Știrile săptămânii din cybersecurity (05.10.2023)
Google remediază două vulnerabilități Android de tip zero day
Google a lansat luni, 2 octombrie 2023, actualizări de securitate pentru Android, abordând 54 de vulnerabilități de securitate, două dintre acestea fiind deja exploatate activ.
Prima dintre vulnerabilitățile de tip zero day este identificată prin CVE-2023-4863 (scor CVSS: 8,8), rezidă în biblioteca open source libwebp și poate duce la o scriere în afara limitelor de memorie și la executarea codului de la distanță.
Vulnerabilitatea afectează numeroase produse software, inclusiv Chrome, Firefox, iOS sau Microsoft Teams și există dovezi că a fost exploatată pentru livrarea de spyware pe dispozitivele iPhone.
Cea de-a doua vulnerabilitate de tip zero day este CVE-2023-4211, rezidă în driverul GPU Arm Mali și permite unui utilizator local neprivilegiat să execute ”operațiuni necorespunzătoare de procesare a memoriei GPU pentru a obține acces la memoria deja eliberată”.
Google și Arm notează în avizele lor că ”există dovezi că această vulnerabilitate poate fi sub exploatare limitată, direcționată”, însă nu sunt disponibile detalii referitoare la aceste atacuri.
Un nou raport al cercetătorilor Qualys dezvăluie o vulnerabilitate de securitate în sistemul de operare Linux, defect care ar putea duce la escaladarea locală a privilegiilor și ar putea permite unui atacator să obțină privilegii root pe distribuții majore precum Fedora, Ubuntu și Debian.
Vulnerabilitatea, numită Looney Tunables, este identificată prin CVE-2023-4911 (scor CVSS: 7,8) și a fost descoperită în încărcătorul dinamic al bibliotecii C GNU, o componentă crucială a bibliotecii, responsabilă pentru pregătirea și rularea programelor.
Biblioteca GNU C, numită și glibc, este o bibliotecă de bază în sistemele bazate pe Linux, care oferă caracteristici cum ar fi deschidere, citire, scriere, malloc, printf, getaddrinfo, dlopen, pthread_create, crypt, login și exit.
Administratorii sunt sfătuiți să acționeze rapid și să acorde prioritate corecțiilor pentru a asigura integritatea și securitatea sistemului.
Lyca Mobile confirmă un atac cibernetic
Lyca Mobile, un operator de rețea virtuală mobilă (MVNO) care oferă servicii de telefonie mobilă în 60 de țări, inclusiv România, și are peste 16 milioane de clienți, a fost victima unui atac cibernetic ce a afectat toate piețele companiei cu excepția celor din Statele Unite, Australia, Ucraina și Tunisia.
Potrivit comunicatului emis de Lyca Mobile, atacul a afectat unele apeluri naționale și internaționale, mesajele text, precum și capacitatea clienților și comercianților de a accesa reîncărcări.
În prezent, compania investighează incidentul care i-a perturbat rețeaua și încearcă să determine amploarea completă a pagubelor, fără a confirma dacă este vorba despre un atac de tip ransomware
De asemenea, compania a notificat autoritățile de reglementare și de aplicare a legii din fiecare dintre piețele afectate.
Între timp, clienții Lyca Mobile ar trebui să fie vigilenți și să își monitorizeze conturile pentru orice activitate suspectă. De asemenea, clienții ar trebui să-și schimbe imediat parolele Lyca Mobile, să fie precauți în privința accesării de link-uri din e-mailuri sau mesaje text primite de la Lyca Mobile și să raporteze orice activitate suspectă.
Cisco lansează actualizări de software pentru o vulnerabilitate CER
La o săptămână de la remedierea unei vulnerabilități de tip zero day ce afectează dispozitivele care rulează IOS și IOS XE, Cisco lansează noi actualizări de securitate ce abordează o vulnerabilitate Cisco Emergency Responder (CER).
Identificată prin CVE-2023-20101, vulnerabilitatea de securitate permite atacatorilor neautentificați să acceseze un dispozitiv vizat folosind contul root ce avea acreditări implicite, statice, care nu au putut fi modificate sau eliminate și să execute comenzi arbitrare.
Eroarea CER a fost descoperită în timpul testelor interne de securitate, iar Cisco PSIRT nu are cunoștință de niciun anunț public sau de exploatarea activă a vulnerabilității în discuție.
