+36304177429 info@datad.hu

Felfedezték a MobSF Pen-Testing eszközben rejlő biztonsági rést

A MobSF, azaz a Mobile Security Framework, amely a pen-tesztelés, a malware elemzés és a biztonsági felülvizsgálat terén elterjedt keretrendszer, egy kritikus bemeneti érvényesítési hibával rendelkezik, amely szerveroldali kérés-hamisítás (SSRF) támadásokhoz vezethet. Ez a sebezhetőség a CVE-2024-29190 azonosító alatt van nyilvántartva, és a MobSF 3.9.5 Béta verzióját és az azt megelőző kiadásokat érinti.

A Sebezhetőség slapjai:

A Trendyol Alkalmazásbiztonsági csapatának vizsgálata során, mely az „App Link assetlinks.json fájl nem található” sebezhetőséget tanulmányozta, felfedezték, hogy a MobSF GET kérést küld a „/.well-known/assetlinks.json” végpontnak minden olyan házigazdánál, amelyet az „android:host” attribútummal jelöltek az AndroidManifest.xml fájlban. Azonban a MobSF nem végez bemeneti érvényesítést a házigazdák neveinek kinyerésekor az android:host attribútumból, ami lehetővé teszi, hogy a rendszer véletlenül helyi házigazdáknak küldjön kéréseket, potenciálisan SSRF sebezhetőséghez vezetve.

A GitHub nemrégiben közzétett egy blogbejegyzést, amely egy SSRF sebezhetőségre hívja fel a figyelmet, amely az assetlinks_check funkciót érinti.

Műszaki leírás
Sebezhető konfiguráció példája:

A fenti példában az android:host „192.168.1.102/user/delete/1#”-ként van meghatározva.

A házigazda végén található „#” karakter kritikus, mivel ez akadályozza meg a kérések küldését a „/.well-known/assetlinks.json” végponthoz, biztosítva, hogy a kérések a megadott végpontra kerüljenek előtte.

Bizonyíték a koncepcióra

A Trendyol Alkalmazásbiztonsági csapata egy demonstrációs videót is közzétett, amely bemutatja az SSRF sebezhetőséget.

Az SSRF sebezhetőség jelentős kockázatot jelent, mivel lehetővé teszi a támadó számára, hogy az áldozat szerverét olyan nem engedélyezett kapcsolatok létrehozására kényszerítse, amelyek csak a szervezet infrastruktúráján belüli szolgáltatásokhoz érhetők el. Ennek eredményeképpen kiszolgáltathatja a szervezet érzékeny belső rendszereit és adatokat.

Mitigációs és gyorsjavítási lépések

A probléma gyorsjavítását a 5a8eeee73c5f504a6c3abdf2a139a13804efdb77 commitban vezették be. A MobSF felhasználóit arra ösztönzik, hogy frissítsék szoftverüket a legújabb verzióra, ezzel minimalizálva a CVE-2024-29190-nel kapcsolatos kockázatokat.

A CVE-2024-29190 felfedezése kiemeli a gondos bemeneti érvényesítés fontosságát a szoftverfejlesztésben, különösen a biztonságkritikus alkalmazások, mint a MobSF esetében. A MobSF-re támaszkodó szervezeteknek azonnali lépéseket kell tenniük a gyorsjavítás alkalmazása érdekében, hogy megvédjék infrastruktúrájukat a lehetséges SSRF támadásoktól.

Összegzés

Az SSRF sebezhetőség a MobSF eszközben jelentős biztonsági kihívást jelent, amely figyelmet igényel a biztonsági szakemberek és a fejlesztők részéről egyaránt. A CVE-2024-29190 azonosítójú sebezhetőség felfedezése és a hozzá kapcsolódó gyorsjavítás kidolgozása fontos lépés a biztonságos szoftverfejlesztés felé. A MobSF legújabb verziójára való frissítéssel a felhasználók csökkenthetik az ilyen típusú sebezhetőségekből eredő kockázatokat és védelmet nyújthatnak infrastruktúrájuk számára. A folyamatos figyelem és a biztonsági frissítések alkalmazása elengedhetetlen az információs biztonság fenntartásában.

Forrás: www.cybersecuritynews.com

Az AI mint kibertámadások új eszköze

A mesterséges intelligencia (AI) felhasználása a kiberbiztonság terén egyre inkább előtérbe kerül, az önfejlesztő kártékony szoftverektől a hihetetlenül valóságos deepfake technológiákig. A Recorded Future által közzétett legújabb kutatás szerint a legfejlettebb nyelvi modellekkel (LLM-ekkel) működő eszközök képesek a malware YARA szabályok elleni védelmének kijátszására.

