What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-06-20 20:42:22 | Le bogue de débordement à haut risque dans les puces Intel a probablement un impact sur les centaines de modèles PC High-Risk Overflow Bug in Intel Chips Likely Impacts 100s of PC Models (lien direct) |
La vulnérabilité ancienne, mais nouvellement divulguée, est enterrée profondément dans des ordinateurs personnels, des serveurs et des appareils mobiles, et leurs chaînes d'approvisionnement, faisant de la remédiation.
The old, but newly disclosed, vulnerability is buried deep inside personal computers, servers, and mobile devices, and their supply chains, making remediation a headache. |
Vulnerability Mobile | ||
 |
2024-06-20 19:52:00 | Les chercheurs découvrent la vulnérabilité UEFI affectant plusieurs processeurs Intel Researchers Uncover UEFI Vulnerability Affecting Multiple Intel CPUs (lien direct) |
Les chercheurs en cybersécurité ont divulgué les détails d'un défaut de sécurité désormais réglé dans le micrologiciel Phoenix SecureCore UEFI qui affecte plusieurs familles de bourse Intel Core et de processeurs mobiles.
Suivi comme CVE-2024-0762 (score CVSS: 7,5), la vulnérabilité "UeficanhazBufferOverflow" a été décrite comme un cas de débordement de tampon résultant de l'utilisation d'une variable dangereuse dans la plate-forme de confiance
Cybersecurity researchers have disclosed details of a now-patched security flaw in Phoenix SecureCore UEFI firmware that affects multiple families of Intel Core desktop and mobile processors. Tracked as CVE-2024-0762 (CVSS score: 7.5), the "UEFIcanhazbufferoverflow" vulnerability has been described as a case of a buffer overflow stemming from the use of an unsafe variable in the Trusted Platform |
Vulnerability Mobile | ★★★ | |
 |
2024-06-20 19:50:16 | Cloaked and Covert: Uncovering UNC3886 Espionage Operations (lien direct) | ## Instantané En septembre 2022, Google Cloud a rendu compte des enquêtes de Mandiant \\ sur "UNC3886", soupçonnées de mandiant d'être un groupe de cyber-espionnage lié au chinois, après la découverte de logiciels malveillants dans les hyperviseurs Esxi.UNC3886 ciblé globalOrganisations stratégiques, exploitation des vulnérabilités dans Fortios ([CVE-2022-41328] (https://security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2022-41328/overview)) et VMware Technologies ([CVE-2022-22948](https://security.microsoft.com/vulnerabilities/vulnerability/cve-2022-22948/overview), [cve-2023-20867] (https://security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2023-com20867 / Overview)), y compris une vulnérabilité zéro-jour dans VMware vcenter ([CVE-2023-34048] (https://security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2023-34048/aperçu)). ## Description L'UNC3886 a utilisé des mécanismes de persistance sophistiqués à travers les dispositifs de réseau, les hyperviseurs et les machines virtuelles, en utilisant des rootkits comme Reptile et Medusa, avec Medusa installé via son composant d'installation, Sealfe, pour un accès à long terme.L'acteur de menace a également déployé des logiciels malveillants personnalisés tels que MopSled et Riflespine, tirant parti des services tiers de confiance pour la commande et le contrôle.Mandiant a également oberved partage C6) De plus, Mandiant rapporte que l'acteur de menace a tenté d'étendre son accès aux appareils réseau en ciblant un serveur TACACS + en utilisant le revers de renifleur.En outre, UNC3886 les délais exploités pour exploiter l'interface de communication virtuelle (VMCI), y compris des variantes comme VirtualShine, VirtualPie et VirtualSphere, pour faciliter l'exécution de la commande et le mouvement latéral dans des environnements ciblés. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - [Trojan: LiNux / Reptile] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:linux/reptile.a& ;thered=-2147118004) - [Backdoor: Linux / Reptile] (https://www.microsoft.com/en-us/wdsi/terats/malware-encycopedia-description? Name = Backdoor: Linux / Reptile! Mtb & menaceID = -2147058920) - [Trojan: Win32 / Medusa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/medusa.a& threattid=-2147462289) - [Trojandownloader: sh / medusa] (https: //www.miCrosost.com/nus/wds/threets/malwaore-encycription.metcrid - Salut: Py: PyThon / Medusa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=pua:pyTHON / MEDUSA.A & AMP; NOFENID = 314289) - [Trojandownloader: sh / medusa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description? name = trojandownloader: sh / medusa.a! mtb & menaceid = -2147127030) - [Comportement: win32 / medusa] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=behavior:win32/medusa.a&theatid=-2147078674) - [Trojan: Msil / Medusa] (https://www.microsoft.com/en-us/wdsi/thREATS / MALWARE-ENCYCLOPEDIA-DESCRIPTION? Name = Trojan: MSIL / MEDUSA! - [Trojan: Python / Medusa] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:python/medusa.c& threattid=-2147066576) - [Trojan: Bat / Medusa] (https://www.microsoft.com/en-us/wdsi/thereats/malware-encycopedia-dercription?name=trojan:bat/medusa!mtb&theretid=-2147064383) ## Recommandations [CVE-2022-41328] (HTtps: //security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2022-41328/overview) Mettez à niveau vers Fortinet Fortios version 7.2.4, 7.0.10 ou 6.4.11 pour atténuer cette vulnérabilité. [CVE-2022-22948] (https://security.microsoft.com/vulnerabilities/vulnerabilité/CVE-2022-22948/overview) Passez à la dernière version de VMware vCenter Server et Cloud Foundation. [CVE | Malware Vulnerability Threat Cloud | ||
 |
2024-06-20 13:00:33 | Vérifier Rapport de sécurité du cloud de Point \\: Navigation de l'intersection de la cybersécurité Check Point\\'s 2024 Cloud Security Report: Navigating the Intersection of Cyber security (lien direct) |
> 91% considèrent l'adoption de l'intelligence artificielle comme une priorité, mettant en évidence l'évaluation de la vulnérabilité et la détection des menaces comme des avantages clés, néanmoins, seulement 61% des répondants ont reconnu que leur organisation était dans les phases de planification ou de développement de l'adoption de l'IA et de la ML pour le cyber-cyberLes résultats de l'enquête sur la sécurité révèlent un manque de sensibilisation au rôle crucial des contrôles internes et des politiques de gouvernance lorsque l'IA est impliquée de l'intelligence artificielle et de l'apprentissage automatique (IA et ML) sont reconnues comme des parties importantes de l'avenir de la cybersécurité et de la sécurité du cloud.Mais dans quelle mesure ces technologies dans les fonctions de cybersécurité sont-elles intégrées actuellement?Une enquête récente [& # 8230;]
>91% view the adoption of artificial intelligence as a priority, highlighting vulnerability assessment and threat detection as key benefits Nevertheless, only 61% of respondents acknowledged that their organization is in the planning or development phases of adopting AI and ML for cyber security Survey results reveal a lack of awareness about the crucial role of internal controls and governance policies when AI is involved Artificial Intelligence and Machine Learning (AI and ML) are recognized as important parts of the future of cyber security and cloud security. But how integrated are these technologies in cyber security functions currently? A recent survey […] |
Vulnerability Threat Cloud | ★★★ | |
 |
2024-06-20 10:29:06 | Qilin: Nous savions que notre attaque Synnovis entraînerait une crise des soins de santé dans les hôpitaux de Londres Qilin: We knew our Synnovis attack would cause a healthcare crisis at London hospitals (lien direct) |
Les cybercriminels affirment qu'ils ont utilisé un jour zéro pour vioder les systèmes du fournisseur de pathologie \\ interview Le gang de ransomware responsable de la crise actuelle des soins de santé dans les hôpitaux de Londres dit qu'il aAucun regret sur l'attaque, qui était entièrement délibéré, il a dit à le registre dans une interview.…
Cybercriminals claim they used a zero-day to breach pathology provider\'s systems Interview The ransomware gang responsible for the current healthcare crisis at London hospitals says it has no regrets about the attack, which was entirely deliberate, it told The Register in an interview.… |
Ransomware Vulnerability Threat Medical | ★★★ | |
 |
2024-06-20 10:00:14 | Projet Nap-temps: évaluation des capacités de sécurité offensive des modèles de gros langues Project Naptime: Evaluating Offensive Security Capabilities of Large Language Models (lien direct) |
