Vítejte u Security Sunday – Week 41. našeho týdenního shrnutí ze sevěta cybersecurity (9. 10. – 15. 10. 2023).

Shromažďujeme pozoruhodné zprávy o incidentech a zranitelnostech z minulého týdne.

Google, Cloudflare a AWS zaznamenali největší DDoS útok v historii

Poskytovatelé internetové infrastruktury Google Cloud, Cloudflare a Amazon Web Services zaznamenali dosud největší DDoS útoky v jejich historii.

Útoky byly nahlášeny 10. října, přičemž poskytovatelé cloudových služeb uvedli, že útoky byly součástí hromadného zneužití zero-day zranitelnosti v HTTP/2 protokolu. Samotné DDoS útoky začaly v průběhu srpna a v době psaní tohoto článku stále pokračují.

V příspěvku na blogu společnost Google vysvětlila, že se jedná o „dosud největší DDoS útok“, přičemž počet požadavků za sekundu (rps) dosáhl více než 398 milionů, což je sedm a půlkrát více než předchozí rekordní DDoS. Společnost Google poznamenala, že 398 milionů req odpovídá „většímu počtu požadavků, než je celkový počet zobrazení článků na Wikipedií za celé září 2023“.

Útok HTTP/2 Rapid Reset zneužívá specifických funkcí protokolu HTTP/2 k přetížení serverů. První fází tohoto útoku je navázání spojení HTTP/2 se serverem a následně okamžité odeslání zprávy ‚Reset‘ pro ukončení spojení. Na straně útočníka je tato akce vykonově nenáročná, ale pro server znamená značnou zátěž při uvolňování a „uklízení“ spojení. 

Dále útok využívá funkce ‚stream multiplexing‘, což umožňuje útočníkovi odeslat velký počet požadavků a následně je okamžitě zrušit. Tímto způsobem dochází k vytvoření značné serverové zátěže s minimálními náklady na straně útočníka. Tento útok je zesílen otevřením a okamžitým zrušením velkého počtu streamů najednou, aniž by útočník čekal na odpovědi od serveru nebo proxy což vede k vyčerpání serverových zdrojů

CSO společnosti Cloudflare v příspěvku na jejich blogu zmiňuje, že útok bylo možné provést pomocí poměrně malého botnetu, který se skládá ze zhruba 20 000 strojů.  


Byly opraveny kritické chyby zabezpečení v aplikaci Curl, uživatelům se doporučuje aktualizace.

Pravděpodobně nejhorší bezpečnostní chyba curl za dlouhou dobu. Takto označil chybu sledovanou jako CVE-2023-38545 Daniel Stenberg, zakladatel a vedoucí vývojář projektu curl. 

Tato chyba je typu buffer overflow, což je typ zranitelnosti, při které program zapisuje data do přiděleného paměťového bufferu takovým způsobem, že překročí velikost bufferu a data se rozlijí do jiných paměťových oblastí​.  Ačkoli proof-of-concept exploity prozatím prokázaly pouze pád aplikace, výzkumníci se domnívají, že je jen otázkou času, kdy bude dosaženo spuštění kódu. Dobrou zprávou je, že zranitelné jsou pouze některé konfigurace a to nikoli ty výchozí.

Oprava  zranitelnosti je obsažena v nové verzi Curl 8.4.0 a uživatelům se doporučuje, aby co nejdříve přešli na tuto nejnovější verzi.


Ransomware útoky se nyní zaměřují na neopravené servery WS_FTP

O kritické zranitelnosti WS_FTP serveru společnosti Progress software jsem Vás informovali v jednom z předchozích dílů security sunday. Zranitelnost s označením CVE-2023-40044 a CVSS v 3 score 10 je nyní aktivně zneužívána k ransomware útokům. 

I když společnost Progress software vydala aktualizaci, do internetu je stále vystavených mnoho serverů s touto zranitelností, kterou útočníci využívají k ransomware útokům. Jelikož je výkupné poměrně malé, lze usoudit, že útoky provádí automatizované scripty.


Přehled ransomwaru: Září 2023

U ransomware ješte zůstaneme a podíváme se na shrnutí ransomwarových útoků za září 2023. 

Tento výzkum vychází od společnosti Malwarebytes a zahrnuje ohlášené útoky ransomarových skupin na   jejich stánkách na darkwebu. 

V září bylo zaznamenáno celkem 427 obětí ransomwaru. V čele žebříčků se jako obvykle umístil Lockbit (72). 

Mezi nové hráče patřily společnosti LostTrust (53), ThreeAM (10) a CiphBit (8).

Minulý měsíc byly největší útoky vedené na společnosti MGM Resorts a Caesar Entertainment. O těto útocích jsme vás informovali v předchozích security sunday.

Ze zprávy Malwerebytes lze také vyčíst, že je velmi často zneužívána zero-day chyba CVE-2023-20269 v zařízeních Cisco VPN.


Varianta malwaru Mirai DDoS se rozšiřuje na další routery

Varianta botnetu Mirai sledovaná jako IZ1H9, přidala třináct nových payloadů, které cílí na routery s operačním systémem Linux od společností D-Link, Zyxel nebo TP-Link. 

Výzkumníci společnosti Fortinet uvádějí, že kolem prvního zářijového týdne zaznamenali  desítky tisíc pokusů o zneužití zranitelných zařízení.

IZ1H9 kompromituje zařízení, aby je zařadil do svého DDoS botnetu, a poté provádí DDoS útoky na určené cíle. Společnsot Fortinet uvádí, že IZ1H9 využívá exploity pro chyby v routerech z let 2015 až 2023. 

Kromě routerů se útoky zaměřují také na IoT zařízení a snaží se pomocí butefore útoku dostat k přihlašovacím údajům, které jsou v těchto zařízeních zakódovány.

Majitelům IoT se doporučuje používat silné přihlašovací údaje, aktualizovat zařízení na nejnovější dostupnou verzi firmwaru a pokud možno omezit jejich vystavení do internetu.



Zajímáte se o kybernetickou bezpečnost? Podívejte se na další díly našeho týdeníku Security Sunday.