What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-07-05 09:00:00 | Un nouvel outil aide les développeurs à vérifier les décalages de confusion manifestes New Tool Helps Devs Check For Manifest Confusion Mismatches (lien direct) |
Le script Python pourrait minimiser les risques jusqu'à ce qu'une solution formelle soit développée
Python script could minimize risk until a formal solution is developed |
Tool | ★★ | |
 |
2023-07-05 00:00:00 | Chatgpt Liens partagés et protection de l'information: les risques et mesures les organisations doivent comprendre ChatGPT Shared Links and Information Protection: Risks and Measures Organizations Must Understand (lien direct) |
Depuis sa version initiale à la fin de 2022, l'outil de génération de texte propulsé par l'IA connue sous le nom de chatppt a connu des taux d'adoption rapide des organisations et des utilisateurs individuels.Cependant, sa dernière fonctionnalité, connue sous le nom de liens partagés, comporte le risque potentiel de divulgation involontaire des informations confidentielles.
Since its initial release in late 2022, the AI-powered text generation tool known as ChatGPT has been experiencing rapid adoption rates from both organizations and individual users. However, its latest feature, known as Shared Links, comes with the potential risk of unintentional disclosure of confidential information. |
Tool | ChatGPT ChatGPT | ★★ |
 |
2023-07-04 16:14:00 | L'outil d'attaque DDOSIA évolue avec le cryptage, ciblant plusieurs secteurs DDoSia Attack Tool Evolves with Encryption, Targeting Multiple Sectors (lien direct) |
Les acteurs de la menace derrière l'outil d'attaque DDOSIA ont proposé une nouvelle version qui intègre un nouveau mécanisme pour récupérer la liste des cibles à bombarder de demandes HTTP indésirables pour tenter de les faire tomber.
La variante mise à jour, écrite en Golang, "met en œuvre un mécanisme de sécurité supplémentaire pour cacher la liste des cibles, qui est transmise de la [commande et contrôle] à la
The threat actors behind the DDoSia attack tool have come up with a new version that incorporates a new mechanism to retrieve the list of targets to be bombarded with junk HTTP requests in an attempt to bring them down. The updated variant, written in Golang, "implements an additional security mechanism to conceal the list of targets, which is transmitted from the [command-and-control] to the |
Tool Threat | ★★ | |
 |
2023-07-03 21:15:10 | CVE-2023-3395 (lien direct) | ? Toutes les versions de l'outil de configuration Twinsoft Store cryptées des mots de passe cryptés en clair en mémoire.Un attaquant ayant accès aux fichiers système pourrait ouvrir un fichier pour charger le document en mémoire, y compris des informations sensibles associées au document, telles que le mot de passe.L'attaquant pourrait alors obtenir le mot de passe en texte clair à l'aide d'une visionneuse de mémoire.
?All versions of the TWinSoft Configuration Tool store encrypted passwords as plaintext in memory. An attacker with access to system files could open a file to load the document into memory, including sensitive information associated with document, such as password. The attacker could then obtain the plaintext password by using a memory viewer. |
Tool | ||
|
2023-06-30 21:15:09 | CVE-2023-35947 (lien direct) | Gradle est un outil de construction en mettant l'accent sur l'automatisation de la construction et la prise en charge du développement multi-langues.Dans les versions affectées lors du déballage des archives TAR, Gradle n'a pas vérifié que les fichiers pouvaient être écrits en dehors de l'emplacement de déballage.Cela pourrait conduire à des fichiers importants écrasés partout où le processus Gradle a des autorisations d'écriture.Pour une construction de lecture des entrées de goudron à partir d'une archive TAR, ce problème pourrait permettre à Gradle de divulguer des informations à partir de fichiers sensibles via un fichier arbitraire lu.Pour exploiter ce comportement, un attaquant doit contrôler la source d'une archive déjà utilisée par la construction ou modifier la construction pour interagir avec une archive malveillante.Il est peu probable que cela passe inaperçu.Un correctif a été publié dans Gradle 7.6.2 et 8.2 pour se protéger contre cette vulnérabilité.À partir de ces versions, Gradle refusera de gérer les archives TAR qui contiennent des éléments de traversée de chemin dans un nom d'entrée de goudron.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
### Impact
Il s'agit d'une vulnérabilité de traversée de chemin lorsque Gradle traite des archives TAR, souvent référencées comme Tarslip, une variante de la glissière.
* Lors du déballage des archives TAR, Gradle n'a pas vérifié que les fichiers pouvaient être écrits en dehors de l'emplacement de déballage.Cela pourrait conduire à des fichiers importants écrasés partout où le processus Gradle a des autorisations d'écriture.
* Pour une création de lecture des entrées TAR à partir d'une archive TAR, ce problème pourrait permettre à Gradle de divulguer des informations à partir de fichiers sensibles via un fichier arbitraire lu.
Pour exploiter ce comportement, un attaquant doit contrôler la source d'une archive déjà utilisée par la construction ou modifier la construction pour interagir avec une archive malveillante.Il est peu probable que cela passe inaperçu.
Gradle utilise des archives TAR pour son [Cache de construction] (https://docs.gradle.org/current/userguide/build_cache.html).Ces archives sont sûres lorsqu'elles sont créées par Gradle.Mais si un attaquant avait le contrôle d'un serveur de cache de construction distant, il pourrait injecter des entrées de cache de construction malveillantes qui tirent parti de cette vulnérabilité.Ce vecteur d'attaque pourrait également être exploité si un homme dans le milieu peut être effectué entre le cache distant et la construction.
### patchs
Un correctif a été publié dans Gradle 7.6.2 et 8.2 pour se protéger contre cette vulnérabilité.À partir de ces versions, Gradle refusera de gérer les archives TAR qui contiennent des éléments de traversée de chemin dans un nom d'entrée de goudron.
Il est recommandé que les utilisateurs passent à une version corrigée.
### solution de contournement
Il n'y a pas de solution de contournement.
* Si votre construction traite des archives TAR auxquelles vous ne faites pas entièrement confiance, vous devez les inspecter pour confirmer qu'ils n'essayent pas de tirer parti de cette vulnérabilité.
* Si vous utilisez le cache de build à distance Gradle, assurez-vous que seules les parties de confiance ont un accès en écriture et que les connexions au cache distant sont correctement sécurisées.
### Les références
* [CWE-22: Limitation inappropriée d'un chemin d'accès à un répertoire restreint (\\ 'Path Traversal \')] (https://cwe.mitre.org/data/definitions/22.html)
* [Gradle Build Cache] (https://docs.gradle.org/current/userguide/build_cache.html)
* [Zipslip] (https://security.snyk.io/research/zip-slip-vulnerabilité)
Gradle is a build tool with a focus on build automation and support for multi-language development. In affected versions when unpacking Tar archives, Gradle |
Tool Vulnerability | ||
|
2023-06-30 21:15:09 | CVE-2023-35946 (lien direct) | Gradle est un outil de construction en mettant l'accent sur l'automatisation de la construction et la prise en charge du développement multi-langues.Lorsque Gradle écrit une dépendance dans son cache de dépendance, il utilise les coordonnées de la dépendance \\ pour calculer un emplacement de fichier.Avec des coordonnées de dépendance spécialement conçues, Gradle peut être conçu pour écrire des fichiers dans un emplacement involontaire.Le fichier peut être écrit en dehors du cache de dépendance ou sur un autre fichier dans le cache de dépendance.Cette vulnérabilité pourrait être utilisée pour empoisonner le cache de dépendance ou écraser des fichiers importants ailleurs sur le système de fichiers où le processus Gradle a des autorisations d'écriture.L'exploitation de cette vulnérabilité nécessite un attaquant pour contrôler un référentiel de dépendance utilisé par la version Gradle ou avoir la possibilité de modifier la configuration de la build \\.Il est peu probable que cela passe inaperçu.Un correctif a été publié dans Gradle 7.6.2 et 8.2 pour se protéger contre cette vulnérabilité.Gradle refusera de cache les dépendances qui ont des éléments de traversée de chemin dans leurs coordonnées de dépendance.Il est recommandé que les utilisateurs passent à une version corrigée.Si vous n'êtes pas en mesure de passer à Gradle 7.6.2 ou 8.2, la «vérification de dépendance» rendra cette vulnérabilité plus difficile à exploiter.
