.
Infosec em resumo A T-Mobile US teve outra semana ruim na área de segurança da informação – desta vez decorrente de uma falha no sistema que expôs dados de contas de clientes, seguida por alegações de outra violação que a operadora negou.
De acordo com clientes que reclamou Após o problema no Reddit e no X, o aplicativo T-Mobile exibia dados de outros clientes em vez dos seus próprios – incluindo o histórico de compras de estranhos, informações de cartão de crédito e endereço.
Sendo esta a operação infame da T-Mobile nos EUA, as pessoas imediatamente começaram a chegar à conclusão óbvia: outro ataque ou violação cibernética.
“Não houve ataque cibernético ou violação na T-Mobile”, assegurou-nos a empresa de telecomunicações em comunicado enviado por e-mail. “Esta foi uma falha temporária do sistema relacionada a uma atualização tecnológica planejada durante a noite, envolvendo informações limitadas de contas para menos de 100 clientes, que foi rapidamente resolvida.”
Observe que, como fez o postador do Reddit Jman100_JCMP, a T-Mobile significa que menos de 100 clientes tiveram seus dados expostos – mas muito mais parecem ter conseguido visualizar os dados desses 100 clientes.
Quanto à violação, o aparecimento de dados expostos da T-Mobile foi alegado pela conta X (Twitter) do repositório de malware vx-underground. Strong The One entende que a T-Mobile examinou os dados e determinou que o revendedor independente da T-Mobile, Connectivity Source, era a fonte – resultante de uma violação que sofreu em abril. Entendemos que a T-Mobile acredita que o vx-underground interpretou mal um despejo de dados.
A Fonte de Conectividade foi de fato objeto de uma violação em abril, quando um invasor desconhecido roubou dados de funcionários, incluindo nomes e números de previdência social – cerca de 17.835 deles de todos os EUA, onde a Connectivity parece fazer negócios exclusivamente como varejista de marca branca da T-Mobile nos EUA.
Parece que a operadora realmente se esquivou disso – não há como os funcionários da Connectivity Source serem confundidos com sua própria equipe.
A T-Mobile US já experimentou dois violações anteriores este ano, mas isso não colocou muito em perigo o negócio – seus lucros dispararam recentemente e alguns acompanhantes demissões consideráveis provavelmente manterá as coisas no azul no futuro próximo.
Vulnerabilidades críticas da semana
O Gitlab lançou esta semana uma segurança atualizar para Enterprise Edition que aborda um problema crítico que permite que um invasor execute pipelines como um usuário arbitrário por meio de políticas de verificação de segurança agendadas, o que por si só foi um desvio de um problema de segurança anterior. Patch – ou se isso não for uma opção, desative as transferências diretas ou as políticas de segurança, o que impedirá que a vulnerabilidade seja explorada.
Atlassiano também abordado um quarteto de problemas bastante sérios em um patch esta semana, incluindo uma vulnerabilidade RCE no Bitbucket Data Center e Server e uma vulnerabilidade DoS em produtos de nome semelhante do Confluence.
Algumas vulnerabilidades bastante sérias de OT para apontar também esta semana:
- CVSS 9.8 – CVE-2023-2262: Vários módulos de comunicação Logix série 1756 da Rockwell Automation são vulneráveis a uma exploração RCE.
- CVSS 9.8 – CVE-2023-2071: O software FactoryTalk View Machine Edition da Rockwell, versões 13.0 e 12.0 e anteriores, também contém uma vulnerabilidade que pode ser usada para acionar o RCE.
- CVSS 9.6 – Vários CVEs: O software Connected Components Workbench da Rockwell também possui algumas vulnerabilidades sérias – neste caso, uma série que poderia ser usada para permitir que um invasor explorasse a corrupção de heap com HTML especialmente criado.
- CVSS 9.4 – CVE-2023-4523: Os gateways MCBS da série 460 da Real Time Automation são vulneráveis a scripts entre sites.
- CVSS 8.2 – CVE-2023-38557: As versões do software Siemens Spectrum Power 7 anteriores à V23Q3 estão atribuindo direitos de acesso impróprios para atualizar scripts, proporcionando ao invasor uma maneira de elevar seus privilégios.
Várias vulnerabilidades conhecidas foram detectadas sendo exploradas esta semana:
- CVSS 9.8 – CVE-2021-3129: O software de página de erro de ignição anterior à versão 2.5.2, conforme usado na estrutura Laravel PHP e outras suítes, permite que usuários não autenticados executem código arbitrário.
- CVSS 9.3 – CVE-2022-31462: Owl Labs Meeting Owl versão 5.2.0.15 do software contém uma senha de backdoor codificada derivada do número de série do dispositivo e pode ser encontrada nos dados de transmissão do Bluetooth.
- CVSS 8.8 – CVE-2023-28434: a estrutura de armazenamento de objetos multinuvem Minio do GitHub contém uma vulnerabilidade que pode ser usada para ignorar a verificação de nome de bucket de metadados para permitir o posicionamento arbitrário de objetos.
- CVSS 8.8 – CVE-2017-6884: O firmware do roteador doméstico Zyxel EMG2926 contém uma vulnerabilidade de injeção de comando em sua implementação de
nslookup. - CVSS 7.2 – CVE-2023-41179: O Apex One da Trend Micro, tanto na versão local quanto na versão SaaS, contém uma vulnerabilidade em seu módulo desinstalador de AV de terceiros que pode permitir que um invasor execute comandos arbitrários.
