Connect with us
https://cybersecuritynews.site/wp-content/uploads/2021/11/zox-leader.png

Published

on

The Ultimate Managed Hosting Platform

Zwischen einer Reihe aktueller hochkarätiger Cybersicherheitsvorfälle und den zunehmenden geopolitischen Spannungen gab es nicht oft eine besonders schädliche Cybersicherheitsumgebung. Es ist eine Gefahr, die jede Gruppe betrifft – automatisierte Angriffskampagnen unterscheiden nicht zwischen Zielen.

Der Stand der Dinge wird vor allem durch einen unaufhaltsamen Anstieg der Schwachstellen vorangetrieben, wobei jedes Jahr Zehnhunderte brandneuer Schwachstellen entdeckt werden. Für Technologiekonzerne, die aller Wahrscheinlichkeit nach bereits unterversorgt sind, ist es eine unvorstellbare Aufgabe, sich gegen diese steigende Flut von Bedrohungen zu wappnen.

Aber im Kampf gegen die Cyberkriminalität werden einige der praktischsten und wichtigsten Schadensbegrenzungen im Allgemeinen nicht berücksichtigt. In diesem Artikel werden wir definieren, warum Cybersicherheitsgefahren so dramatisch eskaliert sind – und welche einfachen Erfolge Ihre Gruppe bereits jetzt für einen großen Unterschied in Ihrer Cybersicherheitshaltung ausmachen könnte.

Die neuesten Haupt-Cyberangriffe stufen die Gefahr ein

Cybersicherheit war wohl nie besonders wichtig. Angesichts des seit Jahren unverminderten Anstiegs der Schwachstellenzahlen und der geopolitischen Spannungen kann kein Unternehmen behaupten, dass es eine Cybersicherheit hat, die undurchdringlich ist. In den letzten Wochen haben wir kontinuierliche Überprüfungen von Sicherheitsverletzungen bei Microsoft, Nvidia, Vodafone und vielen anderen gesehen.

Diesen März gelang es einer Gruppe junger Leute, die der Lapsus$-Gruppe angehörten, Microsoft zu hacken und den Quellcode für Schlüsselprodukte stehlen zusammen mit seinem Cortana-Sprachassistenten und einem internen Azure-Entwicklerserver.

Lapsus$, der besteht einer Gruppe von Teenagern, hörte dabei nicht auf. Nvidia war zusätzlich aufmerksam, als das Unternehmen zugab, dass sensible Unternehmensinformationen zusammen mit proprietären Informationen durchgesickert waren sowie Mitarbeiterausweise. Eins vergleichbar geschah mit dem Verbraucherkonzern Samsungund zum Beratungsunternehmen Globant. Alle Verletzungen, die nur einer Gruppe von Übeltätern zuzuschreiben sind.

Die Kulisse für diese Anlässe

Tatsächlich ist Lapsus$ nur eine lebhafte Gruppe. Es gibt zahlreiche andere, die sowohl Haupt- als auch Nebenorganisationen verfolgen. Der Rekord ist unendlich – diesen Februar wurden Mobilfunk-, Festnetz- und TV-Unternehmen für einen enormen Teil der Einwohner Portugals offline geschaltet als Vodafone Portugal einen schweren Cyberangriff erlitt. Und keiner bleibt verschont – im Januar 2022 Das Rote Kreuz wurde gehacktwodurch die privaten Informationen von Hunderten von Personen preisgegeben werden.

Hacking, Eindringlinge, Erpressungen … links, richtig und Herz. Wo endet es?

Richtig, es neigt nicht dazu, jederzeit schnell fertig zu werden. Es gibt einen regelmäßigen Strom aktueller Schwachstellen und damit auch neuer Bedrohungen. Bis 2021, fast 22.000 neue Schwachstellen wurden in der Nationwide Vulnerability Database aufgedeckt, ein Anstieg von 27 % gegenüber dem Stand von 2018, nur drei Jahre zuvor.

Jährlich wächst die gesamte Liste der Schwachstellen, wodurch ein immer größerer Berg erreichbarer Gefahren entsteht. Der Rekord an Akteuren, die neugierig darauf sind, Schwachstellen effizient auszunutzen, schrumpft nicht gerade, wie zuletzt geopolitische Instabilität verstärkt die Bedrohung.

