Noutățile Săptămânii din Securitate Cibernetică 05.02.2021
Vulnerabilitate de tip 0-day în browser-ul Chrome
Google a remediat vulnerabilitatea de tip 0-day în browser-ul web Chrome pentru desktop. Actualizarea 88.0.4324.150 pentru Windows, Mac și Linux remediază o vulnerabilitate de depășire a heap buffer (CVE-2021-21148) în motorul să de redare JavaScript V8.
Sursa: https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html
Un executabil nativ în Windows poate fi exploatat pentru a compromite și fura informații
Cercetătorul de securitate John Page a identificat un executabil nativ în Windows 10, finger.exe, fiind o comandă care face parte din categoria „living-off-the-land binaries” și poate permite persoanelor rău intenționate să introducă în sistem malware, trecând de controalele de securitate, fără a declanșa alerte în sistem.
Finger.exe este o comandă specifică Windows și permite obținerea de informații despre computere aflate la distanță ce rulează serviciul Finger. Pe lângă funcția de bază, la nivelul executabilului a fost identificat potențialul de a rula sub forma unui „file downloader” și a unui server de comandă și control improvizat, permițând atacatorilor să transmită comenzi și să extragă date. Activitatea anormală poate fi mascată pentru a evita detectarea de către Windows Defender.
De asemenea, cercetătorul de securitate a descoperit că comanda Microsoft Windows TCPIP Finger poate funcționa și pentru descărcarea de fișiere și drept server improvizat de comandă și control (C3) care poate fi utilizată pentru transmiterea comenzilor și exfiltrarea datelor.
Sursa: https://www.hackread.com/windows-finger-command-minebridge-backdoor/
Un nou malware vizează clustere de calcul de înaltă performanță
Compania ESET atrage atenția cu privire la backdoor-ul Kobalos, ce vizează clustere de calcul de înaltă performanță, asociate cu universități sau agenții guvernamentale. Malware-ul include o gamă largă de comenzi, ceea ce face dificilă identificarea intenției atacatorilor. Kobalos oferă acces la file system, poate crea terminal sessions și transformă un server compromis într-un server de comandă și control.
ESET a indicat că malware-ul poate afecta sistemele de operare Linux, FreeBSD, Solaris și posibil AIX și Windows. În plus, Kobalos utilizează mecanisme complexe pentru a rămâne ascuns, singurul indicator observat al prezenței sale fiind un client OpenSSH compromis.
Sursa: https://thehackernews.com/2021/02/a-new-linux-malware-targeting-high.html
Exploatarea vulnerabilităților VMware ESXi pentru lansarea de ransomware
Conform mai multor cercetători de securitate cibernetică, începând cu octombrie 2020, grupul responsabil de lansarea ransomware-ului RansomExx utilizează vulnerabilitățile CVE-2019-5544 și CVE-2020-3992, specifice VMware ESXi, o soluție ce permite mai multor sisteme virtuale să acceseze un hard drive comun.
Vulnerabilitățilhttps://www.vmware.com/products/esxi-and-esx.htmle afectează Service Location Protocol (SLP), utilizat de atacatori pentru a trimite cereri SLP către un dispozitiv ESXi și pentru a prelua ulterior controlul asupra acestuia. În cadrul atacurilor realizate anul trecut, atacatorii au utilizat instanțe ESXi ca punct de intrare în rețelele companiilor, criptând apoi hard disk-urile virtuale.
Evitarea atacurilor la nivelul VMware ESXi poate fi realizată prin efectuarea actualizărilor recente sau prin dezactivarea protocolului SLP, dacă acesta nu este necesar.
Vulnerabilități de securitate în routerele Cisco VPN
Cercetătorul de securitate Takeshi Shiomitsu a raportat nouă vulnerabilități de securitate în routerele Cisco VPN, care ar putea provoca atacuri de executare a codului de la distanță (RCE).
În acest sens, Cisco a declarat precum că vulnerabilitățile CVE-2021-1289, CVE-2021-1290, CVE-2021-1291, CVE-2021-1292, CVE-2021-1293, CVE-2021-1294 și CVE-2021-1295 reprezintă rezultatul validării incorecte a solicitărilor HTTP, permițând unui potențial atacator să creeze o cerere HTTP special concepută către interfața de gestionare bazată pe web, realizând, astfel, atacurile de tip RCE.
CVE-2021-1296 și CVE-2021-1297 se datorează validării insuficiente a intrărilor, permițând unui atacator să exploateze aceste vulnerabilități utilizând interfața de administrare bazată pe web pentru a încărca un fișier într-o locație la care nu trebuie să aibă acces.
Sursa: https://thehackernews.com/2021/02/critical-flaws-reported-in-cisco-vpn.html