Gradle is a build tool with a focus on build automation and support for multi-language development. When Gradle writes a dependency into its dependency cache, it uses the dependency\'s coordinates to compute a file location. With specially crafted dependency coordinates, Gradle can be made to write files into an unintended location. The file may be written outside the dependency cache or over another file in the dependency cache. This vulnerability could be used to poison the dependency cache or overwrite important files elsewhere on the filesystem where the Gradle process has write permissions. Exploiting this vulnerability requires an attacker to have control over a dependency repository used by the Gradle build or have the ability to modify the build\'s configuration. It is unlikely that this would go unnoticed. A fix has been released in Gradle 7.6.2 and 8.2 to protect against this vulnerability. Gradle will refuse to cache dependencies that have path traversal elements in their dependency coordinates. It is recommended that users upgrade to a patched version. If you are unable to upgrade to Gradle 7.6.2 or 8.2, `dependency verification` will make this vulnerability more difficult to exploit. |
Tool Vulnerability | ||
 |
2023-06-30 19:57:00 | Pro-Russian hackers upgrade DDoSia bot used to attack Ukraine, NATO countries (lien direct) |
Le projet DDOSIA des pirates pro-russes a connu une croissance significative cette année alors que les attaquants continuent d'utiliser la technologie contre les pays critiquant l'invasion de l'Ukraine par la Russie.DDOSIA est une boîte à outils d'attaque de déni de service distribuée développée et utilisée par le groupe Hacktiviste Pro-Russia NonAME057 (16).Le groupe et ses abonnés déploient activement l'outil contre le gouvernement
The DDoSia project by pro-Russian hackers has seen significant growth this year as attackers continue to use the technology against countries critical of Russia\'s invasion of Ukraine. DDoSia is a distributed denial-of-service attack toolkit developed and used by the pro-Russia hacktivist group NoName057(16). The group and its followers are actively deploying the tool against government |
Tool | ★★ | |
 |
2023-06-29 14:36:00 | Tendances des menaces: l'IA et le praticien de la sécurité Threat Trends: AI and the Security Practitioner (lien direct) |
Découvrez comment les praticiens de la sécurité peuvent tirer parti de l'IA comme un outil pratique pour affronter des tâches spécifiques, pour laisser le temps aux équipes informatiques pour enquêter sur des sujets plus pressants ou intéressants.
Learn how security practitioners can leverage AI as a practical tool to take on specific tasks, to allow time for IT teams to investigate more pressing or interesting topics. |
Tool Threat | ★★ | |
 |
2023-06-29 08:01:00 | Cylance Ai de BlackBerry \\ empêche Terminator Edr Killer BlackBerry\\'s Cylance AI Prevents Terminator EDR Killer (lien direct) |
Un nouvel acteur de menace se faisant appeler Spyboy vendait un outil de «tueur antivirus» sur le marché anonyme russe (rampe) appelé Terminator Edr Killer.La bonne nouvelle est que les clients de BlackBerry sont protégés par Cylance & Reg;AI de l'outil Terminator.
A new threat actor calling themselves Spyboy is reportedly selling an “antivirus-killing” tool on the Russian Anonymous Marketplace (RAMP) called Terminator EDR Killer. The good news is that BlackBerry customers are protected by Cylance® AI from the Terminator tool. |
Tool Threat | ★★ | |
 |
2023-06-29 02:46:26 | Quel est l'outil d'évaluation de la cybersécurité FFIEC? What is the FFIEC Cybersecurity Assessment Tool? (lien direct) |
L'outil d'évaluation de la cybersécurité FFIEC (CAT) est un test de diagnostic conçu pour aider les institutions à identifier les risques et à évaluer la préparation à la cybersécurité.L'outil concerne principalement les institutions financières et non dépositaires, permettant aux organisations de prendre des décisions de sécurité axées sur les risques éclairées par les évaluations régulières de la cybersécurité et les critères de mesure des risques standardisés.Bien qu'il soit volontaire, les institutions financières ont exprimé leur préoccupation que le non-utilisation pourrait entraîner une en deçà des normes de conformité.Dans cet article, nous explorerons ce qu'est le chat fiec, ainsi que comment et pourquoi vous ...
The FFIEC Cybersecurity Assessment Tool (CAT) is a diagnostic test designed to help institutions identify risks and gauge cybersecurity preparedness. The tool is primarily for financial and non-depository institutions, enabling organizations to make risk-driven security decisions informed by regular cybersecurity assessments and standardized risk measurement criteria. While it is voluntary, financial institutions have expressed concern that failing to use it could result in falling short of compliance standards. In this article, we will explore what the FFIEC CAT is, as well as how and why you... |
Tool | ★★ | |
 |
2023-06-29 00:00:00 | Le dernier rapport trimestriel du Threat Lab de WatchGuard souligne l\'émergence de nouvelles pratiques en ingénierie sociale qui exploitent les navigateurs web. (lien direct) | Paris – le 29 juin 2023 - WatchGuard® Technologies, leader mondial de la cybersécurité unifiée, annonce aujourd\'hui les conclusions de son dernier rapport sur la sécurité Internet, lequel détaille les principales tendances en matière de malwares et de menaces pour la sécurité des réseaux et des endpoints, analysées par les chercheurs du Threat Lab de WatchGuard au 1er trimestre 2023. Les principales conclusions issues de l\'étude de ces données font apparaître plusieurs tendances majeures : les attaquants utilisent des stratégies d\'ingénierie sociale basées sur les navigateurs web pour mener des attaques de phishing, de nouveaux logiciels malveillants s\'avèrent être associés à des acteurs étatiques, la présence de malwares " zero day " reste préoccupante, enfin, les attaques de type " living-off-the-land " connaissent une augmentation significative. Cette édition du rapport comporte également une nouvelle section dédiée au suivi et à l\'analyse trimestriels des ransomwares par l\'équipe du Threat Lab. " Il demeure crucial pour les entreprises de maintenir une vigilance active et constante en ce qui concerne les solutions et stratégies de sécurité existantes sur lesquelles elles s\'appuient. C\'est la meilleure façon de se protéger efficacement contre les menaces de plus en plus sophistiquées qui émergent, " a déclaré Corey Nachreiner, Chief Security Officer chez WatchGuard. " Le rapport met en évidence les principaux thèmes et les meilleures pratiques identifiés par notre Threat Lab, mettant l\'accent sur la sécurité multicouche pour contrer les logiciels malveillants et les attaques de type " living-off-the-land " qui exploitent des applications et des processus standards installés sur les ordinateurs de leur victime pour camoufler des activités de phishing. Une approche simple et efficace consiste à utiliser une plateforme de sécurité unifiée gérée par des fournisseurs de services managés. " Parmi les conclusions les plus notables, le rapport sur la sécurité Internet de WatchGuard pour ce premier trimestre 2023 révèle notamment ce qui suit : Avec l\'amélioration des protections contre les fenêtres pop-up abusives dans les navigateurs Web, de nouvelles tendances émergent en matière d\'ingénierie sociale. Les attaquants exploitent désormais les fonctionnalités de notification des navigateurs pour induire des interactions similaires et atteindre leurs objectifs malveillants. Parmi la liste des principaux domaines malveillants de ce trimestre, il faut par ailleurs noter une concentration des activités destinées à positionner les sites web malveillants dans les meilleurs résultats de recherche. Les acteurs chinois et russes sont responsables de 75 % des nouvelles menaces qui figurent dans le Top 10 ce trimestre. Trois quarts des nouvelles menaces identifiées dans le rapport sont étroitement liées à des États-nations, sans que l\'on puisse nécessairement affirmer que ces acteurs malveillants bénéficient d\'un soutien direct des gouvernements. Un exemple tiré du dernier rapport de WatchGuard est la famille de malwares Zuzy, qui apparaît pour la première fois dans le top 10 des malwares ce trimestre. L\'un des composants de Zusy découverts par le Threat Lab cible la population chinoise avec un logiciel publicitaire qui installe un navigateur compromis. Ce navigateur est ensuite utilisé pour détourner les paramètres Windows du système et pour faire office de navigateur par défaut. Persistance des at | Ransomware Malware Tool Threat | ★★ | |
|
2023-06-28 22:15:09 | CVE-2023-36474 (lien direct) | InteractSH est un outil open source pour détecter les interactions hors bande.Les domaines configurés avec InteractSh Server avant la version 1.0.0 étaient vulnérables à la prise de contrôle du sous-domaine pour un sous-domaine spécifique, c'est-à-dire le serveur InteractSh utilisé pour créer des entrées CName pour `app" pointant vers `projectDiscovery.github.io` par défaut, qui, apprenantdestiné à utiliser pour héberger le client Web InteractSH à l'aide de pages GitHub.Il s'agit d'un problème de sécurité avec un serveur InteractSh auto-hébergé dans lequel l'utilisateur n'a peut-être pas configuré un client Web mais a toujours une entrée CNAME pointant vers les pages GitHub, ce qui les rend vulnérables à la prise de contrôle des sous-domaines.Cela permet à un acteur de menace d'héberger / d'exécuter le code côté client arbitraire (script inter-site) dans le navigateur d'un utilisateur \\ lors de la navigation du sous-domaine vulnérable.La version 1.0.0 résout ce problème en rendant CNAME en option, plutôt que par défaut.
