Superior, studii superioare, poziție de execuție - fișele de post: #877, #878, #879, #880.
Documentele necesare pentru dosarul de înscriere pot fi depuse în format electronic, la adresa de email [email protected] sau în format letric la secretariatul comisiei de concurs, la sediul DNSC din Str. Italiană 22, Sector 2, 020976 București, România între orele 09:00-17:00, telefon: 0742999650.
Snatch a adăugat organizația militară din Africa de Sud pe site-ul său de scurgeri de date
Gruparea de criminalitate cibernetică Snatch, specializată în atacuri de tip ransomware, a adăugat Departamentul de Apărare al Africii de Sud pe site-ul său de scurgeri de date, susținând că a furat contracte militare, indicative de apel interne și date personale, intr-un un total de 1,6 TB de date.
În cazul în care atacul va fi confirmat, dezvăluirea informațiilor confidențiale reprezintă un risc grav pentru organizațiile implicate în contracte.
Misiunea Departamentului de Apărare este de a furniza, gestiona, pregăti și angaja capacități de apărare proporționale cu nevoile Africii de Sud, astfel cum sunt reglementate de Constituție, legislația națională, direcția parlamentară și executivă.
Cuba Ransomware vizează sectorul infrastructurii critice din SUA într-o nouă campanie malițioasă
Cercetătorii BlackBerry au observat și analizat o campanie malițioasă recent orchestrată de atacatorii Cuba care exploatează acum o vulnerabilitate a produselor Veem Backup & Replication (VBR) pentru a fura acreditările din fișierele de configurare, precum și o vulnerabilitate de securitate Microsoft NetLogon pentru escaladarea privilegiilor.
Campania vizează infrastructura critică din Statele Unite ale Americii și companii IT din America Latină, iar gruparea infracțională folosește în atac o serie de instrumente vechi și noi, precum și tehnica BYOVD pentru a dezactiva instrumentele de protecție a punctelor terminale.
Cele două vulnerabilități sunt identificate prin CVE-2020-1472 (NetLogon), respectiv CVE-2023-27532 (Veeam), prima dintre acestea permițând escaladarea privilegiilor împotriva controlorilor de domeniu (DC) Active Directory (AD) în cazul în care un atacator folosește MS-NRPC pentru a obține acces de administrator, iar cea de-a doua permițând obținerea accesului la acreditările stocate în fișierul de configurare de pe dispozitivul victimei.
Vulnerabilitatea identificată prin CVE-2023-27532 este exploatată prin serviciul de backup Veeam, care rulează pe portul TCP implicit 9401 și este pentru prima oară când gruparea infracțională Cuba este observată abuzând de această eroare.
Raportul cercetătorilor cuprinde indicatorii de compromitere, scurte informații MITRE ATT&CK și recomandări de atenuare a amenințării.
CISA adaugă o vulnerabilitate Citrix ShareFile la catalogul său KEV
O vulnerabilitate critică de securitate, ce rezidă în controlerul zonelor de stocare Citrix ShareFile, a fost adăugată de către CISA la catalogul său KEV în baza dovezilor de exploatare activă, agențiile federale primind termen până la data de 6 septembrie 2023 pentru a remedia eroarea.
”Această vulnerabilitate afectează toate versiunile suportate în prezent ale controlerului pentru zonele de stocare ShareFile gestionate de client înainte de versiunea 5.11.24”, se arată într-un aviz Citrix lansat în iunie 2023.
Identificată prin CVE-2023-24489 (Scor CVSS: 9,8), vulnerabilitatea ar putea permite unui atacator neautentificat să compromită instanțe vulnerabile de la distanță.
Primele semne de exploatare a vulnerabilității au apărut la sfârșitul lunii iulie 2023, identitatea atacatorilor este necunoscută, iar compania de informații despre amenințări GreyNoise a declarat că a observat o creștere a încercărilor de exploatare cu până la 75 de adrese IP unice înregistrate doar pe 15 august.
XLoader apare din nou pe macOS, deghizat în aplicația ”OfficeNote”
Conform cercetătorilor SentinelOne, utilizatorii macOS sunt vizați de o nouă variantă de malware deghizată în aplicația de productivitate de birou numită ”OfficeNote”, malware-ul fiind o nouă versiune a XLoader, un infostealer și botnet care există într-o formă sau alta din 2015.
SentinelOne a spus că a detectat mai multe trimiteri ale artefactului pe VirusTotal pe parcursul lunii iulie 2023, indicând o campanie pe scară largă.
”Reclamele de pe forumurile criminalistice oferă versiunea mac pentru închiriere la 199 USD/lună sau 299 USD/3 luni. Acesta este relativ scump în comparație cu variantele Windows ale XLoader, care costă 59 USD/lună și 129 USD/3 luni.”, au spus cercetătorii.
