Știrile săptămânii din cybersecurity (25.01.2024)
Google remediază o nouă vulnerabilitate de tip zero day în Chrome
Google a lansat marți, 16 ianuarie 2023, actualizări de securitate pentru a remedia patru vulnerabilități în browserul său Chrome, inclusiv o vulnerabilitate de tip zero day exploatată activ.
Vulnerabilitatea de tip zero day este identificată prin CVE-2024-0519, afectează motorul V8 JavaScript și WebAssembly, și a fost raportată anonim pe 11 ianuarie 2024. Utilizatorilor li se recomandă să facă upgrade la versiunea Chrome 120.0.6099.224/225 pentru Windows, 120.0.6099.234 pentru macOS și 120.0.6099.224 pentru Linux pentru a atenua potențialele amenințări.
Utilizatorii browserelor bazate pe Chromium, cum ar fi Microsoft Edge, Brave, Opera și Vivaldi sunt, de asemenea, sfătuiți să aplice remedierile pe măsură ce acestea devin disponibile.
Citrix, VMware și Atlassian dezvăluie vulnerabilități critice de securitate
Citrix avertizează asupra a două vulnerabilități de securitate de tip zero day în NetScaler ADC (fostul Citrix ADC) și NetScaler Gateway (fostul Citrix Gateway) care sunt exploatate activ și sunt identificate prin CVE2023-6548 (scor CVSS: 5,5) și CVE-2023-6549 (scor CVSS: 8,2).
Utilizatorilor NetScaler ADC și NetScaler Gateway versiunea 12.1 li se recomandă actualizarea dispozitivelor la o versiune acceptată care abordează vulnerabilitățile.
Dezvăluirea vine în timp ce VMware a alertat clienții cu privire la o vulnerabilitate critică de securitate în Aria Automation (anterior vRealize Automation), CVE-2023-34063 (scor CVSS: 9,9), care ar putea permite unui atacator autentificat să obțină acces neautorizat la organizații și fluxuri de lucru de la distanță.
De asemenea, Atlassian a lansat actualizări de securitate pentru a aborda peste 24 de vulnerabilități, inclusiv o vulnerabilitate critică de execuție de cod la distanță (RCE) care afectează Confluence Data Center și Confluence Server.
Vulnerabilitatea, identificată prin CVE-2023-22527 (scor CVSS: 10), afectează versiunile 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x și 8.5.0-8.5.3 și a fost remediată în versiunile 8.5.4, 8.5.5 (Confluence Data Center și Server), 8.6.0, 8.7.1 și 8.7.2 (numai Data Center).
CISA impune agențiilor federale să corecteze mai multe vulnerabilități
Miercuri, 17 ianuarie 2023, CISA a ordonat agențiilor federale să-și securizeze sistemele împotriva a trei vulnerabilități de tip zero day care afectează Citrix NetScaler și Google Chrome și sunt exploatate activ în atacuri.
Citrix a îndemnat clienții să corecteze dispozitivele Netscaler ADC și Gateway expuse la internet împotriva vulnerabilităților identificate prin CVE-2023-6548 și CVE-2023-6549.
Conform platformei de monitorizare a amenințărilor Shadowserver, peste 51.000 de dispozitive Netscaler sunt expuse online în acest moment, 1.500 având interfețele de management accesibile prin internet.
CISA a adăugat, de asemenea, vulnerabilitatea CVE-2024-0519, ce rezidă în motorul JavaScript Chromium V8, la catalogul său KEV, aceasta fiind prima vulnerabilitate Chrome de tip zero day remediată de Google în anul 2024.
Dinre cele trei vulnerabilități de tip zero day, CISA dorește ca vulnerabilitatea CVE-2023-6548 care afectează interfețele de management NetScaler ADC și Gateway să fie corectată în decurs de o săptămână până miercuri, 24 ianuarie 2024.
Celelalte două, CVE-2023-6549, care afectează NetScaler, și eroarea CVE-2024-0519 a Google Chrome, trebuie atenuate în termen de trei săptămâni, până pe 7 februarie.
Orașul Calvia, victima unui atac ransomware
Consiliul municipal Calvia din Mallorca, un oraș istoric cu o populație de 50.000 de locuitori, a declarat că a fost vizat de un atac ransomware care a afectat serviciile municipale și a forțat consiliul să formeze un comitet de criză pentru evaluarea daunelor provocate și formularea planurilor de atenuare a impactului.
Primarul Juan Antonio Amengual a declarat că o echipă de specialiști IT efectuează în prezent analize pentru a estima amploarea accesului neautorizat și a recupera sistemele și serviciile afectate.
Întreruperile IT au determinat Primăria să suspende orice termen administrativ de depunere a cererilor sau a altor documente până la 31 ianuarie 2024.
