Cette semaine de sécurité: Zimbra, Lockbit 2 et piratage NK
Les attaquants inconnus ont exploité une attaque de 0 jour contre la suite électronique Zimbra. Les chercheurs de la volexité ont d’abord découvert l’attaque en décembre de l’année dernière, détectée par leur infrastructure de surveillance. C’est un exploit de script inter-sites (XSS), de sorte que lors de l’ouverture d’un lien malveillant, le JavaScript exécutant sur la page malveillante peut accéder à une instance Zimbra connectée. La campagne d’attaque utilise cet exploit pour saisir des courriels et des pièces jointes et les télécharger aux attaquants. Les chercheurs n’ont pas été en mesure d’identifier de manière positive quel groupe est derrière les attaques, mais un peu de preuves circonstancielles pointe vers un groupe chinois. Cette preuve? Fuseaux horaires. L’attaquant demande à tous l’utilisation du fuseau horaire Asie / Hong_kong et le moment de tous les e-mails de phishing envoyés gémissent bien avec une journée de travail dans ce fuseau horaire.
Zimbra a répondu, confirmant la vulnérabilité et publie un correctif pour cela. La campagne semble avoir été ciblée spécifiquement contre les gouvernements européens et divers médias. Si vous exécutez une instance Zimbra, assurez-vous d’exécuter au moins 8.8.15.1643980846.P30-1.
Lockbit 2.0
Étant donné que les professionnels de la sécurité avaient besoin d’autre chose pour nous occuper, la campagne de ransomware Lockbit est de retour pour deux rounds. Ceci est une autre campagne Ransomware exécutée dans le modèle AS-A-Service – Raas. Lockbit 2 a pris suffisamment d’attention que le FBI a publié un message flash (PDF) à ce sujet. C’est le système d’alerte de liaison FBI, en cours d’exécution pour le pire acronyme. (Aidez-les à comprendre ce que signifie “H” dans les commentaires ci-dessous!)
Comme beaucoup d’autres campagnes de ransomware, Lockbit dispose d’une liste de codes linguistiques qui déclenchent une caution à l’exécution – les langues de l’Europe de l’Est que vous attendiez. Les opérateurs de ransomware ont longtemps essayé de ne pas empoisonner leurs propres puits en frappant des objectifs dans leurs propres cours de dos. Celui-ci est signalé comme ayant également un module Linux, mais il semble limité aux machines virtuelles VMware ESXI. Une série de CIO ont été publiées et le FBI demande des journaux, des notes de rançon ou d’autres éléments de preuve éventuellement liés à cette campagne à leur envoyer si possible.
Pas les mimosas que vous recherchez
Et en parlant d’avis gouvernementaux, la CISA a publié un conseil sur les produits sans fil Mimosa, basé sur plusieurs cves, dont trois d’entre eux marquant le redouté 10.0. Il existe des problèmes d’autorisation incorrects, de sorte que les points finaux d’API soient accessibles sans AUTH; Un problème de falsification de la demande côté serveur, cela pourrait permettre à un attaquant de passer par passer des messages via une frontale Web; une injection SQL; et même non sala MD5 pour stocker des mots de passe.
Ces vulnérabilités ont été découvertes par NOAM MOSHE, chercheur à Claoty. Il est parti sur le dossier pour confirmer que c’était aussi mauvais qu’il avait l’air que l’attaquant de l’interface du cloud pourrait entraîner un compromis du matériel dans le champ. Il n’y a pas de rédaction complète sur cette histoire, mais jusqu’à présent, il semble être un audit de sécurité noire non officiel, ce n’est donc pas un examen de code officiel. Ce ne sont que des vulnérabilités découvertes par l’audit limité. Gardez un oeil sur plus de problèmes à trouver.
SAP paie leurs cotisations log4j
Une des raisons de la vulnérabilité de Log4J est un tel mal de tête est que les bibliothèques Java sont intégrées dans de nombreux fichiers binaires et appareils et nécessitent une mise à jour de l’ensemble du binaire pour résoudre les problèmes. Si la vulnérabilité était dans GLIBC, cette bibliothèque pourrait être mise à jour, mais chaque binaire comprenant log4J doit être mis à jour individuellement. Pointant qu’il s’agit d’un processus long, SAP a libéré leurs corrections pour leur journée de correctif de février. Six des huit top huit vulnérabilités fixes sont log4j. Celui-ci va être autour depuis longtemps.
Routeurs Cisco RV
Les routeurs Cisco RV160, RV260, RV340 et les petits entreprises RV345 ont à la fois une vulnérabilité d’escalade RCE et des privilèges, avec le code POC disponible. Le RCE est une simple demande HTTP qui contourne les contrôles d’accès. Plusieurs de ces unités ont également une vulnérabilité d’injection de commandement, où l’entrée d’utilisateur n’est pas suffisamment désinfectée, entraînant des commandes exécutées sur le système sous-jacent. Bien que des correctifs soient disponibles, Cisco a déclaré qu’il n’y a pas de solution de contournement pour ces défauts. Pensez à cela. Vous ne pouvez littéralement pas enfermer ces appareils suffisamment pour éviter une RCE. Encore une fois, allez sur votre placard de votre réseau et voyez si l’une d’entre elles se cachent quelque part.
Le chercheur brise la Corée du Nord
Si vous êtes pris dans une campagne de piratage sponsorisée par l’État, une réponse raisonnable? Si vous êtes un chercheur indépendant comme [p4x], le lancement de votre propre attaque DO contre la nation étrangère n’est pas hors de question. Nous avons couvert la campagne d’origine lorsqu’il est arrivé – les pirates nord-coréens ont posé des chercheurs de sécurité et ont contacté d’autres chercheurs, demandant de l’aide pour un projet. La capture est que le projet qu’ils souhaitait collaborer était en réalité un projet de studio visuel piégé. [P4x] était l’une des résinesRchers qui a été ciblé, et cela ne s’est tout simplement pas bien assis avec lui.
La Corée du Nord n’est pas connue pour avoir exécuté les versions les plus récentes de quoi que ce soit, et il y avait suffisamment de problèmes de production que ce chercheur unique a pu frapper la majeure partie de leur accès Internet hors ligne pendant un moment. Cela a été confirmé par des chercheurs indépendants, notamment NetBlocks:
Spoolfool
Et si vous vous êtes demandé, le spouleur imprimé Windows continue d’être une catastrophe de sécurité. Il y a eu plusieurs vulnérabilités de spouleur au cours des deux dernières années, mais de NOTE est CVE-2020-1030, une attaque permettant de mapper le répertoire SPOOL à un répertoire système et d’écraser des fichiers importants. Le correctif pour cela était de vérifier si le répertoire des spouleurs est en fait sans danger pour écrire. Maintenant, nous avons CVE-20222-21999, un contournement pour ce patch. L’essence est qu’un attaquant peut ajouter une imprimante avec un répertoire de spool sûr, mais sous le contrôle de l’attaquant, puis utilisez une jonction de répertoire pour mapper un répertoire système au même endroit. Cela transmet toujours le chèque, mais permet d’écrire une DLL malveillante dans le dossier du pilote d’imprimante. Chargez le pilote, déclenchez un redémarrage du spouleur et vous avez une escalade au système.
SHA256
Il y a quelque chose de très satisfaisant de comprendre enfin un algorithme que votre ordinateur utilise chaque jour pour le cryptage. Si vous lisez ceci, vous êtes probablement mal intrigué par des algorithmes. Je présente le visualiseur Sha256 étape par étape.