Interactsh is an open-source tool for detecting out-of-band interactions. Domains configured with interactsh server prior to version 1.0.0 were vulnerable to subdomain takeover for a specific subdomain, i.e `app.` Interactsh server used to create cname entries for `app` pointing to `projectdiscovery.github.io` as default, which intended to used for hosting interactsh web client using GitHub pages. This is a security issue with a self-hosted interactsh server in which the user may not have configured a web client but still have a CNAME entry pointing to GitHub pages, making them vulnerable to subdomain takeover. This allows a threat actor to host / run arbitrary client side code (cross-site scripting) in a user\'s browser when browsing the vulnerable subdomain. Version 1.0.0 fixes this issue by making CNAME optional, rather than default. |
Tool Threat | ||
 |
2023-06-28 10:48:30 | Comment CrowdStrike utilise une cartographie basée sur la similitude pour comprendre les données de cybersécurité et empêcher les violations How CrowdStrike Uses Similarity-Based Mapping to Understand Cybersecurity Data and Prevent Breaches (lien direct) |
Les scientifiques des données Crowdsstrike décrivent un nouveau paradigme de similitude pour organiser les informations et les rendre accessibles, consultables et mappables, la nouvelle cartographie basée sur la similitude des associés de données de cybersécuritéPour violer plus efficacement le Crowdsstrike Falcon & Reg;harnais de plate-forme [& # 8230;]
CrowdStrike data scientists describe a new similarity paradigm to organize information and make it accessible, searchable and mappable The new similarity-based mapping of cybersecurity data associates disparate representations of various objects important for cybersecurity, providing scientists and analysts with the tools necessary to prevent and respond to breaches more effectively The CrowdStrike Falcon® platform harnesses […] |
Tool | ★★★ | |
 |
2023-06-28 10:00:00 | La cybersécurité n'est pas un outil ou un logiciel;est un état d'esprit: combler l'écart pour les changeurs de carrière Cybersecurity is not a tool or software piece; is a state of mind: Bridging the gap for career changers (lien direct) |
Introduction In recent years, the field of cybersecurity has witnessed a significant influx of professionals from non-Information Technology (IT) backgrounds who are making the leap into this dynamic industry. As a cybersecurity technical developer and instructor, I have had the privilege of delivering many customers in-person and virtual training courses and meeting numerous individuals seeking to transition into cybersecurity from diverse non-IT related fields. I can remember Cindy, a lawyer in a large firm, not really finding fulfillment after a “boring” eighteen months at the firm. Also, Ann, an actress with over 17 successful years of movie and theater experience, wanting to get into the industry for higher income to support her daughter. Then Richard, a radiologist tired of the customer abuse he was receiving and wanting more in life. Everything starts with the right mindset at the onset; and not every career in cybersecurity is deeply technical. Cybersecurity is a broad field and cybersecurity professionals may do their jobs in a variety of ways. This includes the following roles - keeping in mind that at least two of them are not 100% technical. They can have roles that protect a company’s internal networks and data from outside threat actors as information security professionals. They can have roles in risk management where they can confirm businesses take appropriate measures to protect against cybercrime. They can have roles where they can confirm businesses comply with local, state, and federal cybersecurity and data protections laws. Aside from being super solid on the OSI Model, hands-on TCP/IP, networking skills, a couple of industry certifications, a drive to self-study, some basic coding and a couple of bootcamps, an aspiring cybersecurity professional must also consider their skills. They bring things to the table from the fields where they come from, which are useful, fully transferable and appreciated! Sometimes as “seasoned professionals” we forget to investigate fresh ways to pivot in incident response (IR) scenarios for example. Technical skills can, with some education, hands-on practice, and self-study, be mastered, but the main ones that you will need for the transition are not going to be found in the classroom, or in the computer screen. These are the face-to-face interactions we have with friends, family, coworkers, and strangers. In other words, the soft skills; those skills that cannot be coded or productized but indeed can be monetized. Transitioning from entertainment/law/health and many other industries to the cybersecurity field does bring valuable transferable skills. In this article I aim to explore the many valuable skills career changers bring to the table and highlight seven essential skills they must possess to successfully embark on this exciting and amazing journey. Attention to detail: Actors pay great attention to detail, focusing on nuances in dialogue, characterization, and stage directions. In cybersecurity, meticulousness is essential when reviewing code, identifying vulnerabilities, conducting security assessments, and analyzing logs. Her ability to spot inconsistencies and pay attention to minute details can be valuable. Radiology technicians work with complex medical imaging equipment, where precision and attention to detail are crucial. This skill translates well to the cybersecurity field, where professionals need to analyze large amounts of data, identify vulnerabilities, and detect potential threats with accuracy. Lawyers pay great attention to detail when reviewing legal documents, contracts, and evidence. This attention to detail can be valuable in cybersecurity, where professionals must review policies, analyze security controls, and identify potential vulnerabilities. They can also contribute to ensuring cybersecurity practices align with legal and regulatory standards. | Tool Vulnerability Threat Medical | ★★★ | |
 |
2023-06-28 01:48:00 | JSCrambler lance le scanner JavaScript pour la conformité PCI DSS 4.0 Jscrambler Launches JavaScript Scanner for PCI DSS 4.0 Compliance (lien direct) |
L'outil gratuit vise à aider les organisations à répondre aux exigences de la nouvelle version de la norme de paiement, qui entre en vigueur en mars 2024.
The free tool aims to help organizations meet the requirements of the new version of the payment standard, which takes effect in March 2024. |
Tool | ★★ | |
 |
2023-06-28 00:00:00 | BROSSE BARRIERS: Aditi \\ s le parcours de la perte de vue à Microsoft AI Innovator Breaking Barriers: Aditi\\'s Journey Through Sight Loss to Microsoft AI Innovator (lien direct) |
Faits sur Aditi Shah:
Outils qu'elle utilise: l'outil principal d'Aditi \\ est Jaws, un lecteur d'écran de Freedom Scientific, qu'elle vante comme le meilleur du marché.Cet outil a rendu sa vie numérique plus gérable, lui permettant d'effectuer presque toutes les tâches indépendamment.
Aditi utilise également Voir AI, une application Microsoft qu'elle utilise pour des tâches de vie importantes, comme lire son courrier, fournir des descriptions de différents produits, identifier les couleurs pour ses tenues, etc.
