עדכון שבועי 18.08.2022

עדכוני תוכנה של Cisco נותנים מענה לחולשה ברמה גבוהה המאפשרת דליפת מפתחות RSA פרטיים

החולשה (CVE-2022-20866, CVSS 7.4) מצויה במכשירים המריצים את התוכנות (Cisco Adaptive Security Appliance (ASA ו-(Cisco Firepower Threat Defense (FTD ועלולה לאפשר לתוקף מרוחק שאינו מאומת לאחזר מפתחות RSA פרטיים, שבאמצעותם יוכל לפענח את תעבורת המכשיר או להתחזות להתקני FTD/ASA על ידי מתקפת ערוץ צדדי מסוג Lenstra. מקור החולשה בשגיאה לוגית הגורמת לשמירת מפתח ה-RSA בזיכרון של פלטפורמת חומרה המבצעת הצפנה מבוססת חומרה. לדברי Cisco, אין עדויות לניצול פעיל של החולשה והיא ממליצה ללקוחות שבבעלותם התקנים המריצים FTD/ASA להסיר מהם מפתחות RSA בעלי מבנה שגוי או רגיש, ואף לבטל אישורים הקשורים למפתחות אלה, מחשש לדליפת המפתח הפרטי לידיו של שחקן זדוני.
העדכונים רלוונטיים למוצרי ה-ASA הבאים:

ASA 5506-X with FirePOWER Services

ASA 5506H-X with FirePOWER Services

ASA 5506W-X with FirePOWER Services

ASA 5508-X with FirePOWER Services

ASA 5516-X with FirePOWER Services

ויש לבצע את העדכונים על פי המתכונת הבאה:
גרסה 9.18 - לעדכן לגרסה 9.18.2

גרסה 9.17 - לעדכן לגרסה 9.17.1.13

גרסה 9.16 - לעדכן לגרסה 9.16.3.19
גרסה 9.15 וגרסאות מוקדמות יותר אינן פגיעות לחולשה.

כמו כן, העדכונים רלוונטיים למוצרי ה-FTD הבאים:

Firepower 1000 Series Next-Generation Firewall

Firepower 2100 Series Security Appliances

Firepower 4100 Series Security Appliances

Firepower 9300 Series Security Appliances

Secure Firewall 3100 

ויש לבצע את העדכונים על פי המתכונת הבאה:

גרסה 7.2.0 - לעדכן לגרסה 7.2.0.1

גרסה 7.1.0 - לעדכן לגרסה הרלוונטית מבין הבאות:
Cisco_FTD_Hotfix_P-7.1.0.2-2.sh.REL.tar

Cisco_FTD_SSP_FP1K_Hotfix_P-7.1.0.2-2.sh.REL.tar

Cisco_FTD_SSP_FP2K_Hotfix_P-7.1.0.2-2.sh.REL.tar

Cisco_FTD_SSP_Hotfix_P-7.1.0.2-2.sh.REL.tar

Cisco_FTD_SSP_FP3K_Hotfix_Q-7.1.0.3-2.sh.REL.tar

גרסה 7.0.0 - לעדכן לגרסה 7.0.4

גרסה 6.7.0 וגרסאות מוקדמות יותר אינן פגיעות לחולשה.

צוות קונפידס ממליץ לבעלי המוצרים לעיין בפרסום המלא של Cisco, להזין במערכותיהם את ה-IOCs המופיעים בו, לעקוב אחר

המלצות החברה ולעדכן את המוצרים לגרסאותיהם האחרונות.

​

עדכוני תוכנה למוצרי Trend Micro במערכת ההפעלה Windows נותנים מענה לחולשה ברמה בינונית המאפשרת גניבת מידע מעמדות

העדכון, שפורסם ב-17 באוגוסט, נותן מענה לחולשה (CVE-2022-30702, CVSS 7.3) מסוג Out-of-bounds Read, העלולה לאפשר לתוכנה לקרוא מעבר לכמות המידע שהוקדש לה בזיכרון, ובכך לאפשר גישה למידע רגיש שאינו אמור להיקרא.

צוות קונפידס ממליץ לכלל משתמשי Trend Micro Security במערכת ההפעלה Windows מגרסאות 17.7.1130 ומטה לעדכן את מוצריהם בהקדם האפשרי.

