A fost publicată lista furnizorilor de servicii de formare pentru securitate cibernetică
Accesați pagina

Știrile săptămânii din cybersecurity (18.05.2023)

2023/05/18
Popularitate 1000

Consiliului Operativ de Securitate Cibernetică a luat în discuție riscurile de securitate cibernetică asociate instalării și utilizării aplicației TikTok pe dispozitivele de serviciu din cadrul autorităților și instituțiilor publice

În cadrul ședinței Consiliului Operativ de Securitate Cibernetică (COSC) de ieri, 17 mai 2023, în calitate de organ consultativ aflat în coordonarea strategică a CSAT, ministrul Cercetării, Inovării și Digitalizării, Sebastian Burduja, a prezentat un raport tehnic privind riscurile de securitate cibernetică asociate instalării și utilizării aplicației TikTok, din care au rezultat următoarele elemente:

  • conform Termenilor de utilizare, se permite aplicației colectarea de informații de advertising direct de pe site-urile proprii prin integrarea unor utilitare de tip TikTok Advertising, precum TikTok Pixel;
  • aplicația poate colecta un număr mare de informații despre dispozitivul utilizatorului, printre care: SSID Wifi, numărul de model al telefonului, seria cartelei SIM, IMEI, citire SMS, Adresa MAC a dispozitivului, număr de telefon, date GPS,  detalii despre alte conturi conectate la dispozitiv, acces complet la Clipboard (ceea ce poate genera riscuri de securitate cibernetică deoarece o mare parte dintre dintre aplicațiile Password Manager exploatează clipboard);
  • aplicația urmărește utilizatorii, chiar dacă aceștia au activată opțiunea  Do Not Track;
  • aplicația colectează automat date precum modelul dispozitivului, sistemul de operare, modele și ritmuri de apăsare a tastelor, IP, locație, conținut urmărit, istoric căutări, caracteristici ale conținutului postal, profiling de gen, vârstă etc;
  • aplicația își rezervă dreptul de a partaja date cu autorități publice;
  • aplicația colectează informații despre celelalte servicii și aplicații ce sunt instalate pe dispozitiv;
  • poate efectua depanare de la distanță asupra aplicației, inclusiv executarea de noi procese;
  • execută comenzi în Webview (poate duce la încărcarea de fișiere malware pe dispozitivul care găzduiește aplicația);
  • aplicația are un browser propriu încorporat cu funcții Javascript iar orice date introduse pot fi monitorizate. 

Raportul tehnic prezentat de ministrul cercetării, inovării și digitalizării a fost elaborat de Centrul Național Cyberint al Serviciului Român de Informații, pe baza datelor și informațiilor rezultate din testarea aplicației Tiktok.

COSC a recomandat Directoratului Național de Securitate Cibernetică să emită o recomandare către autoritățile și instituțiile publice centrale și locale pentru dezinstalarea și interzicerea pe dispozitivele de serviciu a aplicației TikTok.

DNSC, Cyberint, ANSSI și companii importante din sectorul privat IT&C au lansat înscrierile la Campionatul Național de Securitate Cibernetică (RoCSC23)

Anul acesta va avea loc cea de-a patra ediție a Campionatului Național de Securitate Cibernetică - RoCSC23, organizat de Directoratul Național de Securitate Cibernetică (DNSC), Serviciul Român de Informații (prin intermediul Cyberint) și Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI), sprijinit de parteneri din mediul privat precum Orange, Bit Sentinel, certSIGN, Cisco, UIPath, PaloAlto Networks, KPMG și Clico, dar și partenerul media tradițional, AGERPRES.

Încă din anul 2015, această inițiativă public-privată a susținut tinerele talente în domeniu și a organizat activități de selecție, training și participare a echipei naționale a României la Campionatul European de Securitate Cibernetică.

Procesul de înscriere pentru ROCSC23 este deja activ, astfel că vă puteți înregistra la concurs pe rocsc.ro până la data de 27 mai 2023.

Prima etapă a competiției naționale este una de calificare și va avea loc online, în intervalul 26.05 ora 16:00 - 27.05 ora 24:00 (32 ore). La concurs pot participa pasionați de domeniul securității cibernetice din trei categorii: Juniori (16-20 de ani), Seniori (21-25 de ani) și Open (disponibil indiferent de vârstă).

Mustang Panda exploatează routerele TP-Link

În ianuarie 2023, gruparea de criminalitate cibernetică Mustang Panda a lansat o campanie ce vizează în special entități europene, iar o analiză Check Point a dezvăluit că în noua campanie este utilizat un malware conceput pentru routerele TP-Link.