Deocamdată, nicio grupare de criminalitate cibernetică nu a revendicat atacul, iar municipalitatea nu a oferit detalii privind rascumpărarea sau atacatorii, însă o instituție de presă locală a aflat că răscumpărarea stabilită de 10.000.000 de euro, aproximativ 11 milioane de dolari.
Primarul a declarat presei locale că municipalitatea nu va plăti răscumpărarea.
Hackerii iranieni vizează cercetătorii cu noul malware MediaPl
Microsoft avertizează că o grupare de hackeri susținută de Iran vizează angajați de profil înalt ai organizațiilor de cercetare și ai universităților din Europa și Statele Unite în atacuri de tip spear-phishing care implementează noi programe malware de tip backdoor, printre care și un backdoor personalizat numit MediaPI.
Atacatorii, o subgrupare a hackerilor iranieni APT35, specializați în spionaj cibernetic, au trimis e-mailuri de phishing personalizate și greu de detectat prin conturi compromise anterior.
Programul malware MediaPl folosește canale de comunicare criptate pentru a face schimb de informații cu serverul său de comandă și control (C2) și este proiectat să se deghizeze în Windows Media Player pentru a evita detectarea.
Gruparea iraniană de hacking a folosit, de asemenea, malware-ul NokNok, nemaivăzut până acum, în atacurile împotriva sistemelor macOS, un alt backdoor conceput pentru a colecta, cripta și exfiltra date din sistemele MacOS compromise.
Hackerii susținuți de Rusia implementează programe malware nedocumentate anterior
Cercetătorii de securitate de la Google Threat Analysis Group (TAG) au depistat o campanie a grupării de hacking ColdRiver, susținută de Rusia, în cadrul căreia sunt implementate programe malware necunoscute anterior prin utilizarea de payload-uri deghizate în instrumente de decriptare PDF.
Atacatorii trimit, prin e-mailuri de phishing, documente PDF care par a fi criptate și solicită feedback de la țintă.
Când destinatarii răspund că nu pot citi documentele ”criptate”, li se trimite un link pentru a descărca ceea ce arată ca un executabil de decriptare PDF (numit Proton-decrypter.exe) pentru a vedea conținutul documentelor.
Acest software fals de decriptare instalează pe dispozitivele victimelor o tulpină malware numită Spica, cercetătorii reușind să captureze o mostră în timp ce investigau campania, însă nu este clar dacă există mai multe mostre Spica, fiecare potrivită cu un document momeală diferit.
Spica este un malware bazat pe Rust care are capabilități privind rularea comenzilor shell arbitrare, furtul cookie-urilor Chrome, Firefox, Opera și Edge, încărcarea și descărcarea fișierelor și exfiltrarea documentelor.
Odată implementat, Spica va stabili, de asemenea, persistența utilizând o comandă PowerShell care va crea o sarcină programată ”CalendarChecker” pe dispozitivele compromise.
Vulnerabilitățile PixieFail UEFI expun milioane de computere la RCE, DoS și furt de date
Nouă vulnerabilități de securitate au fost dezvăluite în stiva de protocoale de rețea TCP/IP a unei implementări de referință open-source a specificației Unified Extensible Firmware Interface (UEFI) utilizată pe scară largă în computerele moderne.
Cele nouă vulnerabilități au fost denumite colectiv PixieFail, rezidă în TianoCore EFI Development Kit II (EDK II) și ar putea fi exploatate pentru execuția de cod de la distanță, atacuri de tip DoS sau scurgerea de informații sensibile.
Vulnerabilitățile au fost descrise pe larg de către cercetătorii Quarkslab într-un articol publicat pe blogul companiei.
Un atac cibernetic asupra Universității de Stat din Kansas perturbă rețeaua și serviciile IT
Într-un recent incident de securitate cibernetică, sistemele informatice ale Universității de Stat din Kansas au fost parțial perturbate, fiind afectate mai multe servicii cheie, inclusiv VPN, e-mailurile K-State Today și serviciile video de pe platforme precum Canvas și Mediasite.
Organizația este o universitate publică de cercetare ce oferă 65 de programe de masterat și 45 de doctorat și care are, în prezent, 20.000 de studenți și peste 1.400 de cadre academice angajate.
Marți dimineață, pe data de 16 ianuarie 2024, universitatea a anunțat pe portalul său media că se confruntă cu o întrerupere a unor sisteme IT, iar până după-amiază a confirmat că un atac cibernetic a provocat-o.
Universitatea a declarat că ”dedică resurse importante pentru a restabili, rapid și în siguranță, sistemele implicate” și că a angajat experți criminaliști terți pentru ajutor în cadrul investigației aflată în curs.
Deocamdată nu a fost menționat dacă informațiile personale ale studenților sau ale angajaților au fost afectate de incident. Acesta este al doilea atac cibernetic desfășurat asupra unui institut de învățământ major în 2024.
La începutul lunii ianuarie, un atac ransomware asupra Universității Memorial din Newfoundland a forțat organizația să amâne data de începere a semestrului.
