Știrile săptămânii din cybersecurity (31.08.2023)
O vulnerabilitate în Skype poate duce la aflarea adresei IP a interlocutorului
Atacatoriirii sunt capabili să capteze adresa IP a unei ținte, dezvăluind potențial locația lor fizică, trimițând pur și simplu un link prin aplicația mobilă Skype. Ținta nu trebuie să facă clic pe link sau să interacționeze în alt mod cu hackerul dincolo de deschiderea mesajului, potrivit unui cercetător de securitate care a demonstrat problema.
Yossi, cercetătorul independent de securitate care a descoperit vulnerabilitatea, a raportat problema la Microsoft la începutul acestei luni, conform unor e-mailuri și rapoarte de bug-uri pe care le-a împărtășit cu 404 Media. După ce 404 Media a contactat Microsoft pentru comentarii, compania a spus că va rezolva problema într-o actualizare viitoare.
Atacul ar putea reprezenta un risc serios pentru activiști, dizidenți politici, jurnaliști, cei vizați de infractorii cibernetici și mult mai mulți oameni. Cel puțin, o adresă IP poate arăta în ce zonă se află cineva. O adresă IP poate fi chiar mai revelatoare într-o zonă mai puțin populată, deoarece există mai puțini oameni care ar putea fi asociați cu ea.
Browser fingerprinting promite a fi o metodă de urmărire mai atentă la confidențialitate, înlocuind informațiile personale cu date mai generale. Dar este o promisiune valabilă? La această întrebare, cei de la ESET înearcă să răspundă în articolul de pe blog.
Comoditatea este o prioritate astăzi iar cumpărăturile nu au fost niciodată mai ușor de făcut, comenzile de bunuri din orice parte a lumii și livrările până la ușă fiind un lucru foarte normal. Cu toate acestea, orice achiziție necesită partajarea informațiilor aparent confidențiale sau văzute anterior ca informații private, cum ar fi adresa sau numărul dvs. de telefon.
Și în timp ce astfel de informații sunt furnizate pentru a face cumpărături comode de pe canapea, considerentele de securitate sunt încă reale. Încălcările de date pot avea loc și se întâmplă, astfel încât site-urile web, precum și cumpărătorii trebuie să fie mereu în gardă cu privire la riscurile de securitate. Adevărul este că măsurile de protecție, puse în aplicare, deseori deranjează utilizatorii și provoacă îngrijorări legate de confidențialitate. O excepție o poate reprezenta browser fingerprinting, o metodă unică, aparent mai puțin intruzivă care este folosită pentru confidențialitate, pentru a urmări și a securiza utilizatorii.
Browser fingerprinting este o modalitate prin care site-urile web pot obține date despre dvs., cum ar fi ce browser web utilizați, ce dispozitiv, ce rezoluție a ecranului, ce sistem de operare, limba sau locația dvs. și alte setări ale browser-ului. Aceste date ar trebui apoi folosite pentru a face site-urile web să funcționeze corect, printre alte utilizări.
Este, de asemenea, o modalitate de a identifica vizitatorii individuali ai site-ului web pentru a le urmări activitatea. În timp ce datele descrise mai sus ar putea fi considerate redundante, poate chiar inutile la prima vedere, adevărul este că site-urile web pot folosi aceste date pentru a-și personaliza reclamele și informațiile oferite către utilizatori.
Pluginul Jupiter X Core ar putea permite hackerilor să deturneze site-uri WordPress
Două vulnerabilități care afectează unele versiuni de Jupiter X Core, un plugin pentru configurarea site-urilor web WordPress și WooCommerce care este utilizat în peste 172.000 de site-uri web, permit deturnarea conturilor și încărcarea fișierelor fără autentificare.
Prima vulnerabilitate este identificată prin CVE-2023-38388, are un scor CVSS de 9.0, afectează toate versiunile de Jupiter X Core și permite încărcarea fișierelor fără autentificare, ceea ce ar putea duce la executarea de cod arbitrar pe server. Vulnerabilitatea poate fi exploatată deoarece nu există verificări de autentificare în cadrul funcției „upload_files” a pluginului.
