Η Omni Hotels & Resorts υπέστη κυβερνοεπίθεση
17 Απριλίου, 2024OfflRouter malware στοχεύει δίκτυα της κυβέρνησης της Ουκρανίας
19 Απριλίου, 2024Η ομάδα του Microsoft Threat Intelligence εντόπισε ενεργή εκμετάλλευση σημαντικών ευπαθειών στο OpenMetadata, ένα εργαλείο ανοιχτού κώδικα για τη διαχείριση μεταδεδομένων, το οποίο βοηθά στην ανακάλυψη και τη διακυβέρνηση δεδομένων.
Οι ευπάθειες αυτές, οι οποίες εντοπίστηκαν από τον ερευνητή ασφαλείας Alvaro Muñoz της Microsoft, περιλαμβάνουν πολλαπλά θέματα στην εισαγωγή γλώσσας έκφρασης Spring (SpEL) και ένα σφάλμα που επιτρέπει την παράκαμψη των ελέγχων ταυτότητας, ανοίγοντας τον δρόμο για απομακρυσμένη εκτέλεση κώδικα από απειλητικούς φορείς. Οι hackers στοχεύουν σε εκδόσεις του OpenMetadata που δεν έχουν ενημερωθεί και είναι προσβάσιμες μέσω διαδικτύου.
Αμέσως μετά την είσοδό τους στα παραβιασμένα δίκτυα, οι hackers προχωρούν σε λεπτομερή αναγνώριση, συγκεντρώνοντας στοιχεία για την υποδομή του δικτύου και τους δραστήριους χρήστες χωρίς να εγείρουν υποψίες. Εφαρμόζουν ping αιτήματα για να επιβεβαιώσουν τη συνδεσιμότητα με υποδομές υπό τον έλεγχό τους, μέσω του Interactsh, ένα εργαλείο ανοιχτού κώδικα για την ανίχνευση διαδραστικών αλληλεπιδράσεων, το οποίο τους δίνει τη δυνατότητα να στήνουν κανάλια επικοινωνίας και ελέγχου και να εξαπλώνουν προηγμένα κακόβουλα φορτία.
Ο τελικός στόχος είναι η δημιουργία εξειδικευμένου κακόβουλου λογισμικού για την εξόρυξη κρυπτονομισμάτων, το οποίο φορτώνεται από έναν απομακρυσμένο server, προσαρμοζόμενο αναλόγως για συστήματα που λειτουργούν με Windows ή Linux. Κατά τη διάρκεια της ενεργοποίησης του μηχανισμού εξόρυξης και την καθιέρωση της μόνιμης λειτουργίας μέσω των cron jobs, οι δράστες αφήνουν πίσω ένα προσωπικό μήνυμα, δηλώνοντας την οικονομική τους ανάγκη και την απροθυμία τους να εμπλακούν σε παράνομες ενέργειες.
Οι χρήστες του OpenMetadata συνιστάται να εφαρμόζουν ενισχυμένες μεθόδους επιβεβαίωσης ταυτότητας, να αποφεύγουν τη χρήση προκαθορισμένων κωδικών πρόσβασης και να ενημερώνουν τακτικά στην τελευταία έκδοση για να μετριάζουν αυτά τα αδύναμα σημεία. Το συγκεκριμένο περιστατικό επισημαίνει την κρισιμότητα της συνεχούς συμμόρφωσης και ενημέρωσης εργασιών σε ευαίσθητα περιβάλλοντα.
Πρέπει επίσης να επισημανθεί, ότι οι κυβερνοαπειλές συνεχίζονται, επισημαίνοντας επιθέσεις εναντίον δημοσίως προσβάσιμων διακομιστών Redis και την εκμετάλλευση των αδειών αναζήτησης στους καταλόγους Docker για την κλιμάκωση προνομίων. Επιπλέον, η ευπάθεια Docker με κωδικό CVE-2021-41091, που είχε ήδη εντοπιστεί από την CyberArk και αντιμετωπίστηκε με την έκδοση 20.10.9, συνεχίζει να εγείρει ανησυχίες.
Οι οργανισμοί πρέπει να είναι συνεχώς σε εγρήγορση, να θέτουν ως προτεραιότητα την ενημέρωση του κώδικά τους και να υιοθετούν αυστηρά μέτρα ασφαλείας, ώστε να αντιμετωπίζουν αποτελεσματικά τις διαρκώς εξελισσόμενες απειλές στον κυβερνοχώρο. Αυτό είναι ιδιαίτερα σημαντικό για την προστασία ευαίσθητων περιβαλλόντων.