Cisco pede aos administradores que corrijam o IOS XR zero-day explorado em ataques A Cisco abordou uma vulnerabilidade de dia zero em seu software de roteador IOS XR que permitia que invasores não autenticados acessassem remotamente instâncias Redis executadas em contêineres NOSi Docker. O IOS XR Network OS é implantado em várias plataformas de roteadores Cisco, incluindo os roteadores das séries NCS 540 e 560, NCS 5500, 8000 e ASR 9000. O bug (rastreado como CVE-2022-20821) foi descoberto durante a resolução de um caso de suporte do Cisco TAC (Technical Assistance Center). "Esta vulnerabilidade existe porque o RPM de verificação de integridade abre a porta TCP 6379 por padrão na ativação. Um invasor pode explorar essa vulnerabilidade conectando-se à instância do Redis na porta aberta", explicou a Cisco. Principais artigos CONSULTE MAIS INFORMAÇÃO Ataque de ransomware expõe dados de 500.000 Estudantes de Chicago "Uma exploração bem-sucedida pode permitir que o invasor grave no banco de dados da memória Redis, grave arquivos arbitrários no sistema de arquivos do contêiner e recupere informações sobre o banco de dados Redis". Felizmente, mesmo que os invasores explorem com êxito essa vulnerabilidade, eles não poderão executar código remotamente ou comprometer a integridade do sistema host porque a instância do Redis é executada em um contêiner de área restrita. Embora a falha afete apenas os roteadores Cisco 8000 Series onde o RPM de verificação de integridade está instalado e ativo, a Cisco pediu aos clientes em um comunicado publicado na sexta-feira para corrigir ou aplicar soluções alternativas em dispositivos que executam software vulnerável. “Em maio de 2022, o Cisco PSIRT tomou conhecimento da tentativa de exploração dessa vulnerabilidade em estado selvagem”, disse a empresa . "A Cisco recomenda fortemente que os clientes apliquem uma solução alternativa adequada ou atualizem para uma versão de software fixa para corrigir essa vulnerabilidade." Versão Cisco IOS XR Primeira versão fixa 7.2 e anteriores Não afetado 7.3.15, 7.3.16, 7.3.1 e 7.3.2 Não afetado 7.3.3 7.3.41 7.4 Não afetado 7.5.1 Não afetado 7.5.2 Não afetado 7.6 Não afetado Soluções alternativas disponíveis O fornecedor de rede também oferece soluções alternativas para clientes que não podem aplicar atualizações de segurança imediatamente para mitigar a vulnerabilidade CVE-2022-20821. A primeira solução alternativa exige que os administradores desativem a verificação de integridade e removam o RPM da verificação de integridade de dispositivos vulneráveis. Para descobrir se um dispositivo é afetado, você precisa emitir o comando run docker ps e procurar um contêiner docker chamado NOSi. Os administradores também podem usar uma lista de controle de acesso à infraestrutura (iACLs) para bloquear a porta 6379, os invasores de porta teriam como alvo obter acesso à instância do Redis exposta. "Os clientes devem estar cientes de que qualquer solução alternativa ou mitigação implementada pode afetar negativamente a funcionalidade ou o desempenho de sua rede com base em cenários e limitações de implantação intrínseca do cliente", disse a Cisco. "Os clientes não devem implantar nenhuma solução alternativa ou mitigação antes de avaliar a aplicabilidade ao seu próprio ambiente e qualquer impacto nesse ambiente." Anteriormente, a Cisco corrigia bugs de NFVIS que permitiam que invasores não autenticados executassem comandos com privilégios de root remotamente e um Cisco Umbrella Virtual Appliance (VA) que permitia que invasores remotos não autenticados roubassem credenciais de administrador .

Hackers explorando bug crítico F5 BIG-IP, exploits públicos lançados Os agentes de ameaças começaram a explorar massivamente a vulnerabilidade crítica rastreada como CVE-2022-1388 , que afeta várias versões de todos os módulos F5 BIG-IP, para eliminar cargas maliciosas. A F5 lançou na semana passada patches para o problema de segurança (classificação de gravidade 9,8), que afeta o componente de autenticação REST do BIG-IP iControl. A empresa alertou que a vulnerabilidade permite que um invasor

