.
em resumo Pensávamos que provavelmente era o caso quando a notícia saiu, mas agora foi confirmado: o ataque à cadeia de suprimentos X_Trader por trás do comprometimento da 3CX no mês passado não se limitou ao desenvolvedor de telecomunicações.
Muito pelo contrário, de fato, de acordo com a Symantec. “A data, [we] descobriu que entre as vítimas estão duas organizações de infraestrutura crítica no setor de energia, uma nos EUA e outra na Europa. Além disso, duas outras organizações envolvidas no comércio financeiro também foram violadas”, disse a Symantec anunciado sem citar nomes.
Para aqueles que não estão familiarizados com o incidente, 3CX relatado um ataque à cadeia de suprimentos que viu seu 3CX DesktopApp comprometido com uma versão trojanizada do aplicativo de negociação de futuros X_Trader publicado pela Trading Technologies.
Os produtos VoIP da 3CX são usados por uma variedade de clientes de alto nível, incluindo Mercedes Benz, Air France e o Serviço Nacional de Saúde do Reino Unido. O CEO da 3CX aceitou o compromisso quando os clientes começaram a perceber um comportamento estranho em suas instâncias do DesktopApp.
Ainda não está claro quando ou exatamente onde o ataque à cadeia de suprimentos começou, mas a Symantec disse que parece ter motivação financeira e está mirando em alvos críticos de infraestrutura. Com isso em mente, a Symantec disse que o comportamento se alinha com os hábitos norte-coreanos de se engajar em ataques motivados financeiramente que funcionam como missões de espionagem.
Com isso em mente, “não se pode descartar que organizações estrategicamente importantes invadidas durante uma campanha financeira sejam alvo de exploração adicional”, alertou a Symantec.
Como observamos na cobertura anterior do ataque 3CX, a Coreia do Norte não seria uma fonte surpresa. Ele atacou o instalador do X_Trader em 2021 para instalar o backdoor VEILEDSIGNAL. A análise técnica do malware tanto pela Symantec quanto pela Mandiant encontrou vestígios de VEILEDSIGNAL na cadeia de ataques usados para comprometer as instalações do 3CX DesktopApp.
A Symantec publicou uma lista de indicadores de comprometimento (IOCs) com sua análise do malware. Se o seu ambiente estiver executando qualquer software 3CX, pode ser uma boa ideia garantir que esses IoCs sejam incluídos no seu software de segurança.
Vulnerabilidades críticas da semana
O Google Chrome recebeu atualizações importantes na semana passada, incluindo uma que corrigiu um bug desagradável – CVE-2023-2136que já está sob ataque ativo.
A falha permite que um invasor ignore a tecnologia de sandbox no navegador Chrome, explorando um problema de estouro de número inteiro no mecanismo gráfico Skia.
O invasor hipotético já precisaria ter comprometido o processo do renderizador para gerenciá-lo, mas está claro que isso não foi um problema – pelo menos alguém está usando o exploit para o bug.
“O Google está ciente de que existe um exploit para CVE-2023-2136”, disse a Chocolate Factory. avisou.
Também foi uma semana vulnerável para a Cisco, que relata vários problemas críticos em vários produtos de software:
- CVSS 9.9 – vários CVEs: O Cisco Industrial Network Director contém um par de vulnerabilidades que podem permitir que um invasor autenticado injete comandos arbitrários do sistema operacional ou acesse dados confidenciais.
- CVS 9.1 – CVE-2023-20154: Cisco Modeling Labs tem uma vulnerabilidade de autenticação externa que pode dar a um invasor não autenticado acesso de administrador à interface da web da plataforma.
- CVS 8.8 – Múltiplos CVEs: SNMP no Cisco IOS e IOS XE são péssimos com vulnerabilidades que podem dar a um invasor remoto a capacidade de executar código remotamente ou forçar uma recarga do sistema.
- CVS 8.8 – CVE-2023-20046: A implementação SSH do Cisco StarOS contém uma falha que pode permitir que um invasor remoto autenticado aumente seus privilégios nos dispositivos afetados.
- CVS 8.6 – CVE-2023-20125: O Cisco BroadWorks Network Server tem uma vulnerabilidade que pode permitir que um invasor esgote os recursos do sistema e cause uma negação de serviço.
A VMware também relatou uma vulnerabilidade na quinta-feira, descrita como variando de 7,2 a 9,8 na escala CVSS e abrangendo dois CVEs. O problema afeta o VMware Aria Operations for Logs, que contém uma vulnerabilidade de desserialização por meio da qual um agente remoto não autenticado pode executar código arbitrário com permissões de root.
A CISA também compartilhou um trio de vulnerabilidades críticas de sistemas de controle industrial:
- CVS 10.0 – CVE-2023-2131: As versões de firmware ME RTU da INEA anteriores a 3.36 são vulneráveis à injeção de comandos do sistema operacional.
- CVS 9.8 – Múltiplos CVEs: Várias versões do software Easy UPS Online Monitoring da Schneider Electric contêm problemas de autenticação que podem permitir que um invasor aumente privilégios, ignore a autenticação e coisas do gênero.
- CVS 8.6 – Múltiplos CVEs: Todas as versões do Omron PLC CJ, PLC CS e PLC NX1P2 são vulneráveis a vulnerabilidades de desvio de autenticação que podem permitir que um invasor se faça passar por um usuário autorizado.
Há também um par de novas vulnerabilidades exploradas conhecidas:
- CVS 9.8 – CVE-2023-27350: PaperCut NG v.22.0.5 contém uma vulnerabilidade de desvio de autenticação que permite que um invasor execute código arbitrário.
- CVSS ainda não classificado – CVE-2023-2136: o mecanismo de renderização do Chrome, Skia, tem um problema de estouro de número inteiro que pode permitir a saída do sandbox.
Além disso, a Oracle lançou uma série de atualizações de segurança que corrigem centenas de vulnerabilidades em Oráculo, Solaris e Linux sistemas. Eles são muito extensos para cobrir aqui, mas é uma boa ideia atualizar seus sistemas Oracle para aplicar os patches mais recentes.
Finlândia condena CEO por violação em sua empresa
Deixe que os finlandeses criem um conceito tão novo: o ex-CEO de um centro de psicoterapia hackeado foi condenado à prisão por não ter pseudônimo e criptografar os registros de saúde do paciente, conforme exigido pelo Regulamento Geral de Proteção de Dados da UE.
O tribunal disse originalmente que a gravidade do crime justificava uma sentença de prisão incondicional, mas como o ex-chefe Ville Tapio não tinha antecedentes criminais, o tribunal estabeleceu uma pena suspensa de três meses, a empresa finlandesa de radiodifusão (Yle) relatado.
A violação ocorreu em 2020 e viu dezenas de milhares de registros de pacientes publicados online, onde criminosos cibernéticos usaram os registros de pacientes – incluindo notas de sessão e detalhes pessoais – para chantagear aqueles que foram pegos no vazamento. Tapio foi demitido pela diretoria da clínica de psicoterapia Vastaamo logo após a violação.
O tribunal disse esta semana que o banco de dados da empresa armazenava registros de pacientes em linguagem simples sem criptografia adequada e caracterizou o comportamento de Tapio como “particularmente repreensível” dada a natureza sensível das informações armazenadas por Vastaamo.
polícia francesa preso o suposto hacker do caso, Julius “Zeekill” Kivimäki, em fevereiro. Identificado pela primeira vez como suspeito no caso em outubro do ano passado, Kivimäki tem um considerável cibercrime folha de rap. ®
.
