Mer detaljer/spekulasjoner rundt Fortigate-svakhet. Svakhet i Samsung-telefoner utnyttes aktivt. Kritisk sårbarhet i VMware vCenter Server og Cloud Foundation. Utnyttelse av Docker Remote API-servere.
Mer detaljer/spekulasjoner rundt Fortigate-svakhet
Sikkerhetsforskeren Kevin Beaumont har prøvd å samle informasjon rundt den påståtte svakheten i Fortigate som er under utnyttelse. Vi omtalte dette i gårsdagens nyhetsbrev.
Svakhet i Samsung-telefoner utnyttes aktivt
En null-dags svakhet kjent som CVE-2024-44068 utnyttes aktivt mot Samsung-mobiler. Svakheten ligger i "m2m scaler"-driveren til diverse Exynos-brikkesett. Den utnyttes som en del av en kjede av flere svakheter til å ta kontroll over sårbare mobiler. Svakheten ble patchet i Oktober-oppdateringen til Samsung, og vi oppfordrer til å oppdatere så fort som mulig!
Kritisk sårbarhet i VMware vCenter Server og Cloud Foundation
HelseCERT melder at Broadcom den 21. oktober varslet om at oppdateringene de slapp i september for to sårbarheter i VMware Vcenter og Cloud Foundation ikke var tilstrekkelige for å lukke sårbarhetene. Nye oppdateringer er sluppet, inkludert for 8.0 Update 2, som ikke fikk oppdatering i september.
Vellykket utnyttelse gjør det mulig for angripere å:
Kjøre kode (CVE-2024-38812/CVSS 9,8 (KRITISK))
Øke rettigheter til root (CVE-2024-38813/CVSS 7,5 (ALVORLIG))
Begge sårbarhetene går ut på at angriper sender en spesielt utformet nettverkspakke. Utnyttelse krever dermed nettverkstilgang til vCenter Server.
Sårbarhetene lukkes i følgende versjoner av vCenter Server og "Async patch" for Cloud Foundation:
8.0 U3d
8.0 U2e
7.0 U3t
HelseCERT er ikke kjent med at utnyttelseskode er offentlig tilgjengelig eller at sårbarhetene utnyttes aktivt.
Utnyttelse av Docker Remote API-servere
Ondsinnede aktører har nylig blitt observert å utnytte Docker remote API-servere for å distribuere kryptomineren SRBMiner på kompromitterte systemer. Ifølge en rapport fra Trend Micro bruker angriperne gRPC-protokollen over h2c for å omgå sikkerhetstiltak og utføre kryptomining på Docker-serverne. Kampanjen starter ved at angriperne identifiserer offentlig tilgjengelige Docker API-servere og sjekker muligheten for HTTP/2-protokolloppgraderinger. Deretter sender de en forespørsel om å oppgradere tilkoblingen til h2c-protokollen, som er HTTP/2 uten TLS-kryptering. Når serveren har behandlet oppgraderingsforespørselen, sendes en "/moby.buildkit.v1.Control/Solve" gRPC-forespørsel for å opprette en container. Denne brukes så til å mine XRP-kryptovaluta ved hjelp av SRBMiner-programvaren som er lagret på GitHub.
Trend Micro rapporterer også om eksponerte Docker remote API-servere som utnyttes for å distribuere perfctl-skadevare (enten kryptomining eller proxyjacking). Denne kampanjen bygger på samme angrepsmetodikk som tidligere nevnt, og opprettter en Docker-container med navnet "ubuntu:mantic-20240405". Skadevaren som er kodet ved hjep av Base64 blir så eksekvert.
For å beskytte seg mot slike angrep anbefales brukere å implementere tilgangskontroller og autentiseringsmekanismer for Docker remote API-servere, samt overvåke serverne for unormal aktivitet.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.