Compania spune că vulnerabilitatea critică afectează doar versiunea Cisco Emergency Responder 12.5(1)SU4 și, în lipsa soluțiilor de atenuare temporară a acestei defecțiuni, administratorii sunt sfătuiți să actualizeze instalațiile vulnerabile cât mai curând posibil.
ETSI s-a confruntat cu un atac cibernetic
Institutul European de Standarde de Telecomunicații (ETSI) a dezvăluit că a observat un atac cibernetic pe portalul său, incident care ar fi permis hackerilor să acceseze și să exfiltreze o bază de date ce conține lista utilizatorilor săi online, motiv pentru care organizația a cerut utilizatorilor să-și schimbe parolele.
ETSI, o organizație independentă, non-profit, cu sediul în Franța, se concentrează pe dezvoltarea standardelor globale pentru tehnologia informației și comunicațiilor (TIC) și telecomunicații, cum ar fi GSM, TETRA, 3G, 4G, 5G și DECT și are peste 900 de organizații membre în 65 de țări.
Institutul a lansat o investigație cu ajutorul ANSSI și, de asemenea, a raportat incidentul autorității franceze pentru protecția datelor (CNIL).
Organizația a declarat că atacatorii au exploatat o vulnerabilitate de securitate care a fost remediată între timp.
BunnyLoader, cel mai nou malware-as-a-service
Experții în securitate cibernetică de la Zscaler ThreatLabz au descoperit un nou încărcător de malware-as-a-service (MaaS) lansat pe 4 septembrie 2023 și promovat pe forumurile de hacking sub numele BunnyLoader la un preț de 250 USD, cu acces pe viață.
BunnyLoader este scris în C/C++, iar printre funcționalitățile și capabilitățile sale se numără lansarea și executarea unui payload, furtul credențialelor din browser și a informațiilor din sistem, rularea comenzilor de la distanță, înregistrarea apăsărilor de taste, monitorizarea clipboard-ului victimei și înlocuirea adreselor legitime ale portofelelor criptografice cu adrese controlate de atacator.
De la momentul lansării și până la sfârșitul lunii septembrie 2023, BunnyLoader a fost în curs de dezvoltare rapidă și continuă, autorii săi actualizând multe caracteristici, remediind erori și aducând modificări panoului C2, astfel încât, pe 27 septembrie 2023 a fost lansată a 11-a versiune a malware-ului, respectiv BunnyLoader v2.0.
Mecanismul exact de acces inițial utilizat pentru a distribui BunnyLoader este în prezent neclar. Odată instalat, malware-ul stabilește persistența printr-o modificare a registrului Windows și efectuează o serie de verificări sandbox înainte de a-și activa comportamentul malițios.
Raportul Zscaler cuprinde analiza tehnică a malware-ului și indicatorii de compromitere aferenți intruziunii.
Vulnerabilitatea Zip Slip a OpenRefine permite executarea de cod malițios
Cercetătorii SonarCloud au descoperit o vulnerabilitate de securitate de mare severitate în instrumentul OpenRefine, un instrument open source de curățare și transformare a datelor bazat pe Java, unul dintre cele mai populare proiecte GitHub..
Eroarea, identificată prin CVE-2023-37476 (scor CVSS: 7,8), este o vulnerabilitate Zip Slip ce ar putea duce la execuția de cod arbitrar în versiunile 3.7.3 și anterioarele atunci când se importă un proiect malițios, special conceput, și a fost remediată în versiunea 3.7.4 lansată pe 17 iulie 2023.
”O vulnerabilitate Zip Slip este cauzată de validarea inadecvată a căii la extragerea arhivelor, ceea ce poate permite atacatorilor să suprascrie fișierele existente sau să extragă fișiere în locații neintenționate.”, explică cercetătorul Stefan Schiller de la SonarCloud.
”Impactul acestei vulnerabilități este sever, deoarece oferă atacatorilor posibilitatea de a obține acces neautorizat la sisteme, de a exfiltra date sensibile și de a executa cod malițios, de la distanță. Un atacator ar putea exploata acest defect pentru a compromite integritatea datelor, a perturba operațiunile și ar putea cauza prejudicii financiare și reputaționale.”, se arată, de asemenea, în raportul SonarCloud care cuprinde și recomandări de atenuare a amenințării.
Site-ul familiei regale din Marea Britanie a fost atacat cibernetic
Duminică, 1 octombrie 2023, la doar câteva zile după ce regele Charles al-III-lea a condamnat invadarea Ucrainei de către Rusia, Royal.uk, site-ul oficial al familiei regale a Marii Britanii a fost victima unui atac cibernetic de tip DDoS care l-a indisponibilizat pentru 90 de minute, începând cu ora locală 10:00, potrivit Daily Mail.