​

התקפה חדשה על מצלמות Zyxel מאפשרת גישה רשתית אליהן ללא הרשאות; טרם פורסם עדכון אבטחה

בדוח טכני שפורסם השבוע על ידי חוקר אבטחת המידע hydrogen18 נחשפות 3 חולשות במוצרי מצלמות הרשת מבית Zyxel, בדגמים IPC-3605N ו-IPC-4605N, ואולי גם אחרים. החולשה הראשונה עלולה לאפשר גישה לצפייה במצלמות ללא כל גישה למערכת, אלא מתוך הרשת אליה מחוברת המצלמה. בנוגע לחולשה השנייה מוכיח החוקר היתכנות למתקפת מניעת שירות (DDoS) ול- Reverse Shell נגד מערכות הצילום בעזרת פונקציה לטעינת Crontab בממשק הניהול (הדורש הזדהות, אך כברירת מחדל מגיע עם פרטי ההזדהות הגנריים admin:admin/admin:1234). החולשה השלישית מנצלת פגיעות בפרוטוקול UPnP, אשר כברירת מחדל המגיע פתוח במערכת המצלמות. נכון לכתיבת שורות אלה, טרם התקבלה תגובה רשמית של Zyxel למחקר שפורסם וטרם תוקנו החולשות במוצרים.

צוות קונפידס ממליץ למנהלי מערכות העושות שימוש במצלמות החברה לבצע סגמנטציה ולהפריד בין רשת הארגון למצלמות, וכן לאפס את סיסמאות ברירת המחדל של משתמש האדמין במערכת. 

​

עדכוני אבטחה ל-Google Chrome נותנים מענה למספר חולשות, בהן אחת קריטית ואחת מסוג Zero-day

גרסאות המוצר 104.0.5112.101 עבור Mac ו-Linux ו-104.0.5112.102/101 עבור Windows, שיהיו זמינות בימים או בשבועות הקרובים, סוגרות חולשה קריטית, חולשת Zero-day וחולשות נוספות, בהן 6 בדרגת חומרה גבוהה. חולשת ה-Zero-day שנמצאה במוצר (CVE-2022-2856) מנוצלת באופן פעיל, ונעוצה באימות שגוי של קלט שאינו מהימן. החולשה עלולה לאפשר מעקף של הגנות וחריגה מהפונקציונליות המיועדת של הקלט, דבר העלול לאפשר גלישת חוצץ, מעבר בין ספריות, מתקפת Cross-site scripting, הזרקת SQL ועוד. החולשה הקריטית (CVE-2022-2852) שנסגרת בעדכון עלולה לאפשר הרצת קוד שרירותי, התקנת תוכנות, צפייה/עריכת/מחיקת נתונים ויצירת חשבונות בעלי הרשאות מלאות, כל זאת בהתאם להרשאות המשויכות למשתמש המחובר בעת הניצול. אי לכך, עמדות פגועות בעלות הרשאות נמוכות יושפעו מניצול החולשות פחות מעמדות אליהן מחובר משתמש בעל הרשאות גבוהות.

צוות קונפידס ממליץ למשתמשי Google Chrome לעדכנו לגרסתו האחרונה, עם שחרורה. 

​

חולשות חומרה במעבדי AMD ו-Intel עלולות לאפשר השגת מפתחות הצפנה פרטיים וחשיפת מידע רגיש

קבוצת חוקרים מאוניברסיטאות וארגונים שונים חשפו חולשה חדשה (CVE-2022-21233, CVSS 6.0) ברמת חומרה בינונית בכל מעבדי Intel המבוססים על ארכיטקטורת Sunny Cove. החולשה, המכונה AEPIC Leak, עלולה לאפשר לתוקפים להשיג מפתחות הצפנה פרטיים, והיא חושפת נתונים רגישים באופן הדומה לקריאה של הזיכרון המשמש את המעבד עצמו. מקור החולשה בתקלת ייצור (באג) בארכיטקטורת המעבד, החושפת את המידע ישירות, ללא ניסיון להסתרה או בידוד של משאבי המעבד המשותפים. החשיפה נעשית באמצעות ערוצים צדדיים שיכולים להעיד על תוכן המידע, כגון צריכת הזרם, זמן ההרצה והפליטה האלקטרומגנטית, כולם אינדיקטורים המסייעים לפענוח תוכן באמצעות טכניקות שהוכחו כיעילות לפיצוח אלגוריתמים וערכי קריפטוגרם. החולשה מושרשת ברכיב במעבד המכונה Advanced Programmable Interrupt Controller) APIC), אשר מהווה מנגנון לטיפול וניתוב של קריאות Interrupt, המורות למעבד לחדול מביצוע קוד ולהשהותו.

