Matrix botnet utnytter IoT-enheter i DDoS botnet-kampanje. Nytt NachoVPN-angrep bruker falske VPN-servere for å installere skadelige oppdateringer. VMware lanserer sikkerhetsoppdateringer for alvorlige sårbarheter i Aria Operations. RomCom-gruppen utnytter nulldagssårbarheter i Firefox og Windows i sofistikerte cyberangrep.
Matrix botnet utnytter IoT-enheter i DDoS botnet-kampanje
Ved bruk av svakheter og feilkonfigurasjon av IoT- (Internet of Things) enheter, bruker trusselaktøren Matrix disse til å utføre Distributed Denial of Service (DDoS) angrep.
Aktøren bruker kjente sikkerhetsfeil, samt standard eller svake passord for å få tilgang til et bredt spekter av Internett-tilkoblede enheter som IP-kameraer, DVRer, rutere og telekomutstyr.
Trusselaktøren har også blitt observert i å utnytte feilkonfigurerte Telnet-, SSH- og Hadoop-servere, med et spesielt fokus på IP-adresseområder knyttet til skytjenesteleverandører (CSPer) som Amazon Web Services (AWS), Microsoft Azure og Google Cloud.
Nytt NachoVPN-angrep bruker falske VPN-servere for å installere skadelige oppdateringer
Et sett med sårbarheter kalt "NachoVPN" lar falske VPN-servere installere ondsinnede oppdateringer når upatchede Palo Alto- og SonicWall SSL-VPN-klienter kobler seg til dem. Sikkerhetsforskere fra AmberWolf fant at trusselaktører kan lure potensielle ofre til å koble SonicWall NetExtender- og Palo Alto Networks GlobalProtect VPN-klienter til angriperkontrollerte VPN-servere ved å bruke ondsinnede nettsteder eller dokumenter for sosial manipulering.
Dette kan føre til at angripere stjeler innloggingsinformasjon, kjører kode med forhøyede rettigheter, installerer skadevare via oppdateringer, og utfører kode-signeringsforfalskning eller mann-i-midten-angrep.
SonicWall sendte ut oppdateringer i juli til CVE-2024-29014, mens Palo Alto sendte ut oppdateringer i dag for å rette CVE-2024-5921.
Anbefaling:
Oppdater til nyeste versjon
VMware lanserer sikkerhetsoppdateringer for alvorlige sårbarheter i Aria Operations
VMware har publisert en sikkerhetsbulletin med oppdateringer som fikser fem sikkerhetshull i Aria Operations, inkludert en sårbarhet som tillater lokal privilegieeskalering og en sårbarhet for cross-site scripting (XSS). Sårbarhetene påvirker VMware Aria Operations (versjon 8.x) og VMware Cloud Foundation (versjon 4.x og 5.x som bruker Aria Operations). Angripere kan utnytte disse sårbarhetene for å få tilgang til sensitive data, kjøre ondsinnet kode og ta kontroll over systemet. VMware oppfordrer brukere til å installere de tilgjengelige oppdateringene snarest.
RomCom-gruppen utnytter nulldagssårbarheter i Firefox og Windows i sofistikerte cyberangrep
Trusselaktøren RomCom, som antas å være knyttet til Russland, har nylig utnyttet to nulldagssårbarheter i angrep. Den ene sårbarheten lå i Mozilla Firefox og den andre i Microsoft Windows. Angrepene har som mål å infisere offerets system med RomCom-bakdøren.
Sårbarheten i Firefox (CVE-2024-9680, patchet i oktober 2024) tillater kjøring av vilkårlig kode uten brukerinteraksjon, mens sårbarheten i Windows Task Scheduler (CVE-2024-49039, patchet i november 2024) muliggjør rettighetseskalering. Angrepet involverer en falsk nettside som omdirigerer ofre til en server som hoster et skadelig nyttelast. Nyttelasten utnytter begge sårbarhetene for å oppnå kodekjøring og installere RomCom RAT, en aktivt vedlikeholdt skadevare.