DEZE WEEK IN VEILIGHEID: Zimbra, LOCKBIT 2, en hacking NK

onbekende aanvallers zijn uitbuiten van een 0-day aanval tegen de Zimbra e-mail suite. Onderzoekers van Volexity eerste ontdekte de aanval in december vorig jaar, waargenomen door zijn controle-infrastructuur. Het is een cross-site scripting (XSS) te benutten, zodanig dat bij het openen van een schadelijke koppeling, de JavaScript-code die op de kwaadaardige pagina kan toegang krijgen tot een ingelogde Zimbra instantie. De aanval campagne gebruik deze exploit te grijpen e-mails en bijlagen en upload deze naar de aanvallers. Onderzoekers hebben niet in staat om te kunnen vaststellen welke groep is achter de aanslagen geweest, maar een beetje van indirect bewijs wijst op een Chinese groep. Dat bewijs? Tijdzones. De aanvaller verzoekt alle gebruik de regio Azië / Hong_Kong tijdzone en de timing van alle phishing-e-mails lijnen mooi met een work-dag in die tijdzone.

Zimbra heeft gereageerd, bevestiging van de kwetsbaarheid en het publiceren van een hotfix voor. De campagne lijkt te zijn gericht specifiek tegen Europese regeringen, en diverse media. Als u een Zimbra instantie uitvoert, zorg ervoor dat u gebruik maakt van ten minste 8.8.15.1643980846.p30-1.

LockBit 2.0

Omdat security professionals iets anders te houden ons bezig nodig, de LockBit ransomware campagne is terug voor een tweede ronde. Dit is een andere ransomware campagne in de as-a-Service-patroon – RAAS. LockBit 2 heeft genoeg aandacht gevangen, dat de FBI een FLASH-bericht (PDF) over heeft gepubliceerd. Dat is de FBI Liaison Alert System, in de running voor de ergste acroniem. (Help ze erachter te komen wat de “H” staat voor in de reacties hieronder!)

Net als veel andere ransomware campagnes, LockBit heeft een lijst van taal codes die een borgtocht op executie leiden – de Oost-Europese talen die u zou verwachten. Ransomware exploitanten hebben lang geprobeerd hun eigen putten niet te vergiftigen door het raken van doelen in hun eigen achtertuin. deze worden weergegeven als eveneens een Linux-module, maar het blijkt dat beperkt is tot VMWare ESXi virtuele machines. Een reeks van IOC’s zijn gepubliceerd, en de FBI vraagt elke logs, losgeld notities of ander bewijsmateriaal mogelijk gerelateerd aan deze campagne om hen te worden gezonden, indien mogelijk.

Niet de Mimosas Je bent op zoek naar

En spreken van de overheid mededelingen, heeft CISA een advies over Mimosa draadloze producten gepubliceerd, op basis van meerdere CVE’s, met drie van hen het scoren van de gevreesde 10,0. Er zijn onjuist problemen vergunning, zodat API endpoints zijn toegankelijk zonder authenticatie; een server-side verzoek Vervalsing probleem, dat kan een aanvaller te smokkelen berichten via een web frontend mogelijk te maken; een SQL-injectie; en zelfs ongezouten MD5 hashing voor het opslaan van wachtwoorden.

Deze zwakke plekken ontdekt door Noam Moshe, een onderzoeker bij Claroty. Hij is weg op de plaat te bevestigen dat het zo slecht was als het leek, dat de aanval op de cloud-interface zou kunnen leiden tot een compromis van in-the-field hardware. Er is geen full write-up op dit verhaal, maar tot nu toe lijkt het een niet-officiële black-box security audit te zijn, dus het is niet een officiële code review. Dit zijn slechts de beveiligingslekken op door de beperkte controle ontdekt. houd een oog voor meer problemen te vinden.

SAP Pays Hun Log4J Dues

Een van de redenen van de Log4J kwetsbaarheid wordt een dergelijke hoofdpijn is omdat Java-bibliotheken zijn ingebed in zoveel binaire bestanden en apparaten, en vereisen een update van de gehele binair naar oplossing voor problemen. Als de kwetsbaarheid werd in glibc, alleen dat de bibliotheek kan worden bijgewerkt, maar elke binary dat Log4j omvat moet individueel worden bijgewerkt. Het maken van het punt dat dit is een lang proces, heeft SAP hun fixes uitgebracht voor hun februari patch dag. zes van de top acht kwetsbaarheden vaste zijn Log4J. dit gaat rond voor een lange tijd.

Cisco RV Routers

De Cisco RV160, RV260, RV340 en RV345 kleine zakelijke routers hebben zowel een RCE en privilege escalatie kwetsbaarheid, met PoC code beschikbaar. De RCE is een eenvoudige HTTP request dat toegangscontroles omzeilt. een aantal van deze eenheden ook een commando injectie kwetsbaarheid, waarbij gebruikersinvoer onvoldoende gezuiverd, wat leidt tot opdrachten worden uitgevoerd op het onderliggende systeem. Terwijl patches zijn beschikbaar, heeft Cisco aangegeven dat er geen oplossingen voor deze gebreken. denk erover na. Je kunt letterlijk niet deze apparaten te vergrendelen omlaag genoeg om een RCE voorkomen. nogmaals, ga dan naar uw netwerk kast, om te zien of een van deze verschuilen zich daar ergens.

Onderzoeker Breaks Noord-Korea

Als je verstrikt raken in een door de staat gesponsorde hacken campagne, wat is een redelijke respons? Als u een onafhankelijke onderzoeker als zijn [P4X], de lancering van uw eigen DoS aanval tegen de buitenlandse natie is niet uit de vraag. Wij vallen de oorspronkelijke campagne terug toen het gebeurde – Noord-Koreaanse hackers zich voordeed als security onderzoekers en stak zijn hand uit naar andere onderzoekers, vragen om hulp met een project. De vangst is dat het project ze wilden meewerken aan was eigenlijk een booby-traps Visual Studio project. [P4X] was een van de researchers die gericht waren, en dit zat niet goed bij hem.

Noord-Korea staat niet bekend om de meest up-to-date versies van alles te gebruiken, en er waren genoeg problemen bij de productie dat deze enkele onderzoeker de meeste van hun internettoegang voor een tijdje kon kloppen. Dit is bevestigd door onafhankelijke onderzoekers, met name netblocks:

Spoolfool

En als u zich afvraagt, blijft de Windows Print Spooler een ramp voor beveiliging. Er zijn in de afgelopen paar jaar meerdere spooler-kwetsbaarheden geweest, maar van opmerking is CVE-2020-1030, een aanval waarmee de spoolmap kan worden geplaatst in een systeemmap en het overschrijven van belangrijke bestanden. De oplossing hiervoor was om te controleren of de spooler-directory eigenlijk veilig is om naar te schrijven. Nu hebben we CVE-2022-21999, een bypass voor die patch. De essentie is dat een aanvaller een printer kan toevoegen met een spooldirectory die veilig is, maar onder de controle van de aanvaller, en vervolgens een directory-junctie te gebruiken om een ​​systeemmap op dezelfde plaats in kaart te brengen. Dit geeft nog steeds de cheque door, maar maakt het schrijven van een kwaadwillende DLL aan de map van de printerdriver. Laad de driver, trigger een spooler opnieuw op en je hebt escalatie naar het systeem.

SHA256

Er is iets heel bevredigend aan het eindelijk begrijpen van een algoritme dat uw computer elke dag gebruikt voor codering. Als je dit leest, ben je waarschijnlijk op dezelfde manier geïntrigeerd door algoritmen. Ik presenteer de step-by-step Sha256 Visualizer.

Leave a Reply

Your email address will not be published. Required fields are marked *