A doua vulnerabilitate este identificată prin CVE-2023-38389, are un scor CVSS de 9,8, afectează toate versiunile de Jupiter X Core începând cu versiunea 3.3.8 și permite atacatorilor neautentificați să preia controlul asupra oricărui cont de utilizator WordPress, cu condiția să cunoască adresa de e-mail.
Utilizatorilor pluginului JupiterX Core li se recomandă să facă upgrade la versiunea 3.4.3 cât mai curând posibil pentru a atenua riscurile severe pe care le prezintă cele două vulnerabilități.
Autoritățile poloneze investighează un atac cibernetic asupra căilor ferate ale țării
Agenția de Securitate Internă din Polonia (ABW) și Poliția națională au lansat o anchetă privind un atac asupra rețelei feroviare a statului. Potrivit agenției poloneze de presă, atacul a perturbat traficul săptămâna trecută.
Stanisław Zaryn, coordonator adjunct al serviciilor speciale, a declarat agenției de presă că autoritățile poloneze investighează o utilizare neautorizată a sistemului folosit pentru controlul traficului feroviar.
„Pentru moment, nu excludem nimic”, a declarat Stanislaw Zaryn pentru PAP. „Știm că de câteva luni au existat încercări de destabilizare a statului polonez”, a adăugat el. „Aceste încercări au fost întreprinse de Federația Rusă în colaborare cu Belarus”.
De la începutul invadării Ucrainei de către Rusia, sistemul feroviar polonez a reprezentat o infrastructură de tranzit crucială pentru sprijinirea Ucrainei de către țările occidentale. Zaryn a explicat că atacurile fac parte dintr-o activitate mai amplă desfășurată de Rusia pentru a destabiliza Polonia.
KmsdBot actualizat vizează peisajul IoT
Conform unei analize publicată de cercetătorul Akamai Larry W. Cashdollar, o versiune actualizată a unui malware botnet numit KmsdBot, documentat prima dată în noiembrie 2022, vizează acum dispozitivele Internet of Things (IoT), ramificându-și simultan capacitățile și suprafața de atac.
KmsdBot este conceput pentru a viza serverele private de jocuri și furnizorii de găzduire în cloud, pentru a scana adrese IP aleatoare în căutarea de porturi SSH deschise și pentru a forța sistemul cu o listă de parole descărcată de pe un server controlat de actor, iar noile actualizări încorporează scanarea Telnet și îi permit să acopere mai multe arhitecturi CPU întâlnite în mod obișnuit în dispozitivele IoT.
”Din perspectivă tehnică, adăugarea capacităților de scanare telnet sugerează o extindere a suprafeței de atac a rețelei botnet, permițându-i să vizeze o gamă mai largă de dispozitive. Mai mult, pe măsură ce malware-ul evoluează și adaugă suport pentru mai multe arhitecturi CPU, reprezintă o amenințare continuă la securitatea dispozitivelor conectate la internet”, a declarat Cashdollar.
Akamai a publicat și lista indicatorilor de compromitere.
A fost lansat un exploit PoC pentru vulnerabilități Juniper ce permit atacuri RCE
Cercetătorii au lansat detalii suplimentare și un exploit proof-of-concept (PoC) pentru patru vulnerabilități recent remediate care afectează firewall-urile SRX și switch-urile EX ale Juniper Networks și care permit executarea codului de la distanță.
Cele patru vulnerabilități sunt identificate prin CVE-2023-36846, CVE-2023-36847, CVE-2023-36844 și CVE-2023-36845, primele două permițând exploatarea unei funcții critice, fără autentificare prealabilă, iar exploatarea ultimelor două permițând atacatorilor să modifice anumite variabile din mediul PHP prin specificarea numelui unui fișier încărcat.
Juniper a îndemnat clienții fie să-și actualizeze dispozitivele la o versiune de Junos OS care conține remedieri pentru aceste defecte, fie să dezactiveze sau să limiteze accesul la interfața de utilizare J-Web.
Autoritățile judiciare și notarii ucraineni vizați într-o campanie prelungită de hacking
Echipa Ucrainei de Răspuns în Situații de Urgență Informatică (CERT-UA) avertizează cu privire la o campanie de hacking pe care o monitorizează din primul trimestru al anului 2023 și în cadrul căreia atacatorii, urmăriți sub denumirea UAC-0173, vizează autoritățile judiciare și birourile notariale din Ucraina.