Posted by Sergei Glazunov and Mark Brand, Google Project Zero IntroductionAt Project Zero, we constantly seek to expand the scope and effectiveness of our vulnerability research. Though much of our work still relies on traditional methods like manual source code audits and reverse engineering, we\'re always looking for new approaches. As the code comprehension and general reasoning ability of Large Language Models (LLMs) has improved, we have been exploring how these models can reproduce the systematic approach of a human security researcher when identifying and demonstrating security vulnerabilities. We hope that in the future, this can close some of the blind spots of current automated vulnerability discovery approaches, and enable automated detection of "unfuzzable" vulnerabilities. Earlier this year, Meta released CyberSecEval 2 (Bhatt et al., 2024), which includes new LLM benchmarks for discovering and exploiting memory safety issues. The authors presented the following conclusion: Another theme is that none of the LLMs do very well on these challenges. For each challenge, scoring a 1.0 means the challenge has been passed, with any lower score meaning the LLM only partially succeeded. The average scores of all LLMs over all tests suggests that LLMs have a ways to go before performing well on this benchmark, and aren’t likely to disrupt cyber exploitation attack and defense in their present states. We find that, by refining the testing methodology to take advantage of modern LLM capabilities, significantly better performance in vulnerability discovery can be achieved. To facilitate effective evaluation of LLMs for vulnerability discovery, we propose below a set of guiding principles. We\'ve implemented these principles in our LLM-powered vulnerability research framework, which increased CyberSecEval2 benchmark performance by up to 20x from the original paper. This approach achieves new top scores of 1.00 on the “Buffer Overflow" tests (from 0.05) and 0.76 on the "Advanced Memory Corruption" tests (from 0.24). We have included a full example trajectory/log in Appendix A. While we have shown that principled agent design can greatly improve the performance of general-purpose LLMs on challenges in the security domain, it\'s the opinion of the Project Zero team that substantial progress is still needed before these tools can have a meaningful impact on the daily work of security researchers. | Tool Vulnerability Threat | ||
 |
2024-06-20 09:15:00 | La société de crypto Kraken appelle les flics après que les chercheurs ont tenté «l'extorsion» Crypto Firm Kraken Calls the Cops After Researchers Attempt “Extortion” (lien direct) |
Un échange de crypto-monnaie prétend avoir été extorqué après que les chercheurs \\ '\' ont exploité une vulnérabilité pour voler des millions
A cryptocurrency exchange claims to have been extorted after \'researchers\' exploited a vulnerability to steal millions |
Vulnerability | ★★★ | |
 |
2024-06-20 09:07:04 | La CISA prévient la vulnérabilité de traversée de chemin dans le matériel SECFlow-2 de Data \\ CISA warns of path traversal vulnerability in RAD Data\\'s SecFlow-2 hardware (lien direct) |
L'Agence américaine de sécurité de cybersécurité et d'infrastructure (CISA) a publié mardi un avis de CI (systèmes de contrôle industriel) avec un ... en temps opportun ...
The U.S Cybersecurity and Infrastructure Security Agency (CISA) published Tuesday an ICS (industrial control systems) advisory with timely... |
Vulnerability Industrial | ★★★ | |
|
2024-06-19 22:10:00 | Kraken Crypto Exchange a frappé par 3 millions de dollars de vol exploitant un défaut zéro-jour Kraken Crypto Exchange Hit by $3 Million Theft Exploiting Zero-Day Flaw (lien direct) |
Crypto Exchange Kraken a révélé qu'un chercheur de sécurité sans nom a exploité un défaut zéro jour "extrêmement critique" dans sa plate-forme pour voler 3 millions de dollars d'actifs numériques et a refusé de les retourner.
Les détails de l'incident ont été partagés par le directeur de la sécurité de Kraken \\, Nick Percoco, sur X (anciennement Twitter), déclarant qu'il avait reçu une alerte du programme de prime de bogue sur un bug qui "leur a permis de
Crypto exchange Kraken revealed that an unnamed security researcher exploited an "extremely critical" zero-day flaw in its platform to steal $3 million in digital assets and refused to return them. Details of the incident were shared by Kraken\'s Chief Security Officer, Nick Percoco, on X (formerly Twitter), stating it received a Bug Bounty program alert about a bug that "allowed them to |
Vulnerability Threat | ★★★ | |
|
2024-06-19 20:39:00 | Le groupe de cyber-espionnage chinois exploite Fortinet, Ivanti et VMware Zero-Days Chinese Cyber Espionage Group Exploits Fortinet, Ivanti and VMware Zero-Days (lien direct) |
L'acteur de cyber-espionnage China-Nexus lié à l'exploitation zéro-jour des défauts de sécurité dans les dispositifs de Fortinet, Ivanti et VMware a été observé en utilisant plusieurs mécanismes de persistance afin de maintenir un accès sans entrée à des environnements compromis.
"Les mécanismes de persistance englobaient les dispositifs de réseau, les hyperviseurs et les machines virtuelles, garantissant que des canaux alternatifs restent disponibles
The China-nexus cyber espionage actor linked to the zero-day exploitation of security flaws in Fortinet, Ivanti, and VMware devices has been observed utilizing multiple persistence mechanisms in order to maintain unfettered access to compromised environments. "Persistence mechanisms encompassed network devices, hypervisors, and virtual machines, ensuring alternative channels remain available |
Vulnerability Threat | ★★★ | |
|
2024-06-19 19:28:22 | Les pirates utilisent des logiciels malveillants Big-IP F5 pour voler furtivement des données pendant des années Hackers use F5 BIG-IP Malware to Stealthily Steal Data for Years (lien direct) |
## Instantané Les analystes de Sygnia ont constaté que le groupe de cyberespionnage chinois fourmi en velours utilisait des logiciels malveillants personnalisés sur des appareils Big-IP F5 pour établir plusieurs anciensréseau. Lire la couverture de Microsoft \\ de [Plugx ici.] (Https://security.microsoft.com/intel-profiles/028c3995955a4a710d67d5d4e9a5f067355bc7ad58e5c5d1c1931e708e41b38) ## Dépissage Les attaquants ont initialement compromis les appareils Big-IP F5 en utilisant des défauts d'exécution de code distants connus, leur permettant de déployer divers logiciels malveillants, y compris Plugx, PMCD, MCDP, Samrid et Esrde.Cela a permis aux acteurs de la menace de voler furtivement des informations sensibles aux clients et financières pendant près de trois ans sans détection. Malgré les efforts d'éradication, les pirates ont redémarré le plugx avec de nouvelles configurations pour éviter la détection, en utilisant des dispositifs internes compromis comme les appareils F5 pour conserver l'accès.De plus, l'article mentionne d'autres cas d'acteurs de menace parrainés par l'État exploitant des vulnérabilités dans les appareils réseau, tels que Fortinet, Sonicwall, Barracuda et Palo Alto Networks, pour installer des logiciels malveillants personnalisés et voler des données.Ces incidents mettent en évidence la menace continue posée par des groupes de menaces sophistiqués et persistants, soulignant la nécessité d'une approche de sécurité multicouche et holistique pour détecter et atténuer ces attaques. ## Détections / requêtes de chasse ### Microsoft Dantivirus efender Microsoft Defender Antivirus détecte les composants de la menace Plugx. - [Backdoor: win32 / plugx] (https://www.microsoft.com/en-us/wdsi/atherets/thReat-Search? Query = Backdoor: Win32 / Plugx) - [Trojan: Win32 / Plugx] (https://www.microsoft.com/en-us/wdsi/Thereats/Threat-Search?query=trojan:win32/plugx) - [tRojandRopper: Win32 / Plugx] (https://www.microsoft.com/en-us/wdsi/Thereats/Threat-Search?query=trojan:win32/plugx) - [Trojan: Msil / Plugx] (https://www.microsoft.com/en-us/wdsi/atherets/thReat-Search? Query = Trojan: MSIL / Plugx) Microsoft Defender Antivirus détecte les composants de la menace KorPlug. - [Trojan: win32 / korplug] (https://www.microsoft.com/en-us/wdsi/therets/malware-encyclopedia-description?name=trojan:win32/korplug!msr&Theratid=214752072) - [Backdoor: win32 / korplug] (https://www.microsoft.com/en-us/wdsi/Thereats/Threat-Search?query=backdoor:win32/korplug) - [TrojandRopper: Win32 / KorPlug] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encycopedia-description? name = trojandropper: win32 / korplug & menaceid = -2147068922) - [Trojan: VBS / Korplug] (https://www.microsoft.com/en-us/wdsi/Thereats/Malware-enCyclopedia-Description? Name = Trojan: VBS / KorPlug! McLg & menaceID = -2147156848) ### Chasse avancée ** Chargement des lecteurs avec le caractère NBSP dans le chemin du fichier ** Identifiez les événements de charge d'image amovibles où le chemin de fichier comprend le caractère NBSP.Ce chemin de fichier peut être associé à l'activité Plugx sur le système.Exécutez la requête dans Microsoft 365 Security Center. Laissez NBSP = MAKe_string (tolong (\\ '0xa0 \'));// Caractère d'espace non révolutionnaire Laisse nbspdir = strcat (@ "\", nbsp, @ "\"); DeviceMageLoADADEVENTS |où folDerpath! Startwith "C:" // Chasse sur les médias amovibles |où le pistolet a_cs nbspdir |Project-Reorder DeviceName, nom de fichier, Folderpath, SHA1, InitiantProcessFilename ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/enable-cloud-protection-microsoft-defender-antivi | Malware Vulnerability Threat | ★★★★ | |
 |
2024-06-19 16:43:55 | Une vulnérabilité zero-day pour Windows en vente pour 120 000 dollars (lien direct) | Pour 120 000 dollars, un pirate informatique met en vente une élévation locale de privilèges (LPE) sur les systèmes d'exploitation Windows.... | Vulnerability Threat | ★★★ | |
 |
2024-06-19 14:39:16 | Broadcom conseille un patch urgent pour les vulnérabilités sévères de VMware vcenter Server Broadcom Advises Urgent Patch for Severe VMware vCenter Server Vulnerabilities (lien direct) |
Vulnérabilités de sécurité critiques (CVE-2024-37079, CVE-2024-37080, CVE-2024-37081) Trouvées dans VMware vCenter Server!Patch immédiatement pour protéger les environnements virtuels à partir de l'exécution de code distant & # 038;Attaques d'escalade de privilège.
