Shromažďujeme pozoruhodné zprávy o incidentech a zranitelnostech z minulého týdne.

Společnost MGM Resorts tvrdí, že ji ransomware útok stál 110 milionů dolarů

MGM Resorts čelila nedávno devastujícímu ransomwarovému útoku o kterém jsme Vás informovali v jednom z předchozích dílů Security Sunday. Společnost uvedla, že náklady způsobené ochromením provozu převážně v jejich podnicích v Las Vegas přesáhly 110 milionů dolarů, včetně 10 milionů dolarů za jednorázové konzultační poplatky, technologické poradenské služby, právní poplatky a výdaje dalších poradců třetích stran.

Společnost potvrdila narušení v některých svých provozech, ale uvedla, že narušení nezpůsobilo odcizení čísel bankovních účtů ani údajů o platebních kartách zákazníků.

MGM Resorts však uvedla, že hackeři ukradli osobní údaje (včetně jména, kontaktních údajů (telefonní číslo, e-mailová adresa a poštovní adresa), pohlaví, data narození a čísla řidičského průkazu). “U omezeného počtu zákazníků získali pachatelé trestné činnosti také čísla sociálního pojištění a cestovních pasů,” dodala společnost.

“Typy zasažených informací se u jednotlivých osob lišily. V tuto chvíli se nedomníváme, že by zločinci získali hesla zákazníků, čísla bankovních účtů nebo informace o platebních kartách. Společnost se navíc nedomnívá, že by zločinci získali přístup k systémům nebo datům The Cosmopolitan of Las Vegas,” dodala společnost MGM Resorts.

---

Aktivní zneužití kritické Zero-Day chyby v nástroji Atlassian Confluence.

Tento týden byla objevena zero-day zranitelnost v populárním softwarovém nástroji Atlassian Confluence. Tato zranitelnost, označená jako CVE-2023–22515, odhaluje kritickou chybu v řízení přístupu, která měla dopad na verze Confluence Data Center a Server.

Atlassian uvedl, že tato zranitelnost byla využita k vytvoření neautorizovaných administrátorských účtů v Confluence a následnému přístupu k Confluence instancím​. Zasažené verze jsou od 8.0.0 do 8.5.1 a Atlassian doporučil upgrade na jednu z opravených verzí což jsou 8.3.3, 8.4.3, 8.5.2 (Long Term Support release) nebo novější​.

Byla zveřejněna také doporučení pro zákazníky, kteří nemohou své instance okamžitě aktualizovat, aby omezili externí síťový přístup, dokud nebude možný upgrade.

Aktualizace na opravenou verzi size řeší problém zranitelnosti, ale neodstraňuje možnou kompromitaci, takže by správci měli také zkontrolovat indikátory kompromitace, kterými jsou:

• Neočekávaní členové skupiny confluence-administrator
• Neočekávané nově vytvořené uživatelské účty
• Přístupy na /setup/*.action
• Přítomnost souboru /setup/setupadministrator.action ve zprávě o výjimce v souboru atlassian-confluence-security.log v domovském adresáři Confluence

V době kdy jsme psali Security Sunday nebylo zranitelnosti přiřazeno žádné CVSSv3 score. Atlasian této zranitelnosti přidělil interní score 10.0 CRITICAL.

---

Exploit pro zranitelnost CVE-2023–4911 ohrožuje mnoho linuxových systémů

Nedávno byl uvolněn exploit pro zranitelnost CVE-2023–4911. Tato zranitelnost, označovaná jako ‘Looney Tunables’, byla identifikována ve GNU C knihovně, konkrétně v dynamickém loaderu ld.so, a při úspěšném využití umožňuje lokální eskalaci oprávnění, což může útočníkům umožnit získání rootových privilegií.

Zranitelnost je způsobena buffer overflow chybou, která nastává při zpracování proměnné prostředí GLIBC_TUNABLES během inicializace procesu.

Správci musí jednat neprodleně, protože tato bezpečnostní chyba, která umožňuje úplný přístup roota k systémům s nejnovějšími verzemi široce používaných platforem Linux, včetně Fedory, Ubuntu a Debianu, představuje významnou hrozbu.

Zatímco administrátoři Alpine Linuxu, distribuce, která není touto zranitelností zasažena, se o záplatování svých systémů starat nemusí, administrátoři ostatních zasažených systémů musí záplatování upřednostnit, aby zajistili bezpečnost svých systémů.

