Ataki ransomware wykorzystują najnowsze luki w Exchange Server
Niedawno ujawnione luki w oprogramowaniu Microsoft Exchange Server są teraz celem operatorów ransomware. Łącznie cztery krytyczne luki typu „zero-day”, zwane łącznie ProxyLogon, zostały załatane w Exchange Server na początku tego miesiąca, ale aktywność związana z tymi błędami tylko się nasiliła.
W tym tygodniu ESET ujawnił, że zidentyfikował co najmniej 10 aktorów zagrożeń, którzy próbują wykorzystać te luki w swoich atakach, w tym Calypso, LuckyMouse (znany może nawet bardziej jako APT27), Mikroceen, ShadowPad, Tick (znany również jako Bronze Butler), Tonto Team (CactusPete), Websiic, Winnti Group (BARIUM, APT41) i DLTMiner.
Niektórzy z tych cyberprzestępców celowali w luki w zabezpieczeniach, zanim Microsoft opublikował dla nich łaty.
Teraz analitycy bezpieczeństwa twierdzą, że operatorzy ransomware również zaczynają wykorzystywać te luki w swoich atakach. Według badacza bezpieczeństwa firmy Microsoft, Phillipa Misnera, ataki są przeprowadzane za pomocą klawiatury i nie są zautomatyzowane.
„Microsoft zaobserwował nową rodzinę oprogramowania ransomware obsługiwaną przez człowieka – sklasyfikowaną jako Ransom: Win32 / DoejoCrypt.A. Ataki te wykorzystują luki w Microsoft Exchange do wykorzystywania klientów” – napisał Misner na Twitterze.
Rodzina ransomware wykorzystywana w tych atakach jest również nazywana DearCry, a badacze Microsoftu nie są jedynymi, którzy zauważyli tę aktywność.
„Niestety, niedawno dowiedzieliśmy się o kilkuset organizacjach w Szwajcarii, które zostały zaatakowane przez zagrożenie, które wykorzystało wspomnianą lukę” – potwierdził na początku poprzedniego tygodnia zespół ds. Reagowania na incydenty komputerowe rządu szwajcarskiego (GovCERT.ch).
Huawei dalej na celowniku
Amerykańscy urzędnicy umieścili w piątek Huawei wśród chińskich firm zajmujących się sprzętem telekomunikacyjnym, które uznały za zagrożenie dla bezpieczeństwa narodowego, sygnalizując, że nie ma nadziei na złagodzenie relacji handlowych z Chińskim gigantem.
Lista firm telekomunikacyjnych, które uważane są za „niedopuszczalne ryzyko” dla bezpieczeństwa narodowego, obejmuje: Huawei Technologies; ZTE; Hytera Communications; Technologię cyfrową Hangzhou Hikvision i technologię Dahua.
„Ta lista zawiera znaczące wskazówki, które zapewnią, że w miarę budowania sieci nowej generacji w całym kraju nie będą one powtarzać błędów z przeszłości ani korzystać ze sprzętu lub usług, które będą stanowić zagrożenie dla bezpieczeństwa narodowego USA lub bezpieczeństwa Ameryki”. – powiedziała przewodnicząca Federalnej Komisji Łączności Jessica Rosenworcel.
Szef i założyciel Huawei, Ren Zhengfei, wezwał w zeszłym miesiącu do resetu ze Stanami Zjednoczonymi pod rządami prezydenta Joe Bidena, po tym, jak firma została dotknięta sankcjami nałożonymi przez administrację Donalda Trumpa. Podczas swojego pierwszego wystąpienia przed dziennikarzami od roku, Ren Zhengfei powiedział, że jego „zaufanie do zdolności Huawei do przetrwania wzrosło” pomimo problemów w większości zachodniego świata, gdzie jest oczerniany jako potencjalne zagrożenie dla bezpieczeństwa.
Założony przez Ren w 1987 roku, Huawei przez dziesięciolecia w dużej mierze znajdował się pod globalnym radarem, stając się największym na świecie producentem sprzętu telekomunikacyjnego i czołowym producentem telefonów komórkowych.
Zmieniło się to za czasów byłego prezydenta Donalda Trumpa, który zaatakował firmę w ramach nasilającego się impasu handlowego i technologicznego między Chinami a USA. Trump od 2018 roku nałożył eskalujące sankcje, aby odciąć Huawei dostęp do komponentów i zablokować go na rynku amerykańskim, a jednocześnie skutecznie naciskał na sojuszników, aby unikali sprzętu tej firmy w swoich systemach telekomunikacyjnych.
Nie tylko sankcje ekonomiczne dotknęły chińskiego miliardera. W grudniu 2018 r. aresztowano jego córkę, dyrektora wykonawczego Huawei Meng Wanzhou, na podstawie amerykańskiego nakazu sądowego podczas postoju w Vancouver. 49-letnia Meng została oskarżona o oszustwa i spisek w Stanach Zjednoczonych w związku z domniemanym naruszeniem przez Huawei amerykańskich sankcji wobec Iranu oraz osobnymi zarzutami kradzieży tajemnic handlowych.
Luki w licznikach PowerLogic
Claroty, firma zajmująca się cyberbezpieczeństwem przemysłowym ujawniła w tym tygodniu szczegóły techniczne dotyczące dwóch potencjalnie poważnych luk w zabezpieczeniach inteligentnych liczników PowerLogic firmy Schneider Electric.
PowerLogic to linia mierników przychodów i jakości energii, które są używane nie tylko przez przedsiębiorstwa użyteczności publicznej, ale także firmy przemysłowe, organizacje opieki zdrowotnej i centra danych do monitorowania sieci elektrycznych.
Badacze z Claroty odkryli, że niektóre inteligentne liczniki PowerLogic z serii ION i PM są narażone na luki, które mogą zostać zdalnie wykorzystane przez nieuwierzytelnionego atakującego, wysyłając specjalnie spreparowane pakiety TCP do docelowego urządzenia.
Luki wykryte w miernikach mocy Schneider Electric PowerLogic „Te inteligentne liczniki komunikują się za pomocą zastrzeżonego protokołu ION przez port TCP 7700, a pakiety odbierane przez urządzenie są analizowane przez funkcję automatu stanów” – wyjaśnił Claroty w poście na blogu. „Odkryliśmy, że możliwe jest wywołanie błędu podczas procesu analizowania pakietów przez funkcję głównego automatu stanowego, wysyłając spreparowane żądanie. Można to zrobić bez uwierzytelniania, ponieważ żądanie jest w pełni analizowane przed obsługą lub sprawdzeniem uwierzytelnienia”.
Claroty powiedział, że jego badacze zidentyfikowali dwie różne ścieżki eksploatacji – w zależności od architektury docelowego urządzenia – i przypisano im dwa różne identyfikatory CVE.
Jeden z nich, CVE-2021-22714, jest uważany za krytyczny, ponieważ umożliwia atakującemu ponowne uruchomienie licznika docelowego (tj. Warunek DoS), a nawet wykonanie dowolnego kodu. Drugi, CVE-2021-22713, może być wykorzystany tylko do wymuszenia ponownego uruchomienia urządzenia i został mu przypisany wysoki wskaźnik ważności.
Luki dotyczą kilku modeli urządzeń PowerLogic ION i jednego modelu PM. Aktualizacje zabezpieczeń dla niektórych urządzeń, których dotyczy problem, zostały wydane w lipcu 2020 r., podczas gdy inne zostały poprawione w styczniu i marcu 2021 r. Niektóre mierniki mocy, których dotyczy problem, nie otrzymają poprawek, ponieważ nie są już wspierane.