Știrile săptămânii din cybersecurity (27.07.2023)

Foto: thisisthecoast.co.uk

Noua vulnerabilitate OpenSSH expune sistemele Linux la atacuri cibernetice

Cercetătorii Qualys au publicat detalii despre o vulnerabilitate de securitate ce rezidă în OpenSSH și care ar putea fi exploatată de un atacator aflat la distanță pentru a rula comenzi arbitrare pe gazde compromise, în situații specifice.

Vulnerabilitatea este identificată prin CVE-2023-38408 și afectează toate versiunile de OpenSSH anterioare versiunii 9.3p2.

Exploatarea cu succes a acestei vulnerabilități necesită prezența anumitor biblioteci pe sistemul victimă și ca agentul de autentificare SSH să fie redirecționat către un sistem controlat de atacator. Agentul SSH este un program de fundal ce menține cheile utilizatorilor în memorie și facilitează autentificarea de la distanță la un server fără a fi nevoie să se introducă din nou fraza de acces.

Pentru protejarea împotriva potențialelor amenințări cibernetice, este recomandat ca utilizatorii să actualizeze OpenSSH la cea mai recentă versiune.

Peste 15,000 de servere Citrix vulnerabile la atacuri RCE

Citrix a avertizat clienții cu privire la o vulnerabilitate critică, exploatată activ, identificată prin CVE-2023-3519 (scor CVSS: 9,8), în NetScaler Application Delivery Controller (ADC) și Gateway. Cercetătorii de la Shadowserver Foundation au dezvăluit că minim 15,000 de dispozitive au fost identificate ca fiind vulnerabile la atacuri ce exploatează această eroare.

Vulnerabilitatea ar putea duce la execuția de cod de la distanță (RCE) efectuată de un atacator neautentificat, iar Citrix avertizează asupra disponibilității exploit-urilor pentru această vulnerabilitate, observate în atacurile împotriva dispozitivelor.

Compania a adăugat că exploatarea cu succes necesită ca dispozitivul să fie configurat ca Gateway (server virtual VPN, ICA Proxy, CVPN, RDP Proxy) sau server virtual AAA (de autentificare).

DNSC scoate la concurs 18 posturi în cadrul Direcției Generale Operațiuni Tehnice

Directoratul Național de Securitate Cibernetică (DNSC) organizează o serie de concursuri pentru angajarea a 18 noi colegi, ca personal contractual, pe o perioadă nedeterminată.

Documentele necesare pentru dosarul de înscriere pot fi depuse:

• În format electronic, la adresa de email [email protected] sau
• În format letric la secretariatul comisiei de concurs, la sediul DNSC din Str. Italiană 22, Sector 2, 020976 București, România între orele 09:00-17:00, telefon: 0742999650.

NOTĂ: toate documentele necesare înscrierii la concurs, depuse în format electronic, trebuie transmise într-un singur e-mail, exclusiv în format .PDF!

Alte informații

• Anunțul complet, specificații despre salariul de bază, precum și fișele de post aferente funcțiilor scoase la concurs, se regăsesc în secțiunea CARIERĂ de pe site-ul web al DNSC
• https://dnsc.ro/doc/cariera
• https://www.dnsc.ro/vezi/document/specificatii-salariul-de-baza-directia-generala-operatiuni-tehnice-dgot
• Formularul de înscriere la concurs poate fi descărcat de aici:
• https://www.dnsc.ro/vezi/document/formular-de-inscriere-concurs-dnsc
• Relații suplimentare pot fi obținute la telefon 0742999650 sau la [email protected]

Peste o jumătate de milion de dispozitive MikroTik RouterOS, expuse riscului de atac cibernetic

O vulnerabilitate severă de securitate ce afectează MikroTik RouterOS, dezvăluită în iunie 2023 și remediată pe 20 iulie 2023, ar putea fi folosită de atacatori aflați la distanță pentru a executa cod arbitrar și pentru a prelua controlul asupra dispozitivelor vulnerabile.

Vulnerabilitatea este identificată prin CVE-2023-30799 (scor CVSS: 9,1), iar cercetătorii VulnCheck apreciază că între 500,000 și 900,000 de dispozitive RouterOS sunt în pericol de exploatare prin interfețele lor web și/sau Winbox.

