De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft maandag twee beveiligingsfouten toegevoegd aan zijn Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve uitbuiting in het wild.
De lijst met gebreken vindt u hieronder:
- CVE-2024-20767 (CVSS-score: 7,4) – Adobe ColdFusion bevat een kwetsbaarheid voor onjuiste toegangscontrole waardoor een aanvaller toegang kan krijgen tot beperkte bestanden of deze kan wijzigen via een op het internet zichtbaar beheerderspaneel (gepatcht door Adobe in maart 2024)
- CVE-2024-35250 (CVSS-score: 7,8) – Microsoft Windows Kernel-Mode Driver bevat een niet-vertrouwde pointer-dereferentie-kwetsbaarheid waarmee een lokale aanvaller bevoegdheden kan escaleren (gepatcht door Microsoft in juni 2024)
Het Taiwanese cyberbeveiligingsbedrijf DEVCORE, dat CVE-2024-35250 ontdekte en rapporteerde, deelde in augustus 2024 aanvullende technische details en verklaarde dat het geworteld is in de Microsoft Kernel Streaming Service (MSKSSRV).
Er zijn momenteel geen details over hoe de tekortkomingen worden ingezet bij aanvallen in de echte wereld, hoewel proof-of-concept (PoC) exploits voor beide in het publieke domein bestaan.
In het licht van actieve uitbuiting wordt de agentschappen van de Federal Civilian Executive Branch (FCEB) aanbevolen om vóór 6 januari 2025 de noodzakelijke herstelmaatregelen uit te voeren om hun netwerken te beveiligen.
FBI waarschuwt voor HiatusRAT die zich richt op webcams en DVR’s
De ontwikkeling volgt op een waarschuwing van het Federal Bureau of Investigation (FBI) over HiatusRAT-campagnes die zich uitbreiden buiten netwerkrandapparaten zoals routers om Internet of Things (IoT)-apparaten van Hikvision, D-Link en Dahua in de VS, Australië, Canada te scannen. , Nieuw-Zeeland en Groot-Brittannië.
“De actoren hebben webcamera’s en DVR’s gescand op kwetsbaarheden, waaronder CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260 en zwakke door de leverancier geleverde wachtwoorden”, aldus de woordvoerder. zei de FBI. “Veel van deze kwetsbaarheden zijn nog niet verholpen door de leveranciers.”
De kwaadwillige activiteit, waargenomen in maart 2024, omvatte het gebruik van open-sourcehulpprogramma’s genaamd Ingram en Medusa voor scannen en kraken van authenticatie met brute kracht.
DrayTek-routers misbruikt in ransomware-campagne
De waarschuwingen komen ook omdat Forescout Vedere Labs, met informatie gedeeld door PRODAFT, vorige week onthulde dat bedreigingsactoren beveiligingsfouten in DrayTek-routers hebben uitgebuit om zich te richten op meer dan 20.000 DrayTek Vigor-apparaten als onderdeel van een gecoördineerde ransomware-campagne tussen augustus en september 2023.
“Bij de operatie werd misbruik gemaakt van een vermoedelijke zero-day-kwetsbaarheid, waardoor aanvallers netwerken konden infiltreren, inloggegevens konden stelen en ransomware konden inzetten”, aldus het bedrijf. Bij de campagne waren “drie verschillende bedreigingsactoren betrokken: Monstrous Mantis (Ragnar Locker), Ruthless Mantis (PTI). -288) en LARVA-15 (Wazawaka) – die een gestructureerde en efficiënte workflow volgden.”
Er wordt aangenomen dat Monstrous Mantis de kwetsbaarheid heeft geïdentificeerd en uitgebuit en systematisch inloggegevens heeft verzameld, die vervolgens zijn gekraakt en gedeeld met vertrouwde partners zoals Ruthless Mantis en LARVA-15.
Dankzij de aanvallen konden de medewerkers uiteindelijk post-exploitatieactiviteiten uitvoeren, waaronder laterale verplaatsing en escalatie van privileges, wat uiteindelijk leidde tot de inzet van verschillende ransomware-families zoals RagnarLocker, Nokoyawa, RansomHouse en Qilin.
“Monstrous Mantis hield de exploit zelf achter en behield de exclusieve controle over de initiële toegangsfase”, aldus het bedrijf. “Dankzij deze berekende structuur konden ze indirect profiteren, omdat ransomware-exploitanten die met succes geld verdienden met hun inbraken, verplicht waren een percentage van hun opbrengsten te delen.”
Er wordt geschat dat Ruthless Mantis met succes ten minste 337 organisaties heeft gecompromitteerd, voornamelijk gevestigd in Groot-Brittannië en Nederland, waarbij LARVA-15 optrad als een initiële toegangsmakelaar (IAB) door de toegang die het van Monstrous Mantis had verkregen, aan andere bedreigingsactoren te verkopen.
Er wordt vermoed dat de aanvallen gebruik maakten van een toenmalige zero-day exploit op DrayTek-apparaten, zoals blijkt uit de ontdekking van 22 nieuwe kwetsbaarheden met dezelfde hoofdoorzaken als CVE-2020-8515 en CVE-2024-41592.
“De herhaling van dergelijke kwetsbaarheden binnen dezelfde codebase suggereert een gebrek aan grondige analyse van de hoofdoorzaak, het zoeken naar varianten en systematische codebeoordelingen door de leverancier na elke openbaarmaking van de kwetsbaarheid”, aldus Forescout.