„A generatív AI segítségével lehetőség nyílik a kártevők forráskódjának olyan módosítására, amely megnehezíti a YARA szabályok alapú észlelést, így csökken az azonosítás valószínűsége,” – fogalmaz a jelentés, amely a The Hacker News által is bemutatásra került.

Ezek a megállapítások egy kiberbiztonsági elemzés során születtek, amelynek célja az AI technológiák kártékony célú felhasználásának felderítése volt. Ezen technológiák már most is használatosak kártékony kódok létrehozásában, csaló e-mailek generálásában, és potenciális támadási célpontok kikémlelésében.

A biztonsági kutatók bemutatták, hogy hogyan képes egy LLM egy ismert kártevőt, például az APT28 hacker csoport által használt STEELHOOK malware-t és annak YARA szabályait úgy módosítani, hogy a detekció elkerülése mellett az eredeti funkcionalitás megőrzése mellett a forráskód szintaktikailag is hibátlan legyen.

Ezeknek a módosításoknak köszönhetően a LLM által átdolgozott malware képes volt elkerülni az egyszerű string-alapú YARA szabályokon alapuló észleléseket, amely korlátokkal bír, különösen az adatfeldolgozás méretét tekintve, ami megnehezíti a nagyobb méretű kódbázisok kezelését.

Az AI nem csak a kártékony programok átalakítására használható elkerülve ezzel a detekciót, hanem képes valósághű deepfake tartalmak létrehozására is, amelyek befolyásolhatják a közvéleményt vagy hamisított vezetői kommunikációt állíthatnak elő. Ezen felül a generatív AI lehetőséget biztosít a támadóknak arra, hogy gyorsabban végezzenek el kritikus infrastruktúrák feltérképezését, olyan információkat gyűjtve, amelyek stratégiai előnyt jelenthetnek a következő lépések során.

„A többmódusú modellek segítségével, beleértve a nyilvános képek és videók elemzését is, további információk, mint például geolokációs adatok, berendezések gyártói és modellei, valamint szoftververziók ismerhetők fel,” – említi meg a jelentés.

A Microsoft és az OpenAI nemrég arra figyelmeztetett, hogy az APT28 hacker csoport LLM-eket használt a műholdas kommunikációs protokollok és radar képalkotási technológiák, valamint specifikus technikai paraméterek megértésére, ezzel mélyreható ismereteket szerezve a műholdképességekről.

Ajánlott, hogy a szervezetek alaposan átvizsgálják és szükség esetén anonimizálják azokat a nyilvánosan elérhető képeket és videókat, amelyek érzékeny berendezéseket ábrázolnak, csökkentve ezzel a kiberfenyegetések kockázatát.

A legfrissebb kutatások szerint lehetséges az LLM-ek „megkerülése” és veszélyes tartalmak generálása olyan módon, hogy a bemeneti parancsokat ASCII art formájában adják meg (például „hogyan készítsünk bombát”, ahol a BOMB szót „*” karakterek és szóközök alkotják), kihasználva az LLM-ek ezen művészeti formák felismerésében mutatott gyengeségeit, így áthidalva a biztonsági intézkedéseket.

Forrás: thehackernews.com

 

A Kiberháború új frontjai: Az Operáció Texonto alapos elemzése

A kiberbiztonsági elemzők a neves ESET csapatából egy rendkívül bonyolult és innovatív kibertámadási hálózatra bukkantak, amit „Operáció Texonto” néven azonosítottak. Ez a kifinomult támadási módszertan kettős veszélyt jelent: egyrészről dezinformációs kampányokon keresztül pszichológiai hadviselést folytat az ukrán lakosság és vállalkozások ellen, a konfliktus kapcsán félrevezető információkkal manipulálva a közvéleményt. Másrészről, adathalászati technikákat is alkalmaz, ezzel tovább növelve a biztonsági kihívásokat. Az Operáció Texonto által kiváltott pszichológiai és dezinformációs tevékenységek jelentős próbatételt jelentenek a kiberbiztonsági szakemberek számára, mivel a védekezés nem csak technikai lépéseket, hanem a közösség tájékoztatását és tudatosságának növelését is követeli meg.

 

A dezinformációs és adathalászati kampányok kettőssége

Az ESET szakemberei által feltárt ‘Operáció Texonto’ kampány 2023 novemberében és decemberében két fázisban küldött pszichoaktív üzeneteket. Ezek az üzenetek tipikus orosz propagandisták narratíváit követik, olyan kérdésekre összpontosítva, mint a gyógyszerhiányok, az élelmezési problémák és az ukrán fűtésellátás zavarai. A dezinformáció elsődleges célja nyilvánvalóan az volt, hogy megkérdőjelezze Oroszország háborús előnyeit az ukrán lakosság szemében.

