Vítejte u Bezpečnostní neděle – 4. týden. náš týdenní přehled ze světa kybernetické bezpečnosti (22. 1. – 28. 1. 2024).

Shromažďujeme pozoruhodné incidenty a zprávy o zranitelnostech z minulého týdne.

Ukrajinští hacktivisti vymazali 2 PT dat z ruského výzkumného centra

Hlavní zpravodajské ředitelství ukrajinského ministerstva obrany tvrdí, že proukrajinští hacktivisté pronikli do ruského Centra kosmické hydrometeorologie s názvem Planeta a vymazali 2 petabajty dat.

Planeta je státní výzkumné středisko využívající data z vesmírných družic a pozemních zdrojů, jako jsou radary a stanice, k poskytování informací a přesných předpovědí o počasí, klimatu, přírodních katastrofách, extrémních jevech a monitorování sopek.

Agentura je přidružená k ruské kosmické agentuře Roskosmos a podporuje odvětví, jako je armáda, civilní letectví, zemědělství a námořní doprava.

Ukrajinská vláda sice neuvádí, zda se na útoku podílela, ale tvrdí, že hackeři zničili 280 serverů používaných výzkumným centrem, na kterých se nacházely 2 petabajty dat (2000 terabajtů).

Ukrajinská zpravodajská služba uvádí, že škody způsobené ztrátou dat se odhadují na 10 000 000 dolarů, což má dopad na provoz superpočítačových klastrů a také na roky výzkumu.


Kritická zranitelnost Jenkins vystavuje servery útokům RCE

Správci open-source softwaru pro automatizaci Jenkins, vyřešili devět bezpečnostních chyb, včetně kritické chyby, která by v případě úspěšného zneužití mohla vést ke vzdálenému spuštění kódu (RCE).

Chyba sledovaná jako CVE-2024-23897, byla popsána jako zranitelnost spočívající v libovolném čtení souborů prostřednictvím vestavěného rozhraní příkazového řádku (CLI).

„Jenkins používá knihovnu args4j k analýze argumentů a voleb příkazů na řadiči Jenkins při zpracování příkazů CLI,“ uvedli správci ve středečním dokumentu.

„Tento analyzátor příkazů má funkci, která nahrazuje znak @ následovaný cestou k souboru v argumentu obsahem souboru (expandAtFiles). Tato funkce je ve výchozím nastavení povolena a Jenkins 2.441 a starší, LTS 2.426.2 a starší ji nevypíná.“

Útočník může chybu zneužít ke čtení libovolných souborů v souborovém systému.

Bezpečnostní výzkumník společnosti SonarSource Yaniv Nizry se zasloužil o objevení a nahlášení chyby 13. listopadu 2023 a chyba byla opravena ve verzi Jenkins 2.442, LTS 2.426.3 vypnutím funkce parseru příkazů.

Jako krátkodobé řešení, než bude možné aplikovat opravu, se doporučuje vypnout přístup k CLI.


Chyba v Apache ActiveMQ zneužita v nových útocích Godzilla Web Shell

Výzkumníci v oblasti kybernetické bezpečnosti varují před „pozoruhodným nárůstem“ aktivity útočníků, kteří aktivně využívají nyní opravenou chybu v Apache ActiveMQ k poskytování webového shellu Godzilla na napadených hostitelích.

„Webové shelly jsou ukryty v neznámém binárním formátu a jsou navrženy tak, aby se vyhnuly bezpečnostním skenerům a skenerům založeným na signaturách,“ uvedla společnost Trustwave. „Pozoruhodné je, že navzdory neznámému formátu binárního souboru engine JSP ActiveMQ nadále kompiluje a spouští webový shell.“

Webový shell s názvem Godzilla je funkčně bohatý backdoor schopný analyzovat příchozí požadavky HTTP POST, spustit jejich obsah a vrátit výsledky ve formě odpovědi HTTP.

Bližší zkoumání řetězce útoku ukazuje, že kód webového shellu je před svým spuštěním pomocí Jetty Servlet Engine převeden na kód jazyka Java.

Uživatelům Apache ActiveMQ se důrazně doporučuje, aby co nejdříve aktualizovali na nejnovější verzi a zmírnili tak potenciální hrozby.


40 000 útoků za 3 dny: Kritická zranitelnost Confluence RCE je aktivně zneužívána útočníky

Zranitelnost CVE-2023-22527 o které jsme Vás informovali v jednom z předchozích dílů Security Sunday umožňuje neautentifikovaným útočníkům dosáhnout vzdáleného spuštění kódu.

