Msimu huu wa likizo wachambuzi wetu wa SOC wameona ongezeko kubwa katika shughuli za tishio la mtandao. Hasa, wameona ongezeko la majaribio ya uvamizi wa programu ya kukomboa, ambayo yalianza wakati wa sikukuu ya Shukrani ya Marekani (Novemba 25–31, 2024) na yanatarajiwa kuendelea katika msimu wote wa likizo. Tunashiriki maelezo kuhusu wahusika wa vitisho wanaohusika, mbinu zao, pamoja na mapendekezo ya kukupa maarifa na zana za kuimarisha usalama wako dhidi ya vitisho vinavyoendelea. BlackSuit ya Vikundi vya Tishio (zamani “Royal”) Inayojulikana kwa kulenga sekta muhimu za miundombinu, ikiwa ni pamoja na huduma ya afya, serikali na utengenezaji, BlackSuit hutumia mbinu za kuchuja data, ulaghai na usimbaji fiche, kulingana na ushauri wa Wakala wa Usalama wa Mtandao na Miundombinu (CISA). Vekta za mashambulizi ya kawaida ni pamoja na: Barua pepe za hadaa na tovuti hasidi Unyonyaji wa mitandao ya kibinafsi isiyolindwa (VPNs) isiyo na uthibitishaji wa vipengele vingi (MFA) Kuzima programu ya antivirus ili kuchuja data kabla ya mifumo ya usimbaji fiche Black Basta Inayofanya kazi kama programu ya ukombozi-kama-huduma (RaaS ), washirika wa Black Basta wamelenga zaidi ya vyombo 500 katika 2024 pekee katika Amerika Kaskazini, Ulaya, na Australia, kulingana na CISA. Mbinu Muhimu: Vishing: Kuiga mafundi wa dawati la usaidizi kupitia simu ili kufikia mitandao Kwa kutumia zana zenye nia mbaya za usimamizi wa kijijini ili kuingia na kuongeza mashambulizi LevelBlue Observations of Threat Actor TTPs na Jinsi ya Kuimarisha Usalama Katika wiki za hivi karibuni, timu yetu ya SOC imeona watendaji tishio kwa kutumia yafuatayo. mbinu za kuzindua mashambulizi: Mapendekezo ya Mbinu Utumiaji wa tovuti ya VPN ambayo hailazimishi MFA kupata ufikiaji wa awali Tekeleza. MFA ya miunganisho ya VPN na uzio wa geo-fence portal yako ya VPN Patch VPN vifaa. Kihistoria tumeona vifaa hivi vya mtandao vinavyotazama nje kuathiriwa Matumizi ya vishing (kuiga mwanatimu wa “dawati la usaidizi”) ili kupata ufikiaji wa awali kwa vituo vya kazi vya watumiaji wa mwisho, ambayo humpa mvamizi ufikiaji wa mtandao mkubwa (barua pepe na maandishi. ujumbe pia unasaidiwa kwa ukusanyaji wa hati miliki na kusambaza programu hasidi) Nambari mbili za LevelBlue imebainisha kuhusika katika matukio ni 1-844-201-3441 na 304-718-2459 Wape wafanyikazi mafunzo na elimu juu ya shambulio la vishing na vivutio vya kawaida vinavyoweza kutumika Tekeleza mchakato wa uthibitishaji kwa wafanyikazi wa dawati la usaidizi na wafanyikazi wanaoitwa wakati wa hali halali za usaidizi wa IT moja kwa moja. wafanyakazi kuripoti mawasiliano ya kutiliwa shaka mara moja kwa msimamizi na uongozi wa usalama Matumizi ya Rclone, WinSCP, na zana zingine za kuhamisha faili toa data kutoka kwa mazingira Zuia usakinishaji au utekelezwaji wa zana za mvamizi wa kawaida ambazo hazina kazi maalum ndani ya mtandao wako, au tekeleza vighairi vizuizi kwa kuruhusu matumizi Matumizi ya udhaifu kwenye programu/maombi ya kawaida ili kuongeza mapendeleo Kuathirika kwa VMware, Microsoft Exchange. , Microsoft SharePoint, na programu zingine zinazojiendesha zinalengwa haswa kupata msimamizi au hata ufikiaji wa mizizi ndani ya programu ya Patch ya mazingira. kwa mapendekezo ya muuzaji na ukague ratiba ya kuathirika ya shirika lako ya kuchanganua na kuweka viraka Dumisha rekodi nzuri za programu na mifumo ya uendeshaji inayoendeshwa ndani ya mazingira yako, na uwashe arifa wakati arifa za viraka, barua pepe, au masasisho ya habari yanapotoka kuhusu programu hizi na mifumo ya uendeshaji Matumizi ya Kidhibiti cha Mbali. Itifaki ya Eneo-kazi (RDP), Usimamizi wa Kijijini cha Dirisha (WinRM), na zana za Usimamizi wa Ufuatiliaji wa Mbali (RMM) za harakati za kando Zuia yoyote ya nje hadi ya ndani. Majaribio ya RDP na kuzima RDP kwa wapangishi ambao hawahitaji Punguza trafiki ya RDP na WinRM kutoka sehemu za mtandao ambazo hazihitaji aina hiyo ya utepetevu wa magharibi/mashariki. Hili pia linaweza kutumika kwa itifaki zingine na trafiki ya jumla ya mtandao pia, kukomesha harakati za baadaye za mshambuliaji Zuia usakinishaji au utekelezaji wa zana za RMM ambazo hazitumiwi kwa njia dhahiri na shirika lako. Kumbuka kuwa zana za RMM zimezingatiwa katika takriban kila tukio linalohusiana na ukombozi ambalo timu ya LevelBlue SOC imechunguza. Kuzuia usakinishaji au utekelezaji wa zana hizi kutapunguza kwa kiasi kikubwa ufanisi