XLoader este conceput pentru a colecta date din clipboard, precum și informații stocate în directoarele asociate cu browsere web, cum ar fi Google Chrome și Mozilla Firefox, browser-ul Safari nefiind vizat, iar deghizarea ultimei iterații într-o aplicație de productivitate de birou arată că țintele de interes sunt utilizatorii dintr-un mediu de lucru.
Akira ransomware vizează VPN-urile Cisco pentru acces inițial în sistemele organizațiilor
Operațiunea de ransomware Akira, activă din martie 2023, vizează acum produsele Cisco VPN pentru a obține acces inițial în rețelele organizațiilor, a exfiltra și, în cele din urmă, a cripta datele.
Soluțiile Cisco VPN sunt adoptate pe scară largă în multe industrii pentru a oferi transmisie sigură și criptată de date între utilizatori și rețelele organizațiilor și sunt utilizate, de obicei, de către angajații care lucrează de la distanță.
Cercetătorii Sophos au observat în luna mai că atacatorul din spatele malware-ului folosea conturi compromise VPN Cisco pentru a încălca rețelele țintă, iar un respondent la incident, cunoscut sub numele de ”Aura”, a declarat pe Twitter că atacatorii au vizat organizațiile care foloseau dispozitive Cisco VPN care nu erau protejate prin autentificare MFA.
Cercetătorii SentinelOne au găsit dovezi că Akira a folosit gateway-uri Cisco VPN în datele scurse publicate pe pagina de extorcare a grupării și au observat folosirea de către atacator a instrumentului de acces la distanță RustDesk pentru a naviga în rețelele compromise.
Alte TTP-uri observate de SentinelOne în cele mai recente atacuri ale Akira includ accesul și manipularea bazei de date SQL, dezactivarea firewall-urilor și activarea RDP, dezactivarea protecției LSA și dezactivarea Windows Defender.
La sfârșitul lunii iunie 2023, Avast a lansat un decriptor gratuit pentru ransomware-ul Akira, însă actorii amenințărilor și-au corectat criptatoarele de atunci, iar instrumentul Avast va ajuta doar victimele versiunilor mai vechi.
Vulnerabilitățile sistemului de operare Juniper Junos expun dispozitivele la atacuri de la distanță
Compania de hardware de rețea Juniper Networks a lansat actualizări de securitate de urgență pentru a remedia patru vulnerabilități de securitate ce afectează toate versiunile de Junos OS pe seriile SRX și EX.
Cele patru vulnerabilități au un rating CVSS cumulativ de 9,8, iar compania a declarat într-un aviz că ”prin exploatarea în lanț a acestor vulnerabilități, un atacator neautentificat, bazat pe rețea, poate fi capabil să execute cod de la distanță pe dispozitive”.
Cele patru vulnerabilități sunt identificate prin CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 și CVE-2023-36847, primele două permițând unui atacator neautentificat să controleze anumite variabile de mediu importante, în vreme ce ultimele două permit unui atacator să afecteze integritatea sistemului de fișiere.
Vulnerabilitățile au fost remediate în EX, versiunile Junos OS 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S4, 22.1R3-S3, 22.2R3-S1, 22.3R2-S2, 22.3R3, 2.4R2, 2.4. R3 și 23,2R1, respectiv în SRX, versiunile Junos OS 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S5, 22.1R3-S3, 22.2R3-S2, 22.3R2-S2, 22.3R3, 22.2.4. R3 și 23,2R1.
Utilizatorilor li se recomandă să aplice actualizările de securitate necesare pentru atenuarea amenințîrii, și, ca o soluție, Juniper Networks sugerează utilizatorilor fie să dezactiveze J-Web, fie să limiteze accesul doar la gazdele de încredere.
CISA adaugă o vulnerabilitate critică Adobe ColdFusion la catalogul său KEV
CISA a adăugat la catalogul vulnerabilităților cunoscute exploatate (KEV), în baza dovezilor de exploatare activă, o vulnerabilitate critică de securitate ce rezidă în Adobe ColdFusion, iar organizațiile federale au primit termen până la 11 septembrie 2023 să își protejeze rețelele împotriva potențialelor amenințări.
Vulnerabilitatea este identificată prin CVE-2023-26359 (scor CVSS: 9,8), este prezentă în Adobe ColdFusion 2018 și Adobe ColdFusion 2021 și ar putea duce la executarea arbitrară de cod fără a fi necesară interacțiunea utilizatorului.
Vulnerabilitatea a fost remediată de Adobe ca parte a actualizărilor de securitate lansate în martie 2023.
