Știrile săptămânii din cybersecurity (27.04.2023)
RoCSC este Campionatul Național de Securitate Cibernetică, o competiție de tip CTF (capture the flag) desfășurată în două stagii la nivel național și, totodată, procesul oficial de selecție a echipei României - Team Romania - pentru European Cyber Security Challenge (Campionatul European de Securitate Cibernetică), ce va avea loc în acest an în luna octombrie în Norvegia (24-27.10.2023).
Participarea este GRATUITĂ, iar tinerii pasionați de domeniul securității cibernetice își vor putea demonstra, la nivel național, abilitățile în domenii precum mobile & web security, crypto, reverse engineering și forensics. Concurenții se vor întrece pe 3 categorii de concurs: Juniori (16-21 de ani), Seniori (22-25 de ani) și Open (disponibil indiferent de vârstă).
Mai mult, la categoriile eligibile pentru selecție (Juniori și Seniori) se vor acorda premii în bani (locurile 1-3), respectiv premii speciale (locurile 4-10). Data limită pentru înregistrare este 27 mai 2023, iar etapa preliminară de calificare va avea loc online și va dura 32 de ore, în perioada 26.05 (ora 16:00) - 27.05 (ora 24:00). Finala ROCSC23 se va desfășura on-site, la Bucuresti, în perioada 22-23.07.2023
O vulnerabilitate a router-ului WiFi TP-Link Archer este exploatată de Mirai botnet
Capabilitățile rețelei botnet Mirai au fost actualizate pentru a exploata o vulnerabilitate a routerului WiFi TP-Link Archer A21 (AX1800), identificată prin CVE-2023-1389 (scor CVSS v3: 8,8). Prima dată, aceasta a fost abuzată de cercetători în timpul evenimentului de hacking Pwn2Own Toronto din decembrie 2022, unde două echipe separate au compromis dispozitivul folosind căi diferite (acces la interfața LAN și WAN).
În ianuarie 2023, vulnerabilitatea a fost raportată furnizorului, iar TP-Link a lansat o remediere în aprilie 2023. Încercările de exploatare, care au devenit evidente pe 11 aprilie 2023, au fost detectate de ZDI, inițial în estul Europei, iar ulterior activitatea malițioasă a fost detectată la nivel global.
ZDI raportează că o nouă versiune a rețelei botnet malware Mirai exploatează acum această vulnerabilitate pentru a obține acces la dispozitiv și este axată pe lansarea atacurilor DDoS. Noua versiune poate imita traficul legitim de rețea, ceea ce face dificilă distincția între traficul malițios și cel legitim pentru soluțiile de mitigare a DDoS.
Semnele unui router TP-Link infectat includ supraîncâlzirea dispozitivului, deconectările de la internet, modificări inexplicabile ale setărilor de rețea ale dispozitivului și resetarea parolelor de administrator.
VMware a remediat multiple vulnerabilități ale produselor Workstation și Fusion
Actualizările VMware din 25 aprilie 2023 abordează mai multe vulnerabilități de securitate ce afectează Workstation și Fusion, erori ce au fost raportate în mod privat către producător.
Una dintre acestea, CVE-2023-20869 (scor CVSS: 9,3), rezidă în funcționalitatea de partajare a dispozitivelor Bluetooth gazdă cu mașina virtuală, iar un atacator local cu privilegii de administrator pe o mașină virtuală o poate exploata pentru a executa cod pe mașina gazdă.
O altă vulnerabilitate, identificată prin CVE-2023-20870 (scor CVSS: 7,1) afectează aceeași caracteristică și ar putea fi exploatată de un atacator local cu privilegii de administrator pentru a citi informațiile sensibile din mașina virtuală.
De asemenea, VMware a remediat două vulnerabilități ce afectează produsul Fusion, CVE-2023-20871 (scor CVSS: 7,3) și CVE-2023-20872 (scor CVSS:7,7), prima dintre acestea permițând obținerea de acces root unui atacator cu acces de citire/scriere la sistemul de operare, în vreme ce exploatarea celei de-a doua ar putea duce la execuția arbitrară de cod.