“Naše úspěšné zneužití, které vedlo k získání plných práv roota v hlavních distribucích, jako jsou Fedora, Ubuntu a Debian, poukazuje na závažnost a rozšířenost této zranitelnosti,” uvedl v úterý Saeed Abbasi, produktový manažer oddělení výzkumu hrozeb společnosti Qualys.

---

Společnost Sony odhalila únik dat, který postihl tisíce lidí

V tomto týdnu společnost Sony Interactive Entertainment (dále jen “Sony”) potvrdila vážný únik dat, který postihl tisíce lidí, převážně ve Spojených státech. Incident ovlivnil současné i bývalé zaměstnance společnosti.

Tento únik dat byl důsledkem využití zero-day zranitelnosti v platformě MOVEit Transfer, konkrétně zranitelnosti CVE-2023–34362, která se týkala kritické chyby umožňující vzdálené spuštění kódu. Útočníkem byla skupina Clop ransomware, která využívá tuto zranitelnost ve velkém měřítku, což vede ke kompromitaci řady organizací po celém světě​​.

Podle dostupných informací byly kompromitovány citlivé informace týkající se zhruba 6,800 jednotlivců. Společnost Sony zjistila neoprávněné stahování dat 2. června 2023, tedy pouze několik dní po samotném útoku, který se odehrál 28. května 2023. Sony následně zahájila vyšetřování s pomocí externích expertů na kybernetickou bezpečnost.

---

Cloudflare Proti Cloudflare: Ironie v Ochraně Před DDoS Útoky

V poslední době byl objeven zajímavý a ironický bezpečnostní problém týkající se platformy Cloudflare, známé pro své schopnosti ochrany před DDoS útoky. Stefan Proksch, rakouský bezpečnostní inženýr, odhalil, že je možné obejít DDoS ochranu Cloudflare pomocí nástrojů, které sama Cloudflare poskytuje.

Základ problému spočívá v logických nedostatcích v řízení meziklientské bezpečnosti Cloudflare. Tyto nedostatky umožnily útočníkům vytvořit specifický útočný proces pro obejití firewallu a DDoS preventivních mechanismů Cloudflare, které jsou typicky použity k ochraně webových stránek před kybernetickými útoky.

Útočník nejprve nastaví vlastní doménu s Cloudflare a ukáže DNS A záznam na IP adresu oběti (původní server). Poté deaktivuje všechny ochranné funkce pro tuto vlastní doménu ve svém klientovi Cloudflare a může směrovat své útoky přes infrastrukturu Cloudflare pomocí sdíleného certifikátu, čímž účinně obejde ochranné funkce nastavené obětí​.

Podle Proksche lze bezpečnostní problém řešit použitím vlastních certifikátů, což však vyžaduje, aby zákazníci vytvářeli a udržovali své vlastní certifikáty pro origin pull, což může být méně pohodlné než použití certifikátu Cloudflare​.

---

NSA a CISA odhalují 10 nejčastějších chybných konfigurací které ohrožují bezpečnost

Národní bezpečnostní agentura (NSA) a Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) odhalily deset nejčastějších chybných konfigurací v oblasti kybernetické bezpečnosti, které jejich Red a Blue týmy odhalily v sítích velkých organizací.

“Tyto týmy hodnotily bezpečnostní pozici mnoha sítí v rámci ministerstva obrany (DoD), federální civilní exekutivy (FCEB), státní, místní, kmenové a územní správy (SLTT) a soukromého sektoru,” uvedla NSA.

Mezi deset nejčastějších síťových konfigurací, které byly odhaleny při hodnocení Red a Blue týmem NSA a CISA Hunt and Incident Response, patří:

• Výchozí konfigurace softwaru
• Nesprávné oddělení oprávnění uživatele/správce
• Nedostatečné monitorování vnitřní sítě
• Nedostatečná segmentace sítě
• Špatná správa aktualizací
• Obcházení kontrol přístupu k systému
• Slabé nebo špatně nakonfigurované metody vícefaktorového ověřování (MFA)
• Nedostatečné seznamy řízení přístupu (ACL) u síťových sdílených složek a služeb
• Neomezené spouštění kódu
• Nedostatečná složitost hesla