Backdoor v nástrojích XZ používaných v mnoha distribucích Linuxu

Shromažďujeme pozoruhodné incidenty a zprávy o zranitelnostech z minulého týdne.

Nalezen backdoor v nástrojích XZ používaných v mnoha distribucích Linuxu

Společnost Red Hat varuje před backdoorem v nástrojích a knihovnách pro kompresi dat XZ Utils ve vývojových a experimentálních verzích Fedory. Společnost Red Hat naléhá na uživatele, aby okamžitě přestali používat systémy s běžícími vývojovými a experimentálními verzemi Fedory kvůli zadnímu vchodu ve nejnovějších verzích nástrojů a knihoven „xz“. Společnosti Red Hat Information Risk and Security a Red Hat Product Security zjistily, že Fedora Linux 40 beta skutečně používá dvě verze knihoven xz – xz-libs-5.6.0-1.fc40.x86_64.rpm a xz-libs-5.6.0-2.fc40.x86_64.rpm, které obsahují škodlivý kód, který se zdá být určen pro umožnění neoprávněného přístupu. Odborníci dodali, že Fedora 40 Linux se zdá nezasažená, a doporučují všem uživatelům betaverze Fedory 40 Linuxu, aby se vrátili k verzím 5.4.x.

Inženýr společnosti Microsoft, Andres Freund, objevil backdoor, který byl sledován jako CVE-2024-3094 (hodnocení CVSS 10). „PROSÍME, OKAMŽITĚ ZASTAVTE POUŽÍVÁNÍ JAKÝCHKOLI INSTANCÍ FEDORY RAWHIDE pro pracovní nebo osobní aktivity. Fedora Rawhide bude brzy vrácena na xz-5.4.x a poté, co to bude provedeno, lze instance Fedory Rawhide bezpečně znovu nasadit. Upozorňujeme, že Fedora Rawhide je vývojové distribuce Fedora Linuxu a slouží jako základ pro budoucí sestavení Fedora Linuxu (v tomto případě ještě nevydaná Fedora Linux 41).“ uvádí upozornění, které vydala společnost Red Hat. „V tuto chvíli nebylo prokázáno, že by byly kompromitovány sestavení Fedory Linux 40.“

XZ je populární formát pro kompresi dat implementovaný v téměř všech distribucích Linuxu, včetně těch komunitou řízených a komerčních variant. Škodlivý kód objevený výzkumníky je zamlžen a je přítomen pouze v instalačním balíčku ke stažení. Distribuce Git neobsahuje škodlivý kód kvůli chybě makra M4, které je nutné pro spuštění sestavení škodlivého kódu. Škodlivé sestavení zasahuje do ověřování v sshd prostřednictvím systemd. Za určitých podmínek může útočník kompromitovat ověřování v sshd a získat neoprávněný vzdálený přístup k celému systému. Bezpečnostní tým Debianu také zveřejnil upozornění o zranitelnosti a potvrdil, že stabilní verze Debianu nejsou ovlivněny.

---

Nová phishingová kampaň Darcula cílí na uživatele iPhone

Darcula je nový phishingový nástroj jako služba (PhaaS), který cílí na spotřebitele s operačními systémy Android a iPhone ve více než 100 zemích pomocí 20 000 domén, které se vydávají za značky a shromažďují přihlašovací údaje. S více než 200 šablonami dostupnými pro podvodníky byl Darcula použit proti široké škále služeb a organizací, včetně poštovních, finančních, vládních, daňových a služeb veřejného sektoru, stejně jako telekomunikačních společností a leteckých dopravců.

Jednou z funkcí, která odlišuje tento nástroj, je to, že se obrací na cíle prostřednictvím protokolu Rich Communication Services (RCS) pro aplikace Google Messages a iMessage místo SMS pro odesílání phishingových zpráv.  Darcula byla poprvé objevena bezpečnostním výzkumníkem Oshrim Kalfonem minulé léto, ale podle výzkumníků z Netcraftu se tato platforma stává stále populárnější v oblasti kybernetického zločinu a byla nedávno použita v řadě mediálně známých incidentů. Na rozdíl od předchozích přístupů k phishingu Darcula využívá moderní technologie, jako jsou JavaScript, React, Docker a Harbour, což umožňuje neustálé aktualizace a přidávání nových funkcí bez nutnosti opakované instalace phishingového balíčku.

Balíček phishingových útoků zahrnuje 200 šablon, které se vydávají za podniky a organizace z více než 100 zemí. Úvodní stránky jsou vysoké kvality, s odpovídajícím místním jazykem, logy a informacemi. Podvodníci vyberou značku, kterou chtějí napodobit, a poté spustí skript, který instaluje phishingové stránky a řídicí panel přímo do prostředí Dockeru. Obrázek Dockeru je hostován pomocí registru otevřeného zdroje Harbour a phishingové stránky jsou vytvořeny pomocí Reactu. Podle výzkumníků tato služba obvykle používá domény s příponami „.top“ a „.com“ k hostování účelově registrovaných domén pro phishingové útoky, přičemž téměř třetina z nich je podporována Cloudflarem. Netcraft namapoval 20 000 domén Darcula na 11 000 IP adres, přičemž každý den přibývá 120 nových domén.

