A kiberfenyegetések növekvő áradata és a kibervédelem fontossága
2024.03.15
Cyberfenyegetések növekvő ütemben terjednek és az előttünk álló év tele van a választási év miatt előre jelzett kibertámadásokkal és incidensekkel. Több mint 50 országban lesz szavazás.
Az új fenyegetések, mint az AI és a deepfake technológia miatt, magasabb a tétje az erős kibervédelem kialakításának, mint valaha.
Az emberi kockázatok, az összes kibertámadás 74%-át okozzák, beleértve a hibákat, az ellopott hitelesítő adatokat, a hozzáférési jogosultságokkal való visszaélést vagy a social engineeringet. Különösen nagy aggodalomra ad okot bizonyos szektorokban, mint például a közszférában, ahol a válaszadók 87%-a aggódik amiatt, hogy az alkalmazottak email és közösségi média hibái károsíthatják intézményüket. Ennek ellenére csak valamivel több, mint a válaszadók fele mondja, hogy szervezetük havonta vagy folyamatosan biztosít kiberbiztonsági tudatossági képzést, és ez enyhén csökkent a 2023-as évhez képest (52% szemben a 54%-kal).
Az IT csapatok proaktívan lépnek fel a védelmi stratégiáik fokozásával, különösen, mivel az AI új kihívásokat vet fel. Az AI megjelenése felgyorsítja a phishing és a zsarolóvírusok terjedését, megkönnyítve a fenyegető szereplők számára a sikeres támadások végrehajtását. A válaszadók 80%-a aggódik az AI által jelentett új fenyegetések miatt, és 67%-uk szerint az AI-vezérelte támadások hamarosan hétköznapivá válnak. Ahogy a cégek felkészülnek az új fenyegetésekre, a kiberkockázatokat egyre inkább üzleti problémának tekintik, nem csak IT problémának.
Az email marad a kiberfenyegetések, mint a phishing, a spoofing és a zsarolóvírusok elsődleges támadási vektora.
Az adatszivárgások költségei az egekbe szöknek. Világszerte az adatszivárgások átlagos költsége most 4,45 millió dollár, három év alatt 15%-kal nőtt. Az amerikai cégek esetében az átlag több mint kétszerese, 9,48 millió dollár adatszivárgásonként. Globálisan, 2023-ban, az ellopott elektronikus rekordok száma majdnem elérte a 6 milliárdot. A probléma részben az erőforrások hiányában rejlik.
Pozitív fejleményként, a válaszadók 97%-a mondja, hogy igazgatótanácsaik és felső vezetőik támogatják kiberbiztonsági erőfeszítéseiket, és 57%-uk magas szintű támogatásról számol be. Ugyanakkor sok válaszadó úgy érzi, erőfeszítéseiket aláássa az elégtelen költségvetés és azok felhasználásának korlátozásai.
Kilencből tíz cégnek most van formális kiberbiztonsági stratégiája, és ezeknek 96%-a egyetért abban, hogy ez megerősítette képességüket embereik, folyamataik és technológiáik védelmében. „Az új eszközök és technológiák, mint az AI és a deepfake, megváltoztatja a fenyegető szereplők működési módját; de az emberek maradnak a legnagyobb akadálya a cégek kiberfenyegetésektől való védelmének,” mondta Marc van Zadelhoff, a Mimecast vezérigazgatója. „A kiberbiztonsági és IT csapatoknak szorosabban kell együttműködniük a szélesebb üzleti vezetőkkel az emberi kockázat megértésének prioritásaként. A megfelelő eszközökkel és oktatással a cégek jobban védhetik magukat a fenyegetésekkel szemben és kezelhetik az emberi kockázatot.”
Francia Kormány Kibertámadásokkal Szemben
2024.03.12
A francia kormány hétfőn közölte, hogy szolgáltatásait "példátlan intenzitású" célzott kibertámadások érték, és egy különleges válságközpontot aktiváltak az online szolgáltatások helyreállítására.
Gabriel Attal miniszterelnök hivatala egy közleményben azt mondta, hogy a támadások vasárnap este kezdődtek és több kormányzati minisztériumot érintettek, részleteket azonban nem közöltek. Hétfő délutánra azt mondták, "a támadások hatása a legtöbb szolgáltatásra nézve csökkent, és a kormányzati oldalakhoz való hozzáférés helyreállt."
Egy olyan hackercsoport, amelyet kiberbiztonsági szakértők Oroszországot támogatónak tartanak, az Anonymous Sudan, online bejegyzésekben vállalta a felelősséget a támadásokért. A francia miniszterelnök hivatala és a digitális biztonsági ügynökség nem kívánta kommentálni az állítást, sem azt részletezni, hogy mely célpontokat támadták vagy milyen kárt okozhattak.
Egy francia tisztviselő szerint denial-of-service támadásokról volt szó, ami egy gyakori típusú kibertámadás, amely adatokkal árasztja el az oldalt annak érdekében, hogy túlterhelje és offline állapotba kényszerítse.
A francia kormány az utóbbi években, különösen a 2021-es kórházakat érintő káros zsarolóvírus-támadások után, és a nyári Párizsi Olimpia előtt, erőfeszítéseket tett a kiberbiztonság javítására.
