What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-11-01 17:15:11 | CVE-2023-20206 (lien direct) | Plusieurs vulnérabilités dans l'interface de gestion basée sur le Web du logiciel Cisco Firepower Management Center (FMC) pourraient permettre à un attaquant distant non authentifié de mener une attaque de script de site transversale stockée (XSS) contre un utilisateur de l'interface d'un appareil affecté.Ces vulnérabilités sont dues à une validation insuffisante des entrées fournies par l'utilisateur par l'interface de gestion basée sur le Web.Un attaquant pourrait exploiter ces vulnérabilités en insérant une entrée fabriquée dans divers champs de données dans une interface affectée.Un exploit réussi pourrait permettre à l'attaquant d'exécuter un code de script arbitraire dans le contexte de l'interface ou d'accès aux informations sensibles basées sur le navigateur.Dans certains cas, il est également possible de provoquer un impact sur la disponibilité temporaire aux parties du tableau de bord FMC.
Multiple vulnerabilities in the web-based management interface of Cisco Firepower Management Center (FMC) Software could allow an unauthenticated, remote attacker to conduct a stored cross-site scripting (XSS) attack against a user of the interface of an affected device. These vulnerabilities are due to insufficient validation of user-supplied input by the web-based management interface. An attacker could exploit these vulnerabilities by inserting crafted input into various data fields in an affected interface. A successful exploit could allow the attacker to execute arbitrary script code in the context of the interface, or access sensitive, browser-based information. In some cases, it is also possible to cause a temporary availability impact to portions of the FMC Dashboard. |
Vulnerability Threat | ||
|
2023-11-01 17:15:11 | CVE-2023-20195 (lien direct) | Deux vulnérabilités dans Cisco ISE pourraient permettre à un attaquant distant authentifié de télécharger des fichiers arbitraires sur un appareil affecté.Pour exploiter ces vulnérabilités, un attaquant doit avoir des informations d'identification administratrices valides sur l'appareil affecté.Ces vulnérabilités sont dues à une mauvaise validation des fichiers qui sont téléchargés sur l'interface de gestion basée sur le Web.Un attaquant pourrait exploiter ces vulnérabilités en téléchargeant un fichier fabriqué sur un appareil affecté.Un exploit réussi pourrait permettre à l'attaquant de stocker des fichiers malveillants dans des répertoires spécifiques sur l'appareil.L'attaquant pourrait plus tard utiliser ces fichiers pour mener des attaques supplémentaires, y compris l'exécution de code arbitraire sur l'appareil affecté avec des privilèges racine.
Two vulnerabilities in Cisco ISE could allow an authenticated, remote attacker to upload arbitrary files to an affected device. To exploit these vulnerabilities, an attacker must have valid Administrator credentials on the affected device. These vulnerabilities are due to improper validation of files that are uploaded to the web-based management interface. An attacker could exploit these vulnerabilities by uploading a crafted file to an affected device. A successful exploit could allow the attacker to store malicious files in specific directories on the device. The attacker could later use those files to conduct additional attacks, including executing arbitrary code on the affected device with root privileges. |
Vulnerability Threat | ||
|
2023-11-01 17:15:11 | CVE-2023-20213 (lien direct) | Une vulnérabilité dans la fonction de traitement CDP de Cisco ISE pourrait permettre à un attaquant adjacent non authentifié de provoquer une condition de déni de service (DOS) du processus CDP sur un appareil affecté.Cette vulnérabilité est due à des limites insuffisantes vérifiant lorsqu'un appareil affecté traite le trafic CDP.Un attaquant pourrait exploiter cette vulnérabilité en envoyant un trafic CDP fabriqué vers l'appareil.Un exploit réussi pourrait provoquer un plan de procédé CDP, un impactant sur la découverte du voisin et la capacité de Cisco ISE à déterminer l'atteint des appareils distants.Après un crash, le processus CDP doit être redémarré manuellement à l'aide de la commande CDP Activer en mode de configuration d'interface.
A vulnerability in the CDP processing feature of Cisco ISE could allow an unauthenticated, adjacent attacker to cause a denial of service (DoS) condition of the CDP process on an affected device. This vulnerability is due to insufficient bounds checking when an affected device processes CDP traffic. An attacker could exploit this vulnerability by sending crafted CDP traffic to the device. A successful exploit could cause the CDP process to crash, impacting neighbor discovery and the ability of Cisco ISE to determine the reachability of remote devices. After a crash, the CDP process must be manually restarted using the cdp enable command in interface configuration mode. |
Vulnerability Threat | ||
|
2023-11-01 17:15:11 | CVE-2023-20256 (lien direct) | Plusieurs vulnérabilités dans la fonctionnalité par écoute par l'utilisateur du logiciel Cisco Adaptive Security Appliance (Cisco FirePower Meners Defence (FTD) pourraient permettre à un attaquant distant non authentifié de contourner une liste de contrôle d'accès configurée (ACL) et de permettre le trafic qui devraitSoyez refusé de passer à travers un appareil affecté.Ces vulnérabilités sont dues à une erreur logique qui pourrait se produire lorsque le logiciel affecté construit et applique des règles par écoute par utilisateur.Un attaquant pourrait exploiter ces vulnérabilités en se connectant à un réseau via un appareil affecté qui a une configuration vulnérable.Un exploit réussi pourrait permettre à l'attaquant de contourner l'interface ACL et d'accès aux ressources qui devraient être protégées.
Multiple vulnerabilities in the per-user-override feature of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to bypass a configured access control list (ACL) and allow traffic that should be denied to flow through an affected device. These vulnerabilities are due to a logic error that could occur when the affected software constructs and applies per-user-override rules. An attacker could exploit these vulnerabilities by connecting to a network through an affected device that has a vulnerable configuration. A successful exploit could allow the attacker to bypass the interface ACL and access resources that would should be protected. |
Vulnerability Threat | ||
|
2023-11-01 17:15:11 | CVE-2023-20270 (lien direct) | Une vulnérabilité dans l'interaction entre le préprocesseur du protocole de blocs de messages du serveur (SMB) et le moteur de détection SNORT 3 pour le logiciel de défense des menaces de feu de feu (FTD) pourrait permettre à un attaquant distant non authentifié de contourner les politiques configurées ou de provoquer un déni de service (DOS (DOS) Condition sur un appareil affecté.Cette vulnérabilité est due à une mauvaise vérification des erreurs lorsque le moteur de détection SNORT 3 traite le trafic SMB.Un attaquant pourrait exploiter cette vulnérabilité en envoyant un flux de paquets SMB fabriqué via un appareil affecté.Un exploit réussi pourrait permettre à l'attaquant de faire recharger le processus de snort, résultant en une condition DOS.
A vulnerability in the interaction between the Server Message Block (SMB) protocol preprocessor and the Snort 3 detection engine for Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to bypass the configured policies or cause a denial of service (DoS) condition on an affected device. This vulnerability is due to improper error-checking when the Snort 3 detection engine is processing SMB traffic. An attacker could exploit this vulnerability by sending a crafted SMB packet stream through an affected device. A successful exploit could allow the attacker to cause the Snort process to reload, resulting in a DoS condition. |
Vulnerability Threat | ||
|
2023-11-01 17:15:11 | CVE-2023-20245 (lien direct) | Plusieurs vulnérabilités dans la fonctionnalité par écoute par l'utilisateur du logiciel Cisco Adaptive Security Appliance (Cisco FirePower Meners Defence (FTD) pourraient permettre à un attaquant distant non authentifié de contourner une liste de contrôle d'accès configurée (ACL) et de permettre le trafic qui devraitSoyez refusé de passer à travers un appareil affecté.Ces vulnérabilités sont dues à une erreur logique qui pourrait se produire lorsque le logiciel affecté construit et applique des règles par écoute par utilisateur.Un attaquant pourrait exploiter ces vulnérabilités en se connectant à un réseau via un appareil affecté qui a une configuration vulnérable.Un exploit réussi pourrait permettre à l'attaquant de contourner l'interface ACL et d'accès aux ressources qui devraient être protégées.
