.
Infosec em resumo As empresas de segurança que ajudam a Progress Software a dissecar as consequências de um ataque de ransomware contra seu pacote de transferência de arquivos MOVEit descobriram mais problemas que a empresa disse que poderiam ser usados para realizar explorações adicionais.
Progresso disse a descoberta foi feita pela empresa de segurança cibernética Huntress, contratada para realizar uma revisão detalhada do código de seus sistemas. As explorações recém-descobertas são distintas do problema relatado anteriormente e, como tal, outro patch para MOVEit Transfer e MOVEit Cloud foi lançado para corrigir este último bug descoberto.
Progress não deu nenhuma descrição das vulnerabilidades recém-descobertas e disse que um número ou números CVE estão pendentes.
O ataque original – que teve como alvo empresas importantes como a British Airways, a BBC e a Boots – explora um Vulnerabilidade de injeção SQL no aplicativo de transferência de documentos MOVEit para obter acesso a ambientes e exfiltrar dados.
Clop, a gangue russa de ransomware por trás do Mova isso ataque de ransomware da cadeia de suprimentos, provavelmente sabia sobre o bug já em 2021, afirma a empresa de análise de risco Kroll.
De acordo com o forense da Kroll análise dos logs do Microsoft Internet Information Services de clientes afetados pelo ataque MOVEit do Clop, “atividade observada consistente com a exploração do MOVEit Transfer” foi detectada em vários ambientes de cliente em abril de 2022 e, em alguns, já em 21 de julho.
O ataque de 2021 foi lento, ocorrendo por um longo período de tempo (12 dias em vez de duas horas em 2022), o que Kroll acredita sugerir que o exploit foi descoberto recentemente e estava sendo consertado manualmente antes que um exploit automatizado fosse desenvolvido.
Clop deu às vítimas do MOVEit até 14 de junho para pagar o resgate ou vazará dados roubados online.
De acordo com a Progress, não há nenhuma indicação de que as novas vulnerabilidades tenham sido exploradas, mas, novamente, a Progress também não sabia que Clop havia comprometido seu código em 2021.
Vulnerabilidades críticas: Aria off-key da VMware
O destaque desta semana de vulnerabilidades críticas começa com a ferramenta de monitoramento de rede Aria Operations for Networks da VMware, que contém um trio de vulnerabilidades numeradas em CVE arquivadas sequencialmente que podem ser usadas para executar código remoto e executar ataques de injeção de comando para roubar informações. Patches estão disponíveis para os problemas, então instale o mais rápido possível.
Em outras notícias de vulnerabilidade:
- Cisco remendado um par de bugs em seu software Expressway Series e TelePresence VCS que pode ser usado de forma independente para elevar as permissões de administrador com acesso somente leitura para administrador com acesso de leitura e gravação.
- Mozilla lançou alertas de segurança para o Firefox 114 e Firefox ESR 102.12ambos corrigem vulnerabilidades de alta gravidade que podem permitir que um invasor execute código arbitrário graças a um bug de corrupção de memória e um que pode ser usado para substituir um erro de certificado.
- A CISA tinha apenas um problema crítico de ICS para compartilhar na Sensormatic Electronics Câmeras de segurança Illustra Pro Gen 4que contém um modo de depuração que pode ser usado para comprometer as credenciais do dispositivo.
- A CISA observou uma única nova exploração ativa aproveitando tipo de confusão no mecanismo JavaScript V8 do Google Chrome. Um invasor pode usá-lo para explorar a corrupção de heap por meio de uma página HTML especialmente criada.
AN0M: O presente do FBI que continua dando
A decisão do FBI de semear um aplicativo de mensagens seguro comprometido no submundo do crime há cinco anos ainda está rendendo dividendos. Autoridades americanas ofereceram nesta semana uma recompensa de US$ 5 milhões pela apreensão de um dos criminosos enganados que venderam acesso ao sistema de comunicação comprometido.
cidadão sueco Maximiliano Rivkin é procurado por conspiração para participar ou tentar participar do crime organizado transnacional. Rivkin foi identificado como “administrador e influenciador” no aplicativo de mensagens criptografadas AN0Mque sem o conhecimento dele era na verdade desenvolvido para o FBI para pegar pessoas como ele e seus clientes.
A recompensa está sendo oferecida em conjunto com a Autoridade Policial Sueca, que acusou Rivkin de contrabando e tráfico de entorpecentes. As comunicações de Rivkin no AN0M interceptadas pela polícia também o implicam em lavagem de dinheiro, sequestro, conspirações de assassinato “e outros atos violentos”, disseram autoridades americanas.
AN0M foi desenvolvido para o FBI por uma fonte confidencial por apenas $ 180.000 e ao longo de um operação de picada de três anos arrecadou às autoridades americanas 32 toneladas de drogas, centenas de armas de fogo, dezenas de automóveis e quase US$ 150 milhões. As autoridades australianas tiveram sucesso semelhante usando AN0M, executando mais de 500 mandados e fazendo mais de 200 prisões que resultaram na apreensão de mais de AU$ 45 milhões e 3,7 toneladas de drogas.
Rivkin foi identificado como um dos 17 administradores da AN0M pelo Departamento de Justiça em 2021 e foi acusado por um grande júri da Califórnia naquele mesmo ano de conspiração internacional para participar de um empreendimento de extorsão.
Ao longo da operação, mais de 12.000 telefones carregados com AN0M foram vendidos por US$ 2.000 cada para sindicatos criminosos que operam em todo o mundo. Cerca de 800 prisões foram feitas em todo o mundo em conexão com a operação AN0M, embora Rivkin continue foragido.
Se, como é alegado em sua ficha criminal, ele for responsável pela venda de telefones comprometidos para sindicatos do crime internacional, resultando em sua queda, pode ser mais seguro se render. ®
.