Minderung ist hart und vielschichtig

Es werden zahlreiche Anstrengungen unternommen, um das Problem zu beheben – indem versucht wird, einen Schutz zu installieren. Wie jedoch unsere lange Liste von Beispielen bewiesen hat und wie diese Aufzeichnung der wichtigsten Hacks unterstreicht, funktionieren diese Abwehrmaßnahmen nicht immer. Es ist zu einfach, um nützliche Ressourcen zu unterschreiten, und Quellen können einfach falsch zugewiesen werden.

Das Problem ist, dass die Bekämpfung der Cyberkriminalität eine vielschichtige Aktivität ist – Sie können Cyberkriminelle nicht schlagen, indem Sie sich nur auf ein oder zwei Verteidigungselemente spezialisieren. Es muss Ihre komplette Aufgabe sein, angefangen von Endpunktsicherheit und Verschlüsselung über Firewalls und überlegene Risikoüberwachung bis hin zu härteren Trainingsroutinen, die Patches und eingeschränkten Berechtigungen entsprechen.

Alle diese Elemente sollten vorhanden sein und dauerhaft ausgeführt werden, aber das ist eine enorme Herausforderung, wenn IT-Gruppen um Arbeitskräftequellen kämpfen. Bei aller Gerechtigkeit ist es undenkbar, einen wasserdichten Perimeter für Cybersicherheit einzurichten – wenn Multi-Milliarden-Dollar-Konzerne dies nicht können, ist es unwahrscheinlich, dass das Alltagsunternehmen es tun wird. Einige wichtige Komponenten der Schwachstellenverwaltung werden jedoch im Allgemeinen nicht berücksichtigt.

Ein schneller Gewinn, der nicht gepflegt wird

Als Antwort auf den Ponemon-Bericht, Die Behebung einer Schwachstelle dauert etwa fünf Wochen. Darin liegt ein ernster Teil der Schwierigkeit. Das Beheben von Schwachstellen durch Patchen ist wohl eine der wichtigsten effizienten Methoden zur Bekämpfung von Cyber-Bedrohungen: Wenn die Schwachstelle jetzt nicht existiert, verschwindet auch die Chance, sie auszunutzen.

Die Notwendigkeit von Patches wurde in höchstem Maße vorgeschrieben – zusammen mit der Cybersecurity and Infrastructure Safety Company (CISA), die kürzlich eine Bestandsaufnahme von Schwachstellen aufgedeckt hat die von abgedeckten Organisationen gepatcht werden müssen. Ebenso der CISA-Strom Benachrichtigung „Schilde hoch“. Darüber hinaus wird das Patchen stark als wesentlicher Schritt angesehen, der die Cybersicherheit erheblich unterstützt.

Angesichts der relativen Einfachheit des Patchens – wenden Sie es an und es funktioniert wirklich – muss das Patchen ein Kinderspiel sein. Patching ist ein einfacher Gewinn, der die Cybersicherheitshaltung eines Unternehmens einfach umgestalten kann. Eine aktuelle Studie des Ponemon Institute entdeckten, dass 57 % der Befragten, die einen Verstoß erlitten hatten, angaben, dass dies auf eine Schwachstelle zurückzuführen war, die möglicherweise durch einen Patch geschlossen wurde.

Warum Patchen wieder statt findet

Wir haben festgestellt, dass Patchen effizient und machbar ist – also stellt sich die Frage, was gegen Patchen spricht. Dafür gibt es eine Reihe von Ursachen – und zum Beispiel die gelegentliche Gefahr, dass ein ungetesteter Patch zu einem Systemausfall führen kann.

Der offensichtliche Nachteil ist jedoch die Unterbrechung während des Patchens. Das Patchen eines Systems führt in der Vergangenheit dazu, dass es für einige Zeit nicht verfügbar ist. Es spielt keine Rolle, ob Sie einen wesentlichen Teil wie den Linux-Kernel oder einen bestimmten Dienst patchen, die weit verbreitete Methode war immer, nach dem Bereitstellen von Patches neu zu starten oder neu zu starten.

Die Auswirkungen auf das Unternehmen sind wichtig. Obwohl Sie durch Redundanz und vorsichtige Planung Abhilfe schaffen können, besteht dennoch die Gefahr von fehlgeleitetem Unternehmen, Rufschädigung, Effizienzverschlechterung und traurigen Aussichten und Stakeholdern.