Malware-ul permite atacatorilor acces deplin la dispozitiv, încărcarea și descărcarea fișierelor și utilizarea dispozitivului ca proxy SOCKS pentru transmiterea comunicațiilor între dispozitive.

Deși nu a fost determinat modul prin care atacatorii infectează routerele TP-Link, cercetătorii Check Point sunt de părere că ar putea fi prin exploatarea unei vulnerabilități sau printr-un atac de bruteforce.

Implantul are mai multe componente malițioase, inclusiv un backdoor personalizat numit ”Horse Shell”, care le permite atacatorilor să mențină accesul persistent, să construiască infrastructură anonimă și să permită mișcarea laterală în rețelele compromise”, conform raportului Check Point.

Utilizatorii sunt sfătuiți să aplice cea mai recentă actualizare de firmware pentru modelul lor de router.

Aplicație de control parental cu 5 milioane de instalări, vulnerabilă la atacuri

Cercetătorii de la SEC Consult au descoperit cinci vulnerabilități în versiunile 3.8.49 și anterioarele pentru aplicația Kiddoware Kids Place Parental Control pentru Android. Vulnerabilitățile permit atacatorilor să încarce fișiere arbitrare pe dispozitivele copiilor, să fure acreditările utilizatorilor și să permită copiilor să ocolească restricțiile fără a fi observați de părinți.

Aplicația include capabilități de monitorizare și localizare geografică, acces la internet și restricții de cumpărare, gestionare a timpului de utilizare, blocarea conținutului dăunător, acces la dispozitive de la distanță și are aproximativ 5 milioane de descărcări din Play Store.

Dezvoltatorul aplicației a remediat toate problemele în versiunea 3.8.50.

Atacatorii vizează vulnerabilitatea pluginului WordPress după lansarea exploit-ului PoC

O vulnerabilitate de securitate recent remediată în plugin-ul WordPress Advanced Custom Fields, CVE-2023-30777, este exploatată activ în urma publicării unui exploit proof-of-concept (PoC). Suprafața de atac include peste 1.4 milioane de site-uri web neactualizate, care utilizează pluginul WordPress

Vulnerabilitatea permite unui atacator neautentificat să obțină informații sensibile și să escaladeze privilegiile pe site-urile WordPress afectate. Aceasta a fost descoperită pe 2 mai 2023 de compania Patchstack și dezvăluită public, împreună cu un exploit PoC, pe 5 mai 2023, la o zi după ce furnizorul de plugin a lansat o actualizare de securitate pentru remedierea acesteia.

Conform raportărilor Akamai Security Intelligence Group, începând cu 6 mai 2023, a fost observată o activitate semnificativă de scanare și exploatare a vulnerabilității, atacatorii folosind exemplul de cod furnizat în documentul Patchstack.

Administratorilor site-urilor WordPress care folosesc pluginuri vulnerabile sunt îndemnați să aplice imediat actualizările de securitate necesare pentru a se proteja de activitatea continuă de scanare și exploatare.

CISA atrage atenția asupra mai multor vulnerabilități vechi Linux

CISA a adăugat în catalogul Known Exploited Vulnerabilities șapte vulnerabilități specifice Linux. CISA a avertizat că acestea sunt exploatate activ, îndemnând cu fermitate toate organizațiile să își reducă expunerea la atacurile cibernetice prin prioritizarea remedierii vulnerabilităților din catalog în timp util.

Setul de vulnerabilități include CVE-2023-25717, vulnerabilitate care afectează Ruckus AP și care a fost exploatată de rețeaua botnet Andoryu. Celelalte vulnerabilități adăugate catalogului sunt identificate prin CVE-2021-3560, CVE-2014-0196, CVE-2010-3904, CVE-2015-5317, CVE-2016-3427, respectiv CVE-2016-8735 și afectează Red Hat Polkit, Linux Kernel, Oracle Java SE, JRockit sau Apache Tomcat.

Google remediază 12 vulnerabilități de securitate în Chrome 113

Google a lansat o actualizare pentru browserul Chrome, prin care abordează 12 vulnerabilități diferite în versiunile 113.0.5672.126 pentru macOS și Linux și 113.0.5672.126/.127 pentru Windows.

Șase din cele 12 vulnerabilități de securitate sunt enumerate pe pagina companiei, iar celelalte au fost descoperite intern și nu sunt dezvăluite. Una dintre vulnerabilitățile raportate extern are un grad critic de severitate, este identificată prin CVE-2023-2721 și afectează modulul Navigation.

