Vítejte u Security Sunday – Week 42. našeho týdenního shrnutí ze světa cybersecurity (16. 10. – 22. 10. 2023).

Shromažďujeme pozoruhodné zprávy o incidentech a zranitelnostech z minulého týdne.

Více než 40 000 zařízení Cisco IOS infikováno backdoorem pomocí zero-day zranitelnosti

Více než 40 000 zařízení Cisco s operačním systémem IOS XE bylo napadeno poté, co hackeři zneužili nedávno odhalenou zranitelnost s maximálním CVSs score 10, která je označována jako CVE-2023-20198.

“Není k dispozici žádná záplata ani řešení a jediným doporučením pro zákazníky, jak zařízení zabezpečit, je vypnout funkci HTTP Server na všech systémech směřujících do internetu.” Uvodlo Cisco.

Původní odhady počtu napadených zařízení se pohybovaly kolem 10 000. V aktualizaci z 18. října platforma společnosti Censys uvedla, že počet nalezených kompromitovaných zařízení se zvýšil na 41 983.

Přesný počet zařízení Cisco IOS XE, která jsou dostupná přes veřejný internet, je obtížné získat, ale Shodan uvádí něco přes 145 000 systémů, z nichž většina se nachází v USA.

Společnost Cisco nezveřejnila další podrobnosti o útocích, ale slíbila, že nabídne více informací, až dokončí vyšetřování a až bude k dispozici oprava.

Link: https://www.bleepingcomputer.com/news/security/over-40-000-cisco-ios-xe-devices-infected-with-backdoor-using-zero-day/


Společnost D-Link potvrdila narušení bezpečnosti poté, co zaměstnanec podlehl phishingovému útoku

Tchajwanský výrobce síťových zařízení D-Link nedávno odhalil, že došlo k narušení bezpečnosti dat, při kterém došlo k úniku dat. 

Hackeři údajně tvrdí, že ukradli zdrojový kód softwaru pro správu sítě D-View. Mezi únikem dat jsou také miliony záznamů s osobními údaji svých zákazníků a zaměstnanců. Kompromitované údaje zahrnují jména, adresy, e-maily, telefonní čísla, data registrace účtů a data posledního přihlášení uživatelů.

Útočník na hackerském fóru uvedl: „Pronikl jsem do interní sítě společnosti D-Link na Tchaj-wanu, mám 3 miliony řádků informací o zákaznících a také zdrojový kód k D-View extrahovaný ze systému. Mám informace o mnoha vládních úřednících na Tchaj-wanu, stejně jako o generálních ředitelích a zaměstnancích společnosti.“

Podle společnosti D-Link k selhání zabezpečení došlo v důsledku toho, že jeden z pracovníků naletěl na phishingový email, který útočníkovi umožnil přístup do firemní sítě.

Společnost uvedla, že hackeři získali přístup k starém systému D-View 6, jehož životnost skončila v roce 2015. Toto prostředí společnost D-Link používala jako testovací laboratoř.

Společnost se domnívá, útočník záměrně pozměnil časové značky nedávných přihlášení, aby vyvolal dojem, že došlo k novější krádeži dat. “Nepředpokládáme, že by se tento problém týkal většiny současných klientů společnosti.” uvedl D-Link

Link: https://www.cysecurity.news/2023/10/d-link-confirms-data-breach-after.html


Administrátorovi E-Root hrozí 20 let za prodej ukradených účtů RDP a SSH

Společnost E-Root byla nelegálním online tržištěm, které nabízelo přístup k napadeným počítačům po celém světě výměnou za kryptoměnu.

Důkazy získané během vyšetřování naznačují, že na trhu bylo k prodeji více než 350 000 kompromitovaných systémů, včetně počítačů z nejrůznějších odvětví a nejméně jednoho vládního systému.

Kupující měli k dispozici vyhledávací nástroje pro orientaci v dostupných nabídkách, které používaly kritéria, jako je cenové rozpětí, region, poskytovatel internetového připojení, operační systém, přístup RDP nebo SSH a další.

V oznámení amerického ministerstva spravedlnosti (DoJ) se uvádí, že bylo potvrzeno mnoho případů, kdy byl přístup zakoupený prostřednictvím E-Root využit ke kybernetické trestné činnosti, včetně útoků ransomwarem.

„Mnoho obětí bylo předmětem útoků ransomwaru a některé z ukradených přihlašovacích údajů uvedených na fóru byly spojeny se schématy daňových podvodů nebo ukradenou identitou.“ uvedlo americké ministerstvo spravedlnosti.