Das Ergebnis ist, dass IT-Gruppen mit der Wartung von Heimfenstern zu kämpfen haben, die kläglich unzureichend sein können und sich normalerweise zu weit ausklappen, um richtig auf ein Risikopanorama zu reagieren, bei dem Angriffe innerhalb von Minuten nach der Offenlegung einer Schwachstelle stattfinden können.

Aktiv Schritte gegen Cyber-Gefahren unternehmen

Unternehmen müssen also als Schritt eins von vielen beharrlich patchen. Glücklicherweise gibt es eine Methode zum Patchen, die als Dwell-Patching-Know-how bekannt ist. Dwell-Patching-Optionen wie KernelCare Enterprise von TuxCare bieten eine unterbrechungsfreie Lösung für das Patching-Problem.

Durch das sofortige Einfügen von Patches in die Betriebssoftware werden störende Neustarts und Neustarts überflüssig – und die Wartung von Heimfenstern. Aus diesem Grund kann es sein, dass Sie nicht daran denken möchten, einen Patch einzufügen. Darüber hinaus bedeutet die Automatisierung des Home-Patchings, dass das Patchen von Heimfenstern so gut wie ausgerottet ist.

Es handelt sich im Grunde genommen um eine sofortige Patch-Bereitstellung – sobald der Verkäufer einen Patch veröffentlicht, wird dieser Patch verwendet, wodurch die Bekanntheit und das Chance-Fenster auf ein Minimum reduziert werden, ohne dass dies Auswirkungen auf Unternehmensaktionen hat.

Diese vielseitige, effiziente Methode zum Patchen zeigt, wie es im Kampf um die Cybersicherheit effiziente Schritte zu unternehmen gibt – Schritte, die auch ressourcenschonend sein können. Ein weiterer einfacher, aber effizienter Ansatz zur Härtung von Methoden gegen Cybersicherheitsbedrohungen ist MFA. Unternehmen, die dies nicht tun, aber Multi-Faktor-Authentifizierung (MFA) verwenden, sollten dies überall dort zulassen, wo Lieferanten sie bereitstellen.

Schnelle Gewinne sind überall zu finden

Dasselbe gilt für verschiedene schnelle Gewinne. Nehmen wir zum Beispiel das Prinzip der geringsten Privilegien. Allein durch die Einführung einer erlaubnisbewussten Tradition in Technologiegruppen können Unternehmen sicherstellen, dass potenzielle Akteure nur minimale Alternativen haben, um an Methoden teilzunehmen – und um voranzukommen, falls sie es schaffen, daran teilzunehmen. Das gilt für die Community-Segmentierung, ein weiteres ressourcenschonendes, aber effizientes Mittel gegen das Cybercrime-Risiko.

Der Zweck ist, dass es, obwohl das Cybersicherheitsrisiko nahezu unkontrolliert ist, dennoch viele relativ einfache Wege gibt, die es Unternehmen ermöglichen, einen stärkeren Schutz zu gewährleisten. Mit anderen Worten, das Ignorieren von Tools wie Live-Patching, MFA und Berechtigungsverwaltung macht einen mühsamen Kampf nur viel schwieriger. Im Gegensatz dazu kann der Sprung auf diese schnellen Erfolge Ihre Cybersicherheitshaltung schnell stärken.


[ad_2]
Source link

Continue Reading

Neuesten Nachrichten

Technischer Ratgeber – SerComm h500s – Authentifizierte Remote-Befehlsausführung (CVE-2021-44080) – Die neuesten Nachrichten zur Cybersicherheit | Updates zu Malware-Angriffen

Published

on

, Technical Advisory – SerComm h500s – Authenticated Remote Command Execution (CVE-2021-44080), The Cyber Post

The Ultimate Managed Hosting Platform

Google hat einen Ersatz für den Chrome-Browser herausgegeben, um 32 Sicherheitspunkte zu patchen. Eine von vielen Schwachstellen wird als lebenswichtig eingestuft, also richten Sie diese so schnell wie möglich ein.

Google hat angekündigt ein Ersatz für den Chrome-Browser mit 32 Sicherheitskorrekturen. Der Schweregrad für eine von vielen gepatchten Schwachstellen ist Essentiell.

Der sichere Kanal wurde für Home Windows auf 102.0.5005.61/62/63 und für Mac und Linux auf 102.0.5005.61 hochgestuft.

