Vítejte u Security Sunday – Week 41. našeho týdenního shrnutí ze sevěta cybersecurity (9. 10. – 15. 10. 2023).
Shromažďujeme pozoruhodné zprávy o incidentech a zranitelnostech z minulého týdne.
Google, Cloudflare a AWS zaznamenali největší DDoS útok v historii
Poskytovatelé internetové infrastruktury Google Cloud, Cloudflare a Amazon Web Services zaznamenali dosud největší DDoS útoky v jejich historii.
Útoky byly nahlášeny 10. října, přičemž poskytovatelé cloudových služeb uvedli, že útoky byly součástí hromadného zneužití zero-day zranitelnosti v HTTP/2 protokolu. Samotné DDoS útoky začaly v průběhu srpna a v době psaní tohoto článku stále pokračují.
V příspěvku na blogu společnost Google vysvětlila, že se jedná o „dosud největší DDoS útok“, přičemž počet požadavků za sekundu (rps) dosáhl více než 398 milionů, což je sedm a půlkrát více než předchozí rekordní DDoS. Společnost Google poznamenala, že 398 milionů req odpovídá „většímu počtu požadavků, než je celkový počet zobrazení článků na Wikipedií za celé září 2023“.
Útok HTTP/2 Rapid Reset zneužívá specifických funkcí protokolu HTTP/2 k přetížení serverů. První fází tohoto útoku je navázání spojení HTTP/2 se serverem a následně okamžité odeslání zprávy ‚Reset‘ pro ukončení spojení. Na straně útočníka je tato akce vykonově nenáročná, ale pro server znamená značnou zátěž při uvolňování a „uklízení“ spojení.
Dále útok využívá funkce ‚stream multiplexing‘, což umožňuje útočníkovi odeslat velký počet požadavků a následně je okamžitě zrušit. Tímto způsobem dochází k vytvoření značné serverové zátěže s minimálními náklady na straně útočníka. Tento útok je zesílen otevřením a okamžitým zrušením velkého počtu streamů najednou, aniž by útočník čekal na odpovědi od serveru nebo proxy což vede k vyčerpání serverových zdrojů
CSO společnosti Cloudflare v příspěvku na jejich blogu zmiňuje, že útok bylo možné provést pomocí poměrně malého botnetu, který se skládá ze zhruba 20 000 strojů.
Byly opraveny kritické chyby zabezpečení v aplikaci Curl, uživatelům se doporučuje aktualizace.
Pravděpodobně nejhorší bezpečnostní chyba curl za dlouhou dobu. Takto označil chybu sledovanou jako CVE-2023-38545 Daniel Stenberg, zakladatel a vedoucí vývojář projektu curl.
Tato chyba je typu buffer overflow, což je typ zranitelnosti, při které program zapisuje data do přiděleného paměťového bufferu takovým způsobem, že překročí velikost bufferu a data se rozlijí do jiných paměťových oblastí. Ačkoli proof-of-concept exploity prozatím prokázaly pouze pád aplikace, výzkumníci se domnívají, že je jen otázkou času, kdy bude dosaženo spuštění kódu. Dobrou zprávou je, že zranitelné jsou pouze některé konfigurace a to nikoli ty výchozí.
Oprava zranitelnosti je obsažena v nové verzi Curl 8.4.0 a uživatelům se doporučuje, aby co nejdříve přešli na tuto nejnovější verzi.
Ransomware útoky se nyní zaměřují na neopravené servery WS_FTP
O kritické zranitelnosti WS_FTP serveru společnosti Progress software jsem Vás informovali v jednom z předchozích dílů security sunday. Zranitelnost s označením CVE-2023-40044 a CVSS v 3 score 10 je nyní aktivně zneužívána k ransomware útokům.
I když společnost Progress software vydala aktualizaci, do internetu je stále vystavených mnoho serverů s touto zranitelností, kterou útočníci využívají k ransomware útokům. Jelikož je výkupné poměrně malé, lze usoudit, že útoky provádí automatizované scripty.
Přehled ransomwaru: Září 2023
U ransomware ješte zůstaneme a podíváme se na shrnutí ransomwarových útoků za září 2023.
Tento výzkum vychází od společnosti Malwarebytes a zahrnuje ohlášené útoky ransomarových skupin na jejich stánkách na darkwebu.
V září bylo zaznamenáno celkem 427 obětí ransomwaru. V čele žebříčků se jako obvykle umístil Lockbit (72).
Mezi nové hráče patřily společnosti LostTrust (53), ThreeAM (10) a CiphBit (8).
Minulý měsíc byly největší útoky vedené na společnosti MGM Resorts a Caesar Entertainment. O těto útocích jsme vás informovali v předchozích security sunday.
Ze zprávy Malwerebytes lze také vyčíst, že je velmi často zneužívána zero-day chyba CVE-2023-20269 v zařízeních Cisco VPN.
Varianta malwaru Mirai DDoS se rozšiřuje na další routery
Varianta botnetu Mirai sledovaná jako IZ1H9, přidala třináct nových payloadů, které cílí na routery s operačním systémem Linux od společností D-Link, Zyxel nebo TP-Link.
Výzkumníci společnosti Fortinet uvádějí, že kolem prvního zářijového týdne zaznamenali desítky tisíc pokusů o zneužití zranitelných zařízení.
IZ1H9 kompromituje zařízení, aby je zařadil do svého DDoS botnetu, a poté provádí DDoS útoky na určené cíle. Společnsot Fortinet uvádí, že IZ1H9 využívá exploity pro chyby v routerech z let 2015 až 2023.
Kromě routerů se útoky zaměřují také na IoT zařízení a snaží se pomocí butefore útoku dostat k přihlašovacím údajům, které jsou v těchto zařízeních zakódovány.
Majitelům IoT se doporučuje používat silné přihlašovací údaje, aktualizovat zařízení na nejnovější dostupnou verzi firmwaru a pokud možno omezit jejich vystavení do internetu.
Zranitelnosti
- Kritické zranitelnosti Citrix vystavují citlivá data a způsobují DoS
- D-Link WiFi extender zranitelný vůči útokům typu command injection
- Nová zranitelnost ve WordPressu vytváří nové administrátory, kteří se zmocňují webových stránek
- Apple opravuje zranitelnost zero-day v jádře iOS na starších iPhonech
- Tisíce zařízení se systémem Android mají předinstalovaný backdoor
- Masivní kampaň zapojuje tisíce routerů D-Link a Zyxel do botnetu
- VLC media player opravuje zero-day chyby
Unik dat:
- Shadow PC varuje před únikem dat
- Hackeři se zmocnili přihlašovacích stránek Citrix NetScaler a ukradli přihlašovací údaje
- Únik dat společnosti McLaren Health
- Třetí únik dat Flagstar Bank od roku 2021 se týká 800 000 zákazníků
- Únik dat společnosti Air Europa: Zákazníci byli varováni, aby zrušili kreditní karty
- Britský virtuální mobilní operátor Lyca Mobile potvrdil, že se stal obětí kybernetického útoku, který vedl k neoprávněnému přístupu k osobním údajům jeho zákazníků.