Știrile săptămânii din cybersecurity (18.01.2024)
Au fost descoperite noi vulnerabilități în QNAP și Kyocera Device Manager
O vulnerabilitate de securitate, identificată prin CVE-2023-50916, a fost dezvăluită în produsul Kyocera Device Manager și a fost descrisă ca o problemă path traversal care permite unui atacator să intercepteze și să modifice o cale locală care indică locația de rezervă a bazei de date către o cale a convenției universale de denumire (UNC).
”Această vulnerabilitate permite atacatorilor să forțeze încercările de autentificare către propriile resurse, cum ar fi o partajare SMB malițioasă, să captureze sau să transmită acreditări hashed din Active Directory dacă politica de securitate ”Restrict NTLM: Outgoing NTLM traffic to remote servers” nu este activată”, se arată într-un raport Trustwave.
Vulnerabilitatea a fost remediată în Kyocera Device Manager versiunea 3.1.1213.0.
De asemenea, QNAP a lansat remedieri pentru mai multe vulnerabilități de securitate, inclusiv anumite erori de mare severitate care afectează QTS și QTS hero, QuMagie, Netatalk și Video Station.
Între acestea este cuprinsă și vulnerabilitatea identificată prin CVE-2023-39296 care, dacă este exploatată, ar putea permite înlocuirea de la distanță a atributelor existente cu unele ce au un tip incompatibil, ceea ce poate cauza blocarea sistemului.
Vulnerabilitatea a fost remediată în versiunile QTS 5.1.3.2578 build 20231110 și QuTS hero h5.1.3.2578 build 20231110.
CISA avertizează cu privire la a patra vulnerabilitate exploatată în atacurile spyware Triangulation
În baza dovezilor de exploatare activă, CISA a adăugat în catalogul său KEV șase vulnerabilități de securitate care afectează produsele Apple, Adobe, Apache, D-Link și Joomla și a impus agențiilor federale remedierea acestora până la data de 29 ianuarie 2024.
Cele șase vulnerabilități sunt identificate prin CVE-2023-27524 (scor CVSS: 8,9) în Apache Superset, CVE2023-23752 (scor CVSS: 5,3) în Joomla!, CVE-2023-41990 (scor CVSS: 7,8) ce afectează Apple iPhone care rulează iOS 16.2 și versiuni mai vechi, CVE-2023-38203 (scor CVSS: 9,8) și CVE-2023-29300 (scor CVSS: 9,8), ambele în Adobe ColdFusion și CVE-2016-20017 (scor CVSS: 9,8) exploatată în dispozitivele D-Link DSL2750B.
Unele dintre aceste vulnerabilități au fost exploatate în atacuri dezvăluite abia recent, cum este cazul vulnerabilității CVE-2023-41990 care a fost folosită în campania ”Operation Triangulation” activă din 2019 și descoperit abia în iunie 2023.
Aceasta este ultima din setul de patru vulnerabilități pe care un atacator le-a exploatat pentru a ocoli măsurile de securitate din iPhone-urile aparținând mai multor ținte din întreaga lume, inclusiv Europa.
Cercetătorii în domeniul securității cibernetice au dezvăluit o vulnerabilitate remediată în browser-ul web Opera pentru Microsoft Windows și Apple macOS, care ar putea fi exploatată pentru a executa orice fișier de pe sistemul de operare de bază.
Vulnerabilitatea a primit numele de cod MyFlaw de către echipa de cercetare Guardio Labs datorită faptului că profită de o funcție numită My Flow care face posibilă sincronizarea mesajelor și fișierelor între dispozitivele mobile și desktop.
My Flow este preinstalat în browser și facilitat de o extensie de browser încorporată, numită ”Opera Touch Background”, care este responsabilă pentru comunicarea cu omologul său mobil.
Problema afectează atât browserul Opera, cât și Opera GX și, în urma dezvăluirii responsabile din 17 noiembrie 2023, aceasta a fost abordată ca parte a actualizărilor livrate pe 22 noiembrie 2023.
”Am dori să mulțumim laboratoarelor Guardio pentru munca depusă în descoperirea și alertarea imediată asupra acestei vulnerabilități. Această colaborare demonstrează modul în care lucrăm împreună cu experți și cercetători în securitate din întreaga lume pentru a ne completa eforturile de menținere și îmbunătățire a securității produselor noastre și pentru a ne asigura că utilizatorii noștri au o experiență online sigură.”, a spus compania.
