Shromažďujeme pozoruhodné zprávy o incidentech a zranitelnostech z minulého týdne.

1Password, CloudFlare a BeyondTrust zastavili útok spojený s narušením bezpečnosti služby Okta

Společnosti Cloudflare, 1Password a BeyondTrust uvedly, že jejich nedávné incidenty souvisely s narušením bezpečnosti společnosti Okta, ale že tyto incidenty neměly vliv na jejich zákaznické systémy ani na údaje uživatelů.

„Okamžitě jsme ukončili činnost útočníků, provedli šetření a nezjistili jsme žádné ohrožení uživatelských dat ani jiných citlivých systémů, ať už směrem k zaměstnancům nebo uživatelům,“ uvedl technologický ředitel společnosti 1Password.

Ve zprávě s podrobnostmi o bezpečnostním incidentu společnost 1Password uvedla, že hackeři použili session token ze souboru, který člen IT týmu nahrál do systému podpory společnosti Okta. Token relace umožnil hackerům používat účet člena IT oddělení, aniž by potřebovali jeho heslo nebo dvoufaktorový kód, což hackerům poskytlo omezený přístup k ovládacímu panelu 1Password Okta.

Společnost 1Password uvedla, že k incidentu došlo 29. září, tedy dva týdny předtím, než společnost Okta zveřejnila podrobnosti o incidentu.

Cloudflare v příspěvku na blogu rovněž potvrdil, že hackeři podobně zaútočili na jeho systémy pomocí tokenu relace ukradeného z oddělení podpory společnosti Okta.

Ředitel pro informační bezpečnost společnosti Cloudflare uvedl, že incident který začal 18. října, nevedl k žádnému přístupu k jejich systémům nebo datům.

Bezpečnostní společnost BeyondTrust uvedla, že byla také postižena narušením bezpečnosti společnosti Okta, ale že také rychle ukončila útok. V příspěvku na blogu společnost BeyondTrust uvedla, že o incidentu informovali společnost Okta již 2. října.

Mluvčí společnosti Okta sdělil serveru TechCrunch, že narušením bylo postiženo asi 1 % ze 17 000 firemních zákazníků, tedy 170 organizací.

---

Samsung Galaxy S23 hacknut čtyřikrát během čtyř dnů

Během Pwn2Own Toronto, která se konala od 24. do 27. října, byl smartphone Samsung Galaxy S23 podroben několika útokům, přičemž byl úspěšně prolomen čtyřikrát různými týmy výzkumníků. Toto číslo ukazuje na závažné bezpečnostní problémy, se kterými se Samsung musí vypořádat, zvláště v porovnání s jinými vlajkovými smartphony, od společnosti Apple (iPhone) a Google (Pixel). které nebyly prolomeny. Vlajková loď Xiaomi byla hacknuta 2x za dobu konference.

První útok na Samsung, který provedl tým Pentest Limited ukázal, jak může být nesprávná validace vstupu zneužita k spuštění škodlivého kódu na zařízení.

Týmy STAR Labs SG a ToChim ukázaly, jak může být příliš velký seznam povolených vstupů zneužit k získání přístupu k systémovým prostředkům.

Tým Interrupt Labs využil stejného typu zranitelnosti jako první tým, ale ukázal jiný způsob, jak může být nesprávná validace vstupu zneužita k provedení útoku.

Ačkoli nebyl počítán jako nový zero-day útok, tým Orca ze společnosti Sea Security také úspěšně napadl Samsung Galaxy S23 využitím dříve známého exploitu, který doteď nebyl opraven.

Společnost Samsung byla o těchto zranitelnostech informována a nyní má 120 dní na to, aby vyvinula a distribuovala opravy, než budou technické detaily zranitelností zveřejněny. Bezpečnostní výzkumníci získali celkovou částkou 125 000 dolarů za odhalení těchto zranitelností.

Akce Pwn2Own Toronto, v jejímž čele stojí iniciativa Zero Day společnosti Trend Micro, slouží jako setkání odborníků na kybernetickou bezpečnost, kteří se snaží odhalit slabá místa v současných gadgetech. Testování zahrnují mimo jiné chytré telefony, tiskárny nebo chytré reproduktory a probíhá s jejich standardním nastavením a nejčerstvějšími bezpečnostními záplatami. 

Link: https://www.androidpolice.com/samsung-galaxy-s23-hacked-pwn2own/

---

Evropské vládní e-mailové servery hacknuty pomocí zero-day zranitelnost v Roundcube

Ruská hackerská skupina Winter Vivern využívá zero-day zranitelnost webmailu Roundcube při útocích na evropské vládní subjekty.

