Vítejte u Security Sunday – 14. Týden. Náš týdenní přehled událostí ve světě kybernetické bezpečnosti (01.04 – 07.04 2024).
Shromažďujeme pozoruhodné incidenty a zprávy o zranitelnostech z minulého týdne.
CSIRT.CZ publikoval roční report, rapidně narůstá počet phishingových útoků
Národní tým pro kybernetickou bezpečnost CSIRT.CZ nedávno zveřejnil svou roční zprávu, která nejen shrnuje klíčové aktivity týmu a srovnává kybernetické incidenty mezi jednotlivými roky, ale také podrobně analyzuje stále se zvyšující počet phishingových útoků v rámci domény .CZ.
Od roku 2020 se počet zaznamenaných bezpečnostních incidentů v kategorii Phishing téměř ztrojnásobil. Tento rapidní nárůst považujeme za významné riziko pro běžné uživatele internetu. Proto jsme v posledních letech intenzivně pracovali na opatřeních, která nyní umožňují uživatelům, alespoň v rámci domény .CZ, lepší ochranu, uvedl Pavel Bašta, vedoucí Národního týmu pro kybernetickou bezpečnost CSIRT.CZ.
Součástí řešení bezpečnostních incidentů je spolupráce s dalšími bezpečnostními týmy nejen v České republice. V roce 2023 CSIRT.CZ spolupracoval s Policií České republiky na několika desítkách incidentů, které měly svůj původ především v zahraničí. Šlo převážně o phishingové útoky, falešné internetové obchody, podvodné aktivity na inzertních portálech a podvodné weby nabízející investice do virtuálních měn.
Zdroj: https://www.root.cz/zpravicky/csirt-cz-vydal-vyrocni-zpravu-rychle-roste-pocet-phishingu/
Více než 92 000 odhalených zařízení NAS společnosti D-Link má účet s backdoorovým přístupem
Hrozba výzkumníka odhalila novou arbitrary command injetcion a hardcoded backdoorovou chybu v několika modelových zařízeních pro úložiště D-Link Network Attached Storage (NAS) na konci životnosti. Výzkumník, který objevil tuto chybu, ‚Netsecfish‘, vysvětluje, že problém spočívá v skriptu ‚/cgi-bin/nas_sharing.cgi‘, který ovlivňuje jeho komponentu pro zpracování HTTP GET Request Handler. Dvě hlavní problémy přispívající k této chybě, sledované pod označením CVE-2024-3273, jsou backdoor umožněný pomocí hardcoded účtu (uživatelské jméno: „messagebus“ a prázdné heslo) a problém s vložením příkazů pomocí parametru „system“. Když jsou spojeny dohromady, může jakýkoli útočník vzdáleně provádět příkazy na zařízení. Chyba s vložením příkazů vzniká přidáním příkazu zakódovaného v base64 do parametru „system“ pomocí žádosti HTTP GET, která je poté provedena.
„Úspěšné zneužití této chyby by mohlo umožnit útočníkovi provádět libovolné příkazy na systému, potenciálně vedoucí k neoprávněnému přístupu k citlivým informacím, úpravám konfigurace systému nebo podmínkám odmítnutí služby,“ varuje výzkumník.