Sandu Diaconu, provozovatel tržiště E-Root, byl vydán z Spojeného království do USA, kde mu hrozí trest odnětí svobody v maximální výši 20 let za prodej přístupu k napadeným systémům.

Link: https://www.bleepingcomputer.com/news/security/e-root-admin-faces-20-years-for-selling-stolen-rdp-ssh-accounts/


Hacker odhalil dalších 4,1 milionu ukradených profilů genetických dat společnosti 23andMe

Útočník pod přezdívkou „Golem“, který údajně stojí za útoky dat společnosti 23andMe, na hackerském fóru BreachForums zveřejnil dalších 4,1 milionu datových profilů.

Útočníci tvrdí, že ukradené údaje obsahují genetické informace například i o královské rodině. „Na tomto seznamu můžete vidět nejbohatší lidi žijící v USA a západní Evropě,“ uvedl hacker.

Jak informoval server TechCrunch, u některých nově uniklých údajů z Velké Británie bylo ověřeno, že se shodují se známými a veřejně dostupnými uživatelskými a genetickými informacemi.

TechCrunch rovněž uvádí, že některé z uniklých údajů společnosti 23andMe byly v srpnu 2023 prodávány na nyní odstaveném hackerském fóru Hydra, kde útočník tvrdil, že ukradl 300 terabytů dat. Hacker na fóru BreachForums také tvrdí, že má k dispozici „stovky TB dat“, což pravděpodobně naznačuje, že se jedná o stejná ukradená data.

„V současné době data prověřujeme, abychom zjistili, zda jsou legitimní. Naše vyšetřování pokračuje, a pokud se dozvíme, že k údajům některého zákazníka byl získán přístup bez jeho oprávnění, budeme ho přímo informovat a poskytneme mu další informace.“ uvádí společnost 23andMe


Více než 40 000 administrátorských účtů na webových portálech používá jako heslo „admin“

Bezpečnostní výzkumníci zjistili, že správci IT systémů používají pro administrátorské účty slabá hesla, což umožňuje kybernetické útoky na podnikové sítě.

Z více než 1,8 milionu analyzovaných přihlašovacích údajů bylo více než 40 000x použito jako heslo „admin“, což ukazuje, že toto výchozí heslo je správci IT široce akceptováno.

Mezi top 5, hesel které společnost Outpost24 detekovala bylo např. Admin, 123456, 12345678. 1234 nebo Password.

Tyto údaje byly shromážděny mezi lednem a zářím letošního roku prostřednictvím systému Threat Compass.

Výzkumníci varují, že ačkoli jsou testování omezena na známá a předvídatelná hesla, jsou spojeny s administrátorskými účty a útočníci se zaměřují právě na tyto uživatele.

Link: https://www.bleepingcomputer.com/news/security/over-40-000-admin-portal-accounts-use-admin-as-a-password/


SpyNote: Pozor na trojského koně pro Android, který nahrává zvuk a telefonní hovory

Podle společnosti F-Secure se tento spyware obvykle šíří prostřednictvím phishingových SMS kampaní, které oběti přimějí k instalaci aplikace kliknutím na vložený odkaz.

Kromě toho, že SpyNote požaduje oprávnění k přístupu k protokolům hovorů, fotoaparátu, SMS zprávám a externímu úložišti, je známý tím, že skrývá svou přítomnost na domovské obrazovce systému Android a na obrazovce s posledními položkami ve snaze znemožnit své odhalení.

Nejdůležitější je, že si aplikace vyžádá přístupová oprávnění a následně je využije k tomu, aby si udělila další oprávnění k nahrávání zvuku a telefonních hovorů, zaznamenávání stisků kláves a také pořizování snímků obrazovky telefonu prostřednictvím rozhraní API MediaProjection.

Bližší zkoumání malwaru odhalilo přítomnost tzv. diehard služeb, jejichž cílem je odolávat pokusům o jeho ukončení, ať už ze strany obětí, nebo operačního systému.

„Oběti nakonec zbývá pouze možnost provést obnovení továrního nastavení, čímž přijde o všechna data.“ uvedla společnost F-Secure

Toto odhalení přichází v době, kdy finská firma zabývající se kybernetickou bezpečností podrobně popsala falešnou aplikaci pro Android, která se tváří jako aktualizace operačního systému.

Link: https://thehackernews.com/2023/10/spynote-beware-of-this-android-trojan.html


Zajímáte se o kybernetickou bezpečnost? Podívejte se na další díly našeho týdeníku Security Sunday.