Chyba se týká verzí Confluence Data Center a Server 8 vydaných před 5. prosincem 2023 a také verze 8.4.5.

Pouhých několik dní poté, co se o chybě dozvěděla veřejnost, bylo podle Shadowserver Foundation již 19. ledna zaznamenáno téměř 40 000 pokusů o zneužití zaměřených z více než 600 unikátních IP adres.

Většina IP adres útočníků pochází z Ruska (22 674), následují Singapur, Hongkong, USA, Čína, Indie, Brazílie, Tchaj-wan, Japonsko a Ekvádor.

Bylo zjištěno, že k 21. lednu 2024 bylo přes internet přístupných více než 11 000 instancí 


Více než 5300 GITLAB serverů jsou zranitelné vůči útoku typu ZERO-CLICK ACCOUNT TAKEOVER

Společnost GitLab nedávno vydala bezpečnostní aktualizace, které řeší dvě kritické zranitelnosti ovlivňující verze Community i Enterprise.

Nejkritičtější zranitelnost, sledovaná jako CVE-2023-7028 (CVSS skóre 10), představuje převzetí účtu prostřednictvím obnovení hesla. Tuto chybu lze zneužít k převzetí účtu bez jakékoliv interakce uživatele.

Společnost GitLab tuto chybu odstranila ve verzích 16.7.2, 16.5.6 a 16.6.4.


Tesla hacknuta, 24 zero-days zneužito na Pwn2Own Tokyo

Během hackerské soutěže Pwn2Own Automotive 2024 se bezpečnostní výzkumníci nabourali do informačního a zábavního systému Tesla a představili 24 zero-days zranitelností. 

Tým Synacktiv si odnesl 100 000 dolarů poté, co řetězením dvou zero-day chyb  úniků ze sandboxu a hacknul informační a zábavní systém Tesla.

Společnost Synacktiv také získala dalších 295 000 dolarů poté, co získala root na modemu Tesla a pomocí tří řetězců se nabourala do chytrých nabíjecích stanic Ubiquiti Connect EV a JuiceBox 40, přičemž využila celkem sedm zero-days zranitelností.

Hackerská soutěž Pwn2Own Automotive 2024 se koná v japonském Tokiu během automobilové konference Automotive World od 24. do 26. ledna a je zaměřena na automobilové technologie.

Po skončení soutěže Pwn2Own mají dodavatelé 90 dní na vydání bezpečnostních oprav, než iniciativa Zero Day společnosti TrendMicro tyto zranitelnosti zveřejní.


Apple vydal záplatu na kritickou zero-day zranitelnost v iPhonech a počítačích Mac

Společnost Apple v pondělí vydala bezpečnostní aktualizace pro systémy iOS, iPadOS, macOS, tvOS a webový prohlížeč Safari, které řeší zero-day chybu, jež byla aktivně zneužívána.

Problém, sledovaný jako CVE-2024-23222, představuje chybu záměny typu v jádře prohlížeče WebKit, kterou může útočník zneužít k spuštění libovolného kódu. Technologický gigant uvedl, že problém byl opraven pomocí vylepšených kontrol.

Jedná se o první aktivně zneužívanou zranitelnost, kterou společnost Apple letos opravila. V loňském roce výrobce iPhonů řešil 20 zero-days, které byly použity při reálných útocích.


Kritická chyba společnosti Cisco umožňuje hackerům vzdáleně ovládnout systémy Unified Comms

Společnost Cisco vydala aktualizace, které řeší kritickou bezpečnostní chybu v produktech Unified Communications a Contact Center Solutions, která může neautentifikovanému vzdálenému útočníkovi umožnit spuštění libovolného kódu.

Problém, sledovaný jako CVE-2024-20253 (skóre CVSS: 9,9), vyplývá z nesprávného zpracování dat poskytnutých uživatelem, které může útočník zneužít k odeslání speciálně vytvořené zprávy na naslouchající port zařízení.

„Úspěšné zneužití by mohlo útočníkovi umožnit spuštění libovolných příkazů v základním operačním systému s právy uživatele webových služeb,“ uvedla společnost Cisco v poradním dokumentu. „S přístupem k základnímu operačnímu systému by útočník také mohl na napadeném zařízení získat root přístup.“


Zajímáte se o kybernetickou bezpečnost? Podívejte se na další díly našeho týdeníku Bezpečnostní neděle.