Facts about Aditi Shah: Tools she uses: Aditi\'s main tool is JAWS, a screen reader from Freedom Scientific, which she touts as the best in the market. This tool has made her digital life more manageable, enabling her to perform almost any task independently. Aditi also uses Seeing AI, a Microsoft app that she uses for important life tasks, like reading her mail, providing descriptions of different products, identifying colors for her outfits, and more. |
Tool | ★★★ | |
|
2023-06-27 17:23:00 | UCLA, Siemens Energy Dernières Victimes pour confirmer les violations UCLA, Siemens Energy latest MOVEit victims to confirm breaches (lien direct) |
Plusieurs nouvelles victimes d'une attaque répandue qui a exploité un outil de transfert de fichiers populaire se sont présentées ces derniers jours pour confirmer les violations, rejoignant plus que 100 organisations |
Tool | ★★ | |
 |
2023-06-27 16:14:05 | Comment faire: inverser et déboguer les modules ISAPI How-to: Reversing and debugging ISAPI modules (lien direct) |
Récemment, j'ai eu le privilège de Écrivez une analyse détaillée de CVE-2023-34362 , qui est une série de plusieurs vulnérabilités dans le transfert de fichiers Moveit application qui mène à l'exécution du code distant.L'un des nombreux Les vulnérabilités impliquaient un module ISAPI - en particulier, le moveItapi.dll Extension ISAPI.L'une des nombreuses vulnérabilités qui comprenaient le mouvement RCE était un problème d'injection d'en-tête, où les en-têtes analysés de la demande ISAPI différemment de l'application .NET.Ce point va creuser dans la façon de Analyser et insensier un service basé sur ISAPI! ce n'était pas la première fois du passé récent, je devais travailler sur quelque chose écrit comme un module Isapi, et chaque fois que je me sens comme je dois commencer plus et rappelez-vous comment il est censé fonctionner.Cette fois, je pensais que je combinerais Mes notes à la fermeture avec une Google, et essayez d'écrire quelque chose que je (et autres) peuvent utiliser à l'avenir.En tant que tel, ce sera une intro rapide à Applications ISAPI sous l'angle qui compte pour moi - comment insensé ingénieur et les déboguer! Je veux préfacer ceci: je ne suis pas un développeur Windows, et je n'ai jamais exécuté un IIS Server exprès.Cela signifie que j'approche cela avec une force brute ignorance!Je n'ai pas beaucoup de contexte d'arrière-plan et je ne connais pas le bon Terminologie pour beaucoup de ces choses.Au lieu de cela, je vais traiter ce sont DLL typiques des applications typiques et les approcher en tant que telles. Qu'est-ce que Isapi? Vous pouvez considérer Isapi comme l'équivalent iis \\ aux modules apache ou nginx - que est, ce sont des binaires écrits dans une langue de bas niveau comme C, C ++ ou Delphi (Non vraiment, la page Wikipedia répertorie Delphi !) qui sont chargés dans l'espace mémoire IIS en tant que bibliothèques partagées.Puisqu'ils \\ 're Code de bas niveau, ils peuvent souffrir de problèmes couramment trouvés dans le code de bas niveau, comme la corruption de la mémoire.Vous avez probablement utilisé ISAPI fourni par Microsoft modules sans s'en rendre compte - ils sont utilisés dans les coulisses pour .aspx Applications, par exemple! J'ai trouvé cet aperçu utile d'Isapi , qui relie les autres pages que je mentionne ci-dessous.Il a un avertissement de dépréciation, Mais afaict pas de page de remplacement, donc je peux dire qu'elle existait en juin / 2023 au cas où Vous devez utiliser les archives Internet pour le récupérer. Selon l'application, les modules ISAPI peuvent soit gérer les demandes entrantes par eux-mêmes (« Extensions Isapi ») ou modifiez les demandes en route vers leur maître dernier (« filtres Isapi »). Ils sont tous les deux implémentés en tant que fichiers .dll, mais vous pouvez en distinguer un de la Autre en regardant la liste des fonctions exportées (dans un fichier .dll, un «Fonction exportée» est une fonction qui peut être appelée par le service qui charge le fichier .dll).Vous pouvez afficher les exportations dans IDA Pro ou Ghidra ou d'autres outils, mais pour Ces exemples, j'ai trouvé un outil CLI simple écrit dans Ruby Tool appelé Pedump , que vous pouvez installer via la commande RubyGems Gem Installer Pedump . Voici les fo | Tool | ★★ | |
 |
2023-06-27 13:00:00 | Cyberheistnews Vol 13 # 26 [Eyes Open] La FTC révèle les cinq dernières escroqueries par SMS CyberheistNews Vol 13 #26 [Eyes Open] The FTC Reveals the Latest Top Five Text Message Scams (lien direct) |
CyberheistNews Vol 13 #26 | June 27th, 2023
[Eyes Open] The FTC Reveals the Latest Top Five Text Message Scams
The U.S. Federal Trade Commission (FTC) has published a data spotlight outlining the most common text message scams. Phony bank fraud prevention alerts were the most common type of text scam last year. "Reports about texts impersonating banks are up nearly tenfold since 2019 with median reported individual losses of $3,000 last year," the report says.
These are the top five text scams reported by the FTC:
Copycat bank fraud prevention alerts
Bogus "gifts" that can cost you
Fake package delivery problems
Phony job offers
Not-really-from-Amazon security alerts
"People get a text supposedly from a bank asking them to call a number ASAP about suspicious activity or to reply YES or NO to verify whether a transaction was authorized. If they reply, they\'ll get a call from a phony \'fraud department\' claiming they want to \'help get your money back.\' What they really want to do is make unauthorized transfers.
"What\'s more, they may ask for personal information like Social Security numbers, setting people up for possible identity theft."
Fake gift card offers took second place, followed by phony package delivery problems. "Scammers understand how our shopping habits have changed and have updated their sleazy tactics accordingly," the FTC says. "People may get a text pretending to be from the U.S. Postal Service, FedEx, or UPS claiming there\'s a problem with a delivery.
"The text links to a convincing-looking – but utterly bogus – website that asks for a credit card number to cover a small \'redelivery fee.\'"
Scammers also target job seekers with bogus job offers in an attempt to steal their money and personal information. "With workplaces in transition, some scammers are using texts to perpetrate old-school forms of fraud – for example, fake \'mystery shopper\' jobs or bogus money-making offers for driving around with cars wrapped in ads," the report says.
"Other texts target people who post their resumes on employment websites. They claim to offer jobs and even send job seekers checks, usually with instructions to send some of the money to a different address for materials, training, or the like. By the time the check bounces, the person\'s money – and the phony \'employer\' – are long gone."
Finally, scammers impersonate Amazon and send fake security alerts to trick victims into sending money. "People may get what looks like a message from \'Amazon,\' asking to verify a big-ticket order they didn\'t place," the FTC says. "Concerned |
Ransomware Spam Malware Hack Tool Threat | FedEx APT 28 APT 15 ChatGPT ChatGPT | ★★ |
|
2023-06-26 22:15:11 | CVE-2023-35164 (lien direct) | DataEase est un outil d'analyse de visualisation des données open source pour analyser les données et mieux comprendre les tendances commerciales.Dans les versions affectées, une vérification d'autorisation manquante permet aux utilisateurs non autorisés de manipuler un tableau de bord créé par l'administrateur.Cette vulnérabilité a été fixée dans la version 1.18.8.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
DataEase is an open source data visualization analysis tool to analyze data and gain insight into business trends. In affected versions a missing authorization check allows unauthorized users to manipulate a dashboard created by the administrator. This vulnerability has been fixed in version 1.18.8. Users are advised to upgrade. There are no known workarounds for this vulnerability. |
Tool Vulnerability | ||
|
2023-06-26 21:15:09 | CVE-2023-35168 (lien direct) | DataEase est un outil d'analyse de visualisation des données open source pour analyser les données et mieux comprendre les tendances commerciales.Les versions affectées de DataEase ont une vulnérabilité de contournement de privilège où les utilisateurs ordinaires peuvent accéder à la base de données des utilisateurs.Les informations exposées comprennent des hachages MD5 de mots de passe, de nom d'utilisateur, de courrier électronique et de numéro de téléphone.La vulnérabilité a été fixée dans V1.18.8.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour la vulnérabilité.
DataEase is an open source data visualization analysis tool to analyze data and gain insight into business trends. Affected versions of DataEase has a privilege bypass vulnerability where ordinary users can gain access to the user database. Exposed information includes md5 hashes of passwords, username, email, and phone number. The vulnerability has been fixed in v1.18.8. Users are advised to upgrade. There are no known workarounds for the vulnerability. |
Tool Vulnerability | ||
|
2023-06-26 21:15:09 | CVE-2023-34463 (lien direct) | DataEase est un outil d'analyse de visualisation des données open source pour analyser les données et mieux comprendre les tendances commerciales.Dans les versions affectées, les utilisateurs non autorisés peuvent supprimer une application à tort.Cette vulnérabilité a été fixée dans la version 1.18.8.Il est conseillé aux utilisateurs de mettre à niveau.Il n'y a pas de solution de contournement connu pour cette vulnérabilité.