wa mashambulizi Hatua Nyingine Mahiri za Usalama Mtandaoni Huongeza Ufahamu wa Wafanyakazi Ingawa wafanyakazi wanaweza kufurahia sherehe nyingi zaidi wakati huu wa mwaka, ni muhimu kuwasilisha uharaka wa kuwa waangalifu zaidi wakati wa msimu wa likizo. Kuelimisha wafanyakazi juu ya kutambua na kuripoti mawasiliano ya kutiliwa shaka. Na kutoa mwongozo wazi juu ya kuthibitisha anwani za usaidizi wa IT. Thibitisha Vidhibiti vya Usalama na Kushughulikia Mfiduo Unayoweza Kushughulikia Endelea kufuatilia viraka na uhakikishe kuwa mali zinazoonekana kwa umma zinalindwa kupitia MFA. Tuko hapa ili kusaidia kutambua mapengo yanayoweza kutokea ya usalama na mifichuo. Pata manufaa ya jaribio lisilolipishwa la siku 30 ukitumia huduma ya LevelBlue ya Kudhibiti Athari. Linda dhidi ya Tovuti na Barua pepe Hasidi Ikiwa tayari huna usalama wa barua pepe, ufikiaji salama wa mbali, au ulinzi salama wa lango la wavuti uliopo, zingatia kuziongeza. LevelBlue hutoa chaguo rahisi, zinazodhibitiwa za utoaji wa huduma na chaguo la teknolojia kuu. Huduma hizi zinaweza kusaidia kuwalinda wafanyakazi dhidi ya majaribio ya kuhadaa ili kupata maelezo ya kibinafsi na tovuti hasidi na pia kusaidia kudhibiti na kudhibiti ufikiaji wa programu. Imarisha Usalama wa Mwisho Zaidi ya 75% ya mashirika yanasema yamepitia angalau shambulio moja la mtandao kutokana na vifaa visivyojulikana, visivyodhibitiwa au vinavyosimamiwa vyema.[1] LevelBlue Inayosimamiwa Mwisho wa Usalama na SentinelOne hulinda sehemu tofauti za mwisho, ikiwa ni pamoja na kompyuta za mkononi, seva, kompyuta za mezani, na mizigo ya kazi ya wingu, dhidi ya vitisho vinavyoendelea. Oanisha huduma hii na LevelBlue Managed Threat Detection na Response ili kufunika eneo lako lote la mashambulizi. Pia tunatoa viwango kadhaa kwa kihifadhi majibu ya tukio, kuwapa wateja ufikiaji wa majibu ya ziada, uchunguzi wa uchunguzi na usaidizi wa uokoaji. Hatimaye, inaweza kushawishi kuruhusu kazi kuchelewa wakati huu wa mwaka, lakini kama tunavyojua sote, wahalifu wa mtandao watatumia hilo kwa manufaa yao. Shughulikia maswala ya usalama mara moja, ili yasichanganywe na kukua kuwa makali zaidi. Likizo ni wakati wa shughuli nyingi kwa kila mtu, pamoja na watendaji tishio. Tumia huduma zetu za usaidizi katika msimu huu na baada ya hapo ili kuimarisha shughuli zako za mtandaoni na kuhakikisha kuwa shirika lako linasalia salama. Wasiliana na LevelBlue info@levelblue.com
Category: Ciberseguridad Page 2 of 473
Muhtasari Kituo cha Kitaifa cha Usalama wa Mtandao cha New Zealand (NCSC) kimefichua Ripoti yake ya Maarifa ya Usalama ya Mtandao ya Q3 2024, ikitoa muhtasari wa kina wa vitisho vya mtandao vinavyoathiri New Zealand. Ripoti ya robo ya tatu inaangazia ongezeko la matukio ya mtandaoni, na kutoa uelewa wa kina wa wahusika tishio wanaolenga watu binafsi, biashara na mashirika kote nchini. Kulingana na Ripoti ya Maarifa ya Usalama ya Mtandao ya NCSC, idadi ya matukio yaliyoripotiwa iliongezeka hadi 1,905 katika Q3 2024, kuashiria ongezeko la 58% ikilinganishwa na robo ya awali. Ingawa ongezeko hili linaweza kuonekana kuwa la kutatanisha, NCSC ilibaini kuwa ongezeko kama hilo ni maendeleo chanya. Inaonyesha wakazi zaidi wa New Zealand na wafanyabiashara wanaochukua hatua za haraka kwa kuripoti matukio ya mtandaoni, na hivyo kuchangia katika mkao wa usalama wa nchi kwa ujumla. Ripoti inasisitiza mienendo kadhaa muhimu, huku matukio ya ufikiaji usioidhinishwa yanakaribia maradufu. Zaidi ya hayo, matukio ya hadaa na uvunaji wa kitambulisho yaliongezeka kwa 70%, ikionyesha juhudi kubwa za wahalifu wa mtandao wanaojaribu kuwahadaa waathiriwa kubofya viungo hasidi. Muhtasari wa Ripoti ya Maarifa ya Usalama ya Mtandao ya NCSC Ripoti ya NCSC iliangazia matishio mbalimbali ya mtandaoni ambayo wananchi wa New Zealand walikabiliana nayo katika Q3-2024. Waigizaji wa Tishio wamezidi kulenga vipanga njia, wakijaribu kuingia kwenye mitandao ya nyumbani na biashara. Tishio lingine lililotambuliwa ni shambulio la hadaa la Adversary-in-the-Middle (AitM), ambalo huhatarisha vidakuzi vya kikao ili kukwepa hatua za jadi za usalama. Zaidi ya hayo, ripoti inatanguliza CVV zinazobadilika—teknolojia mpya inayolenga kudhibiti ulaghai mtandaoni na kutoa usalama zaidi kwa miamala ya kadi. Msimu wa likizo unapokaribia, NCSC pia huonya kuhusu ulaghai wa kawaida ulioundwa ili kuiba taarifa za kibinafsi na pesa. Wananchi wa New Zealand