Critical security vulnerabilities (CVE-2024-37079, CVE-2024-37080, CVE-2024-37081) found in VMware vCenter Server! Patch immediately to safeguard virtual environments from remote code execution & privilege escalation attacks. |
Vulnerability | ★★★ | |
|
2024-06-19 13:06:00 | Flaws du serveur de courrier MailCow Expose des serveurs à l'exécution du code distant Mailcow Mail Server Flaws Expose Servers to Remote Code Execution (lien direct) |
Deux vulnérabilités de sécurité ont été divulguées dans la suite de serveurs de messagerie open-source de MailCow qui pourraient être exploitées par des acteurs malveillants pour obtenir une exécution de code arbitraire sur des instances sensibles.
Les deux lacunes ont un impact sur toutes les versions du logiciel avant la version 2024-04, qui a été publiée le 4 avril 2024. Les problèmes ont été divulgués de manière responsable par Sonarsource le 22 mars 2024.
Les défauts
Two security vulnerabilities have been disclosed in the Mailcow open-source mail server suite that could be exploited by malicious actors to achieve arbitrary code execution on susceptible instances. Both shortcomings impact all versions of the software prior to version 2024-04, which was released on April 4, 2024. The issues were responsibly disclosed by SonarSource on March 22, 2024. The flaws |
Vulnerability | ★★ | |
 |
2024-06-19 12:00:17 | Au-delà de l'App Store: les risques cachés des applications de téléchargement latérales Beyond the App Store: The Hidden Risks of Sideloading Apps (lien direct) |
> La tenue de touche de l'application est la pratique de l'installation d'applications via des canaux de distribution non officiels.Bien que cela permette une plus grande personnalisation et une plus grande disponibilité des applications, elle ouvre également la porte à des vulnérabilités de sécurité importantes, l'augmentation de la surface d'attaque est exposée.Dans cet article de blog, nous discuterons des différences entre Android et [& # 8230;]
>Application sideloading is the practice of installing applications through non-official distribution channels. While this allows for greater customization and app availability, it also opens the door to significant security vulnerabilities increasing the attack surface users are exposed to. In this blog post, we will discuss the differences between Android and […] |
Vulnerability Mobile | ★★ | |
|
2024-06-19 06:25:19 | Industrial Ciso Perspectives & # 8211;Des vulnérabilités à la stratégie: transformer la gestion de la cybersécurité industrielle Industrial CISO Perspectives – From Vulnerabilities to Strategy: Transforming Industrial Cybersecurity Management (lien direct) |
Découvrez les informations critiques de la recherche sur Takepoint alors que nous plongeons dans des conversations avec des experts en cybersécurité défendant les entreprises industrielles.Obtenez ...
Discover critical insights from Takepoint Research as we delve into conversations with cybersecurity experts defending industrial enterprises. Get... |
Vulnerability Industrial | ★★ | |
 |
2024-06-19 03:28:41 | Tripwire Patch Priority Index pour mai 2024 Tripwire Patch Priority Index for May 2024 (lien direct) |
Tripwire \'s June 2024 Patch Priority Index (PPI) rassemble des vulnérabilités importantes pour Microsoft et Adobe.Le premier sur la liste ce mois-ci est un correctif pour les rapports d'erreur Microsoft Windows (CVE-2024-26169).Ce CVE est répertorié dans le catalogue des vulnérabilités exploitées CISA connues (KEV).La prochaine liste est la liste des correctifs pour Microsoft Edge (basé sur le chrome) et le chrome qui résolvent l'utilisation après le débordement de tampon de tas et les vulnérabilités de l'usurpation.Le prochain sur la liste des priorités du correctif ce mois-ci est un correctif pour Microsoft Excel qui résout une vulnérabilité d'exécution de code distant.Les correctifs sont ensuite des correctifs pour ...
Tripwire\'s June 2024 Patch Priority Index (PPI) brings together important vulnerabilities for Microsoft and Adobe. First on the list this month is a patch for Microsoft Windows Error Reporting (CVE-2024-26169). This CVE is listed in the CISA Known Exploited Vulnerabilities (KEV) catalog. Next on the list are patches for Microsoft Edge (Chromium-based) and Chromium that resolve use after free, heap buffer overflow, and spoofing vulnerabilities. Next on the patch priority list this month is a patch for Microsoft Excel that resolves a remote code execution vulnerability. Up next are patches for... |
Vulnerability | ★★ | |
|
2024-06-18 21:50:42 | GCP-2024-037 (lien direct) | Publié: 2024-06-18 Description Gravité Remarques VMware a divulgué plusieurs vulnérabilités dans VMSA-2024-0012 qui ont un impact sur les composants vCenter déployés dans les environnements clients. Cloud Customer Care Impact La vulnérabilité peut être exploitée en accédant à des ports spécifiques dans le serveur vCenter.Google a déjà bloqué les ports vulnérables sur VCenter Server, ce qui empêche les exploits potentiels de cette vulnérabilité. En outre, Google garantit que tous les déploiements futurs de vCenter ne sont pas exposés à cette vulnérabilité. Que dois-je faire? Aucune autre action n'est requise pour le moment. critique CVE-2024-37079 CVE-2024-37080 CVE-2024-37081 Published: 2024-06-18 Description Severity Notes VMware disclosed multiple vulnerabilities in VMSA-2024-0012 that impact vCenter components deployed in customer environments. Cloud Customer Care impact The vulnerability can be exploited by accessing specific ports in vCenter Server. Google has already blocked the vulnerable ports on vCenter server, which prevents any potential exploits of this vulnerability. In addition, Google ensures all future deployments of vCenter are not exposed to this vulnerability. What should I do? No further action is required at this time. Critical CVE-2024-37079 CVE-2024-37080 CVE-2024-37081 | Vulnerability | ||
 |
2024-06-18 14:00:13 | ACTION1 publie un rapport de vulnérabilité des logiciels inauguraux Rapport 2024 Action1 Releases Inaugural Software Vulnerability Ratings Report 2024 (lien direct) |
ACTION1 publie un rapport de vulnérabilité des logiciels inauguraux 2024
La nouvelle recherche équipe les CISO et les DSI avec des informations stratégiques sur leurs écosystèmes logiciels, évaluant les fournisseurs de logiciels en fonction de leurs antécédents de sécurité pour une prise de décision plus éclairée. .
