Gidak, ikerkuntzak eta informeak

LockBit malware txostena

LockBit Bitwise Spider taldeak garatutako ransomware familia bateko parte da eta gaur egungo ransomware gehiena bezala, Ransomware as a Service (RaaS) moduan banatzen da. 2019ko irailean agertu zen lehen aldiz eta komunitateak ABCD ransomware izena jarri zion, garai hartan fitxategi zifratuak berrizendatzeko erabili zen eta. 2021eko ekainean, LockBit 2.0 izeneko bertsio berri bat merkaturatu zen, hobekuntza hauekin: auto-hedapena, shadow copies ezabatzea, User Account Control (UAC) delakotik ihes egitea pribilegioak eskalatzeko edo ESXi sistemen euskarria Linux-erako bertsio espezifiko konpilatu baten bidez. 2022ko martxoan, LockBit garatzen duen taldeak LockBit Black izeneko 3.0 bertsioa lantzen ari zela aitortu zuen, Microsoft 1 ikertzaileek aurkitutako MSSQL motako datu-baseen fitxategiak berreskuratzeko akats bat konpontzeko. Kolektibo horrek StealBit izeneko tresna bat ere eskaintzen die euren afiliatuei, ransomware-erasoa hasi aurretik konprometitutako konpainiei buruzko informazioa ateratzea helburu duena. Filtrazio hori ziberkriminalen blogean iragartzen da eta biktimak ordaintzeari uko egiten badio, informazioa plazaratuko da.

2022eko ekaineko KIS Ohartarazpenen laburpena

Hurrengoko argitalpen hau ekaineko gure segurtasun-ohartarazpenen laburpena da. Bertan Instituto Nacional de Ciberseguridad de España, S.A. (INCIBE) -rekin batera bildutako ohartarazpen guztiak azaltzen dira.

2022eko ekaineko Ohartarazpen Teknikoen laburpena

Zero-Day MiVoice Connect ahultasunaren txostena

Mitelek segurtasun-abisu bat argitaratu du. Bertan, Linuxen oinarritutako Miice Voice Connect-en Mitel Service Applicance osagaiari eragiten dion kodearen urruneko exekuzio-ahultasunari buruz hitz egiten da. Ahultasun horrek, CVE-2022-29499 -ean arakatuta eta 9.8ko CVSSv3 puntuazioa esleituta, aipatutako produktuaren bertsio desberdinei eragiten die eta urruneko erasotzaile bati helmuga-sisteman Shell komando arbitrarioak exekutatzeko aukera ematen dio. Patrick Bennett ikertzaileak aurkitu duen zero eguneko akats berri hau duela gutxi tratatu da komunikabideetan, sarerako hasierako sarbidea lortzeko eta ransomware eraso posibleak egiteko ustiatzen saiatu delako. Gainera, mehatxu-eragileek bolumen handiko DDoS erasoen anplifikazioak egin nahi izan dituzte haien ustiapenaren bidez. Ahultasun horren ustiapen arrakastatsuak sistema kalteberaren konpromiso osoa ekar dezake; beraz, horrek ekar ditzakeen ondorio larrietan oinarrituta, fabrikatzaileak emandako arintze-jarraibideak betetzea da irtenbidea.

OT:Icefall ahultasunaren txostena

Forescout teknologia konpainiako Vedere Labs enpresak, Zibersegurtasun eta Azpiegituren Segurtasunerako Agentziarekin (CISA) lankidetzan, 56 ahultasun argitaratu ditu guztira - Horietako batzuek CVSS3 eskalaren araberako puntuazioa 9,8rainokoa izan zuten, 10etik -. Guztiek batera "OT:Icefall" izendatu dituzte eta teknologia operatiboko hamar hornitzaileren gailuei eragiten diete hainbat azpiegitura-ingurunetan. Horien ustiapen arrakastatsu batek aukera eman liezaioke gailu objektibo ahul baten sarera sarbidea duen erasotzaile bati kodea urrutitik exekutatzeko, konfigurazioa aldatzeko, OT sistemen logika, fitxategiak eta firmwarea manipulatzeko, autentifikazioa saihesteko, kredentzialak konprometitzeko eta zerbitzuari uko egiteko (DoS). Ahultasun horiek behar bezala ustiatzeak eragin ditzakeen ondorio larrietan oinarrituta (sistemaren funtzionaltasun nagusiari eragiten diote horietako askok), konpainiak adierazi du ez dituela xehetasun tekniko guztiak azalduko. Hala ere, eragindako produktuei zuzendutako zenbait jarraibide zabaldu dira, adabaki ofiziala argitaratu arte.

Microsoft CVE-2022-26937 ahultasunaren txostena

Microsoftek ahultasun bat argitaratu du, 9,8ko puntuazioa emanez CVSSv3 eskalaren arabera, eta kritikotzat jo du, Windows Server bertsioari eragiten baitio. Ahultasun horren ustiapen arrakastatsu batek urruneko erasotzaile bati Windowseko sareko fitxategi-sistemaren kode arbitrarioa (RCE) exekutatzea ahalbidetu diezaioke.