לדברי החוקרים, ״הסריקה של כתובת ה-I/O על מעבדי Intel המבוססים על המיקרוארכיטקטורה של Sunny Cove חשפה שרשומות מיפוי הזיכרון של ה-APIC לא הוגדרו כראוי. כתוצאה מכך, קריאת ארכיטקטונית של רגיסטרים אלה מחזירה נתונים מהמיקרוארכיטקטורה. כל נתון שמועבר מה-L2 לרמה האחרונה של ה-Cache יכול להיקרא באמצעות הרגיסטרים הללו״. בתגובה לממצאים, Intel פרסמה עדכון קושחה למעבדים הפגיעים, וציינה כי החולשה נעוצה בבידוד לא תקין של משאבים משותפים, ועלולה לחשוף תוקפים למידע רגיש באמצעות מתן גישה מקומית.

בתוך כך, קבוצה נוספת של חוקרים חשפה חולשת ערוץ צדדי דומה (CVE-2021-46778, CVSS 7.5) במעבדי AMD מסוג Zen 2 ,Zen ו-Zen 3. החולשה, המצויה במגנון ריבוי הרבדים (SMT) של המעבד, מאפשרת למדוד ערכי שימוש (תפוסה) בתור מזדמן באמצעות בדיקת קריאות Interrupt, ובכך לחשוף מידע רגיש, כמו מפתחות הצפנה פרטיים. AMD טרם פרסמה עדכון קושחה לטיפול בחולשה והיא ממליצה למפתחי תוכנה על Best Practices, לרבות שימוש באלגוריתמים והימנעות מבקרת ״סוד״ המכילה תכנים רגישים, כל זאת על מנת להפחית את הסיכון לפגיעה.

צוות קונפידס ממליץ לבעלי המעבדים הרגישים להיכנס לאתרי היצרנים ולבצע את הפעולות המומלצות על ידיהם על מנת לסגור או להפחית את הסיכון להיפגע מהחולשות שנמצאו במוצרים.

חוקרי Eclypsium מצאו חולשות במטעני האתחול של Windows

החולשות שהתגלו משפיעות על עומסי אתחול ה-Bootloader של UEFI של 3 ספקי צד שלישי של Windows ושל ספקיות נוספות, והן עלולות להיות מנוצלות לעקיפת תכונת האתחול המאובטח במחשבים מבוססי Windows. אתחול מאובטח הוא חלק ממפרט UEFI שנועד להבטיח שרק קוד מהימן, שנחתם עם אישור ספציפי על של יוצר ה-Bootloader, יבוצע לשם פתיחה בתהליך האתחול של מערכת ההפעלה. החולשות שהתגלו עלולות לאפשר לתוקפים להריץ קוד זדוני על המערכת בשלב מוקדם מאוד, עוד לפני טעינת מערכת ההפעלה, ועל ידי כך להשיג גישה מתמדת למערכת, שלא ניתן להסירה גם על ידי התקנת מערכת ההפעלה מחדש. מה-CERT (צוות חירום לטיפול באירועי מחשב) של אוניברסיטת Carnegie Mellon נמסר שהקוד הזדוני עלול לחמוק ממערכות הגנה נפוצות, כמו EDR, וממנגנוני אבטחה המבוססים של מערכת ההפעלה. החוקרים מצאו ב-3 מאגרי האתחול הבאים של UEFI, שאושרו על ידי מיקרוסופט, חולשות שאפשרו לעקוף את תכונת האתחול המאובטח ולהפעיל קוד שאינו חתום:​

• New Horizon Datasys Inc: CVE-2022-34302 - bypass Secure Boot via custom installer

• CryptoPro Secure Disk: CVE-2022-34301 - bypass Secure Boot via UEFI Shell execution

• Eurosoft (UK) Ltd: CVE-2022-34303 - bypass Secure Boot via UEFI Shell execution 

בשיתוף עם שני הספקים האחרונים פרסמה מיקרוסופט עדכון אבטחה KB5012170 הנותן מענה לבעיה במטען האתחול שסופק, על ידי הוספת החתימות של מודולי UEFI הפגיעים הידועים ל-DBX.

