Știrile săptămânii din cybersecurity (16.03.2023)
La 14 martie 2023, OpenAI, creatorul ChatGPT, a introdus modelul GPT-4, cea mai recentă versiune a chatbot-ului AI, care are o structură multimodală, poate genera text și poate accepta imagini și intrări de text, o îmbunătățire față de predecesorul său care acceptă doar text. Conform anunțului de lansare publicat de companie, chatbot-ul „prezintă performanțe de nivel uman pe diferite criterii de referință profesionale și academice”.
GPT-4 este mai creativ decât modelele anterioare, poate lua notă de trecere la mai multe examene, inclusiv la un examen de barou, însă, conform creatorilor săi, „încă nu este pe deplin de încredere” și face încă erori de raționament.
Inițial, GPT-4 va fi disponibil abonaților ChatGPT Plus, iar pentru obținerea accesului la API-ul GPT-4, dezvoltatorii se pot înscrie pe lista de așteptare deschisă de OpenAI.
O falsă extensie Chrome sub marca ChatGPT deturnează conturi Facebook pentru publicitate malițioasă
Guardio Labs a dezvăluit într-un raport că o extensie malițioasă pentru Chrome, numită „Quick access to ChatGPT”, ce uzurpă identitatea ChatGPT, deturnează conturile Facebook și instalează backdoors ce le oferă atacatorilor permisiuni de super-administratori.
Conform raportului, „Prin deturnarea unor conturi Facebook business, actorul amenințării creează o armată de elită de boți Facebook și un instrument media malițios. Acest lucru îi permite să promoveze reclame Facebook în detrimentul victimelor sale într-o manieră asemănătoare viermilor care se autopropagă.”
Extensia colectează toate informațiile din browser, folosește tactici personalizate pentru a prelua conturile Facebook. Aceasta a apărut pe 3 martie 2023 și a fost retrasă de Google din Chrome Web Store în data de 9 martie 2023, după ce s-a propagat prin 2000 de instalări zilnice.
Campanii înșelătoare online care se folosesc de imaginea Poștei Române
Compania Naţională Poșta Română a fost ținta unor campanii în cadrul cărora clenții au fost îndemnați prin SMS sau prin e-mail să acceseze un link pentru a finaliza o plată și pentru a li se confirma expedierea unui colet.
Conform Poștei Române, „Accesarea linkului respectiv permite atacatorilor să colecteze datele bancare, cu scopul de a sustrage bani din conturile acestora. Clienţi ai noştri ne-au informat că au primit e-mailuri de tip phishing, care conţin fişiere .zip.”
Poşta Română comunică doar prin intermediul adreselor oficiale de e-mail: suportclienti[at]posta-romana.ro, noreplay[at]posta-romana.ro, nu transmite fişiere de tip .zip şi nu solicită clienţilor să furnizeze date cu caracter personal, informaţii bancare confidenţiale referitoare la conturile personale, numere de card sau coduri PIN şi nici efectuarea de plăţi online ale unor taxe vamale, a subliniat compania.
Microsoft a lansat noi actualizări de securitate
La 14 martie 2023, Microsoft a lansat actualizări prin care abordează 80 de vulnerabilități de securitate care afectează o gamă largă de produse. Opt vulnerabilități au un grad critic de severitate, iar două dintre ele sunt de tip zero-day și exploatate activ în atacuri.
O vulnerabilitate exploatată activ, CVE-2023-23397, „este activată atunci când un atacator trimite un mesaj cu o proprietate MAPI extinsă cu o cale UNC către o partajare SMB (TCP 445) pe un server controlat de atacator” conform unui aviz Microsoft. Vulnerabilitatea afectează toate versiunile acceptate de Microsoft Outlook pentru Windows.
În plus, CVE-2023-24880, exploatată activ în Windows SmartScreen, poate fi folosită pentru a crea executabile care ocolesc avertismentul de securitate Windows Mark of the Web (MOTW).
De asemenea, Microsoft a lansat și actualizări cumulative pentru Windows 11 KB5023706 și KB5023698, disponibile pentru versiunile 22H2 și 21H2, precum și actualizări cumulative pentru Windows 10 KB5023696 și KB5023697, disponibile pentru versiunile 22H2, 21H2,21H1 și 1809.
Cisco a remediat o vulnerabilitate de mare severitate
Cisco a lansat actualizări de securitate în cadrul cărora abordează o vulnerabilitate denial of service ce rezidă în software-ul IOS XR utilizat de routerele Cisco ASR 9000 Series Aggregation Services, ASR 9902 Compact High-Performance și ASR 9903 Compact High-Performance.
Vulnerabilitatea este identificată prin CVE-2023-20049, are un scor CVSS de 8,6 și poate fi activată de un atacator aflat la distanță și neautentificat, prin trimiterea unui pachet artizanal Ipv4 BFD către un dispozitiv vulnerabil.
