.
Infosec em resumo A Okta confirmou os detalhes de sua violação de outubro, relatando que o incidente levou ao comprometimento de arquivos pertencentes a 134 clientes, “ou menos de 1% dos clientes da Okta”.
Okta’s relatório sobre a violação confirma muito do que era conhecido anteriormente, mas fornece o primeiro conjunto de números sólidos das pessoas afetadas e observa que cinco de seus 134 clientes afetados sofreram suas próprias invasões – pelo menos que Okta saiba.
Com tantos alto perfil empresas entre a base de usuários da Okta, um por cento ainda é uma preocupação para os inúmeros clientes e também para todos os funcionários afetados.
Entre quem teve dados roubados estava o gerenciador de senhas 1Password, que disse no mês passado, houve uma invasão em sua instância do Okta por um usuário mal-intencionado que tinha privilégios de administrador. O invasor tentou coletar detalhes de outros administradores 1P, atualizar um provedor de identidade existente e acessar o painel de TI da Okta.
Junto com o 1Password, Okta disse que a empresa de gerenciamento de identidade BeyondTrust e a empresa de segurança web Cloudflare foram alvo, junto com dois clientes não identificados. Cloudflare teve seu próprio dificuldade ultimamente, o que não parece estar ligado à violação do Okta.
Os invasores do Okta fugiram com arquivos HTTP Archive (HAR) que contêm dados de sessões da web em cache e cookies que podem ser usados para se passar por usuários válidos, o que parece ser o que os invasores tentaram fazer.
Quanto à forma como os cibercriminosos obtiveram acesso aos sistemas da Okta, bem, parece ter sido uma boa e velha confusão interna.
“A Okta Security identificou que um funcionário fez login em seu perfil pessoal do Google no navegador Chrome de seu laptop gerenciado pela Okta”, escreveu o diretor de segurança da Okta, David Bradbury, na sexta-feira. “O caminho mais provável para a exposição desta credencial é o comprometimento da conta pessoal do Google ou do dispositivo pessoal do funcionário.”
Os problemas de Okta continuaram esta semana, pois também admitido uma violação de terceiros expôs registros pertencentes a quase 5.000 funcionários atuais e antigos.
Vulnerabilidades críticas da semana
Cisco lançou um conjunto completo matou de atualizações de segurança esta semana para vários produtos, mas apenas um foi classificado como crítico e não coberto pelo Strong The One antes: Um problema recém-identificado no Firepower Management Center da empresa.
Com uma pontuação CVSS de 9,9, CVE-2023-20048 envolve autorização insuficiente de comandos de configuração enviados através da interface de serviço web da plataforma de gerenciamento de software de segurança Cisco. Se explorado com uma solicitação HTTP maliciosa, um invasor poderá obter a capacidade de executar comandos de configuração em um dispositivo Firepower Threat Defense vulnerável. Obtenha patches.
Em outro lugar:
- CVSS 9.9 – Vários CVEs: As versões da unidade terminal remota ME do INEA anteriores a 3.36b estão autenticando indevidamente a conta root, tornando-as vulneráveis à execução remota de código.
- CVSS 9.8 – Vários CVEs: Schneider Electric SpaceLogic C-Bus Toolkit versões 1.16.3 e anteriores contêm um par de vulnerabilidades que um invasor pode explorar para executar código remotamente.
- CVSS 9.8 – CVE-2023-5777: Várias versões do software Weintek EasyBuilder Pro para programação de dispositivos IHM contêm credenciais codificadas.
- CVSS 9.8 – Vários CVEs: Vários modelos de câmeras IP Zavio são vulneráveis a uma série de explorações que podem conceder privilégios de execução remota de código a um invasor.
- CVSS 9.8 – CVE-2023-3346: Vários dispositivos da série CNC da Mitsubishi Electric são vulneráveis à negação de serviço e RCE graças a uma vulnerabilidade clássica de buffer overflow.
- CVSS 9.1 – CVE-2023-4699: Vários PLCs da série MELSEC da Mitsubishi Electric não estão conseguindo verificar a autenticidade dos dados, o que um invasor poderia usar para acionar remotamente uma redefinição.
- CVSS 8.8 – CVE-2023-5719: O software Crimson da Red Lion anterior à v.2.3.0053.18, usado para programar dispositivos industriais, não consegue neutralizar caracteres nulos, resultando em senhas fracas que um invasor poderia truncar.
- CVSS 8.3 – CVE-2023-5846: Os medidores automáticos de tanque do Franklin Fueling System TS-550 fazem hashing indevido de credenciais, facilitando a decodificação por um invasor para obter acesso a dispositivos vulneráveis.
Ninguém está com o Sr. Cooper graças ao incidente de segurança cibernética
A empresa de hipotecas e empréstimos com sede no Texas, Sr. Cooper, parece praticamente inativa dias após um incidente de segurança cibernética.
A casa financeira que começou na década de 1990 como Nova Credit Corporation e passou por vários esforços de reformulação da marca admitido ao incidente de 31 de outubro no início desta semana. No momento em que escrevo, muitas páginas do site da empresa parecem não estar sendo resolvidas, e sua postagem no blog sobre o incidente diz que seus sistemas “permanecem bloqueados”.
“Fique tranquilo, você não incorrerá em nenhuma taxa, penalidade ou relatório de crédito negativo relacionado a atrasos nos pagamentos enquanto trabalhamos para corrigir esse problema”, disse Cooper.
Não está imediatamente claro que tipo de incidente a empresa sofreu e as respostas a Strong The One não respondeu diretamente a essa pergunta. “Neste momento, acreditamos que este incidente de segurança cibernética foi isolado dos sistemas e tecnologia do Sr. Cooper e não afetou nenhum dos sistemas ou tecnologia dos clientes ou parceiros da empresa”, disse-nos um porta-voz do Sr.
CVSS 4.0 lançado oficialmente
A quarta iteração do Sistema Comum de Pontuação de Vulnerabilidade (CVSS) já está disponível, com o Fórum de Equipes de Segurança e Resposta a Incidentes (FIRST) oficializando publicação na quarta-feira.
Como cobrimos anteriormentehá uma série de mudanças no CVSS 4.0, principalmente a nova nomenclatura que divide a pontuação do CVSS em versões novas e mais granulares, projetadas para tornar as pontuações mais claras.
Ao analisar os CVEs, novas pontuações CVSS que podem ser notadas são as pontuações CVSS-B (base), CVSS-BT (base + ameaça), CVSS-BE (base + ambiental) e CVSS-BTE, que combinam todos os três elementos em um pontuação única.
As métricas básicas foram modificadas para incluir requisitos de ataque, bem como se era necessária alguma interação do usuário, seja ela passiva ou ativa.
Um curso de treinamento on-line individualizado para CVSS 4 é disponível para aqueles que desejam estar por dentro das últimas novidades em pontuação de ameaças cibernéticas, mas provavelmente levará algum tempo até que o mundo adote o novo padrão. O Instituto Nacional de Padrões e Tecnologia dos EUA ainda lista as pontuações do CVSS 2.0 em seu Banco de Dados Nacional de Vulnerabilidades, que foi substituído pelo CVSS 3.0 há oito anos. ®
.