-
rapports spéciaux
Action1 Releases Inaugural Software Vulnerability Ratings Report 2024 New research equips CISOs and CIOs with strategic insights into their software ecosystems, evaluating software vendors based on their security track record for more informed procurement decision-making. - Special Reports |
Vulnerability | ★★★ | |
 |
2024-06-18 14:00:00 | Couchée et secrète: Découvrir les opérations d'espionnage UNC3886 Cloaked and Covert: Uncovering UNC3886 Espionage Operations (lien direct) |
Written by: Punsaen Boonyakarn, Shawn Chew, Logeswaran Nadarajan, Mathew Potaczek, Jakub Jozwiak, Alex Marvi
Following the discovery of malware residing within ESXi hypervisors in September 2022, Mandiant began investigating numerous intrusions conducted by UNC3886, a suspected China-nexus cyber espionage actor that has targeted prominent strategic organizations on a global scale. In January 2023, Mandiant provided detailed analysis of the exploitation of a now-patched vulnerability in FortiOS employed by a threat actor suspected to be UNC3886. In March 2023, we provided details surrounding a custom malware ecosystem utilized on affected Fortinet devices. Furthermore, the investigation uncovered the compromise of VMware technologies, which facilitated access to guest virtual machines. Investigations into more recent operations in 2023 following fixes from the vendors involved in the investigation have corroborated Mandiant\'s initial observations that the actor operates in a sophisticated, cautious, and evasive nature. Mandiant has observed that UNC3886 employed several layers of organized persistence for redundancy to maintain access to compromised environments over time. Persistence mechanisms encompassed network devices, hypervisors, and virtual machines, ensuring alternative channels remain available even if the primary layer is detected and eliminated. This blog post discusses UNC3886\'s intrusion path and subsequent actions that were performed in the environments after compromising the guest virtual machines to achieve access to the critical systems, including: The use of publicly available rootkits for long-term persistence Deployment of malware that leveraged trusted third-party services for command and control (C2 or C&C) Subverting access and collecting credentials with Secure Shell (SSH) backdoors Extracting credentials from TACACS+ authentication using custom malware Mandiant has published detection and hardening guidelines for ESXi hypervisors and attack techniques employed by UNC3886. For Google SecOps Enterprise+ customer |
Malware Tool Vulnerability Threat Cloud Technical | APT 41 | ★★★ |
|
2024-06-18 13:54:00 | VMware émet des correctifs pour la fondation cloud, VCenter Server et vSphere ESXi VMware Issues Patches for Cloud Foundation, vCenter Server, and vSphere ESXi (lien direct) |
VMware a publié des mises à jour pour aborder les défauts critiques ayant un impact sur Cloud Foundation, VCenter Server et vSphere ESXi qui pourraient être exploités pour réaliser l'escalade des privilèges et l'exécution du code distant.
La liste des vulnérabilités est la suivante -
CVE-2024-37079 &CVE-2024-37080 (scores CVSS: 9.8) - Vulnérabilités de dépassement multiples dans la mise en œuvre du protocole DCE / RPC qui pourrait
VMware has released updates to address critical flaws impacting Cloud Foundation, vCenter Server, and vSphere ESXi that could be exploited to achieve privilege escalation and remote code execution. The list of vulnerabilities is as follows - CVE-2024-37079 & CVE-2024-37080 (CVSS scores: 9.8) - Multiple heap-overflow vulnerabilities in the implementation of the DCE/RPC protocol that could |
Vulnerability Cloud | ★★ | |
|
2024-06-18 13:00:00 | VMware révèle les vulnérabilités critiques, demande de l'assainissement immédiat VMware Discloses Critical Vulnerabilities, Urges Immediate Remediation (lien direct) |
VMware a révélé des vulnérabilités critiques ayant un impact sur ses produits VMware vSphere et VMware Cloud Foundation, avec des correctifs disponibles pour les clients
VMware has disclosed critical vulnerabilities impacting its VMware vSphere and VMware Cloud Foundation products, with patches available for customers |
Vulnerability Cloud | ★★★ | |
|
2024-06-18 01:00:00 | Programmes de primes de bug, piratage de pirat Bug Bounty Programs, Hacking Contests Power China\\'s Cyber Offense (lien direct) |
Avec l'exigence que toutes les vulnérabilités se rendent d'abord signalées au gouvernement chinois, une autre fois la recherche privée de vulnérabilité est devenue une mine d'or pour les programmes de cybersécurité offensants de la Chine.
With the requirement that all vulnerabilities first get reported to the Chinese government, once-private vulnerability research has become a goldmine for China\'s offensive cybersecurity programs. |
Vulnerability | ★★ | |
 |
2024-06-17 22:00:00 | Rebo-Te Code Exécution dans MailCow: toujours désinfecter les messages d'erreur Re-moo-te Code Execution in Mailcow: Always Sanitize Error Messages (lien direct) |
Notre équipe de recherche a découvert deux vulnérabilités dans MailCow, une solution de serveur de messagerie.Les attaquants pourraient compromettre une instance, se faire passer pour les utilisateurs et voler des e-mails.
Our research team discovered two vulnerabilities in mailcow, an email server solution. Attackers could compromise an instance, impersonate users, and steal emails. |
Vulnerability | ★★★ | |
|
2024-06-17 20:40:46 | CVE-2024-4577: exploitation continue d'une vulnérabilité de PHP critique CVE-2024-4577: Ongoing Exploitation of a Critical PHP Vulnerability (lien direct) |
## Instantané
Cyble Global Sensor Intelligence (CGSI) a détecté plusieurs tentatives de balayage liées à [CVE-2024-4577] (https://security.microsoft.com/intel-explorer/cves/cve-2024-4577/) provenant de divers emplacements.La vulnérabilité découle des erreurs dans les conversions de codage des caractères, affectant en particulier la fonction «la meilleure ajustement» sur les systèmes d'exploitation Windows.L'exploitation de cette faille pourrait potentiellement permettre aux acteurs de menace d'exécuter à distance du code arbitraire, posant des risques de sécurité importants aux installations PHP sur toutes les versions exécutées sur les plates-formes Windows.
## Description
Le 7 juin, PHP a publié un patch officiel pour aborder la vulnérabilité.Le lendemain, Watchtowr Labs a publié un code d'exploitation de preuve de concept (POC) pour le CVE-2024-4577 et les acteurs de la menace ont ensuite utilisé la vulnérabilité au déploiement du ransomware sur les systèmes vulnérables.CGSI rapporte plusieurs campagnes de logiciels malveillants associées à cette nouvelle vulnérabilité, inculant la campagne Ransomware de TellyouthPass et Muhstik malware.
Le CVE-2024-4577 a un impact explicitement sur le mode CGI de PHP \\, où le serveur Web interprète HTTP demande et les transmet à un script PHP pour le traitement.Si un personnage comme un trait d'union doux (0xad) est utilisé dans un paramètre URL, le gestionnaire CGI sur Windows, après sa cartographie de la meilleure ajustement, peut interpréter ce caractère différemment que prévu.Cette mauvaise interprétation permet à un attaquant d'exécuter du code arbitraire sur le serveur PHP vulnérable.
CGSI rapporte que l'exposition des instances de PHP potentiellement vulnérables est alarmante.Les organisations devraient donner la priorité aux mises à niveau vers les dernières versions PHP: 8.3.8, 8.2.20 et 8.1.29.
## Les références
[CVE-2024-4577: Exploitation continue d'une vulnérabilité de PHP critique] (https://cyble.com/blog/cve-2024-4577-ongoing-exploitation-of-a-critical-php-vulnerabilité/).Cyble Global Sensor Intelligence (consulté en 2024-06-17)
## Snapshot Cyble Global Sensor Intelligence (CGSI) has detected multiple scanning attempts related to [CVE-2024-4577](https://security.microsoft.com/intel-explorer/cves/CVE-2024-4577/) originating from various locations. The vulnerability stems from errors in character encoding conversions, particularly affecting the “Best Fit” feature on Windows operating systems. Exploiting this flaw could potentially enable threat actors to remotely execute arbitrary code, posing significant security risks to PHP installations across all versions running on Windows platforms. ## Description On June 7th, PHP released an official patch to address the vulnerability. The following day, WatchTowr Labs published a proof-of-concept (PoC) exploit code for CVE-2024-4577 and threat actors subsequently utilized the vulnerability to deploy ransomware on vulnerable systems. CGSI reports several malware campaigns associated with this new vulnerability, inculding the TellYouThePass ransomware campaign and Muhstik malware. CVE-2024-4577 explicitly impacts PHP\'s CGI mode, where the web server interprets HTTP requests and forwards them to a PHP script for processing. If a character like a soft hyphen (0xAD) is used in a URL parameter, the CGI handler on Windows, following its Best Fit mapping, may interpret this character differently than intended. This misinterpretation allows an attacker to execute arbitrary code on the vulnerable PHP server. CGSI reports that the exposure of potentially vulnerable PHP instances is alarmingly high. Organizations should prioritze upgrades to the latest PHP versions: 8.3.8, 8.2.20, and 8.1.29. ## References [CVE-2024-4577: Ongoing Exploitation of a Critical PHP Vulnerability](https://cyble.com/blog/cve-2024-4577-ongoing-exploitation-of-a-critical-php-vulnerability/). Cyble Glob |
Ransomware Malware Vulnerability Threat | ★★★ | |
|
2024-06-17 20:09:00 | ASUS Patches Critical Authentication Typass Flaw dans plusieurs modèles de routeurs ASUS Patches Critical Authentication Bypass Flaw in Multiple Router Models (lien direct) |
ASUS a subi des mises à jour logicielles pour lutter contre un défaut de sécurité critique qui a un impact sur ses routeurs qui pourraient être exploités par des acteurs malveillants pour contourner l'authentification.
