Cellebrite được FBI lựa chọn để đột nhập vào điện thoại của kẻ tấn công vào Trump
Không thể truy cập vào điện thoại thông minh Samsung của kẻ thủ phạm đã qua đời của Trump để lấy thông tin, FBI đã chuyển sang một nguồn tin quen thuộc – dù gây tranh cãi – để đạt được mục tiêu của mình: nhà cung cấp công cụ pháp lý số học Cellebrite. Cellebrite đã được cảnh sát sử dụng trong nhiều năm để đột nhập vào các điện thoại thông minh bị khóa. Trong trường hợp này, thiết bị của kẻ thủ phạm là một mẫu mới hơn, làm cho hệ thống Cellebrite hiện tại của họ trở nên vô dụng. Không bị nản lòng, cảnh sát đã gọi điện cho đội hỗ trợ của Cellebrite, và nhà cung cấp đã nhanh chóng cung cấp một phiên bản cập nhật của phần mềm của họ. Phần mềm chưa được phát hành, Bloomberg đưa tin dẫn các nguồn tin quen biết, đã phá vỡ điện thoại trong vòng 40 phút. Cách phá khối thiết bị như vậy không được các nhà sản xuất chào đón, họ luôn phản đối mong muốn của chính phủ và cảnh sát muốn làm yếu mã hóa trên các thiết bị. Apple nổi tiếng đã đối đầu với Bộ trưởng Tư pháp Hoa Kỳ vào đầu năm 2020, từ chối cho phép FBI truy cập vào thiết bị của một kẻ tấn công hàng loạt vì điều đó sẽ yêu cầu Apple phát triển một cánh cửa sau mà cuối cùng sẽ tìm đường vào những góc tối của internet. “Chúng tôi luôn khẳng định rằng không có cánh cửa sau chỉ dành cho những người tốt,” Apple nói vào năm 2020. Với sự hợp tác bị từ chối bởi các nhà sản xuất điện thoại thông minh, Cellebrite dùng các lỗ hổng không được phát hiện và lỗ hổng trong thiết bị để phá vỡ các hệ thống mà không có sự cho phép của nhà sản xuất. Nhưng theo tài liệu nội bộ của Cellebrite vừa rò rỉ, người dùng iPhone có thể sẽ không phải lo lắng quá nhiều – nhiều iPhone mới hơn và các phiên bản iOS vẫn không thể truy cập được bằng các công cụ crack của hãng. 404Media báo cáo rằng họ đã có được các tài liệu nội bộ của Cellebrite từ tháng 4 năm 2024 chỉ ra rằng công ty (tính đến tháng 4, ít nhất) không thể truy cập bất kỳ thiết bị Apple nào chạy iOS 17.4 hoặc mới hơn, và hầu hết các thiết bị chạy iOS 17.1 đến 17.3.1 – trừ iPhone XR và 11. Hầu hết các thiết bị Android ngoại trừ một số mẫu Google Pixel đều có lỗ hổng, tuy nhiên. Chưa rõ mẫu điện thoại cụ thể mà kẻ tấn công vào Trump sở hữu, nhưng với việc phần mềm Cellebrite trước khi phát hành có thể crack được, ta có thể giả định rằng cuộc đua vũ khí bảo vệ sự riêng tư này vẫn đang diễn ra. Nguy cơ lỗ hổng quan trọng của tuần: Thời điểm cập nhật của Oracle
Có lẽ cần một tuần nghỉ lễ khỏi chu kỳ Patch thường xuyên vào Thứ Ba, nhưng Oracle dẫn đầu với thông tin lỗ hổng bảo mật tháng 7 này với 386 bản vá bảo mật mới. Trong số đó, khoảng 90 đã đạt được điểm CVSS trên 8.0, vì vậy hãy cài đặt các bản cập nhật Oracle càng sớm càng tốt. Bên cạnh loạt thông báo về hệ thống điều khiển công nghiệp thông thường, cũng có một số lỗ hổng quan trọng được phát hiện đang bị khai thác trong tuần này: CVSS 9.8 – CVE-2024-34102: Một số phiên bản của Adobe Commerce không hạn chế một cách chính xác các tham chiếu thực thể XML bên ngoài, cho phép thực hiện mã tùy ý mà không cần tương tác của người dùng. CVSS 9.8 – CVE-2024-36401: Một số phiên bản của GeoServer của OSGeo cho phép nhiều yêu cầu OGC, có thể dẫn đến RCE từ người dùng không xác thực. CVSS 6.5 – CVE-2022-22948: VMware vCenter Server có quyền hạn mặc định không chính xác trên tập tin, cho phép một người dùng không phải là quản trị viên truy cập vào thông tin nhạy cảm. Những hacker ít năng lực của Nga bị trừng phạt
