Exploit Update 1-15 aprile: Tv LG, Firewall Palo Alto, FortiClient EMS

Inizi di aprile difficili per il mondo della cybersecurity, come se non bastassero le recenti continuative campagne di ransomware e databreach, come l’attacco ai danni del produttore di chip Nexperia o le violazioni ai danni della società di business intelligence Sisense, sono state rilevate nuove debolezze su sistemi e prodotti, scoperte che non dovrebbero essere sottovalutate e presto patchate.

FORTICLIENT

Forescout Research Labs descrive in dettaglio una campagna di sfruttamento rivolta alle organizzazioni che utilizzano FortiClient EMS , sfruttando il CVE-2023-48788, una vulnerabilità SQL injection rilevata nella soluzione.

Le prove indicano un possibile attore di minacce attivo almeno dal 2022 stia prendendo di mira le apparecchiature Fortinet che utilizzano le lingue vietnamita e tedesca nella loro infrastruttura.
La gang inizialmente percepita come un team di sicurezza o un gruppo di ricerca in Vietnam basato sul repository Github, stanno sfruttando e installando attivamente strumenti post-sfruttamento su obiettivi reali invece di limitarsi a fare ricerche sfruttando questa debolezza.

Dalla pubblicazione del cve il numero di tentativi di sfruttamento è aumentato sensibilmente.

Qui l’avvico Forticlient

• https://fortiguard.fortinet.com/psirt/FG-IR-24-007

Qui l’articolo Forescout:

• Connect:fun: New exploit campaign in the wild targets media company
• https://www.forescout.com/blog/connectfun-new-exploit-campaign-in-the-wild-targets-media-company/embed/#?secret=pQvicBsoPc#?secret=0phM4o5zCB

FIREWALL PALO ALTO

Il 10 aprile Volexity ha identificato lo sfruttamento zero-day di una vulnerabilità rilevata nella funzionalità GlobalProtect del PAN-OS di Palo Alto Networks presso uno dei suoi clienti di monitoraggio della sicurezza di rete.
Volexity ha rilevato traffico di rete sospetto proveniente dal firewall del cliente, la pronta analisi ha stabilito che il dispositivo fosse stato compromesso.
Il giorno successivo, 11 aprile 2024, Volexity ha osservato un ulteriore, identico sfruttamento presso un altro dei suoi clienti da parte dello stesso autore della minaccia.

L’autore della minaccia, rintracciato con lo pseudonimo UTA0218, è riuscito a sfruttare da remoto il dispositivo firewall, creare una reverse shell e scaricare ulteriori strumenti sul dispositivo.
L’aggressore si è concentrato sull’esportazione dei dati di configurazione dai dispositivi, per poi sfruttarli come punto di ingresso per spostarsi lateralmente all’interno delle organizzazioni vittime.

Analisi Volexity:https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/embed/#?secret=5PG6pHQNtp#?secret=yH7NukuWs3

Qui l’avviso di sicurezza Palo Alto

• https://security.paloaltonetworks.com/CVE-2024-3400

LG TV

I ricercatori Bitdefender hanno rilevato diversi problemi che interessano le versioni WebOS dalla 4 alla 7 in esecuzione sui televisori LG.
Queste vulnerabilità consentono ad un attaccante di ottenere l’accesso root sui dispositivi TV dopo aver aggirato il meccanismo di autorizzazione.

Il processo impiega più vulnerabilità partendo da un bug che consente dapprima di inserire da remoto un nuovo utente, abusare di una debolezza ulteriore per escalarne i privilegi infine di inserire comandi autenticati.

LG comunica di aver reso disponibili gli aggiornamenti relativi a risolvere la problematica in data 22 marzo.

Qui l’articolo Bitdefender:

• https://www.bitdefender.com/blog/labs/vulnerabilities-identified-in-lg-webos