---

Německé BSI varuje před 17 000 zranitelnými servery Microsoft Exchange

Německý Federální úřad pro bezpečnost v informačních technologiích (BSI) vydal varování ohledně nejméně 17 000 serverů Microsoft Exchange v zemi, které jsou zranitelné vůči jedné nebo více kritických zranitelností. BSI také dodal, že existuje nepotvrzené množství serverů Exchange srovnatelné velikosti, které jsou potenciálně zranitelné. BSI naléhá na provozovatele zranitelných instancí, aby nainstalovali dostupné bezpečnostní aktualizace a nakonfigurovali je bezpečně. Kybernetičtí zločinci a státní aktéři využívají mnoho zranitelností k zákeřným aktivitám, včetně kampaní s malwarovými a kybernetickými špionážními operacemi. Nejvíce postižené organizace jsou vzdělávací instituce, jako jsou školy a univerzity, zdravotnická zařízení včetně klinik a lékařských praxí, ošetřovatelské služby, právní a daňové poradenské firmy, místní vlády a množství středně velkých podniků. 12 procent uvedených serverů používá verzi serveru Exchange, která již není podporována, a kolem 25 procent všech serverů používá aktuální verze Exchange 2016 a 2019, které mají nedostatek bezpečnostních záplat.

Německá agentura také varuje před zbývajícími 48 procenty serverů Exchange, u kterých není jasné, zda byly opraveny proti nedávno zveřejněné zranitelnosti CVE-2024-21410. Zranitelnost CVE-2024-21410 je zranitelností umožňující obcházení, kterou útočník může využít k obejití uživatelského rozhraní SmartScreen a vložení kódu pro potenciální získání spuštění kódu, což by mohlo vést k úniku některých dat, nedostupnosti systému nebo obojímu. IT gigant se problému věnoval vydáním bezpečnostních aktualizací Patch Tuesday pro únor 2024. V únoru 2024 americká Agentura pro kybernetickou bezpečnost a infrastrukturu (CISA) tuto zranitelnost přidala do svého katalogu známých zneužívaných zranitelností (KEV). Microsoft také aktualizoval svou výstrahu, aby zranitelnost označil jako aktivně zneužívanou. Dne 17. února 2024 identifikovali výzkumníci ze Shadowserveru kolem 97 000 zranitelných nebo potenciálně zranitelných serverů (zranitelná verze, ale mohla být použita mitigace). Z 97 000 serverů bylo ověřeno, že 28 500 je zranitelných vůči CVE-2024-21410. Většina těchto serverů byla v Německu, následovaná Spojenými státy. Německo v současné době hostí většinu zranitelných serverů (19 746), následované Spojenými státy (17 241).

---

Zámky Dormakaba používané ve milionech hotelových pokojů lze prolomit během několika sekund

Bezpečnostní slabiny objevené v elektronických RFID zámcích Dormakaba Saflok používaných v hotelech mohou být zneužity kybernetickými útočníky k padělání klíčků a tajnému vstupu do uzavřených pokojů. Nedostatky byly společně označeny jako Unsaflok výzkumníky Lennertem Woutersem, Ianem Carrollem, rqu, BusesCanFly, Samem Currym, sshell a Willem Caruanou. Byly nahlášeny společnosti se sídlem ve švýcarském Curychu v září 2022. „Ve spojení umožňují identifikované slabiny útočníkovi odemknout všechny pokoje v hotelu pomocí jediného páru padělaných klíčků,“ uvedli. Plné technické detaily o těchto slabých místech zůstávají zatím utajeny s ohledem na potenciální dopady a očekává se, že budou veřejně zveřejněny v budoucnosti.

Tyto problémy postihují více než tři miliony hotelových zámků rozmístěných v 13 000 objektech ve 131 zemích. Jedná se o modely zámků Saflok MT, Quantum, RT, Saffire a Confidant, které jsou používány ve spojení se softwarem pro správu System 6000, Ambiance a Community. Odhaduje se, že Dormakaba aktualizovala nebo nahradila 36 % postižených zámků k březnu 2024 jako součást procesu nasazení, který začal v listopadu 2023. Některé zranitelné zámky byly v provozu od roku 1988. Útočník potřebuje číst pouze jeden klíček z objektu, aby provedl útok proti jakémukoliv dveřím v objektu,“ uvedli výzkumníci. „Tento klíček může být z jejich vlastního pokoje, nebo dokonce zpracovaný klíček odebraný z boxu pro expresní odhlášení. Padělané karty lze vytvořit pomocí jakéhokoliv MIFARE Classic klíčku nebo jakýchkoliv komerčně dostupných nástrojů pro čtení a zápis RFID, které jsou schopné zapisovat data na tyto karty. Alternativně lze použít Proxmark3, Flipper Zero nebo dokonce NFC schopný telefon s operačním systémem Android.