Suivi en CVE-2024-3080, la vulnérabilité comporte un score CVSS de 9,8 sur un maximum de 10,0.
"Certains modèles de routeurs ASUS ont une vulnérabilité de contournement d'authentification, permettant aux attaquants distants non authentifiés de se connecter à l'appareil" "
ASUS has shipped software updates to address a critical security flaw impacting its routers that could be exploited by malicious actors to bypass authentication. Tracked as CVE-2024-3080, the vulnerability carries a CVSS score of 9.8 out of a maximum of 10.0. "Certain ASUS router models have authentication bypass vulnerability, allowing unauthenticated remote attackers to log in the device," |
Vulnerability | ★★ | |
|
2024-06-17 17:40:38 | Le comité américain de la Chambre examine l'intrusion de la posture de sécurité de Microsoft \\ US House Committee examines Microsoft\\'s security posture post-cyber intrusion by China-linked hackers (lien direct) |
Le Comité des États-Unis sur la sécurité intérieure a mené une audience la semaine dernière où elle a examiné les vulnérabilités de sécurité de Microsoft, ...
The U.S. House Committee on Homeland Security conducted a hearing last week where it reviewed Microsoft‘s security vulnerabilities,... |
Vulnerability | ★★★ | |
|
2024-06-17 16:56:00 | Qu'est-ce que DevSecops et pourquoi est-il essentiel pour la livraison de logiciels sécurisée? What is DevSecOps and Why is it Essential for Secure Software Delivery? (lien direct) |
Les pratiques traditionnelles de sécurité des applications ne sont pas efficaces dans le monde des DevOps modernes.Lorsque les analyses de sécurité sont exécutées uniquement à la fin du cycle de vie de la livraison du logiciel (juste avant ou après un service qui est déployé), le processus qui s'ensuivit de compilation et de fixation des vulnérabilités crée des frais généraux massifs pour les développeurs.Les frais généraux qui dégradent la vitesse et met en danger les délais de production.
Traditional application security practices are not effective in the modern DevOps world. When security scans are run only at the end of the software delivery lifecycle (either right before or after a service is deployed), the ensuing process of compiling and fixing vulnerabilities creates massive overhead for developers. The overhead that degrades velocity and puts production deadlines at risk. |
Vulnerability | ★★ | |
 |
2024-06-17 16:50:32 | Défendre votre surface d'attaque en constante évolution Defending your ever-changing attack surface (lien direct) |
Les éléments mêmes cruciaux pour une entreprise et la prospérité de l'entreprise sont également ses plus grandes vulnérabilités du point de vue de la cybersécurité.Les e-mails, les fichiers, les configurations de travail à distance / hybride et divers appareils et outils rationalisent les opérations commerciales, mais présentent également des risques de cybersécurité importants.Ces domaines, où les facteurs externes entrent en jeu, sont les moins sûrs, représentant les vulnérabilités de votre organisation & # 8217; s [& # 8230;]
Le post défendre votre surface d'attaque en constante évolution est apparu pour la première fois sur gourou de la sécurité informatique .
The very elements crucial for a business’s functionality and prosperity are also its greatest vulnerabilities from a cybersecurity standpoint. Emails, files, remote/hybrid work setups, and various devices and tools streamline business operations but also pose significant cybersecurity risks. These areas, where external factors come into play, are the least secure, representing vulnerabilities in your organisation’s […] The post Defending your ever-changing attack surface first appeared on IT Security Guru. |
Tool Vulnerability | ★★★ | |
|
2024-06-17 16:24:33 | Vulnérabilités critiques exposant les lecteurs biométriques chinois à un accès non autorisé Critical Vulnerabilities Exposing Chinese Biometric Readers to Unauthorized Access (lien direct) |
Votre scanner d'empreintes digitales est-il sûr?De nouvelles recherches révèlent 24 vulnérabilités dans les systèmes d'accès biométriques ZKTECO.Cela expose les installations et les entreprises critiques à une gamme de risques de sécurité.Apprenez à vous protéger contre l'accès non autorisé, le vol de données et la manipulation du système.
Is your fingerprint scanner safe? New research reveals 24 vulnerabilities in ZKTeco biometric access systems. This exposes critical facilities and businesses to a range of security risks. Learn how to protect yourself from unauthorized access, data theft, and system manipulation. |
Vulnerability | ★★ | |
|
2024-06-17 13:50:51 | Attaques cyber : le XDR, solution miracle ? (lien direct) | Les attaques cyber se multiplient, difficile d'y échapper. Pour ce faire, les solutions doivent être innovantes et anticiper au mieux le moindre risque. Dernière solution en date, le XDR, qui utilise l'IA et l'automatisation dans la détection au peigne fin des menaces. " Souvent lors d'une première intrusion, un acteur malveillant commence par compromettre les identifiants VPN en exploitant une vulnérabilité de type zero-day. Dès lors, il va pouvoir réaliser de nombreuses actions en se déplaçant à (...) - Points de Vue | Vulnerability Threat | ★★★ | |
|
2024-06-17 11:42:19 | Faits saillants hebdomadaires, 17 juin 2024 Weekly OSINT Highlights, 17 June 2024 (lien direct) |
## Snapshot Last week\'s OSINT reporting reveals a landscape of cyber threats involving diverse and sophisticated attack strategies by state-sponsored actors and cybercrime organizations. The reports showcase various attack vectors, including phishing campaigns, exploitation of cloud services, and use of malware such as RATs, ransomware, and infostealers. Key threat actors like UNC5537, Kimsuky, and Cosmic Leopard are targeting sectors ranging from cloud computing and aviation to military and government entities, often leveraging stolen credentials and exploiting software vulnerabilities. These incidents underscore the critical need for robust security practices, such as multi-factor authentication and regular credential updates, to defend against increasingly complex and targeted cyber threats. ## Description 1. **[Warmcookie Malware Campaign](https://sip.security.microsoft.com/intel-explorer/articles/d5d815ce)**: Elastic Security Labs identified Warmcookie, a Windows malware distributed via fake job offer phishing campaigns. The malware establishes C2 communication to gather victim information, execute commands, and drop files, with the campaign ongoing and targeting users globally. 2. **[Snowflake Data Theft](https://sip.security.microsoft.com/intel-explorer/articles/3cb4b4ee)**: Mandiant uncovered UNC5537 targeting Snowflake customers to steal data and extort victims using stolen credentials from infostealer malware. The campaign highlights poor credential management and the absence of MFA, prompting Snowflake to issue security guidance. 3. **[IcedID, Cobalt Strike, and ALPHV Ransomware](https://sip.security.microsoft.com/intel-explorer/articles/b74a41ff)**: DFIR Report analyzed a cyber intrusion deploying IcedID via malicious emails, followed by Cobalt Strike for remote control and ALPHV ransomware for encryption. Attackers used various tools for persistence, reconnaissance, and data exfiltration, showcasing a complex multi-stage attack. 4. **[ValleyRAT Multi-Stage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/c599ee92)**: Zscaler ThreatLabz identified a campaign deploying an updated ValleyRAT by China-based threat actors, using phishing emails and HTTP File Server for malware delivery. The RAT includes advanced evasion techniques and enhanced data collection capabilities. 5. **[APT Attacks Using Cloud Services](https://sip.security.microsoft.com/intel-explorer/articles/bebf8696)**: AhnLab Security Intelligence Center reported APT attacks leveraging Google Drive, OneDrive, and Dropbox to distribute malware. Attackers use malicious scripts and RAT strains to collect user information and perform various malicious activities. 6. **[CoinMiner vs. Ransomware Conflict](https://sip.security.microsoft.com/intel-explorer/articles/58dd52ff)**: ASEC described an incident where a CoinMiner attacker\'s proxy server was compromised by a ransomware actor\'s RDP scan attack. The CoinMiner botnet infection through MS-SQL server vulnerabilities was disrupted by the ransomware attack, illustrating inter-threat actor conflicts. 7. **[Sticky Werewolf Campaign](https://sip.security.microsoft.com/intel-explorer/articles/e3b51ad8)**: Morphisec Labs discovered Sticky Werewolf targeting the aviation industry with phishing campaigns using LNK files. The group, with suspected geopolitical ties, employs CypherIT Loader/Crypter for payload delivery and anti-analysis measures. 8. **[Kimsuky\'s Espionage Campaign](https://sip.security.microsoft.com/intel-explorer/articles/ab73cf6f)**: BlackBerry identified North Korea\'s Kimsuky group targeting a Western European weapons manufacturer with spear-phishing emails containing malicious JavaScript. The campaign underscores the growing threat of cyber espionage in the military sector. 9. **[Operation Celestial Force](https://sip.security.microsoft.com/intel-explorer/articles/0dccc722)**: Cisco Talos reported Cosmic Leopard\'s espionage campaign using GravityRAT and HeavyLift, targeting Indian defense and government sectors. The campaign em | Ransomware Malware Tool Vulnerability Threat Mobile Cloud | ★★ | |
|
2024-06-17 11:20:12 | Les problèmes américains HC3 alertent sur la vulnérabilité critique du PHP impactant le secteur des soins de santé US HC3 issues alert on critical PHP vulnerability impacting healthcare sector (lien direct) |
> Le centre de coordination de la cybersécurité du secteur de la santé (HC3) dans le département américain de la santé & # 38;Les services humains (HHS) ont roulé ...