Conform avizului publicat de Cisco, vulnerabilitatea afectează routere Cisco ce rulează o versiune vulnerabilă a software-ului Cisco IOS XR 64-bit și au bidirectional forwarding detection hardware offload activat pentru oricare dintre cardurile de linie instalate.
Fortinet avertizează asupra exploatării unei vulnerabilități a produsului FortiOS
La doar câteva zile după ce Fortinet a lansat actualizări de securitate pentru remedierea a 15 vulnerabilități ce afectează mai multe produse, una dintre acestea, CVE-2022-41328 (scor CVSS: 6,5) a fost identificată ca fiind exploatată de actori necunoscuți în atacuri ce vizează guvernele și organizațiile guvernamentale.
Vulnerabilitatea poate permite unui atacator să citească și să scrie fișiere arbitrare prin comenzi CLI create și afectează versiunile 6.0, 6.2, 6.4.11, de la 7.0.0 până la 7.0.9 și de la 7.2.0 până la 7.2.3 ale produsului FortiOS, remedierile fiind disponibile în versiunile 6.4.12, 7.0.10, respectiv 7.2.4.
„Complexitatea exploatării sugerează un actor avansat și orientat către ținte guvernamentale sau afiliate guvernului”, au indicat cercetătorii Fortinet într-o analiză publicată pe blogul companiei, menționând că „exploatarea necesită o înțelegere profundă a FortiOS și a hardware-ului de bază”.
CISA a adăugat vulnerabilități pentru Plex Media Server și VMware Cloud Foundation în catalogul KEV
Cybersecurity and Infrastructure Security Agency (CISA) a adăugat în catalogul Known Exploited Vulnerabilities (KEV) vulnerabilitatea identificată prin CVE-2020-5741, ce a fost remediată în mai 2020 prin lansarea versiunii 1.19.3 a Plex Media Server. Vulnerabilitatea permite unui atacator cu privilegii de administrator să execute, de la distanță, cod Python arbitrar în atacuri de complexitate redusă.
CISA nu a furnizat informații despre atacurile în care a fost exploatată vulnerabilitatea, însă includerea sa în catalog este probabil legată de faptul că LastPass a dezvăluit recent exploatarea vulnerabilității de către un atacator pentru a instala un keylogger în computerul unui angajat LasPas.
În plus, CISA a adăugat în catalogul KEV o vulnerabilitate critică a produsului VMware Cloud Foundation. Vulnerabilitatea este identificată prin CVE-2021-39144 și este exploatată activ de la începutul lunii decembrie 2022.
CISA avertizează organizațiile cu privire la dispozitivele vulnerabile la ransomware
La 13 martie 2023, CISA a anunțat crearea programului pilot de avertizare privind vulnerabilitățile exploatate în atacurile ransomware (RVWP) conceput pentru a consolida infrastructura critică a SUA împotriva amenințării ransomware.
„Prin intermediul RVWP, care a început la 30 ianuarie 2023, CISA întreprinde un nou efort pentru a avertiza operatorii de infrastructură critică în legătură cu faptul că sistemele lor au vulnerabilități expuse ce pot fi exploatate de actorii amenințărilor ransomware.”, a explicat agenția în anunțul oficial al programului RVWP.
21GB de date exfiltrate printr-un atac ransomware împotriva Acronis
Acronis, o companie de tehnologie și securitate cibernetică, a fost victima unui atac cu ransomware realizat de un atacator numit Kernelware, responsabil pentru atacuri împotriva companiei Acer și a băncii HDFC din India. Atacatorul a declarat că a declanșat incidentul „pentru că se plictisea și dorea să umilească organizația”.
În timpul incidentului, desfășurat în februarie 2023, ar fi fost exfiltrate 21GB de fișiere și foldere care au fost publicate de Kernelware. Setul de date include configurații de sistem, jurnale de comandă, copii de siguranță ale sistemului de fișiere, sau capturi de ecran ale operațiunilor de backup.
Gruparea de spionaj UNC2970 vizează companiile media și tehnologice din SUA și Europa
Un amplu raport al cercetătorilor Mandiant dezvăluie o nouă campanie de spionaj desfășurată de gruparea nord-coreeană UNC2970 care, începând cu iunie 2022, vizează companiile media și tehnologice din SUA și din Europa și livrează o multitudine de instrumente malițioase prin atacuri de tip spear-phishing.
Atacatorii pretind că sunt recrutori și creează conturi false pe LinkedIn pentru a-și aborda potențialele victime, apoi le atrag într-o conversație pe WhatsApp în timpul căreia livrează, direct prin WhatsApp sau prin e-mail, un payload malițios sub forma unui document Microsoft Word care pretinde a fi o fișă a postului.