Defecte de mare severitate descoperite în dispozitivele Bosch
Au fost dezvăluite mai multe vulnerabilități de securitate în termostatele Bosch BCC100 și în dispozitivele Rexroth NXA015S-36V-B care, dacă sunt exploatate cu succes, ar putea permite atacatorilor să execute cod arbitrar pe sistemele afectate.
Compania Bitdefender a descoperit, în august 2023, vulnerabilitatea de mare severitate a termostatelor Bosch BCC100, CVE-2023-49722 (scor CVSS: 8,3), remediată de Bosch în noiembrie.
”Un port de rețea 8899 este întotdeauna deschis în produsele cu termostat BCC101/BCC102/BCC50, ceea ce permite o conexiune neautentificată de la o rețea WiFi locală”, se arată în avizul Bosch.
Compania a remediat vulnerabilitatea în versiunea de firmware 4.13.33 prin închiderea portului 8899, despre care a spus că a fost folosit în scopuri de depanare.
De asemenea, anumite dispozitive Rexroth Nexo sunt afectate de peste două duzini de vulnerabilități pe care un atacator le-ar putea exploata pentru a întrerupe operațiunile, a modifica anumite configurații și chiar pentru a instala ransomware.
Actualizări de securitate pentru aceste vulnerabilități sunt de așteptat să fie livrate de Bosch până la sfârșitul lunii ianuarie 2024, între timp utilizatorilor li se recomandă să limiteze cât mai mult posibil accesibilitatea în rețea a dispozitivului și examinarea conturilor care au acces de conectare la dispozitiv.
Două vulnerabilități Ivanti sunt exploatate în masă
Volexity a observat că două vulnerabilități de tip zero-day care afectează dispozitivele Ivanti Connect Secure VPN și Policy Secure al NAC sunt exploatate în masă în atacuri desfășurate începând cu 11 ianuarie 2024.
Cele două vulnerabilități sunt identificate prin indicatorii CVE-2023-46805 și CVE-2024-21887, au fost exploatate prima dată în decembrie 2023, iar victimele sunt distribuite la nivel global și variază ca mărime, de la întreprinderi mici la cele mai mari organizații din lume.
Lista victimelor descoperite de Volexity până acum include departamente guvernamentale și militare din întreaga lume, companii naționale de telecomunicații, contractori din industria de apărare, companii de tehnologie, organizații bancare, financiare și de contabilitate și firme aerospațiale, aviatice și de inginerie.
Ivanti nu a lansat încă actualizări de securitate care să abordeze aceste două vulnerabilități de tip zero day exploatate activ, așa încât administratorii sunt sfătuiți să aplice măsuri de atenuare furnizate de furnizor pentru toate VPN-urile ICS din rețeaua lor.
Vulnerabilitate critică Microsoft SharePoint exploatată activ
CISA avertizează cu privire la exploatarea unei vulnerabilități critice de escaladare a privilegiilor Microsoft SharePoint, identificată prin CVE-2023-29357, care poate permite unui atacator aflat la distanță să obțină privilegii de administrator pe servere vulnerabile.
”Un atacator care a obținut acces la jetoane de autentificare JWT falsificate le poate folosi pentru a executa un atac de rețea care ocolește autentificarea și permite obținerea de acces la privilegiile unui utilizator autentificat. Un atacator care a exploatat cu succes această vulnerabilitate ar putea obține privilegii de administrator. Atacatorul nu are nevoie de privilegii și nici utilizatorul nu trebuie să efectueze vreo acțiune.”, explică Microsoft.
Deși încă nu a furnizat detalii suplimentare despre exploatarea activă a CVE-2023-29357, CISA a adăugat vulnerabilitatea la Catalogul său de vulnerabilități exploatate cunoscute (KEV) și solicită agențiilor federale să o remedieze până la sfârșitul lunii, pe 31 ianuarie.
Hackerii exploatează un defect Windows pentru a implementa Phhemedrone Stealer
Cercetătorii Trend Micro au observat exploatarea activă a vulnerabilității CVE-2023-36025 în cadrul unei campanii malițioase care urmărește infectarea utilizatorilor cu o tulpină necunoscută a malware-ului Phhemedrone Stealer.
Vizează browserele web, datele din portofelele de criptomonede și din aplicațiile de mesagerie, cum ar fi Telegram, Steam și Discord, face capturi de ecran și culege informații privind hardware-ul, locația și detaliile sistemului de operare, iar datele furate sunt apoi trimise atacatorilor prin Telegram sau în serverul lor de comandă și control (C&C).
