Vítejte u Security Sunday – Week 49. našeho týdenního shrnutí ze světa cybersecurity (04. 12. – 10. 12. 2023).
Shromažďujeme pozoruhodné zprávy o incidentech a zranitelnostech z minulého týdne.
CISA a mezinárodní partneři vydávají doporučení týkající se skupiny Star Blizzard, působící v Rusku
CISA a její mezinárodní partneři nedávno vydali doporučení týkající se skupiny Star Blizzard, která představuje kybernetickou hrozbu působící v Rusku. Společným úsilím Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), Národního centra kybernetické bezpečnosti Spojeného království (UK-NCSC), Australského centra kybernetické bezpečnosti (ACSC), Australského ředitelství pro signály (ASD), Kanadského centra pro kybernetickou bezpečnost (CCCS), Novozélandského národního centra kybernetické bezpečnosti (NCSC-NZ), Národního centra kybernetické bezpečnosti Spojených států amerických (U.S.A.), Národní bezpečnostní agentury USA (NSA), Federálního úřadu pro vyšetřování (FBI) a kybernetického velitelství Cyber National Mission Force (CNMF) vydaly společné kyberbezpečnostní doporučení (CSA) ohledně kybernetického aktéra FSB Star Blizzard, který pokračuje v celosvětových kampaních spear-phishing.
Cílem společného CSA je zvýšit povědomí o konkrétních taktikách, technikách a způsobech doručování, které skupina Star Blizzard používá k útokům na jednotlivce a organizace. Mezi dobře známé techniky této ruské skupiny patří vydávání se za e-mailové účty známých kontaktů, vytváření falešných profilů na sociálních sítích, využívání webových e-mailových adres poskytovatelů jako Outlook, Gmail a další, a vytváření škodlivých domén, které se maskují jako legitimní organizace. CISA naléhá na správce sítí a organizace kritické infrastruktury, aby pečlivě analyzovali a vylepšili své kybernetické zabezpečení s cílem ochránit se před podobnými zneužitími ze strany aktérů hrozeb. Rovněž výzývá výrobce softwaru, aby do svých postupů vývoje softwaru integrovali principy secure-by-design a secure-by-default, s cílem minimalizovat dopad činnosti kybernetických hrozeb. Tyto opatření jsou klíčová pro posílení odolnosti organizací vůči kybernetickým útokům.
Útok SLAM: Nová zranitelnost založená na Spectre zasahuje procesory Intel, AMD a Arm.
Výzkumníci z Vrije Universiteit Amsterdam představili nový kybernetický útok s názvem SLAM, který využívá zranitelnosti Spectre a postihuje procesory od společností Intel, AMD a Arm. Tento end-to-end exploit zneužívá novou funkci v procesorech Intel nazvanou Linear Address Masking (LAM) a její ekvivalenty v procesorech AMD (Upper Address Ignore nebo UAI) a Arm (Top Byte Ignore nebo TBI). SLAM využívá nemaskované miniaplikace k extrakci citlivých informací z paměti jádra do uživatelského prostoru. Tento útok může být použit k úniku citlivých dat, včetně hashů kořenového hesla, během několika minut. Přestože je LAM prezentováno jako bezpečnostní prvek, ukázalo se, že paradoxně snižuje bezpečnost a výrazně zvyšuje plochu útoku Spectre, což umožňuje útočníkům využívat spekulativního spuštění k získání citlivých dat skrze skrytý kanál mezipaměti.
Tato nová technika útoku SLAM ovlivňuje stávající procesory AMD zranitelné vůči CVE-2020-12965, a budoucí procesory od společností Intel s podporou LAM, budoucí procesory AMD s podporou UAI a 5úrovňové stránkování, a budoucí procesory Arm s podporou TBI a 5úrovňové stránkování. Společnost Arm ujišťuje, že systémy Arm již mitigují rizika spojená se Spectre v2 a BHB, a že popsané techniky spíše rozšiřují plochu útoku na existující zranitelnosti. Společnost AMD a Intel přijímají opatření k řešení této zranitelnosti, s Intel plánujícím poskytnout softwarové pokyny pro budoucí procesory s podporou LAM a správci systému Linux vyvíjejícími záplaty pro deaktivaci LAM ve výchozím nastavení.