Ezen kívül, a kampány egy másik része spam e-mailek segítségével terjesztett háborús téves információkat, és egy adathalász kampány is megfigyelhető volt, amely kifejezetten az ukrán intézményeket és az EU-s ügynökségeket vette célba, a Microsoft Office 365 fiókok belépési adatainak ellopására irányulva.

Az Operáció Texonto és Orosz kapcsolatai

Az ESET által végzett kutatás során az Operáció Texonto tevékenységét „magas szintű biztonsággal” köthető egy Oroszországgal kapcsolatos csoport tevékenységéhez, ami összhangban van korábban hasonló módszereket alkalmazó csoportokkal. A technikai egyezések hiánya ellenére az ESET nem tudja egyértelműen meghatározni a Texonto tevékenységét egy konkrét fenyegető szereplőhöz.

A Callisto csoport és a dezinformációs műveletek közötti kapcsolat

Matthieu Faou, az ESET kutatója szerint a kiberkémkedési műveletekben az utóbbi időben bekövetkezett növekedés figyelemre méltó. A Callisto csoport, amely egy ismerten Oroszországhoz köthető kiberkémkedési szervezet, hasonló típusú tevékenységeket végzett, és korábban az Amerikai Egyesült Államok Igazságügyi Minisztériumának vádemelési dokumentumaiban is szerepelt.

A dezinformációs üzenetek és a spam hadjáratok közötti összefüggés

A kezdeti üzenetsorok nem tartalmaztak kártékony szoftvereket vagy rosszindulatú linkeket, viszont egy e-mail a hiányzó gyógyszerek gyógynövényekkel való pótlását javasolta, míg egy másik a galamb risotto elfogyasztását ajánlotta. A második üzenetsor már komolyabb tanácsokat adott, többek között amputációkat javasolva a katonai szolgálat elkerülése érdekében.

A Meta jelentése az Orosz befolyásolási műveletekről

A Meta legújabb jelentése szerint az orosz befolyásolási műveletek hatékonyan csökkentették a hivatalos médiumok által megosztott tartalmak mennyiségét és az elköteleződési szinteket. A jelentés kiemeli, hogy a nyilvánvalóan hamis profilok elleni küzdelem folytatódik, és 2024-ben is számítani kell a tömeges spam hadjáratokra.

Az Operáció Texonto esete rávilágít a kiberháború és pszichooperatív hadjáratok összetett és sokszínű világára, amelyek globális szinten egyre nagyobb kihívást jelentenek a nemzetbiztonsági szervezetek és kiberbiztonsági szakemberek számára.

Forrás: www.forbes.com

Az útlevélkiadás felfüggesztése Malawiban egy súlyos kiberbiztonsági incidens következményeként

A közelmúltban a Malawi Bevándorlási Hivatal egy váratlan és komoly kihívással nézett szembe, amikor egy kifinomult zsarolóvírus-támadás érte az intézmény informatikai rendszerét. Ennek eredményeként a kormányzati szerveknek nem maradt más választásuk, mint hogy ideiglenesen felfüggesszék az útlevélkiadási szolgáltatásokat, ami már több mint két hete tartó szünetet jelent. Ez a lépés jelentős negatív hatással van a malawi állampolgárokra, különösen azokra, akik azonnali szükségletük miatt keresnek munkalehetőséget külföldön, és ezért sürgősen szükségük van útlevelük kiadására vagy megújítására.

Lazarus Chakwera, Malawi elnöke, egy sajtóközleményben hozta nyilvánosságra, hogy a támadók váltságdíjat követelnek, azonban a Malawi kormány határozottan ellenzi a zsarolási kísérletet. Az elnök egyértelműen kijelentette, hogy az állam nem kívánja „kényeztetni a bűnözőket” és elutasítja a párbeszédet „azon személyekkel vagy csoportokkal, akik fenyegetést jelentenek Malawi szuverenitására és biztonságára”. Ezzel az állásponttal egy erőteljes üzenetet küldenek a kiberbűnözők felé, hangsúlyozva, hogy Malawi állhatatosan szembeszáll a jogellenes tevékenységekkel és minden szükséges lépést megtesz a kiberfenyegetések elleni védekezés érdekében.