היצרניות האמורות ממליצות לבדוק אם נעשה בארגון שימוש באחד ממטעני האתחול הפגיעים, ובמידה וכן - להתקין את העדכון האחרון שפרסם היצרן. אם לא פורסם עדכון רלוונטי, יש להמתין לפרסומו ולא להתקין עדכון ממקור שאינו רשמי. כמו כן, אין להתקין עדכון DBX לפני עדכון מטען האתחול, פן הדבר יוביל לקריסת המערכת.

עדכוני אבטחה של Apple נותנים מענה לשתי חולשות Zero-day שנמצאו במערכותיה

העדכונים רלוונטיים למכשירים iPhone ,iPad ולמחשבי Mac. החולשה הראשונה (CVE-2022-32894) שנסגרה בעדכון היא מסוג Out-of-bounds write ומצויה ב-Kernel של מערכת ההפעלה של Mac. החולשה עלולה לאפשר לתוקף להשתמש בהרשאות הגבוהות ביותר ולהריץ במכשיר כל קוד ונוזקה, לבחירתו. החולשה השנייה (CVE-2022-32893) שנסגרה גם היא מסוג Out-of-bounds write ומאפשרת את אותן פעולות זדוניות, אך מקורה ב-WebKit של מנועי דפדפנים מוכרים, כגון Safari ואפליקציות שונות בעלות גישה לרשת. רשימת המוצרים הפגיעים המלאה מצויה כאן.

צוות קונפידס ממליץ לבעלי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.

​

ה-CISA מדווחת על ניצול חולשות ב-Zimbra Collaboration Suite

בהמשך לדיווח על 3 חולשות שהתווספו לאחרונה ל״קטלוג החולשות הידועות המנוצלות״ של הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) (ראו ״הסייבר״, 11.8.22), כעת מפרסם הארגון התראה נוספת וממוקדת בנוגע לממשק ה-Zimbra Collaboration, בה מדווח כי האקרים מנצלים באופן פעיל גרסאות לא מעודכנות של המוצר במגזר הממשלתי והפרטי כאחד. החולשות שזוהה ניצולן הן:

CVE-2022-24682, CVSS 6.1 - חולשה ברמת חומרה בינונית מסוג XSS, המשפיעה על לקוחות שירות ה-Webmail של ZCS ועלולה לאפשר לתוקף להריץ קוד JavaScript בצד הלקוח של המשתמש לשם גניבת עוגיות.

CVE-2022-27924, CVSS 7.5 - חולשה ברמת חומרה גבוהה, העלולה לאפשר לתוקף שאינו מאומת להזריק פקודות אל הזיכרון המוטמן של שרתים פגיעים ולשכתב את הנקודות שמפנות אליו. הדבר מאפשר השגת פרטי אימות לחשבונות בהם לא מוגדר שירות אימות דו-שלבי (2FA).

CVE-2022-27925, CVSS 7.2 ו-CVE-2022-37042, CVSS 9.8 - חולשה ברמת חומרה גבוהה וחולשה קריטית ששילובן יחדיו עלול לאפשר לתוקף מאומת להעלות קבצים באופן שרירותי וליצור דלת למעבר בין ספריות.

CVE-2022-30333, CVSS 7.5 - חולשה ברמת חומרה גבוהה מסוג מעבר בין ספריות, המצויה בשירותים Rarlab ו-UnRAR על מערכות מבוססות Linux, ועלולה לאפשר לתוקף לכתוב קבצים בעת חילוץ שנעשה על ידי אחד משני השירותים הללו. לשם כך, התוקף שולח מייל המכיל קובץ RAR זדוני מחולץ וכותב אותו אל השרת. באמצעות מעבר בין ספריות, הדבר מאפשר לתוקף להריץ את הקובץ על ידי השרת.

צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם על פי הוראות היצרן.

קבוצת ההאקרים הסינית (Iron Tiger (APT27 הצליחה לגשת למכשירים מבוססי Linux ו-macOS בטאיוואן ובפליפינים באמצעות האפליקציה הסינית MiMi

MiMi הינה אפליקציית הודעות למשתמשים סיניים, המונגשת לנייד ולמחשב ומתאימה למערכות ההפעלה Windows ,macOS ,Android ו-iOS. קבוצת Iron Tiger, אשר לראשונה, כך נראה, מתמקדת במכשירים המבוססים על macOS, הצליחה לחדור לשרת המכיל קובצי הורדה לגיטימיים של האפליקציה ולזווד לקובץ ההורדה המקורי שני קבצים זדוניים נוספים, HyperBro ו-Mach-O (או rshell), המאפשרים גניבת מידע וביצוע פקודות זדוניות במכשירים המבוססים על מערכות ההפעלה Linux ,macOS ו-Windows, ועם כל הורדה מעניקים לתוקפים יכולת לגישה מלאה למכשיר הקורבן. 

לאחר הורדת והתקנת האפליקציה, היא מתקינה קובץ זדוני נוסף, בהתאם למערכת ההפעלה; HyperBro ל-Windows ו-rshell ל-macOS ול-Linux, כל זאת על בסיס הרכיב electronJs, המאפשר למפתחים ליצור אפליקציות שונות ולהפיצן רוחבית, לכלל מערכות ההפעלה. כשעה וחצי לאחר הורדת האפליקציה, התוקפים עורכים את הקובץ electron-main.js ומוסיפים לו קוד המבצע הורדה של קובץ DLL ושל קובץ בינארי נוסף, המאפשרים אחיזה במכשיר הקורבן. יצויין כי אותה שיטה זוהתה באפריל 2021 לתקיפת ארגונים בתעשיית ההימורים. לפי דוח של חברת Trend Micro, לא נמצאו ראיות המעידות על שינויים בקובץ ההתקנה של Windows, על אף שהקבוצה ניסתה להשיג גישה גם למערכת הפעלה זו. עד כה זוהו 13 יעדים שונים של התקיפה בשתי מדינות, טאיוואן והפיליפינים.

​

רוגלת ה-Android הפופולרית SOVA חוזרת בגרסה מחודשת בעלת יכולות כופרה

דוח חדש של חברת Cleafy חושף כי רוגלת הבנקאות, שנצפתה לראשונה בספטמבר 2021, מציגה בגרסתה החדשה, v5, יכולות מעודכנות ומדאיגות. בין היתר, הרוגלה, שבעבר ״תמכה״ בכ-60 אפליקציות במכשיר הקורבן, הרחיבה את הרשימה לכ-200 אפליקציות, דבר אשר בא לידי ביטוי במידע שהיא מסוגלת לגנוב מהן. ואולם, היישומון אליו מפנה SOVA את מרבית משאביה הוא אפליקציית בורסת הקריפטו Binance, ממנה היא מסוגלת לשאוב, למשל, את סכום הכסף שנמצא בחשבון, את היסטוריית הפעולות של המשתמש באפליקציה ואף את ה-Seed phrase המשמש לגישה אל הארנק ביישומון. זאת ועוד, ליכולותיה המדאיגות של הגרסה הקודמת, v4, בהן שליטה מרחוק על מכשיר הקורבן, קבלת צילומי מסך ו-וידאו, גניבת עוגיות משלל אפליקציות רגישות, כמו Gmail ו-GPay, ו״התגוננות״ מפני ניסיונות מחיקה של הקורבן, מתווספת בגרסת v5 גם הצפנת קבצים על מכשיר הקורבן. למרות שנראה כי יכולת זו מצויה עדיין בשלבי פיתוח, מהניתוח של Cleafy, עולה כי הרוגלה-כופרה נועדה להצפין את קובצי הקורבן באמצעות אלגוריתם ה-AES והוספת הסיומת "enc." לקבצים שהוצפנו. יכולות כופרה ברוגלות למכשירים ניידים אינן דבר שכיח, אך מכיוון שמרבית המשתמשים שומרים את כלל המידע הרגיש שלהם על מכשיריהם הניידים, סביר שהדבר יהפוך פופולרי יותר בעתיד.

