Vítejte u Security Sunday – Week 37, našeho týdenního shrnutí bezpečnosti IT (11. 9. – 17. 9. 2023).
Shromažďujeme pozoruhodné zprávy o incidentech a zranitelnostech z minulého týdne.
Kasina MGM zcela ochromil útok ransomwaru
K odpovědnosti za vysoce destruktivní kybernetický útok na společnost MGM Resorts se přihlásil známý gang ransomwaru ALPHV (alias BlackCat). Společnost z oblasti pohostinství a zábavy dosud neobnovila většinu postižených systémů.
Incident postihl webové stránky, kasino a systémy společnosti MGM používané pro elektronickou poštu, rezervace v restauracích, rezervace hotelů a dokonce i digitální klíče od hotelových pokojů.
Hackeři získali první přístup do systémů společnosti MGM Resorts pomocí sociálního inženýrství.
V loňském roce došlo k narušení bezpečnosti společnosti BetMGM, která patří společnosti MGM Resorts, a hackeři údajně ukradli informace o 1,5 milionu zákazníků.
Zdá se, že společnost MGM nebyla jediným řetězcem kasin, který byl v poslední době zasažen kybernetickým útokem. Společnost Caesars Entertainment zaplatila miliony dolarů hackerům, kteří narušili její systémy ve stejnou dobu jako společnost MGM, a byla schopna obnovit běžný provoz. Společnost Caesars se k narušení přiznala ve čtvrtečním oznámení Komisi pro cenné papíry a burzy, v němž uvedla, že „externí dodavatel IT podpory“ se stal obětí „útoku sociálního inženýrství“, který vedl ke krádeži citlivých údajů o členech jejího věrnostního programu.
Kritická zranitelnost GitHubu vystavuje více než 4 000 repozitářů útoku typu Repojacking
Podle nových zjištění může zranitelnost v systému GitHub vystavit tisíce repozitářů útokům typu repojacking.
Repojacking je technika, při níž útočník převezme kontrolu nad úložištěm GitHub zneužitím logické chyby, která činí přejmenované uživatele zranitelnými.
Prostory názvů na serveru GitHub se stávají zranitelnými vůči repojackingu, pokud je původní uživatelské jméno změněno pomocí funkce „user rename“. Když se uživatel GitHubu přejmenuje, GitHub nenastaví přesměrování pro jeho starou profilovou stránku nebo Stránky, ale vytvoří přesměrování pro jeho úložiště. Bohužel tím je staré uživatelské jméno dostupné komukoli jinému, takže jakmile je uživatel úspěšně přejmenován, může si útočník přivlastnit jeho staré uživatelské jméno, otevřít úložiště pod příslušným jménem a zmocnit se jmenného prostoru.
Chybu objevili výzkumníci společnosti Checkmarx a v případě zneužití by mohla být zneužita k převzetí kontroly nad úložištěm a distribuci škodlivého kódu.
Chyba byla společnosti Microsoft jakožto správci platformy Github nahlášena 1. března 2023 a opravena 1. září 2023.
Společnost Retool viní z narušení bezpečnosti cloudovou synchronizaci služby Google Authenticator MFA
Softwarová společnost Retool tvrdí, že účty 27 zákazníků cloudových služeb byly ohroženy v důsledku cíleného a vícestupňového útoku sociálního inženýrství. Vývojovou platformu Retool používají k vytváření podnikového softwaru společnosti od startupů až po podniky z žebříčku Fortune 500, včetně společností Amazon, Mercedes-Benz, DoorDash, NBC, Stripe a Lyft.
K narušení došlo 27. srpna poté, co útočníci obešli několik bezpečnostních kontrol pomocí SMS phishingu a sociálního inženýrství a kompromitovali účet zaměstnance IT. Útok použil adresu URL, která se vydávala za interní portál identit společnosti Retool, a byl proveden během dříve oznámené migrace přihlašování do služby Okta.