Chính phủ Mỹ đã trừng phạt một cặp tội phạm mạng liên quan đến sự gọi là “Quân đội Mạng của Nga” (CARR). Yulia Vladimirovna Pankratova và Denis Olegovich Degtyarenko đã bị buộc tội là người lãnh đạo và hacker chính của nhóm hành động CARR, mà Bộ Ngoại giao Mỹ cáo buộc đã xâm nhập vào một số hệ thống cơ sở hạ tầng quan trọng tại Mỹ từ năm 2022. Mặc dù cặp đôi và CARR đã đạt một số thành công, họ không được đánh giá là một mối đe dọa nghiêm trọng hoặc là các tay đứng đầu của Moskva. “Mặc dù CARR đã tạm thời cảm ứng kiểm soát… các hệ thống điều khiển công nghiệp, nhưng vẫn chưa có trường hợp thiệt hại lớn đối với nạn nhân do thiếu kỹ thuật của CARR,” Bộ Tài Chính tiếp tục nói, gieo rắc sự nghi ngờ một cách tinh tế. Các Thượng nghị sĩ đòi câu trả lời từ nhà cung cấp phân tích Snowflake
Snowflake chính thức đã nhận thông báo từ Quốc hội, với một cặp Thượng nghị sĩ viết thư (PDF) cho công ty vào tuần trước yêu cầu họ giải thích tại sao một thảm họa bảo mật có thể xảy ra dễ dàng như vậy. “Đáng lo ngại, thất bại bảo mật của Ticketmaster và AT&T dường như có thể dễ dàng tránh được,” cặp đôi viết, chỉ ra rằng việc truy cập vào tài khoản Snowflake bị xâm hại chủ yếu là do mật khẩu bị đánh cắp và tái sử dụng cũng như việc không sử dụng xác thực đa yếu tố. “Thất bại mới nhất của AT&T – ba tháng sau khi bị xâm hại và sau những vụ xâm hại khác được công bố – nảy ra mối quan ngại rằng chúng ta vẫn chưa biết rõ phạm vi hoặc tác động đầy đủ của chiến dịch nhắm vào khách hàng của Snowflake,” các Thượng nghị sĩ khẳng định, đang chờ Snowflake đến ngày 29 tháng 7 để cung cấp lời giải thích. Cơ sở dữ liệu kết quả xét nghiệm COVID bị lộ trên mạng
Nhà nghiên cứu bảo mật Jeremiah Fowler, người đã có thói quen tìm ra dữ liệu không bảo mật và nhạy cảm trên internet, đã phát hiện thêm một số – lần này gần 150.000 hồ sơ tổng cộng 12GB chứa kết quả xét nghiệm COVID. Các hồ sơ – tất cả đều cho rằng thuộc về công ty y dược trực tuyến InHouse Physicians – bao gồm kết quả xét nghiệm COVID-19 từ các hội nghị và sự kiện khác. Trong các bản ghi kết quả xét nghiệm có tên và số điện thoại của những người Fowler nói mình có thể sử dụng để “dễ dàng lấy được thông tin nhận dạng khác” về những người trong cơ sở dữ liệu. InHouse Physicians đã đóng cửa truy cập vào cơ sở dữ liệu sau khi Fowler báo cáo. Chưa rõ liệu đã có ai truy cập vào nó với ý định xấu hay chưa. Chiến dịch mới của APT41 được phát hiện
Các nhà săn lùng mối đe dọa của Google đã phát hiện một chiến dịch mới kéo dài đang được thực hiện bởi tác nhân đe dọa Trung Quốc APT41 – còn được gọi là Barium Wicked Panda, v.v. – nhắm vào các công ty vận chuyển và logistics toàn cầu trên thế giới. Mục tiêu cuối cùng của các cuộc tấn công dường như là lấy được sự ổn định và thiết lập một kết nối với hạ tầng do APT41 kiểm soát để đánh cắp dữ liệu nhạy cảm, với Mandiant báo cáo rằng họ đã thấy cuộc tấn công sử dụng SQLULDR2 để lấy dữ liệu từ cơ sở dữ liệu Oracle, và PINEGROVE để lấy một lượng lớn dữ liệu từ các mạng bị xâm nhập để chuyển đi OneDrive. Mandiant đã bao gồm các chỉ số của việc tấn công trong báo cáo của họ. Bạn biết phải làm gì với những chỉ số đó. #FBI #sựkiện #Oracleưu đãi #APT41 #Snowflake #COVIDlộ #CARR
Nguồn: https://www.theregister.com/2024/07/22/infosec_in_brief/
Infosec in brief Unable to access the Samsung smartphone of the deceased Trump shooter for clues, the FBI turned to a familiar – if controversial – source to achieve its goal: digital forensics tools vendor Cellebrite.
Cellebrite has been used for years by law enforcement to break into locked smartphones. In this case the shooter’s device was a newer model, rendering their existing Cellebrite systems useless. Undeterred, law enforcement called Cellebrite’s support team, and the vendor quickly delivered an updated version of their software.