>The Health Sector Cybersecurity Coordination Center (HC3) in the U.S. Department of Health & Human Services (HHS) rolled... |
Vulnerability Medical | ★★ | |
 |
2024-06-17 11:08:19 | Utilisation de LLMS pour exploiter les vulnérabilités Using LLMs to Exploit Vulnerabilities (lien direct) |
Recherche intéressante: & # 8220; Les équipes d'agents LLM peuvent exploiter les vulnérabilités de jour zéro . & # 8221;
Résumé: Les agents LLM sont devenus de plus en plus sophistiqués, en particulier dans le domaine de la cybersécurité.Les chercheurs ont montré que les agents LLM peuvent exploiter les vulnérabilités du monde réel lorsqu'ils ont donné une description de la vulnérabilité et des problèmes de capture de jouets.Cependant, ces agents fonctionnent encore mal sur les vulnérabilités du monde réel qui sont inconnues à l'agent à l'avance (vulnérabilités zéro-jour).
Dans ce travail, nous montrons que des équipes d'agents LLM peuvent exploiter les vulnérabilités réelles et zéro jour.Les agents antérieurs ont du mal à explorer de nombreuses vulnérabilités différentes et une planification à long terme lorsqu'elles sont utilisées seule.Pour résoudre ce problème, nous introduisons HPTSA, un système d'agents avec un agent de planification qui peut lancer des sous-agents.L'agent de planification explore le système et détermine les sous-agents à appeler, en résolvant des problèmes de planification à long terme lors de l'essai de différentes vulnérabilités.Nous construisons une référence de 15 vulnérabilités du monde réel et montrons que notre équipe d'agents s'améliore sur les travaux antérieurs jusqu'à 4,5 et fois; ...
Interesting research: “Teams of LLM Agents can Exploit Zero-Day Vulnerabilities.” Abstract: LLM agents have become increasingly sophisticated, especially in the realm of cybersecurity. Researchers have shown that LLM agents can exploit real-world vulnerabilities when given a description of the vulnerability and toy capture-the-flag problems. However, these agents still perform poorly on real-world vulnerabilities that are unknown to the agent ahead of time (zero-day vulnerabilities). In this work, we show that teams of LLM agents can exploit real-world, zero-day vulnerabilities. Prior agents struggle with exploring many different vulnerabilities and long-range planning when used alone. To resolve this, we introduce HPTSA, a system of agents with a planning agent that can launch subagents. The planning agent explores the system and determines which subagents to call, resolving long-term planning issues when trying different vulnerabilities. We construct a benchmark of 15 real-world vulnerabilities and show that our team of agents improve over prior work by up to 4.5×... |
Vulnerability Threat | ★★ | |
 |
2024-06-17 10:00:00 | Battre la chaleur et les cyber-menaces cet été Beat the Heat and Cyber Threats This Summer (lien direct) |
The content of this post is solely the responsibility of the author. LevelBlue does not adopt or endorse any of the views, positions, or information provided by the author in this article. Summer is a time for relaxation, travel, and spending quality moments with family and friends. However, it is also peak season for cybercriminals who exploit the vulnerabilities that arise during this period. Cyberattacks surge during the summer holiday season as businesses and individuals let their guard down. Many companies operate with reduced staff as employees take time off, leaving fewer eyes on critical systems and security measures. Cybersecurity teams, often stretched thin, may not be able to respond as swiftly to threats. Additionally, individuals on vacation might be more inclined to use unsecured networks, fall for enticing travel deals, or overlook phishing attempts amidst their holiday activities. The importance of staying vigilant and informed about common summer scams cannot be overstated. By understanding these threats and taking proactive steps to protect ourselves, we can enjoy our summer holidays without falling victim to these opportunistic attacks. The Surge in Summer Cyberattacks Summer sees a marked increase in cyberattacks, with statistics indicating a significant rise in incidents during this period. For instance, in June alone, cyberattacks globally surged by an alarming 60%. This increase can be attributed to several factors that make the summer season particularly attractive to cybercriminals. One primary reason is the reduction in staff across businesses as employees take their vacations. This often results in Security Operations Centers (SOCs) operating with minimal personnel, reducing the ability to monitor and respond to threats effectively. Additionally, with key cybersecurity professionals out of the office, the remaining team may struggle to maintain the same level of protection. Increased travel also plays an important role. Individuals on vacation are more likely to use unsecured networks, such as public Wi-Fi in airports, hotels, and cafes, which can expose them to cyber threats. Moreover, the general relaxation mindset that accompanies holiday activities often leads to a decrease in caution, making individuals more susceptible to scams and phishing attacks. The impact of this surge in cyberattacks is significant for both individuals and businesses. For individuals, it can mean the loss of personal information and financial assets. For businesses, these attacks can lead to data breaches, financial losses, and reputational damage. Therefore, it is crucial to remain vigilant and take preventive measures during the summer season to mitigate these risks. How to Recognize and Avoid Seasonal Cyber Threats As summer rolls around, cybercriminals ramp up their efforts to expose the relaxed and often less vigilant attitudes of individuals and businesses. Here are some of the most prevalent scams to watch out for during the summer season. Fake Travel Deals One of the most common summer scams involves fake travel deals. Cybercriminals create enticing offers for vacation packages, flights, and accommodations that seem too good to be true. These offers are often promoted through fake websites, social media ads, and phishing emails. Once victims enter their personal and financial information to book these deals, they quickly realize that the offers were fraudulent, and their information is compromised, leading to issues such as identity theft. | Malware Tool Vulnerability Threat Legislation | ★★ | |
 |
2024-06-17 00:00:00 | Atténuer les vulnérabilités SSRF impactant l'apprentissage automatique Azure Mitigating SSRF Vulnerabilities Impacting Azure Machine Learning (lien direct) |
Résumé Le 9 mai 2024, Microsoft a réussi à aborder plusieurs vulnérabilités au sein du service Azure Machine Learning (AML), qui ont été initialement découverts par les sociétés de recherche de sécurité Wiz et Tenable.Ces vulnérabilités, qui comprenaient des contrefaçons de demande côté serveur (SSRF) et une vulnérabilité de traversée de chemin, posé les risques potentiels pour l'exposition à l'information et la perturbation du service via le déni de service (DOS).