Zatímco většina zaměstnanců podvodnou textovou zprávu ignorovala, jeden z nich kliknul na vložený podvodný odkaz, který ho přesměroval na falešný přihlašovací portál s formulářem vícefaktorového ověřování (MFA).
Společnost Retool viní z úspěchu hackerského útoku novou funkci služby Google Authenticator, která uživatelům umožňuje synchronizovat kódy 2FA s jejich účtem Google. Tato funkce byla dlouho požadována, protože nyní můžete používat kódy 2FA služby Google Authenticator na více zařízeních, pokud jsou všechna přihlášena ke stejnému účtu.
Podle společnosti Retool je však tato funkce také zodpovědná za závažnost srpnového narušení, protože umožnila hackerovi, který úspěšně vylákal účet Google jednoho ze zaměstnanců, získat přístup ke všem kódům 2FA používaným pro interní služby. „Pomocí těchto kódů získal útočník přístup do naší sítě VPN a především do našich interních administrátorských systémů,“ uvedl Retool.
Varianta botnetu Mirai ‚Pandora‘ útočí na televizory se systémem Android
Byla identifikována varianta botnetu Mirai Pandora, která se zaměřuje na cenově dostupné televizory a televizory se systémem Android. Tato zařízení používá jako součást botnetu k provádění útoků DDoS. Mirai je typ malwaru, který útočí na běžná zařízení, jako jsou chytré kamery a domácí routery. Převezme nad nimi kontrolu a učiní je součástí skupiny botů, které lze ovládat na dálku.
Mirai se liší tím, že napadá především připojená chytrá domácí zařízení, jako jsou routery, termostaty, dětské chůvičky, a dokonce i ledničky. Zaměřuje se přitom na jednoduchý operační systém Linux, na kterém běží mnoho těchto zařízení internetu věcí. Mirai využívá slabin těchto chytrých zařízení a propojuje je do botnetu.
Jakmile je zařízení napadeno, spustí se na pozadí služba nazvaná „GoMediaService“. Tato služba se pak používá k nasazení služby Pandora.
Hlavním cílem této kampaně jsou cenově dostupné televizní boxy se systémem Android, například Tanix TX6 TV Box, MX10 Pro 6K a H96 MAX X3. Tato zařízení jsou vybavena čtyřjádrovými procesory Allwinner a Amlogic, takže jsou vhodná pro útoky DDoS.
Únik dat
- Ransomwarový gang BianLian ukradl 6,8 TB dat jedné z největších a nejstarších charitativních organizací na světě, Save The Children.
- Airbus zahajuje vyšetřování po úniku dat
- Izraelská nemocnice zasažena útokem ransomwaru, ukraden 1 TB dat
- Útok ransomwaru zasáhl srílanskou vládu a způsobil ztrátu dat
- Řetězec knihkupectví Dymocks odhalil únik dat, který pravděpodobně postihl 800 000 zákazníků.
- Britská policie Greater Manchester Police (GMP) oznámila, že osobní údaje některých jejích zaměstnanců byly napadeny ransomwarem.
Zranitelnosti
- Správci systému Kubernetes by měli aktualizovat své clustery proti novým zranitelnostem RCE
- Byl zveřejněn důkaz konceptu vzdáleného spuštění kódu v systému Windows 11 s názvem „ThemeBleed“.
- Vlna phishingu v aplikaci Facebook Messenger dosahuje 100 tisíc firemních účtů týdně
- Vietnamští hackeři nasadili Python-Based Stealer přes Facebook Messenger
- Lazarus Group útočí na macOS v rámci útoku na dodavatelský řetězec
- CVE-2023-41955: Zvýšení oprávnění v pluginu WordPress Elementor ovlivňuje 1M webů
- Aktualizace aplikací Adobe Acrobat a Reader opravující aktivně zneužívanou zranitelnost
- Po společnostech Apple a Google opravuje zranitelnost Zero-Day zneužívanou k šíření spywaru také Mozilla
- Společnost SAP opravuje kritickou zranitelnost, která se týká systémů NetWeaver a S/4HANA