Modely zařízení postižené CVE-2024-3273 jsou: DNS-320L Verze 1.11, Verze 1.03.0904.2013, Verze 1.01.0702.2013 DNS-325 Verze 1.01 DNS-327L Verze 1.09, Verze 1.00.0409.2013 DNS-340L Verze 1.08
Hackeři využívají chybu v Magento k odcizení platebních údajů z e-commerce webových stránek
Hrozba aktérů byla zjištěna, když byla zneužita kritická chyba v platformě Magento k vložení trvalého zadního vchodu do webových stránek s elektronickým obchodem. Útok využívá CVE-2024-20720 (CVSS skóre: 9.1), které Adobe popsalo jako případ „nepřiměřené neutralizace speciálních prvků“, který by mohl umožnit libovolné provedení kódu. Společnost tuto chybu řešila jako součást bezpečnostních aktualizací vydaných 13. února 2024. Společnost Sansec uvedla, že objevila „šikovně vytvořenou šablonu rozložení v databázi“, která je používána k automatickému vložení škodlivého kódu pro provedení libovolných příkazů. „Útočníci kombinují parser rozložení Magento s balíčkem beberlei/assert (nainstalovaným ve výchozím nastavení) k provedení systémových příkazů,“ uvedla společnost. „Protože je blok rozložení vázán na nákupní košík, je tento příkaz proveden pokaždé, když je vyžádán /checkout/cart.“
Předmětným příkazem je sed, který je použit k vložení zadního vchodu pro provedení kódu, který je pak zodpovědný za doručení skimmeru platebního systému Stripe k zachycení a vyextrahování finančních informací do jiné kompromitované Magento obchodní stránky. Vývoj přichází v době, kdy ruská vláda obvinila šest osob z používání skimmerového malwaru k odcizení informací o platebních kartách a platbách zahraničních e-commerce obchodů alespoň od konce roku 2017. Obviněnými jsou Denis Priymachenko, Alexander Aseyev, Alexander Basov, Dmitry Kolpakov, Vladislav Patyuk a Anton Tolmachev. Recorded Future News uvedl, že zatčení byla provedena před rokem s odkazem na soudní dokumenty. „V důsledku toho členové hackerské skupiny neoprávněně získali informace o téměř 160 tisících platebních kartách zahraničních občanů, které poté prodávali prostřednictvím stínových internetových stránek,“ uvedl Úřad generálního prokurátora Ruské federace.
‚Latrodectus‘ využívá techniky vyhýbání se sandboxu k spuštění škodlivého payloadu
Nový druh malwaru nazvaný „Latrodectus“ pravděpodobně vyvinuli tvůrci bankovního trojanu IcedID a bylo pozorováno, že využívá techniky vyhýbání se sandboxu k spuštění kampaní podvodného zosobnění, které vedou k tomu, že oběti stahují škodlivý payload. Výzkumníci společnosti Proofpoint uvedli ve svém příspěvku na blogu ze dne 4. dubna, že očekávají, že Latrodectus bude stále častěji využíván hrozbami, zejména těmi, kteří předtím distribuovali IcedID. „Pokusy ‚Latrodectusu‘ začlenit funkce vyhýbání se sandboxu souhlasí s trendem obecně v kybernetické hrozbě, že autoři malwaru se stále více snaží obejít obránce a zajistit, aby zátěž obdrželi pouze potenciální oběti,“ napsali výzkumníci. „Proofpoint pozoroval podobné pokusy i u dalších významných malwarů používaných IAB, včetně Pikabotu a WikiLoaderu.“ Zatímco Proofpoint pozoroval útoky spuštěné TA577 na konci loňského roku, výzkumníci uvedli, že Latrodectus byl téměř výlučně distribuován TA578 od poloviny ledna.
Proofpoint uvedl, že tento aktér obvykle používá kontaktní formuláře k zahájení konverzace s cílem. Dne 20. února výzkumníci společnosti Proofpoint pozorovali, že TA578 zosobnil různé společnosti, aby odeslal právní hrozby ohledně údajného porušení autorských práv. Pokud byl navštíven odkaz na zosobněné stránce, byl oběť přesměrována na cílovou stránku přizpůsobenou tak, aby zobrazila doménu oběti a název zosobněné společnosti, která hlásí porušení autorských práv. URL pak stahuje škodlivý JavaScriptový soubor z adresy Google Firebase URL.
Z ústředí Europolu záhadně zmizely citlivé dokumenty
Podle zprávy portálu Politico došlo k významnému bezpečnostnímu průlomu v Evropské unii – zasažena byla agentura EU pro prosazování práva, Europol. Minulý léto zmizela kolekce vysoce důvěrných dokumentů obsahující osobní informace o významných osobnostech Europolu za záhadných okolností.
