MITRE kompromittert gjennom Ivanti-såbarheter. Kritisk sårbarhet under utnyttelse i CrushFTP. Uløst sårbarhet tillater en angriper å slette filer i Windows – uten rettigheter. Sårbarhet i AWS og Google Cloud kommandolinje-verktøy kan eksponere sensitiv informasjon.
MITRE kompromittert gjennom Ivanti-såbarheter
MITRE Corporation var blant virksomhetene som ble kompromittert gjennom to zero-day svakheter i Ivanti Connect Secure i januar. Forrige uke oppdaget MITRE at en ukjent stats-sponset aktør hadde brutt seg inn i deres ugraderte forsknings- og utviklingsnettverk. Kjernenettet skal ikke være rammet. Angriperne rakk å installere en bakdør i nettverket før sårbarhetene ble lukket.
Kritisk sårbarhet under utnyttelse i CrushFTP
CrushFTP melder om en kritsk sårbarhet i deres filoverføringsverktøy som allerede utnyttes i aktive målrettede angrep. Ved å utnytte svakheten, kan brukere få tilgang til systemfiler utenfor deres virtuelle filsystem.
Anbefaling:
Svakheten er fikset i versjon 11.1.0 og vi anbefaler snarlig oppgradering!
Uløst sårbarhet tillater en angriper å slette filer i Windows – uten rettigheter
Sikkerhetseksperten Or Yair har oppdaget en sårbarhet i Windows-operativsystemet som gjør det mulig for angripere å oppnå rootkit-lignende funksjoner uten at det kreves spesielle privilegier.
Sårbarheten er knyttet til hvordan APIer i brukerområdet (user-space) i Windows konverterer filstier fra det tradisjonelle DOS-formatet til det mer moderne NT-formatet. I konverteringen fra DOS til NT, vil Windows automatisk fjerne alle etterfølgende punktum fra stielementer og alle etterfølgende mellomrom fra det siste stielementet. Denne oppførselen, som Yair har kalt "MagicDot", kan utnyttes av angripere til å skjule ondsinnede filer, kataloger og prosesser og til å utgi seg for å være legitime filer – uten å ha administratorrettigheter.
I utredningen av problemet har Or Yair oppdaget fire sårbarheter tilknyttet problemet, tre er allerede patchet av Microsoft. Den fjerde sårbarhet, et EOP (elevation of privilege) problem, tillater angriperen å slette filer uten rettigheter. Microsoft anerkjenner problemet, men sårbarheten har enda ikke fått en CVE eller løsning.
Anbefaling:
Det anbefales å bruke NT-filstier som forhindrer konverteringsprosessen og sikrer at filstien er den samme som tiltenkt.
Sårbarhet i AWS og Google Cloud kommandolinje-verktøy kan eksponere sensitiv informasjon
I November ble det oppdaget en sårbarhet i Azure CLI (Command Line Interface) som eksponerte sensitiv informasjon i systemlogger. Sårbarheten fikk en CVSS score på 8.6. Sikkerhetsselskapet Orca Research Pod har nylig oppdaget det samme problemet i AWS og Google Cloud sine CLIer. CLIer brukes blant annet for å lette samhandling med skyløsninger eller CI/CD-miljøer. Problemet ligger i at APIene for de overnevnte tjenestene returnerer konfigurasjoner for ressursene, inkludert miljøvariabler som kan inneholde tilgangsnøkler. Eksempelvis kan en bruker med leserettigheter til skylagring og skylogging, eksfiltrere og ytterlige eskalere egne rettigheter.
Anbefaling:
Det anbefales å ikke ha hemmeligheter/tilgangsnøkler i miljøvariabler for serverløse ressurser. I stedet bør man definere sensitive variabler i den tilknyttede Secrets Manager-tjenesten. I tillegg bør kommando-utdata som ikke er nødvendige i loggene sendes til /dev/null. Dette forhindrer unødvendig eksponering av sensitiv informasjon.
