Vulnerabilitatea critică OpenSSH „regreSSHion” descoperită, Velvet Ant exploatează vulnerabilitatea Cisco Zero-Day: Breviarul dumneavoastră de securitate cibernetică

Vulnerabilitatea critică OpenSSH „regreSSHion” descoperită, impactând milioane de sisteme Linux
O vulnerabilitate recent descoperită în software-ul de server OpenSSH utilizat pe scară largă, cu numele de cod „regreSSHion” (CVE-2024-6387), a trimis unde de șoc prin securitate cibernetică comunitate. Această defecțiune critică, care permite executarea neautentificată a codului de la distanță pe sistemele Linux vulnerabile, ar putea să acorde atacatorilor acces complet la rădăcină și să le permită să ocolească firewall-urile.
Deși experții recunosc gravitatea vulnerabilității, ei subliniază că exploatarea nu este simplă și necesită îndeplinirea unor condiții specifice. Bug-ul provine dintr-o problemă de sincronizare, o regresie a unei vulnerabilități corectate anterior, care a fost reintrodusă în 2020. Atacul necesită un efort susținut, care durează adesea ore sau chiar săptămâni pentru a se executa cu succes.
În ciuda dificultății de exploatare, prevalența OpenSSH în infrastructura digitală ridică îngrijorări cu privire la potențialul Impactul a acestei vulnerabilitati. Se estimează că aproximativ 14 milioane de instanțe de server OpenSSH sunt expuse la internet, ceea ce le face ținte potențiale pentru actorii rău intenționați.
Susținătorii OpenSSH au lansat actualizări de securitate pentru a atenua riscul, iar utilizatorii sunt îndemnați cu tărie să-și corecteze sistemele prompt. Măsurile de securitate suplimentare, cum ar fi limitarea accesului SSH și impunerea segmentării rețelei, pot reduce riscul accesului neautorizat și al mișcării laterale.
Microsoft avertizează asupra unor vulnerabilități critice în Rockwell Automation PanelView Plus,
Cercetătorii de securitate de la Microsoft au tras un semnal de alarmă pentru două situații critice vulnerabilități descoperit în PanelView Plus de la Rockwell Automation, o interfață om-mașină (HMI) utilizată pe scară largă în setările industriale. Vulnerabilitățile, identificate ca CVE-2023-2071 și CVE-2023-29464, ar putea fi exploatate de actori rău intenționați pentru a executa cod de la distanță sau a iniția atacuri de refuzare a serviciului (DoS), care ar putea cauza perturbări semnificative ale proceselor industriale și infrastructurii.
CVE-2023-2071, evaluat cu 9.8 din 10 pe scara de severitate CVSS, este o vulnerabilitate de validare a intrărilor necorespunzătoare care ar putea permite unui atacator neautentificat să execute cod arbitrar pe dispozitivul vizat. Acest lucru ar putea duce la un compromis complet al sistemului, permițând atacatorului să fure date sensibile, să instaleze programe malware suplimentare sau să saboteze operațiuni.
CVE-2023-29464, deși mai puțin sever cu un scor CVSS de 8.2, prezintă totuși un risc serios. Această vulnerabilitate, care decurge și din validarea incorectă a intrărilor, ar putea fi exploatată pentru a citi date din memorie sau pentru a declanșa o condiție DoS, făcând dispozitivul să nu răspundă și perturbând procesele industriale.
Rockwell Automation a lansat deja patch-uri pentru a aborda aceste vulnerabilități în septembrie și, respectiv, octombrie 2023. Cu toate acestea, exploatarea recentă a unui defect similar în serverul de fișiere HTTP subliniază importanța aplicării prompte a acestor actualizări. Dispozitivele PanelView Plus nepatchizate rămân susceptibile la atacuri, lăsând infrastructura critică vulnerabilă la compromisuri.
Brazilia interzice Meta să folosească datele utilizatorului pentru instruirea AI, invocând preocupări legate de confidențialitate
Autoritatea braziliană pentru protecția datelor, ANPD, a interzis temporar Meta să folosească datele personale ale utilizatorilor săi în scopuri de instruire AI. Această decizie urmează actualizării recente a Meta a termenilor săi, care i-a permis să folosească conținut public de pe Facebook, Instagram și Messenger pentru a-și antrena algoritmii AI. ANPD a constatat că termenii actualizați încalcă Legea generală privind protecția datelor cu caracter personal din Brazilia, invocând îngrijorări legate de lipsa de transparență, temeiul juridic inadecvat și potențiale riscuri pentru copii și adolescenți.
Această mișcare a Braziliei nu este izolată. Meta s-a confruntat cu o rezistență similară în Uniunea Europeană, ceea ce a determinat compania să întrerupă planurile de instruire AI în regiune fără acordul explicit al utilizatorului. Președintele afacerilor globale al companiei a criticat poziția UE ca fiind o piedică în calea inovației.
Între timp, Cloudflare a lansat un nou instrument pentru a împiedica roboții AI să trimită conținut pentru formarea LLM, evidențiind și mai mult preocupările în creștere cu privire la confidențialitatea datelor și dezvoltarea AI.
Grupul chinez de spionaj „Velvet Ant” exploatează vulnerabilitatea Cisco Zero Day în atacuri cibernetice sofisticate
Firma de securitate cibernetică Sygnia a dezvăluit un atac țintit al grupului de spionaj sponsorizat de stat chinez, Velvet Ant, care exploatează o vulnerabilitate necunoscută anterior în software-ul Cisco NX-OS. Acest defect zero-day, desemnat ca CVE-2024-20399, a fost găsit în switch-urile Cisco Nexus, componente cruciale ale infrastructurii de rețea.
Vulnerabilitatea permite atacatorilor autentificați să execute comenzi arbitrare cu privilegii root, oferindu-le un control extins asupra dispozitivelor compromise. Velvet Ant a folosit acest defect pentru a implementa programe malware personalizate, permițând accesul de la distanță, încărcarea fișierelor și execuția de cod pe comutatoarele vizate.
Descoperirea lui Sygnia a venit în timpul unei investigații criminalistice mai ample asupra activităților Velvet Ant, dezvăluind un model de tactici sofisticate de spionaj cibernetic folosit de grup. Cisco, alertat cu privire la vulnerabilitate în aprilie 2024, a lansat de atunci patch-uri pentru a rezolva problema.
Exploatarea acestui zero-day evidențiază jocul în curs de desfășurare a pisicii și șoarecele dintre profesioniștii în securitate cibernetică și actorii sponsorizați de stat. Subliniază importanța măsurilor de securitate robuste, în special pentru dispozitivele critice de rețea, cum ar fi comutatoarele, care sunt adesea trecute cu vederea ca potențiale puncte de intrare pentru atacatori.
Mai mult, incidentul subliniază provocările de detectare și investigare a activității rău intenționate pe dispozitivele de rețea din cauza lipsei de monitorizare și înregistrări centralizate. Pe măsură ce amenințările cibernetice continuă să evolueze, organizațiile trebuie să rămână vigilente și să adopte măsuri proactive pentru a-și proteja infrastructura și datele.