W tym tygodniu przegląd cyberbezpieczeństwa zagłębia się w krytyczne luki w zabezpieczeniach, geopolityczne kampanie cybernetyczne i pojawiające się zagrożenia kształtujące krajobraz bezpieczeństwa. Te dziesięć historii podkreśla, dlaczego bycie poinformowanym i proaktywnym jest kluczem do ochrony organizacji. Poznajmy szczegóły.
1. Zero-day w systemie PAN-OS Firewall aktywnie wykorzystywany
Krytyczna luka zero-day w interfejsie zarządzania zaporą sieciową PAN-OS firmy Palo Alto Networks jest aktywnie wykorzystywana przez podmioty stanowiące zagrożenie. Zaobserwowano, że atakujący wdrażają powłoki sieciowe w zaatakowanych systemach, zapewniając im stały zdalny dostęp do wrażliwej infrastruktury. Luce tej przypisano ocenę CVSS 9.3, co wskazuje na jej poważny wpływ.
Firma Palo Alto Networks pilnie wydała poprawki dla zagrożonych wersji, w tym aktualizacje, które rozwiązują problemy związane z eskalacją uprawnień i obejściem uwierzytelniania. Luka nie wymaga interakcji użytkownika ani uprawnień do jej wykorzystania, co czyni ją mało złożonym, ale wysoce skutecznym zagrożeniem. Organizacje korzystające z zapór sieciowych PAN-OS muszą natychmiast zastosować te poprawki i ograniczyć dostęp do interfejsów zarządzania, aby zmniejszyć ryzyko.
Incydent ten podkreśla rosnące ryzyko związane z błędnie skonfigurowanymi lub odsłoniętymi systemami zarządzania zaporami ogniowymi i podkreśla znaczenie proaktywnego monitorowania i terminowego łatania.
(Źródło: The Hacker News)
2. Zero-day Fortinet VPN wykorzystany przez złośliwe oprogramowanie DeepData
APT41, wspierana przez chińskie państwo grupa zajmująca się zaawansowanymi, trwałymi zagrożeniami (APT), wykorzystuje nieznaną wcześniej lukę zero-day w kliencie VPN Fortinet dla systemu Windows. Atak jest częścią kampanii wykorzystującej złośliwe oprogramowanie DeepData, zaprojektowane do kradzieży danych uwierzytelniających i eksfiltracji poufnych informacji z zaatakowanych systemów.
DeepData działa za pośrednictwem modułowych wtyczek, atakując przeglądarki, platformy komunikacyjne i menedżery haseł, jednocześnie umożliwiając atakującym nagrywanie dźwięku przez mikrofon ofiary. Pomimo zgłoszenia kilka miesięcy temu, luka ta pozostaje niezałatana, narażając użytkowników na znaczne ryzyko.
Organizacje korzystające z rozwiązań VPN firmy Fortinet są proszone o ścisłe monitorowanie swoich systemów pod kątem podejrzanej aktywności i stosowanie strategii łagodzących w oczekiwaniu na oficjalną poprawkę. Incydent ten podkreśla znaczenie rygorystycznego monitorowania punktów końcowych i odpowiedzialności dostawców w utrzymywaniu bezpiecznych systemów. (Źródło: SecurityWeek)
3. Niemcy przygotowują się na cyberzagrożenia w obliczu przedterminowych wyborów
Zbliżające się przedterminowe wybory w Niemczech wywołały zwiększone obawy o cyberbezpieczeństwo. W związku ze zidentyfikowaniem zaawansowanych trwałych zagrożeń (APT) wymierzonych w infrastrukturę krytyczną i instytucje publiczne, niemieckie Ministerstwo Spraw Wewnętrznych podkreśliło potrzebę wzmocnienia obrony cyfrowej. Minister spraw wewnętrznych Nancy Faeser podkreśliła znaczenie ochrony demokracji w sferze cyfrowej przed dezinformacją, cyberszpiegostwem i destrukcyjnymi atakami.