Multiple vulnerabilities in the per-user-override feature of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to bypass a configured access control list (ACL) and allow traffic that should be denied to flow through an affected device. These vulnerabilities are due to a logic error that could occur when the affected software constructs and applies per-user-override rules. An attacker could exploit these vulnerabilities by connecting to a network through an affected device that has a vulnerable configuration. A successful exploit could allow the attacker to bypass the interface ACL and access resources that would should be protected. |
Vulnerability Threat | ||
|
2023-11-01 17:15:11 | CVE-2023-20086 (lien direct) | Une vulnérabilité dans le traitement ICMPV6 du logiciel Cisco Adaptive Security Appliance (ASA) et du logiciel Cisco Firepower Menace Defence (FTD) pourrait permettre à un attaquant distant non authentifié de provoquer une condition de déni de service (DOS).Cette vulnérabilité est due au traitement inapproprié des messages ICMPV6.Un attaquant pourrait exploiter cette vulnérabilité en envoyant des messages ICMPv6 conçus à un système Cisco ASA ou FTD ciblé avec IPv6 activé.Un exploit réussi pourrait permettre à l'attaquant de faire un rechargement de l'appareil, entraînant une condition DOS.
A vulnerability in ICMPv6 processing of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition. This vulnerability is due to improper processing of ICMPv6 messages. An attacker could exploit this vulnerability by sending crafted ICMPv6 messages to a targeted Cisco ASA or FTD system with IPv6 enabled. A successful exploit could allow the attacker to cause the device to reload, resulting in a DoS condition. |
Vulnerability Threat | ||
|
2023-11-01 17:15:11 | CVE-2023-20177 (lien direct) | Une vulnérabilité dans la mise en œuvre de la politique de fichier SSL du logiciel Cisco FirePower Meners Defence (FTD) qui se produit lorsque la connexion SSL / TLS est configurée avec une catégorie URL et que le moteur de détection SNORT 3 pourrait permettre à un attaquant distant non authentifié de provoquer l'attaque de détection SNORT 3moteur pour redémarrer de façon inattendue.Cette vulnérabilité existe car une erreur logique se produit lorsqu'un moteur de détection Snort 3 inspecte une connexion SSL / TLS qui a une catégorie URL configurée sur la stratégie de fichier SSL ou une catégorie URL configurée sur une stratégie de contrôle d'accès avec la découverte d'identité du serveur TLS activé.Sous des contraintes spécifiques basées sur le temps, un attaquant pourrait exploiter cette vulnérabilité en envoyant une connexion SSL / TLS fabriquée via un appareil affecté.Un exploit réussi pourrait permettre à l'attaquant de déclencher un rechargement inattendu du moteur de détection SNORT 3, entraînant une condition de contournement ou de déni de service (DOS), selon la configuration de l'appareil.Le moteur de détection Snort 3 redémarrera automatiquement.Aucune intervention manuelle n'est requise.
A vulnerability in the SSL file policy implementation of Cisco Firepower Threat Defense (FTD) Software that occurs when the SSL/TLS connection is configured with a URL Category and the Snort 3 detection engine could allow an unauthenticated, remote attacker to cause the Snort 3 detection engine to unexpectedly restart. This vulnerability exists because a logic error occurs when a Snort 3 detection engine inspects an SSL/TLS connection that has either a URL Category configured on the SSL file policy or a URL Category configured on an access control policy with TLS server identity discovery enabled. Under specific, time-based constraints, an attacker could exploit this vulnerability by sending a crafted SSL/TLS connection through an affected device. A successful exploit could allow the attacker to trigger an unexpected reload of the Snort 3 detection engine, resulting in either a bypass or denial of service (DoS) condition, depending on device configuration. The Snort 3 detection engine will restart automatically. No manual intervention is required. |
Vulnerability Threat | ||
|
2023-11-01 17:15:11 | CVE-2023-20244 (lien direct) | Une vulnérabilité dans le traitement interne des paquets du logiciel Cisco Firepower Menage Defence (FTD) pour les pare-feu de la série Cisco Firepower 2100 pourrait permettre à un attaquant distant non authentifié de provoquer une condition de déni de service (DOS) sur un appareil affecté.Cette vulnérabilité est due à une mauvaise gestion de certains paquets lorsqu'ils sont envoyés au moteur d'inspection.Un attaquant pourrait exploiter cette vulnérabilité en envoyant une série de paquets fabriqués à un appareil affecté.Un exploit réussi pourrait permettre à l'attaquant d'épuiser les 9 472 blocs d'octets sur l'appareil, entraînant une perte de trafic à travers l'appareil ou un rechargement inattendu de l'appareil.Si l'appareil ne recharge pas seul, un rechargement manuel de l'appareil serait tenu de se remettre de cet état.
A vulnerability in the internal packet processing of Cisco Firepower Threat Defense (FTD) Software for Cisco Firepower 2100 Series Firewalls could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition on an affected device. This vulnerability is due to improper handling of certain packets when they are sent to the inspection engine. An attacker could exploit this vulnerability by sending a series of crafted packets to an affected device. A successful exploit could allow the attacker to deplete all 9,472 byte blocks on the device, resulting in traffic loss across the device or an unexpected reload of the device. If the device does not reload on its own, a manual reload of the device would be required to recover from this state. |
Vulnerability Threat | ||
|
2023-11-01 17:15:10 | CVE-2023-20041 (lien direct) | Plusieurs vulnérabilités dans l'interface de gestion basée sur le Web du logiciel Cisco Firepower Management Center (FMC) pourraient permettre à un attaquant distant non authentifié de mener une attaque de script de site transversale stockée (XSS) contre un utilisateur de l'interface d'un appareil affecté.Ces vulnérabilités sont dues à une validation insuffisante des entrées fournies par l'utilisateur par l'interface de gestion basée sur le Web.Un attaquant pourrait exploiter ces vulnérabilités en insérant une entrée fabriquée dans divers champs de données dans une interface affectée.Un exploit réussi pourrait permettre à l'attaquant d'exécuter un code de script arbitraire dans le contexte de l'interface ou d'accès aux informations sensibles basées sur le navigateur.Dans certains cas, il est également possible de provoquer un impact sur la disponibilité temporaire aux parties du tableau de bord FMC.
Multiple vulnerabilities in the web-based management interface of Cisco Firepower Management Center (FMC) Software could allow an unauthenticated, remote attacker to conduct a stored cross-site scripting (XSS) attack against a user of the interface of an affected device. These vulnerabilities are due to insufficient validation of user-supplied input by the web-based management interface. An attacker could exploit these vulnerabilities by inserting crafted input into various data fields in an affected interface. A successful exploit could allow the attacker to execute arbitrary script code in the context of the interface, or access sensitive, browser-based information. In some cases, it is also possible to cause a temporary availability impact to portions of the FMC Dashboard. |
Vulnerability Threat | ||
|
2023-11-01 17:15:10 | CVE-2023-20005 (lien direct) | Plusieurs vulnérabilités dans l'interface de gestion basée sur le Web du logiciel Cisco Firepower Management Center (FMC) pourraient permettre à un attaquant distant non authentifié de mener une attaque de script de site transversale stockée (XSS) contre un utilisateur de l'interface d'un appareil affecté.Ces vulnérabilités sont dues à une validation insuffisante des entrées fournies par l'utilisateur par l'interface de gestion basée sur le Web.Un attaquant pourrait exploiter ces vulnérabilités en insérant une entrée fabriquée dans divers champs de données dans une interface affectée.Un exploit réussi pourrait permettre à l'attaquant d'exécuter un code de script arbitraire dans le contexte de l'interface ou d'accès aux informations sensibles basées sur le navigateur.Dans certains cas, il est également possible de provoquer un impact sur la disponibilité temporaire aux parties du tableau de bord FMC.
Multiple vulnerabilities in the web-based management interface of Cisco Firepower Management Center (FMC) Software could allow an unauthenticated, remote attacker to conduct a stored cross-site scripting (XSS) attack against a user of the interface of an affected device. These vulnerabilities are due to insufficient validation of user-supplied input by the web-based management interface. An attacker could exploit these vulnerabilities by inserting crafted input into various data fields in an affected interface. A successful exploit could allow the attacker to execute arbitrary script code in the context of the interface, or access sensitive, browser-based information. In some cases, it is also possible to cause a temporary availability impact to portions of the FMC Dashboard. |
Vulnerability Threat | ||
|
2023-11-01 17:15:10 | CVE-2023-20074 (lien direct) | Plusieurs vulnérabilités dans l'interface de gestion basée sur le Web du logiciel Cisco Firepower Management Center (FMC) pourraient permettre à un attaquant distant non authentifié de mener une attaque de script de site transversale stockée (XSS) contre un utilisateur de l'interface d'un appareil affecté.Ces vulnérabilités sont dues à une validation insuffisante des entrées fournies par l'utilisateur par l'interface de gestion basée sur le Web.Un attaquant pourrait exploiter ces vulnérabilités en insérant une entrée fabriquée dans divers champs de données dans une interface affectée.Un exploit réussi pourrait permettre à l'attaquant d'exécuter un code de script arbitraire dans le contexte de l'interface ou d'accès aux informations sensibles basées sur le navigateur.Dans certains cas, il est également possible de provoquer un impact sur la disponibilité temporaire aux parties du tableau de bord FMC.