The unreleased software, Bloomberg reported citing people familiar with the matter, cracked the phone within 40 minutes.
Cracking of devices in this way isn’t welcomed by manufacturers, who have long opposed government and law enforcement’s desire to weaken encryption on devices. Apple famously faced off against the US Attorney General in early 2020, refusing to allow the FBI access to a mass shooter’s device because it would require Apple to develop a backdoor that would inevitably find its way into the darker corners of the internet.
“We have always maintained there is no such thing as a backdoor just for the good guys,” Apple said in 2020.
With cooperation refused by smartphone-makers, Cellebrite relies zero-days and undiscovered vulnerabilities in devices to break through systems without vendor permission.
But according to recently-leaked internal documents from Cellebrite, Apple users might not have that much to worry about – many newer iPhones and versions of iOS remain inaccessible to the cracker’s tools.
404 Media reported it had obtained internal Cellebrite documents from April 2024 indicating that the biz was (as of April, at least) unable to access any Apple device running iOS 17.4 or later, and most devices running iOS 17.1 to 17.3.1 – with the exception of the iPhone XR and 11.
Most Android devices aside from some Google Pixel models are vulnerable, however.
It’s not clear which particular model the Trump shooter owned but, given the fact pre-release Cellebrite software could crack it, it’s safe to assume this privacy arms race is ongoing.
Critical vulnerabilities of the week: Oracle update time
It might be a week off from the regular Patch Tuesday cadence, but Oracle leads the vulnerability news this week with a July security advisory with 386 new security patches in it.
Of those, around 90 earned a CVSS score above 8.0, so best get those Oracle updates installed asap.
Along with the usual bevy of industrial control system advisories, there were a few critical vulnerabilities spotted under active exploit this week, too:
- CVSS 9.8 – CVE-2024-34102: Certain versions of Adobe Commerce are improperly restricting XML external entity references, allowing for arbitrary code execution without user interaction.
- CVSS 9.8 – CVE-2024-36401: Some versions of OSGeo’s GeoServer are allowing for multiple OGC requests, which could lead to RCE from unauthenticated users.
- CVSS 6.5 – CVE-2022-22948: VMware vCenter Server has incorrect default file permissions, allowing a non-administrative user to gain access to sensitive information.
Russia’s less-capable hackers get sanctioned
The US government has sanctioned a pair of cyber criminals associated with the so-called “Cyber Army of Russia” (CARR).
Yulia Vladimirovna Pankratova and Denis Olegovich Degtyarenko have been accused of being the ringleader and primary hacker, respectively of the CARR crew, which the State Department alleged has broken into several critical infrastructure systems in the US since 2022.
While the pair and CARR have had some success, they’re not rated a serious threat or Moscow’s top operatives.
“Despite CARR briefly gaining control of … industrial control systems, instances of major damage to victims have thus far been avoided due to CARR’s lack of technical sophistication,” the Treasury department continued, casting subtle shade.
Senators demand answers from Snowflake
Analytics vendor Snowflake has officially been put on notice by Congress, with a pair of Senators writing a letter (PDF) to the firm last week asking them to explain how such an easily-preventable security disaster was allowed to happen.
“Disturbingly, the Ticketmaster and AT&T breaches appears to have been easily preventable,” the pair wrote, pointing to the fact that access to compromised Snowflake accounts was largely due to stolen and reused passwords and failure to use multifactor authentication.
“The recent AT&T disclosure – three months after the breach and following other announced breaches – raises concerns that we still do not know the full scope or impact of the campaign targeting Snowflake customers,” the Senators asserted, giving Snowflake until July 29 to provide an explanation.
COVID test record database found exposed online
Security researcher Jeremiah Fowler, who has made a habit of finding unsecured and sensitive data online, has found some more – this time nearly 150,000 records totaling 12GB containing COVID screening results.
The records – all of which reportedly belong to on-site medical staffing firm InHouse Physicians – include COVID-19 screening results from conferences and other events. Included in the test result records are names and phone numbers of individuals Fowler said he was able to use to “easily obtain further identification details” on the individuals in the database.
InHouse Physicians shut down access to the database after Fowler reported it. It’s not clear if it had already been accessed by someone with more malicious intent.
New APT41 campaign discovered
Google threat hunters have spotted a new sustained campaign being run by Chinese threat actor APT41 – aka Barium Wicked Panda, etc. – targeting global shipping and logistics companies around the world.
The ultimate goal of the attacks appears to be gaining persistence and establishing a connection with APT41-controlled infrastructure for the exfiltration of sensitive data, with Mandiant reporting it’s seen the attack using SQLULDR2 to snag data from Oracle databases, and PINEGROVE to swipe large volumes of data from compromised networks to be exfiltrated to OneDrive.
Mandiant included indicators of compromise in its report. You know what to do with those. ®