DataEase is an open source data visualization analysis tool to analyze data and gain insight into business trends. In affected versions Unauthorized users can delete an application erroneously. This vulnerability has been fixed in version 1.18.8. Users are advised to upgrade. There are no known workarounds for this vulnerability. |
Tool Vulnerability | ||
 |
2023-06-26 19:38:13 | Mémo sur les menaces de cloud: une campagne récente exploitant la confiance numérique via Github Cloud Threats Memo: A Recent Campaign Exploiting Digital Trust Through Github (lien direct) |
> Soyez le premier à recevoir la note de menaces de cloud directement dans votre boîte de réception en vous abonnant ici.L'armement de la confiance numérique consiste à exploiter une application ou un outil que nous utilisons dans notre vie numérique quotidienne pour effectuer nos tâches commerciales ou personnelles à des fins malveillantes.Il s'agit d'une technique de plus en plus utilisée par les acteurs de la menace pour transporter [& # 8230;]
>Be the first to receive the Cloud Threats Memo directly in your inbox by subscribing here. The weaponization of digital trust involves exploiting an application or tool we use in our daily digital life to perform our business or personal tasks for malicious purposes. It is a technique increasingly used by the threat actors to carry […] |
Tool Threat Cloud | ★★ | |
|
2023-06-26 18:06:00 | L'échange de crypto-monnaie japonaise est victime de l'attaque de la porte dérobée du Jokerspy MacOS Japanese Cryptocurrency Exchange Falls Victim to JokerSpy macOS Backdoor Attack (lien direct) |
Un échange de crypto-monnaie inconnu situé au Japon était la cible d'une nouvelle attaque plus tôt ce mois-ci pour déployer une porte dérobée Apple MacOS appelée Jokerspy.
Elastic Security Labs, qui surveille l'ensemble d'intrusion sous le nom Ref9134, a déclaré que l'attaque a conduit à l'installation de Swiftbelt, un outil d'énumération basé sur Swift inspiré d'un utilitaire open-source appelé ceinture de sécurité.
Jokersky était le premier
An unknown cryptocurrency exchange located in Japan was the target of a new attack earlier this month to deploy an Apple macOS backdoor called JokerSpy. Elastic Security Labs, which is monitoring the intrusion set under the name REF9134, said the attack led to the installation of Swiftbelt, a Swift-based enumeration tool inspired by an open-source utility called SeatBelt. JokerSky was first |
Tool | ★★ | |
 |
2023-06-26 12:39:22 | New Pindos Javascript Dropper déploie Bumblebee, malware icedid New PindOS JavaScript dropper deploys Bumblebee, IcedID malware (lien direct) |
Les chercheurs en sécurité ont découvert un nouvel outil malveillant qu'ils ont nommé Pindos qui livre le Bumblebee et les logiciels malveillants icedid généralement associés aux attaques de ransomwares.[...]
Security researchers discovered a new malicious tool they named PindOS that delivers the Bumblebee and IcedID malware typically associated with ransomware attacks. [...] |
Ransomware Malware Tool | ★★ | |
|
2023-06-23 21:05:00 | ITDR combine et affine des approches familières de cybersécurité ITDR Combines and Refines Familiar Cybersecurity Approaches (lien direct) |
La détection et la réponse des menaces d'identité ajoutent une analyse comportementale de l'entité utilisateur à la détection de fraude, créant un outil puissant pour une protection en temps réel.
Identity threat detection and response adds user entity behavioral analytics to fraud detection, creating a powerful tool for real-time protection. |
Tool Threat | ★★ | |
 |
2023-06-23 17:40:17 | Comment réinitialiser votre mot de passe d'administrateur Portainer (+ tutoriel vidéo) How to reset your Portainer admin password (+video tutorial) (lien direct) |
> Vous avez oublié votre mot de passe d'administration de Portainer?Apprenez à utiliser un outil pratique pour vous aider à le réinitialiser avec un tutoriel de Jack Wallen.
>Forgot your Portainer admin password? Learn how to use a handy tool to help you reset it with a tutorial from Jack Wallen. |
Tool | ★★ | |
 |
2023-06-23 14:55:41 | Données UPS récoltées pour les attaques de phishing SMS UPS Data Harvested for SMS Phishing Attacks (lien direct) |
Je me fait un spam de phishing sur mon téléphone tout le temps.Je ne clique jamais dessus, car il est donc donc évident.Il s'avère que les pirates ont été récolte Données de livraison UPS réelles d'un outil de suivi canadien pour son phishing sms.
I get UPS phishing spam on my phone all the time. I never click on it, because it’s so obviously spam. Turns out that hackers have been harvesting actual UPS delivery data from a Canadian tracking tool for its phishing SMSs. |
Spam Tool | ★★ | |
|
2023-06-22 19:11:33 | SMS Phishers Numéros de téléphone récoltés, données d'expédition à partir de l'outil de suivi UPS SMS Phishers Harvested Phone Numbers, Shipment Data from UPS Tracking Tool (lien direct) |
Le United Parcel Service (UPS) affirme que les fraudeurs ont récolté les numéros de téléphone et d'autres informations de son outil de suivi des expéditions en ligne au Canada pour envoyer des messages de phishing SMS hautement ciblé (alias "smishs") qui ont usurpé UPS et d'autres meilleures marques.Les missives s'adressaient aux destinataires par leur nom, comprenaient des détails sur les commandes récentes et ont averti que ces commandes ne seraient pas expédiées à moins que le client ne ait payé des frais de livraison supplémentaires.
The United Parcel Service (UPS) says fraudsters have been harvesting phone numbers and other information from its online shipment tracking tool in Canada to send highly targeted SMS phishing (a.k.a. "smishing") messages that spoofed UPS and other top brands. The missives addressed recipients by name, included details about recent orders, and warned that those orders wouldn\'t be shipped unless the customer paid an added delivery fee. |
Tool | ★★ | |
|
2023-06-22 17:33:00 | La plus grande fonds de retraite publique aux États-Unis affecté par la violation de Moveit Largest public pension fund in US affected by MOVEit breach (lien direct) |
La controverse sur les vulnérabilités de l'outil de transfert de fichiers Moveit a maintenant atteint le plus grand fonds de retraite publique aux États-Unis & # 8211;California \'s Public Employees \\ 'Retirement System (CALPERS).L'organisation a déclaré mercredi qu'elle avait été informée le 6 juin par un fournisseur tiers & # 8211;PBI Research Services / Berwyn Group & # 8211;Ces données ont été accessibles par des pirates
The controversy around vulnerabilities in the MOVEit file transfer tool has now reached the largest public pension fund in the U.S. – California\'s Public Employees\' Retirement System (CalPERS). The organization said Wednesday that it was informed on June 6 by a third-party vendor – PBI Research Services/Berwyn Group – that data was accessed by hackers |
Tool | ★★ | |
|
2023-06-22 15:43:36 | AI comme création de sens pour les commentaires du public AI as Sensemaking for Public Comments (lien direct) |
il est devenu à la mode pour considérer l'intelligence artificielle comme un intrinsèquement La technologie déshumanisante , une force d'automatisation qui a déclenché des légions de travailleurs de compétence virtuels sous forme sans visage.Mais que se passe-t-il si l'IA se révèle être le seul outil capable d'identifier ce qui rend vos idées spéciales, reconnaissant votre perspective et votre potentiel uniques sur les questions où cela compte le plus?
vous êtes pardonné si vous êtes en train de vous déranger de la capacité de la société à lutter contre cette nouvelle technologie.Jusqu'à présent, il ne manque pas de PROGNOSTICATIONS à propos de démocratique ...