Multiple vulnerabilities in the web-based management interface of Cisco Firepower Management Center (FMC) Software could allow an unauthenticated, remote attacker to conduct a stored cross-site scripting (XSS) attack against a user of the interface of an affected device. These vulnerabilities are due to insufficient validation of user-supplied input by the web-based management interface. An attacker could exploit these vulnerabilities by inserting crafted input into various data fields in an affected interface. A successful exploit could allow the attacker to execute arbitrary script code in the context of the interface, or access sensitive, browser-based information. In some cases, it is also possible to cause a temporary availability impact to portions of the FMC Dashboard. |
Vulnerability Threat | ||
 |
2023-11-01 16:52:00 | Le groupe iranien de cyber-espionnage cible les secteurs financiers et gouvernementaux au Moyen-Orient Iranian Cyber Espionage Group Targets Financial and Government Sectors in Middle East (lien direct) |
Un acteur de menace affilié au ministère du renseignement et de la sécurité de l'Iran (MOIS) a été observé en mettant une campagne de cyber-espionnage sophistiquée ciblant les secteurs financiers, gouvernementaux, militaires et de télécommunications au Moyen-Orient pendant au moins un an.
La société israélienne de cybersécurité Check Point, qui a découvert la campagne aux côtés de Sygnia, suit l'acteur sous le nom de Scarred
A threat actor affiliated with Iran\'s Ministry of Intelligence and Security (MOIS) has been observed waging a sophisticated cyber espionage campaign targeting financial, government, military, and telecommunications sectors in the Middle East for at least a year. Israeli cybersecurity firm Check Point, which discovered the campaign alongside Sygnia, is tracking the actor under the name Scarred |
Threat | ★★ | |
 |
2023-11-01 16:39:01 | L'importance de l'intelligence des menaces OT dans le cadre du cyber-évaluation (CAF) The Importance of OT Threat Intelligence Within the Cyber Assessment Framework (CAF) (lien direct) |
> Le Cyber Assessment Framework (CAF) a été développé par le National Cyber Security Center (NCSC) du Royaume-Uni dans le cadre d'un ...
Le post l'importance de l'intelligence de la menace au sein de l'intelligence de la menace au sein de l'intelligence dans le cadre de la menace au sein de l'intelligence dans le cadre de la menace au sein de l'intelligence dans le cadre de la menace au sein de l'intelligence dans le cadre de la menace au sein de l'intelligence dans le cadre de la menace au sein de l'intelligence dans le cadre de la menace au sein de l'intelligence dans le cadre de la menace au sein de l'intelligence dans le cadre de la menace au sein de l'intelligence dans l'OT des menaces au seinLe Cyber Assessment Framework (CAF) est apparu pour la première fois sur dragos .
>The Cyber Assessment Framework (CAF) was developed by the United Kingdom’s National Cyber Security Centre (NCSC) as part of a... The post The Importance of OT Threat Intelligence Within the Cyber Assessment Framework (CAF) first appeared on Dragos. |
Threat Industrial | ★★★ | |
 |
2023-11-01 16:00:00 | Données chiffrées dans 75% des attaques de ransomwares contre les organisations de soins de santé Data Encrypted in 75% of Ransomware Attacks on Healthcare Organizations (lien direct) |
Des chercheurs de Sophos ont déclaré que l'augmentation des taux de réussite était en partie due aux acteurs de la menace accélérant leurs délais d'attaque
Sophos researchers said the increased success rates was partly due to threat actors speeding up their attack timelines |
Ransomware Threat | ★★ | |
|
2023-11-01 14:32:00 | Hackers nord-coréens ciblant les experts en crypto avec des logiciels malveillants de Kandy Korn North Korean Hackers Tageting Crypto Experts with KANDYKORN macOS Malware (lien direct) |
Des acteurs de menaces parrainés par l'État de la République de Corée (RPDC) du peuple démocrate ont été trouvés ciblant les ingénieurs de blockchain d'une plate-forme d'échange de crypto sans nom via Discord avec un nouveau malware macOS surnommé Kandykorn.
Elastic Security Labs a déclaré que l'activité, tracée en avril 2023, présente des chevauchements avec le tristement célèbre groupe collectif adversaire Lazare, citant une analyse de la
State-sponsored threat actors from the Democratic People\'s Republic of Korea (DPRK) have been found targeting blockchain engineers of an unnamed crypto exchange platform via Discord with a novel macOS malware dubbed KANDYKORN. Elastic Security Labs said the activity, traced back to April 2023, exhibits overlaps with the infamous adversarial collective Lazarus Group, citing an analysis of the |
Malware Threat | APT 38 APT 38 | ★★ |
 |
2023-11-01 14:00:00 | Il est bon marché d'exploiter les logiciels - et c'est un problème de sécurité majeur It\\'s Cheap to Exploit Software - and That\\'s a Major Security Problem (lien direct) |
La solution?Suivez les traces des entreprises qui ont augmenté le coût de l'exploitation.
The solution? Follow in the footsteps of companies that have raised the cost of exploitation. |
Threat | ★★ | |
 |
2023-11-01 12:12:32 | Arrêt de cybersécurité du mois: séquence d'attaque des menaces de crapaud Cybersecurity Stop of the Month: Attack Sequence of TOAD Threats (lien direct) |
This blog post is part of a monthly series exploring the ever-evolving tactics of today\'s cybercriminals. Cybersecurity Stop of the Month focuses on the critical first steps in the attack chain-reconnaissance and initial compromise-in the context of email threats. The series is designed to help you understand how to fortify your defenses to protect people and defend data against emerging threats in today\'s dynamic threat landscape. The first two steps of the attack chain: reconnaissance and initial compromise. So far in this series, we have covered the following types of attacks: Supplier compromise EvilProxy SocGholish eSignature phishing In this post, we look at a telephone-oriented attack delivery (TOAD) threat that Proofpoint detected during a recent threat assessment. We also cover the typical attack sequence of TOAD threats. And we take a deeper look into how the artificial intelligence (AI) and machine learning (ML) engines that Proofpoint uses can detect these threats. The scenario Social engineering tactics continue to evolve as bad actors look for more creative ways to gain initial access to sensitive systems. TOAD attacks are a testament to that, as attackers try to trick recipients into calling a phone number instead of clicking on URLs within or replying to email messages. TOAD moves the attack channel from an initial email to the telephone. Since additional protection for phone calls often doesn\'t exist, blocking these initial emails is crucial. But TOAD attacks don\'t often contain URLs or attachments, which makes them difficult to detect. Across all threat assessments in August 2023, Proofpoint detected over 19,000 TOAD threats behind 14 different email security solutions. Recently, we detected a TOAD attack at a manufacturing company with over 45,000 employees, which allowed us to break the attack chain. In this scenario, a bad actor had crafted a fraudulent message about a charge to the recipient\'s account for an antivirus subscription with a well-known brand. Instead of including URLs or attachments in the message, the attacker included a phone number. If the recipient called that number, the attacker could then direct the recipient back to their computer and guide them to click on a malicious URL. That could lead to various threats including remote access, exfiltration of sensitive data or the installation of ransomware. The threat: How did the attack happen? Here is a closer look at how the recent TOAD attack at the manufacturing company unfolded: The deceptive message: An email claimed to be an alert about an upcoming purchase from this well-known tech company. The original malicious email delivered to the recipient\'s inbox. TOAD attack sequence: When recipients call phone numbers included within TOAD threats, the bad actors will attempt to trick them into installing malicious software or exposing other sensitive data. Overview of a typical TOAD attack sequence for malware. Detection: How did Proofpoint detect the attack? TOAD threats can be challenging to detect since they rarely include malicious payloads. Adversaries often use well-known domains that belong to Google, Microsoft or other legitimate email services in TOAD attacks. Since the TOAD threat Proofpoint detected was sent from a Google-owned domain, the message passed email authentication checks like SPF (Sender Policy Framework) and DMARC. Both the passing of email authentication checks and the absence of a malicious payload might explain why the customer\'s existing security solution delivered the threat. Our behavioral AI engine uses multiple message-level signals that enable Proofpoint to detect and block sophisticated phishing attacks and text-based threats like business email compromise (BEC) and TOAD. By processing the language of the message, we deciphered language pertaining to a financial transaction. Our language analysis also detected urgency in that the transaction was slated to take place the same day as the email | Threat | ★★ | |
 |
2023-11-01 10:45:37 | L'alliance dirigée par les États-Unis de 40 pays s'unit à lutter contre la menace des ransomwares US-Led Alliance of 40 Countries Unites to Combat Ransomware Threat (lien direct) |
> Par waqas
Plus de rançon pour les cybercriminels!