---

Spojené státy nabízejí odměnu ve výši 10 milionů dolarů za informace o ransomware skupině BlackCat

Státní departement Spojených států nabízí až 10 milionů dolarů odměny za informace vedoucí k identifikaci nebo nalezení členů skupiny ALPHV/BlackCat, která provozuje ransomwarovou službu. Jedna z přidružených skupin byla zodpovědná za útok na platformu Change Healthcare společnosti UnitedHealth Group minulý měsíc, který způsobil přerušení v provozu tisíců poskytovatelů zdravotní péče po celých Spojených státech po několik týdnů. V tiskové zprávě dále uvedl: „Skupina ALPHV BlackCat ransomwarové služby napadla počítačové sítě kritické infrastruktury ve Spojených státech a po celém světě, nasazujíc ransomware na cílené systémy, vypínajíc bezpečnostní funkce v síti oběti, kráde citlivé důvěrné informace, požaduje platbu za obnovení přístupu a hrozí zveřejněním odcizených dat, pokud oběti nezaplatí výkupné.“

---

Malwarový kit ‚Tycoon‘ obchází multifaktorovou autentizaci od Microsoftu a Googlu

Kybernetičtí útočníci v širokém měřítku přijímají nový phishingový kit nazvaný „Tycoon“, který je prodáván na platformě Telegram, aby zaplavili účty e-mailů služeb Microsoft 365 a Gmail hrozbami, které mohou obejít ochranu multifaktorové autentizace (MFA). Platforma „Tycoon 2FA“ funguje jako služba pro phishing (PhaaS) a je aktivní alespoň od minulého srpna, ale byla aktualizována ještě v minulém měsíci k posílení svého zastřeného charakteru a schopností uniknout detekci, jak ukázali výzkumníci z firmy Sekoia ve svém příspěvku na blogu zveřejněném 26. března. „Tycoon 2FA se stal široce rozšířeným v měsících následujících po jeho vydání a je v současnosti masivně používán v mnoha phishingových kampaních,“ napsal v příspěvku kybernetický analytik Quentin Bourgue ze Sekoia a výzkumníci z týmu pro detekci a výzkum hrozeb. „Jeho hlavním cílem je získávat session cookies od Microsoftu 365, aby mohl obejít proces MFA při následné autentizaci.“

Mezi říjnem 2023 a koncem února tohoto roku tato platforma získala více než 1 100 doménových jmen a její provozovatel ji široce distribuuje pomocí Telegramu pod různými jmény, včetně Tycoon Group, SaaadFridi a Mr_XaaD. Provozovatel kitu také pravidelně publikuje seznamy změn týkající se nejnovějších aktualizací Tycoon 2FA v kanálu na Telegramu.

---

Zneužití závažné chyby v SQL injection ve službě Fortinet FortiClient EMS

Kritické zranitelnosti ve službě Fortinet FortiClient EMS, v zařízeních pro cloudové služby Ivanti EPM a v operačním systému Nice Linear eMerge E-Series byly přidány do Katalogu známých zneužívaných zranitelností (KEV) Agentury pro kybernetickou bezpečnost a infrastrukturu USA (CISA) v pondělí. Vysoko závažná zranitelnost v Microsoft SharePoint Serveru byla také přidána do databáze KEV v úterý. Zranitelnost Fortinetu, která byla poprvé zveřejněna 12. března, je chybou SQL injection, která by mohla umožnit vzdálené provedení kódu (RCE) neautentizovaným útočníkem. Důkazní ukázka (PoC) zneužití zranitelnosti, sledovaná jako CVE-2023-48788, byla zveřejněna 21. března společností Horizon3.ai. Fortinet také aktualizoval svou výstrahu 21. března, kde uvedl, že zranitelnost je využívána v divočině.

„Fortinet pečlivě vyvažuje svou závazek k bezpečnosti našich zákazníků a naší kulturu transparentnosti. Aktivně jsme komunikovali s našimi zákazníky prostřednictvím procesu upozornění PSIRT společnosti Fortinet, který je informoval, aby dodržovali poskytnuté pokyny,“ řekl mluvčí Fortinetu v e-mailu pro SC Media. CVE-2023-48788 má skóre CVSS 9,8 a ovlivňuje verze FortiClient EMS 7.2.0 až 7.2.2 a 7.0.1 až 7.0.10.