Responsabilitatea incidentului a fost revendicată de gruparea hacktivistă pro-rusă Killnet pe canalul său de Telegram, iar o sursă regală a declarat că nu a existat acces terț la sistemele IT.
Atacurile de tip DDoS au devenit instrumentul preferat al hacktiviștilor Killnet împotriva aliaților Ucrainei, ei revendicând în trecut responsabilitatea pentru o serie de astfel de incidente desfășurate asupra site-urilor web aparținând multor instituții cheie din Uniunea Europeană sau SUA, inclusiv Parlamentul European fiind victima unui incident similar în octombrie 2022.
Rusia a fost, de asemenea, vizată în ultimul an de hacktiviști și susținători ucraineni. În ianuarie 2023, cel mai mare furnizor de servicii de internet (ISP) din țară a declarat că a detectat 21,5 milioane de atacuri bazate pe web asupra a 600 de clienți corporativi în cursul anului 2022, dintre care majoritatea (79%) au fost atacuri DDoS.
FBI avertizează organizațiile cu privire la atacurile duble de tip ransomware
FBI a publicat o notificare prin care avertizează organizațiile din industria privată cu privire la noile tendințe în atacurile ransomware, în care victimele sunt vizate de mai multe familii de ransomware care criptează fișierele în mai puțin de două zile.
Agenția a observat aceste tendințe începând cu luna iulie 2023 și a observat, de asemenea, că atacatorii implementează două variante distincte de ransomware atunci când vizează organizațiile, ceea ce duce la o combinație de criptare a datelor, exfiltrare și pierderi financiare.
”În timpul acestor atacuri, actorii amenințărilor cibernetice au implementat două variante diferite de ransomware împotriva companiilor victime, din următoarele familii: AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum și Royal ”, notează agenția care subliniază că ”al doilea atac ransomware împotriva unui sistem deja compromis ar putea dăuna semnificativ entităților”.
De asemenea, FBI a observat că diferite atacuri de tip ransomware desfășurate în 2022 au au avut drept caracteristică utilizarea de instrumente personalizate de furt și ștergere de date și programe malware concepute pentru a presa victimele să negocieze cu atacatorii.
FBI sfătuiește organizațiile să aplice măsurile de atenuare incluse în notificarea publicată miercuri, 27 septembrie 2023 și să raporteze toate activitățile neobișnuite sau infracționale observate în rețelele lor.
Atacatorii Lazarus introduc un nou backdoor și atacă o companie aerospațială spaniolă
Cercetătorii ESET au identificat, în cadrul campaniei malițioase ”Operation DreamJob” orchestrată de atacatorii Lazarus și aflată încă în desfășurare, un atac cibernetic împotriva unei companii aerospațiale din Spania în care gruparea a folosit un backdoor nedocumentat anterior.
Atacul a început cu un mesaj pe LinkedIn în care atacatorul pretindea că este un recrutor Meta (Facebook) pe nume Steve Dawson și a provocat victima să-și demonstreze competențele de codare necesare, ca parte a procesului de angajare, trimițând executabile malițioase pe care victima le-a descărcat și le-a rulat pe dispozitiv.
Cercetătorii ESET au investigat incidentul și au constatat că atacatorii Lazarus au livrat mai multe payload-uri, cel mai notabil fiind backdoor-ul nedocumentat anterior pe care l-au numit LightlessCan, un succesor al troianului BlindingCan utilizat în trecut de gruparea de criminalitate cibernetică, dar care are o structură de cod mai sofisticată, indexare diferită și funcționalitate îmbunătățită.
Malware-ul reproduce multe comenzi Windows native, cum ar fi ping, ipconfig, netstant, mkdir, schstasks, systeminfo etc., astfel încât să le poată executa fără a apărea în consola sistemului, pentru o mai bună ascundere față de instrumentele de monitorizare în timp real.
Un alt aspect interesant raportat de ESET este că unul dintre payload-urile LightlessCan pe care le-au eșantionat a fost criptat și a putut fi decriptat doar folosind o cheie dependentă de mediul țintă.
ESET subliniază că, în lumina noilor descoperiri, ”Operation Dreamjob” nu este condusă doar de obiective financiare, cum ar fi furtul de criptomonede, ci include și obiective de spionaj, iar introducerea noului backdoor sofisticat este o dezvoltare îngrijorătoare pentru organizațiile ce s-ar putea afla în vizorul grupării de amenințare nord-coreeană.