wanahimizwa kutembelea tovuti ya NCSC ya Kumiliki Wako Mtandaoni kwa mwongozo wa ziada wa kutambua na kuepuka ulaghai huu. Kivinjari chako hakitumii lebo ya video. Athari za Kifedha na Uchanganuzi wa Matukio Uchanganuzi wa NCSC wa hasara za kifedha mnamo Q3 2024 unaonyesha kupungua kwa 19% ikilinganishwa na robo ya awali, na kuripotiwa hasara za moja kwa moja za kifedha za jumla ya $ 5.5 milioni. Hata hivyo, 25% ya matukio yote yaliyoripotiwa bado yalisababisha aina fulani ya hasara ya kifedha. Ukiangalia kwa undani aina za matukio unaonyesha kuwa wizi wa data binafsi na uvunaji stakabadhi unaendelea kuwa aina zilizoenea zaidi za uhalifu wa mtandaoni. Matukio haya yalichangia 43% ya matukio yote yaliyoripotiwa. Makundi mengine ni pamoja na ulaghai na ulaghai (31%) na ufikiaji usioidhinishwa (16%). Huu hapa ni uchanganuzi wa matukio kwa kategoria ya Q3 2024: Kitengo cha Matukio Hesabu ya Asilimia ya Mabadiliko kutoka kwa Q2 2024Hadaa na Uvunaji wa Hati 823+70%Ulaghai na Ulaghai596+37%Upatikanaji Usioidhinishwa300+80%Tovuti Maelewano56+2024+695%6Malware61%Malware Trafiki4+300%Trafiki ya Mtandao inayoshukiwa2-50%Kunyimwa Huduma1-75%C&C Kukaribisha Seva10%Mashambulizi kwenye Mfumo00%Other80+63% Huduma ya Usumbufu wa Uhadaa: Kupambana na Uhalifu wa Mtandao Huduma ya Usumbufu wa Hadaa (PDS), huduma isiyolipishwa inayotolewa na NCSC , inaendelea kuwa na fungu muhimu katika kuwalinda watu wa New Zealand. Kwa kukusanya na kuchambua viungo vya hadaa vilivyoripotiwa na umma, NCSC huchapisha viashiria vya ulaghai vilivyothibitishwa ili mashirika yazuie. Mnamo Q3 2024, NCSC ilichakata zaidi ya viashirio 20,500 vya hadaa, huku zaidi ya 6,200 kati ya hizo zikiongezwa kwenye PDS. Mnamo Q3 2024, huduma za posta na usafirishaji ndizo zilizoigwa sana na walaghai, ikionyesha mwelekeo unaoongezeka wa ulaghai unaolenga sekta ya biashara ya mtandaoni na vifaa. Hitimisho Ripoti ya NCSC Q3 2024 inaangazia matukio 98 yanayoathiri mashirika ya kitaifa, kuanzia madogo hadi mashuhuri kwa ukali. Hakuna matukio ambayo yameainishwa kama dharura za kitaifa. Kuongezeka kwa idadi ya matukio ya mtandaoni kunasisitiza haja ya kuboreshwa kwa hatua za usalama mtandao huku wahalifu wa mtandao wakirekebisha mbinu zao. Mashambulizi ya hadaa na ufikiaji ambao haujaidhinishwa unaendelea kuwa vitisho kuu, ikionyesha umuhimu wa mbinu dhabiti za usalama kama vile uthibitishaji wa mambo mengi na ugunduzi wa hali ya juu wa vitisho. Marejeleo Yanayohusiana
Watafiti wa usalama wamewaonya wateja wa mchuuzi maarufu wa programu ya kuhamisha faili Cleo kwamba hatari ya siku sifuri kwa sasa inatumiwa porini kuiba data zao. Mchuuzi wa usalama Huntress alikuwa wa kwanza kutangaza mashambulizi hayo siku ya Jumatatu, akidai kuwa hitilafu ya utekelezaji wa kanuni za mbali (RCE) CVE-2024-50623 inaathiri bidhaa za Cleo Harmony, VLTrader na LexiCom. Inaonekana inatokana na kiraka kisichokamilika cha muuzaji kilichotolewa mnamo Oktoba ambacho watendaji tishio waliweza kupita. “Kutoka kwa telemetry yetu, tumegundua angalau biashara 10 ambazo seva zao za Cleo ziliathiriwa na hali nzuri ya unyonyaji iliyozingatiwa mnamo Desemba 8 karibu 07:00 UTC. Baada ya uchambuzi wa awali, hata hivyo, tumepata ushahidi wa unyonyaji mapema Desemba 3, “alisema Huntress. “Wateja wengi ambao tuliona wameathiriwa na bidhaa za watumiaji, tasnia ya chakula, lori, na tasnia ya usafirishaji. Bado kuna kampuni zingine kadhaa nje ya mtazamo wetu ambazo zinaweza kuathiriwa pia. Soma zaidi kuhusu uvamizi wa programu ya kuhamisha faili: Kikundi cha Clop Ransomware Kinatumia GoAnywhere MFT Flaw Cleo alitoa ushauri Jumanne, akiwasihi wateja wapate toleo jipya zaidi la bidhaa (5.8.0.21) “ili kushughulikia vienezaji vya mashambulizi zaidi vinavyoweza kuathiriwa vilivyogunduliwa.” Walakini, Huntress alidai kuwa hata kiraka hiki “hakitoshi” dhidi ya ushujaa aliona porini. Mawasiliano ya hivi karibuni ya Cleo, yaliyotolewa hivi karibuni, yalibainisha kuwa bidhaa hadi toleo la 5.8.0.23 zimeathirika. Inaangazia kiungo kwa wateja ili waweze kuchukua “hatua mara moja” ili kupunguza dosari. “Cleo ametambua uwezekano wa kuathiriwa na wapangishi hasidi ambao haujaidhinishwa (CVE inasubiri) ambao unaweza kusababisha utekelezaji wa nambari ya mbali,” ilisema. Wakati wa kuandika, kiraka kilikuwa hakijatolewa na muuzaji kwa unyonyaji huu mpya, lakini moja inadhaniwa kuwa inasubiri. Hatua ya Haraka Inahitajika Rapid7 iliwashauri wateja wa Cleo kuondoa bidhaa zilizoathiriwa kwenye mtandao wa umma na kuhakikisha kuwa zimewekwa nyuma ya ngome. “Uchunguzi wa Per Huntress, kulemaza Saraka ya Cleo ya Autorun, ambayo inaruhusu faili za amri kushughulikiwa kiotomatiki, inaweza pia kuzuia sehemu ya mwisho ya mlolongo wa mashambulizi kutekelezwa,” iliongeza. “Blogu ya Huntress ina maelezo kadhaa ya shughuli za baada ya unyonyaji, ikiwa ni pamoja na mabaki ya msururu wa mashambulizi, amri zinazoendeshwa na faili zilizodondoshwa kwa ajili ya kuendelea. Rapid7 inapendekeza kwamba wateja walioathiriwa wakague viashirio hivi na kuchunguza mazingira yao kwa ajili ya shughuli za kutiliwa shaka kuanzia angalau tarehe 3 Desemba 2024.” Kampeni hii ina mwangwi wa juhudi za awali za kikundi cha uhalifu wa mtandaoni cha Clop, ambacho kililenga bidhaa za programu za kuhamisha faili zinazosimamiwa kutoka MOVEit, GoAnywhere na Accellion FTA na ushujaa wa siku sifuri, ili kuiba na kushikilia data ya wateja ili kufidia. Ripoti ambazo hazijathibitishwa zinaonyesha kuwa, wakati huu, kikundi cha Mchwa – ambacho hapo awali kilihusika na shambulio la Blue Yonder – kinaweza kuwa nyuma ya kampeni ya siku sifuri. URL ya Chapisho Asilia: https://www.infosecurity-magazine.com/news/zero-day-cleo-file-transfer/
Watafiti wa usalama wamewaonya wateja wa mchuuzi maarufu wa programu ya kuhamisha faili Cleo kwamba hatari ya siku sifuri kwa sasa inatumiwa porini kuiba data zao. Mchuuzi wa usalama Huntress alikuwa wa kwanza kutangaza mashambulizi hayo siku ya Jumatatu, akidai kuwa hitilafu ya utekelezaji wa kanuni za mbali (RCE) CVE-2024-50623 inaathiri bidhaa za Cleo Harmony, VLTrader na LexiCom. Inaonekana inatokana na kiraka kisichokamilika cha muuzaji kilichotolewa mnamo Oktoba ambacho watendaji tishio waliweza kupita. “Kutoka kwa telemetry yetu, tumegundua angalau biashara 10 ambazo seva zao za Cleo ziliathiriwa na hali nzuri ya unyonyaji iliyozingatiwa mnamo Desemba 8 karibu 07:00 UTC. Baada ya uchambuzi wa awali, hata hivyo, tumepata ushahidi wa unyonyaji mapema Desemba 3, “alisema Huntress. “Wateja wengi ambao tuliona wameathiriwa na bidhaa za watumiaji, tasnia ya chakula, lori, na tasnia ya usafirishaji. Bado kuna kampuni zingine kadhaa nje ya mtazamo wetu ambazo zinaweza kuathiriwa pia. Soma zaidi kuhusu uvamizi wa programu ya kuhamisha faili: Kikundi cha Clop Ransomware Kinatumia GoAnywhere MFT Flaw Cleo alitoa ushauri Jumanne, akiwasihi wateja wapate toleo jipya zaidi la bidhaa (5.8.0.21) “ili kushughulikia vienezaji vya mashambulizi zaidi vinavyoweza kuathiriwa vilivyogunduliwa.” Walakini, Huntress alidai kuwa hata kiraka hiki “hakitoshi” dhidi ya ushujaa aliona porini. Mawasiliano ya hivi karibuni ya Cleo, yaliyotolewa hivi karibuni, yalibainisha kuwa bidhaa hadi toleo la 5.8.0.23 zimeathirika. Inaangazia kiungo kwa wateja ili waweze kuchukua “hatua mara moja” ili kupunguza dosari. “Cleo ametambua uwezekano wa kuathiriwa na wapangishi hasidi ambao haujaidhinishwa (CVE inasubiri) ambao unaweza kusababisha utekelezaji wa nambari ya mbali,” ilisema. Wakati wa kuandika, kiraka kilikuwa hakijatolewa na muuzaji kwa unyonyaji huu mpya, lakini moja inadhaniwa kuwa inasubiri. Hatua ya Haraka Inahitajika Rapid7 iliwashauri wateja wa Cleo kuondoa bidhaa zilizoathiriwa kwenye mtandao wa umma na kuhakikisha kuwa zimewekwa nyuma ya ngome. “Uchunguzi wa Per Huntress, kulemaza Saraka ya Cleo ya Autorun, ambayo inaruhusu faili za amri kushughulikiwa kiotomatiki, inaweza pia kuzuia sehemu ya mwisho ya mlolongo wa mashambulizi kutekelezwa,” iliongeza. “Blogu ya Huntress ina maelezo kadhaa ya shughuli za baada ya unyonyaji, ikiwa ni pamoja na mabaki ya msururu wa mashambulizi, amri zinazoendeshwa na faili zilizodondoshwa kwa ajili ya kuendelea. Rapid7 inapendekeza kwamba wateja walioathiriwa wakague viashirio hivi na kuchunguza mazingira yao kwa ajili ya shughuli za kutiliwa shaka kuanzia angalau tarehe 3 Desemba 2024.” Kampeni hii ina mwangwi wa juhudi za awali za kikundi cha uhalifu wa mtandaoni cha Clop, ambacho kililenga bidhaa za programu za kuhamisha faili zinazosimamiwa kutoka MOVEit, GoAnywhere na Accellion FTA na ushujaa wa siku sifuri, ili kuiba na kushikilia data ya wateja ili kufidia. Ripoti ambazo hazijathibitishwa zinaonyesha kuwa, wakati huu, kikundi cha Mchwa – ambacho hapo awali kilihusika na shambulio la Blue Yonder – kinaweza kuwa nyuma ya kampeni ya siku sifuri.