It’s become fashionable to think of artificial intelligence as an inherently dehumanizing technology, a ruthless force of automation that has unleashed legions of virtual skilled laborers in faceless form. But what if AI turns out to be the one tool able to identify what makes your ideas special, recognizing your unique perspective and potential on the issues where it matters most? You’d be forgiven if you’re distraught about society’s ability to grapple with this new technology. So far, there’s no lack of prognostications about the democratic... |
Tool | ChatGPT | ★★ |
 |
2023-06-22 09:30:27 | Maltego: Vérifiez à quel point vous êtes exposé en ligne Maltego: Check how exposed you are online (lien direct) |
> Une amorce sur la façon d'utiliser cet outil puissant pour découvrir et connecter des informations à partir de sources accessibles au public
>A primer on how to use this powerful tool for uncovering and connecting information from publicly available sources |
Tool | ★★ | |
|
2023-06-21 21:06:00 | OT final: vulnérabilité de la chute de glace divulguée affectant l'outil Schneider Final OT:ICEFALL vulnerability disclosed affecting Schneider tool (lien direct) |
Les chercheurs ont révélé une vulnérabilité affectant les outils réalisés par le fabricant de technologies opérationnels (OT) Schneider Electric - le bogue final annoncé dans le cadre d'un ensemble de divulgations Collectivement connu sous le nom d'OT: Filf .La vulnérabilité affecte les compteurs d'énergie de l'ion et de l'électricité de l'entreprise, qui fournissent des outils de surveillance de l'énergie et de l'énergie aux organisations dans la fabrication, l'énergie, l'eau
Researchers have disclosed a vulnerability affecting tools made by operational technology (OT) manufacturer Schneider Electric - the final bug announced as part of a set of disclosures collectively known as OT:ICEFALL. The vulnerability affects the company\'s ION and PowerLogic power meters, which provide power and energy monitoring tools to organizations in the manufacturing, energy, water |
Tool Vulnerability | ★★ | |
 |
2023-06-21 20:11:00 | Anomali Cyber Watch: Cadet Blizzard - New Gru Apt, Chamedoh Rat Linux Hard à détecter, Cirypto-monnaie furtive de la crypto-monnaie furtive Anomali Cyber Watch: Cadet Blizzard - New GRU APT, ChamelDoH Hard-to-Detect Linux RAT, Stealthy DoubleFinger Targets Cryptocurrency (lien direct) |
Les différentes histoires d'intelligence de la menace dans cette itération de l'anomali Cyber Watch Discutez des sujets suivants: Fuites de données, perturbation, extorsion, mascarading, chevaux de Troie à distance, tunneling, et Vulnérabilités .Les CIO liés à ces histoires sont attachés à Anomali Cyber Watch et peuvent être utilisés pour vérifier vos journaux pour une activité malveillante potentielle.
Figure 1 - Diagrammes de résumé du CIO.Ces graphiques résument les CIO attachés à ce magazine et donnent un aperçu des menaces discutées.
Cyber News et Intelligence des menaces
événement de sécurité mondiale anomali Intel - Progress Software Vulnerabilities & ndash;Moveit & amp;DataDirect Connect
(Publié: 16 juin 2023)
Après la découverte de CVE-2023-34362 et son exploitation antérieure par un affilié des ransomwares CLOP, plusieurs vulnérabilités supplémentaires ont été découvertes dans Moveit Transfer (CVE-2023-35036 et CVE-2023-35708) et d'autres produits de logiciels de progrès (CVE et CVE-2023-34363 et CVE-2023-34364).Alors que le site de fuite de Darkweb du groupe (> _clop ^ _- les fuites) a commencé à s'adresser aux entités compromises, l'événement d'exploitation original a été évalué comme un événement de sécurité mondial.Ceci est basé sur la liste croissante des organisations violées connues et l'utilisation de Moveit parmi des milliers d'organisations à travers le monde, y compris les secteurs public, privé et gouvernemental.
Commentaire des analystes: Les défenseurs du réseau doivent suivre les étapes d'assainissement des logiciels de progrès qui incluent le durcissement, la détection, le nettoyage et l'installation des récentes correctifs de sécurité de transfert Moveit.Les règles YARA et les indicateurs basés sur l'hôte associés à l'exploitation de déplacement observé sont disponibles dans la plate-forme Anomali pour la détection et la référence historique.
mitre att & amp; ck: [mitre att & amp; ck] t1190 - exploiter le publicApplication | [mitre att & amp; ck] t1036 - masquée | [mitre att & amp; ck] t1560.001 - Données collectées par les archives: archive via l'utilité
Signatures (Sigma Rules): Exploitation potentielle de transfert de déplacement | exploitation movet .
(Règles Yara) lemurloot webshell dll charges utiles - yara by mandiant | scénarisation de la webshell lemurloot ASP.net - yara par mandiant | exploitation movet - yara par Florian Roth | moveit_transfer_exploit_webshell_aspx | moveit_transfer_exploit_webshell_dll
Tags: Target-Software: Moveit Transfer, Vulnérabilité: CVE-2023-34362, Vulnérabilité: CVE-2023-35036, Vulnérabilité: CVE-2023-35708, Vulnérabilité: CVE-2023-34363, Vulnérabilité:CVE-2023-34364, Target-Country: ÉtatsType: ransomware, malware: Lemurloot, Type de logiciels malveillants: webs |
Ransomware Tool Threat Cloud | APT 28 | ★★ |
 |
2023-06-21 13:20:45 | L'Opentext Cybersecurity Survey révèle que 86% des clients MSP cherchent à consolider leurs outils de sécurité OpenText Cybersecurity Survey Finds 86% of MSP Customers are Looking to Consolidate their Security Tools (lien direct) |
L'enquête sur la cybersécurité OpenTEXT révèle que 86% des clients MSP cherchent à consolider leurs outils de sécurité
L'OpenText Cybersecurity 2023 Global Managed Security Survey révèle que la consolidation des outils est motivée par une économie incertaine, l'augmentation des défis de sécurité et de ressources
-
rapports spéciaux
OpenText Cybersecurity Survey Finds 86% of MSP Customers are Looking to Consolidate their Security Tools The OpenText Cybersecurity 2023 Global Managed Security Survey reveals tool consolidation is driven by an uncertain economy, rising security and resource challenges - Special Reports |
Tool | ★★★ | |
|
2023-06-21 10:00:00 | Vers un SOC plus résilient: la puissance de l'apprentissage automatique Toward a more resilient SOC: the power of machine learning (lien direct) |
A way to manage too much data
To protect the business, security teams need to be able to detect and respond to threats fast. The problem is the average organization generates massive amounts of data every day. Information floods into the Security Operations Center (SOC) from network tools, security tools, cloud services, threat intelligence feeds, and other sources. Reviewing and analyzing all this data in a reasonable amount of time has become a task that is well beyond the scope of human efforts.
AI-powered tools are changing the way security teams operate. Machine learning (which is a subset of artificial intelligence, or “AI”)—and in particular, machine learning-powered predictive analytics—are enhancing threat detection and response in the SOC by providing an automated way to quickly analyze and prioritize alerts.
Machine learning in threat detection
So, what is machine learning (ML)? In simple terms, it is a machine\'s ability to automate a learning process so it can perform tasks or solve problems without specifically being told do so. Or, as AI pioneer Arthur Samuel put it, “. . . to learn without explicitly being programmed.”
ML algorithms are fed large amounts of data that they parse and learn from so they can make informed predictions on outcomes in new data. Their predictions improve with “training”–the more data an ML algorithm is fed, the more it learns, and thus the more accurate its baseline models become.
While ML is used for various real-world purposes, one of its primary use cases in threat detection is to automate identification of anomalous behavior. The ML model categories most commonly used for these detections are:
Supervised models learn by example, applying knowledge gained from existing labeled datasets and desired outcomes to new data. For example, a supervised ML model can learn to recognize malware. It does this by analyzing data associated with known malware traffic to learn how it deviates from what is considered normal. It can then apply this knowledge to recognize the same patterns in new data.
 Unsupervised models do not rely on labels but instead identify structure, relationships, and patterns in unlabeled datasets. They then use this knowledge to detect abnormalities or changes in behavior. For example: an unsupervised ML model can observe traffic on a network over a period of time, continuously learning (based on patterns in the data) what is “normal” behavior, and then investigating deviations, i.e., anomalous behavior.
Large language models (LLMs), such as ChatGPT, are a type of generative AI that use unsupervised learning. They train by ingesting massive amounts of unlabeled text data. Not only can LLMs analyze syntax to find connections and patterns between words, but they can also analyze semantics. This means they can understand context and interpret meaning in existing data in order to create new content.
Finally, reinforcement models, which more closely mimic human learning, are not given labeled inputs or outputs but instead learn and perfect strategies through trial and error. With ML, as with any data analysis tools, the accuracy of the output depends critically on the quality and breadth of the data set that is used as an input.