Chybějící soubory, které zahrnovaly citlivá data týkající se nejvyšších policejních úředníků, jako je výkonná ředitelka Europolu Catherine De Bolle, byly bezpečně uloženy v ústředí Europolu v Haagu. Po objevení průlomu bylo zahájeno šetření evropskými úřady. Vnitřní komunikace datovaná k 18. září odhalila, že vedení Europolu bylo upozorněno na zmizení osobních papírových souborů několika zaměstnanců dne 6. září 2023. Následné kontroly odhalily další chybějící soubory, což vyvolalo vážné obavy ohledně bezpečnosti dat a ochrany soukromí. Europol okamžitě informoval osoby postižené průlomem, stejně jako Evropského dozorce pro ochranu údajů (EDPS). Incident představuje významné riziko nejen pro jednotlivce, jejichž informace byly ohroženy, ale také pro činnost agentury a probíhající vyšetřování.
K situaci přispělo závažnost, když zpráva portálu Politico upozornila na zjištění některých z chybějících souborů členem veřejnosti na veřejném místě v Haagu. Nicméně zůstávají nejasné klíčové detaily ohledně doby nepřítomnosti souborů a příčiny průlomu. Mezi chybějícími soubory byly ty patřící nejvyšším výkonným pracovníkům Europolu, včetně Catherine De Bolle a tří zástupců ředitele. Tyto soubory obsahovaly mnoho citlivých informací, včetně dat o lidských zdrojích. Jako odpověď na průlom Europol přijal opatření proti vedoucímu oddělení lidských zdrojů agentury, Massimilianu Bettinovi, který byl přeložen na administrativní dovolenou. Politico naznačuje, že vnitřní konflikty uvnitř agentury mohly motivovat průlom, spekuluje o potenciálních motivech zaměření se na Bettina konkrétně. Bezpečnostní průlom v Europolu vyvolává vážné obavy ohledně ochrany dat a bezpečnostních opatření v rámci agentury, což vyžaduje naléhavou potřebu dalšího vyšetřování a opatření ke zvýšení ochrany a zabránění budoucím incidentům.
Více než 16 000 IVANTI VPN gateways stále zranitelných pro RCE CVE-2024-21894
Odborníci varují před zhruba 16 500 gateways Ivanti Connect Secure a Poly Secure, které jsou stále zranitelné pro chybu vzdáleného provedení kódu (RCE). Výzkumníci z Shadowserveru oznámili, že zhruba 16 500 bran Ivanti Connect Secure a Poly Secure jsou stále zranitelné pro nedávno hlášenou chybu RCE CVE-2024-21894. Tento týden společnost vydala aktualizace zabezpečení, které řeší čtyři bezpečnostní chyby ovlivňující brány Connect Secure a Policy Secure, které by mohly vést k provedení kódu a odmítnutí služby (DoS), včetně CVE-2024-21894. Chyba CVE-2024-21894 (CVSS skóre 8.2) je chybou přetečení haldy v komponentě IPSec brány Ivanti Connect Secure (9.x, 22.x) a Ivanti Policy Secure, která umožňuje neautorizovanému zákeřnému uživateli odeslat speciálně vytvořené požadavky, aby spadla služba a tím způsobila útok DoS. V určitých podmínkách to může vést k provedení libovolného kódu. Výzkumníci z Shadowserveru prohledali internetové sítě kvůli instancím zranitelným pro CVE-2024-21894 a oznámili, že jich je stále asi 16 500. Většina zranitelných systémů je ve Spojených státech (4686 v době tohoto psaní), následovaných Japonskem (2009) a Velkou Británií (1032). Společnost uvedla, že nejsou informováni o útocích v divočině využívajících tuto zranitelnost.
Malware cílí na routery a IoT zařízení na konci životnosti
Nedávné šetření týmem Black Lotus Labs ve společnosti Lumen Technologies odhalilo znepokojivý trend v kybernetické aktivitě zaměřené na routery a IoT zařízení na konci životnosti (EoL). Výzkum přináší informace o sofistikované kampani využívající aktualizovaný malware známý jako TheMoon, který se tichoučce rozšířil na více než 40 000 zařízení ve 88 zemích k začátku roku 2024. Hlavním cílem této kampaně jsou zřejmě malé domácí a kancelářské routery, které jsou často opomíjeny, pokud jde o aktualizace zabezpečení. Na rozdíl od stolních a serverových počítačů, kde jsou automatické aktualizace běžné, mnoho IoT zařízení postrádá tuto zásadní funkci. Tato opomenutí je vystavují zranitelnosti vůči zneužití kybernetickými zločinci. Jedním z klíčových zjištění šetření je vznik zákeřného proxy serveru nazvaného Faceless, který nabízí kybernetickým zločincům anonymizační služby za minimální poplatek. Směrováním svého provozu přes kompromitovaná zařízení mohou záškodníci skrýt svůj skutečný původ, což znepřehledňuje úkoly pro vyšetřovatele, kteří se snaží sledovat jejich aktivity.