Essentiell

Google hält Sicherheitslücken für lebenswichtig, wenn sie es einem Angreifer ermöglichen, beliebigen Code auf der zugrunde liegenden Plattform mit den Rechten des Verbrauchers im Rahmen des regulären Einkaufsvorgangs auszuführen.

Öffentlich gemeldete Laptop-Sicherheitslücken werden in der Frequent Vulnerabilities and Exposures (CVE)-Datenbank aufgelistet. Sein Ziel ist es, den Austausch von Wissen über verschiedene Schwachstellenfunktionen (Instrumente, Datenbanken und Unternehmen) hinweg zu vereinfachen.

Dieser Patch ersetzt die lebenswichtige Schwachstelle, die als aufgeführt ist CVE-2022-1853: Nutzung nach Kostenlos in Listed DB.

Use After Free (UAF) ist eine Schwachstelle, die sich aus der falschen Verwendung dynamischer Reminiszenz während des Betriebs eines Programms ergibt. Wenn ein Programm nach dem Freigeben einer Reminiszenzstelle den Zeiger auf diese Reminiszenz nicht löscht, kann ein Angreifer den Fehler verwenden, um dieses System zu kontrollieren.

IndexedDB ist eine Low-Level Utility Programming Interface (API) für die clientseitige Speicherung großer Mengen an strukturiertem Wissen zusammen mit Informationen. Diese API verwendet Indizes, um eine übermäßig effiziente Suche nach diesem Wissen zu ermöglichen. Während Doc Object Mannequin (DOM) Storage für die Speicherung kleinerer Wissensmengen von Vorteil ist, bietet IndexedDB eine Antwort für die Speicherung größerer Mengen an strukturiertem Wissen.

Jede IndexedDB-Datenbank ist exklusiv für einen Ursprung (normalerweise ist das der Positionierungsbereich oder die Subdomain), das heißt, sie sollte nicht von einem anderen Ursprung aus zugänglich sein.

Google gibt keine Details über Sicherheitslücken bekannt, bis die Kunden genügend Alternativen hatten, um die Patches einzufügen, also könnte ich das sehr wahrscheinlich falsch studieren. Ich vermute jedoch, dass ein Angreifer eine speziell gestaltete Website zusammenstellen und den Browser des Kunden übernehmen könnte, indem er die IndexedDB manipuliert.

Verschiedene Schwachstellen

Von den verbleibenden 31 Sicherheitslücken hat Google 12 als Übertrieben. Sicherheitslücken mit übermäßigem Schweregrad ermöglichen es einem Angreifer, Code im Kontext anderer Ursprünge auszuführen oder sich in jedem anderen Fall als solche auszugeben.

Eine weitere 13 Schwachstellen wurden als Mittel. Fehler mit mittlerem Schweregrad ermöglichen es Angreifern, begrenzte Mengen an Wissen zu lernen oder zu ändern, oder die für sich genommen nicht gefährlich sind, jedoch wahrscheinlich gefährlich, wenn sie mit anderen Fehlern gemischt werden.

Damit bleiben sechs Sicherheitslücken, die als bewertet wurden Niedrig. Schwachstellen mit niedrigem Schweregrad sind normalerweise Fehler, die normalerweise einen höheren Schweregrad haben, jedoch übermäßige schadensbegrenzende Elemente oder einen extrem eingeschränkten Umfang aufweisen.

ersetzen

Für diejenigen, die ein Chrome-Nutzer unter Home Windows, Mac oder Linux sind, müssen Sie so schnell wie möglich auf das Modell 101.0.4951.41 umsteigen.

Die einfachste Möglichkeit, Chrome zu ersetzen, besteht darin, es mechanisch ersetzen zu lassen, was die gleiche Technik wie unten beschrieben verwendet, aber nicht möchte, dass Sie etwas tun. Es kann jedoch vorkommen, dass Sie computergestützte Updates für diejenigen blockieren, die den Browser nie schließen, oder wenn etwas schief geht, wie eine Erweiterung, die Sie daran hindert, den Browser zu aktualisieren.

Es schadet also nicht, sich ab und zu zu vergewissern. Angesichts der Schwere der aufgeführten Schwachstellen könnte jetzt ein hervorragender Zeitpunkt sein.

