Vítejte u Security Sunday – Week 39, našeho týdenního shrnutí bezpečnosti IT (25. 9. – 1. 10. 2023).
Shromažďujeme pozoruhodné zprávy o incidentech a zranitelnostech z minulého týdne.
Univerzitu obrany napadli hackeři. Uniklo 750 GB dat pracovníků a vyučujících včetně finančních výkazů.
Univerzitu obrany v Brně napadla ve středu hackerská skupina Monti. V seznamu údajně odcizených souborů, jsou mimo jiné i soubory z e-mailového serveru pojmenované podle jednotlivých pracovníků a učitelů univerzity. Součástí také mají být zápisy z porad, provozní dokumenty, finanční výkazy, faktury nebo upozornění na bezpečnostní incidenty v síti univerzity.
Zcizené informace podle zveřejněného seznamu sahají i deset let do minulosti, mohou tedy obsahovat i jména bývalých studentů, kteří dnes třeba působí v aktivní službě.
Hackeři už oznámili, že pokud se s univerzitou nedohodnou na výkupném, 750 gigabajtů dat zveřejní během října.
Čínští hackeři ukradli 60 000 e-mailů ministerstva zahraničí USA
Během nedávného brífinku zaměstnanců Senátu představitelé amerického ministerstva zahraničí prozradili, že útočníci ukradli nejméně 60 000 e-mailů z účtů aplikace Outlook patřících úředníkům ministerstva zahraničí umístěným ve východní Asii, Tichomoří a Evropě
Hackerům se navíc podařilo získat seznam obsahující všechny e-mailové účty ministerstva
„Musíme do budoucna posílit naši obranu proti těmto typům kybernetických útoků a průniků a musíme se důkladně podívat na závislost federální vlády na jediném dodavateli jako na potenciálně slabé místo,“ uvedl v prohlášení senátor Eric Schmitt.
V červenci společnost Microsoft odhalila, že počínaje 15. květnem 2023 útočníci z čínské skupiny Storm-0558 úspěšně prolomili účty aplikace Outlook spojené s přibližně 25 organizacemi. Mezi napadené organizace patří i ministerstva zahraničí a obchodu USA. Společnost Microsoft nezveřejnila konkrétní podrobnosti týkající se postižených organizací, vládních agentur nebo zemí, které byly tímto narušením elektronické pošty zasaženy.
Společnost Sony vyšetřuje kybernetický útok, zatímco hackeři bojují o to, kdo je za něj zodpovědný
Společnost Sony oznámila, že prověřuje obvinění z kybernetického útoku, ke kterému se tento týden přihlásili různí hackeři.
RansomedVC tvrdí, že během útoku pronikl do sítí společnosti Sony a ukradl 260 GB dat, která se snaží prodat za 2,5 milionu dolarů.
„Úspěšně jsme kompromitovali všechny systémy společnosti Sony,“ stálo na stránce společnosti RansomedVC kde byla k dispozici i malá ukázka dat.
Situace se však komplikuje, protože k útoku se přihlásil i další útočník pod názvem „MajorNelson“, který tvrzení RansomedVC vyvrátil.
„RansomedVC jsou podvodníci, kteří se vás jen snaží podvést a nahnat vliv. Užijte si únik informací.“ – oznámil „MajorNelson“
Na rozdíl od zveřejnění malé ukázky MajorNelson zdarma vypustil komprimovaný archiv o velikosti 2,4 GB, který obsahuje 3,14 GB nekomprimovaných dat, jež podle něj patří společnosti Sony.
Útočník uvádí, že výpis obsahuje:
- „spoustu přihlašovacích údajů k interním systémům”
- soubory týkající se SonarQube
- Creators Cloud
- Certifikáty společnosti Sony
- Emulátor zařízení pro generování licencí
- a další.
Ačkoli se zdá, že data sdílená útočníky patří společnosti Sony, BleepingComputer který o útoku informoval nebyl schopen nezávisle ověřit pravdivost tvrzení obou útočníků.
Společnost Progress Software vydává naléhavé opravy pro několik kritických bezpečnostních chyb v serveru WS_FTP
Společnost Progress Software, výrobce platformy pro sdílení souborů MOVEit Transfer, která byla nedávno zneužita při rozsáhlých útocích a krádežím dat, varovala zákazníky, aby opravili zranitelnost s maximální závažností v jejím softwaru WS_FTP Server.
Společnost uvádí, že její software pro bezpečný přenos souborů WS_FTP Server používají tisíce IT týmů po celém světě.
Ze všech bezpečnostních chyb WS_FTP Serveru opravených tento týden byly dvě z nich vyhodnoceny jako kritické, přičemž ta sledovaná jako CVE-2023-40044 obdržela maximální hodnocení závažnosti 10/10 a umožňovala neautentifikovaným útočníkům spustit vzdálené příkazy po úspěšném zneužití zranitelnosti deserializace .NET v modulu Ad Hoc Transfer.
Druhá kritická chyba (CVE-2023-42657) je zranitelnost procházení adresářů, která útočníkům umožňuje provádět operace se soubory mimo autorizovanou cestu ke složce WS_FTP.
Útočníci mohou zneužít zranitelnost bez interakce uživatele.
„Doporučujeme provést upgrade na nejvyšší verzi, kterou je 8.8.2. Upgrade na opravenou verzi pomocí plného instalačního programu je jediným způsobem, jak tento problém odstranit. Během provádění aktualizace dojde k výpadku systému.“ varoval Progress.
Od 27. Května se společnost Progress stále potýká s následky rozsáhlé série útoků na krádeže dat, které následovaly po zneužití zero-day v platformě pro bezpečný přenos souborů MOVEit Transfer, ransomware gangem Cl0p. Podle odhadů, které v pondělí sdílela bezpečnostní firma Emsisoft, se následky těchto útoků dotkly více než 2 100 organizací a více než 62 milionů osob.
Kybernetický útok
- Zranitelnost MOVEit tool ovlivnila více než 2 000 organizací po celém světě.
- Narušení systému MOVEit přináší únik 3,4 milionu záznamů o dětech
- Čínská hackerská skupina BlackTech zneužívá routery a zaměřuje se na americké a japonské společnosti
- Úložiště GitHub zasažená příkazy, které kradou hesla a jsou maskovány jako příspěvky Dependabota
- Společnost Cisco vyzývá správce, aby aktualizovali software IOS zneužívaný při útocích
- Klíče SSH ukradené pomocí škodlivých balíčků PyPI a npm
- Hackeři ShadowSyndicate jsou spojeni s několika operacemi ransomwaru, napadených je 85 serverů z toho 7 v ČR
- Spyware Predator se do zařízení se systémem iOS a Android dostává prostřednictvím Zero-Days a útoků MitM
- Město Dallas upřesňuje dopady a náklady útoku ransomwaru
Zranitelnosti
- Miliony poštovních serverů Exim vystaveny útokům typu zero-day RCE
-
Společnost Cisco varuje před pokusy o zneužití softwaru IOS pomocí Zero-Day zranitelnosti
- Nový phishingový program ZeroFont oklame aplikaci Outlook, aby zobrazovala falešné kontroly antivirovych scanu
- Google opravuje zero-day v prohlížeči Chrome, která se používá při útocích spywaru
- Nový skrytý a modulární malware Deadglyph používaný při útocích na státní správu
- macOS 14 Sonoma opravuje 60 zranitelností
- Hackeři aktivně využívají chybu Openfire k šifrování serverů
- Výzkumníci zveřejnili podrobnosti o novém řetězci zneužití RCE pro SharePoint
- Polovina kybernetických útoků není nahlášena