.
Infosec em resumo O ex-primeiro-ministro do Reino Unido, Boris Johnson, lançou uma chave nos trabalhos do inquérito COVID-19 do país, alegando que não conseguia se lembrar da senha para desbloquear um telefone antigo que estava sendo procurado pelos investigadores.
O inquérito tem procurado o dispositivo porque acredita-se que ele contenha um tesouro de mensagens do WhatsApp desde os primeiros dias da pandemia do COVID-19, quando o aplicativo de bate-papo criptografado foi amplamente utilizado – em meio a críticas – pelo primeiro-ministro e outros ministros impossibilitados de se encontrar pessoalmente. face.
BoJo supostamente usou o dispositivo em questão pela última vez em maio de 2021, depois de ter sido revelado que seu número de telefone estava disponível gratuitamente para qualquer pessoa on-line que soubesse onde procurar um comunicado à imprensa que ele havia divulgado em 2006, enquanto deputado de Henley e ministro paralelo do ensino superior. Seu número de telefone – ainda em uso enquanto PM – permaneceu inalterado nos 15 anos após a publicação do comunicado à imprensa.
Johnson não conseguia lembrar a senha “com 100% de confiança”, de acordo com para Os temposlevando a temores de que o dispositivo pudesse ser apagado se o ex-PM adivinhasse errado muitas vezes.
O lapso de memória de Johnson veio depois que a Suprema Corte do Reino Unido governou que mensagens e diários deveriam ser entregues sem redação – o que o governo se opôs, alegando que isso levaria à exposição de material “inequivocamente irrelevante”.
Os juízes rejeitaram esse argumento na semana passada, dizendo que a inclusão de material irrelevante não invalidava a ordem de entregar tudo sem perder tempo para redigi-lo primeiro. Parte da demanda de mensagens do inquérito incluía comunicações individuais entre Johnson, o então chanceler Rishi Sunak e o secretário de gabinete Simon Case.
Todos podem ficar tranquilos, no entanto. Na quinta-feira, o governo alegou ter encontrado um registro do código PIN do antigo dispositivo de Johnson e o abriu ao comitê. Por a BBC, o Cabinet Office tem até 1600 BST de segunda-feira para entregar as mensagens solicitadas em sua totalidade.
No entanto, isso não significa que aqueles que estão fora do inquérito os verão. O Cabinet Office e o próprio Inquérito reservam-se o direito de fazer redações antes da divulgação mais ampla a especialistas, testemunhas ou ao público.
Vulnerabilidades críticas: a edição Patch Tuesday de uma semana
Dizer que tem sido uma semana movimentada em patch land é um eufemismo. Juntamente com A enorme lista de terça-feira de atualizações da Microsoft, várias outras empresas têm lidado com vulnerabilidades críticas, então vamos entrar nisso.
Primeiro, os pesquisadores descobriram diversos vulnerabilidades críticas no SDK e na API para a popular estrutura de bate-papo e vídeo QuickBlox que, se exploradas, podem permitir a recuperação de listas completas de usuários, PII sobre usuários e a criação de novos usuários. Patches estão disponíveis, então instale o mais rápido possível.
Há algumas atualizações perdidas do Patch Tuesday que vale a pena conhecer:
- A HPE notificou os usuários sobre múltiplo vulnerabilidades de alto risco em várias versões do ArubaOS em execução em diferentes dispositivos que podem levar a ataques XSS, execução arbitrária de comandos e muito mais.
- Juniper corrigido 14 vulnerabilidades no Junos OS as e Junos OS Evolved esta semana abordando uma série de vulnerabilidades de alto risco.
Além disso, os sistemas ICS estavam em um frenesi de atualização esta semana, graças a muitos problemas críticos:
- CVSS 9.9 – Múltiplos CVEs: Os dispositivos Siemens SIMATIC CN 4100 estão controlando o acesso de forma inadequada e contêm permissões padrão incorretas que um invasor pode usar para ignorar o isolamento da rede e aumentar os privilégios.
- CVS 9.8 – Múltiplos CVEs: Os switches Siemens RUGGEDCOM ROX que executam versões de software 2.16.0 ou anteriores estão repletos de vulnerabilidades que podem permitir que um invasor envie pacotes HTTP malformados para obter o status MITM e executar código arbitrário.
- CVS 9.8 – Múltiplos CVEs: PKS, LX e PlantCruise da Experion (versões anteriores a R520.2) contêm uma série de vulnerabilidades que podem causar DoS ou permitir que um invasor eleve permissões e execute código remotamente.