A kibertámadással kapcsolatos részletek továbbra is homályban maradnak. A kormány eddig nem hozott nyilvánosságra információkat arról, hogy kik lehetnek a felelősek a támadásért, vagy hogy az érintett adatok közül bármelyik ellopásra került-e. Ez további aggodalmakat kelt az állampolgárok körében, sokan közülük aggódnak amiatt, hogy személyes és érzékeny adataik illetéktelen kezekbe kerülhettek.

Chakwera elnök azonban bizakodóan nyilatkozott a helyzet megoldásával kapcsolatban. Beszédében említést tett arról, hogy a bevándorlási hivatal jelenleg egy ideiglenes megoldáson dolgozik, amely lehetővé teszi az útlevélkiadási szolgáltatások hamarosan történő újraindítását, egy konkrétan meghatározott háromhetes határidőn belül. Ezenkívül az elnök aláhúzta, hogy a kormány egy átfogó, hosszú távú stratégiát dolgoz ki a bevándorlási rendszer biztonságának megerősítésére, amely számos új biztonsági intézkedés bevezetését foglalja magában. Ez a lépés nélkülözhetetlen a jövőbeli kiberfenyegetésekkel szembeni hatékony védelem szempontjából, és biztosítja, hogy a bevándorlási és útlevélkiadási szolgáltatások folyamatosan és zavartalanul működjenek.

Ez az incidens nem tekinthető precedens nélkülinek Malawi történetében, mivel korábban is előfordultak hasonló fennakadások az útlevélkiadás terén. Azonban a jelenlegi felfüggesztés különösen kedvezőtlen időpontban történt, amikor az útlevelek iránti igény kiemelkedően magas. Sok állampolgár a jobb életkörülmények és munkalehetőségek felkutatása céljából tervezi, hogy elhagyja az országot, így az útlevélkiadás szünetelése közvetlenül és negatív módon érinti őket.

A következő hetek és hónapok során a Malawi kormány és a Bevándorlási Hivatal tevékenységei középpontba kerülnek, ahogy a nyilvánosság figyelmesen követi, hogy sikerül-e megfelelően kezelniük ezt a válságos helyzetet és visszaállítaniuk az állampolgárok bizalmát az útlevélkiadási rendszer megbízhatóságában. A digitális korban a kiberbiztonság és az adatvédelem egyre fontosabbá válik a globális üzleti és technológiai szektorokban, és Malawi jelenlegi kihívása rávilágít arra, hogy a kormányzati szerveknek és intézményeknek folyamatosan alkalmazkodniuk kell védelmi stratégiáikat, hogy megfeleljenek a gyorsan változó kiberfenyegetéseknek és biztosítsák a digitális infrastruktúra integritását.

Forrás: www.darkreading.com

MMS ujjlenyomat” technológia: Az adatvédelem új kihívásai

Kiberbiztonság új kihívása: Az MMS ujjlenyomat módszer

A digitális kor hajnalán, ahol az adatbányászat a modern aranyláz, a kiberbiztonsági fenyegetések és a kémkedési módszerek dinamikusan fejlődnek. Az NSO Csoport, egy elismert kiberbiztonsági vállalat, az „MMS Ujjlenyomat” technológiával rukkolt elő, amely új távlatokat nyit a digitális megfigyelés területén. Ez a technológia egy ghánai telekommunikációs szervezettel kötött szerződés keretében került bemutatásra, ami a használatának kiterjedt lehetőségeire utal.

Az „MMS ujjlenyomat” technológia magyarázata

A technológia lényege, hogy képes felismerni a célzott eszközök és operációs rendszerek típusát minden felhasználói interakció nélkül. Ez a bináris SMS-eken, azaz a WSP Push technológián alapul, amely előzetesen értesíti a felhasználókat az érkező MMS üzenetekről. A felhasználó eszközének a szerverrel való kapcsolatba lépésekor, az MMS letöltése során, bizonyos eszközinformációkat osztanak meg, amelyek később támadások során felhasználhatók.

Rizikók és védekezési módszerek

Az NSO Csoport által fejlesztett és az Enea által tesztelt „MMS Ujjlenyomat” módszer titokban gyűjti a felhasználói információkat, ami aggodalmakat vet fel az adatvédelem és a magánélet védelme kapcsán. Jelenleg nincs bizonyíték arra, hogy ezt a technológiát széles körben alkalmaznák, de a lehetséges következmények és a visszaélések jelentette kockázatok komoly kihívást jelentenek a kiberbiztonsági szakma számára.

A telekommunikációs szolgáltatók képesek lehetnek arra, hogy megakadályozzák ezeket a típusú támadásokat, míg a felhasználók is tehetnek lépéseket azáltal, hogy letiltják az MMS üzenetek automatikus letöltését készülékeiken. Ez az esemény rávilágít a proaktív magatartás és az információk folyamatos követésének jelentőségére a digitális védekezésben.