Ceci est un article de HackRead.com Lire le message original: L'alliance dirigée par les États-Unis de 40 pays unit pour lutter contre la menace des ransomwares
>By Waqas No more ransom for cybercriminals! This is a post from HackRead.com Read the original post: US-Led Alliance of 40 Countries Unites to Combat Ransomware Threat |
Ransomware Threat | ★★ | |
|
2023-11-01 10:23:00 | Alerte: F5 prévient les attaques actives exploitant la vulnérabilité Big-IP Alert: F5 Warns of Active Attacks Exploiting BIG-IP Vulnerability (lien direct) |
La F5 met en garde contre les abus actifs d'une faille de sécurité critique dans BIG-IP moins d'une semaine après sa divulgation publique qui pourrait entraîner l'exécution des commandes du système arbitraire dans le cadre d'une chaîne d'exploitation.
Suivi en CVE-2023-46747 (score CVSS: 9.8), la vulnérabilité permet à un attaquant non authentifié avec un accès réseau au système Big-IP via le port de gestion pour réaliser l'exécution de code
F5 is warning of active abuse of a critical security flaw in BIG-IP less than a week after its public disclosure that could result in the execution of arbitrary system commands as part of an exploit chain. Tracked as CVE-2023-46747 (CVSS score: 9.8), the vulnerability allows an unauthenticated attacker with network access to the BIG-IP system through the management port to achieve code execution |
Vulnerability Threat | ★★ | |
|
2023-11-01 04:29:21 | AVERTISSEMENT contre les infections à l'infostaler lors de l'exécution de fichiers EXE légitimes (détournement de DLL) Warning Against Infostealer Infections Upon Executing Legitimate EXE Files (DLL Hijacking) (lien direct) |
La prudence est informée en tant qu'infostaler qui invite l'exécution de fichiers EXE légitimes est activement distribué.L'acteur de menace distribue un fichier EXE légitime avec une signature valide et une DLL malveillante compressée dans le même répertoire.Le fichier EXE lui-même est légitime, mais lorsqu'il est exécuté dans le même répertoire que la DLL malveillante, il exécute automatiquement cette DLL malveillante.Cette technique est appelée détournement de DLL et est souvent utilisée dans la distribution des logiciels malveillants.La distribution ...
Caution is advised as an Infostealer that prompts the execution of legitimate EXE files is actively being distributed. The threat actor is distributing a legitimate EXE file with a valid signature and a malicious DLL compressed in the same directory. The EXE file itself is legitimate, but when executed in the same directory as the malicious DLL, it automatically runs that malicious DLL. This technique is called DLL hijacking and is often used in the distribution of malware. The distribution... |
Threat | ★★ | |
|
2023-11-01 01:45:57 | Avertissement contre les documents HWP intégrés avec des objets OLE malveillants Warning Against HWP Documents Embedded with Malicious OLE Objects (lien direct) |
Ahnlab Security Emergency Response Center (ASEC) a trouvé des documents HWP qui étaient intégrés à des objets OLE, ciblant les individus dansdes secteurs spécifiques tels que la défense nationale et la presse.Le malware est présumé être distribué principalement via des URL de téléchargement ou des pièces jointes dans les e-mails.Les noms de dossiers des documents distribués sont pertinents pour les domaines de la défense nationale, de l'unification, de l'éducation et de la radiodiffusion, ce qui suggère que le malware cible les professionnels impliqués dans ces domaines.Les documents HWP analysés dans ce post en grande partie ...
AhnLab Security Emergency response Center (ASEC) found HWP documents that were embedded with OLE objects, targeting individuals in specific sectors such as the national defense and the press. The malware is presumed to be distributed mainly through download URLs or attachments in emails. The file names of the distributed documents are relevant to the areas of national defense, unification, education, and broadcasting, suggesting that the malware targets professionals involved in these areas. The HWP documents analyzed in this post largely... |
Malware Threat | ★★★ | |
 |
2023-10-31 20:56:15 | Arid Viper déguiser les logiciels espions mobiles comme mises à jour pour les applications Android non malveillantes Arid Viper Disguising Mobile Spyware as Updates for Non-Malicious Android Applications (lien direct) |
#### Description
Depuis avril 2022, Cisco Talos suit une campagne malveillante exploitée par le groupe de menace persistante (APT) de vipère avancée (APT), de menace persistante avancée (APT), ciblant les utilisateurs Android arabes.Dans cette campagne, les acteurs exploitent des logiciels malveillants mobiles personnalisés, également appelés fichiers de packages Android (APK), pour collecter des informations sensibles à partir de cibles et déployer des logiciels malveillants supplémentaires sur des appareils infectés.
Le logiciel malveillant mobile utilisé dans cette campagne partage des similitudes avec une application de rencontres en ligne non malveillante, appelée sautée.Le malware utilise spécifiquement un nom similaire et le même projet partagé sur la plate-forme de développement Applications \\ '.Ce chevauchement suggère que les opérateurs de vipères arides sont liés au développeur de \\ sauté ou en quelque sorte acquis un accès illicite à la base de données du projet partagé.L'analyse de Cisco \\ a découvert un éventail d'applications de rencontres simulées liées aux sauts, nous amenant à évaluer que les opérateurs Arid Viper peuvent chercher à tirer parti de ces applications supplémentaires dans de futures campagnes malveillantes.Afin de contraindre les utilisateurs à télécharger leurs logiciels malveillants mobiles, les opérateurs Arid Viper partagent des liens malveillants se faisant passer pour des mises à jour des applications de rencontres, qui fournissent plutôt des logiciels malveillants à l'appareil de l'utilisateur \\.
Android malware d'Arid Viper \\ a un certain nombre de fonctionnalités qui permettent aux opérateurs de désactiver les notifications de sécurité, de collecter des informations sensibles aux utilisateurs et de déployer des applications malveillantes supplémentaires sur l'appareil compromis.
#### URL de référence (s)
1. https://blog.talosintelligence.com/arid-viper-mobile-spyware/
#### Date de publication
31 octobre 2023
#### Auteurs)
Cisco Talos
#### Description Since April 2022, Cisco Talos has been tracking a malicious campaign operated by the espionage-motivated Arid Viper advanced persistent threat (APT) group targeting Arabic-speaking Android users. In this campaign, the actors leverage custom mobile malware, also known as Android Package files (APKs), to collect sensitive information from targets and deploy additional malware onto infected devices. The mobile malware used in this campaign shares similarities with a non-malicious online dating application, referred to as Skipped. The malware specifically uses a similar name and the same shared project on the applications\' development platform. This overlap suggests the Arid Viper operators are either linked to Skipped\'s developer or somehow gained illicit access to the shared project\'s database. Cisco\'s analysis uncovered an array of simulated dating applications that are linked to Skipped, leading us to assess that Arid Viper operators may seek to leverage these additional applications in future malicious campaigns. In order to coerce users into downloading their mobile malware, Arid Viper operators share malicious links masquerading as updates to the dating applications, that instead deliver malware to the user\'s device. Arid Viper\'s Android malware has a number of features that enable the operators to disable security notifications, collect users\' sensitive information, and deploy additional malicious applications on the compromised device. #### Reference URL(s) 1. https://blog.talosintelligence.com/arid-viper-mobile-spyware/ #### Publication Date October 31, 2023 #### Author(s) Cisco Talos |
Malware Threat | APT-C-23 APT-C-23 | ★★★ |
|
2023-10-31 19:46:00 | Arid Viper ciblant les utilisateurs d'Android arabe avec des logiciels espions déguisés en application de rencontres Arid Viper Targeting Arabic Android Users with Spyware Disguised as Dating App (lien direct) |
L'acteur de menace connu sous le nom d'Arid Viper (AKA APT-C-23, Desert Falcon ou TAG-63) a été attribué comme derrière une campagne de logiciels spymétrique Android ciblant les utilisateurs arabophones avec une application de datation contrefaite conçue pour récolter les données des combinets infectés.