Mercado de extorsão de dados de espionagem industrial entra no jogo do ransomware O mercado de extorsão de dados Industrial Spy agora lançou sua própria operação de ransomware, onde agora também criptografa os dispositivos das vítimas. No mês passado, informamos sobre um novo mercado de extorsão de dados chamado Industrial Spy , que permitia que agentes de ameaças, e possivelmente até concorrentes de negócios, comprassem dados roubados de empresas. Esse mercado vende diferentes tipos de dados roubados, desde a venda de dados 'premium' por milhões de dólares até arquivos individuais por apenas US$ 2. Principais artigos READ MORE New ‘Cheers’ Linux ransomware targets VMware ESXi servers Categoria de dados roubados premium do Industrial Spy Fonte: BleepingComputer Para promover seu serviço, os agentes de ameaças fizeram parceria com carregadores de adware e sites falsos de crack para distribuir malware que criaria arquivos README.txt em um dispositivo. Os agentes de ameaças usaram esses arquivos para promover seu mercado, explicando que os leitores podem comprar esquemas, desenhos, tecnologias, segredos políticos e militares, relatórios contábeis e bancos de dados de clientes de seus concorrentes. Industrial Spy entra no jogo do ransomware Na semana passada, o pesquisador de segurança MalwareHunterTeam encontrou uma nova amostra do malware Industrial Spy com o que parecia mais uma nota de resgate do que um arquivo de texto promocional. Esta nota de resgate agora afirma que os agentes de ameaças do Industrial Spy não apenas roubaram os dados da vítima, mas também os criptografaram. "Unfortunately we have to report you that your company was compromised. All your files were encrypted and you can't restore them without our private key. Trying to restore it without our help may cause complete loss of your data," reads the Industrial Spy ransom note shared below. "Also we researched whole your corporate network and downloaded all your sensitive data to our servers. If we will not get any contact from you in 3 next days we will publish your data on the site 'Industrial Spy Market'." Industrial Spy ransom note Source: BleepingComputer MalwareHunterTeam shared the malware sample with BleepingComputer to confirm if it encrypted files as it said. Os testes do BleepingComputer mostraram que o Industrial Spy ransomware realmente criptografa os arquivos, mas, ao contrário da maioria das outras famílias de ransomware, não acrescenta uma nova extensão aos nomes dos arquivos criptografados, conforme mostrado abaixo. Arquivo criptografado pelo Industrial Spy Ransomware Fonte: BleepingComputer A BleepingComputer também compartilhou a amostra com o especialista em ransomware Michael Gillespie, que disse de relance que acredita que usa criptografia DES, com a chave criptografada usando uma chave pública RSA1024. O ransomware também usa um marcador de arquivo de 0xFEEDBEEF, que não vimos antes em uma família de ransomware. No entanto, esse marcador de arquivo não deve ser confundido com 0xDEADBEEF; um valor de depuração mágico bem conhecido usado na programação. Ao criptografar os arquivos, o Industrial Spy ransomware criará a nota de resgate acima chamada ' README.html ' em todas as pastas do dispositivo. Essas notas de resgate contêm um ID TOX que as vítimas podem usar para entrar em contato com a gangue do ransomware e negociar um resgate. Uma ligação com o ransomware Cuba? Ao pesquisar o TOX ID e o endereço de e-mail encontrados na nota de resgate, o MalwareHunterTeam descobriu uma conexão estranha com a operação do ransomware Cuba . Uma amostra de ransomware carregada no VirusTotal cria uma nota de resgate com um ID TOX e endereço de e-mail idênticos. No entanto, em vez de vincular ao site Industrial Spy Tor, ele vincula ao site de vazamento de dados do Cuba Ransomware e usa o mesmo nome de arquivo, !! LEIA-ME ! !.txt , como conhecido notas de resgate de Cuba. Nota de resgate vinculada ao site de vazamento de dados de Cuba Fonte: BleepingComputer Além disso, os arquivos criptografados têm a extensão .cuba anexada a eles, assim como a operação regular do ransomware Cuba faz ao criptografar arquivos. Embora isso não una 100% os dois grupos, é muito possível que os agentes de ameaças do Industrial Spy simplesmente tenham usado as informações de Cuba ao testar a criação de seu ransomware. No entanto, é peculiar e algo que os pesquisadores e analistas de segurança precisarão ficar de olho.

"#aiedonline no odysee.com" Curso Hacker, entre a luz e as trevas LIVRO LINUX : https://docs.google.com/document/d/14S8MAcjspdbBWsja-Ijb_GQfs4C1PzJmDcTJ3bYXyeQ/edit?usp=sharing LIVRO HACKER: https://docs.google.com/document/d/17R67zmmJw46yMGYpqt9WOjdo4mLCBjNQbmCNcQuLDlc/edit?usp=sharing Chat XMPP: hacker_nao_importa@xmpp.jp (CHAT + SEGURO) Ajude o canal, seja membro o faça um PIX de qualquer valor para wellington.aied@gmail.com TELEGRAM: https://t.me/joinchat/VPKVjQZAptLV4n0h OUTROS CANAIS: CURSO HACKER (ESPELHO): https://odysee.com/@CursoHacker NOTÍCIAS HACKER: https://www.youtube.com/channel/UCSN_r70Uy_7HmAjjAerbHuw ... https://www.youtube.com/watch?v=kPzB3u565Ek