Chanzo: www.hackerone.com – Mwandishi: johnk. Mfululizo huu wa blogu unapunguza aina 8 za uwezekano wa kuathiriwa na athari za juu, pamoja na mifano ya jinsi HackerOne ilisaidia kuzuia ukiukaji unaohusishwa nazo. Hii ni mara ya pili katika mfululizo baada ya kuanza mambo kwa Kuongeza Upendeleo. Tulichagua aina hizi 8 za uwezekano wa kuathiriwa kulingana na mseto wa OWASP Top 10 pamoja na uchanganuzi wa hivi majuzi wa HackerOne wa Aina 10 Bora za Athari na Zilizotuzwa. Kisha tukashauriana na Hacktivity, saraka kubwa zaidi ya ripoti za athari zilizofichuliwa hadharani. Tumechukua mifano ya jinsi watafiti wetu mahiri wa usalama walivyosaidia wateja wa HackerOne kuepuka ukiukaji wa gharama kubwa unaohusishwa na kila aina ya athari. Athari za leo, Ufichuzi wa Habari, hutupatia fursa ya kuonyesha jinsi HackerOne “hufanya jaribio la kindani” la Fadhila yetu wenyewe ya umma na ufichuzi wa umma. Chaguomsingi kwa Ufichuzi ni, baada ya yote, mojawapo ya maadili matano ya kampuni ya HackerOne. Ufichuaji wa Taarifa Kulingana na Mitre, Ufichuzi wa Taarifa (au Mfichuo kama vile Miter huita katika CWE 200) uwezekano wa kuathiriwa hutokea wakati maelezo yanapofichuliwa kwa muigizaji ambaye hajaidhinishwa kwa uwazi kufikia maelezo hayo. Kuna aina mbili kuu: Wakati maelezo yaliyofichuliwa yanachukuliwa kuwa nyeti ndani ya utendakazi wa bidhaa yenyewe, kama vile ujumbe wa faragha Ikiwa ufichuzi utatoa taarifa kuhusu bidhaa au mazingira yake ambayo inaweza kuwa muhimu katika shambulio lakini kwa kawaida haipatikani kwa mshambulizi, kama vile njia ya usakinishaji ya bidhaa ambayo inapatikana kwa mbali. HackerOne iliorodhesha udhaifu huu katika nafasi ya tatu kwa jumla kwenye orodha yetu ya udhaifu kumi bora wenye athari na zawadi. Na kama takwimu iliyo hapa chini inavyoonyesha, kuenea kwa athari hii ni kubwa sana katika sekta ya Serikali ya Shirikisho, ambapo inawakilisha 27% ya jumla ya kiasi cha ripoti. Kama tutakavyoona katika mfano ufuatao kutoka kwa Hacktivity, @yashrs na @milindpurswani waliweza kuuliza data ya siri kwenye www.hackerone.com kupitia mwisho wa GraphQL. Jinsi HackerOne Iliepuka Ukiukaji wa Ufichuzi wa Habari Mnamo Januari 31, 2019, zaidi ya mwezi mmoja baada ya timu ya wahandisi ya HackerOne kusukuma kipengele kipya cha GraphQL katika uzalishaji, @yashrs iliripoti kuwa “Eneo la mwisho la GraphQL halina vidhibiti vya ufikiaji vinavyotekelezwa ipasavyo.” Ripoti inaendelea “mshambulizi yeyote anaweza kupata taarifa zinazomtambulisha mtu binafsi za watumiaji wa Hackerone kama vile anwani ya barua pepe, misimbo ya chelezo ya hashi, facebook_user_id, account_recovery_phone_number_verified_at, totp_enabled, n.k.” Shukrani kwa ripoti hiyo nzuri na ya wakati unaofaa, HackerOne iliweza kutekeleza marekebisho ya muda mfupi tarehe 31 Januari 2019 saa 9:46 PM, saa 2 pekee baada ya athari hii kutolewa tena. Utafiti wa timu ya wahandisi ulibaini kuwa athari hiyo haikuwa imetumiwa na wahalifu wowote na hakuna taarifa nyeti iliyokiukwa. Athari Zinazowezekana za Biashara Timu ya HackerOne iliamua kuwa taarifa nyeti za vitu vingi zilifichuliwa na athari hii. Ratiba ya GraphQL huwezesha mtu yeyote kuuliza maswali kwenye jukwaa. Huu ni uamuzi wa makusudi wa kubuni. Hata hivyo, kwa sababu kila kitu cha Mtumiaji kingeweza kufikiwa, kiasi kikubwa cha taarifa za siri kilipatikana. Ilibainika zaidi kuwa data fulani ya Timu haikufikiwa kwa njia ifaayo kupitia usanidi huu usiofaa. Iliwezekana kupata maelezo ya majaribio ya ndani na sera ya idadi iliyochaguliwa ya programu za kibinafsi ambazo mtumiaji hakuwa na ufikiaji. Waandishi wa habari waliuliza taarifa za programu kwa sehemu, lakini hawakupata taarifa yoyote nyeti iliyohitaji HackerOne kufikia wateja wowote. Kutokana na athari inayoweza kutokea, ripoti hii iliainishwa kuwa muhimu na kulipwa zawadi ya $20,000. Naval ROTC Scholarship Hopeful Husaidia Idara ya Ulinzi ya Marekani Kuepuka Ukiukaji wa Ufichuzi wa Taarifa Mdukuzi Aaron Esau, anayetumia jina maarufu @arinerron2, na washiriki wengine wawili wa timu, aliripoti hitilafu ya Ufichuzi wa Taarifa Muhimu kupitia VDP ya DoD ya HackerOne Response mnamo Agosti 19, 2019. Kama