A valuable tool for the SOC
The SOC needs to be resilient in the face of an ever-changing threat landscape. Analysts have to be able to quickly understand which alerts to prioritize and which to ignore. Machine learning helps optimize security operations by making threat detection and response faster and more accurate. |
Malware Tool Threat Prediction Cloud | ChatGPT | ★★ |
|
2023-06-20 21:14:00 | Le chatbot de l'investigateur de l'Esentire \\ est un enquêteur de l'investigateur aide la réponse humaine aux incidents de sécurité eSentire\\'s AI Investigator Chatbot Aids Human Response to Security Incidents (lien direct) |
L'outil s'est formé sur l'ensemble de données des services d'investigation de la cybersécurité de la société et fournit des réponses en langage naturel aux requêtes des clients, pour améliorer les efforts de réponse et d'assainissement.
The tool trained on the company\'s investigative cybersecurity services data set, and provides natural language responses to client queries, to improve response and remediation efforts. |
Tool | ★★ | |
|
2023-06-17 01:48:00 | Êtes-vous prêt pour Moveit? Are you ready for MOVEit? (lien direct) |
Background
Multiple vulnerabilities have recently been identified in the managed file transfer (MFT) software MOVEit developed by Ipswitch, Inc. and produced by Progress Software. These include CVE-2023-34362 [1], CVE-2023-35036 [2] and CVE-2023-35708 [3]. These vulnerabilities allow adversaries to gain unauthorized access and escalate privileges in the environment.
MOVEit is a popular tool that is used by thousands of organizations around the world. These include organizations in the public, private, and government sectors. The transfer software can be deployed as on-prem, in the MOVEit Cloud, or on any Microsoft Azure server. Due to the nature of handling potentially sensitive information, MOVEit is a lucrative target from a threat actor’s perspective, granting threat actors the ability to add and remove database content, execute arbitrary code, and steal sensitive information.
What do we know about the exploits?
While this story is still actively playing out and we will know the final count only in the coming weeks, here’s what we know about it thus far.
The CL0p ransomware gang has been actively exploiting this vulnerability and has claimed to compromise over dozens of organizations across different industries and regions. These include oil & gas, news & media, healthcare, financial services, state and federal governments, and more. Anomali’s own assessment has shown that there are thousands of externally exposed MOVEit instances that could potentially be exploited.
Additional public research has revealed that this vulnerability may have been actively exploited even since 2021 [4]. More recently, organizations have also released proof of concept (PoC) exploit code for this vulnerability [5], making it likely that other attackers could exploit unpatched systems.
Anomali MOVEit Vulnerability Dashboard
The Anomali Threat Research team has additionally researched and documented additional details on this vulnerability via Threat Bulletin. The team has also identified over 430 relevant indicators and signatures and several sector specific articles to provide more industry-specific details. The dashboard below highlights some of the insights available to Anomali customers via ThreatStream.
What can you do about it?
There are several steps important to reduce the impact of this vulnerability, some of which are also documented in Progress’ knowledge base article [6]
1. Discover your attack surface. there are several tools that offer this capability, including Anomali Attack Surface Management [7]
2. Patch the vulnerable systems at the earliest. The Progress knowledge base [6] article captures this in the following steps
a.Disable HTTP/S traffic to your MOVEit Transfer environment
b.Patch the vulnerable systems
c.Enable HTTP/S access to the MOVEit Transfer environment
3. Monitor your environment for any known indicators to identify malicious activities. The Anomali Threat Bulletin captures over 2200 observables that can be used to monitor for malicious activities via a SIEM, firewall, or other technologies. Proactively distribute these indicators to your security controls (firewalls, proxies, etc.) to monitor for any malicious activity.
Anomali MOVEit Vulnerability Threat Bulletin
4. Hunt for any attacker footprints. While monitoring looks forward, hunting a |
Ransomware Tool Vulnerability Threat | ★★ | |
|
2023-06-16 19:24:00 | Chamedoh: Nouvelle porte dérobée Linux en utilisant le tunneling DNS-Over-HTTPS pour CNC Covert ChamelDoH: New Linux Backdoor Utilizing DNS-over-HTTPS Tunneling for Covert CnC (lien direct) |
L'acteur de menace connu sous le nom de Chamelgang a été observé à l'aide d'un implant préalable sans papiers dans des systèmes Linux de porte dérobée, marquant une nouvelle expansion des capacités de l'acteur de menace.
Le malware, surnommé Chamedoh par cage d'escalier, est un outil basé sur C ++ pour communiquer via DNS-Over-HTTPS (DOH).
Chamelgang a été éteinte pour la première fois par la société russe de cybersécurité Positive Technologies en septembre 2021,
The threat actor known as ChamelGang has been observed using a previously undocumented implant to backdoor Linux systems, marking a new expansion of the threat actor\'s capabilities. The malware, dubbed ChamelDoH by Stairwell, is a C++-based tool for communicating via DNS-over-HTTPS (DoH) tunneling. ChamelGang was first outed by Russian cybersecurity firm Positive Technologies in September 2021, |
Tool Threat | ★★ | |
|
2023-06-16 19:15:14 | CVE-2023-25188 (lien direct) | Un problème a été découvert sur Nokia Airscale Asika Single Ran Ran Devices avant 21b.Niveau de système opérationnel Linux intégré BTS.
An issue was discovered on NOKIA Airscale ASIKA Single RAN devices before 21B. If/when CSP (as a BTS administrator) removes security hardenings from the Nokia Single RAN BTS baseband unit, the BTS baseband unit diagnostic tool AaShell (which is by default disabled) allows unauthenticated access from the mobile network solution internal BTS management network to the BTS embedded Linux operating-system level. |
Tool | ||
|
2023-06-16 19:15:14 | CVE-2023-25186 (lien direct) | Un problème a été découvert sur Nokia Airscale Asika Single Ran Ran Devices avant 21b.Si / quand CSP (en tant qu'administrateur BTS) supprime les durcissements de sécurité d'une unité de bande de base BTS Single Ran Ran, une traversée de chemin de répertoire dans l'unité de diagnostic de bande de base Nokia BTS Aashell (qui est par défaut désactivé) donne accès à l'unité de bande de base BTS interneSystème de fichiers à partir du réseau BTS de gestion interne de la solution de réseau mobile.
An issue was discovered on NOKIA Airscale ASIKA Single RAN devices before 21B. If/when CSP (as a BTS administrator) removes security hardenings from a Nokia Single RAN BTS baseband unit, a directory path traversal in the Nokia BTS baseband unit diagnostic tool AaShell (which is by default disabled) provides access to the BTS baseband unit internal filesystem from the mobile network solution internal BTS management network. |
Tool | ||
|
2023-06-16 18:37:00 | La vulnérabilité de Third Moveit augmente les alarmes alors que le Département de l'agriculture américaine dit qu'il peut être affecté Third MOVEit vulnerability raises alarms as US Agriculture Department says it may be impacted (lien direct) |
Une troisième vulnérabilité affectant le populaire outil de transfert de fichiers Moveit provoque une alarme parmi les responsables américains et les chercheurs en cybersécurité après avoir révélé que plusieurs agences gouvernementales ont été affectées par un piratage exploitant le premier bogue.Progress Software, la société derrière Moveit, a déclaré à Recorder Future News qu'une «source indépendante» avait révélé la nouvelle vulnérabilité.Suivi
A third vulnerability affecting the popular MOVEit file transfer tool is causing alarm among U.S. officials and cybersecurity researchers after it was revealed that several government agencies were affected by a hack exploiting the first bug. Progress Software, the company behind MOVEit, told Recorded Future News that an “independent source” disclosed the new vulnerability. Tracked |
Hack Tool Vulnerability | ★★ | |
|
2023-06-16 15:20:18 | Un rat vole-t-il vos fichiers?& # 8211;Semaine en sécurité avec Tony Anscombe Is a RAT stealing your files? – Week in security with Tony Anscombe (lien direct) |
> Votre téléphone Android pourrait-il abriter un outil d'accès à distance (RAT) qui vole les sauvegardes WhatsApp ou exécute d'autres manigances?