Summary On May 9, 2024, Microsoft successfully addressed multiple vulnerabilities within the Azure Machine Learning (AML) service, which were initially discovered by security research firms Wiz and Tenable. These vulnerabilities, which included Server-Side Request Forgeries (SSRF) and a path traversal vulnerability, posed potential risks for information exposure and service disruption via Denial-of-Service (DOS). |
Vulnerability | ★★★ | |
|
2024-06-15 20:49:27 | Les attaquants de ransomwares peuvent avoir utilisé la vulnérabilité d'escalade des privilèges comme zéro jour Ransomware Attackers May Have Used Privilege Escalation Vulnerability as Zero-day (lien direct) |
## Instantané L'équipe Hunter de Symantec \\ a identifié des preuves suggérant que le groupe de cybercriminalité cardinal (suivi parMicrosoft as [Storm-1811] (https://security.microsoft.com/intel-profiles/0a78394b205d9b9d6cbcbd5f34053d7fc1912c3fa7418ffd0eabf1d00f677a2b)) peut avoira exploité la vulnérabilité du service de rapports d'erreur Windows récemment corrigé ([CVE-2024-26169] (https://security.microsoft.com/intel-explorer/cves/cve-2024-26169/)) en tant que zéro jour. ## Description L'outil d'exploit, déployé dans une récente tentative d'attaque de ransomware étudiée par Symantec, profite d'une vulnérabilité d'escalade de privilèges (CVE-2024-26169) pour créer une clé de registre permettant à l'exploit de démarrer un shell avec des privilèges administratifs.La variante de l'outil utilisé dans cette attaque avait un horodatage de compilation du 27 février 2024, plusieurs semaines avant le correctif de la vulnérabilité.Cela suggère qu'au moins un groupe a peut-être exploité la vulnérabilité comme un jour zéro. Les attaquants \\ 'tactiques, techniques et procédures (TTPS) ressemblaient étroitement à celles décrites dans un récent rapport Microsoft sur l'activité Black Basta] (https://www.microsoft.com/en-us/security/blog/2024/05/15 / ACCORTS D'ACCUPTEURS-MISSUSING-QUICK-ASSIST-IN-Social-Ingenering-Attacks-leading-to-ransomware /), indiquant un potentiel échoué [Black Basta] (https: //security.microsoft.com/intel-profiles/0146164ed5ffa131074fa7e985f779597d2522865baa088f25cd80c3d8d726) Attaque. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte ThrMangez les composants comme logiciels malveillants suivants: - Trojan: Win32 / Cerber - Trojan: win64 / cryptinject - [comportement: win32 / basta] (https://www.microsoft.com/wdsi/therets/malware-encyclopedia-description?name=behavior:win32/basta.b&Thereatid=-2147132479) - [ransom: win32 / basta] (https://www.microsoft.com/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/basta.aa& ;thereatid = -2147149077) - [Trojan: Win32 / Basta] (https://www.microsoft.com/wdsi/thereats/malware-encycopedia-dercription?name=trojan:win32/basta!bv& ;thereatid = -2147142676) ## Recommandations Appliquez ces atténuations pour réduire l'impact de cette menace.Vérifiez la carte de recommandations pour l'état de déploiement des atténuations surveillées. - Allumez [Protection en cloud-élivé] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=Magicti%3CEM% 3ETA% 3C / EM% 3ELEARNDOC) dans Microsoft Defender Antivirus ou l'équivalent pour que votre produit antivirus couvre rapidement les outils et techniques d'attaquant en évolution.Les protections d'apprentissage automatique basées sur le cloud bloquent une énorme majorité de variantes nouvelles et inconnues. - Allumez [Protection Tamper] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?ocid=Magicti%3CEM%3ETA% 3C / EM% 3ELEARNDOC) Caractéristiques pour empêcher les attaquants d'empêcher les services de sécurité. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/EDR-in-bloc-mode? OCID = magicti% 3cem% 3eta% 3c / em% 3elearndoc) pour que Microsoft Defender Fou un point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Activer [Protection réseau] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-network-protection?ocid=Magicti%3CEM%3ETA%3C/EM%3ElearnDoc) pour prévenir les applications pour prévenir les applications pour prévenir les applications pour prévenir les applications pour | Ransomware Malware Tool Vulnerability Threat | ||
|
2024-06-13 18:33:01 | UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion (lien direct) | ## Instantané Mandiant a découvert une campagne de cyber-menaces ciblant les instances de la base de données des clients de Snowflake, visant à voler des données et à extorquer les victimes.Snowflake est une entreprise de cloud de données basée sur le cloud computing américain & # 8211;. ## Description Cette campagne, attribuée à un groupe mandiant suit en tant que UNC5537, implique un compromis systématique des instances de flocon de neige en utilisant des informations d'identification des clients volés.Ces informations d'identification ont été principalement acquises via des logiciels malveillants InfoSteller dès 2020. Lire Microsoft \'s [Profil d'outil sur les infostellers] (https://security.microsoft.com 6). Mandiant n'a trouvé aucune preuve que les propres systèmes de Snowflake \\ ont été violés;Au contraire, les violations étaient dues à des informations d'identification des clients compromis.En avril 2024, Mandiant a identifié les enregistrements de la base de données volés à partir d'une instance de flocon de neige, conduisant à une enquête qui a révélé l'utilisation de logiciels malveillants infoséaler pour obtenir des informations d'identification.Une vulnérabilité importante était le manque d'authentification multi-facteurs (MFA) sur les comptes compromis. En mai 2024, Mandiant a identifié une campagne plus large ciblant plusieurs clients de flocon de neige, ce qui a entraîné des notifications à environ 165 organisations.Snowflake a depuis fourni des conseils de détection et de durcissement à ses clients.Les titres de compétences compromis ont été obtenus auprès de VARious Infostalers tels que Vidar, Risepro, Redline, [Lumma] (https://security.microsoft.com/intel-profiles/33933578825488511c30b0728dd3c4f8b5ca20E41C285A56F796EB39F57531AD), Metastealer, et voleur de raton laveur, avec de nombreux années il y a des années et jamais tournés ou sécurisés avec le MFA. UNC5537 a utilisé des VPN et des serveurs privés virtuels (VP) pour accéder et exfiltrer les données des instances de flocon de neige, essayant plus tard de vendre ces données sur les forums cybercriminaux.Le groupe a mis à profit l'utilité des engelures pour la reconnaissance et a utilisé les utilitaires de gestion des bases de données pour une nouvelle exploitation. Le succès de la campagne \\ est attribué à de mauvaises pratiques de gestion et de sécurité des diplômes, tels que le manque de MFA et le non-mise à jour des informations d'identification.Cet incident met en évidence les risques posés par des logiciels malveillants d'infostaler répandus et l'importance des mesures de sécurité robustes pour protéger les entrepôts de données basés sur le cloud.Mandiant prévoit que l'UNC5537 continuera à cibler les plates-formes SaaS en raison de la nature lucrative de ces attaques. ## Détections / requêtes de chasse ** Microsoft Defender pour le point de terminaison ** Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - * [PWS: win32 / vidar] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=pws:win32 / vidar & menaceID = -2147198594) * - * [Ransom: win32 / vidar] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=ransom:win32/vidar& ;thereatid=-2147235644) * * - [* trojan: win32 / vidar *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-description?name=trojan:win32/vidar.paz!mtb& ;thered=-2147125956) - [* Trojan: Win32 / Risepro *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=trojan:win32/RISEPRO&Thereatid=-2147077417) - [* pws: win32 / shisepro *] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=pws:win32/risepro!msr& ;TheRatetid=-2147070426) - [* Trojan: Win32 / Redline *] (https://www.microsoft.com/en-us/wdsi/therets/malware-encycopedia-dercription?name=trojan:win32/redline& ;ther | Spam Malware Tool Vulnerability Threat Cloud | ★★ | |
|
2024-06-13 14:30:35 | Microsoft, en retard au jeu sur une défaite dangereuse DNSSEC Zero-Day Microsoft, Late to the Game on Dangerous DNSSEC Zero-Day Flaw (lien direct) |
La raison pour laquelle la société a mis si longtemps à résoudre le problème n'est pas connue étant donné que la plupart des autres parties prenantes ont eu un correctif pour le problème il y a des mois.
Why the company took so long to address the issue is not known given that most other stakeholders had a fix out for the issue months ago. |
Vulnerability Threat | ★★★ | |
 |
2024-06-13 14:19:39 | Plateforme de prime de bogue française Yeswehack recueille 28 millions de dollars French Bug Bounty Platform YesWeHack Raises $28 Million (lien direct) |
> Yeswehack a recueilli plus de 52 millions de dollars à ce jour pour construire et commercialiser une plate-forme de rapport de vulnérabilité de crowdsourced.
