A fost publicată lista auditorilor atestați de securitate cibernetică. Accesați aici lista

Știrile săptămânii din cybersecurity (26.08.2021)

2021/08/26
Popularitate 1000

Foto: cert.ro

Atacatorii exploatează o vulnerabilitate critică a Realtek SDK

Operatorii unui botnet tip Mirai exploatează o vulnerabilitate critică a dispozitivelor Realtek-based, incluzând 200 de modele produse de cel puțin 65 de companii precum Asus, Belkin, D-Link, Netgear, Tenda, ZTE și Zyxel. Lista cu dispozitivele afectate este disponibilă aici.

La 13 august 2021, Realtek a lansat un patch pentru CVE-2021-35395. Începând cu 18 august atacatorii au început să scaneze pentru dispozitive potențial vulnerabile și să exploateze bug-ul pentru a prelua controlul acestora.

În plus, operatorii botnet-ului și-au actualizat scanerele pentru a detecta CVE-2021-20090, o vulnerabilitate critică „authentication bypass” care afectează routere ce utilizează Arcadyan firmware.

CISA atenționează cu privire la bug-urile Exchange ProxyShell

Cybersecurity and Infrastructure Security Agency (CISA) a emis o alertă urgentă în care îndeamnă organizațiile să aplice actualizarea de securitate a Microsoft din mai 2021, pentru remedierea a trei vulnerabilități ProxyShell: CVE-2021-34473, CVE-2021-34523 și CVE-2021-31207.

Alerta vine în contextul în care vulnerabilitățile sunt exploatate activ de către atacatori pentru a putea executa arbitrar cod pe dispozitivele vizate.

Un bug al Razer oferă privilegii de admin prin conectarea unui mouse

În urma conectării unui dispozitiv produs de Razer la Windows 10 sau 11, sistemul de operare va descărca automat și va instala Razer Synapse, un software ce permite configurarea dispozitivelor Razer. Un cercetător de securitate cibernetică a descoperit o vulnerabilitate zero-day, care pornește de la faptul că programul de instalare al Razer este rulat cu privilegii de „SYSTEM”.

La pasul selectării folder-ului de instalare pentru Razer Synapse, există posibilitatea de a apăsa „shift + click dreapta” pentru a selecta opțiunea „Open PowerShell window here”, de unde pot fi executate comenzi cu privilegii tip „SYSTEM”.

Malware-ul Joker revine în aplicațiile din Google Play Store

Poliția Belgiană atrage atenția cu privire la reapariția malware-ului Joker în cadrul mai multor aplicații disponibile pe Google Play Store. Malware-ul poate accesa informațiile confidențiale din dispozitivul infectat și poate abona victima la diverse servicii cu plată.

Pe lângă aplicațiile deja eliminate de Google, Joker a fost identificat în aplicații precum Private SMS, Hummingbird PDF Converter - Photo to PDF, Style Photo Collage, Talent Photo Editor - Blur focus, Paper Doc Scanner, Care Message, Direct Messenger, One Sentence Translator - Multifunctional Translator, Unique Keyboard - Fancy Fonts & Free Emoticons, Tangram App Lock.

Troianul Triada, ascuns într-o versiune modificată a WhatsApp

O versiune a aplicației Whataspp, numită FMWhatsapp, a fost identificată ca vector de propagare a troianului Triada. Malware-ul obține date despre dispozitiv (ID-ul dispozitivului, adresa MAC) sau informații confidențiale ale utilizatorului și îl poate abona la subscripții „premium”.

Deși versiunile modificate ale Whatsapp pot oferi un nivel crescut de funcționalitate, prin caracterisitici adiționale, care nu sunt disponibile în versiunea oficială a aplicației, nivelul de securitate este adesea limitat. În acest context, este recomandată utilizarea aplicației oficiale a Whatsapp.

Scurgere de date la SAC Wireless

Compania SAC Wireless, deținută de Nokia și având sediul la Chicago, a trimis scrisori de notificare către aproximativ 6500 de angajați actuali sau din trecut, cu privire la o scurgere de date personale provocată în urma unui incident de securitate cibernetică în care a fost implicat ransomware-ul Conti.

Sistemele companiei au fost compromise de atacatori la 13 aprilie 2021, dar ransomware-ul a fost lansat la 13 iunie 2021. Grupul Conti susține că a reușit să exfiltreze mai mult de 250GB de date de la SAC Wireless, amenințând că va publica datele în cazul în care Nokia nu plătește răscumpărarea.

Campanie a Konni RAT în Rusia

Conform cercetătorilor de la MalwareBytes Labs, o nouă versiune a Konni RAT este implicată într-o campanie împotriva organizațiilor din Rusia, care ar fi desfășurată de grupul APT37 sau Thallium. Noua versiune Konni RAT are o funcționalitate similară versiunii observate anterior, însă noi capabilități de evitare a măsurilor de securitate, fiind detectată de 3 dintre cele de pe VirusTotal.

Campania utilizează tehnici de inginerie socială, pentru a determina vicitimele să acceseze un document în limba rusă, care duce la lansarea malware-ului. Konni RAT are capabilități precum „screen capturing” sau „keylogging”, iar în campania actuală sunt colectate date despre dispozitivele compromise. Pe lângă Rusia, infecțiile Konni RAT au fost observate în Coreea de Sud, Japonia, Nepal, Mongolia și Vietnam.

4 grupuri de ransomware și-ar putea intensifica activitățile

Cercetătorii de la Unit 42 (Palo Alto Networks) analizează într-un articol 4 grupuri de ransomware care ar putea produce pagube semnificative în viitorul apropiat: LockBit 2.0, AvosLocker, Hive și HelloKitty. Dintre acestea, începând cu iunie 2021, LockBit 2.0 a compromis 52 de organizații din diverse domenii de activitate și din mai multe țări, inclusiv România.

Conform Unit 42, operatorii de ransomware încetinesc uneori activitățile ilegale în situațiile în care produc pagube semnificative, atrăgând atenția instituțiilor care impun legea, sau în momentele în care își dezvoltă capabilitățile sau recrutează noi afiliați.

RESURSE

Astăzi vă supunem atenției un nou articol din partea experților în cybersecurity de la ISACA România: Aligning between business IT and IT security - Penetration Testing (Alinierea dintre IT și securitatea informatică – teste de penetrare).

Articolul prezintă atât pașii de urmat în cadrul unui test de penetrare, precum și diferențele dintre testele de penetrare și alte elemente de analiză a securității cibernetice, precum analiză a vulnerabilităților și audit.

Sunt incluse atât aspecte legate de procesul de testare, precum și elemente tehnice ale acestui proces și aspecte de avut în vedere în creionarea scopului unui test de penetrare.

'Știrile săptămânii din cybersecurity' este un material realizat de Ciprian Buzatu, voluntar CERT-RO