"Arid Viper \'s Android Malware possède un certain nombre de fonctionnalités qui permettent aux opérateurs de collecter subrepticement des informations sensibles auprès des victimes \\ '
The threat actor known as Arid Viper (aka APT-C-23, Desert Falcon, or TAG-63) has been attributed as behind an Android spyware campaign targeting Arabic-speaking users with a counterfeit dating app designed to harvest data from infected handsets. "Arid Viper\'s Android malware has a number of features that enable the operators to surreptitiously collect sensitive information from victims\' devices |
Malware Threat | APT-C-23 APT-C-23 | ★★ |
 |
2023-10-31 19:30:00 | Des pirates iraniens ont attrapé l'espionnage des gouvernements et des militaires au Moyen-Orient Iranian hackers caught spying on governments and military in Middle East (lien direct) |
Un acteur iranien de la menace nationale cible des organisations de haut niveau au Moyen-Orient dans une campagne d'espionnage en cours, selon un nouveau rapport.Suivi en tant que Manticore marqué, le groupe cible principalement les secteurs du gouvernement, des militaires et des télécommunications en Arabie saoudite, aux Émirats arabes unis, en Jordanie, au Koweït, à Oman, en Irak et en Israël.Ces dernières années, Manticore marqué a
An Iranian nation-state threat actor is targeting high-profile organizations in the Middle East in an ongoing espionage campaign, according to a new report. Tracked as Scarred Manticore, the group primarily targets government, military, and telecom sectors in Saudi Arabia, the United Arab Emirates, Jordan, Kuwait, Oman, Iraq, and Israel. In recent years, Scarred Manticore has |
Threat | APT 34 | ★★ |
|
2023-10-31 19:25:00 | Les États-Unis mènent une alliance de 40 pays pour couper les paiements des ransomwares US Leads 40-Country Alliance to Cut Off Ransomware Payments (lien direct) |
Les parties de l'initiative internationale contre les ransomwares ont l'intention d'utiliser des outils de partage d'informations et une IA pour atteindre leurs objectifs de coupe des ressources financières des acteurs de la menace.
The parties within the International Counter Ransomware Initiative intend to use information-sharing tools and AI to achieve their goals of cutting off the financial resources of threat actors. |
Ransomware Tool Threat | ★★ | |
|
2023-10-31 18:15:00 | FBI \\ 'Garder un œil de près \\' sur les pirates iraniens alors que la guerre Israel-Hamas s'intensifie FBI \\'keeping a close eye\\' on Iranian hackers as Israel-Hamas war intensifies (lien direct) |
Les attaques numériques contre les États-Unis par l'Iran et les acteurs non étatiques pourraient s'aggraver si le conflit entre Israël et le Hamas grandissait, a averti mardi le directeur du FBI Christopher Wray.Le «ciblage cyber des intérêts américains et les infrastructures critiques que nous voyons déjà menées par les acteurs iraniens et non étatiques, nous pouvons nous attendre à empirer si le
Digital attacks against the U.S. by Iran and non-state actors could worsen if the conflict between Israel and Hamas grows, FBI Director Christopher Wray warned on Tuesday. The “cyber targeting of American interests and critical infrastructure that we already see conducted by Iran and non-state actors alike, we can expect to get worse if the |
Threat | ★★★ | |
|
2023-10-31 16:25:00 | Version logicielle PyCharm Trojanisée livrée via des annonces de recherche Google Trojanized PyCharm Software Version Delivered via Google Search Ads (lien direct) |
Une nouvelle campagne de malvertising a été observée en capitalisant sur un site Web compromis pour promouvoir des versions parasites de PyCharm sur les résultats de recherche Google en tirant parti des annonces de recherche dynamique.
"À l'insu du propriétaire du site, l'une de leurs annonces a été automatiquement créée pour promouvoir un programme populaire pour les développeurs Python, et visible pour les personnes qui font une recherche Google", J & Eacute; R & OCIRC; Me Segura, directeur de la menace
A new malvertising campaign has been observed capitalizing on a compromised website to promote spurious versions of PyCharm on Google search results by leveraging Dynamic Search Ads. "Unbeknownst to the site owner, one of their ads was automatically created to promote a popular program for Python developers, and visible to people doing a Google search for it," Jérôme Segura, director of threat |
Threat Threat | ★★★ | |
|
2023-10-31 16:15:10 | CVE-2023-46256 (lien direct) | PX4-Autopilot fournit une solution de commande de vol PX4 pour les drones.Dans les versions 1.14.0-RC1 et Prior, Px4-Autopilot a une vulnérabilité de débordement de tampon de tas dans la fonction d'analyseur en raison de l'absence de vérification de la valeur `Parserbuf_index`.Un dysfonctionnement du dispositif du capteur peut provoquer un débordement de tampon de tas avec un comportement de drone inattendu principal.Les applications malveillantes peuvent exploiter la vulnérabilité même si le dysfonctionnement du capteur de dispositif ne se produit pas.Jusqu'à la valeur maximale d'un `INT 'non signé, les données de taille des octets peuvent être écrites dans la zone de mémoire du tas.Au moment de la publication, aucune version fixe n'est disponible.
PX4-Autopilot provides PX4 flight control solution for drones. In versions 1.14.0-rc1 and prior, PX4-Autopilot has a heap buffer overflow vulnerability in the parser function due to the absence of `parserbuf_index` value checking. A malfunction of the sensor device can cause a heap buffer overflow with leading unexpected drone behavior. Malicious applications can exploit the vulnerability even if device sensor malfunction does not occur. Up to the maximum value of an `unsigned int`, bytes sized data can be written to the heap memory area. As of time of publication, no fixed version is available. |
Vulnerability Threat | ||
|
2023-10-31 16:15:09 | CVE-2023-46248 (lien direct) | Cody est un assistant de codage de l'intelligence artificielle (AI).Les versions d'extension CODY AI VSCODE 0,10.0 à 0,14.0 sont vulnérables à l'exécution du code distant dans certaines conditions.Un attaquant en contrôle d'un référentiel malveillant pourrait modifier le fichier de configuration CODY `.vscode / cody.json` et écraser les commandes Cody.Si un utilisateur avec l'extension installée ouvre ce référentiel malveillant et exécute une commande CODY telle que / explique ou / doc, cela pourrait permettre une exécution de code arbitraire sur la machine de l'utilisateur \\.La vulnérabilité est considérée comme une gravité critique, mais avec une faible exploitabilité.Il oblige l'utilisateur à avoir un référentiel malveillant chargé et à exécuter la commande écrasée dans le code vs.Le problème est exploitable, quelle que soit l'exécution de code de blocage de l'utilisateur sur un référentiel via VS Code Workspace Trust.Le problème a été trouvé lors d'un test de pénétration régulier du tiers.Les responsables de Cody ne présentent pas de preuves de référentiels open source ayant des fichiers malveillants `.vscode / cody.json` pour exploiter cette vulnérabilité.Le problème est résolu dans la version 0.14.1 de l'extension CODY VSCODE.Dans le cas où les utilisateurs ne peuvent pas mettre à niveau rapidement, ils ne devraient pas ouvrir aucun référentiel non fiable avec l'extension CODY chargée.
Cody is an artificial intelligence (AI) coding assistant. The Cody AI VSCode extension versions 0.10.0 through 0.14.0 are vulnerable to Remote Code Execution under certain conditions. An attacker in control of a malicious repository could modify the Cody configuration file `.vscode/cody.json` and overwrite Cody commands. If a user with the extension installed opens this malicious repository and runs a Cody command such as /explain or /doc, this could allow arbitrary code execution on the user\'s machine. The vulnerability is rated as critical severity, but with low exploitability. It requires the user to have a malicious repository loaded and execute the overwritten command in VS Code. The issue is exploitable regardless of the user blocking code execution on a repository through VS Code Workspace Trust. The issue was found during a regular 3rd party penetration test. The maintainers of Cody do not have evidence of open source repositories having malicious `.vscode/cody.json` files to exploit this vulnerability. The issue is fixed in version 0.14.1 of the Cody VSCode extension. In case users can\'t promptly upgrade, they should not open any untrusted repositories with the Cody extension loaded. |
Vulnerability Threat | ||
|
2023-10-31 12:15:08 | CVE-2022-3007 (lien direct) | ** UNSUPPPORTED WHEN ASSIGNED ** The vulnerability exists in Syska SW100 Smartwatch due to an improper implementation and/or configuration of Nordic Device Firmware Update (DFU) which is used for performing Over-The-Air (OTA) firmware updates on the Bluetooth LowDispositifs d'énergie (BLE).Un attaquant non authentifié pourrait exploiter cette vulnérabilité en définissant des valeurs arbitraires à gérer sur l'appareil vulnérable sur Bluetooth.