Aviso: esse PoC pode conter mais do que você espera
Existem muitos motivos pelos quais os pesquisadores de segurança publicam códigos de prova de conceito (PoC) para as vulnerabilidades que descobrem, mas alguns atores de malware engenhosos descobriram que os PoCs também são uma maneira inteligente de distribuir malware.
Pesquisadores da Unidade 42 da Palo Alto Networks disseram que descobriram um PoC falso para um vulnerabilidade de execução remota de código no WinRAR aquilo foi identificado em 17 de agosto. Apenas quatro dias após a Zero Day Initiative divulgar a vulnerabilidade, um PoC falso foi carregado no GitHub por um agente de ameaça usando o pseudônimo “whalersplonk”.
O script PoC falso foi baseado em outro PoC que explorava uma vulnerabilidade de injeção SQL com o objetivo final de instalar o malware VenomRAT.
A Unidade 42 disse que é improvável que o Whalersplonk vise especificamente pesquisadores de segurança e provavelmente tenha como objetivo comprometer outros atores de ameaças que tiram vantagem dos novos PoCs. “Com base em um cronograma de eventos, acreditamos que o ator da ameaça criou a infraestrutura e a carga útil independentemente do PoC falso. Assim que a vulnerabilidade foi divulgada publicamente, os atores agiram rapidamente para capitalizar a gravidade”, explicou a Unidade 42.
Independentemente disso, observe o que você baixa.
Ransomware: só vai piorar se o seguro for uma métrica
A empresa de seguros cibernéticos Coalition divulgou uma análise semestral do estado do seguro de segurança cibernética e constatou um aumento nos sinistros.
“O cenário das ameaças cibernéticas tornou-se mais volátil e, como resultado, vimos as reclamações tornarem-se mais graves e mais comuns do que nunca”, disse Chris Hendricks, chefe de resposta a incidentes da Coalizão.
Hendricks não está brincando. aliança relatórios que viu um aumento de 27% ano a ano no primeiro semestre de 2023 no número de reclamações de ransomware e disse que a gravidade dessas reclamações aumentou 61% no mesmo período e 117% no ano passado.
As demandas de resgate também aumentaram, com a demanda média relatada pelos clientes da Coalizão chegando a US$ 1,62 milhão (£ 1,3 milhão) – um aumento de 47% nos últimos seis meses e um aumento de 74% ano após ano.
Isso está de acordo com dados de outras fontes que relatado aumentos consideráveis nos pedidos de resgate durante o ano passado. Infelizmente, com as companhias de seguros dispostas a negociar pagamentos de resgate, esses pagamentos são continuandoaumentando ainda mais a probabilidade de os criminosos cibernéticos continuarem usando a tática.
Portanto, parem de pagar os seus resgates – juntamente com o conselho de Hendricks para “assumir um papel activo na melhoria… das defesas de segurança e fazer da gestão de riscos uma prioridade máxima”.
Sophos alerta sobre aumento no golpe de mineração de liquidez no abate de porcos
Equipamento de software de segurança Sophos avisou Na semana passada, uma variante do esquema comum de abate de porcos tem como alvo a mineração de liquidez de criptomoedas.
Uma rede de açougueiros de porcos que a Sophos descobriu operava em 14 domínios e arrecadou mais de US$ 1 milhão em apenas três meses.
Um exemplo de golpe incluiu uma vítima que foi atraída por um golpista em um aplicativo de namoro online. A vítima foi convencida a participar de um pool de liquidez falso (sem o conhecimento deles) que ele acreditava que forneceria uma porcentagem de qualquer taxa paga quando uma negociação fosse feita, usando um aplicativo legítimo de criptomoeda, o Trust Wallet.
Porém, para ingressar no pool, ele teve que dar permissão a outra conta para acessar sua carteira para facilitar a negociação. Posteriormente, alguém abusou dessa confiança e desviou o dinheiro da vítima.
Os golpes de abate de porcos aumentaram na China antes de se tornarem um incômodo global. No caso descrito pela Sophos, o golpista que fingia ser um interesse amoroso às vezes respondia de forma acidental e suspeita à vítima em chinês.
“O que torna esses tipos de golpes particularmente complicados é que eles não exigem a instalação de nenhum malware no dispositivo da vítima. Eles nem envolvem um aplicativo falso, como alguns dos que encontramos em outros golpes de CryptoRom. todo o pool de liquidez falso foi executado através do aplicativo legítimo Trust Wallet”, disse o pesquisador da Sophos, Sean Gallaher, em um comunicado.
O pesquisador explicou que, embora esses golpes já fossem raros, a equipe de segurança agora vê mais de 500 sites fraudulentos de pools de liquidez.
“Muito poucos entendem como funciona o comércio legítimo de criptomoedas, por isso é fácil para esses golpistas enganarem seus alvos. Existem até kits de ferramentas agora para esse tipo de golpe, tornando mais simples para diferentes operações de abate de porcos adicionarem esse tipo de fraude criptográfica ao seu arsenal. “, disse Gallagher. –Laura Dobberstein ®
.