Vývojový tým Roundcube vydal bezpečnostní aktualizace opravující zranitelnost XSS sledovanou jako CVE-2023-5631, o které informovali výzkumníci společnosti ESET 16. října.

Tyto bezpečnostní záplaty byly zveřejněny pět dní poté, co společnost ESET odhalila ruské útočníky, kteří tento zero-day využívají při reálných útocích.

Podle zjištění společnosti ESET kybernetická špionážní skupina (známá také jako TA473) používala HTML e-mailové zprávy obsahující SVG dokumenty ke vzdálenému injektování libovolného kódu v JavaScriptu.

Jejich phishingové zprávy se vydávaly za Outlook Team a snažily se potenciální oběti přimět k otevření škodlivých e-mailů, čímž byla spuštěna první fáze payloadu, který zneužíval zranitelnost e-mailového serveru Roundcube. Tento script pomohl útočníkům získat e-maily z napadených web mailových serverů.

„Odesláním speciálně vytvořené e-mailové zprávy jsou útočníci schopni načíst libovolný kód JavaScriptu v kontextu okna prohlížeče uživatele Roundcube. Kromě zobrazení e-mailu ve webovém prohlížeči není nutný žádný manuální zásah,“ uvedla společnost ESET.

Finální JavaScript payload je schopen vypsat složky a e-maily v aktuálním Roundcube účtu a exfiltrovat e-mailové zprávy na C&C server.

Winter Vivern, který byl poprvé spatřen v dubnu 2021, vzbudil pozornost záměrným cílením na vládní subjekty po celém světě, včetně států jako Indie, Itálie, Litva, Ukrajina a Vatikán.

Podle výzkumníků SentinelLabs se cíle skupiny úzce shodují se zájmy vlád Běloruska a Ruska.

Winter Vivern se aktivně zaměřuje na e-mailové servery Zimbra a Roundcube vlastněné vládními organizacemi.

Link: https://thehackernews.com/2023/10/nation-state-hackers-exploiting-zero.html

---

iLeakage: Nová chyba v prohlížeči Safari ovlivňuje telefony Apple iPhone a počítače Mac s procesory řady A a M

Tým výzkumníků z univerzit v USA a Německu, odhalil útok jehož cílem jsou Apple zařízení vyrobená od roku 2020, konkrétně ta s procesory řady A a M​

Exploit iLeakage se zaměřuje na jádro WebKit, které pohání prohlížeč Safari na macOS, a v podstatě na jakýkoli prohlížeč na iOS a iPadOS díky povinnému použití jádra WebKit. 

iLeakage může extrahovat citlivá data z prohlížeče, jako je např. obsah schránky Gmail a hesla uložená ve správci hesel​.

Apple byl o exploitu iLeakage informován 12. září a dobrou zprávou je, že patch již byl vydán, takže stačí mít poslední verze operačních systémů od Apple.

Link: https://thehackernews.com/2023/10/ileakage-new-safari-exploit-impacts.html

---

Narušení bezpečnosti společnosti Seiko skupinou „BlackCat“: uniklo 60 000 záznamů

„Po komplexním přezkoumání ze strany společnosti i odborníků na kybernetickou bezpečnost jsme potvrdili, že bylo ohroženo celkem 60 000 položek osobních údajů společností Seiko“ uvádí v poslední verzi oznámení, Seiko.

Informace zahrnují:

• informace o uchazečích o zaměstnání u společností SGC a SWC.
• personální údaje současných a bývalých zaměstnanců společnosti SGC
• údaje o zákaznících společnosti SWC
• kontaktní údaje protistran v obchodních transakcích

„Vzhledem k tomu, že útočníci nyní disponují citlivými údaji patřícími zákazníkům, zaměstnancům a uchazečům o zaměstnání, mohou se na tyto oběti zaměřit pomocí realistických phishingových podvodů”

Pozoruhodné je, že informace o kreditních kartách zůstaly v bezpečí. Společnost také zvýšila zabezpečení, včetně blokování komunikace s externími servery, nasazení systémů EDR a zavedení vícefaktorového ověřování (MFA). Do budoucna plánuje Seiko spolupracovat s odborníky na kybernetickou bezpečnost, aby posoudila zranitelná místa, zlepšila zabezpečení systému a předešla budoucím incidentům.

„Upřímně se omlouváme za veškeré nepříjemnosti, které tento útok na naše datové servery mohl způsobit nebo ještě může způsobit,“ napsala společnost Seiko. 

Link: https://www.infosecurity-magazine.com/news/seiko-blackcat-breach-affects-60000/