Los atacantes desconocidos han estado explotando un ataque de 0 días contra la suite de correo electrónico de Zimbra. Los investigadores de Volexity primero descubrieron el ataque en diciembre del año pasado, detectados por su infraestructura de monitoreo. Es una explotación de scripts (XSS) de la obra cruzada, de modo que al abrir un enlace malicioso, el JavaScript que se ejecuta en la página Malgola puede acceder a una instancia de ZIMBRA iniciada. La campaña de ataque utiliza este exploit para agarrar correos electrónicos y archivos adjuntos y subirlos a los atacantes. Los investigadores no han podido identificar positivamente qué grupo está detrás de los ataques, pero un poco de evidencia circunstancial apunta a un grupo chino. Esa evidencia? Zonas horarias. El atacante solicita a todos use la zona horaria de asia / hong_kong, y el momento de todos los correos electrónicos de phishing enviados a las líneas muy bien con un día de trabajo en esa zona horaria.
Zimbra ha respondido, confirmando la vulnerabilidad y publicando un hotfix para ello. La campaña parece haber sido dirigida específicamente contra los gobiernos europeos, y varios medios de comunicación. Si está ejecutando una instancia de ZIMBRA, asegúrese de ejecutar al menos 8.8.15.1643980846.p30-1.
LOCKBIT 2.0
Debido a que los profesionales de la seguridad necesitaban algo más para que nos mantuvieran ocupados, la campaña Lockbit Ransomware está de vuelta para una ronda dos. Esta es otra campaña de ransomware que se ejecuta en el patrón de servicio AS-A – RAAS. Lockbit 2 ha llamado suficiente atención, que el FBI ha publicado un mensaje Flash (PDF) al respecto. Ese es el sistema de alerta de enlace del FBI, en la carrera para el peor acrónimo. (¡Ayúdelos a descubrir qué significa el “H” en los comentarios a continuación!)
Como muchas otras campañas de ransomware, Lockbit tiene una lista de códigos de idioma que desencadenan una fianza en la ejecución, los idiomas de Europa del Este que usted esperaría. Los operadores de ransomware han tratado de no envenenar sus propios pozos al golpear objetivos en sus propios patios traseros. Este se está informando como también tiene un módulo Linux, pero parece que está limitado a máquinas virtuales VMware ESXI. Se han publicado una serie de COOC, y el FBI solicita cualquier registro, notas de Ransom u otra evidencia que posiblemente esté relacionada con esta campaña que se le envíe si es posible.
No las mimosas que estas buscando
Y hablando de avisos gubernamentales, CISA ha publicado un asesoramiento sobre los productos inalámbricos de Mimosa, basados en varios CVES, y tres de ellos anotan los temidos 10.0. Hay problemas de autorización inadecuados, de modo que sean accesibles los puntos finales de la API sin autorización; Un problema de falsificación de la falla de un servidor, que podría permitir que un atacante controla los mensajes a través de una frontend a la web; una inyección de SQL; e incluso el hash de MD5 sin sal para almacenar contraseñas.
Estas vulnerabilidades fueron descubiertas por Noam Moshe, investigador de Claroty. Se ha ido al registro para confirmar que fue tan malo como se veía, que atacar la interfaz de la nube podría llevar a un compromiso del hardware en el campo. No hay un escrito completo en esta historia, pero hasta ahora parece ser una auditoría de seguridad de Black-Box no oficial, por lo que no es una revisión oficial del código. Estas son solo las vulnerabilidades descubiertas por la auditoría limitada. Mantener un ojo para que se encuentren más problemas.
SAP paga sus cuotas LOG4J
Una de las razones por las que la vulnerabilidad LOG4J es tal dolor de cabeza porque las bibliotecas de Java están incrustadas en tantos binarios y aparatos, y requieren una actualización de todo el binario para solucionar problemas. Si la vulnerabilidad fue en GLIBC, solo esa biblioteca podría actualizarse, pero cada binario que incluye log4j debe actualizarse individualmente. Haciendo el punto de que este es un proceso largo, SAP ha lanzado sus arreglos para su día de parche de febrero. Seis de las ocho vulnerabilidades principales fijadas son Log4j. Este va a estar alrededor por mucho tiempo.
Cisco RV Routers
Los enrutadores de Cisco RV160, RV260, RV340 y RV345, enrutadores de pequeñas empresas, tienen una vulnerabilidad por escala de privilegios y privilegios, con código POC disponible. El RCE es una solicitud HTTP simple que pasa por alto los controles de acceso. Varias de estas unidades también tienen una vulnerabilidad de la inyección de comandos, donde la entrada de usuario no está suficientemente desinfectada, lo que lleva a los comandos que se ejecutan en el sistema subyacente. Mientras que los parches están disponibles, Cisco ha declarado que no hay soluciones para estas fallas. Piénsalo. Literalmente, no puede bloquear estos dispositivos lo suficiente para evitar un RCE. Una vez más, vaya a su armario de red, y vea si uno de estos se esconde allí en alguna parte.
Investigador rompe a Corea del Norte
Si te atrapas en una campaña de hacking patrocinada por el estado, ¿qué es una respuesta razonable? Si usted es un investigador independiente como [P4x], lanzar su propio ataque de DOS contra la nación extranjera no está fuera de su pregunta. Cubrimos la campaña original cuando sucedió: los hackers de Corea del Norte plantearon como investigadores de seguridad y se acercaron a otros investigadores, pidiendo ayuda con un proyecto. La captura es que el proyecto en el que querían colaborar fue en realidad un proyecto de estudio visual atrapado. [P4x] fue una de las readasRCHERS que fueron atacados, y esto simplemente no se sentó bien con él.
Corea del Norte no es conocida por ejecutar las versiones más actualizadas de cualquier cosa, y hubo suficientes problemas en la producción que este investigador único pudo derribar la mayor parte de su acceso a Internet fuera de línea por un tiempo. Esto ha sido confirmado por investigadores independientes, en particular NetBlocks:
Bobo
Y si se pregunta, el Spooler de Impresión de Windows continúa siendo un desastre para la seguridad. Ha habido varias vulnerabilidades de spooler en los últimos dos años, pero la nota es CVE-2020-1030, un ataque que permite asignar el directorio de spool en un directorio del sistema y sobrescribir archivos importantes. La solución para esto fue verificar si el directorio de spooler es realmente seguro de escribir. Ahora tenemos CVE-2022-21999, un bypass para ese parche. La esencia es que un atacante puede agregar una impresora con un directorio de spool que sea seguro, pero bajo el control del atacante, y luego use un cruce de directorio para asignar un directorio del sistema en el mismo lugar. Esto aún pasa el cheque, pero permite escribir una DLL maliciosa en la carpeta del controlador de la impresora. Cargue al conductor, active un reinicio de spooler, y tiene una escalada al sistema.
Sha256
Hay algo muy satisfactorio para comprender finalmente un algoritmo que su computadora usa cada día para el cifrado. Si estás leyendo esto, probablemente estás tan intrigado por los algoritmos. Presento el visualizador SHA256 paso a paso.