Noutățile săptămânii din Securitatea Cibernetică (24.01.2020)
Cisco a abordat o problemă critică în Cisco Firepower Management Center (FMC) care ar putea permite unui atacator de la distanță să ocolească autentificarea și să execute acțiuni arbitrare
Cisco a rezolvat o vulnerabilitate critică în Cisco Firepower Management Center, care ar putea permite unui atacator de la distanță să obțină acces administrativ la interfața de gestionare bazată pe web a dispozitivelor vulnerabile și să execute acțiuni arbitrare. Vulnerabilitatea urmărită ca CVE-2019-16028 a primit un scor CVSS de 9,8.
„O vulnerabilitate în interfața de administrare bazată pe Web a Cisco Firepower Management Center (FMC) ar putea permite unui atacator neautentificat, de la distanță, să ocolească autentificarea și să execute acțiuni arbitrare cu privilegii administrative pe un dispozitiv afectat”, se arată în avizul de securitate publicat de Cisco.
„Vulnerabilitatea se datorează manipulării necorespunzătoare a răspunsurilor de autentificare LDAP (Lightweight Directory Access Protocol) de la un server de autentificare extern. Un atacator ar putea exploata această vulnerabilitate trimițând cereri HTTP elaborate pe un dispozitiv afectat. O exploatare de succes ar putea permite atacatorului să obțină acces administrativ la interfața de gestionare bazată pe web a dispozitivului afectat. "
Problema, Cisco provine din tratarea necorespunzătoare a răspunsurilor de autentificare LDAP (Lightweight Directory Access Protocol) de la un server extern. Problema ar putea fi declanșată prin trimiterea de solicitări HTTP elaborate pe un dispozitiv vulnerabil și obține acces administrativ la interfața de gestionare bazată pe web.
Sursa: https://securityaffairs.co/wordpress/96755/security/cisco-firepower-management-center-flaw.html
Peste 2000 de site-uri WordPress lovite de redirecționări rău intenționate
Mii de site-uri WordPress au fost infectate cu JavaScript rău intenționat, în încercarea de a promova site-urilede înșelătorie, potrivit site-ului Sucuri. Numărul de infecții s-a majorat săptămâna trecută, cu hackerii care exploatau vulnerabilități în diverse plugin-uri, inclusiv Simple Fields și Formularul de contact CP cu PayPal, a explicat vânzătorul de securitate într-o postare pe blog.
După exploatare, hackerii sunt capabili să injecteze JavaScript, care începe o serie de redirecționări către un site fraudulos „sondaj-pentru-cadouri”, unde utilizatorii sunt păcăliți să predea informațiile personale și să instaleze în mod involuntar malware. Printre domeniile înregistrate ca parte a campaniei se numără gotosecond2.com, adsformarket.com, admarketlocation.com și admarketresearch.Xyz.
De asemenea, atacatorii au fost observați abuzând / wp-admin / caracteristici pentru a crea directoare de plugin-uri false care conțin mai multe malware, de exemplu, prin încărcarea fișierelor comprimate cu zip folosind fișierul /wp-admin/include/plugin-install.php pentru a încărca și decupla plugin fals comprimat în / wp-content / plugins /.
Un expert a găsit o cheie SSH cu coduri hard în aparatele SIEM Fortinet
Expertul a găsit o cheie publică SSH cu coduri tari în informațiile de securitate și gestionarea evenimentelor Fortinet FortiSIEM, care pot permite accesul la supervizorul FortiSIEM
Andrew Klaus, un specialist în securitate din Cybera, a descoperit o cheie publică SSH cu coduri grele în Fortinet Informațiile de securitate și gestionarea evenimentelor FortiSIEM, care pot fi folosite de atacatori la Supervizorul FortiSIEM. Expertul a descoperit că dispozitivele Fortinet au aceeași cheie SSH pentru utilizator „tunneluser” și că este stocată în text simplu. „FortiSIEM are o cheie publică SSH cu coduri dure pentru utilizatorul„ tunneluser ”, care este aceeași între toate instalările.
Un atacator cu această cheie se poate autentifica cu succes ca acest utilizator către Supervizorul FortiSIEM.
„Cheia necriptată este de asemenea stocată în imaginea FortiSIEM. Deși shell-ul utilizatorului este limitat la rularea scriptului / opt / phoenix / phscripts / bin / tunnelshell, autentificarea SSH reușește în continuare. "
Fortinet a publicat un aviz de securitate pentru problema care este urmărită ca CVE-2019-17659. Vulnerabilitatea ar putea fi exploatată de atacatori pentru a declanșa o confidență a refuzului de serviciu. „Utilizarea vulnerabilității cheii criptografice cu coduri dure în FortiSIEM poate permite unui atacator neautentificat de la distanță să obțină acces SSH la supervizor ca„ tunneluser ”al utilizatorului restricționat, folosind cunoștințele despre cheia privată de la o altă instalație sau o imagine de firmware.”
VMware a lansat actualizări de securitate pentru a rezolva o vulnerabilitate a escaladării privilegiilor locale în VMware Tools
VMware a lansat VMware Tools 11.0.0 care abordează o problemă de escaladare a privilegiilor locale în Instrumente 10.x.y urmărite ca CVE-2020-3941. Problema, clasificată ca un defect al condițiilor de cursă care ar putea fi exploatat de un atacator pentru a accesa mașina virtuală invitată pentru a escalada privilegiile.
Vulnerabilității i s-a atribuit un rating important de severitate și un scor CVSS de 7,8.
De asemenea, compania sugerează o soluție de rezolvare în cazul în care utilizatorii nu își pot actualiza versiunea. „Cu toate acestea, dacă actualizarea nu este posibilă, exploatarea acestei probleme poate fi împiedicată prin corectarea ACL-urilor din directorul C: \ ProgramData \ VMware \ VMware din invitații Windows care rulează versiunile VMware Tools 10.x.y. Pentru a corecta ACL-urile pentru acest director, eliminați din directorul toate permisiunile de acces la scriere pentru utilizator standard ", se citește Rezolvarea soluțiilor pentru instrumentele VMware pentru vulnerabilitatea securității Windows (CVE-2020-3941) (76654). Recent, gigantul de virtualizare a dezvăluit și o problemă de dezvăluire a informațiilor, urmărită ca CVE-2020-3940, care afectează Workpace ONE SDK și aplicații mobile iOS și Android dependente.
Aplicațiile vulnerabile nu gestionează în mod corect eșecurile de verificare a certificatelor dacă fixarea SSL este activată în Consola UEM. „O vulnerabilitate de divulgare a informațiilor sensibile în spațiul de lucru VMware ONE SDK a fost raportată în mod privat la VMware”, se arată în avizul de securitate.