Az „MMS Ujjlenyomat” technológia bemutatása és annak kockázatai felhívják a figyelmet a kiberbiztonsági veszélyek folyamatos változására, kiemelve, hogy a felhasználóknak, vállalatoknak és kormányzati intézményeknek mindig ébernek és előrelátónak kell lenniük. Az NSO Csoport és más hasonló szervezetek által fejlesztett technológiák új kihívásokat jelentenek a védelmi rendszerek számára, hangsúlyozva a technológiai fejlődés nyomon követésének és a digitális védelmi stratégiák erősítésének fontosságát.

Forrás: www.securityweek.com

Digitális biztonság az Intel szemszögéből

Intel biztonsági frissítés: Kritikus jelentőségű információk nyilvánosságra hozatala

Az Intel nemrégiben hozott nyilvánosságra egy kritikus jelentőségű információt, amely kiemeli a digitális térben való mozgás közbeni proaktív biztonsági intézkedések fontosságát. A vállalat szakértői által azonosított 34 biztonsági rés egyértelmű figyelmeztetésül szolgál arra, hogy a felhasználóknak fokozottan ébernek és előrelátónak kell lenniük. Ennek érdekében időben kell frissíteniük alkalmazásaikat és firmware-jeiket, hogy elkerüljék az adatvesztés vagy a kiber támadások kockázatát. E sebezhetőségek rávilágítanak arra is, hogy a technológiai óriások mennyire elszántak abban, hogy felhasználóik számára egy biztonságos digitális teret biztosítsanak.

 

A biztonsági rések hatókörének bemutatása

Ezek a biztonsági rések az Intel által kínált széles termékskálát érintik, azaz a firmware-től kezdve a szoftveralkalmazásokig terjednek. A felfedezett sebezhetőségek között 32 a különböző szoftvertermékeket érinti, míg a fennmaradó kettő a firmware komponensekben található meg. Az érintett szoftverek között olyan kulcsfontosságú eszközök találhatók, mint a oneAPI Toolkit, az Intel Extreme Tuning Utility (XTU) és az Intel Unison alkalmazás, valamint számos chipset- és Wi-Fi driver. Továbbá néhány kevésbé ismert, esetleg már nem támogatott szoftver, mint például a Battery Life Diagnostic Tool és a System Usage Report szoftver, szintén biztonsági fenyegetést jelenthet, melyek esetében az Intel azt tanácsolja, hogy a felhasználók távolítsák el ezeket az alkalmazásokat.

Thunderbolt technológia és biztonsági megfontolások

Különösen érdekesek a Thunderbolt technológiával kapcsolatos megállapítások, ahol a szakemberek több mint húsz lehetséges biztonsági problémát azonosítottak. Habár ezek többsége csak helyi hozzáférés esetén jelent veszélyt, egy bizonyos sebezhetőség távolról is kiaknázható, ezzel jelentősen bővítve a lehetséges kibertámadások körét. Ezek a sebezhetőségek különböző veszélyességi szintekkel bírnak, amelyek közül három különösen nagy kockázatúnak van besorolva, míg a távolról kihasználható sebezhetőség közepes kockázatú kategóriába tartozik.

Szoftverfrissítések és javítások: A biztonság fenntartása

Az Intel arra ösztönzi a felhasználókat, hogy legyenek proaktívak a szoftverfrissítések alkalmazásában és a javítások telepítésében. Az érintett sebezhetőségekről szóló részletes tájékoztatás az Intel dedikált biztonsági weboldalán található, ahol a felhasználók megismerhetik a potenciális veszélyeket és azok elhárításának módjait. A legfrissebb szoftverek és driverek beszerzéséhez és a digitális eszközök biztonságának fenntartásához az Intel hivatalos weboldala kínál segítséget. A frissítési folyamat egyszerűsítése érdekében a Driver & Support Assistant (DSA) szolgáltatás is a felhasználók rendelkezésére áll, amely segítséget nyújt az eszközök naprakész állapotának fenntartásában.

A bejelentés nem csak a biztonsági rések feltárásáról szól, hanem egyúttal felhívja a figyelmet arra is, hogy a digitális korban a technológiai előrelépések mellett a biztonsági tudatosság és az elővigyázatos magatartás mennyire fontos. Az Intel által biztosított eszközök és információk felhasználásával a felhasználók lépést tarthatnak a kiberbiztonsági trendekkel, és védelmet nyújthatnak digitális identitásuk számára a különféle fenyegetésekkel szemben.