L’autorità di regolamentazione, gli assicuratori e i clienti si presentano tutti Progressi dopo la violazione di MOVEit • Il Registro
Infosec in breve Le conseguenze dello sfruttamento dei bug nel software di trasferimento file MOVEit di Progress Software continuano, con la Securities and Exchange Commission (SEC) degli Stati Uniti che ora indaga sulla questione e molte parti interessate che chiedono un risarcimento.
I progressi hanno ammesso i venti negativi della responsabilità aziendale che si sono fatti strada in un SEC 10-Q trimestrale archiviazione. Secondo la divulgazione, il 2 ottobre ha ricevuto un mandato di comparizione dalla SEC, in cui la Commissione ha chiesto “vari documenti e informazioni relativi a la vulnerabilità MOVEit.”
“In questa fase, l’indagine della SEC è un’indagine conoscitiva, l’indagine non significa che Progress o chiunque altro abbia violato le leggi federali sui titoli”, ha spiegato il fornitore dell’applicazione, aggiungendo che intende collaborare pienamente.
Progress ha anche ammesso di dover affrontare una serie di altri contenziosi – sia negli Stati Uniti che in altri paesi – a causa della violazione, di gran lunga superiori ai limiti previsti. una dozzina o giù di lì casi che, secondo quanto riferito, stava affrontando a partire da luglio.
“Siamo parte di 58 azioni legali collettive avviate da individui che affermano di essere stati colpiti dall’esfiltrazione di dati dagli ambienti dei nostri clienti MOVEit Transfer”, ha affermato Progress nella dichiarazione. Questi casi sono stati riuniti in un’unica causa in Massachusetts all’inizio di questo mese.
Ancora una volta, non è tutto.
Progress ha anche ricevuto “lettere formali” da 23 clienti MOVEit che affermano che la vulnerabilità è costata loro denaro, e alcuni “hanno indicato che intendono chiedere un risarcimento”. Inoltre, Progress sta anche affrontando una richiesta di surrogazione da parte di un assicuratore, il che significa che “sta cercando il recupero di tutte le spese sostenute in relazione alla vulnerabilità MOVEit”.
“Abbiamo anche collaborato con diverse richieste di autorità nazionali ed estere di regolamentazione della privacy dei dati, richieste di diversi procuratori generali statali”, ed è anche oggetto di indagini da parte di un’anonima agenzia di polizia federale.
Un exploit scoperto di recente in un’altra app di trasferimento file Progress, WS_FTPmeritava appena una menzione nella documentazione della SEC. Progress ha scritto solo di aver risolto i problemi e di aver riconosciuto lo sfruttamento attivo.
Vulnerabilità critiche della settimana
Iniziamo l’elenco di questa settimana delle ultime vulnerabilità critiche e degli exploit noti con Fortinet, che ha rilasciato parecchi aggiornamenti di sicurezza, inclusi un paio di aggiornamenti critici in FortiSIEM, FortiManager e FortiAnalyzer.
Molte versioni di FortiSIEM sono vulnerabili a multiplo Vulnerabilità di path traversal di livello CVSS 9.7 che possono portare all’escalation dei privilegi, mentre FortiManager e FortiAnalyzer (più versioni) sono vulnerabili a aumento dei privilegi tramite richieste HTTP appositamente predisposte (CVSS 8.6). Sono disponibili patch per entrambi i problemi.
Per quanto riguarda i sistemi di controllo industriale, nonostante la CISA abbia rilasciato un 19 articoli elenco delle notifiche, solo alcuni dei problemi erano seri:
- CVSS 9.8 – CVE multipli: I WAP Siemens SCALANCE W1750D contengono una serie di vulnerabilità che possono consentire a un utente malintenzionato di divulgare informazioni, negare il servizio ed eseguire codice in remoto.
- CVSS 9.8 – CVE-2023-36380: I moduli master Siemens CP-8031 e CP-8050 memorizzano un ID hardcoded nel file di configurazione SSH autorizzato_keys, consentendo a chiunque disponga della chiave privata di accedere ai dispositivi interessati, che sono quelli con il supporto debug attivato.
