Vítejte u Security Sunday – Week 2. našeho týdenního shrnutí ze světa cybersecurity (08. 01. – 14. 01. 2024).
Shromažďujeme pozoruhodné zprávy o incidentech a zranitelnostech z minulého týdne.
Více než 150 000 WordPressových webů je vystaveno riziku
Minulý měsíc objevili bezpečnostní výzkumníci společnosti Wordfence dvě zranitelnosti v pluginu POST SMTP Mailer.
První z nich, sledovaná jako CVE-2023-6875, je kritická chyba obcházení autorizace která vzniká v REST API. Problém se týká všech verzí pluginu až do 2.8.7.
Druhou zranitelností je problém XSS (cross-site scripting) označený jako CVE-2023-7027. Chyba ovlivňuje POST SMPT až do verze 2.8.7 a umožňuje útočníkům vložit do webových stránek libovolné skripty.
Na základě statistik z webu wordpress.org existuje zhruba 150 000 webů, které používají zranitelnou verzi pluginu nižší než 2.8.
Společnost Wordfence kontaktovala výrobce pluginu 8. a 19. prosince 2023. Oprava byla vydána 1. ledna 2024 a správcům se doporučuje aktualizovat na verzi 2.8.8.
Společnost Juniper varuje před kritickou chybou RCE ve svých firewallech a switchích
Společnost Juniper Networks vydala bezpečnostní aktualizace, které opravují kritickou zranitelnost RCE (remote code execution) v firewallech řady SRX a switchích řady EX.
Tato kritická bezpečnostní chyba, která se nachází v konfiguračních rozhraních J-Web je sledována jako CVE-2024-21591, může být zneužita neautentizovanými útočníky k získání práv roota nebo k útokům typu DoS (denial-of-service).
„Tento problém je způsoben použitím nezabezpečené funkce umožňující útočníkovi přepsat libovolnou paměť,“ vysvětlila společnost v bezpečnostním upozornění zveřejněném ve středu.
Podle údajů organizace Shadowserver má více než 8 000 zařízení Juniper dostupné rozhraní J-Web z internetu.
Správcům se doporučuje okamžitě aplikovat bezpečnostní aktualizace nebo aktualizovat systém JunOS na nejnovější verzi. Pokud není možná aktualizace, doporučuje se alespoň zakázat rozhraní J-Web, aby se odstranil vektor útoku.
GitLab vydává záplatu na kritické zranitelnosti
Společnost GitLab vydala aktualizace zabezpečení, které řeší dvě kritické zranitelnosti, včetně té, kterou lze zneužít k převzetí účtů bez nutnosti interakce uživatele.
Chyba označená jako CVE-2023-7028 získala v systému CVSS maximální stupeň závažnosti 10,0.
Platforma DevSecOps uvedla, že zranitelnost je důsledkem chyby v procesu ověřování e-mailu, která umožňovala uživatelům resetovat heslo prostřednictvím sekundární e-mailové adresy.
Společnost GitLab uvedla, že problém vyřešila ve verzích GitLab 16.5.6, 16.6.4 a 16.7.2, a navíc opravu zpětně odeslala do verzí 16.1.6, 16.2.9, 16.3.7 a 16.4.5.
Uživatelé, kteří mají povoleno dvoufaktorové ověřování, nejsou náchylní k převzetí účtu, protože k přihlášení je vyžadován jejich druhý ověřovací faktor. – uvedla společnost GitLab.
V rámci nejnovější aktualizace opravil GitLab také další kritickou chybu (CVE-2023-5356, skóre CVSS: 9,6), která umožňuje uživateli zneužít integrace Slack/Mattermost ke spuštění příkazů slash jako jiný uživatel.
Kritická chyba Microsoft SharePoint je nyní aktivně zneužívána
CISA varuje, že útočníci nyní zneužívají kritickou chybu zvýšení oprávnění ve službě Microsoft SharePoint, kterou lze spojit s jinou kritickou chybou a vzdáleně spustit kód.
Chyba zabezpečení, sledovaná jako CVE-2023-29357, umožňuje vzdáleným útočníkům získat administrátorská oprávnění na neopravených serverech obejitím ověřování pomocí podvržených autentizačních tokenů JWT.
„Útočník, který tuto chybu úspěšně zneužije, může získat oprávnění správce. Útočník nepotřebuje žádná oprávnění, ani uživatel nemusí provést žádnou akci.“ – vysvětluje Microsoft.
Útočníci mohou také spustit libovolný kód na napadených serverech SharePoint prostřednictvím command injection, pokud tuto chybu spojí s RCE zranitelností CVE-2023-24955.
Kryptominery útočí na špatně nakonfigurovaný Apache Hadoop
Výzkumníci v oblasti kybernetické bezpečnosti identifikovali nový útok, který využívá chybné konfigurace v aplikacích Apache Hadoop a Flink k nasazení kryptominerů v cílových prostředích.
„Tento útok je obzvláště zajímavý díky tomu, že útočník používá balíčkovací programy a rootkity ke skrytí malwaru. Malware pak maže obsah konkrétních adresářů a upravuje konfiguraci systému, aby se vyhnul detekci.“ uvedli bezpečnostní výzkiumníci.
Vektor útoku zaměřený na systém Hadoop využívá chybnou konfiguraci YARN ResourceManageru, který je zodpovědný za sledování zdrojů v clusteru a plánování aplikací. Konkrétně může tuto chybnou zneužít neautentizovaný útočník ke spuštění libovolného kódu pomocí HTTP požadavku.
Útoky zaměřené na Apache Flink se podobně zaměřují na chybnou konfiguraci, která umožňuje vzdálenému útočníkovi dosáhnout spuštění kódu bez jakékoli autentizace.
Spuštěný payload je zabalená binárka, která funguje jako downloader pro získání dvou rootkitů a binárky pro těžbu kryptoměny Monero. K dosažení perzistence je vytvořena cron, který spouští downloader.
V rámci zmírnění se organizacím doporučuje nasadit bezpečnostní řešení založená na agentech, která odhalí kryptominery a rootkity.
Bitwarden přidává podporu passkey
Oblíbený open-source správce hesel Bitwarden oznámil, že všichni uživatelé se nyní mohou do svých webových trezorů přihlašovat pomocí přístupového klíče namísto standardní dvojice uživatelského jména a hesla.
Passkey jsou bezpečnější alternativou k heslům, která si nastavuje většina lidí, a jsou odolné proti phishingu. V případě služby Bitwarden umožňují uživatelům dešifrovat jejich trezor bez nutnosti zadávat hlavní heslo, e-mailovou adresu nebo dvoufaktorové ověřování (2FA).