A francia kormány Oroszországot vádolta azzal, hogy hosszú távú online manipulációs kampányt folytat Ukrajna nyugati támogatói ellen, többek között a Francia Külügyminisztérium weboldalának tükrözésével és más módszerekkel. Emmanuel Macron elnök egyre keményebb álláspontot képvisel Moszkvával és az ukrajnai háborúval szemben.
A Microsoftot hacker támadás érte
2024.03.11
A Microsoft pénteken nyilvánosságra hozta, hogy a Midnight Blizzard (más néven APT29 vagy Cozy Bear) néven ismert, Kreml által állítólag támogatott hackercsoportnak sikerült hozzáférnie egyes forráskód-tárházaihoz és belső rendszereihez, egy 2024 januárjában napvilágot látott hacket követően.
"Az elmúlt hetekben bizonyítékot találtunk arra, hogy a Midnight Blizzard a vállalati e-mail rendszereinkből eredetileg kiszivárgott információkat használja arra, hogy jogosulatlan hozzáférést szerezzen, vagy megpróbáljon szerezni" - közölte a technológiai óriás.
"Ez magában foglalta a vállalat egyes forráskód-tárhelyeihez és belső rendszereihez való hozzáférést. Eddig nem találtunk bizonyítékot arra, hogy a Microsoft által hosztolt, ügyfelekkel kapcsolatos rendszereket veszélybe sodorták volna"."
Redmond, amely továbbra is vizsgálja a betörés mértékét, azt nyilatkozta, hogy az orosz állam által támogatott, "fenyegető szereplő", megpróbálja kihasználni a különböző típusú titkokat, amelyeket talált, beleértve azokat is, amelyeket az ügyfelek és a Microsoft között e-mailben osztottak meg.
Azt azonban nem közölte, hogy melyek ezek a titkok, illetve a kompromittálódás mértékét, bár elmondta, hogy közvetlenül elérte az érintett ügyfeleket. Az nem világos, hogy milyen forráskódhoz fértek hozzá.
A Microsoft kijelentette, hogy növelte biztonsági beruházásait, és megjegyezte továbbá, hogy az "ellenfél" februárban akár tízszeresére is növelte támadásait, a januárban megfigyelt "már nagy volumenű" támadásokhoz képest.
"A Midnight Blizzard folyamatban lévő támadását a hackercsoport erőforrásainak tartós, jelentős lekötése, koordinációja és összpontosítása jellemzi" - áll a közleményben.
"Lehet, hogy a megszerzett információkat arra használja fel, hogy képet alkosson a támadandó területekről, és fokozza a támadásait. Ez tágabb értelemben véve, egy példátlan globális fenyegetés, különösen kifinomult támadások, a nemzetállamok ellen"."
A Microsoft feltörésére állítólag 2023 novemberében került sor, amikor a Midnight Blizzard egy password spray támadást alkalmazva sikeresen beszivárgott egy olyan régi, nem termelői, tesztüzemben használt bérlői fiókba, amely nem rendelkezett többfaktoros hitelesítéssel (MFA).
A technológiai óriás január végén felfedte, hogy az APT29 más szervezeteket is célba vett, kihasználva a kezdeti hozzáférési módszerek sokszínűségét, a lopott hitelesítő adatoktól kezdve az ellátási láncot érintő támadásokig.
A Cisco bejelentett egy Patchet a VPN hijacking bug-ra a Secure Client szoftverénél
2024.03.11
A Cisco javításokat adott ki egy jelentős súlyosságú biztonsági rés kezelésére, amely a Secure Client szoftverét érinti és amelyet egy támadó felhasználhatna egy célzott felhasználó VPN munkamenetének megnyitására.
A hálózati eszközöket gyártó vállalat a sebezhetőséget, amely a CVE-2024-20337 azonosító alatt van nyilvántartva (CVSS pontszám: 8.2), úgy írta le, hogy az lehetővé teszi egy hitelesítetlen, távoli támadó számára, hogy végrehajtson egy carriage return line feed (CRLF) injekciós támadást egy felhasználó ellen.
Ez a probléma a felhasználó által megadott bejelentkezés hanyag ellenőrzéséből ered, és egy hacker kihasználhatja a hibát egy felhasználó átverésére, azáltal hogy rákattint egy különlegesen előkészített linkre VPN munkamenet létesítése közben.
"Egy sikeres exploit lehetővé tenné a támadó számára, hogy tetszőleges szkriptkódot futtasson a böngészőben vagy hozzáférjen érzékeny, böngésző alapú információkhoz, beleértve egy érvényes SAML tokent," közölte a vállalat egy tanácsadói közleményben.
"A támadó ezután felhasználhatná ezt a tokent egy távoli hozzáférésű VPN munkamenet létrehozására az érintett felhasználó jogosultságaival.