>YesWeHack has raised more than $52 million to date to build and market a crowdsourced vulnerability reporting platform. |
Vulnerability | ★★ | |
|
2024-06-13 13:00:00 | Vulnérabilités critiques facilement exploitantes trouvées dans les outils d'IA / ML open source Easily Exploitable Critical Vulnerabilities Found in Open Source AI/ML Tools (lien direct) |
> Protéger les avertissements d'IA d'une douzaine de vulnérabilités critiques dans les outils d'IA / ML open source signalés via son programme de primes de bogue.
>Protect AI warns of a dozen critical vulnerabilities in open source AI/ML tools reported via its bug bounty program. |
Tool Vulnerability | ★★★ | |
|
2024-06-13 12:38:00 | Google prévient la sécurité de la sécurité du micrologiciel Pixel exploitée comme zéro-jour Google Warns of Pixel Firmware Security Flaw Exploited as Zero-Day (lien direct) |
Google a averti qu'un défaut de sécurité ayant un impact sur le micrologiciel Pixel a été exploité dans la nature comme un jour zéro.
La vulnérabilité à haute sévérité, étiquetée comme CVE-2024-32896, a été décrite comme une élévation du problème de privilège dans le micrologiciel Pixel.
La société n'a partagé aucun détail supplémentaire lié à la nature des attaques qui l'exploitant, mais a noté "Il y a des indications que le CVE-2024-32896 peut être
Google has warned that a security flaw impacting Pixel Firmware has been exploited in the wild as a zero-day. The high-severity vulnerability, tagged as CVE-2024-32896, has been described as an elevation of privilege issue in Pixel Firmware. The company did not share any additional details related to the nature of attacks exploiting it, but noted "there are indications that CVE-2024-32896 may be |
Vulnerability Threat | ★★★ | |
|
2024-06-13 11:30:00 | Kaspersky trouve 24 défauts dans le fournisseur de matériel biométrique chinois Kaspersky Finds 24 Flaws in Chinese Biometric Hardware Provider (lien direct) |
Une série de vulnérabilités pourrait permettre à un attaquant de contourner les systèmes d'accès biométriques du fabricant chinois
A series of vulnerabilities could enable an attacker to bypass the Chinese manufacturer\'s biometric access systems |
Vulnerability | ★★★★ | |
|
2024-06-13 11:03:53 | Conduire dans les pilotes Android Driving forward in Android drivers (lien direct) |
Posted by Seth Jenkins, Google Project ZeroIntroduction Android\'s open-source ecosystem has led to an incredible diversity of manufacturers and vendors developing software that runs on a broad variety of hardware. This hardware requires supporting drivers, meaning that many different codebases carry the potential to compromise a significant segment of Android phones. There are recent public examples of third-party drivers containing serious vulnerabilities that are exploited on Android. While there exists a well-established body of public (and In-the-Wild) security research on Android GPU drivers, other chipset components may not be as frequently audited so this research sought to explore those drivers in greater detail.Driver Enumeration: Not as Easy as it Looks This research focused on three Android devices (chipset manufacturers in parentheses): - Google Pixel 7 (Tensor) - Xiaomi 11T (MediaTek) - Asus ROG 6D (MediaTek) In order to perform driver research on these devices I first had to find all of the kernel drivers that were accessible from an unprivileged context on each device; a task complicated by the non-uniformity of kernel drivers (and their permissions structures) across different devices even within the same chipset manufacturer. There are several different methodologies for discovering these drivers. The most straightforward technique is to search the associated filesystems looking for exposed driver device files. These files serve as the primary method by which userland can interact with the driver. Normally the “file” is open’d by a userland process, which then uses a combination of read, write, ioctl, or even mmap to interact with the driver. The driver then “translates” those interactions into manipulations of the underlying hardware device sending the output of that device back to userland as warranted. Effectively all drivers expose their interfaces through the ProcFS or DevFS filesystems, so I focused on the /proc and /dev directories while searching for viable attack surfaces. Theoretically, evaluating all the userland accessible drivers should be as simple as calling find /dev or find /proc, attempting to open every file discovered, and logging which open | Tool Vulnerability Threat Patching Mobile Technical | ★★★ | |
 |
2024-06-13 10:00:22 | CINTERION EHS5 3G UMTS / HSPA Module Recherche Cinterion EHS5 3G UMTS/HSPA Module Research (lien direct) |
Nous avons effectué l'analyse de sécurité d'un modem de télévision Télit au cours d'un projet plus important d'évaluation de la sécurité d'un modèle populaire d'un camion et trouvé huit vulnérabilités.
We performed the security analysis of a Telit Cinterion modem in course of a bigger project of security assessment of a popular model of a truck and found eight vulnerabilities. |
Vulnerability | ★★★ | |
|
2024-06-13 10:00:00 | Prévalence et impact des vulnérabilités d'exposition aux mots de passe dans ICS / OT Prevalence and Impact of Password Exposure Vulnerabilities in ICS/OT (lien direct) |
> Analyse et perspectives sur la prévalence et l'impact des vulnérabilités d'exposition aux mots de passe dans les circuits intégrés et autres produits OT.
>Analysis and insights on the prevalence and impact of password exposure vulnerabilities in ICS and other OT products. |
Vulnerability Industrial | ★★ | |
|
2024-06-13 08:53:20 | Symantec rapporte Black Basta Ransomware Group soupçonné d'exploiter le zéro-jour en attaque probable échouée Symantec reports Black Basta ransomware group suspected of exploiting zero-day in likely failed attack (lien direct) |
Les chercheurs de Symantec ont des attaques de ransomware détaillées par le groupe Black Basta, qui peut avoir utilisé une escalade de privilège ...
Symantec researchers have detailed ransomware attacks by the Black Basta group, which may have utilized a privilege escalation... |
Ransomware Vulnerability Threat | ★★ | |
|
2024-06-13 07:06:14 | KeyLogger installé à l'aide de la vulnérabilité de l'éditeur d'équation de MS Office (Kimsuk) Keylogger Installed Using MS Office Equation Editor Vulnerability (Kimsuky) (lien direct) |
Ahnlab Security Intelligence Center (ASEC) a identifié les détails du groupe de menaces Kimsuky qui exploitait récemment une vulnérabilité (CVE-2017-11882) Dans l'éditeur d'équation inclus dans MS Office (Eqnedt32.exe) pour distribuer un Keylogger.L'acteur de menace a distribué le Keylogger en exploitant la vulnérabilité pour exécuter une page avec un script malveillant intégré avec le processus MSHTA.La page à laquelle Mshta se connecte est http://xxxxxxxxxx.xxxxxx.xxxxxxx.com/images/png/error.php et utilise le nom de fichier error.php.Comme le montre la figure 2, le & # 8220; introuvable & # 8221;Le message le fait ...
AhnLab SEcurity intelligence Center (ASEC) has identified the details of the Kimsuky threat group recently exploiting a vulnerability (CVE-2017-11882) in the equation editor included in MS Office (EQNEDT32.EXE) to distribute a keylogger. The threat actor distributed the keylogger by exploiting the vulnerability to run a page with an embedded malicious script with the mshta process. The page that mshta connects to is http://xxxxxxxxxxx.xxxxxx.xxxxxxxx.com/images/png/error.php and uses the file name error.php. As shown in Figure 2, the “Not Found” message makes it... |
Vulnerability Threat | ★★★ | |
|
2024-06-13 04:43:00 | Rockwell avertit le secteur ICS de FactoryTalk View SE V11 Vulnérabilité, recommande la mise à niveau de V14.0 patchée Rockwell warns ICS sector of FactoryTalk View SE v11 vulnerability, recommends upgrade to patched v14.0 (lien direct) |
> Rockwell Automation a publié un avis de sécurité en avertissant jeudi la présence de la vulnérabilité des fuites d'informations via l'authentification ...
>Rockwell Automation published a security advisory on Thursday warning of the presence of information leakage vulnerability via authentication... |
Vulnerability Industrial | ||
|
2024-06-12 22:17:12 | Nvidia Patches Flaws de haute sévérité chez les pilotes GPU Nvidia Patches High-Severity Flaws in GPU Drivers (lien direct) |
Les derniers GPU de Nvidia \\ sont une marchandise chaude pour l'IA, mais les vulnérabilités de sécurité pourraient les exposer aux attaques de pirates.
Nvidia\'s latest GPUs are a hot commodity for AI, but security vulnerabilities could expose them to attacks from hackers. |
Vulnerability | ★★★ |
To see everything:
Our RSS (filtrered)