Activitatea malițioasă constă în distribuirea de mesaje care au atașate arhive BZIP, GZIP sau RAR a căror deschidere va duce în cele din urmă la infectarea dispozitivelor cu programul malware AsyncRAT ce permite atacatorilor accesul de la distanță.
Specialiștii CERT-UA menționează că atacatorii utilizează subiecte și numele de fișiere precum ”Scrisoare a Departamentului pentru Afaceri Notariale din Dnipropetrovsk Oblast.rar”, ”Scrisoare de informare și implementare.cmd”, ”Scrisoare a Ministerului Educației pentru informare și luare în considerare în work.exe.bzip”, iar lanțul de atac constă în rularea unui fișier BAT/CMD care conține cod PowerShell.
CERT-UA a publicat și lista indicatorilor de compromitere aferenți campaniei.
Agenția japoneză de securitate cibernetică suferă o breșă de luni de zile
Organizația responsabilă de apărarea națională a Japoniei împotriva atacurilor cibernetice a fost infiltrată de hackeri, care ar fi putut avea acces la date sensibile timp de până la nouă luni.
Potrivit a trei surse guvernamentale și private familiarizate cu situația, hackerii chinezi susținuți de stat s-au aflat în spatele atacului asupra Centrului Național de Pregătire și Strategie pentru Securitate Cibernetică (NISC) din Japonia, care a început toamna trecută și nu a fost detectat până în iunie.
Descoperirea incidentului și sensibilitatea țintei vine într-un moment de control fără precedent al vulnerabilității Japoniei la atacurile cibernetice. Tokyo se angajează într-o cooperare militară mai profundă cu SUA și aliații regionali, inclusiv lucrările la un proiect comun de luptă cu Marea Britanie și Italia, în care vor fi schimbate date tehnologice de top secrete.
FBI anunță destructurarea rețelei botnet Qakbot
FBI și Departamentul de Justiție a Statelor Unite (DoJ) au anunțat întreruperea infrastructurii botnet Qakbot în cadrul unui efort coordonat de aplicare a legii, cu nume de cod ”Operațiunea Duck Hunt”, ce a implicat participarea Franței, Germaniei, Letoniei, României, Olandei, Regatului Unit și a Statelor Unite, alături de asistența tehnică oferită de compania de securitate cibernetică Zscaler.
Ca parte a operațiunii, FBI a obținut acces legal la infrastructura Qakbot și a identificat peste 700.000 de computere infectate în întreaga lume, inclusiv peste 200.000 în SUA.
”Această rețea botnet le-a oferit infractorilor cibernetici o infrastructură de comandă și control constând din sute de mii de computere folosite pentru a efectua atacuri împotriva persoanelor și companiilor de pe tot globul”, a a declarat directorul FBI Christopher Wray.
QakBot, cunoscut și sub numele de QBot și Pinkslipbot, a apărut în 2008, iar principalele familii de malware propagate prin intermediul rețelei au fost Conti, ProLock, Egregor, REvil, MegaCortex și BlackBasta.
Nu au fost anunțate arestări în cadrul operațiunii.
Un nou raport al cercetătorilor Mandiant dezvăluie faptul că o grupare de criminalitate cibernetică urmărită sub denumirea UNC4841 a exploatat o vulnerabilitate de tip zero-day a dispozitivelor Barracuda Networks Email Security Gateway (ESG) într-o campanie globală de spionaj ce vizează sectoarele guvernamentale, militare, de apărare și aerospațiale, industria high-tech și telecomunicațiile.
Atacurile presupun exploatarea CVE-2023-2868 pentru a implementa programe malware și a desfășura activități post-exploatare, iar în anumite cazuri intruziunile au dus la implementarea unor programe malware suplimentare, cum ar fi SUBMARINE, SKIPJACK și FOXTROT pentru menținerea accesului în mediile compromise.
Vulnerabilitatea CVE-2023-2868 permite executarea neautorizată a comenzilor de sistem cu privilegii de administrator pe dispozitivul Barracuda ESG și a fost remediată în luna mai 2023.
Raportul cercetătorilor cuprinde și indicatorii de compromitere aferenți campaniei.
Postat în: stiri cybersecurity awareness DNSC vulnerability skype
Vizualizat de 7409 ori
