Știrile săptămânii din cybersecurity (26.11.2020)

Foto: Stephen Phillips - Hostreviews.co.uk

Dispozitivele neactualizate care utilizează Fortinet VPN sunt vulnerabile

Cercetătorii de securitate cibernetică au descoperit un forum unde a fost distribuită o listă cu 49,577 de dispozitive la nivelul cărora poate fi exploatată vulnerabilitatea CVE-2018-13379. Deși bug-ul a fost identficat de mai multă vreme, lista vizează organizații din mai multe domenii, precum bancar, financiar sau guvernamental, care au un proces lent de actualizare a dispozitivelor.

Prin exploatarea vulnerabilității, atacatorii neautentificați pot obține acces de la distanță la nivelul fișierelor din sistem. Un exploit postat de hackeri permite accesarea fișerelor sslvpn_websession de la Fortinet VPN pentru a fura date de logare. Aceste date pot fi utilizate pentru a compromite o rețea și pentru a lansa ransomware.

Autentificarea în doi pași a cPanel poate fi compromisă prin forță brută

Suita de instrumente cPanel&WHM conține o vulnerabilitate la nivelul autentificării în doi pași. Politica de securitate a cPanel nu previne introducerea repetată a codurilor de autentificare, ceea ce le oferă posibilitatea atacatorilor să utilizeze atacuri cu forță brută pentru a compromite un cont.

Vulnerabilitatea a fost reparată odată cu lansarea versiunilor 92.0.2, 90.0.17 și 86.0.32 ale cPanel. Nu uitați să aplicați frecvent actualizările! 

Malware-ul WAPDropper abonează utilizatorii la servicii premium legitime

Cercetătorii de la CheckPoint au identificat o variantă de malware pentru smartphone care abonează utilizatorii, fără ca aceștia să realizeze, la servicii premium ale unor companii de telecomunicații din Tailanda și Malaysia.

Malware-ul face parte dintr-o familie nou identificată, iar vectorul principal de propagare îl reprezintă magazinele terțe de aplicații. WAPDropper conține două module: primul se ocupă de descărcarea malware-ului din faza 2, iar al doilea modul abonează utilizatorii la serviciile premium.

WAPDropper poate colecta diverse informații despre dispozitiv: id-ul dispozitivului, adresa MAC, aplicațiile instalate, serviciile care rulează etc. Interesant este că malware-ul inițiază o componentă webview de un pixel, unde sunt încărcate paginile de abonare la servicii. În procesul de abonare, în cazul apariției unui pas tip CAPTCHA, malware-ul utilizează servicii de tip „machine-learning” pentru a trece de acest impediment.

O nouă formă de ransomware devine din ce în ce mai prolifică

Deși a fost lansat în luna septembrie a anului 2020, ransomware-ul Egregor devine deja preferat de atacatori pentru criptarea rețelelor vulnerabile. Egregor a făcut deja 71 de victime din 19 țări, printre care se află și Barns&Noble, Ubisoft sau Crytek. Ransomware-ul este încă nou, iar cercetătorii nu au reușit să clarifice modalitatea de compromitere a rețelelor. La situație contribuie faptul că grupul care a lansat Egregor deține capabilități tehnice sofisticate pentru a îngreuna analiza codului malware-ului.

Cercetătorii au indicat că o modalitate inițială de compromitere ar fi email phishing. În plus, pentru evitarea atacurilor, este recomandat ca organizațiile să implementeze autentificarea în mai mulți pași, realizarea actualizărilor de securitate la zi și efectuarea regulată a unor back-up-uri care să fie stocate offline.

ASCPD, ANSSI și CERT-RO au publicat “Ghidul siguranței datelor pe internet”

Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD) în parteneriat cu Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) și Asociația Națională pentru Securitatea Sistemelor Informatice (ANSSI) au lansat Ghidul siguranței datelor pe internet, pentru ca publicul larg să nu riște să compromită calculatoare sau date, având în vedere că 90% din atacurile cibernetice sunt îndreptate asupra utilizatorilor casnici de internet. 

Material realizat de Ciprian Buzatu, voluntar CERT-RO.