Cele mai recente actualizări Chrome au abordat vulnerabilități care afectează componentele Autofill UI, DevTools, Guest View ale browserului, precum și motorul JavaScript V8 sau WebApp Installs.

Google nu a menționat dacă există exploatări active ale vulnerabilităților, însă ele pot duce la executarea unui cod arbitrar, la coruperea datelor sau la blocări. Utilizatorilor le este recomandată actualizarea browserului la cea mai recentă versiune.

Au fost expuse datele a 237,000 de angajați ai Guvernului SUA

Departamentul de Transport al SUA (USDoT) a transmis că informațiile personale 237,000 de foști și actuali angajați au fost expuse.

În urma investigației inițiale, USDoT a indicat că breșa de date nu a afectat niciun sistem de siguranță a transporturilor. De asemenea, USDoT a transmis că breșa a fost izolată la nivelul unor sisteme folosite pentru funcții administrative, dar nu menționat actorul responsabil pentru acest hack sau dacă informațiile au fost folosite în scopuri criminale.

Datele a 5.8 milioane de persoane au fost compromise într-un incident cibernetic la PharMerica

PharMerica, o rețea de farmacii din SUA, a trimis scrisori de notificare către aproximativ 5.8 milioane de persoane pentru a dezvălui un incident cibernetic din martie 2023, ce a implicat compromiterea informațiilor personale ale tuturor destinatarilor.

Scrisoarea nu oferă detalii despre tipul de atac cibernetic, dar se pare că acesta a fost orchestrat de gruparea de ransomware Money Message. Datele compromise includ nume, adrese, date de naștere, numere de securitate socială, asigurări de sănătate și informații despre medicamente.

Noua platformă PaaS Greatness permite generarea de pagini de phishing convingătoare

Cercetătorii de la Cisco Talos au descoperit o nouă platformă de phishing-as-a-service (PaaS), numită Greatness, care a fost folosită în mai multe campanii de phishing lansate începând jumătatea anului 2022, cel puțin.

Deocamdată, Greatness se concentrează doar pe paginile de phishing Microsoft 365, oferind afiliaților săi un generator de atașamente și linkuri și creează momeli și pagini de autentificare extrem de convingătoare. Conține caracteristici cum ar fi completarea prealabilă a adresei de e-mail a victimei și afișarea logo-ului organizației și a imaginii de fundal corespunzătoare, extrase din pagina de conectare Microsoft 365 reală a organizației țintă”, raportului Cisco Talos.

Operatorii CopperStealer revin cu noi module Rootkit și Phishing Kit

Dezvoltatorii malware-ului CopperStealer, urmăriți de Trend Micro sub denumirea Water Orthrus, au reapărut cu două noi campanii în martie și aprilie 2023, actualizând și modificând programul malware pentru obținerea de informații personale și pentru furtul de criptomonede.

Water Orthrus este o grupare infracțională activă cel puțin din 2021, iar în campaniile observate anul acesta livrează două tulpini malware, numite de cercetători CopperStealth și CopperPhish, care au caracteristici similare cu cele ale malware-ului CopperStealer, motiv pentru care cercetătorii au atribuit campaniile acestor atacatori.

CopperStealth folosește un rootkit pentru a instala malware pe sistemele infectate, în timp ce CopperPhish fură informații despre cardul de credit.

Cercetătorii au publicat și o listă cu indicatorii de compromitere.

Atacatorii folosesc varianta Golang a Cobalt Strike pentru a viza sistemele Apple macOS

În ultimele luni, cercetătorii SentinelOne au observat pe VirusTotal o creștere a numărului de payload-uri Geacon, o variantă Golang a Cobalt Strike, adaptată pentru macOS și disponibilă pe GitHub din februarie 2020.

Potrivit cercetătorilor SentinelOne, în timp ce unele „sunt probabil operațiuni specifice Red Team, altele poartă caracteristicile unor acțiuni malițioase autentice”. Raportul SentinelOne evidențiază două mostre Geacon recente, descrie mecanismele de livrare și principalele caracteristici ale acestora și furnizează o listă cu indicatori de compromitere.

Creșterea mostrelor Geacon din ultimele luni sugerează că echipele de securitate ar trebui să acorde atenție acestui instrument și să se asigure că au măsuri de protecție”, concluzionează cercetătorii.


Vizualizat de 2072 ori