Aaron anaelezea katika uandishi wake bora wa blogi, amekuwa akichunguza programu ya DoD kwenye HackerOne kwa sehemu kwa sababu anakusudia kutuma ombi la ufadhili wa masomo ya Naval ROTC atakapoendelea na chuo mwaka wa 2020. Aaron alifanya upelelezi kwa kufanya uchunguzi usioidhinishwa wa njia ya wavuti kwenye saraka ndogo /nrotc alipogundua ukurasa unaoitwa Trace.axd ambao ulirudisha msimbo wa hali ya HTTP 302 na kuelekezwa tena ukurasa wa kuingia. Kwa kuchimba zaidi kidogo, Aaron aligundua kuwa kupitia ukurasa huu aliweza kupata nambari za usalama wa kijamii, majina ya watumiaji, anwani za barua pepe, manenosiri ya maandishi, ishara za kikao, tokeni za CSRF, na bila shaka, maelezo mahususi ya programu (km taarifa kuhusu programu na mfumo wa faili), na vichwa vya trafiki ya HTTP. DoD inamshukuru Aaron Hadharani Baada ya kuchapisha hitilafu, na kuiweka alama muhimu, kuirekebisha, na kufichua ripoti, DoD ilichukua hatua ya ziada ya kumshukuru Aaron kwenye twitter kwa matokeo mazuri na kuripoti: Inayofuata katika safu yetu ya athari 8 za athari kubwa itaonekana. kwenye Sindano ya SQL na jinsi kahawa uipendayo ina ladha bora zaidi bila moja—kwa hivyo endelea kufuatilia! Url ya Chapisho Asilia: https://www.hackerone.com/security-compliance/8-high-impact-bugs-and-how-hackerone-customers-avoided-breach-information
“CP3O” inakiri hatia ya mpango wa mamilioni ya dola za kuchimba madini – Chanzo: www.bitdefender.com
Mwanamume mmoja anakabiliwa na kifungo cha miaka 20 jela baada ya kukiri mashtaka yanayohusiana na operesheni haramu ya uchimbaji madini ambayo iliiba rasilimali za kompyuta zenye thamani ya mamilioni ya dola. Charles O Parks III mwenye umri wa miaka 45 (aliyetumia moniker “CP30” mtandaoni) alikubali mashtaka ya ulaghai katika mahakama ya shirikisho huko Brooklyn, New York, baada ya kuwalaghai watoa huduma wawili mashuhuri wa huduma za kompyuta ya wingu nje ya muda. Dola za Marekani milioni 3.5. Watoa huduma mashuhuri hawakutajwa katika taarifa ya Idara ya Haki kwa vyombo vya habari, lakini kwa vile walitajwa hapo awali kuwa wanaishi Seattle na Redmond mtawalia, haungehitaji kuwa Sherlock Holmes ili kubaini ni kampuni gani kubwa za teknolojia ziliathiriwa. . Mahakama ilisikia kwamba katika kipindi cha miezi minane mwaka wa 2021, Parks ilisajili akaunti nyingi na watoa huduma za wingu ili kupata uwezo wa kuhifadhi nishati na uhifadhi wao. Hata hivyo, Parks waliunda akaunti kwa kutumia vitambulisho bandia, anwani mbalimbali za barua pepe na majina ya kampuni kama vile “MultiMillionaire LLC” na “CP3O LLC.” Zaidi ya hayo, hakulipia ufikiaji wake kwa akaunti za wingu, akipendelea kupotosha maswali ya kampuni kuhusu utumiaji wake wa data na bili za kuweka, na akazitumia kuchimba madini anuwai ya Ether (ETH), Litecoin (LTC), na Monero (XMR) . Katika kipindi cha mpango wake wa uhalifu, Parks alianzisha maelfu ya matukio yenye nguvu nyingi. Wakati mmoja, waendesha mashitaka walidai, Parks alianza kutumia akaunti mpya katika mmoja wa watoa huduma za cloud ndani ya siku moja baada ya ile ya awali kupigwa marufuku kutokana na kukosa malipo na shughuli za ulaghai. Parks inasemekana kujaribu kupata mapato yatokanayo na shughuli zake za uchimbaji fedha kupitia ubadilishanaji wa sarafu za siri, soko la NFT, na hata akaunti za benki za kitamaduni – kujaribu kuzuia mahitaji ya shirikisho kuripoti miamala na mapato yake. Parks inasemekana kutengeneza takriban dola za Marekani 970,000 kutokana na mpango wake. Baada ya kubadilisha faida alizozipata kwa njia mbaya kuwa dola za Marekani, Parks aliishi kwenye njia ya haraka – akifanya ununuzi wa kifahari kama vile gari la kifahari aina ya Mercedes Benz, vito vya bei ghali, na hoteli za daraja la kwanza na usafiri. “Kupitia ulaghai na ulaghai, Parks ilipata rasilimali za kompyuta zenye thamani ya mamilioni ya dola ili kuchochea operesheni yake haramu ya uchimbaji fiche,” alisema Mwanasheria wa Marekani wa Wilaya ya Mashariki ya New York, Breon Peace. “[This] ombi la hatia linasisitiza dhamira yetu thabiti ya kuwashtaki wahalifu wanaojitajirisha kupitia ulaghai wa hali ya juu wa sarafu-fiche na mipango mingine tata ya mtandao.” URL ya Chapisho Asilia: https://www.bitdefender.com/en-us/blog/hotforsecurity/cp3o-pleads-guilty-to-multi-million-dollar-cryptomining-schemeKategoria & Lebo: Blogu ya Wageni,Sheria na agizo,Amazon ,cryptocurrency,cryptomining,Microsoft – Guest blog,Law & order,Amazon,cryptocurrency,cryptomining,Microsoft