„Vulnerabilitatea în sine este o simplă escaladare a privilegiilor de la admin la ”super-admin”, care are ca rezultat accesul la o funcție arbitrară. Obținerea acreditărilor pentru sistemele RouterOS este mai ușoară decât ne-am putea aștepta.”, conform raportului VulnCheck.

Sfaturile de atenuare includ eliminarea interfețelor administrative MikroTik de pe internet, limitarea adreselor IP de la care administratorii se pot autentifica, dezactivarea Winbox-ului și a interfețelor web și configurarea SSH pentru a utiliza cheile publice/private și a dezactiva parolele.

Euronews: În weekend a avut loc etapa finală a Campionatului Național de Securitate Cibernetică - #RoCSC23

Lazarus vizează serverele web Windows IIS pentru a distribui malware

Cercetătorii ASEC au descoperit că gruparea de criminalitate cibernetică Lazarus atacă serverele web Windows Internet Information Service (IIS) și le folosește pentru a distribui tulpini de malware generate de w3wp.exe, responsabile pentru escaladarea privilegiilor.

În acest context, Lazarus exploatează o vulnerabilitate din INISAFE CrossWeb EX V6 pentru piratarea și modificarea conținutului site-urilor web.

”Când un sistem care utilizează o versiune vulnerabilă a INISAFE CrossWeb EX V6 vizitează acest site web printr-un browser web, malware-ul Lazarus este instalat de pe site-ul de distribuție prin vulnerabilitatea INISAFECrossWebEXSvc.exe.”, conform raportului ASEC.

După ce gruparea atacă un server web IIS și obține controlul, va folosi serverul pentru a distribui malware folosit pentru atacurile de vulnerabilitate INITECH. Dacă un sistem are instalată o versiune vulnerabilă a INISAFE CrossWeb EX, aceasta trebuie dezinstalată și actualizată la cea mai recentă versiune.

Atlassian remediază vulnerabilități de execuție a codului în Confluence și în Bamboo

Atlassian a lansat actualizări de securitate pentru două vulnerabilități ce pot duce la execuția de cod la distanță (RCE) în Confluence Data Center & Server și pentru o altă vulnerabilitate ce rezidă în Bamboo Data Center.

Cea mai gravă dintre cele două vulnerabilități Confluence, identificată prin CVE-2023-22508 (scor CVSS de 8,5), rezidă în versiunea 7.4.0, iar cealaltă, identificată prin CVE-2023-22505 (scor CVSS de 8,0) afectează versiunea 8.0.0.

Exploatarea ambelor vulnerabilități ar putea permite unui atacator să execute cod arbitrar cu impact asupra confidențialității, integrității și disponibilității, fără a fi necesară interacțiunea cu utilizatorul, dar atacatorul trebuie să fie autentificat ca utilizator valid. Ambele vulnerabilități au fost remediate în versiunile Confluence 8.3.2 și 8.4.0.

Atlassian a remediat și CVE-2023-22506 (scor CVSS: 7,5), o vulnerabilitate de mare severitate aflată în versiunea 0.0.0 a Bamboo Data Center și care permite unui atacator să modifice acțiunile întreprinse și să execute cod arbitrar. Vulnerabilitatea a fost remediată o dată cu lansarea versiunilor 9.2.3 și 9.3.1.

Vulnerabilitățile Atera Windows expun utilizatorii la atacuri cibernetice

Pe 28 februarie 2023, Mandiant a identificat două vulnerabilități critice de tip zero-day în Windows Installers pentru Atera, software/ de monitorizare și management de la distanță. Vulnerabilități sunt identificate prin CVE-2023-26077, respectiv CVE-2023-26078 și remediate în versiunile 1.8.3.7 și 1.8.4.9, lansate pe 17 aprilie 2023 și 26 iunie 2023.

Cercetătorul de securitate Andrew Oliveau a evidențiat potențialele riscuri de securitate asociate cu aceste vulnerabilități, menționând că „abilitatea de a iniția o operațiune dintr-un context NT AUTHORITYSYSTEM poate prezenta riscuri potențiale de securitate dacă nu este gestionată corespunzător”. El a mai explicat că acțiunile personalizate greșit configurate care funcționează ca NT AUTHORITYSYSTEM ar putea fi exploatate de atacatori pentru a executa atacuri locale de escaladare a privilegiilor.