- CVSS 9.8 – CVE multipli: L’interfaccia gateway comune di Weintek utilizzata per molti dei suoi dispositivi della serie CMT3000 contiene vulnerabilità che consentono agli aggressori di dirottare il flusso di controllo e aggirare l’autenticazione.
- CVSS 9.1 – CVE-2023-4562: Diversi modelli di PLC MELSEC-F di Mitsubishi Electric vengono autenticati in modo improprio, esponendoli a manomissioni da parte di aggressori remoti.
- CVSS 8.0 – CVE-2023-43625: tutte le versioni del software Simcenter Amesim di Siemens precedenti alla V2021.1 sono vulnerabili all’iniezione di codice che potrebbe consentire a un utente malintenzionato di eseguire l’iniezione DLL ed eseguire codice arbitrario.
Per quanto riguarda le vulnerabilità sfruttate conosciute recentemente scoperte, ce ne sono solo un paio da segnalare che non abbiamo trattato altrove questa settimana. Potrebbero non essere così gravi come gli altri, ma vengono comunque sfruttati in natura, quindi fai attenzione:
- CVSS 7.8 – CVE-2023-21608: Se gli utenti aprono PDF dannosi nelle versioni Acrobat Reader 22.003.20282 o 20.005.30418 e precedenti, potrebbero trovarsi colpiti da una vulnerabilità use after free che consente a un utente malintenzionato di eseguire codice arbitrario.
- CVSS 6.6 – CVE-2023-20109: Cisco GET VPN è vulnerabile a un attacco di scrittura OOB che può consentire a un utente malintenzionato di eseguire codice e mandare in crash i dispositivi interessati.
CISA aggiunge nuove risorse per la catalogazione dei rischi ransomware
La Cybersecurity and Infrastructure Security Agency degli Stati Uniti sta espandendo il proprio pool di risorse per coloro che lottano per prevenire le infezioni da ransomware, con due nuove iniziative nell’ambito del progetto pilota di avviso di vulnerabilità del ransomware dell’agenzia programma.
Il primo assume la forma di una nuova colonna nelle vulnerabilità conosciute sfruttate dall’Agenzia Catalogare che indica se è noto che un punto debole sfruttato attivamente viene utilizzato nelle campagne ransomware.
La modifica è già attiva e presente su tutte le vulnerabilità aggiunte al catalogo. I suddetti exploit del software Progress, insieme a Log4j e altre vulnerabilità ben note, indicano tutti che sono stati utilizzati da autori di ransomware.
Il secondo, e probabilmente più importante per coloro che cercano di rafforzare un ambiente, è il nuovo elenco di configurazioni errate e punti deboli noti per essere utilizzati nelle campagne ransomware. Il catalogo non è basato su CVE ed è comunque piuttosto breve, elencando servizi vulnerabili come RDP, VNC, SMB e simili e le porte comunemente utilizzate per sfruttare configurazioni errate.
Il mese scorso, oltre 17.000 siti WordPress sono stati violati per aggiungere iniettori di malware
L’azienda di sicurezza informatica e filiale di GoDaddy, Sucuri, ha dichiarato in un recente articolo rapporto che più di 17.000 siti Web WordPress sono stati colpiti da un cross-site scripting vulnerabilità in un plugin Composer utilizzato dal creatore di temi premium WordPress tagDiv.
Attacchi di scripting cross-site non sono un problema nuovo per WordPress implementazioni che utilizzano vari temi con plugin di dubbia origine o catena di fornitura di software, e quest’ultimo numero sembra più o meno lo stesso.
In questo caso, il plugin Composer di tagDiv viene utilizzato nei temi premium Newspaper e Newsmag, che secondo Sucuri vengono utilizzati da oltre 135.000 clienti paganti. Newsmag è in uso su un altro 18.579 sitima nessuna delle due cifre tiene conto delle copie piratate del tema, ha osservato Sucuri.
Iniettori come Balada dirottano servizi legittimi e possono essere utilizzati per eseguire codice dannoso su siti Web per eseguire phishing sugli utenti, dirottare credenziali e rubare informazioni personali, tra le altre azioni. Sucuri include passaggi di mitigazione delle infezioni nel suo rapporto, iniziando in modo critico con la scansione dei siti WordPress per verificare la presenza di eventuali codici dannosi, uno strumento per il quale Sucuri sembra avere a portata di mano. ®