Tato odhalení přicházejí po dvou měsících od objasnění karantény společností VUSec, která nabízí softwarový přístup ke zmírnění útoků na přechodné spuštění a dosažení izolace fyzických domén pomocí rozdělení mezipaměti poslední úrovně (LLC). Tyto vývoje zdůrazňují neustálou potřebu zlepšení kybernetické bezpečnosti a monitorování nových hrozeb.
Link: https://thehackernews.com/2023/12/slam-attack-new-spectre-based.html
Společnost Norton Healthcare odhalila únik dat po květnovém ransomware útoku
Zdravotnický systém Norton Healthcare v Kentucky potvrdil, že květnový ransomwarový útok odkryl osobní údaje pacientů, zaměstnanců a závislých osob. Norton Healthcare poskytuje zdravotní služby na více než 40 klinikách a nemocnicích v oblasti Greater Louisville, jižní Indiany a státu Kentucky, zaměstnává více než 20 000 zaměstnanců a je druhým největším zaměstnavatelem v Louisville s více než 140 pobočkami. Společnost zjistila kybernetický incident 9. května 2023, označený jako ransomwarový útok. Norton Healthcare ihned informoval federální orgány a spolupracoval s forenzním zabezpečovatelem na vyšetřování a odstranění neoprávněného přístupu. Útočníci měli přístup k síťovým úložným zařízením, ale nekompromitovali systém zdravotních záznamů ani aplikaci Norton MyChart.
Během útoku byly odcizeny citlivé informace, včetně jmen, kontaktů, čísel sociálního pojištění, dat narození, zdravotních informací a identifikačních čísel lékařů. U některých osob mohla být odcizena i finanční data, řidičské průkazy nebo státní identifikační čísla. Potenciálně postižené osoby obdrží dvouletou bezplatnou ochranu úvěru. Útok byl přihlášen skupinou ALPHV (BlackCat), která tvrdí, že ukradla 4,7 TB dat. Bezpečnostní tým pracuje na vyřešení situace, a výpadek webových stránek ALPHV může být spojen s operací orgánů činných v trestním řízení.
Norton Healthcare není první zdravotnickou organizací, která se stala obětí ransomwaru v USA. Organizace jako Ardent Health Services byly také nedávno zasaženy. Americká vláda vydala varování ohledně nárůstu ransomwarových útoků na zdravotnická zařízení a poskytla doporučení pro zvýšení kybernetické bezpečnosti v tomto odvětví.
Zranitelnost LogoFAIL ovlivňuje naprostou většinu zařízení
Téměř všechny komerčně dostupné počítače jsou ohroženy novou chybou v procesu zobrazování loga při spuštění, což umožňuje hackerům obejít moderní bezpečnostní kontroly. Kyberbezpečnostní firma Binarly odhalila závažné zranitelnosti známé jako LogoFAIL, ovlivňující všechna zařízení založená na architektuře x86 a ARM, jako jsou systémy Windows a Linux. Tato chyba se nachází v softwaru, který zobrazuje logo výrobce na začátku spouštěcího procesu.
LogoFAIL má obrovský dopad, potenciálně ovlivňující přibližně 95 % spotřebitelských zařízení na trhu. Týká se především největších výrobců softwaru pro spouštění systému BIOS, jako jsou AMI, Insyde Software a Phoenix Technologies. To postihuje i řadu zařízení od výrobců, jako jsou Lenovo, Intel a Acer. Využití této chyby je relativně jednoduché, stačí utočníkovi změnit obrázek, který je načten programem nazývaným image parser. Utočník tak může spustit libovolný kód s minimálními nebo žádnými omezeními, dříve než mohou moderní bezpečnostní programy zasáhnout.
Chyba LogoFAIL je znepokojivá, protože se nachází na začátku spouštěcího procesu, což umožňuje záškodníkům obejít bezpečnostní opatření, která kontrolují bezpečnost software při spouštění. Tato zranitelnost může potenciálně ohrozit celý systém a oslabit bezpečnostní opatření „pod operačním systémem“, jako je například Secure Boot. Několik dotčených výrobců již vydalo záplaty k odstranění této zranitelnosti. Avšak, přístup k této chybě umožňuje záškodníkům hlubokou kontrolu nad postiženými systémy, což zvyšuje závažnost situace. Koordinace mezi mnoha dotčenými stranami byla nezbytná pro identifikaci a řešení této chyby, ale její odhalení vyvolalo obavy ohledně etiky a efektivity komunikace mezi výzkumníky a výrobci.