Meine beliebteste Technik besteht darin, Chrome die Webseite öffnen zu lassen chrome://settings/assist die Sie auch durch Anklicken entdecken können Einstellungen > Über Chrome.

Wenn es möglicherweise einen Ersatz gibt, benachrichtigt Chrome Sie und beginnt mit dem Herunterladen. Dann müssen Sie nur noch den Browser neu starten, um sicherzustellen, dass das Ersetzen abgeschlossen ist.

Am besten sehen Sie dann die Meldung „Chrome wird aktualisiert“.

Betroffene Techniken:

  • Windows-Varianten von Google Chrome für Home vor 102.0.5005.61/62/63
  • Google Chrome für Mac- und Linux-Varianten vor 102.0.5005.61

Bleiben Sie alle gesund!

The Ultimate Managed Hosting Platform

Source link

Continue Reading

Neuesten Nachrichten

Tipps und Tricks für kleine Unternehmen – die neuesten Nachrichten zur Cybersicherheit | Updates zu Malware-Angriffen

Published

on

cyber security

The Ultimate Managed Hosting Platform

Online herauszufinden, wer wer ist, war für internationale Kunden noch lange nicht so wichtig wie heute. ID-Checks bilden eine wichtige Einstiegsstufe zu Geldanbietern, jedoch als neue Analyse aus Jumio stellt fest, dass die Kunden zunehmend besorgt darüber sind, dass solche Überprüfungen auf verschiedene Bereiche digitaler Anbieter ausgedehnt werden; ähnlich dem Gesundheitswesen und den sozialen Medien.

Jumioein Anbieter von orchestrierten End-to-End-Identifikationsnachweisen, eKYC- und AML-Optionen, hat die Ergebnisse seiner internationalen Analyse veröffentlicht, die von durchgeführt wurde Opiniumwodurch der Einfluss der zunehmenden Nutzung digitaler Identifikation auf die Vorlieben und Erwartungen der Käufer gemildert wird.

Die Analyse befragte 8.000 erwachsene Kunden, die sich gleichmäßig in Großbritannien, den USA, Singapur und Mexiko verteilten. Es stellte sich heraus, dass im Allgemeinen 57 Prozent nach der Pandemie „immer“ oder „normalerweise“ ihren digitalen Ausweis verwenden müssen, um auf ihre Online-Konten zuzugreifen.

Kunden in Singapur melden mit 70 Prozent die allerbeste Nutzung digitaler Identifikation, im Vergleich zu Großbritannien mit 50 Prozent, den USA mit 52 Prozent und Mexiko mit 55 Prozent.

Nachfrage nach digitaler Identifikation als Nachweisart

Da das Anbieten einer digitalen Identifizierung zum Erstellen eines webbasierten Kontos oder zum Abschließen einer Transaktion weltweit immer üblicher wird, erwarten Kunden dies tatsächlich als Teil ihres Engagements für ein Modell, insbesondere in bestimmten Branchen.

68 Prozent der Kunden glauben, dass es notwendig ist, eine digitale Identifikation zu verwenden, um zu zeigen, wer sie sind, wenn sie eine Online-Gelddienstleistung in Anspruch nehmen, was von Gesundheitsdienstleistern mit 52 Prozent und Social-Media-Websites mit 42 Prozent sorgfältig angenommen wird .

Während alle Märkte sich darin einig waren, dass Zahlungsanbieter ein entscheidender Sektor für eine zuverlässige Identitätsprüfung sind, betrachten Kunden in Mexiko dies als einen entscheidenden Schritt bei der Interaktion mit Finanzsystem teilen Hersteller, während britische Kunden dies für erforderlich halten, wenn sie online einkaufen.

Der Ort, an dem besonders heikle private Informationen wichtig sind, Kunden gaben an, dass eine solide Identitätsprüfung viel notwendiger wird.

Jumio Insight 2

Vorreiter und Nachzügler: Bestimmte Branchen wollen ihre Nutzung der digitalen Identifikation verstärken

Unabhängig davon, dass zusätzliche Kunden digitale Identifikationsoptionen zur Überprüfung verlangen, wenn sie online mit Unternehmen interagieren, können sie sich nicht sicher sein, dass jedes Unternehmen alles tut, um seine Online-Konten zu schützen.

