A hét kritikus sebezhetőségei: Red Hat nyilvántartásba veszi a CVE-ket
A jövőbeli nyílt forráskódú szoftverek sebezhetőségei vörös kalapot kaphatnak, mivel a Red Hat mostantól végső CVE-számozási hatóságként működik. “Több mint két évtizede a Red Hat aktívan hozzájárul a CVE Program céljaihoz és kezdeményezéseihez” – írta a Red Hat részéről Pete Allor és Yogesh Mittal egy nemrégiben megjelent blogbejegyzésben. “Ez a mérföldkő tükrözi a kiválóságra való töretlen törekvésünket, az erős együttműködéseket és az ipari szabványokhoz és bevált gyakorlatokhoz való hatékony hozzájárulásunkat.”
Most lássunk néhány sebezhetőséget, amelyeket mindegyikét aktívan kihasználják:
CVSS 9.8 – CVE-2024-6579: A Progress Software WhatsUp Gold hálózatfigyelő szoftvere a 2023.1.3 verzió előtt hitelesítés nélküli RCE sebezhetőséget tartalmaz. Figyelembe véve a Progress szoftverproblémáit, ez különös figyelmet érdemel.
CVSS 9.8 – CVE-2024-33382: A Hitachi Vantara Pentaho Business Analytics Server 9.4.0.1 és 9.3.0.2 előtti verziói lehetővé teszik a biztonsági korlátozások megkerülését nem kanonikus URL-ek használatakor.
CVSS 8.8 – CVE-2024-33386: A Hitachi Vantara Pentaho Business Analytics Server ugyanezen verziói speciális eleminjektálási sebezhetőséget tartalmaznak, ami lehetővé teszi a webszolgáltatások számára a tulajdonságértékek beállítását.
CVSS 8.8 – CVE-2024-33386: A Hitachi Vantara Pentaho Business Analytics Server ugyanezen verziói speciális eleminjektálási sebezhetőséget tartalmaznak, amelyek lehetővé teszik a webszolgáltatások számára a tulajdonságértékek beállítását.
A Cisco figyelmeztet: régi CVE-t használnak ki
A Cisco a múlt héten figyelmeztetett, hogy egy sebezhetőséget felvettek az Egyesült Államok Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökségének (CISA) ismert kihasznált sebezhetőségi listájára. A hiba egyike volt annak a többnek, amelyeket a Cisco 2023-ban jelentett be, de nem fog kijavítani, mivel a hibás hardvereszközt túl réginek tekinti a frissítéshez, és azt javasolta a tulajdonosoknak, hogy vásároljanak új készüléket. Érdemes erre emlékezni, amikor a Cisco legközelebb a környezetvédelmi elkötelezettségét hangoztatja.
Meglepő: A telefonos tisztító alkalmazások gyűjtik és eladják az adataidat
A hét “egyáltalán nem meglepő” kiberbiztonsági híre egy Surfshark jelentés formájában érkezik, amely szerint az Apple App Store 10 legnépszerűbb telefontisztító alkalmazása mind megosztja a felhasználói adatokat harmadik felekkel. A tisztító alkalmazások által megosztott adatok között szerepelnek a felhasználói és eszközazonosítók, helyadatok, termékinterakciók, vásárlási előzmények, használati előzmények és hasonlók. Röviden, minden, amit egy adatközvetítő felhasználhat arra, hogy alapos hirdetési profilt állítson össze azokról, akik elég meggondolatlanok voltak ahhoz, hogy telepítsék ezeket a haszontalan kódokat.
“Miután megosztották, ezek az adatok potenciálisan több száz partner kezébe kerülhetnek, akik szabadon felhasználhatják azokat saját céljaikra” – mutatott rá a Surfshark VPN-szolgáltató a végtelennek tűnő küldetése részeként, hogy ijesztő dolgokat találjon, amelyek okot adnak az embereknek szolgáltatásaik beszerzésére. Ezek az alkalmazások nyilvánvalóan értéktelenek a hozzáértő olvasóink számára, de azok számára, akik aggódnak a felhasználóik és szeretteik eszközbiztonságáért, egy útmutató az iOS és Android eszközök megtisztításáról sokat segíthet az ilyen szükségtelen, adatvédelmet sértő alkalmazások telepítésének megelőzésében.