Link: https://cyberscoop.com/logofail-vulnerability-boot-process/
Ransomware jako služba: Rostoucí hrozba, kterou nelze ignorovat
Útoky ransomwaru představují stále rostoucí hrozbu v oblasti kybernetické bezpečnosti, a to zejména s nástupem nového trendu nazývaného Ransomware-as-a-Service (RaaS). Tento model výrazně mění dynamiku kybernetické kriminality tím, že umožňuje jednotlivcům s omezenými technickými znalostmi provádět ničivé útoky. Tradiční ransomware býval zaměřen na zašifrování souborů oběti a následné vymáhání výkupného za obnovení přístupu k datům. Novější variace však přidávají do mixu další taktiku – kopírování napadených dat a hrozbu zveřejnění citlivých informací online, pokud oběť nezaplatí výkupné. Tento dvojitý přístup zvyšuje komplexitu útoku a možné škody pro oběti.
Ransomware-as-a-Service (RaaS) představuje nový byznys model, kde nezkušení hackeři mohou využívat speciálních nástrojů k provádění škodlivých aktivit. Namísto vytváření vlastního ransomwaru mají možnost zaplatit poplatek, vybrat si cíl a provést útok prostřednictvím poskytovatele služeb. Tento model výrazně snižuje čas a náklady potřebné k provedení ransomwarového útoku, což vedlo k tomu, že doba mezi průnikem do sítě a zašifrováním souborů klesla pod 24 hodin. RaaS také podporuje úspory z rozsahu, protože poskytovatelé jsou motivováni k vytváření nových verzí, které mohou obejít bezpečnostní obranu. Zákazníci, označovaní jako „partneři,“ mají různé možnosti plateb, včetně paušálních poplatků, předplatného nebo procenta z příjmů. Tato konkurence na temném webu zvyšuje kvalitu nástrojů, což je nevýhodné pro potenciální oběti.
Obrana proti RaaS vyžaduje proaktivní identifikaci a řešení bezpečnostních zranitelností. Penetrační testy a red teaming mohou posílit ochranu organizace, a spolupráce s poskytovatelem penetration testing as a service (PTaaS) může zajistit nepřetržité monitorování a odborné ověřování bezpečnosti webových aplikací. Kromě toho je klíčová role hraní služby Cyber Threat Intelligence, která poskytuje aktuální informace o hrozbách a zvyšuje schopnost rychle reagovat na potenciální útoky ransomwaru. V souhrnu je zásadní používat cílené nástroje podporované nejnovějšími informacemi, abyste efektivněji bránili svou organizaci proti rostoucím hrozbám ransomwaru.
Link: https://thehackernews.com/2023/12/ransomware-as-service-growing-threat.html
Zranitelnost OpenCMS s neautentizovanou verzí XXE (CVE-2023-42344)
OpenCms je oblíbený open-source framework v jazyce Java vyvinutý společností Alkacon Software, který poskytuje platformu pro návrh a vývoj webových aplikací. Aktuální verzí frameworku je 16.0.
Nedávná identifikace zranitelnosti označené jako CVE-2023-42344 představuje kritický bezpečnostní problém v OpenCms. Tato zranitelnost umožňuje uživatelům spouštět kód bez ověření, což znamená, že útočník může na serveru OpenCms provádět škodlivé požadavky. V případě úspěšného provedení může být zneužita neautentizovaná zranitelnost typu XML External Entity (XXE). Zranitelné jsou verze OpenCMS od 9.0.0 do 10.5.0, a proto je důležité aktualizovat na novější verzi, která tuto chybu opravuje. Společnost Qualys vydala identifikátor QID 150773 (CVE-2023-42344) pro detekci zranitelných verzí OpenCMS. Pomocí nástroje Qualys Web Application Scanning (WAS) lze spustit kontrolu, během níž je na server odeslán HTTP POST požadavek. Tento požadavek obsahuje XXE payload, který se snaží získat přístup k serverovému souboru /etc/passwd. Odpovědí je potvrzení zranitelnosti cílového systému.
Pro ochranu před touto zranitelností je důležité pravidelně aktualizovat OpenCms na nejnovější verzi a sledovat bezpečnostní aktualizace. Kromě toho je vhodné pravidelně provádět bezpečnostní audit a testy, aby se zajistila celková bezpečnost webových aplikací vyvinutých pomocí OpenCms.
