Știrile săptămânii din cybersecurity (17.12.2020)

2020/12/17
Popularitate 10000

Atac de tip supply chain prin actualizările oferite de compania SolarWinds

Săptămâna trecută, Fireye anunța că a fost victima unui incident de securitate cibernetică sofisticat „provocat de un actor statal”. Atacatorii au vizat una dintre diviziile companiei, mai precis cea care simulează atacuri pentru a descoperi vulnerabilități și a dezvolta ulterior soluții de securitate.

Pentru că Fireye furnizează produse de networking și de securitate către numeroase instituții guvernamentale, atacatorii au avut ca țintă informații legate de acești clienți, conform declarațiilor directorului executiv al companiei.

În acel moment nu se cunoșteau foarte multe despre atac, dar între timp un raport Fireye arată faptul că a fost vorba despre un atac ce a exploatat o vulnerabilitate a unei terțe părți respectiv SolarWinds (www.solarwinds.com)SolarWinds are puncte de lucru peste tot în lume și are o sucursală inclusiv în România.  

Practic, atacatorii au reușit să altereze actualizările lansate de compania SolarWinds, pentru a obține acces neautorizat. Investigațiile în derulare au relevat indicii credibile potrivit cărora atacul este în conexiune cu APT29 sau Cozy Bear, și ar fi fost inițiat în primăvara anului 2020.

Noua strategie de securitate cibernetică a UE

Comisia Europeană și Înaltul Reprezentant al Uniunii pentru afaceri externe și politica de securitate au prezentat astăzi o nouă strategie de securitate cibernetică a Uniunii Europene.  

Documentul este o componentă-cheie a conturării viitorului digital al Europei, a planului de redresare pentru Europa și a Strategiei UE privind o uniune a securității.  

AstfelStrategia va consolida reziliența colectivă a Europei în cazul amenințărilor cibernetice și va contribui la asigurarea faptului că toți cetățenii și toate companiile pot beneficia pe deplin de servicii și instrumente digitale de încredere și fiabile.  

Directiva NIS 2.0

Comisia Europeană s-a aflat în proces de revizuire a Directivei (UE) 2016/1148 privind securitatea rețelelor și a sistemelor informatice, începând cu luna iunie a acestui an. Ca urmare a acestui proces, a fost lansată propunerea de Directivă NIS 2.0 care va fi trimisă spre dezbatere și aprobare în Parlamentul European.  

Directiva NIS 2.0 aduce o serie de modificări majore. Noua Directivă se va adresa tuturor organizațiilor mijlocii și mari dintr-o serie de sectoare definite în anexele propunerii. În plus, vor fi incluse și entități mici, în funcție de nivelul critic pentru economie sau societate. 

Adobe renunță la Flash Player

Adobe a anunțat că nu va mai dezvolta Flash Player după 31 decembrie 2020 și că actualizarea lansată săptămâna aceasta este ultima. În plus, după 12 ianuarie 2021, compania va bloca în mod activ conținutul Flash care rulează în cadrul Flash Player.

Lipsa unor actualizări viitoare va duce la exploatarea de către atacatori a problemelor de securitate existente. Astfel, în viitorul apropiat, utilizatorii Flash Player vor primi notificări pentru dezinstalarea aplicației, fiind o măsură puternic recomandată de Adobe.

Serviciile Google - Gmail, YouTube sau Drive - indisponibile în mai multe părţi din lume

Mai multe servicii și site-uri conexe Google, printre care se numără YouTubeGmailGoogle Assistant și Google Docs, au devenit inactive luni, timp de mai bine de o oră. Cauza indisponibilității nu este cunoscută cu exactitate, dar Google a recunoscut problema și a promis remedierea acesteia în cel mult o oră, ceea ce s-a și întâmplat.

S-a speculat pe seama faptului că ar fi fost o problemă de autentificare, deoarece Youtube funcționa în modul ‘incognito’, însă această informație nu a fost confirmată. În ciuda întreruperii care a afectat servicii ale Google, motorul său de căutare a continuat să funcționeze. La scurt timp, toate serviciile au revenit online. Ulterior, din interiorul companiei a apărut informația că această indisponibilitate ar fi fost cauzată de sistemul automat de gestionare a procesului de stocare Google, care a redus capacitatea sistemului de autentificare.

Securitatea cibernetică a rețelelor 5G

În contextul noii strategii de securitate cibernetică publicate azi de Comisia Europeană, conectivitatea joacă un rol important, mai ales în contextul adoptării rețelelor 5G și obținerii unei anumite maturități în implementarea Toolbox 5G. 