Az amerikai képviselőház valami hasznosat tett: elfogadta a beszállítói biztonsági törvényjavaslatot
Ne mondd, hogy sosem csinálnak semmit, mert a múlt héten az amerikai képviselőház elfogadott egy törvényjavaslatot, amely kötelezné a szövetségi szerződéssel rendelkező vállalkozókat, hogy sebezhetőség-közzétételi politikát vezessenek be. Ha elfogadják, bezárná azt, amit a törvényjavaslat támogatója, Nancy Mace kongresszusi képviselő (R-SC) egy sajtóközleményben “a szövetségi kiberbiztonsági szabványok kritikus kiskapujának” nevezett.
A szabály minden olyan szövetségi szerződéssel rendelkező vállalkozóra vonatkozik, akinek 225 000 dollárnál nagyobb értékű szerződése van, vagy amely “egy ügynökség nevében szövetségi információs rendszert használ, üzemeltet, kezel vagy tart fenn”. A jelenlegi információbiztonsági szabályok nem vonatkoznak a vállalkozókra, ami Mace szerint nemzetbiztonsági rést jelent. Ez nem az első alkalom, hogy Mace ilyen törvényjavaslatot nyújt be – 2022-ben már megpróbált átvinni egy közel azonos verziót, és a Szenátus is beterjesztett egy saját verziót. Egyik sem jutott messzire, így a Kongresszus most a Szenátusnak továbbította ezt a javaslatot, ami mindenképpen lépés a jó irányba.
A YouTube vezérigazgatóját MI segítségével utánozták, hogy adathalász támadást indítsanak a tartalomkészítők ellen
A YouTube vezérigazgatójának, Neal Mohannak az arcát látszólag klónozták a csalók, és MI által generált videókban használták fel a YouTube-tartalomkészítők adatainak megszerzésére. A Google szerint az MI által generált videót privát videóként osztották meg a YouTube-készítőkkel, amely a platform monetizálási változásait jelentette be. Nem világos, hogy a kampány mögött álló csalók milyen információkat próbáltak ellopni, vagy hogyan próbálták ezt megtenni, a Google csak annyit jegyzett meg, hogy az alkotóknak nem szabad kattintaniuk olyan privát videókra, “amelyek állítólag a YouTube-tól származnak”.
“A YouTube és alkalmazottai soha nem fognak megpróbálni kapcsolatba lépni veled vagy információt megosztani privát videón keresztül” – jegyezte meg a Google egy múlt heti támogatási bejegyzésben. “Sok adathalász aktívan célozza az alkotókat, próbálva a YouTube megszemélyesítésével módokat találni a platformon belüli funkciók kihasználására, hogy rosszindulatú tartalomra mutató linkeket terjesszenek.”
A szingapúri kiberbűnözőkre verés várhat
A Szingapúrban csalásokat elősegítő kiberbűnözőknek érdemes elgondolkodniuk: a kemény börtönbüntetések mellett hamarosan kemény rattanpálca-ütésekre is számíthatnak a csupasz fenekükre a rács mögött töltött idő mellett. Sun Xueling szingapúri belügyminisztériumi államminiszter elmondta, hogy a kormány fontolóra veszi a csalók megvesszőzését egy szingapúri parlamenti képviselő ajánlására, a hosszú börtönbüntetések mellett.
“Megfontoljuk… hogy bizonyos csalással kapcsolatos bűncselekményekért korbácsolást írjunk elő, elismerve a súlyos károkat, amiket okozhatnak” – mondta Sun. Szingapúr az online csalások melegágyává vált, 2024-ben 1,1 milliárd dollárt veszítettek a csalások áldozatául esett szingapúriak. Sun konkrétan a Telegramot nevezte meg, mint a szingapúri csalások elősegítőjét, megjegyezve, hogy a platformon bejelentett csalások száma közel duplájára nőtt tavaly. “További intézkedéseket fogunk feltárni a Telegramon kialakult csaláshelyzet kezelésére, beleértve a jogszabályi eszközeink használatát a megfelelés biztosítása érdekében” – mondta Sun.
