Mitsubishi ofiarą ataku wykorzystującego Zero Day-a w Trend Micro

Jak twierdzi ZDNet, Chińscy hakerzy wykorzystali zero day w antywirusie Trend Micro OfficeScan podczas ataków na Mitsubishi Electric. Oczywiście Trend Micro załatał tę lukę, ale jednocześnie nie skomentował, czy zero-day został wykorzystany w innych atakach poza Mitsubishi Electric. W komunikacie prasowym opublikowanym na swojej stronie internetowej japońska firma powiedziała, że została zhakowana w zeszłym roku – 28 czerwca 2019 r. Po miesięcznym dochodzeniu Mitsubishi stwierdziło, że hakerzy uzyskali dostęp do wewnętrznej sieci, z której ukradli około 200 MB plików.

Chociaż początkowo firma nie ujawniła treści tych dokumentów, w zaktualizowanym komunikacie prasowym stwierdziła, że pliki zawierają przede wszystkim informacje o pracownikach, a nie dane dotyczące kontaktów biznesowych i partnerów.

Według Mitsubishi skradzione dokumenty zawierały: Dane dotyczące wniosków o zatrudnienie dla 1 987 osób, Wyniki ankiety przeprowadzonej wśród pracowników w 2012 r., którą wypełniło 4566 osób z centrali, informacje o 1569 pracownikach Mitsubishi Electric, którzy przeszli na emeryturę w latach 2007-2019, pliki zawierające poufne materiały techniczne firmy, materiały sprzedażowe i inne.


Nowy projekt anty-phishingowy

W naszej kampanii Apteczka Security piszemy o tym jak zachować się, gdy jest się już ofiara cyber-ataku. Narzędziem, które ma pomóc w takiej sytuacji jest „I got phished”. Gromadzi on informacje o użytkownikach, którzy padli ofiarą phishingu. Chce w ten sposób pomóc przedstawicielom bezpieczeństwa IT i właścicielom domen w sytuacji, gdy ponieśli już straty związane z cyberprzestepczością. Tak właśnie definiują cele inicjatorzy projektu. Piszą o sobie: „Naszym celem jest powiadomienie przedstawicieli bezpieczeństwa, takich jak CERT, CSIRT, SOC, ale także właścicieli domen o potencjalnych ofiarach phishingu w ich otoczeniu”.

Dane nie są generowane przez „I got phished”, ale pochodzą od zaufanych zewnętrznych badaczy bezpieczeństwa IT. W związku z tym projekt nie jest zainteresowany innymi sposobami pozyskiwania danych. W ramach działalności przechowywane są tylko adresy e-mail ofiar, które zostały wyłudzone. Portal nie przechowuje haseł i nie powiadamia bezpośrednio ofiar phishingu, co odróżnia je od serwisów takich jak „Have I Been Pwned”, usługi prowadzonej przez australijskiego eksperta ds. Cyberbezpieczeństwa Troya Hunta. Nowa Usługa przyjmuje tylko zgłoszenia od sprawdzonych badaczy bezpieczeństwa i wysyła powiadomienia tylko do przedstawicieli bezpieczeństwa IT i właścicieli domen, na podstawie nazwy domeny.

„Jeśli jesteś osobą fizyczną (użytkownikiem), nie możesz zarejestrować swojego adresu e-mail pod adresem naszym adresem. Dostałem raporty phishingowe oparte na nazwie domeny, a nie na indywidualnym adresie e-mail” – wyjaśnia opiekun serwisu.

Zespoły bezpieczeństwa i właściciele domen mogą zarejestrować się na stronie „I got phished”, aby otrzymywać powiadomienia, jeśli ich nazwa domeny jest obecna w nowo dodanych zestawach danych. Można zarejestrować tylko nazwy domen, ale nie subdomeny. Usługa zapewnia również interfejs API, którego sprawdzeni badacze bezpieczeństwa mogą używać do przekazywania danych ofiarom phishingu.

Do tej pory serwis ma ponad 2000 zarejestrowanych użytkowników i informacje o ponad 4100 domenach, których użytkownicy padli ofiarą phishingu.


Załatana podatność w WordPressie

Programiści odpowiedzialni za wtyczkę WordPress Code Snippets wydali łatkę o wysokim poziomie ważności. Usterka, której dotyczy fix może umożliwić przejęcie 200 000 stron internetowych.

Omawiana wtyczka WordPress pozwala użytkownikom uruchamiać małe fragmenty kodu PHP na swoich stronach internetowych. Można to wykorzystać do rozszerzenia funkcjonalności strony internetowej (zasadniczo używanej jako mini-wtyczka). Luka (CVE-2020-8417) została załatana przez programistę wtyczki, Code Snippets Pro.

„Jest to poważny problem bezpieczeństwa, który może spowodować całkowite przejęcie witryny, ujawnienie informacji itp.” – powiedziała Chloe Chamberland z Wordfence, która odkryła wadę – „Zdecydowanie zalecamy natychmiastową aktualizację do najnowszej wersji (2.14.0).”