A sebezhetőség a Secure Client Windows, Linux és macOS verzióit érinti, és a következő verziókban lett kezelve:
- 4.10.04065 előtt (nem érintett)
- 4.10.04065 és utána (javítva a 4.10.08025 verzióban)
- 5.0 (át kell térni egy javított kiadásra)
- 5.1 (javítva a 5.1.2.42 verzióban)
Az Amazon biztonsági kutatóját, Paulos Yibelo Mesfint ismerték el azzal, hogy felfedezte és jelentette a hibát, aki a The Hacker Newsnak nyilatkozva elmondta, hogy a hiányosság lehetővé teszi a támadók számára a helyi belső hálózatokhoz való hozzáférést, amikor egy célzott személy az ő ellenőrzésük alá tartozó weboldalra látogat.
A Cisco kiadott javításokat a CVE-2024-20338-ra is (CVSS pontszám: 7.3), egy másik jelentős súlyosságú hibára a Secure Client Linux verziójában, ami lehetővé tenné egy hitelesített, helyi támadó számára, hogy jogosultságokat szerezzen egy érintett eszközön. Ez a hiba a 5.1.2.42 verzióban lett orvosolva.
"Egy támadó kihasználhatja ezt a sebezhetőséget egy rosszindulatú könyvtárfájl másolásával egy meghatározott könyvtárba a fájlrendszeren belül, és rávehet egy adminisztrátort, hogy indítson újra egy meghatározott folyamatot," áll a közleményben. "Egy sikeres exploit lehetővé tenné a támadó számára, hogy tetszőleges kódot futtasson az érintett eszközön root jogosultságokkal."
"Egy sikeres exploit lehetővé tenné a támadó számára, hogy tetszőleges kódot futtasson az érintett eszközön root jogosultságokkal."
Kritikus Fortinet Fortios bug, 150.000 eszköz lehet érintett
2024.03.11
Kutatók figyelmeztetnek, hogy a Fortinet FortiOS rendszerében található kritikus sebezhetőség, a CVE-2024-21762 potenciálisan 150.000 nem frissített eszközt érinthet. Februárban a Fortinet figyelmeztetett, hogy a FortiOS SSL VPN-ben található kritikus távoli kódfuttatási sebezhetőség, a CVE-2024-21762 (CVSS pontszám 9.6) aktívan kihasználásra került a világban zajló támadásokban.
A biztonsági cég nem szolgált részletekkel az ezt a sebezhetőséget kihasználó támadásokról.
A probléma egy out-of-bounds írási sebezhetőség, amelyet speciálisan előkészített HTTP kérések küldésével lehet kihasználni a sebezhető eszközök ellen. A gyártó ajánlása az SSL VPN letiltása (a webmód letiltása NEM elfogadható átmeneti megoldás) átmeneti megoldásként vagy az eszközök frissítése.
"Egy out-of-bounds írási sebezhetőség [CWE-787] a FortiOS rendszerben lehetővé teheti egy távoli, hitelesítetlen támadó számára, hogy tetszőleges kódot vagy parancsot hajtson végre speciálisan előkészített HTTP kérésekkel."
"Átmeneti megoldás: az SSL VPN letiltása (a webmód letiltása NEM elfogadható átmeneti megoldás). Megjegyzés: Ez potenciálisan kihasználható a világban."
Az alábbi táblázat tartalmazza az érintett verziók listáját és azokat a verziókat, amelyek megoldják a problémát.
| Verzió | Érintett | Megoldás |
| FortiOS 7.6 | Nem érintett | Nem alkalmazható |
| FortiOS 7.4 | 7.4.0-tól 7.4.2-ig | Frissítés 7.4.3-ra vagy magasabbra |
| FortiOS 7.2 | 7.2.0-tól 7.2.6-ig | Frissítés 7.2.7-re vagy magasabbra |
| FortiOS 7.0 | 7.0.0-tól 7.0.13-ig | Frissítés 7.0.14-re vagy magasabbra |
| FortiOS 6.4 | 6.4.0-tól 6.4.14-ig | Frissítés 6.4.15-re vagy magasabbra |
| FortiOS 6.2 | 6.2.0-tól 6.2.15-ig | Frissítés 6.2.16-ra vagy magasabbra |
| FortiOS 6.0 | Az összes 6.0 verzió | Áttérés egy javított kiadásra |
Az Egyesült Államok Kiberbiztonsági és Infrastruktúra Biztonsági Ügynöksége (CISA) hozzáadta ezt a sebezhetőséget a Known Exploited Vulnerabilities (KEV) katalógusához.
Ezen a héten a Shadowserver Alapítvány kutatói bejelentették, hogy közel 150 000 eszköz még mindig potenciálisan érintett lehet.
A kutatók az internetet montorozzák az internetre csatlakoztatott Fortinet FortiOS és FortiProxy rendszerekkel kapcsolatban, amelyek sebezhetőek a CVE-2024-21762-vel szemben.
150 000 találat volt 2024. március 6-án.
A sebezhető eszközök többsége (2024. március 9-én) az Egyesült Államokban van (24 647), ezt követi India (7 713) és Brazília (4 934).
A GreyNoise kutatói szintén közzétettek egy érdekes elemzést a hibáról, "A Fortinet CVE-2024-21762 kutatása: Sebezhetőségek kutatása a detektálás mérnöki munkájához" címmel.
