Vulnérabilités critiques dans Cisco Webex
L'équipe de recherche d'IBM a découvert des vulnérabilités dans l'application Cisco Webex qui pourraient être exploitées pour permettre à un attaquant de rejoindre une réunion et d'écouter les conversations en tant que «fantôme» sans être découvert. Des vulnérabilités pourraient être exploitées si un attaquant connaissait l'URL de la réunion Webex ou la salle personnelle des utilisateurs. Cisco a déjà publié des correctifs disponibles dans la dernière version du produit.
Vulnérabilités critiques dans un certain nombre de systèmes ICS
Les sociétés technologiques Real Time Automation, Paradox, Sensormatic Electronics et Schneider Electric ont mis en garde contre les vulnérabilités critiques de leurs produits. Le score CVSS le plus élevé de 9,8 sur 10 était pour une vulnérabilité de dépassement de mémoire tampon (CVE-2020-251590) dans le logiciel d'automatisation en temps réel.
Nouvelle attaque de la faction Lazarus
Les chercheurs d'ESET ont découvert une nouvelle attaque de la chaîne d'approvisionnement de Lazarus à l'aide du logiciel légitime WIZVERA VeraPort. WIZVERA VeraPort est conçu pour intégrer et gérer les programmes d'installation liés aux services bancaires par Internet en Corée du Sud. Les cybercriminels ont compromis plusieurs sites prenant en charge VeraPort et ont falsifié les packages d'installation. Le malware a été téléchargé sur les ordinateurs des victimes en utilisant la faille logicielle WIZVERA VeraPort lors de la vérification de la signature. À la suite de l'attaque, VeraPort a téléchargé des logiciels malveillants sans que les utilisateurs ne le remarquent.