Știrile săptămânii din cybersecurity (10.12.2020)

2020/12/10
Popularitate 952

Bucureștiul va găzdui Centrul european de competenţe industriale, tehnologice şi de cercetare în domeniul securităţii cibernetice

Centrul Cyber al UE de la Bucureşti va iniţia şi derula numeroase programe şi proiecte finanţate din fonduri europene şi va fi un catalizator al inovării, cercetării şi colaborării din domeniul securităţii cibernetice pentru statele membre.

Rezultatul obţinut de România a fost posibil în urma unor demersuri diplomatice "intense" în ultima perioadă derulate atât la Bucureşti şi Bruxelles, cât şi în capitalele statelor membre. Propunerea de regulament de instituire a Centrului Cyber al UE a fost lansată de Comisia Europeană în 2018, fiind discutată inclusiv pe durata Preşedinţiei române a Consiliului UE.

Statele membre au decis iniţierea unei competiţii deschise pentru stabilirea sediului acestui centru, iar ţările interesate au depus până la 6 noiembrie dosarele de candidatură. S-au înscris în competiţie Belgia (Bruxelles), Germania (Munchen), Lituania (Vilnius), Luxemburg (Luxemburg), Polonia (Varşovia), Spania (Leon) şi România (Bucureşti). Procedura de selecţie pentru stabilirea sediului viitorului Centru Cyber a fost organizată miercuri la Bruxelles şi finalizată în această dimineaţă. În urma votului statelor membre, s-a stabilit ca sediul centrului să fie localizat la Bucureşti.

Atac cibernetic cu scurgere de informații referitoare la vaccinul anti-COVID

Pfizer și BioNTech anunță că li s-au sustras ilicit informații despre vaccinul lor anti-COVID,  în urma unui  atac cibernetic la Agenția Europeană a Medicamentului. Cei doi parteneri informează că ”documente legate de dezvoltarea vaccinului au fost accesate ilegal”. În urmă cu câteva ore, Agenția Europeană a Medicamentului (EMA) a anunțat că a fost victima unui atac cibernetic și că va lansa o investigație, dar nu a oferit mai multe detalii. EMA este autoritatea care va aproba utilizarea serurilor anti-COVID în UE. Nu se cunosc, în acest moment, detalii despre originea atacatorilor sau când și în ce condiții au acționat.

Fireye anunță că a fost victima unui atac cibernetic sofisticat ‘provocat de un actor statal’

Compania are o divizie specială care simulează atacurile, pentru a descoperi vulnerabilități și a dezvolta ulterior sisteme de securitate. Acestea sunt informațiile care au fost vizate de hackeri. Directorul executiv al FireEye, Kevin Mandia, a declarat că “atacatorul a fost interesat mai mult de informațiile legate de clienții noștri guvernamentali”.

”În baza experienței noastre de 25 de ani, tragem concluzia că atacul a fost condus de o entitate statală cu capacități ofensive de nivel superior. S-a folosit de instrumentele cu care noi n-am mai avut de-a face până acum” mai spune Mandia.

Compania nu precizează cine ar fi în spatele atacului, însă informează că investighează incidentul, ală turi de FBI. Jurnaliștii englezi identifică Rusia ca principal suspect.

Compania Microsoft este acuzată de minimalizarea severității unei vulnerabilități

Conform unui raport al inginerului de securitate cibernetică Oskars Vegeris, Microsoft nu a atenționat utilizatorii cu privire la o problemă de securitate a MS Teams și nici nu a inclus această vulnerabilitate în clasificarea Common Vulnerabilities and Exposures (CVE). Vulnerabilitatea de tip cross-site scripting (XSS) a fost evaluată de Microsoft ca „Important, Spoofing”, Oskars Vegeris susținând că ar minimaliza potențialul slăbiciunii.

Vulnerabilitatea ar permite „zero-click, wormable, cross-platform remote code execution”, adică atacuri ce nu necesită o acțiune a victimei, fiind suficientă trimiterea unui mesaj similar cu oricare altul. În momentul deschiderii chat-ului relevant, codul este lansat pe dispozitivul victimă, fiind posibilă transmiterea infecției la alte computere. În acest context, atacatorii ar putea fura token-uri SSO ale Office365, obținând acces la email-uri sau documente și la camerele și microfoanele dispozitivelor infectate.

Un purtător de cuvânt al Microsoft a indicat că vulnerabilitatea a fost soluționată printr-o actualizare lansată automat în luna octombrie.

Scurgere de date la NitroPDF

După ce a fost indicat în luna octombrie că un grup de atacatori ar fi obținut date importante ale utilizatorilor NitroPDF, aceștia au publicat, la finalul lunii noiembrie, metadatele documentelor. Scurgerea de date implică faptul că 2.6 milioane de adrese de email și parole hashed sunt disponibile public.

CERT Noua Zeelandă a monitorizat incidentul și susține că atacatorii nu au motive să lanseze datele în spațiul public, însă încurajează organizațiile afectate să evalueze potențialul acestei situații. În acest context, CERT NZ recomandă schimbarea parolei contului de NitroPDF cu una puternică și schimbarea parolelor celorlalte conturi care utilizează aceeași parolă. În plus, este indicată evaluarea naturii informațiilor încărcate în NitroPDF și pregătirea pentru situația în care acestea devin publice.

AMNESIA:33 vizează milioane de dispozitive IoT

Un set de 33 de vulnerabilități, numit AMNESIA:33, are impact la nivelul a 4 stack-uri TCP/IP open-source - uIP, FNET, picoTCP, NUT/NET – fiind adesea utilizate la nivelul dispozitivelor tip Internet-of-Things (IoT). Cu un scor de severitate de 9.8 din 10, cele mai importante vulnerabilități sunt CVE-2020-24336, CVE-2020-24338 și CVE-2020-25111, toate implicând executarea de cod de la distanță (RCE).

Ca și consecință al managementului necorspunzător al memoriei, exploatarea setului de vulnerabilități poate duce la coruperea memoriei, permițând atacatorilor să compromită dispozitive, să execute cod malițios sau atacuri DoS, să fure informații sensibile sau să altereze DNS cache.

Rezultatele din viața reală ale acestor procese ar putea fi situații de tipul întreruperii furnizării energiei electrice, dezactivării detectoarelor de fum sau a sistemelor de monitorizare a temperaturii.

Actualizarea din decembrie 2020 pentru Windows

Microsoft a lansat, la 8 decembrie 2020, o actualizare de securitate ce repară 9 vulnerabilități critice, 48 importante și 2 moderate. Pe lângă acestea, pachetul Microsoft Patch Tuesday pentru decembrie include și un advisory (ADV 200013) pentru o vulnerabilitate tip „DNS cache poisoning” ce cauzează fragmentarea IP-ului și afectează Windows DNS Resolver. Exploatarea vulnerabilității poate facilita falsificarea DNS packet. În acest context, administratorii pot repara problema prin modificarea dimensiunii maxime a UDP packet la 1.221 biți. Pentru DNS Requests mai mari de 1.221 biți, DNS Resolver va trece la conexiuni TCP. 

Material realizat de Ciprian Buzatu, voluntar CERT-RO


Vizualizat de 1114 ori