Chanzo: www.darkreading.com – Mwandishi: Tara Seals, Mhariri Msimamizi, Habari, Usomaji Giza A hatari ya usalama ya Windows ya siku sifuri chini ya unyonyaji hai inaongoza sasisho la usalama la Microsoft la Desemba 2024 Patch Tuesday, ambalo halijumuishi habari nyingi za sherehe kwa wasimamizi wa usalama. : Soksi iliyojazwa na mabaka 71. Jitu hilo la kiteknolojia lilifunua CVE katika Vipengee vya Windows na Windows, Vipengee vya Ofisi na Ofisi, Seva ya SharePoint, Hyper-V, Defender for Endpoint, na Meneja wa Uendeshaji wa Kituo cha Mfumo. Kuingia kwa msimu wa likizo wa mwaka huu kunaleta jumla ya idadi ya viraka kwa mwaka hadi 1,020, mwaka wa pili kwa taabu zaidi wa Redmond kwa marekebisho baada ya 2020 1,250. Kati ya CVEs za mwezi huu, 16 zimekadiriwa kuwa muhimu. Siku ya Sifuri ya Windows CLFS Inaruhusu Kuongezeka kwa Mapendeleo Kidudu kilichotumiwa kikamilifu kinafuatiliwa kama CVE-2024-49138 (CVSS 7.8), dosari ya ukali wa wastani katika Kiendeshi cha Mfumo wa Faili za Kumbukumbu za Kawaida (CLFS). “CLFS ni huduma ya ukataji miti ambayo inasaidia utendakazi wa hali ya mtumiaji na kernel,” alielezea Henry Smith, mhandisi mkuu wa usalama huko Automox, katika uchanganuzi uliotumwa kwa barua pepe. “Wakati maelezo bado ni machache, sababu kuu inaweza kushikamana na uthibitishaji usiofaa wa data. … Viashirio vya awali vinapendekeza kwamba wavamizi wanaweza kutumia hitilafu hii kwa kutumia API za Windows ili kudhibiti faili za kumbukumbu au data mbovu ya kumbukumbu, na hivyo kusababisha hatari hiyo.” Athari inayowezekana ni kubwa, aliongezea, ikizingatiwa kuwa unyonyaji husababisha upendeleo wa kiwango cha SYSTEM kwenye Windows Server. Inapooanishwa na hitilafu ya utekelezaji wa msimbo wa mbali (RCE), ni kichocheo kamili cha kuchukua kabisa Kompyuta. Kuhusiana:Siku ya Sifuri ya Microsoft NTLM Kubaki Bila Kipeperushi Hadi Aprili Satnam Narang, mhandisi mkuu wa utafiti wa wafanyikazi huko Tenable, alibainisha kupitia barua pepe kwamba waendeshaji wa ukombozi hasa “wamekuza tabia ya kunyonya dosari za mwinuko wa CLFS katika miaka michache iliyopita. ” Alibainisha, “tofauti na vikundi vya tishio vinavyoendelea (APT) ambavyo kwa kawaida huzingatia usahihi na uvumilivu, waendeshaji wa programu ya ukombozi na washirika wanazingatia mbinu za smash-na-kunyakua kwa njia yoyote muhimu. Kwa kutumia kasoro za hali ya juu kama hii katika CLFS, washirika wa ransomware wanaweza kupitia mtandao fulani ili kuiba na kusimba data na kuanza kuwanyang’anya wahasiriwa wao.” Athari Muhimu za Utekelezaji wa Msimbo wa Mbali katika LDAP, Hyper-V, RDP CVE-2024-49112 ya ukali-msingi (CVSS 9.8) ndiyo CVE inayohusika zaidi katika kujaa huzuni mwezi huu. Ni suala la RCE ambalo halijaidhinishwa katika Itifaki ya Ufikiaji wa Saraka ya Windows Lightweight (LDAP). Kulingana na Dustin Childs katika Mpango wa Siku ya Sifuri (ZDI), wavamizi wa mtandao wanaweza kutumia hitilafu hiyo kuhatarisha Vidhibiti vya Kikoa kwa kutuma seti maalum za simu za LDAP. Kuhusiana:Microsoft Inapanua Ufikiaji wa Kipengele cha AI cha Kukumbuka Windows “Utekelezaji wa Msimbo hutokea katika kiwango cha huduma ya LDAP, ambayo ni ya juu, lakini si MFUMO,” Childs waliandika katika chapisho la blogu mnamo Desemba 10. “Microsoft hutoa… ushauri wa kuvutia wa kupunguza . Wanapendekeza kutenganisha Vidhibiti vya Kikoa kutoka kwa Mtandao. Ingawa hiyo ingesimamisha shambulio hili, sina uhakika jinsi hiyo inaweza kuwa ya vitendo kwa biashara nyingi. Ninapendekeza kupima na kupeleka kiraka haraka. Athari nyingine muhimu ya RCE kushughulikia haraka ni CVE-2024-49117 (CVSS 8.8) katika Windows Hyper-V. Unyonyaji unaweza kumruhusu mtu kwenye mashine pepe ya mgeni (VM) kutekeleza msimbo kwenye mfumo wa uendeshaji wa msingi, au kufanya shambulio la msalaba wa VM. “Habari njema hapa ni kwamba mshambuliaji anahitaji kuthibitishwa,” Childs