.
Infosec em resumo A Progress Software, fabricante da ferramenta de transferência de documentos MOVEit, explorada em massa, está de volta às notícias com mais patches de segurança obrigatórios, desta vez para outro produto de manipulação de arquivos: WS_FTP.
Fomos informados de que o módulo de transferência ad hoc deste software e a interface de gerenciamento de servidor do WS_FTP possuem oito vulnerabilidadescom pontuações de gravidade CVSS variando de 5,3 a 10 em 10.
Na sua forma mais grave, todas as versões do WS_FTP Server anteriores a 8.7.4 e 8.8.2 são vulneráveis a um ataque de desserialização .NET de um invasor pré-autenticado. Se for bem-sucedido, o invasor poderá executar comandos no sistema host subjacente, aproveitando as outras sete vulnerabilidades, como travessia de caminho, XSS, injeção de SQL, proteção contra falsificação de solicitação entre sites ausentes e similares.
De acordo com o site da Progress, o WS_FTP é usado por alguns clientes importantes, incluindo a Scientific American, a loja de roupas H&M e o time de futebol americano The Denver Broncos, para citar alguns. Essas empresas e o restante da comunidade WS_FTP são aconselhados a atualizar suas instalações imediatamente. A exploração desses bugs pode levar ao sequestro de sistemas públicos e à infiltração de redes de TI em grande escala.
Para quem não se lembra, um buraco O software MOVEit da in Progress permitiu que criminosos invadissem pelo menos 400 organizações até aqui. O progresso está enfrentando mais de um dúzia ações judiciais relacionadas ao fiasco de segurança do MOVEit. A gangue de ransomware Cl0p explorou notavelmente a falha para roubar dados das pessoas.
Progresso disse não viu nenhuma evidência de que as vulnerabilidades WS_FTP tenham sido exploradas à solta, o que é semelhante ao que foi dito sobre outro bug descoberto no MOVEit em junho.
Os ataques MOVEit são em andamento pois as organizações não conseguem atualizar suas instalações. Patches para WS_FTP estão disponíveis para todas as versões suportadas, bem como um Gambiarra para aqueles que não conseguem corrigir imediatamente as falhas.
Vulnerabilidades críticas: há algo no ar?
Nossa, já faz uma semana. Junto com esse novo bug desagradável do Progress, vários grandes nomes da tecnologia tiveram que lançar atualizações urgentes esta semana.
O Exim, servidor de e-mail de código aberto e muito utilizado na internet, teve alguns detalhes de seis falhas tornados públicos esta semana, e apenas três delas foram corrigidas. Os dois problemas mais sérios permitem a execução remota completa de código e, de acordo com os descobridores da Zero Day Initiative, o Projeto Exim conhecido sobre eles desde o ano passado. Fique atento às atualizações e aplique-as assim que puder.
“As correções estão disponíveis em um repositório protegido e prontas para serem aplicadas pelos mantenedores da distribuição,” comentou O representante do Exim, Heiko Schlittermann, na sexta-feira. “As questões restantes são discutíveis ou desinformação [regarding whether] precisamos consertá-los.”
A Cisco também teve uma semana ruim. O recurso Group Encrypted Transport VPN da empresa no IOS tem um bug de execução remota de código que está sendo atualmente tentei na naturezaentão faça o patch imediatamente.
Junto com essa edição, a Cisco publicou 14 outros avisos de segurança esta semana, incluindo notícias de vários crítico vulnerabilidades em seu SD-WAN Manager.
Para não ficar para trás, a Apple lançou vários patches para Safári 17 e MacOS Sonoma esta semana abordando uma série de questões – várias críticas, incluindo uma que é sob exploração ativa. O código explorado é mais uma vulnerabilidade de execução de código do WebKit que pode ser acionada pela abertura de conteúdo malicioso da web.
Google também corrigido seu quinto dia zero do Chrome de 2023 esta semana, que está sob exploração ativa, além de emitir outras correções para outros nove problemas.
Ah, e a Mozilla lançou atualizações para o Firefox (regular, ESR, Android e Focus para Android) e Thunderbird para resolver um crítico Vulnerabilidade de estouro de buffer de heap em libvpx.
Por último, o software GX Works3 da Mitsubishi Electric é vulnerável (CVSS 9.8, CVE-2023-4088) para execução remota de código devido a problemas de permissão.
Mais uma exploração ativa para apontar, e é uma loucura:
- CVSS 9.8 – CVE-2018-14667: Uma vulnerabilidade de injeção de linguagem de expressão no RichFaces Framework da RedHat já pode ser explorada em estado selvagem.
Johnson Controls atingida por ‘interrupção’ de TI
A Johnson Controls, uma enorme preocupação em sistemas de controle industrial, foi atingida por um ataque de ransomware igualmente massivo que supostamente deixou vários de seus sistemas off-line e pode até representar um risco à segurança nacional.
O negócio aflito admitido a um “incidente de segurança cibernética” em um documento da SEC esta semana que várias fontes relatado como um ataque de ransomware cujos perpetradores roubaram mais de 27 terabytes de dados da empresa – nenhum dos quais Johnson confirmou.
“A Johnson Controls International plc (a” Empresa “) sofreu interrupções em partes de sua infraestrutura e aplicativos internos de tecnologia da informação”, disse o negócio, acrescentando que outros sistemas “não foram afetados e permanecem operacionais”.
De acordo com segundo um pesquisador de segurança cibernética, um grupo de ransomware chamado Dark Angels está por trás do ataque. O grupo está exigindo um resgate de US$ 51 milhões da Johnson Controls.
O Departamento de Segurança Interna dos EUA também está supostamente preocupado com o fato de alguns dos dados roubados poderem incluir informações confidenciais sobre os edifícios do Tio Sam, já que Johnson lida com equipamentos de segurança física para várias instalações importantes.
Ataque de ransomware japonês desencadeia temores na cadeia de suprimentos
Um grupo que recentemente alegou ter vazado dados roubados da Sony online aparentemente atacou novamente, alegando ter atingido a operadora de celular japonesa NTT Docomo, no que os pesquisadores temem que possa ser um sinal de um novo ataque à cadeia de suprimentos.
Ransomed.vc, o grupo por trás do alegado ataque, é relativamente novo, cujos ataques levantaram questões no mundo subterrâneo. Mas os pesquisadores da Resecurity estão preocupado os malfeitores podem ter usado o ataque à Sony para semear o caos futuro.
Embora não tenha confirmado que o ataque da NTT Docomo e os incidentes da Sony estão ligados, a empresa de segurança disse que está investigando “se o incidente da Sony serviu como um vetor de intrusão para um comprometimento mais amplo da cadeia de suprimentos que permitiu ao grupo acessar ilegalmente os dados da operadora de telecomunicações”. ”
Ransomed.vc supostamente alegou ter abandonado a tentativa de fazer com que a Sony pagasse um resgate e, em vez disso, estava procurando um comprador para 3,14 GB de dados roubados da gigante da tecnologia, mas outro indivíduo lançado todos os dados enquanto afirmava que Ransomed estava mentindo sobre o ataque. ®
.