Nur ein Drittel der Kunden gibt an, dass ihr Finanzinstitut seit der Pandemie zusätzliche Online-Identitätsprüfungen durchgeführt hat, um sie vor Online-Betrug und Identitätsdiebstahl zu schützen.

Gleichermaßen sagen 41 Prozent der Kunden im Glücks- und Spielbereich, dass sie „sicher“ sind, dass Anbieter alles tun, was sie wollen, um Identitäten genau zu bestätigen und Identitätsbetrug zu stoppen.

Die Überprüfung der Online-Identifikation kann den Glauben wiederherstellen

Während digitale Identifizierungsoptionen als notwendig zur Verhinderung von Identitätsbetrug anerkannt werden, stellen Kunden andere Probleme, die diese Optionen lösen können.

Im Gesundheitswesen ist ein Drittel der Kunden am meisten besorgt darüber, dass sie die Identifikation des Arztes, mit dem sie teilnehmen, nicht herausfinden. Dies war für 45 Prozent der Kunden in Mexiko von besonderer Bedeutung.

Im Social-Media-Bereich glauben beeindruckende 83 Prozent der Kunden, dass es für Social-Media-Websites notwendig ist, Identitäten zu bestätigen, damit sie Kunden für Online-Hassreden zur Rechenschaft ziehen können. Daher gehen die Anwendungsfälle und Vorteile der digitalen Identifizierung über die reine Betrugsprävention hinaus und werden eine Antwort auf allgemeinere Käuferprobleme bieten.

Philipp Pointner, Leiter der digitalen Identität bei Jumio
Philipp Pointner

„Da sich unsere Nutzung ausschließlich von Online-Anbietern weiter entwickelt, implementieren Unternehmen eindeutig die robusten Identifikationsüberprüfungsstrategien, die erforderlich sind, um die Gefahren im Zusammenhang mit digitalen Anbietern zu stoppen“, sagte er Philipp PointerJumios Leiter der digitalen Identifikation.

„Allerdings zeigt diese Analyse auch die Nachfrage nach digitalen Identifikationsmöglichkeiten – insbesondere in den Bereichen Zahlungsdienstleister und Gesundheitswesen – und ist nun eindeutig eine gewisse Differenzierung. Die Implementierung dieser Art von Optionen muss ein „Wann“ und kein „Vielleicht“ sein und kann nun am Ende entscheiden, ob ein Käufer Ihr Online-Geschäft einem anderen vorzieht oder nicht.“


[ad_2]
Source link

Continue Reading

Neuesten Nachrichten

Neue Chaos-Ransomware-Builder-Variante „Yashma“ in freier Wildbahn entdeckt – Die neuesten Nachrichten zur Cybersicherheit | Updates zu Malware-Angriffen

Published

on

Chaos Ransomware

The Ultimate Managed Hosting Platform

Zwei mit Trojanern befallene Python- und PHP-Pakete wurden bei einem weiteren Angriff auf eine Softwarepaketkette entdeckt, der sich auf das Open-Source-Ökosystem konzentriert.

Eines von vielen abgefragten Paketen ist „ctx“, ein Python-Modul im PyPi-Repository. Das Gegenteil beinhaltet „phpass“, ein PHP-Bundle, das auf GitHub gegabelt wird, um ein Rogue-Replacement zu verteilen.

„In jedem Fall scheint der Angreifer Pakete übernommen zu haben, die in Kürze nicht mehr aktualisiert wurden“, so das SANS Web Storm Heart (ISC) genanntsicherlich einer von dessen freiwilligen Vorfallbetreuern, Yee Ching, das ctx-Bundle analysierte.

Es ist erwähnenswert, dass ctx PyPi am 19. Dezember 2014 endgültig offenbart wurde. Alternativ hat phpass keinen Ersatz erhalten, da es am 31. August 2012 auf Packagist hochgeladen wurde.

Das bösartige Python-Bundle, das am 21. Mai 2022 auf PyPi gepusht wurde, wurde aus dem Depot entferntdie PHP-Bibliothek bleibt es jedoch weiterhin erhältlich auf GitHub.

In allen Situationen zielen die Änderungen darauf ab, AWS-Anmeldeinformationen in eine Heroku-URL mit dem Namen „anti-theft-web.herokuapp“ zu exfiltrieren[.]Komm.“ „Es scheint, dass der Täter versucht, alle Einstellungsvariablen zu erfassen, sie in Base64 zu codieren und die Informationen an eine Online-App unter der Leitung des Täters weiterzuleiten“, sagte Ching.