CVE-2023-36025 (scor CVSS: 8,8) afectează Microsoft Windows Defender SmartScreen și a fost remediată de către Microsoft pe 14 noiembrie 2023, ca parte a actualizărilor sale de securitate Patch Tuesday.
Cu toate acestea, din cauza dovezilor de exploatare activă, CISA a adăugat și această vulnerabilitate la catalogul său KEV, iar un exploit proof-of-concept există pe web, crescând riscul pentru organizațiile care nu au actualizat la cea mai recentă versiune corectată.
Cercetătorii Trend Micro au publicat o analiză tehnică detaliată și indicatorii de compromitere aferenți malware-ului Phhemedrone Stealer.
Peste 178.000 de firewall-uri SonicWall vulnerabile la atacuri de tip DoS
Cercetătorii în domeniul securității au descoperit că peste 178.000 de firewall-uri SonicWall de ultimă generație (NGFW) cu interfața de management expusă online sunt vulnerabile la atacuri de tip denial-ofservice (DoS) și la potențiale atacuri de execuție de cod la distanță (RCE).
Dispozitivele sunt afectate de două vulnerabilități de securitate identificate prin CVE-2022-22274 și CVE2023-0656, prima dintre acestea putând duce la executarea codului de la distanță.
Potrivit datelor de la platforma de monitorizare a amenințărilor Shadowserver, peste 500.000 de firewall-uri SonicWall sunt expuse în prezent online, peste 328.000 aflându-se în Statele Unite.
Lista de clienți SonicWall include peste 500.000 de companii din peste 215 țări și teritorii, inclusiv agenții guvernamentale și unele dintre cele mai mari companii din lume.
Administratorii sunt sfătuiți să se asigure că interfața de gestionare a dispozitivelor SonicWall NGFW nu este expusă online și să facă upgrade la cele mai recente versiuni de firmware cât mai curând posibil.
GitLab avertizează asupra unei vulnerabilități critice de deturnare a contului
GitLab a lansat actualizări de securitate atât pentru Community Edition, cât și pentru Enterprise Edition pentru a aborda două vulnerabilități critice, una dintre ele permițând deturnarea contului fără interacțiunea utilizatorului.
Cea mai critică dintre cele două vulnerabilități de securitate corectate de GitLab are scorul maxim de severitate, 10 din 10, și este identificată prin CVE-2023-7028.
Exploatarea cu succes a acestei vulnerabilități nu necesită nicio interacțiune cu utilizatorul și duce la deturnarea contului, fapt ce poate avea un impact semnificativ asupra unei organizații deoarece platforma este folosită, de obicei, pentru a găzdui chei API, coduri și alte date sensibile.
Cea de-a doua vulnerabilitate este identificată prin CVE-2023-5356, are un scor CVSS de 9,8 din 10 și ar putea fi exploatată de un atacator pentru a abuza de integrările Slack/Mattermost și a executa comenzi slash ca alt utilizator.
Compania britanică Lush, victimă a unui atac cibernetic
Compania britanică de produse cosmetice Lush, care operează în 49 de țări și deține unități de producție în Europa, Japonia și Australia, a declarat, printr-un purtător de cuvânt, că ”răspunde în prezent la un incident de securitate cibernetică”, fără a fi divulgată natura incidentului.
Potrivit unei declarații, Lush colaborează cu specialiști terți pentru a desfășura o investigație cuprinzătoare și au fost luate măsuri imediate pentru securizarea și verificarea tuturor sistemelor.
”Nu a fost confirmat cu ce tip de atac se confruntă Lush, dar pare a fi un ransomware”, a declarat William Wright, CEO al Closed Door Security.
„Ar trebui publicate mai multe detalii în jurul atacului, dar cea mai îngrijorătoare problemă a incidentului este tipul de date la care ar putea avea acces infractorii.
Fie că este vorba de date despre companie sau de informații sensibile ale clienților, având în vedere popularitatea Lush, va fi, fără îndoială, o mină de aur pentru criminali”, a avertizat Wright.
În timp ce investigația se desfășoară, clienții Lush pot lua măsuri proactive precum schimbarea parolelor, abordarea cu prudență a e-mailurilor care pretind a fi de la compania Lush și monitorizarea activității de acces la informațiile financiare.
