Noutățile Săptămânii din Securitate Cibernetică 09.04.2021

Cisco a emis actualizări care remediază 3 vulnerabilități de securitate

Dintre cele 3 vulnerabilități CISCO soluționate, CVE-2021-1479 are un scor de severitate de 9.8/10, fiind o vulnerabilitate de tip „pre-authentication remote code execution” și afectând componenta remote management a SD-WAN vManager Software.

Celelalte două vulnerabilități vizează același produs, afectând nivelul user management (CVE-2021-1137) și system file transfer (CVE-2021-1480), iar în urma exploatării acestora, atacatorii pot obține privilegii ”root” la nivelul sistemului de operare subiacent.

Sursa: https://www.bleepingcomputer.com/news/security/cisco-fixes-bug-allowing-remote-code-execution-with-root-privileges/

Vulnerabilități de securitate în VMware EsXi

Vulnerabilitățile CVE-2019-5544 și CVE-2020-3992 au fost fixate în 2019, respectiv 2020, însă există companii care încă nu au aplicat actualizările necesare, devenind victimele atacurilor cu malware, precum RansomExx sau BabukLocker Trojan, care au capabilități dedicate vulnerabilităților indicate.

În acest context, protecția sistemelor poate fi realizată prin actualizarea VMware ESXi (sau cel puțin a unui workaround), actualizarea Microsoft Netlogon (exploatat pentru lansarea atacurilor), utilizarea unor soluții antivirus pentru fiecare sistem sau a unor soluții avansate de tip Managed Detection and Response.

Sursa: https://www.kaspersky.com/blog/ransomware-in-virtual-environment/39150/

Nou malware care vizează Andoid, transmis printr-o aplicație din Google Play Store

Cercetătorii de la Check Point au identificat un malware ascuns în cadrul aplicației ‘FlixOnline’, care ar trebui să permită utilizatorilor săi să acceseze pe mobil conținut Netflix, din orice parte a lumii. În realitate, aplicația monitorizează notificările generate de aplicația de mesagerie WhatsApp, trimițând răspunsuri automate mesajelor primite de utilizator.

Răspunsurile sunt de forma: „2 Months of Netflix Premium Free at no cost For REASON OF QUARANTINE (CORONA VIRUS)* Get 2 Months of Netflix Premium Free anywhere in the world for 60 days. Get it now HERE

Sursa: https://blog.checkpoint.com/2021/04/07/autoreply-attack-new-android-malware-found-in-google-play-store-spreads-via-malicious-auto-replies-to-whatsapp-messages/

Vulnerabilitate de securitate în dispozitivele Fortinet VPN

Dispozitivele Fortinet VPN care nu au aplicat patch-ul de securitate sunt vizate într-o serie de atacuri cu o campanie de ransomware numit “Cring”. Cele mai multe atacuri s-au produs în primul trimestru al anului 2021.

Vulnerabilitatea exploatată este CVE-2018-13379 și se referă la o eroare de tip „path traversal” în portalul web FortiOS SSL VPN, care permite atacatorilor neautentificați să citească fișierele de sistema, inclusiv fișierul de sesiune, care conține nume de utilizator și parole stocate în text simplu. Ransomware-ul Cring criptează fișierele și eliberează o nota de răscumpărare care solicită plata a doi bitcoin.

Deși patch-urile de securitate pentru vulnerabilitatea respectivă au fost lansate în 2019, Fortinet a declarant că a identificat un număr mare de dispozitive VPN pentru care un au fost aplicată corecția.

 Sursa: https://thehackernews.com/2021/04/hackers-exploit-unpatched-vpns-to.html