Es wird vermutet, dass es dem Angreifer gelungen ist, einen unbefugten Zugriff auf das Konto des Betreuers zu realisieren, um das brandneue ctx-Modell zu veröffentlichen. Weitere Untersuchungen haben ergeben, dass der Bedrohungsakteur den abgelaufenen Bereich registriert hat, der vom einzigartigen Betreuer am 14. Mai 2022 genutzt wurde.

PyPI-Paket und PHP-Bibliothek
Linux-Diff-Befehl, der auf dem authentischen ctx 0.1.2-Bundle und dem „neuen“ ctx 0.1.2-Bundle ausgeführt wird

„Mit der Verwaltung über den eindeutigen Bereichstitel könnte es trivial sein, eine entsprechende E-Mail zu erstellen, um eine E-Mail zum Zurücksetzen des Passworts zu erhalten“, fügte Ching hinzu. „Nachdem der Täter Zugriff auf das Konto erhalten hat, kann der Täter das veraltete Paket wegnehmen und die brandneuen Backdoor-Varianten hinzufügen.“

Zufälligerweise, am 10. Mai 2022, Sicherheitsberater Lance Vick offengelegt die Art und Weise, wie es möglich ist, abgelaufene NPM-Betreuer-E-Mail-Domains zu kaufen und sie anschließend zu verwenden, um Betreuer-E-Mails neu zu erstellen und die Verwaltung der Pakete zu übernehmen.

PyPI-Paket und PHP-Bibliothek

Was ist extra, a Metadatenanalyse von 1,63 Millionen JavaScript-NPM-Paketen, die im letzten Jahr von Dozenten von Microsoft und dem North Carolina State College durchgeführt wurden, deckten 2.818 E-Mail-Adressen von Betreuern auf, die mit abgelaufenen Domänen in Verbindung stehen, und ermöglichten es einem Angreifer, 8.494 Pakete zu kapern, indem er die NPM-Konten übernahm.

„Normalerweise kann jeder Titel bei einem Website-Registrar gekauft werden, der es dem Käufer ermöglicht, sich mit einem E-Mail-Hosting-Service zu verbinden, um eine private E-Mail-Adresse zu erhalten“, sagten die Forscher. „Ein Angreifer kann den Bereich eines Verbrauchers kapern, um ein Konto zu übernehmen, das mit diesem E-Mail-Handle verknüpft ist.“

Internet-Sicherheit

Sollte der Bereich eines Maintainers in abgelaufen geändert werden, kann der Bedrohungsakteur den Bereich erwerben und die DNS-Mail ändern (MX)-Daten an die zutreffende E-Mail-Adresse des Betreuers.

„Scheint so, als ob die phpass-Kompromittierung durch den Eigentümer des Paketangebots erfolgte – „hautelook“ löschte sein Konto, woraufhin der Angreifer den Benutzernamen beanspruchte“, so Forscher Somdev Sangwan genannt in einer Sammlung von Tweets, in denen detailliert beschrieben wird, was als a bezeichnet wird Repository-Hijacking Angriff.

Öffentliche Repositories mit offenem Quellcode für Maven, NPM, Packages, PyPi und RubyGems sind ein wichtiger Teil der Software-Lieferkette, auf die viele Unternehmen angewiesen sind, um ihre Zwecke zu entwickeln.

Auf der anderen Seite hat dies sie auch zu einem attraktiven Ziel für viele Gegner gemacht, die versuchen, Malware zu versenden.

Diese besteht aus Tippfehler, Abhängigkeitsverwirrungund Kontoübernahmeangriffe, von denen letztere sehr gut genutzt werden können, um betrügerische Variationen authentischer Pakete zu versenden, was zu weit verbreiteten Kompromissen in der Lieferkette führt.

„Builder vertrauen blind Repositories und fügen Pakete aus diesen Quellen ein, in der Annahme, dass sie sicher sind“, so die DevSecOps-Agentur JFrog genannt letztes Jahr, einschließlich, wie Bedrohungsakteure die Repositories als Malware-Verbreitungsvektor nutzen und profitable Angriffe auf jeden Entwickler und CI/CD-Rechner in der Pipeline starten.


[ad_2]
Source link

Continue Reading

Trending