L'exploitation réussie de cette vulnérabilité pourrait permettre à l'attaquant d'effectuer une mise à jour du micrologiciel, un redémarrage de l'appareil ou une manipulation de données sur le périphérique cible.
** UNSUPPPORTED WHEN ASSIGNED ** The vulnerability exists in Syska SW100 Smartwatch due to an improper implementation and/or configuration of Nordic Device Firmware Update (DFU) which is used for performing Over-The-Air (OTA) firmware updates on the Bluetooth Low Energy (BLE) devices. An unauthenticated attacker could exploit this vulnerability by setting arbitrary values to handle on the vulnerable device over Bluetooth. Successful exploitation of this vulnerability could allow the attacker to perform firmware update, device reboot or data manipulation on the target device. |
Vulnerability Threat | ||
 |
2023-10-31 11:03:37 | L'avenir de la guerre des drones The Future of Drone Warfare (lien direct) |
L'Ukraine est en utilisant 400 $ pour détruire les réservoirs:
Face à un ennemi avec un nombre supérieur de troupes et d'armure, les défenseurs ukrainiens tiennent l'aide de minuscules drones volés par des opérateurs comme FIRSOV qui, pour quelques centaines de dollars, peuvent offrir une charge explosive capable de détruireun réservoir russe d'une valeur de plus de 2 millions de dollars.
[& # 8230;]
Un FPV typique pèse jusqu'à un kilogramme, a quatre petits moteurs, une batterie, un cadre et une caméra connectée sans fil aux lunettes portées par un pilote qui le fonctionnant à distance.Il peut transporter jusqu'à 2,5 kilogrammes d'explosifs et atteindre une cible à une vitesse allant jusqu'à 150 kilomètres par heure, explique Pavlo Tsybenko, directeur par intérim de la Dronarium Military Academy à l'extérieur de Kiev ...
Ukraine is using $400 drones to destroy tanks: Facing an enemy with superior numbers of troops and armor, the Ukrainian defenders are holding on with the help of tiny drones flown by operators like Firsov that, for a few hundred dollars, can deliver an explosive charge capable of destroying a Russian tank worth more than $2 million. […] A typical FPV weighs up to one kilogram, has four small engines, a battery, a frame and a camera connected wirelessly to goggles worn by a pilot operating it remotely. It can carry up to 2.5 kilograms of explosives and strike a target at a speed of up to 150 kilometers per hour, explains Pavlo Tsybenko, acting director of the Dronarium military academy outside Kyiv... |
Threat | ★★★ | |
 |
2023-10-31 10:56:45 | Déstaurer la saga Manticore marquée: une épopée fascinante d'espionnage à enjeux élevés qui se déroule au cœur du Moyen-Orient Unraveling the Scarred Manticore Saga: A Riveting Epic of High-Stakes Espionage Unfolding in the Heart of the Middle East (lien direct) |
> Faits saillants: 1. Intrudeurs silencieux: Manticore marqué, un groupe de cyber-menaces iranien lié à Mois (Ministère des renseignements & # 38; Security), gère tranquillement une opération d'espionnage sophistiquée furtive au Moyen-Orient.En utilisant leur dernier cadre d'outils de logiciels malveillants, Liontail, ils volent sous le radar depuis plus d'un an.2. Secteurs ciblés: La campagne se concentre sur les grands joueurs-gouvernement, militaire, télécommunications, informatique, finance et ONG au Moyen-Orient.Manticore marqué est une question de données systématiquement en train de saisir des données, montrant leur engagement envers les cibles de grande valeur.3. Évolution des tactiques: le livre de jeu de Manticore Scarre est passé des attaques de base de shell sur les serveurs Windows à [& # 8230;]
>Highlights: 1. Silent Intruders: Scarred Manticore, an Iranian cyber threat group linked to MOIS (Ministry of Intelligence & Security), is quietly running a stealthy sophisticated spying operation in the Middle East. Using their latest malware tools framework, LIONTAIL, they have been flying under the radar for over a year. 2. Targeted Sectors: The campaign focuses on big players-government, military, telecom, IT, finance, and NGOs in the Middle East. Scarred Manticore is all about systematically nabbing data, showing their commitment to high-value targets. 3. Evolution of Tactics: Scarred Manticore’s playbook has evolved from basic web shell attacks on Windows Servers to […] |
Malware Tool Threat | APT 34 | ★★ |
|
2023-10-31 10:56:34 | De l'Albanie au Moyen-Orient: le mantecore marqué écoute From Albania to the Middle East: The Scarred Manticore is Listening (lien direct) |
> Résultats clés Introduction Les recherches sur les points de contrôle, en collaboration avec l'équipe de réponse aux incidents de Sygnia \\, ont suivi et répondu aux activités de & # 160; marqué Manticore, un acteur iranien de la menace nationale qui cible principalement le gouvernement etsecteurs de télécommunications au Moyen-Orient.Manticore marqué, lié au prolifique acteur iranien Oilrig (alias APT34, Europium, Hazel Sandstorm), a constamment poursuivi [& # 8230;]
>Key Findings Introduction Check Point Research, in collaboration with Sygnia\'s Incident Response Team, has been tracking and responding to the activities of Scarred Manticore, an Iranian nation-state threat actor that primarily targets government and telecommunication sectors in the Middle East. Scarred Manticore, linked to the prolific Iranian actor OilRig (a.k.a APT34, EUROPIUM, Hazel Sandstorm), has persistently pursued […] |
Threat | APT 34 APT 34 | ★★★ |
 |
2023-10-30 23:09:43 | Exploit publié pour Critical Cisco iOS XE Flaw, de nombreux hôtes sont toujours piratés Exploit released for critical Cisco IOS XE flaw, many hosts still hacked (lien direct) |
Le code d'exploitation public est désormais disponible pour la vulnérabilité critique Cisco IOS XE suivie sous le nom de CVE-2023-20198 qui a été exploitée comme un jour zéro pour pirater des dizaines de milliers d'appareils.[...]
Public exploit code is now available for the critical Cisco IOS XE vulnerability tracked as CVE-2023-20198 that was leveraged as a zero-day to hack tens of thousands of devices. [...] |
Hack Vulnerability Threat | ★★★ | |
|
2023-10-30 22:08:00 | Google Dynamic Search Ads a abusé pour libérer les logiciels malveillants \\ 'déluge \\' Google Dynamic Search Ads Abused to Unleash Malware \\'Deluge\\' (lien direct) |
Une fonctionnalité avancée des annonces ciblées Google peut permettre un inondation rarement précédente d'infections de logiciels malveillants, rendant les machines complètement inutiles.