Microsoft-en segurtasun eguneratzeak - Ekaina 2022

Microsoftek 2022ko ekaineko segurtasun-eguneratzeak argitaratu ditu. Eguneratze horiekin, 57 ahultasun zuzendu dira, eta 3 kritikotzat sailkatu dira, 53 garrantzitsutzat eta 1 neurrizko zorroztasunez. Era berean, 4 gehitu dira Edge nabigatzailearentzat, Chromium-en oinarritua, baina ez da zorroztasun-baliorik ezarri haientzat. Ahultasun horiek Microsoft Office, Microsoft Office Excel, Microsoft Office SharePoint, SQL Server, Windows Powershell edo Windows Defender bezalako produktuei eragiten diete, besteak beste. Ahultasun sailkapena, deskribapenaren arabera, honako hau da: 1 ordezte ahultasuna (spoofing), 3 zerbitzua ukatzeko ahultasunak, 7 informazioa zabaltzeko ahultasunak, 27 kodearen urruneko exekuzio-ahultasunak, 12 pribilegioak handitzeko ahultasunak, 1 bypas ahultasuna, 2 mugatik kanpoko memoria-ahultasunak, 1 SRBDS ahultasuna (Special Register Buffer Data Sampling), 1 SBDR ahultasuna (Shared Buffers Data Read), 1 DRPW ahultasuna (Device Register Partial Write), 1 SBDS ahultasuna (Shared Buffer Data Sampling). BCSCtik, eguneratze horiek azkar aplikatzea gomendatzen dugu.

SAP-en segurtasun eguneratzeak - Ekaina 2022

SAPek 2022ko ekainari dagozkion hainbat produkturen segurtasun-eguneratzeak argitaratu ditu. Oraingoan, 10 segurtasun-ohar berri jakinarazi dira, eta horiei aurretik argitaratutako segurtasun-oharren 2 eguneratze gehitu zaizkie. Horietatik 1 kritikoa da, 2 maila altukoak, 7 ertainekoak eta 2 baxuak. Erakundeak 2018ko apirilean argitaratutako segurtasun-ohar baten eguneratzean jarri du arreta, 2622660 identifikatzailea eta izaera kritikoa dituena, eta Google Chromium nabigatzaileari eragiten dio SAP Business Client atalean. Hori Googleren web-nabigatzailearen kode irekiko renderizazio-motor baten zati gisa integratuta dago. Eguneratzearekin, SAP Business Client enpresak Google Chromium bezalako hirugarrenen web nabigatzaileetatik bereganatzen dituen ahuleziak zuzentzen dira. BCSCSCStik eguneratze horiek ahal bezain laster aplikatzea gomendatzen dugu.

Android-en segurtasun eguneratzeak - Ekaina 2022

Googlek 2022ko ekaineko Androiden segurtasun-eguneratzeak argitaratu ditu. Horrela, Android sistema eragilearen 10., 11. eta 12. bertsioen 45 ahultasun zuzentzen dira, eta Pixel 3tik Pixel 6ra doazen modeloetan Googleren Pixel gailu mugikorrei eragiten dieten 79 ahultasun. Androiderako zuzendutako 45 ahultasunetatik, 5ek zorroztasun kritikoa du eta 40k altua. Google Pixel gailuei dagokienez, urrakortasunen larritasuna bat dator 5 kritikarekin, 13 altuarekin eta 61 moderatuekin. BCSCtik, gomendatzen da eguneratzeak azkar aplikatzea, arriskuak saihesteko.

BlackCat malware txostena.

BlackCat, ALPHV izenaz ere ezaguna, ransomware BlackMatter zaharraren bertsio berria da. Kode guztia berridatzi da Rust-en; programazio-lengoaia seguruagoa, garatzeko errazagoa, konkurrentea, plataforma anitzekoa eta paradigma anitzekoa, alegia. Gaur egungo ransomware gehienek bezala, BlackCat-en atzean dagoen taldeak bere tresna eskaintzen du zerbitzu gisa (RaaS). BlackMatter-en erasoetan erabilitako domeinuak BlackCat-en erasoetan berrerabili direla jakinarazi dute zenbait segurtasun enpresak, baita bi familiak zuzenean erlazionatu dituztela ere. Familia berri hori aztertzean, erasotzaileek erasoan ateratako informazioa argitaratzen duten plataformara sartu ahal izan da. Erasoak jasan dituzten enpresak ikus daitezke, eraso bakoitzean ez baitute beste domeinu bat erabiltzen. Familia horren ezaugarri nagusiak hauek dira: Segurtasun-kopiak kentzea, ESXI sistemetako snapshots guztiak kentzea, sistemako gertaerak ezabatzea, JSON formatuko konfigurazioa, "--acces-token" parametroaren zati batekin zifratua, sarean zehar zabaltzea, Psexec eta administratzaile-kredentzialak erabiliz eta Salt20 eta RSA algoritmoen erabilera konbinatua, fitxategiak zifratzeko.

COOKIE OHARRA

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa