Știrile săptămânii din cybersecurity (02.04.2020)

2020/04/02
Popularitate 1079

Vulnerabilitate a dispozitivelor Apple care folosesc iOS 13.4

La mai puțin de o săptămână de la apariția sistemului de operare iOS 13.4, unul specific dispozitivelor mobile Apple, cercetătorii companiei ProtonVPN au descoperit o vulnerabilitate nouă ce ar permite unui atacator să intercepteze conexiunile securizate de tip VPN.

Această vulnerabilitate este cauzată de faptul că sistemul de operare iOS nu închide conexiunile existente, atunci când este inițiată o conexiune de tip tunel VPN. Vulnerabilitatea este prezentă deopotrivă în versiunile iOS 13.3.1 și 13.4.

Deoarece tot mai mulți angajați utilizează diverse servicii VPN pentru lucrul de la distanță în contextul COVID-19, cercetătorii ProtonVPN au considerat oportună publicarea vulnerabilității, cu toate că nu a fost identificată încă o modalitate de remediere.

Aceștia au considerat că este mai important ca furnizorii de servicii VPN și clienții acestora să fie informații cu privire la aceste atacuri de interceptare a traficului și au propus o alternativă provizorie pentru limitarea posibilităților de exploatare, prin activarea și dezactivarea modului avion înainte de inițierea tunelului VPN.

Microsoft avertizează spitalele vulnerabile la atacuri ransomware

Compania Microsoft a sesizat zeci de spitale, care aveau în infrastructură gateway-uri sau echipamente VPN vulnerabile, cu privire la posibilele atacuri ce vizează sistemul medical pe fondul crizei COVID-19.

Astfel, în ultima perioadă a fost observată o creștere a numărului de atacuri de tip ransomware care profită de serviciile de lucru de la distanță. Un exemplu este campania REvil, cunoscută și sub denumirea Sodinokibi, care exploatează vulnerabilități ale dispozitivelor Pulse VPN, în ransomware-ul Travelex.

Alți atacatori, cum ar fi DoppelPaymer și Ragnarok, au fost observați în trecut utilizând vulnerabilitatea CVE-2019-1978 din echipamentele Citrix ADC, pentru a compromite o rețea țintă. Odată ce atacatorii ajungeau în infrastructura vizată, aceștia  răspândeau malware-ul în rețea, obțineau drepturi de administrator și apoi criptau datele de pe dispozitiv.

Aplicația Zoom are probleme majore de securitate

În vreme ce tot mai multe persoane sunt nevoite să lucreze de la distanță, datorită restricțiilor impuse de răspândirea COVID-19, aplicația Zoom câștigă tot mai multă popularitate. Ceea ce nu știu utilizatorii este faptul că aplicația prezintă o serie de vulnerabilități și funcții ascunse: 

- Zoom știe când nu ești atent la videoconferință;

- Zoom nu îți urmărește doar atenția, te urmărește pe tine;

- Zoom nu utilizează criptarea end-to-end;

- Un bug al Zoom permite accesul neautorizat la camera web;

- Zoombombing - atacatorii pot perturba sau deturna sesiuni video.

Mii de servere Microsoft SQL sunt compromise zilnic în campania 'Vollgar'

Conform unui raport realizat de experții de la Guardicore Labs, începând cu luna mai 2018 și până la ora actuală, mii de servere Microsoft SQL (MSSQL) au fost compromise zilnic și sunt utilizate în diferite scopuri frauduloase, precum minarea de criptomonede.

Potrivit rezultatelor, campania de atacuri informatice, denumită sugestiv Vollgar, este încă activă și, în medie, aproximativ 2000-3000 de servere MSSQL sunt accesate neautorizat, principala metodă de compromitere a acestora fiind brute-force­-ul credențialelor de autentificare.

Odată compromise astfel de servere, atacatorii instalează pe acestea diferite tipuri de software-uri malițioase, cele mai întâlnite fiind cele destinate minării de criptomonedă (Monero și Vollar), dar și cele pentru accesarea de la distanță, chiar și după remedierea vulnerabilității (backdoor sau RAT).

Specialiștii Guardicore oferă în mod gratuit un script Powershell, pentru detecția și prevenirea atacurilor din campania Vollgar.

Continuă valul de campanii de tip scam. Atacatorii se folosesc acum de imaginea Mega Image sau Carrefour

Atacatorii par să se folosească în continuare de domeniu .club pentru a lansa tentative de fraudare a clienților din România ai unor hypermarketuri cunoscute la nivel național. Așadar, a venit rândul Carrefour să îi fie copiată și utilizată identitatea vizuală într-o campanie de tip scam cu vouchere false de cumpărături.

Ca și în cazurile precedente, încercarea de păcălire a utilizatorilor păstrează aceiași pași: 3 întrebări generice despre experiența la cumpărături în Carrefour, redirecționare către diverse site-uri potențial malițioase și răspândirea mai departe a campaniei către contactele de WhatsApp ale victimei. Totuși, suma oferită ca recompensă de către atacatori pare să crească de la campanie la campanie, ajungând acum la o valoare de 5000 de ron, dublu față de scam-ul precedent, în care se foloseau de MegaImage.


Vizualizat de 1938 ori