Federalny Urząd ds. Bezpieczeństwa Informacji poinformował o zwiększonym poziomie zagrożenia, wskazując grupy powiązane z Rosją jako kluczowe podmioty wykorzystujące napięcia geopolityczne do destabilizacji europejskich demokracji. Podjęte na początku tego roku wysiłki na rzecz modernizacji przepisów dotyczących bezpieczeństwa IT rozszerzyły obowiązki w zakresie zgłaszania incydentów cybernetycznych, ale rząd ostrzega, że utrzymujące się luki w firewallach i systemach VPN wymagają pilnej uwagi.
Sytuacja ta podkreśla szerszy trend, zgodnie z którym wybory stają się kluczowym celem operacji cybernetycznych sponsorowanych przez państwo. (Źródło: Euronews)
4. Błąd w VMware vCenter Server wykorzystany
Krytyczna luka w zabezpieczeniach VMware vCenter Server (CVE-2024-38812) osiągnęła status aktywnej exploitacji. Dziura ta umożliwia zdalnym atakującym wykonanie dowolnego kodu poprzez przepełnienie sterty w protokole Distributed Computing Environment / Remote Procedure Call (DCERPC).
Pomimo wydania wstępnej poprawki we wrześniu, VMware potwierdziło, że jest ona niekompletna i wymaga dalszych aktualizacji w celu rozwiązania problemu. Atakujący wykorzystali już tę lukę w środowiskach rzeczywistych, przy czym informacje na temat zakresu tych ataków lub wskaźników kompromitacji (IoC) są ograniczone. VMware zdecydowanie wzywa użytkowników do stosowania najnowszych poprawek i priorytetowego zabezpieczania narażonych instancji.
Incydent ten przypomina o złożoności zarządzania poprawkami i konieczności kompleksowego testowania podatności. (Źródło: SecurityWeek)
5. Atak Sitting Ducks zagraża 1 mln domen
Niedawno odkryty wektor ataku, nazwany „Sitting Ducks”, naraża ponad milion domen na przejęcie z powodu błędnej konfiguracji DNS. Technika ta umożliwia podmiotom stanowiącym zagrożenie uzyskanie pełnej kontroli nad domeną poprzez wykorzystanie słabości konfiguracji DNS, umożliwiając kampanie phishingowe, dystrybucję złośliwego oprogramowania i oszustwa.
Badacze cyberbezpieczeństwa zidentyfikowali 70 000 przejętych domen, z których wiele było wykorzystywanych do oszustw inwestycyjnych, stron phishingowych i innych złośliwych działań. Główne grupy zagrożeń, w tym Vacant Viper i Hasty Hawk, wykorzystują te domeny do atakowania globalnych przedsiębiorstw i osób prywatnych.
Zachęcamy firmy do przeprowadzenia audytu konfiguracji DNS, wdrożenia solidnych procesów weryfikacji własności i przyjęcia zaawansowanych narzędzi bezpieczeństwa w celu wykrywania i łagodzenia zagrożeń związanych z przejęciem domeny. (Źródło: Cybersecurity News)
6. Luka w PostgreSQL umożliwia wykonanie kodu
Luka o wysokim stopniu ważności (CVE-2024-10979) w PostgreSQL pozwala atakującym na manipulowanie zmiennymi środowiskowymi, umożliwiając wykonanie dowolnego kodu lub ujawnienie informacji. Dziura dotyczy sposobu, w jaki PostgreSQL przetwarza wartości zdefiniowane przez użytkownika, co może zostać wykorzystane przez nieuprzywilejowanych użytkowników do zmiany wrażliwych zmiennych procesowych.
