.
Infosec em resumo As consequências da exploração de bugs no software de transferência de arquivos MOVEit da Progress Software continuam, com a Comissão de Valores Mobiliários dos EUA (SEC) investigando o assunto e muitas partes afetadas buscando compensação.
O progresso admitiu os maus ventos da responsabilidade corporativa que sopram em seu caminho no SEC 10-Q trimestral arquivamento. De acordo com a divulgação, recebeu uma intimação da SEC em 2 de outubro, na qual a Comissão solicitou “vários documentos e informações relativos a a vulnerabilidade do MOVEit.”
“Nesta fase, a investigação da SEC é uma investigação de apuração de fatos, a investigação não significa que a Progress ou qualquer outra pessoa tenha violado as leis federais de valores mobiliários”, explicou o fornecedor do aplicativo, acrescentando que pretende cooperar plenamente.
A Progress também admitiu que enfrenta uma série de outros litígios – tanto nos EUA como noutros países – sobre a violação, muito superiores aos uma dúzia ou mais casos que supostamente estava enfrentando em julho.
“Somos parte em 58 ações judiciais coletivas movidas por indivíduos que afirmam ter sido impactados pela exfiltração de dados dos ambientes de nossos clientes do MOVEit Transfer”, afirmou Progress no documento. Esses casos foram consolidados em um único processo em Massachusetts no início deste mês.
Novamente, isso não é tudo.
A Progress também recebeu “cartas formais” de 23 clientes do MOVEit que afirmam que a vulnerabilidade lhes custou dinheiro, e alguns “indicaram que pretendem buscar indenização”. Além disso, a Progress também enfrenta um pedido de sub-rogação de uma seguradora, o que significa que está “buscando a recuperação de todas as despesas incorridas em conexão com a vulnerabilidade do MOVEit”.
“Também temos cooperado com diversas investigações de reguladores de privacidade de dados nacionais e estrangeiros, consultas de vários procuradores-gerais estaduais”, e também está sendo investigado por uma agência federal de aplicação da lei não identificada.
Uma exploração recentemente descoberta em outro aplicativo de transferência de arquivos Progress, WS_FTP, quase não mereceu menção no processo da SEC. A Progress escreveu apenas que corrigiu os problemas e reconheceu a exploração ativa.
Vulnerabilidades críticas da semana
Começamos a lista desta semana das mais recentes vulnerabilidades críticas e explorações conhecidas com a Fortinet, que lançou diversos atualizações de segurança – incluindo algumas críticas no FortiSIEM, FortiManager e FortiAnalyzer.
Várias versões do FortiSIEM são vulneráveis a múltiplo Vulnerabilidades de passagem de caminho de nível CVSS 9.7 que podem levar ao escalonamento de privilégios, enquanto FortiManager e FortiAnalyzer (várias versões) são vulneráveis a escalonamento de privilégios por meio de solicitações HTTP especialmente criadas (CVSS 8.6). Patches estão disponíveis para ambos os problemas.
Quanto aos sistemas de controle industrial, apesar da CISA lançar um 19 itens lista de notificações, apenas alguns dos problemas eram sérios:
- CVSS 9.8 – Vários CVEs: Os WAPs Siemens SCALANCE W1750D contêm uma série de vulnerabilidades que podem permitir que um invasor divulgue informações, negue serviço e execute código remotamente.
- CVSS 9.8 – CVE-2023-36380: Os módulos mestre CP-8031 e CP-8050 da Siemens armazenam um ID codificado em seu arquivo de configuração SSHauthorized_keys, dando a qualquer pessoa com acesso de login de chave privada aos dispositivos afetados, que são aqueles com suporte de depuração ativado.
- CVSS 9.8 – Vários CVEs: A interface de gateway comum da Weintek usada para vários de seus dispositivos da série CMT3000 contém vulnerabilidades que permitem que invasores sequestrem o fluxo de controle e ignorem a autenticação.
- CVSS 9.1 – CVE-2023-4562: Vários modelos de CLPs MELSEC-F da Mitsubishi Electric estão sendo autenticados incorretamente, deixando-os vulneráveis à adulteração por invasores remotos.
- CVSS 8.0 – CVE-2023-43625: todas as versões do software Simcenter Amesim da Siemens anteriores à V2021.1 são vulneráveis à injeção de código que poderia permitir que um invasor realizasse injeção de DLL e executasse código arbitrário.
Quanto às vulnerabilidades exploradas conhecidas recentemente descobertas, há apenas algumas para relatar que não abordamos em outro lugar esta semana. Eles podem não ser tão graves quanto os outros, mas ainda estão sendo explorados na natureza, então tome cuidado:
- CVSS 7.8 – CVE-2023-21608: se os usuários abrirem PDFs maliciosos no Acrobat Reader versões 22.003.20282 ou 20.005.30418 e anteriores, eles poderão ser afetados por uma vulnerabilidade de uso após liberação, que permite que um invasor execute código arbitrário.
- CVSS 6.6 – CVE-2023-20109: O Cisco GET VPN é vulnerável a um ataque de gravação OOB que pode permitir que um invasor execute código e trave os dispositivos afetados.
CISA adiciona novos recursos de catalogação de risco de ransomware
A Agência de Segurança Cibernética e de Infraestrutura dos EUA está expandindo seu conjunto de recursos para aqueles que lutam para prevenir infecções por ransomware, com duas novas iniciativas como parte do Piloto de Alerta de Vulnerabilidade de Ransomware da agência. programa.
A primeira assume a forma de uma nova coluna nas Vulnerabilidades Exploradas Conhecidas da Agência Catálogo que indica se uma fraqueza ativamente explorada é conhecida por ser usada em campanhas de ransomware.
A mudança já está ativa e presente em todas as vulnerabilidades adicionadas ao catálogo. As explorações do software Progress mencionadas acima, juntamente com o Log4j e outras vulnerabilidades bem conhecidas, indicam que foram usadas por agentes de ransomware.
A segunda, e possivelmente mais importante para aqueles que tentam fortalecer um ambiente, é a nova lista de configurações incorretas e pontos fracos conhecidos por serem usados em campanhas de ransomware. O catálogo não é baseado em CVE e ainda é bastante curto, listando serviços vulneráveis como RDP, VNC, SMB e similares, e quais portas são comumente usadas para explorar configurações incorretas.
Mais de 17 mil sites WordPress hackeados para adicionar injetor de malware no mês passado
A empresa de segurança cibernética e subsidiária da GoDaddy, Sucuri, disse em um recente relatório que mais de 17.000 sites WordPress foram atingidos por um cross-site scripting vulnerabilidade em um plugin do Composer usado pelo criador de temas premium do WordPress tagDiv.
Ataques de script entre sites não são um problema novo para WordPress implementações que usam vários temas com plug-ins de origem ou cadeia de fornecimento de software questionáveis, e esta última edição parece mais do mesmo.
Nesse caso, o plugin Composer da tagDiv é usado em seus temas premium Newspaper e Newsmag, que a Sucuri disse ser usado por mais de 135.000 clientes pagantes. Newsmag está em uso em outro 18.579 locaismas nenhum dos números contabiliza cópias piratas do tema, observou Sucuri.
Injetores como o Balada sequestram serviços legítimos e podem ser usados para executar códigos maliciosos em sites para fazer phishing de usuários, sequestrar credenciais e roubar PII, entre outras ações. A Sucuri inclui etapas de mitigação de infecção em seu relatório, começando criticamente com a verificação de sites WordPress para verificar se há qualquer código malicioso – uma ferramenta para a qual a Sucuri tem à mão. ®
.
