Vítejte u Security Sunday – Week 44. našeho týdenního shrnutí ze světa cybersecurity (30. 10. – 5. 11. 2023).
Shromažďujeme pozoruhodné zprávy o incidentech a zranitelnostech z minulého týdne.
Společnost Boeing potvrdila kybernetický útok v souvislosti s tvrzeními ransomware skupiny LockBit
Letecký gigant Boeing vyšetřuje kybernetický útok, který ovlivnil jeho obchod a distribucí poté, co ransomwarový gang LockBit prohlásil, že pronikl do sítě společnosti a ukradl data.
Společnost Boeing uvedla, že incident neměl vliv na bezpečnost letů, a potvrdila spolupráci s orgány činnými v trestním řízení a regulačními orgány v rámci probíhajícího vyšetřování.
Webové stránky společnosti Boeing byly v době psaní článku nefunkční a zobrazovali zprávu, že probíhající výpadek je způsoben „technickými problémy“.
„Jsme si vědomi kybernetického incidentu, který ovlivnil prvky našeho podnikání v oblasti náhradních dílů a distribuce. Tento problém nemá vliv na bezpečnost letů,“ uvedla společnost Boeing pro BleepingComputer.
Zranitelnost Apache ActiveMQ zneužívána při ransomware útocích
Více než tři tisíce serverů Apache ActiveMQ vystavených do internetu jsou zranitelné na chybu RCE s CVE-2023-46604. Tato chyba je označena podle CVSS v3 jako kritická s score 10 a umožňuje útočníkům spustit libovolný příkaz v protokolu OpenWire.
Apache ActiveMQ je škálovatelný open-source zprostředkovatel zpráv, který podporuje komunikaci mezi klienty a servery, podporuje Javu a různé mezijazykové klienty a mnoho protokolů, včetně AMQP, MQTT, OpenWire a STOMP.
Díky tomu, že projekt podporuje různorodou sadu bezpečných mechanismů ověřování a autorizace, je široce používán v podnikových sítích.
Podle zprávy společnosti Apache z 27. října 2023 byl problém odstraněn v verzích 5.15.16, 5.16.7, 5.17.6 a 5.18.3, na které je doporučené aktualizovat.
Link: https://www.theregister.com/2023/11/02/apache_activemq_vulnerability/
Vydání nového standardu hodnocení závažnosti zranitelností CVSS v4.0
FIRST oficiálně vydalo novou generaci standardu CVSS v4.0, který vznikl osm let po předchozí hlavní verzi CVSS 3.0.
„Revidovaná norma nabízí jemnější granularitu základních metrik, odstraňuje nejednoznačnost následného bodování, zjednodušuje metriky hrozeb a zvyšuje účinnost hodnocení bezpečnostních požadavků specifických pro dané prostředí“ uvedla společnost FIRST.
„Kromě toho bylo přidáno několik doplňkových metrik pro hodnocení zranitelností, včetně automatizovatelnosti (wormable), zotavení (resilience), hustoty hodnot, úsilí při reakci na zranitelnost a naléhavosti.
Klíčovým vylepšením verze CVSS v4.0 je také dodatečná použitelnost pro OT/ICS/IoT.
Tato nejnovější verze také přidává novou nomenklaturu s hodnocením závažnosti Base (CVSS-B), Base + Threat (CVSS-BT), Base + Environmental (CVSS-BE) a Base + Threat + Environmental (CVSS-BTE).
Kompletní seznam všech změn dodávaných se standardem CVSS v4.0, včetně jemnější granularity prostřednictvím nových metrik Base a lepších metrik dopadu, je k dispozici na webu FIRST.org
Link: https://www.first.org/cvss/v4.0/specification-document
Záhadný Kill Switch IoT botnetu Mozi
Nečekaný pokles škodlivé aktivity spojené s botnetem Mozi v srpnu 2023 byl způsoben příkazem, který byl botům distribuován.
„Nejprve se pokles projevil v Indii 8. srpna,“ uvedla společnost ESET v analýze zveřejněné tento týden. „O týden později, 16. srpna, se totéž stalo v Číně. Záhadný řídicí payload – alias kill switch – sice zbavil Mozi boty většiny funkcí, ty si však zachovaly perzistenci.“
Mozi je IoT botnet, který vznikl ze zdrojového kódu několika známých rodin malwaru, jako jsou Gafgyt, Mirai a IoT Reaper. Poprvé byl spatřen v roce 2019 a je známo, že k prvotnímu přístupu využívá slabá a výchozí hesla pro vzdálený přístup a také neopravené bezpečnostní chyby.