Vulnerabilitățile au fost remediate în versiunea 17.0.2 de Workstation, respectiv 13.0.2 de Fusion. Ca o soluție temporară pentru CVE-2023-20869 și CVE-2023-20870, VMware sugerează utilizatorilor să dezactiveze suportul Bluetooth pe mașina virtuală. În ceea ce privește atenuarea vulnerabilității CVE-2023-20872, producătorul recomandă eliminarea dispozitivului CD/DVD din mașina virtuală, sau configurarea mașinii astfel încât să nu folosească un controler SCSI virtual.
Configurația implicită nesigură expune serverele Apache Superset la atacuri RCE
Deținătorii Apache Superset, o platformă open-source de vizualizare și explorare a datelor, au lansat corecții de securitate pentru a remedia o configurație implicită nesigură, urmărită ca CVE-2023-27524 (scor CVSS: 8,9), ce ar putea duce la execuția de cod de la distanță, la colectarea de acreditări de către atacatori și la compromiterea datelor. CVE-2023-27524 afectează versiunile până la 2.0.1. inclusiv.
Cercetătorii Horizon3 au raportat că există peste 3,000 de instanțe ale platformei expuse la internet și au descoperit că minim 2,000 de servere rulează cu o configurație implicită periculoasă.
„Orice atacator se poate „conecta”, cu privilegii de administrator, la aceste servere, poate accesa și modifica datele conectate la aceste servere, poate colecta acreditări și executa cod de la distanță.” a raportat Horizon3.
Setul de instrumente Decoy Dog a fost găsit la analiza a 70 de miliarde de interogări DNS
Cercetătorii Infoblox au descoperit o amenințare de securitate cunoscută sub numele de „Decoy Dog”, ce vizează selectiv organizații din întreaga lume fără a fi detectată.
Setul de instrumente a fost descoperit la începutul lunii aprilie 2023, ca parte a analizei zilnice a peste 70 de miliarde de înregistrări DNS efectuată pentru detectarea de activitate suspectă, iar investigațiile ulterioare au dezvăluit că operațiunea este în desfășurare de la începutul lunii aprilie 2022.
Infoblox raportează că amprenta DNS specifică Decoy Dog este extrem de rară și unică printre cele 370 de milioane de domenii active de pe internet, iar investigația asupra infrastructurii a condus rapid la descoperirea mai multor domenii C2 care erau legate de aceeași operațiune, majoritatea comunicațiilor de la aceste servere provenind de la gazde din Rusia.
De asemenea, Infoblox a observat comunicații C2 active în SUA, Europa, Asia și America de Sud, în sectoare precum cel medical, energetic, financiar sau tehnologic.
Compania îndeamnă organizațiile să blocheze domeniile asociate cu Decoy Dog, cum ar fi claudfront[.]net, allowlisted[.]net, atlas-upd[.]com, ads-tm-glb[.]click, cbox4[.]ignorelist [.]com și hsdps[.]cc. Infoblox a diseminat indicatori de compromitere în depozitul său public GitHub, care poate fi folosit pentru adăugarea manuală în listele de blocare.
A fost lansat un exploit PoC pentru o vulnerabilitate PaperCut MF/NG exploatată activ
Două vulnerabilități severe de securitate ce afectează software-ul PaperCut MF/NG, folosit de peste 100 de milioane de utilizatori din aproximativ 70.000 de companii din întreaga lume, sunt exploatate de atacatori pentru a instala Atera, un instrument de management de la distanță, în scopul preluării serverelor vulnerabile.
Cele două vulnerabilități sunt identificate prin CVE-2023-27350, respectiv CVE-2023-27351 și au fost abordate de către companie în PaperCut MF și PaperCut NG cu ocazia lansării versiunilor 20.1.7, 21.2.11, respectiv 22.0.9 și ulterioarele, conform avizului publicat de PaperCut.
Organizația de securitate cibernetică Horizon3 a publicat informații tehnice detaliate și un exploit proof-of-concept (PoC) ale vulnerabilității CVE-2023-27350. Atacatorii aflați la distanță ar putea folosi exploit-ul pentru a ocoli autentificarea și a executa cod arbitrar pe serverele vulnerabile.
Datele a 630 de milioane de persoane din China au fost expuse online
O bază de date cu informații sensibile despre aproximativ 630 de milioane de persoane din China este promovată pe un forum rus de criminalitate cibernetică de către un atacator care susține că datele au fost furate în aprilie 2023, fără a dezvălui sursa obținerii lor.