צוות קונפידס ממליץ להימנע מלהוריד אפליקציות שאינן מוכרות או מספק שאינו מוכר.

​

חוקרי Cyble: עלייה בכמות ניסיונות הניצול של VNCs

לפי החוקרים, האקרים מנסים לנצל (VNCs (Virtual Network Computing החשופים לאינטרנט ואינם דורשים אימות. VNC משמש לשליטה מרחוק על מערכות, ולמרות שחוקרי Cyble הסבירו בעבר את החסרונות שבהקמת VNC החשוף לאינטרנט, נמצא שעדיין קיימים יותר מ-8000 VNCs חשופים, שניתן להתחבר אליהם ללא אימות, בעיקר בסין (1,555), בשוודיה (1,506) ובארצות הברית (835). מניתוח מידע שהתקבל מ-Cyble Global Sensor Intelligence, הסיקו החוקרים שקיימת עלייה בכמות התקיפות בפורט 5900 - פורט ברירת המחדל ל-VNC, וכי מקורן של רוב המתקפות הוא בהולנד, ברוסיה ובאוקראינה. באחד המקרים, האקר המכונה Spielerkid89 הצליח להתחבר באמצעות שימוש ב-VNC למחשב של עובד במשרד הבריאות הרוסי באזור אומסק, כל זאת ללא דרישה לסיסמה או לפרטי אימות אחרים, ולגשת לשמות של אנשים, למסמכים פיננסיים ולכתובות IP נוספות, שהובילו למחשבים אחרים באותה הרשת.

מכיוון שבכל תקיפת סייבר הפעולה הראשונית היא מציאת נקודה חולשה שתאפשר כניסה למערכת, ארגון המשאיר VNC חשוף מגדיל את הסיכוי לתקיפה מוצלחת שלו. עוד מצאו חוקרי Cyble שמידע אודות VNCs הפתוחים לעולם נמצא לעיתים תכופות בפורומים ומוצע למכירה על ידי האקרים, ולמרות שכמות ה-VNCs החשופים נמוכה לעומת שנים קודמות, קיימים VNCs פתוחים בארגונים המוגדרים כבעלי תשתית קריטית, כגון מפעלי טיהור מים. כמו כן, החוקרים מצאו VNC חשוף במערכות SCADA, שהינן שילוב של תוכנה וחומרה המאפשרות אוטומציה של תהליכים תעשייתיים על ידי ניטור מידע המגיע ממערכות הטכנולוגיה התפעוליות (Operational Technology, או OT). שליטה מרחוק על מערכות IT/OT הפכה נפוצה במיוחד במהלך תקופת הקורונה ומדיניות העבודה מרחוק שנלוותה לה. בין ההמלצות שפורסמו על ידי Cyble להתגוננות מפני תקיפות עקב VNC חשוף (רשימת ההמלצות המלאה מצויה כאן):

להפעיל הגנת Firewall על נכסי IT/OT קריטיים בארגון.

לצמצם את חשיפת ה-VNC לאינטרנט.

להחיל בארגון מדיניות של סיסמאות חזקות.

להחיל אימות בעת התחברות ל-VNC.

להפעיל בקרת גישה למערכות בארגון. 

​

באג בסמארטפונים של Xiaomi אפשר זיוף תשלומים ועסקאות מהנייד

חוקרי Check Point חשפו בשבוע שעבר בכנס ה-DEF CON כי פגם בסמארטפון של Xiaomi, יצרנית הטלפונים הסלולריים השלישית בגודלה בעולם, עלול היה לאפשר להאקרים לחטוף את מערכת התשלום של הנייד ולהשבית אותה, או ליצור ולחתום על עסקאות מזויפות, כל זאת בהתבסס על אפליקציות Android חסרות הרשאות. לדברי החוקר סלבה מקבייב, הפגיעות נעוצה באוסף חולשות שהתגלו במכשירים. מכיוון ש-1 מכל 7 טלפונים סלולריים בעולם הוא מתוצרת Xiaomi, מדובר במאגר עצום של קורבנות פוטנציאליים. לשם הוכחת טענותיהם, פרצו החוקרים לאפליקציית WeChat Pay, המשמשת לביצוע תשלומים עסקאות מקוונות בנייד וכארנק דיגיטלי, ונמצאת בשימוש בקרב יותר מ-300 מיליון משתמשי Android ברחבי העולם. בשעה זו לא ברור כמה זמן הפגיעות קיימת או אם נוצלה על ידי תוקפים בפועל, אך הבאג (CVE-2020-14125) תוקן על ידי Xiaomi בחודש יוני וקיבל ציון חומרה (CVSS) גבוה.