Potrivit cercetătorilor Mandiant, Atera Agent este susceptibil la un atac local de escaladare a privilegiilor ce poate fi exploatat prin deturnarea DLL ( CVE-2023-26077 ), care ar putea fi apoi folosit pentru a obține un Command Prompt ca utilizator NT AUTHORITYSYSTEM.

Dezvoltatorilor de software li se recomandă să-și revizuiască în detaliu acțiunile personalizate.

CISA listează vulnerabilități noi în catalogul său KEV

CISA avertizează cu privire la atacurile cibernetice care exploatează două vulnerabilități critice de securitate, una fiind de tip zero-day, recent descoperite în Adobe ColdFusion și a îndemnat agențiile federale să securizeze serverele împotriva acestor amenințări în următoarele trei săptămâni.

Cele două vulnerabilități sunt identificate prin CVE-2023-29298, respectiv CVE-2023-38205, iar Adobe a lansat actualizări de securitate în regim de urgență pentru a aborda CVE-2023-38205 exploatată în mod activ, avertizând clienții că această vulnerabilitate este abuzată „în atacuri limitate care vizează Adobe ColdFusion”.

De asemenea, CISA cere agențiilor federale să securizeze serverele Citrix împotriva vulnerabilității CVE-2023-3519, ce permite execuția codului de la distanță.

Organizațiile și companiile sunt sfătuite să prioritizeze și să abordeze prompt toate vulnerabilitățile listate în catalogul KEV al CISA.

Ministerele din Norvegia au fost afectate de un atac cibernetic

Pe 24 iulie 2023, Guvernul Norvegian a indicat că 12 ministere norvegiene au fost victime în cel mai recent atac cibernetic ce a lovit sectorul public din această țară.

Biroul premierului, precum și ministerele de externe, apărării, justiției nu au fost afectate, deoarece folosesc o altă platformă IT, a spus Erik Hope, șeful agenției guvernamentale însărcinată cu furnizarea de servicii ministerelor. Deocamdată nu sunt cunoscute detalii referitoare la amploarea impactului sau la identitatea atacatorului.

Sectorul de stat din Norvegia a fost in vizorul atacatorilor inclusiv în iunie 2022, când a avut loc un atac de tip DDoS atribuit unei grupări de criminalitate cibernetică pro-rusă.

FraudGPT, un nou instrument AI adaptat pentru atacuri sofisticate

Un nou instrument bazat pe inteligență artificială (AI), numit FraudGPT, a apărut pe diferite piețe dark web și canale de Telegram și poate fi folosit pentru crearea de e-mailuri de tip spear phishing, pentru a scrie cod malițios, pentru a crea malware nedetectabil, pentru a găsi scurgeri și vulnerabilități. Conform cercetătorilor de la Netenrich, au existat peste 3,000 de vânzări și recenzii confirmate.

Compania de securitate cibernetică Netenrich afirmă că oferta circulă cel puțin din 22 iulie 2023, iar costurile sunt de 200 USD pe lună, 1,000 USD pentru șase luni și 1,700 USD pentru un an.

„Implementarea unei strategii de apărare în profunzime cu toată telemetria de securitate disponibilă pentru analize rapide a devenit cu atât mai esențială pentru a găsi aceste amenințări cu mișcare rapidă înainte ca un e-mail de phishing să se transforme în ransomware sau exfiltrare de date”, conform Netenrich.

Atacurile supply chain se extind în sectorul bancar

Sectorul bancar a fost vizat în ultimele luni în două atacuri distincte ale lanțului de aprovizionare cu software open source (OSS), cercetătorii apreciind că operațiunile sunt primele incidente de acest fel.

Aceste atacuri au fost descoperite în prima jumătate a anului 2023 și prezintă tehnici avansate utilizate de atacatori, cum ar fi vizarea unor componente specifice din activele web ale unei bănci victimă prin atașarea de funcționalități malițioase.

Primul atac a avut loc între 5 și 7 aprilie 2023, un atacator pretinzând că este un angajat al băncii țintă și încărcând câteva pachete malițioase care conțineau script-uri preinstalate în registrul NPM.

În cel de-al doilea atac, detectat în februarie 2023, atacatorul a adăugat cod malițios unui pachet NPM menit să se integreze în site-ul web al băncii victimă și să rămână latent până când a fost solicitat să acționeze.

Codul malițios a fost conceput special pentru a intercepta în mod secret datele de conectare și pentru a exfiltra detaliile într-o infrastructură controlată de actor.