Baza de date ar include informații sensibile, precum date personale și financiare, nume complete, numere de identitate naționale, adrese de domiciliu, sau numere de telefon. Vânzătorul susține că 30% din informații sunt detalii ale cardurilor bancare.
O analiză a mostrelor de date furnizate de atacatori indică faptul că majoritatea cardurilor bancare expuse sunt de la UnionPy, o corporație chineză de servicii financiare deținută de stat.
Ransomware-ul Trigona vizează serverele Microsoft SQL slab configurate
Atacatorii vizează serverele Microsoft SQL (MS-SQL) expuse la internet și slab securizate, prin atacuri de tip bruteforce sau dictionary, pentru a implementa ransomware-ul Trigona.
Potrivit AhnLab, în cadrul operațiunii Trigona, descoperită în octombrie 2022, atacatorii exploatează vulnerabilitatea CVE-2016-0099 din Windows Secondary Logon Service pentru a lansa ransomware-ul, iar acesta criptează toate fișierele de pe dispozitivele victimelor, cu excepția celor din foldere specifice, inclusiv directoarele Windows și Program Files.
Deoarece operatorii Trigona folosesc atacuri de tip bruteforce, experții recomandă administratorilor să folosească parole ce nu pot fi ghicite cu ușurință și să le schimbe în mod regulat, să implementeze software de securitate, inclusiv firewall-uri pentru serverele de baze de date expuse la internet.
O vulnerabilitate a SLP permite lansarea de atacuri DoS cu un factor mare de amplificare
Cercetătorii de la BitSight și de la Curesec au descoperit o vulnerabilitate de mare severitate în Service Location Protocol (SLP) care ar permite unui atacator să folosească instanțe vulnerabile pentru a lansa un atac DoS amplificat de 2,200 de ori.
Cercetătorii spun că în februarie 2023 au identificat, la nivel mondial, peste 2,000 de organizații și peste 54,000 de instanțe SLP afectate de vulnerabilitatea identificată prin CVE-2023-29552 (scor CVSS:8,6), inclusiv VMware ESXi Hypervisor, imprimante Konica Minolta, routere Planex, IBM Integrated Management Module (IMM), SMC IPMI și alte 665 de tipuri de produse ce ar putea fi folosite pentru lansarea de atacuri DoS în întreaga lume.
Vulnerabilitatea în discuție a atras și atenția CISA care a emis o alertă în data de 25 aprilie 2023 și a îndemnat organizațiile să consulte raportul publicat de cercetători, precum și articolul CISA referitor la atacurile DoS și DDoS pentru îndrumări privind reducerea probabilității și impactului amenințării. De asemenea, VMware a publicat câteva detalii și recomandări în legătură cu abordarea acestei vulnerabilități.
CISA completează catalogul KEV cu trei vulnerabilități de securitate exploatate activ
Cybersecurity and Infrastructure Security Agency (CISA) a adăugat trei vulnerabilități de securitate la Catalogul Vulnerabilităților Cunoscute Exploatate (KEV), în baza dovezilor de exploatare activă.
Cele trei vulnerabilități de securitate sunt identificate prin CVE-2023-28432 (scor CVSS: 7,5), CVE-2023-27350 (scor CVSS: 9,8) și CVE-2023-2136, prima afectând magazinul MinIO construit pentru AI/ML și alimentat open-source, cea de-a doua afectând produsul MF/NG de la PaperCut, iar cea de-a treia fiind vulnerabilitatea Google Chrome Skia Integer Overflow.
Datele culese de GreyNoise arată că o serie de 18 adrese IP unice malițioase din SUA, Olanda, Franța, Japonia și Finlanda au încercat să exploateze vulnerabilitatea ce rezidă în MinIO.
VirusTotal are acum o funcție de analiză a malware-ului bazată pe AI
La 24 aprilie 2023, VirusTotal a anunțat lansarea unei noi funcții de analiză a codului bazată pe inteligența artificială, numită Code Insight, un instrument ce va îmbunătăți semnificativ capacitatea experților și analiștilor în securitate cibernetică de a detecta și atenua potențialele amenințări.
„În prezent, această nouă funcționalitate este implementată pentru a analiza un subset de fișiere PowerShell încărcate în VirusTotal. Sistemul exclude fișierele care sunt foarte asemănătoare cu cele procesate anterior, precum și fișierele care sunt excesiv de mari", a indicat Bernardo Quintero, fondatorul VirusTotal.