alibainisha. “Habari mbaya ni kwamba mshambuliaji anahitaji tu uthibitishaji wa kimsingi – hakuna kitu kilichoinuliwa. Ikiwa unaendesha Hyper-V au una mwenyeji kwenye seva ya Hyper-V, hakika utataka kupata viraka hivi haraka. Jumla ya hitilafu tisa muhimu huathiri Huduma za Kompyuta ya Mbali ya Windows, huku moja (CVE-2024-49132, CVSS 8.1) ikiruhusu RCE kwa kutumia hali ya kumbukumbu ya matumizi baada ya bila malipo. “Unyonyaji unahitaji muda sahihi, na kuifanya kuwa shambulio la hali ya juu,” Ryan Braunstein, meneja wa usalama wa Automox, alisema kupitia barua pepe. “Hasa, ikiwa mtumiaji ataunganisha kupitia Jukumu la Lango la Eneo-kazi la Mbali, mshambulizi anaweza kuanzisha kimakusudi hali ya matumizi baada ya bila malipo. Ikitumiwa vibaya, athari hii inaweza kuruhusu washambuliaji kutekeleza misimbo yao wakiwa mbali, na kupata udhibiti wa mfumo.” Kuhusiana:Vipaumbele vya Usalama wa Chanzo Huria Pata Marekebisho Hiyo ina maana kwamba unyonyaji uko kwenye upande mgumu, lakini Braunstein alionya kuwa “baada ya muda, kuna uwezekano kwamba wavamizi wa mtandao hutengeneza zana zinazorahisisha mchakato wa kushambulia. Hadi wakati huo, hakuna masuluhisho madhubuti, na kufanya kuweka viraka mara moja kuwa nafasi yako nzuri ya kupunguza hatari hii. Pia kuna udhaifu mwingine muhimu nane ambao unakadiria 8.1 kwenye kipimo cha CVSS katika Huduma za Eneo-kazi la Mbali, ikijumuisha hitilafu zingine tano za UAF (CVE-2024-49115, CVE-2024-49116, CVE-2024-49108, CVE-2024-49106, na CVE-2024-49128); CVE-2024-49123, ambayo inahusisha uhifadhi wa data nyeti katika kumbukumbu imefungwa vibaya; CVE-2024-49120, hitilafu isiyo salama ya uanzishaji wa utofautishaji chaguomsingi; na CVE-2024-49119, inayotokana na utunzaji usiofaa wa rasilimali wakati wa vikao vya RDP. “Udhaifu huu unasisitiza masuala yanayoendelea katika vipengele vya RDP, ikiwa ni pamoja na usimamizi wa kumbukumbu, muda, na uendeshaji wa uendeshaji,” alisema Mike Walters, rais na mwanzilishi mwenza wa Action1, kupitia barua pepe. “[With] sababu mbalimbali za mizizi, [it shows that] washambuliaji wanaweza kutumia vipengele tofauti vya huduma za RDP. Mashirika yanapaswa kuepuka kufichua huduma za RDP kwenye Mtandao wa kimataifa na kutekeleza udhibiti thabiti wa usalama ili kupunguza hatari. Dosari hizi zinathibitisha zaidi hatari ya kuacha RDP wazi na bila ulinzi.” Athari Zingine za Usalama za Desemba 2024 Ili Kurekebisha Sasa Wataalamu wa Usalama pia waliripoti hitilafu zingine mbili kwa wasimamizi wa usalama ili kuongeza kwenye orodha zao za ukaguzi wa likizo, ikijumuisha kuathiriwa kwa EoP katika Mfumo wa Faili unaostahimili Windows (ReFS). Mfumo wa Faili Resilient (ReFS) ni mfumo wa faili ulioundwa kwa ajili ya kuimarishwa kwa kasi na uvumilivu wa hitilafu kwa mazingira ya utazamaji, hifadhidata na hifadhi rudufu. Inatoa uthabiti wa data, ufanisi wa uhifadhi, na utendakazi ulioboreshwa. “CVE-2024-49093 (CVSS 8.8) inahusu mabadiliko ya upeo ambayo inaruhusu mshambuliaji kuinua marupurupu kutoka kwa mazingira ya chini ya chombo cha programu,” alielezea Seth Hoyt, mhandisi mkuu wa usalama katika Automox, kupitia barua pepe. “Kwa kawaida, vyombo vya programu vimeundwa ili kupunguza uwezo wa mchakato wa kufikia faili, kumbukumbu, na rasilimali nyingine. Kutumia athari hii huwawezesha washambuliaji kuepuka mipaka hiyo, na kupata ufikiaji mpana wa kiwango cha mfumo. Hii inamaanisha kuwa wanaweza kuingiliana na faili, michakato, na kumbukumbu hapo awali bila kufikiwa. Kutoka hapo, wavamizi wa mtandao wanaweza kusonga mbele katika mazingira, aliongeza. Donge la mwisho la makaa ya mawe lililoitwa na watafiti mwezi huu ni hatari ya RCE katika Musik (CVE-2024-49063), mradi wa utafiti kuhusu muziki ulioundwa na AI. “Tumekuwa tukishangaa ni mende gani katika AI wangeonekana, na hadi sasa, wanaonekana kama udhaifu wa kupoteza,” ZDI’s Childs ilisema. “Hilo ndilo tulilo nalo hapa. Mshambulizi anaweza kupata utekelezaji wa msimbo kwa kuunda upakiaji ambao utatekelezwa baada ya kuondolewa. Safi.” URL ya Chapisho Asilia: https://www.darkreading.com/application-security/microsoft-zero-day-critical-rces-patch-tuesday