- CVS 9.8 – Múltiplos CVEs: qualquer pessoa com um controlador Rockwell Automation 1756 de qualquer modelo deve atualizar imediatamente, já que quase todos estão vulneráveis a um ataque de gravação fora dos limites que pode permitir que um agente mal-intencionado obtenha acesso à memória em execução do módulo.
- CVS 9.6 – CVE-2023-2746: A interface de comunicações IHM aprimorada v. 1.001 da Rockwell Automation contém uma vulnerabilidade de falsificação de solicitação entre locais que pode ser usada para obter acesso remoto total aos dispositivos afetados.
- CVS 9.1 – CVE-2023-20214: uma falha na validação de autenticação de solicitação para REST-API no software Cisco SD-WAN vManage pode fornecer a um invasor não autenticado permissões de leitura e gravação limitadas para as configurações de uma instância vManage afetada.
- CVS 8.8 – CVE-2023-2072: Rockwell Automation Power Monitor 1000 v4.011 é vulnerável a XSS que pode levar a RCE e perda de disponibilidade.
- CVS 8.2 – Múltiplos CVEs: Os dispositivos da série Siemens SIMATIC MV500 contêm uma série de vulnerabilidades que um invasor pode usar para ler o conteúdo da memória ou causar DoS.
- CVS 8.2 – Múltiplos CVEs: As bombas médicas BD Alaris e vários elementos de seu software são vulneráveis a vários problemas que um invasor pode usar para comprometer dados, sequestrar sessões, modificar firmware e causar sérios danos.
Apenas uma nova vulnerabilidade explorada conhecida foi adicionada ao banco de dados da CISA esta semana: um problema de vulnerabilidade 9.8 CVSS RCE no servidor Netwrix Auditor e software de agente que poderia permitir que um invasor executasse código arbitrário.
Como sempre, faça o patch.
Os cibercriminosos adoram MOVEit: mais duas vítimas de alto perfil admitem ataques
O que o gigante financeiro Deutsche Bank e a universidade de elite dos EUA, Rutgers, têm em comum? Ambos se tornaram danos colaterais à medida que os hackers continuam explorando vulnerabilidades em Software de transferência de arquivos MOVEit.
Em uma declaração para BleepingComputer no início desta semana, o Deutsche Bank admitido um de seus provedores de serviços externos na Alemanha sofreu um incidente de segurança. Apesar de não dizer que o ataque foi definitivamente causado pelo MOVEit vulnerabilidadesDB disse BC que “Além de nosso provedor de serviços, entendemos que mais de 100 empresas em mais de 40 países são potencialmente afetadas.”
Combinado com o fato de que o Deutsche Bank usou o provedor de serviços afetado para operar seu serviço de troca de conta, o MOVEit é uma causa provável devido ao alto volume de dados transferidos de uma instituição para outra.
A Rutgers University, por outro lado, disse que a exposição de alguns de seus dados manipulados pela National Student Clearinghouse era devido a vulnerabilidades do MOVEit. Rutgers provavelmente também não está sozinho: o NSC trabalha com 3.600 faculdades nos EUA para coletar dados de alunos para o Departamento de Educação.
A Rutgers e o Deutsche Bank disseram que seus sistemas internos não foram afetados.
O CVSS 4.0 está chegando
O Forum of Incident Response and Security Teams (FIRST) revelou a quarta iteração de seu Common Vulnerability Scoring System (CVSS) esta semana com promessas para “fornecer a mais alta fidelidade de avaliação de vulnerabilidade para a indústria e para o público”.
há um número de mudanças em CVSS 4.0como a remoção do conceito de “escopo” e sua substituição por impactos de sistema “vulneráveis” e “subseqüentes”, pontuação de vulnerabilidade para bibliotecas de software e permissão para pontuações básicas múltiplas.
Talvez a mudança mais notável seja a nomenclatura CVSS, que está sendo modificada para incluir as métricas usadas para chegar à pontuação: Base, ambiente ou ameaça. As pontuações CVSS serão rotuladas como CVSS-B (somente base), CVSS-BE (base, ambiental), CVSS-BT (base e ameaça) ou CVSS-BTE quando todos os três forem incluídos nos cálculos.
A razão para a nova nomenclatura, disse FIRST, é porque as pontuações do CVSS-B medem apenas a gravidade de uma vulnerabilidade, mas não refletem os riscos para ambientes ou sistemas individuais. As pontuações do CVSS-B “devem ser complementadas com uma análise do ambiente”, disse FIRST, e dadas as métricas ambientais e de ameaças que são atualizadas periodicamente.
A visualização e comentários públicos do CVSS 4.0 terminam em 31 de julho, com uma data de publicação prevista para 1º de outubro de 2023, para o novo padrão. ®
.