An advanced feature of Google targeted ads can allow a rarely precedented flood of malware infections, rendering machines completely useless. |
Malware Threat | ★★ | |
|
2023-10-30 17:39:00 | Nouveau webinaire: 5 tendances incontournables impactant AppSec New Webinar: 5 Must-Know Trends Impacting AppSec (lien direct) |
Le développement d'applications Web moderne repose sur l'infrastructure cloud et la conteneurisation.Ces technologies évoluent à la demande, gérant des millions de transferts de fichiers quotidiens & # 8211;Il est presque impossible d'imaginer un monde sans eux.Cependant, ils introduisent également plusieurs vecteurs d'attaque qui exploitent les téléchargements de fichiers lorsqu'ils travaillent avec des nuages publics, des vulnérabilités dans des conteneurs hébergeant des applications Web et de nombreuses autres
Modern web app development relies on cloud infrastructure and containerization. These technologies scale on demand, handling millions of daily file transfers – it\'s almost impossible to imagine a world without them. However, they also introduce multiple attack vectors that exploit file uploads when working with public clouds, vulnerabilities in containers hosting web applications, and many other |
Vulnerability Threat Cloud | ★★ | |
|
2023-10-30 17:36:34 | Évolution de la cyber dynamique au milieu du conflit Israël-Hamas Evolving Cyber Dynamics Amidst the Israel-Hamas Conflict (lien direct) |
> Faits saillants: les cyber militants pro-palestiniens ont élargi leur portée au-delà d'Israël, ciblant les pays perçus comme des alliés israéliens dans la guerre contre le Hamas.Les cyber-opérations servent principalement de tactiques d'information et de représailles, avec des dommages limités limités.La sélection de la cible est influencée par les domaines d'intervention précédemment établis de ces groupes et l'évolution des événements géopolitiques.& # 160;Alors que la guerre entre Israël et le Hamas, nommée «Iron Swords», a commencé le matin du 7 octobre, il a également marqué le début des cyber-engagements intensifiés de divers acteurs de menace.Dans notre analyse antérieure, qui a exploré les cyber-incidents en relation avec la guerre israélo-hamas, nous avons principalement examiné les attaques [& # 8230;]
>Highlights: Pro-Palestinian cyber activists have broadened their scope beyond Israel, targeting countries perceived as Israeli allies in the war against Hamas. The cyber operations mainly serve as informational and retaliatory tactics, with limited reported damage. Target selection is influenced by previously established focus areas of these groups and evolving geopolitical events. As the war between Israel and Hamas, named “Iron Swords,” commenced on the morning of October 7, it also marked the beginning of intensified cyber engagements from various threat actors. In our prior analysis, which explored cyber incidents in connection with the Israeli-Hamas war, we primarily examined attacks […] |
Threat | ★★ | |
|
2023-10-30 17:17:00 | Exposition aux données de ServiceNow: un réveil pour les entreprises ServiceNow Data Exposure: A Wake-Up Call for Companies (lien direct) |
Plus tôt cette semaine, ServiceNow a annoncé sur son site d'assistance que des erreurs de condamnation dans la plate-forme pourraient entraîner un «accès involontaire» aux données sensibles.Pour les organisations qui utilisent ServiceNow, cette exposition à la sécurité est une préoccupation essentielle qui aurait pu entraîner une fuite de données majeure des données sensibles des entreprises.ServiceNow a depuis pris des mesures pour résoudre ce problème.
Cet article analyse entièrement
Earlier this week, ServiceNow announced on its support site that misconfigurations within the platform could result in “unintended access” to sensitive data. For organizations that use ServiceNow, this security exposure is a critical concern that could have resulted in major data leakage of sensitive corporate data. ServiceNow has since taken steps to fix this issue. This article fully analyzes |
Threat | ★★★ | |
|
2023-10-30 17:15:52 | CVE-2023-21367 (lien direct) | Dans Scudo, il existe un moyen possible d'exploiter certains problèmes de lecture / écriture de tas en raison d'une implémentation / conception non sécurisée.Cela pourrait entraîner une divulgation d'informations locales sans aucun privilège d'exécution supplémentaire nécessaire.L'interaction utilisateur n'est pas nécessaire pour l'exploitation.
In Scudo, there is a possible way to exploit certain heap OOB read/write issues due to an insecure implementation/design. This could lead to local information disclosure with no additional execution privileges needed. User interaction is not needed for exploitation. |
Threat | ||
|
2023-10-30 16:26:00 | Elektra-Leak Cryptojacking Attacks Exploit AWS IAM Identifiés exposés sur Github EleKtra-Leak Cryptojacking Attacks Exploit AWS IAM Credentials Exposed on GitHub (lien direct) |
Une nouvelle campagne en cours surnommée Elektra-Leak a posé des yeux sur les informations d'identité d'identité et d'accès à la gestion de l'accès (IAM) exposées au sein des référentiels GitHub publics pour faciliter les activités de crypto-backage.
"À la suite de cela, l'acteur de menace associé à la campagne a pu créer plusieurs instances de calcul élastique AWS (EC2) qu'ils ont utilisées pour la grandeur
A new ongoing campaign dubbed EleKtra-Leak has set its eyes on exposed Amazon Web Service (AWS) identity and access management (IAM) credentials within public GitHub repositories to facilitate cryptojacking activities. "As a result of this, the threat actor associated with the campaign was able to create multiple AWS Elastic Compute (EC2) instances that they used for wide-ranging and |
Threat | ★★ | |
 |
2023-10-30 15:16:31 | Surface d\'attaque : comprendre les différences entre EASM, CAASM et DRPS (lien direct) | Comment protéger efficacement un système informatique contre les menaces ? Il est essentiel de comprendre les différentes composantes de la surface d'attaque dont l'EASM, le CAASM et le DRPS. Explication !... | Threat | ★★★ | |
 |
2023-10-30 15:12:49 | Une augmentation exponentielle de 1265% des e-mails de phishing retracés aux outils d'IA Exponential 1265% Surge in Phishing Emails Traced to AI Tools (lien direct) |
La nouvelle normale: une augmentation de 1265% des e-mails de phishing Le paysage des menaces a subi un changement sismique au cours de la dernière année, et un nouveau rapport [plus ...]
The New Normal: A 1265% Increase in Phishing Emails The threat landscape has undergone a seismic shift over the past year, and a new report [more...] |
Tool Threat | ★ | |
 |
2023-10-30 13:34:37 | Cybersécurité : les entreprises doivent encadrer l\'utilisation de l\'IA générative (lien direct) | Cybersécurité : les entreprises doivent encadrer l'utilisation de l'IA générative Ray Canzanese, Threat Research Director du Threat Labs de Netskope - Points de Vue | Threat | ★★ | |
|
2023-10-30 12:16:00 | Urgent: Nouveaux défauts de sécurité découverts dans le contrôleur nginx entrée pour Kubernetes Urgent: New Security Flaws Discovered in NGINX Ingress Controller for Kubernetes (lien direct) |
Trois défauts de sécurité à haute sévérité non corrigées ont été divulgués dans le contrôleur d'entrée de Nginx pour Kubernetes qui pourrait être armé par un acteur de menace pour voler des titres de compétences secrètes du cluster.
Les vulnérabilités sont les suivantes -
CVE-2022-4886 (score CVSS: 8.8) - La désinfection du chemin Ingress-Nginx peut être contournée pour obtenir les informations d'identification du contrôleur Ingress-Nginx
CVE-2023-5043 (
Three unpatched high-severity security flaws have been disclosed in the NGINX Ingress controller for Kubernetes that could be weaponized by a threat actor to steal secret credentials from the cluster. The vulnerabilities are as follows - CVE-2022-4886 (CVSS score: 8.8) - Ingress-nginx path sanitization can be bypassed to obtain the credentials of the ingress-nginx controller CVE-2023-5043 ( |
Vulnerability Threat | Uber | ★★★ |
|
2023-10-30 11:51:07 | Nord-coréen \\ 'lazarus \\' hackers and it Company \\'s billion-won ransomware bater North Korean \\'Lazarus\\' Hackers and IT Company\\'s Billion-Won Ransomware Heist (lien direct) |
Le récent dévoilement d'une alliance sinistre entre une entreprise informatique et des pirates nord-coréens, il est évident que le paysage cyber-menace a pris un [Plus ...]
The recent unveiling of a sinister alliance between an IT company and North Korean hackers, it’s evident that the cyber threat landscape has taken a [more...] |
Ransomware Threat | APT 38 | ★★★ |
 |
2023-10-30 10:00:00 | Soins de santé & # 8211;Naviguer sur votre chemin vers le bien-être du bien-être Healthcare – Navigating your path to cyber wellness (lien direct) |
The healthcare industry is progressing towards a more mature cybersecurity posture. However, given it remains a popular attack target, more attention is needed. Results from The Cost of a Data Breach Report 2023 reported that healthcare has had the highest industry cost of breach for 13 consecutive years, to the tune of $10.93M. In 2022, the top 35 global security breaches exposed 1.2 billion records, and 34% of those attacks hit the public sector and healthcare organizations.
Regulators have responded by requiring more guidance to the healthcare industry. The Cybersecurity Act of 2015 (CSA), Section 405(d), Aligning Health Care Industry Security Approaches, is the government’s response to increase collaboration on healthcare industry security practices. Lead by HHS, the 405(d) Program\'s mission is to provide resources and tools to educate, drive behavioral change, and provide cybersecurity best practices to strengthen the industry\'s cybersecurity posture.
Additionally, Section 13412 of the HITECH Act was amended in January 2022 that requires that HHS take "Recognized Security Practices" into account in specific HIPAA Security Rule enforcement and audit activities when a HIPAA-regulated entity is able to demonstrate Recognized Security Practices have been in place continuously for the 12 months prior to a security incident. This voluntary program is not a safe harbor, but could help mitigate fines and agreement remedies and reduce the time and extent for audits.