PostgreSQL opublikował poprawki dla wielu wersji, wzywając użytkowników do natychmiastowej aktualizacji. Dodatkowe kroki łagodzące obejmują ograniczenie uprawnień CREATE FUNCTION i ograniczenie korzystania ze współdzielonych bibliotek preload. Luka ta podkreśla ciągłe ryzyko związane z błędną konfiguracją bazy danych i niezaktualizowanym oprogramowaniem w środowiskach korporacyjnych. (Źródło: The Hacker News)
7. Irańscy hakerzy wykorzystują złośliwe oprogramowanie WezRat w kampaniach phishingowych
Irańska grupa APT Cotton Sandstorm (dawniej Emennet Pasargad) została powiązana z wyrafinowaną kampanią phishingową wymierzoną w izraelskie organizacje. Pod pozorem pilnych aktualizacji Chrome, wiadomości phishingowe wdrażają złośliwe oprogramowanie WezRat, umożliwiające atakującym wykonywanie poleceń, przechwytywanie zrzutów ekranu i eksfiltrację poufnych danych.
Modułowa konstrukcja złośliwego oprogramowania obejmuje funkcje keyloggingu i kradzieży plików cookie, z dodatkowymi poleceniami pobieranymi z serwerów dowodzenia i kontroli. Organizacjom zaleca się przeanalizowanie nieoczekiwanej komunikacji e-mail i poprawę wykrywania punktów końcowych w celu ograniczenia ryzyka. (Źródło: The Hacker News)
8. T-Mobile w chińskiej kampanii cyberszpiegowskiej
T-Mobile stał się najnowszym celem chińskiego aktora Salt Typhoon w szeroko zakrojonej kampanii szpiegowskiej. Atak miał na celu uzyskanie dostępu do poufnych danych połączeń i informacji organów ścigania poprzez infiltrację sieci telekomunikacyjnych.
Chociaż T-Mobile nie zgłosił żadnych znaczących skutków, incydent ten podkreśla wrażliwość sektora telekomunikacyjnego. Agencje ds. cyberbezpieczeństwa ostrzegają, że kampania ta odzwierciedla szersze wysiłki Chin mające na celu rozszerzenie ich cyfrowego nadzoru i wpływów. (Źródło: SecurityWeek)
9. Wstrzyknięcie promptu ChatGPT budzi obawy o bezpieczeństwo
Badacze Mozilli odkryli luki w obsłudze monitów ChatGPT, narażając wewnętrzne konfiguracje i zwiększając ryzyko dla wdrożeń korporacyjnych. Dziury te mogą pozwolić atakującym na ominięcie mechanizmów bezpieczeństwa lub wyciek poufnych danych.
Podczas gdy OpenAI zapewnia, że takie funkcje są zamierzone, eksperci ostrzegają przed ryzykiem związanym z inżynierią wsteczną tych konfiguracji, szczególnie w przypadku niestandardowych modeli GPT używanych w aplikacjach korporacyjnych. Podkreśla to potrzebę solidnych zabezpieczeń we wdrożeniach generatywnej sztucznej inteligencji. (Źródło: Dark Reading)
10. Administracja Trumpa może zmienić podejście do cyberbezpieczeństwa
W miarę jak administracja Trumpa przygotowuje się do drugiej kadencji, eksperci ds. cyberbezpieczeństwa przewidują znaczące zmiany w polityce. Analitycy przewidują zmniejszenie nadzoru regulacyjnego dla większości branż, a także większy nacisk na ochronę infrastruktury krytycznej i cyberbezpieczeństwo związane z handlem.
Oczekuje się, że globalne napięcia, zwłaszcza z Chinami, będą eskalować, potencjalnie prowadząc do gwałtownego wzrostu cyberataków państw narodowych wymierzonych w sieci energetyczne, systemy wodne i sieci komunikacyjne. Przedsiębiorstwa muszą przygotować się na ewoluujący krajobraz zagrożeń, ponieważ dynamika polityczna napędza nowe motywacje dla przeciwników. (Źródło: Dark Reading)
Bądź na bieżąco z najnowszymi osiągnięciami w dziedzinie cyberbezpieczeństwa, śledząc te historie i upewnij się, że protokoły bezpieczeństwa Twojej organizacji są aktualne.
Chcesz dowiedzieć się więcej na ten temat?
Nasi eksperci i opiekunowie handlowi są do Twojej dyspozycji. Zostaw swoje dane, a my wkrótce się z Tobą skontaktujemy.