עוד עולה מן המחקר כי בעיית הליבה בניידים של Xiaomi היתה שיטת התשלום ורכיב סביבת הביצוע המהימנה שלהם (Trusted Execution Environment, או TEE). ה-TEE הוא הרכיב האחראי על עיבוד ואחסון מידע אבטחתי רגיש במיוחד, כגון טביעות אצבע ומפתחות הצפנה המשמשים לחתימה על עסקאות. ללא התקנת העדכון שפורסם על ידי החברה, תוקף יוכל להוציא אל הפועל את המתקפות הבאות:​

• באמצעות אפליקציית Android ללא הרשאות: המשתמש מתקין אפליקציה זדונית ומפעיל אותה, והאפליקציה מחלצת את המפתחות ושולחת למשתמש חבילת תשלום מזויפת, על מנת לגנוב את הכסף שיועבר. דוגמה לכך היא גניבת מפתחות פרטיים ששימשו לחתימה על חבילות שליטה ותשלום של WeChat Pay, כפי שביצעו החוקרים.

• באמצעות מכשיר פגיע המצוי ברשות התוקפים: הגורם הזדוני משיג הרשאות Root במכשיר (ההרשאות הגבוהות ביותר), ולאחר מכן משנמך את גרסת ה-TEE לגרסתה הפגיעה ומריץ קוד ליצירת חבילת תשלום מזויפת ללא אפליקציה.

צוות קונפידס ממליץ למשתמשים בסמארטפונים של Xiaomi להתגונן מפני הפגיעות על ידי הטמעת עדכון האבטחה האחרון שפורסם.

מיקרוסופט מזהירה מפני קמפיין פישינג רוסי שנועד למטרות ריגול אחר ארגונים

במאמר שפרסם MSTIC, צוות מחקר האבטחה של מיקרוסופט, נחשף כי קבוצת התקיפה הרוסית SEABORGIUM, אחריה עוקבת מיקרוסופט מאז 2017, מפעילה קמפיין פישינג שמתמקד במשתמשי שירות המייל שלה וכולל דיוג מתמיד וגניבת פרטי הזדהות לצורך פריצה לארגונים וגניבת מידע. על סמך אופי המידע שנגנב, נראה שמטרתה לרגל אחר ארגונים, ושהיא אינה מונעת מאינטרס כלכלי. בטרם התקיפה, SEABORGIUM נוטה לבצע מעקב ומחקר על מטרותיה, בכדי לזהות קשרים לגיטימיים שהן מקיימות, כל זאת תוך שימוש ברשתות חברתיות וב-OSINT. בשלב הבא התוקפים פותחים חשבון מייל חדש תחת ספק המיילים של הקורבן, עם כתובת שתואמת, למשל, את שמו של שותף לגיטימי של הקורבן, ולאחר מכן נוצר הקשר עם המטרה. לרוב, ההודעה הראשונית ששולחת הקבוצה היא ״בטוחה״, וכוללת שיחת חולין בה משולב פרט אישי אודות הקורבן, כגון תחביב. במידה והקורבן משיב להודעה, נשלח אליו מייל המכיל בגופו, באופן ישיר, קישור זדוני, אם כי לעתים נעשה שימוש בשירות של קיצור URL והפניות מחדש, על מנת להחביא את הכתובת מהקורבן. המיילים הזדוניים משתנים ונעים מהתכתבות מזויפת עם מנהל בחברה המכילה היפר-קישור, ועד למיילים המחקים כאלה שנשלחו מתוכנות או משירותים שונים. זאת ועוד, צוות MSTIC הבחין בעלייה בכמות הצרופות המחקות כאלה שנשלחו, כביכול, משירות אחסון קבצים, כגון OneDrive. ככל הנראה, SEABORGIUM מנצלת את OneDrive לאחסון קובצי PDF המכילים קישור זדוני, דבר שאינו מייצר התראת אבטחה. כך או כך, ללא קשר לאמצעי בו מועבר הקישור הזדוני, ברגע שהקורבן לוחץ עליו הוא מופנה לשרת שנשלט על ידי התוקף וכולל תשתית לביצוע פישינג, לרוב EvilGinx. בשלב זה הקורבן מופנה לאתר בו מופיע דף שמתחזה לדף של ספק לגיטימי של הקורבן, ובו דרישה להזנת פרטי כניסה.