>Could your Android phone be home to a remote access tool (RAT) that steals WhatsApp backups or performs other shenanigans? |
Tool | ★★ | |
 |
2023-06-16 13:11:38 | Apporter la transparence à l'informatique confidentielle avec SLSA Bringing Transparency to Confidential Computing with SLSA (lien direct) |
Asra Ali, Razieh Behjati, Tiziano Santoro, Software EngineersEvery day, personal data, such as location information, images, or text queries are passed between your device and remote, cloud-based services. Your data is encrypted when in transit and at rest, but as potential attack vectors grow more sophisticated, data must also be protected during use by the service, especially for software systems that handle personally identifiable user data.Toward this goal, Google\'s Project Oak is a research effort that relies on the confidential computing paradigm to build an infrastructure for processing sensitive user data in a secure and privacy-preserving way: we ensure data is protected during transit, at rest, and while in use. As an assurance that the user data is in fact protected, we\'ve open sourced Project Oak code, and have introduced a transparent release process to provide publicly inspectable evidence that the application was built from that source code. This blog post introduces Oak\'s transparent release process, which relies on the SLSA framework to generate cryptographic proof of the origin of Oak\'s confidential computing stack, and together with Oak\'s remote attestation process, allows users to cryptographically verify that their personal data was processed by a trustworthy application in a secure environment. | Tool | ★★ | |
 |
2023-06-16 13:00:00 | Comment certaines entreprises sont-elles compromises encore et encore? How Do Some Companies Get Compromised Again and Again? (lien direct) |
> Hack-moi une fois, honte à toi.Hack-moi deux fois, honte à moi.La populaire société de marketing par e-mail, MailChimp, a subi une violation de données l'année dernière après que les cyberattaques ont exploité un outil d'entreprise interne pour accéder aux comptes clients.Les criminels ont pu examiner environ 300 comptes et exfiltrer des données sur 102 clients.Ils aussi [& # 8230;]
>Hack me once, shame on thee. Hack me twice, shame on me. The popular email marketing company, MailChimp, suffered a data breach last year after cyberattackers exploited an internal company tool to gain access to customer accounts. The criminals were able to look at around 300 accounts and exfiltrate data on 102 customers. They also […] |
Data Breach Hack Tool | ★★ | |
|
2023-06-15 13:33:00 | La coquille géante du pétrole et du gaz confirme qu'elle a été touchée par les attaques de ransomware de Clop Oil and gas giant Shell confirms it was impacted by Clop ransomware attacks (lien direct) |
Shell a confirmé jeudi qu'il avait été touché par la violation de l'outil de transfert de fichiers de déménagement des gangs ransomwares de CloP après que le groupe ait répertorié la multinationale britannique sur l'huile et le gas sur son site d'extorsion.C'est la deuxième fois que Shell - qui emploie plus de 80 000 personnes dans le monde et rapporte des revenus au-delà de
Shell confirmed on Thursday it had been impacted by the Clop ransomware gang\'s breach of the MOVEit file transfer tool after the group listed the British oil and gas multinational on its extortion site. It is the second time that Shell - which employs more than 80,000 people globally and reported revenues in excess of |
Ransomware Tool | ★★★★ | |
|
2023-06-14 14:00:00 | Comment les outils de messagerie populaires inculquent un faux sentiment de sécurité How Popular Messaging Tools Instill a False Sense of Security (lien direct) |
Il est temps d'inclure la sécurité des outils de messagerie dans votre programme de sécurité cloud.Les bonnes premières étapes incluent le resserrement des paramètres du filtre sur Slack et les équipes.
It\'s time to include messaging tool security in your cloud security program. Good first steps include tightening filter parameters on Slack and Teams. |
Tool Cloud | ★★★ | |
|
2023-06-14 10:00:00 | Menage Hunt: Killnet \\'s DDOS Head Flood Attacks - CC.py Threat Hunt: KillNet\\'s DDoS HEAD Flood Attacks - cc.py (lien direct) |
Résumé de l'exécutif
Killnet est un groupe avancé de menace persistante (APT) basé en Russie qui est actif depuis au moins 2015. Le groupe est connu pour ses attaques très sophistiquées et persistantes contre un éventail diversifié d'industries, y compris les gouvernements publics et locaux, les télécommunicationset défense.
Killnet a été lié à plusieurs attaques de haut niveau, notamment le piratage de 2016 du Comité national démocrate (DNC) lors de l'élection présidentielle américaine.Le groupe a également été impliqué dans les attaques de déni de service distribué (DDOS) contre les aéroports américains et le service à large bande satellite d'Elon Musk \\. .
Les motivations derrière ces attaques varient, mais récemment, ils ont principalement ciblé ceux qui sont les partisans les plus vocaux de l'Ukraine et de son agenda politique.
Le but de cette chasse à la menace est de créer un environnement d'attaque virtuel qui simule les tactiques, techniques et procédures de Killnet \\ (TTPS).Par la suite, les détections et les requêtes de chasse aux menaces seront écrites pour identifier de manière proactive les TTP imités tout en compensant les limites des recherches historiques du CIO traditionnelles.
Les résultats de la chasse aux menaces comprendront des tableaux de bord de haut niveau, du code et des artefacts de réseau générés à partir de la plage d'attaque, qui sera utilisé pour expliquer comment une hypothèse a été formée.Les résultats contiendront également la pseudo et la logique de requête traduite dans un format qui peut être utilisé par des outils tels que Suricata, Snort, Splunk et Zeek.La sortie de la requête sera ensuite utilisée pour confirmer l'hypothèse initiale générée.
Artefacts de réseau
Pour imiter l'attaque, CC.py a été utilisé pour générer des demandes de tête continues contre un serveur Apache, reportez-vous à l'annexe A pour plus de détails.Une fois l'attaque lancée, le trafic logarithmique capturé a été examiné, comme le montre la figure 1 et la figure 2. Lors de l'examen du trafic HTTP Head, il a été découvert que les chiffres entre les gammes de 11-12 sont apparus après "Head /?"régulièrement.Ce modèle servira de base à notre première hypothèse, comme indiqué dans la section suivante.
La figure 3 contient également les journaux Apache générés sur le serveur car le script d'attaque continuait d'essayer d'accéder à différents fichiers dans & lsquo; / var / www / html / & rsquo;annuaire.Le script réitère dans un style de type de force brute, jusqu'à ce que les ressources CPU soient rendues épuisées par le volume de trafic pur.
Figure 1 & ndash; Wireshark - généré dynamiquement 11-12 chiffres
Figure 2 & ndash; Wireshark - Forged Referrer & amp;IPS anonymisé
Figure 3 & ndash;Splunk & ndash;Journaux d'erreur du serveur Apache & ndash;Échec des tentatives d'accès au fichier
Guide de détection
Les expressions régulières compatibles Perl peuvent être utilisées pour tirer parti du contexte dérivé de la capture de paquets lors de l'analyse des menaces, comme le montre la figure 1. Cela nous permet d'écrire des règles de suricata / reniflement qui correspondent aux modèles observés dans les en-têtes.Les détections ont tendance à évoluer plus que les requêtes de chasse et peuvent être appliquées stratégiquement sur une base par capteur.Plus précisément, la règle suivante correspondra à n'importe q |
Hack Tool Threat | ★★ | |
|
2023-06-13 18:16:00 | Fortinet dit que VPN Bug \\ 'peut avoir été exploité dans un nombre limité de cas \\' Fortinet says VPN bug \\'may have been exploited in a limited number of cases\\' (lien direct) |
La société de sécurité de réseau Fortinet a déclaré qu'une nouvelle vulnérabilité affectant son outil VPN avait peut-être déjà été exploitée «dans un nombre limité de cas».Les préoccupations concernant la question - suivies comme CVE-2023-27997 - ont augmenté au cours du week-end en raison de la façon dont le produit SSL-VPN de Fortinet \\ de Fortinet est parmi les organisations gouvernementales.Le bogue permet aux pirates d'exécuter non autorisés
Network security company Fortinet said a new vulnerability affecting its VPN tool may have already been exploited “in a limited number of cases.” Concerns about the issue - tracked as CVE-2023-27997 - grew over the weekend due to how widely used Fortinet\'s SSL-VPN product is among government organizations. The bug allows hackers to run unauthorized |
Tool Vulnerability | ★★ | |
|
2023-06-13 17:15:14 | CVE-2023-28303 (lien direct) | Windows Snipping Tool Information Divulgation Vulnérabilité
Windows Snipping Tool Information Disclosure Vulnerability |
Tool Vulnerability |
To see everything:
Our RSS (filtrered)