Podle Jasona Soroka, odborníka na kybernetickou bezpečnost, routery a síťová zařízení s slabými hesly jsou dlouhodobě snadnými cíli pro kybernetické útoky. To, co však tuto kampaň odlišuje, je využití proxy sítí k zamlžení provozu řízení a kontroly (C2), což naznačuje novou úroveň sofistikace mezi kybernetickými zločinci.
Chyba v terminálu pro samoobslužný check-in v hotelu spouští kódy pro přístup do pokojů
Samoobslužný terminál pro check-in používaný v německém hotelu Ibis budget byl nalezen, jak únik kódů pro přístup do hotelových pokojů, a výzkumník, který tuto chybu objevil, tvrdí, že problém by mohl potenciálně ovlivnit hotely po celé Evropě. Bezpečnostní chyba terminálu může být zneužita kýmkoli, aniž by bylo zapotřebí technických znalostí nebo specializovaného vybavení. Realisticky řečeno, útočník by mohl za několik minut agregovat řadu kódů pro přístup do pokojů – stejně rychle, jako by to trvalo běžnému zákazníkovi, který použije stejný stroj k přihlášení do svého pokoje. Samoobslužné terminály pro check-in mohou být použity hotelovými hosty jako alternativa k rozhovoru s recepcí, která někdy není k dispozici k obsloužení. Kromě možnosti ubytování hostů do pokojů tyto terminály také umožňují vyhledávat informace o stávajících rezervacích. Pokud například host zapomene svůj kód, může zadat číslo rezervace a terminál zobrazí detaily o jejich rezervaci, včetně kódu jejich pokoje. Martin Schobert ze švýcarské bezpečnostní firmy Pentagrid objevil, že útočník mohl zadat sérii šesti po sobě jdoucích pomlček (——) místo čísla rezervace a terminál by vrátil rozsáhlý seznam podrobností o pokojích.
„Je přijímáno jakékoliv jiné pořadí pomlček, pokud je dost dlouhé na povolení tlačítka odeslání,“ řekl. „Je tedy předpokládáno, že řetězec proměnlivé délky pravděpodobně není hlavní kód, ale chyba nebo nezrušená testovací funkce.“ Jakmile byly pomlčky zadány, informace o rezervaci zobrazovala cenu rezervace a platné kódy pro vstup do pokoje spolu s číslem pokoje. Zahrnovala také časové razítko, které výzkumníci předpokládali jako datum přihlášení – datum, které by mohlo naznačovat délku pobytu hosta. Problém byl objeven náhodou při používání terminálu v hotelu Ibis Budget v Hamburku Altona poté, co Schobert navštívil kybernetickou konferenci ve městě. Byl schopen získat detaily o 87 rezervacích; hotel nabízí 180 pokojů. Není jasné, zda byla chyba omezena na vrácení méně než celého počtu rezervací, nebo zda bylo tehdy platných pouze 87 rezervací.
I bez využití sekvence pomlček Schobert uvedl, že platná čísla rezervací bylo možné nalézt na vyhozených výtiscích, což vyžaduje větší bezpečnostní opatření zakotvená v terminálech. Není těžké si představit potenciální důsledky, pokud by se tento problém dostal do nesprávných rukou. Možnost získání kódů pro vstup může vést k krádežím, samozřejmě, a útočník, který může zaměřit pokoje podle ceny, by mohl vyhledat nejbohatší hosty pro potenciálně největší odměny. Mimo samotnou krádež existuje také možnost zneužití špehováním a dalších nežádoucích akcí, ohrožující osobní bezpečnost hostů.