מיקרוסופט ממליצה למשתמשיה לבצע את הפעולות הבאות על מנת להימנע מליפול קורבן למתקפה מסוג זה:

1. לוודא שהגדרות סינון המיילים כוללות חסימה של מיילים עם נוזקה ומיילים המתחזים לכאלה המגיעים משולח אחר (Spoofed emails).

2. להגדיר את ה-365 כך שהפניית המיילים האוטומטית תבוטל.

3. לבדוק שמזהי התקיפה (IOCs) מוזנים במערכת המיילים.

4. להחיל אימות דו-שלבי (2FA) על המשתמשים.

PyPI כפלטפורמה להנגשת ספריות קוד זדוניות

לאחרונה זוהו חבילות קוד זדוניות ב-PyPI, פלטפורמת צד שלישי רשמית של Python המאפשרת העלאה ושיתוף של חבילות קוד. במקרה הראשון, צוות המחקר של Checkmarx זיהה כי משתמש בשם devfather777 העלה 12 ספריות שונות עם שמות המחקים את אלה של ספריות Python פופולריות. עם הרצת הספריות המתחזות, הן מוודאות כי מערכת ההפעלה הינה Windows, ובהינתן תשובה חיובית - הן מורידות ממאגרי GitHub את הקובץ הזדוני test.exe, שקיבל את הציון 11 מתוך 69 במנוע החיפוש VirusTotal. הקובץ מותקן על מכשיר הקורבן ומבסס אחיזה במערכת על ידי שמירת עותק של קובץ ההתקנה בתיקיית ה-Startup, כדי שלא יימחק לאחר אתחול המכשיר. בשלב הבא מתבצעת העלאת הרשאות לכדי משתמש Root. מטרתן של כל הפעולות הללו היא לבצע מתקפת מניעת שירות (DDoS) נגד השרת של Counter-Strike 1.6, משחק יריות פופולרי מרוסיה. 

במקרה נוסף שתועד נצפתה כרייה של מטבע הקריפטו Monero. ספרייה זדונית בשם secretslib, המתוארת כ״ספרייה המקלה על אימות הרשאות״, מריצה כורה של מטבעות Monero מתוך זיכרון ה-RAM של עמדת ה-Linux של הקורבן. המשתמש שהעלה את secretslib עשה זאת תוך התחזות למהנדס תוכנה העובד במשרד האנרגיה האמריקאי, על מנת לנסוך בקובץ אמינות, בעוד שבפועל הספרייה מכילה קוד המבצע הורדה של קובץ זדוני (ELF) המכונה tox, שמותקן על מכשיר הקורבן בהרשאות sudo, ומיד לאחר מכן מוחק את עצמו, על מנת שלא להשאיר עקבות. נכון לכתיבת שורות אלה, בסריקה של VirusTotal קיבל הקובץ ציון של 0 מתוך 62. עוד ניתן לראות ב-VirusTotal ש-toe.exe מוריד קובץ ELF נוסף לזכרון המערכת memfd, שהוא כורה המטבעות. לאחר שאנליסטים של חברת Sonatype זיהו את המשתמש ואת הקבצים הזדוניים, הם פנו לחברה בארצות הברית בה הוא עובד על מנת לברר אם אכן פרסמה את הספריות מטעמה, ונענו בשלילה.

נכון לעכשיו, שתי הספריות הזדוניות הוסרו מהפלטפורמה הלגיטימית.

​