The Recognized Security Practices
Recognized Security Practices are standards, guidelines, best practices, methodologies, procedures, and processes developed under:
The National Institute of Standards and Technology (NIST) Cybersecurity Framework
Section 405(d) of the Cybersecurity Act of 2015, or
Other programs that address cybersecurity that are explicitly recognized by statute or regulation
It is apparent that healthcare organizations are being guided and even incentivized to follow a programmatic approach to cybersecurity and adopt a recognized framework.
How can a cybersecurity framework help?
By creating a common language: Adopting a cybersecurity framework and developing a strategy to implement it allows key stakeholders to start speaking a common language to address and manage cybersecurity risks. The strategy will align business, IT, and security objectives. The framework is leveraged as a mechanism in which to implement the cybersecurity strategy across the organization, which will be monitored, progress and budget reported upon to senior leaders and the board, communication, and synergies with control owners and staff. Individual users and senior executives will start to speak a common cybersecurity language, which is the first step to creating a cyber risk-aware culture.
By sustaining compliance: Adherence to a cybersecurity framework ensures that healthcare organizations comply with relevant regulations and industry standards, such as HIPAA. Compliance can help organizations avoid legal penalties, financial losses, and reputational damage.
By improving cybersecurity risk management practices: The core of implementing cybersecurity risk management is understanding the most valuable assets to the organization so that appropriate safeguards can be implemented based upon the threats. A key challenge to the healthcare industry\'s cybersecurity posture is knowing what data needs to be protected and where that data is. Accepted frameworks are built on sound risk management principles.
By increasing resilience: Cyberattacks can disrupt critical he |
Data Breach Tool Threat Medical | ★★ | |
|
2023-10-30 09:52:25 | 30 octobre & # 8211;Rapport de renseignement sur les menaces 30th October – Threat Intelligence Report (lien direct) |
> Pour les dernières découvertes de cyber-recherche pour la semaine du 30 octobre, veuillez télécharger notre bulletin menace_intelligence.Les meilleures attaques et violations de l'Université de Stanford ont été victimes de cyberattaques qui ont affecté les systèmes de son Département de la sécurité publique (SUDPS).Akira Ransomware Gang a revendiqué la responsabilité de l'attaque, qui aurait entraîné l'exposition [& # 8230;]
>For the latest discoveries in cyber research for the week of 30th October, please download our Threat_Intelligence Bulletin. TOP ATTACKS AND BREACHES Stanford University has been a victim of cyber-attack that affected the systems of its Department of Public Safety (SUDPS). Akira ransomware gang claimed responsibility for the attack, which allegedly resulted in the exposure […] |
Ransomware Threat | ★★ | |
|
2023-10-30 07:40:00 | Mémoire de sécurité: TA571 fournit un chargeur à fourche icedid Security Brief: TA571 Delivers IcedID Forked Loader (lien direct) |
Ce qui s'est passé Les chercheurs de Proofpoint ont identifié TA571 livrant la variante fourchue de l'IceDID dans deux campagnes les 11 et 18 octobre 2023. Les deux campagnes comprenaient plus de 6 000 messages, chacun plus de 1 200 clients dans une variété d'industries dans le monde. Les e-mails dans les campagnes prétendaient être des réponses aux threads existants.Ceci est connu sous le nom de détournement de fil.Les e-mails contenaient 404 URL TDS liant au téléchargement d'une archive zip protégée par mot de passe avec le mot de passe répertorié dans l'e-mail.La chaîne d'attaque comprenait une série de contrôles pour valider le destinataire avant de livrer les archives zip. TA571 LURE Utilisé dans une campagne Icedid le 11 octobre 2023. Le fichier zip contenait un script VBS et un fichier texte bénin.Le script VBS, s'il est double de l'utilisateur, exécuté un chargeur fourchu icedid intégré à regsvr32.Le chargeur a à son tour téléchargé le bot icedid. L'utilisation de la variante iceide fourchue est inhabituelle, car elle n'a été observée que dans un petit nombre de campagnes.ProofPoint a d'abord identifié cette variante en février 2023. Une différence clé entre la variante iceide d'origine et la variante fourchue était l'élimination de la fonctionnalité bancaire.À l'époque, les acteurs évalués par Proofpoint utilisaient les variantes modifiées pour pivoter les logiciels malveillants loin de l'activité de Troie bancaire et de la fraude bancaire typique pour se concentrer sur la livraison de la charge utile, ce qui comprend probablement la hiérarchisation des ransomwares. TA571 utilise régulièrement 404 TD dans des campagnes pour fournir des logiciels malveillants, notamment Asyncrat, Netsupport et Darkgate.Les chercheurs de ProofPoint suivent 404 TDS depuis au moins septembre 2022, et il est utilisé par un certain nombre d'acteurs de menace.Un système de distribution de trafic (TDS) est une application utilisée pour acheminer le trafic Web via des serveurs contrôlés par l'opérateur.Ils peuvent être utilisés par les acteurs de la menace pour rediriger le trafic vers des téléchargements de logiciels malveillants et utiliser le filtrage IP pour déterminer s'il faut livrer une charge utile ou rediriger vers un site Web de récolte d'identification.ProofPoint évalue 404 TDS est probablement partagé ou vendu à d'autres acteurs en raison de son implication dans une variété de campagnes de phishing et de logiciels malveillantes sans rapport. Attribution TA571 est un distributeur de spam, et cet acteur envoie des campagnes de courriel de spam à volume élevé pour livrer et installer un logiciel malveillant variété pour leurs clients cybercriminaux, selon les objectifs de l'opérateur ultérieur.ProofPoint évalue avec une grande confiance que les infections à TA571 peuvent conduire à des ransomwares. Pourquoi est-ce important La livraison de Ta571 \\ de la variante iceide fourchue est unique car le point de preuve ne les observe pas souvent dans les données de menace.De plus, Proofpoint considère TA571 comme un acteur sophistiqué de menace cybercriminale.Sa chaîne d'attaque comprend un filtrage unique utilisant des «portes» intermédiaires pour que le trafic passe.Ces portes, qui sont des URL intermédiaires, filtrent le trafic basé sur la propriété intellectuelle et la géo-clôture.TA571 peut avoir jusqu'à deux portes par campagne.Il s'agit de garantir que seuls les utilisateurs spécifiquement ciblés reçoivent les logiciels malveillants et contourner l'activité automatisée de sable ou le chercheur. Signatures des menaces émergentes 2853110 - ETPRO EXPLOIT_KIT 404 TDS Redirect 2032086 - ET Trojan Win32 / Cookie de demande IceDide 2847335 - ETPRO TROJAN WIN32 / IceDID Stage2 Checkin 2032086 - ET Trojan Win32 / Cookie de demande IceDideIndicateurs de compromis Indicateur Description D'abord observé 6C6A68DA31204CFE93EE86CD85CF668A20259220AD44341B3915396E263E4F86 Exemple de charge utile SHA256 Hlsv1249_5361051.zip | Ransomware Spam Malware Threat | ★★★ | |
|
2023-10-30 04:18:29 | Avertissement contre les vulnérabilités de Cisco IOS XE Software Web (CVE-2023-20198, CVE-2023-20273) Warning Against Cisco IOS XE Software Web UI Vulnerabilities (CVE-2023-20198, CVE-2023-20273) (lien direct) |
aperçu ce mois-ci, Cisco a publié un avis de sécurité concernant deux vulnérabilités actuellement exploitées activement dans les attaques réelles: CVE CVE-2023-20198 et CVE-2023-20273.Ces vulnérabilités sont présentes dans la fonction d'interface utilisateur Web du logiciel Cisco iOS XE.La vulnérabilité CVE-2023-20198 permet à un acteur de menace non autorisé de créer un compte arbitraire avec des privilèges de niveau 15, qui est le plus haut niveau d'autorisation d'accès possible et de prendre le contrôle du système.La vulnérabilité CVE-2023-20273 permet une injection de commande qui permet d'écrire un contenu malveillant ...
Overview This month, Cisco released a security advisory regarding two vulnerabilities currently being actively exploited in actual attacks: CVE-2023-20198 and CVE-2023-20273. These vulnerabilities are present in the web UI feature of Cisco IOS XE Software. The CVE-2023-20198 vulnerability allows an unauthorized threat actor to create an arbitrary account with level 15 privileges, which is the highest level of access permission possible, and take control over the system. The CVE-2023-20273 vulnerability allows command injection which enables malicious content to be written... |
Vulnerability Threat | ★★ |
To see everything:
Our RSS (filtrered)