Prudký pokles aktivity Mozi – z přibližně 13 300 hostitelů 7. srpna na 3 500 10. srpna – je však údajně důsledkem toho, že neznámý aktér předal botům příkaz, aby stáhli a nainstalovali aktualizaci určenou k neutralizaci malwaru.
„Navzdory drastickému omezení funkčnosti si boti Mozi zachovali perzistenci, což svědčí o záměrném a promyšleném odstranění,“ uvedli bezpečnostní výzkumníci Ivan Bešina, Michal Škuta a Miloš Čermák.
„Existují dva potenciální iniciátoři tohoto zásahu: původní tvůrce botnetu Mozi nebo čínské orgány činné v trestním řízení, které možná získaly nebo donutily ke spolupráci původního aktéra nebo aktéry,“ uvedl Bešina.
Link: https://www.darkreading.com/ics-ot/somebody-just-killed-mozi-botnet
Nové zero-days zranitelnosti Microsoft Exchange umožňují útoky RCE a krádeže dat
Microsoft Exchange je ovlivněn čtyřmi zero-day zranitelnostmi, které mohou útočníci na postižených instalacích vzdáleně zneužít ke spuštění libovolného kódu nebo ke zpřístupnění citlivých informací.
Zero-day zranitelnosti byly odhaleny iniciativou Zero Day Initiative (ZDI) společnosti Trend Micro, která je 7. a 8. září 2023 nahlásila společnosti Microsoft.
Přestože společnost Microsoft hlášení uznala, její bezpečnostní inženýři rozhodli, že chyby nejsou dostatečně závažné, aby potřebovaly okamžitý zásah, a odložili opravy na později.
Společnost ZDI s touto reakcí nesouhlasila a rozhodla se chyby zveřejnit pod vlastními sledovacími ID, ZDI-23-1578, ZDI-23-1579, ZDI-23-1580 a ZDI-23-1581.
Všechny tyto zranitelnosti vyžadují pro zneužití ověření, což snižuje jejich hodnocení závažnosti CVSS na 7,1 až 7,5. Vyžadování autentizace je navíc zmírňujícím faktorem a možná i důvodem, proč společnost Microsoft nepřikládala opravám těchto chyb prioritu.
Je však třeba poznamenat, že kybernetičtí zločinci mají mnoho způsobů, jak získat přihlašovací údaje k serveru Exchange, včetně vynucování slabých hesel, provádění phishingových útoků, jejich nákupu nebo získání ze záznamů o krádežích informací.
Přesto by výše uvedené zero-days neměly být považovány za nedůležité, zejména ZDI-23-1578, může vyústit v kompletní kompromitaci systému.
Doporučujeme také zavést vícefaktorové ověřování, které kyberzločincům zabrání v přístupu k instancím Exchange, i když byly přihlašovací údaje k účtu kompromitovány, uvedlo ZDI.
Společnost Atlassian varuje před zneužitím chyby v Confluence, k dispozici je veřejný exploit
Společnost Atlassian varovala administrátory, že je nyní k dispozici veřejný exploit kritické bezpečnostní chyby Confluence, kterou lze využít k útokům, které umožní zničení dat.
Jedná se o zranitelnost s nesprávnou autorizací, sledovanou jako CVE-2023-22518, s hodnocením závažnosti 9,1/10, která se týká všech verzí softwaru Confluence Data Center a Confluence Server.
„Zatím nemáme žádné zprávy o aktivním zneužití, zákazníci však musí okamžitě přijmout opatření k ochraně svých instancí. Pokud jste již záplatu aplikovali, není třeba podnikat žádné další kroky.“
Společnost Atlassian opravila tuto zranitelnost ve verzích 7.19.16, 8.3.4, 8.4.4, 8.5.3 a 8.6.1 datového centra a serveru Confluence.
Link: https://www.bleepingcomputer.com/news/security/atlassian-warns-of-exploit-for-confluence-data-wiping-bug-get-patching/
Kybernetický útok
- Telefony Huawei, Vivo označují aplikaci Google jako malware TrojanSMS-PA
- Porušení zabezpečení Okta: 134 zákazníků bylo odhaleno při říjnovém hacknutí systému podpory
- Společnost Ace Hardware uvádí, že během kybernetického útoku bylo zasaženo 1202 zařízení
- Víkendový kybernetický útok vyřadil z provozu Britskou knihovnu
- Flipper Zero: Bluetooth spamové útoky přenesené do nové aplikace pro Android