Comisia a elaborat un raport referitor la impactul Recomandării Comisiei privind securitatea cibernetică a rețelelor 5G. Documentul a fost constituit pe baza raportului din iulie 2020 asupra progresului implementării Toolbox 5G, întâlnirile tematice ale grupului de lucru de la nivel european pe 5G, precum și din întâlnirile bilaterale organizate de Comisie și ENISA cu statele membre ale UEÎn acest raport a fost subliniată nevoia unei viziuni europene comune, o abordare colaborativă potrivită problemelor curente complexe, precum și oferirea unei oarecare flexibilități statelor membre conform competențelor naționale.  

Mai multe organizații sunt vizate de un atac coordonat de tip phishing prin Office 365

Atacatorii utilizează sute de conturi de email legitime, dar compromise, pentru a fura datele personale prin intermediul Office 365. Mail-urile impersonează companii precum eFax, indicând destinatarului că a primit un nou fax. Mail-ul încurajează victima să acceseze un atașament sau un buton „View Documents”, care deschide o pagină de phishing.

Actualizare de securitate pentru iOS și iPadOS

Apple a lansat, la 14 decembrie 2020, o actualizare de securitate importantă ce repară mai multe vulnerabilități, printre care se află CVE-2020-27943 și CVE-2020-27944. Versiunile iOS 14.3 și iPadOS 14.3 soluționează 11 probleme de securitate, unele dintre ele permițând lansarea arbitrară de cod periculos. Așadar, echipa CERT-RO recomandă actualizarea la cea mai recentă variantă a sistemului de operare! 

Malware-ul Adrozek modifică setările din browsere

O campanie persistentă și larg răspândită de malware modifică activ setările browserelor Microsoft Edge, Google Chrome, Yandex Browser și Mozilla Firefox și afectează rezultatele oferite de motoarele de căutare, prin injectarea unor anunțuri sau pagini web neautorizate. Malware-ul Adrozek este distribuit pe dispozitivele victimă printr-un atac de tip drive-by download, iar numele unic al installer-ului are ca format setup__.exe.

Infrastructura utilizată pentru atacuri este foarte extinsă și dinamică, fiind identificate sute de mii de incidente în care a fost implicată Adrozek, în perioada mai-septembrie 2020. Campania este concentrată pe regiunile Europa, Asia de Sud și Asia de Est. Deși un vârf al activității Adrozek a fost identificat în august 2020, când existau aproximativ 30.000 de dispozitive afectate pe zi, este de așteptat expansiunea infrastructurii de atac.

În acest context, evitarea atacurilor poate fi realizată prin activarea Microsoft Defender sau prin instalarea altor soluții de tip antivirus. În situația identificării unor cazuri de pagini injectate, este recomandată reinstalarea browserului.

Conținutul unui PDF poate fi exfiltrat printr-un atac de tip cross-site scripting

Cercetătorul Gareth Heyes a identificat o metodă de exfiltrare a datelor dintr-un document PDF prin utilizarea unui simplu link. Întregul conținut al unui PDF ce conține date sensibile (precum date bancare) ar putea fi exfiltrat, spre exemplu, către un server extern. PDF-Lib și jsPDF sunt librării vulnerabile pentru acest tip de exploit.

În acest sens, inițial trebuie stabilit dacă librăria PDF-ului cuprinde paranteze sau backslash. Acestea ar putea fi generate prin utilizarea unor caractere multi-byte ce conțin 0x5c sau 0x29, pe care librăria să le convertească greșit în caractere single-byte, sau prin utilizarea unor caractere din afara registrului ASCII, care să ducă la un overflow. Structura PDF poate fi alterată prin injectarea de NULL character, marker EOF sau comments.

După influențarea structurii PDF-ului, pasul următor constă în construirea unei injecții care să confirme deținerea controlului, ceea ce poate fi efectuat prin accesarea app.alert(1) din JavaScript sau prin utilizarea funcției Submit Form, pentru a realiza un POST request către un URL extern. După confirmarea posibilității injecției, exploatarea poate fi executată prin trimiterea unor anumiți parametri sau flags.

Un atac cibernetic asupra unui furnizor de servicii de sănătate mintală din SUA a expus informațiile cu caracter sensibil a peste 290.000 de persoane

Atacatorii au furat informațiile medicale protejate (PHI) și informațiile de identificare cu caracter personal (PII) de la peste 295.617 pacienți ai furnizorului de servicii de sănătate mintală din Colorado Springs, AspenPointe, în urma unei breșe de securitate a datelor, a declarat compania.

Conform unei scrisori trimise victimelor acestui atac, infractorii au obținut acces la rețeaua organizației în septembrie 2020.

„Am descoperit recent faptul că rețeaua noastră a fost accesată în mod neautorizat între 12 septembrie 2020 și aproximativ 22 septembrie 2020”, conform scrisorii. „Am demarat imediat o anchetă în colaborare cu profesioniști externi din domeniul securității cibernetice, care investighează și analizează regulat aceste tipuri de situații, pentru a analiza măsura în care informațiile din rețeaua noastră au fost compromise.”

Material realizat de Ciprian Buzatu, voluntar CERT-RO