Zranitelnost prohlížeče stará 18 let ohrožuje macOS a Linux
Výzkumníci z Oligo Security odhalili kritickou zranitelnost označovanou jako „0.0.0.0 Day“, která postihuje hlavní webové prohlížeče Google Chrome, Mozilla Firefox a Apple Safari na Linuxu a macOS. Tato zranitelnost umožňuje škodlivým webům obcházet bezpečnostní mechanismy a přistupovat ke službám na místní síti, což může vést k neoprávněnému přístupu a spuštění kódu. Problém vzniká zneužitím IP adresy 0.0.0.0, která je běžně používána jako zástupná adresa pro všechny IP adresy na místním zařízení.
Společnost Oligo Security nedávno zdokumentovala několik případů aktivního zneužívání zranitelnosti, a to v kampani ShadowRay cílící na lokální AI úlohy, dále pak útoky využívající zranitelnost k napadení Selenium Grid a TorchServe.
Prohlížeče proto začínají zavádět opatření k jejímu blokování: Chrome od verze 128, Firefox připravuje dočasná řešení a Safari plánuje blokaci ve verzi 18 s macOS Sequoia.
CISA doporučuje deaktivaci staršího protokolu Cisco Smart Install
Americká Agentura pro kybernetickou bezpečnost a infrastrukturu (CISA) doporučila deaktivaci staršího protokolu Cisco Smart Install kvůli jeho zneužívání v nedávných kybernetických útocích. Útočníci využívali tento protokol k odcizení citlivých dat a manipulaci s konfiguračními soubory.
CISA rovněž varuje před slabými typy hesel používanými na zařízeních Cisco. Pro zvýšení úrovně zabezpečení doporučuje přechod hesel na typ 8, který je v souladu se standardy NIST. Tento typ hesel využívá Password-Based Key Derivation Function verze 2 (PBKDF2) s algoritmem SHA-256, 80 bitovou solí a 20 000 iteracemi, což výrazně zvyšuje odolnost proti útokům na prolomení hesel.
K vývoji dochází v době, kdy Cisco varovalo před veřejně dostupným PoC kódem pro kritickou zranitelnost CVE-2024–20419 (CVSS skóre 10.0), která ohrožuje Smart Software Manager On-Prem a umožňuje vzdálenému útočníkovi změnit heslo libovolného uživatele.
Společnost oznámila, že neplánuje vydat aktualizace softwaru k opravě těchto chyb, protože zařízení již dosáhla konce své životnosti. Uživatelé proto budou muset přejít na novější modely.
Hacker vymazal tisíce školních zařízení
Hacker pronikl do Mobile Guardian, globální platformy pro správu tříd, a vzdáleně vymazal data z nejméně 13 000 iPadů a Chromebooků studentů. Dne 4. srpna 2024 platforma oznámila, že došlo k bezpečnostnímu incidentu, který zasáhl její instance v Severní Americe, Evropě a Singapuru.
Dle Mobile Guardian byla vymazána pouze malá část zařízení iOS a ChromeOS, přičemž není známo, že by došlo k úniku uživatelských dat. Ministerstvo školství Singapuru uvedlo, že útok měl vliv na 13 000 studentů ve 26 školách v zemi. V reakci na incident byla aplikace odstraněna ze všech školních zařízení a vláda pomáhá s obnovou dat.
Zranitelnost v PostgreSQL
PostgreSQL verzemi 16.4, 15.8, 14.13, 13.16 a 12.20 opravuje vysoce závažnou zranitelnost CVE-2024–7348. Tato zranitelnost umožňuje autentizovanému vzdálenému útočníkovi s právy k vytváření a rušení trvalých objektů provést SQL injection útok, při kterém by mohl vykonat kód s právy procesu pg_dump
.
Aby se zamezilo zneužití této zranitelnosti, je nezbytné aktualizovat nejen stroj, ze kterého je záloha vytvářena, ale také stroj, který zálohuje pomocí nástroje pg_dump
. Kromě toho je důležité správně nakonfigurovat parametr restrict_nonsystem_relation_kind.
Ransomware BlackSuit vydělal přes 500 milionů dolarů
CISA a FBI potvrdily, že ransomware BlackSuit, dříve známý jako Royal, získal od svého vzniku přes 500 milionů USD, přičemž nejvyšší výkupné bylo 60 milionů amerických dolarů. BlackSuit nedávno způsobil rozsáhlý výpadek IT společnosti CDK Global, který ovlivnil více než 15 000 automobilových prodejen v Severní Americe. CDK musel vypnout IT systémy a datová centra, což vedlo k přechodu prodejen na papírové záznamy a znemožnilo zákazníkům nákup nebo servis již dříve zakoupených vozů.
Nový malware SharpRhino šíří ransomware Hive
Hunters International, aktivní od října 2023, nasazuje ransomware Hive pomocí nového malwaru SharpRhino, který se maskuje jako legitimní síťový nástroj Angry IP Scanner a využívá platné certifikáty k trvalé přítomnosti na cílovém zařízení.
Skupina, která se rychle stala jedním z nejaktivnějších ransomwarových gangů roku 2024, cílí na IT profesionály a využívá Hive jako Ransomware-as-a-Service (RaaS) k urychlení šíření útoků. Malware SharpRhino poskytuje vzdálený přístup k zařízením a šifruje soubory s výkupným. Quorum Cyber zveřejnil indikátory kompromitace, které pomohou organizacím chránit jejich sítě.
Odhaleny přihlašovací údaje a GPS polohy milionů uživatelů
Aplikace Moonly čelí vážnému úniku dat, který odhalil přihlašovací údaje zaměstnanců a GPS polohy milionů uživatelů. Dne 18. června objevili výzkumníci z Cybernews veřejně přístupné úložiště Google Cloud, patřící společnosti Cosmic Vibrations Inc., správci Moonly. Úložiště obsahovalo záložní databázi z dubna 2024, která zahrnovala administrátorské přihlašovací údaje a přesné GPS souřadnice šesti milionů uživatelů. Tyto souřadnice pravděpodobně odpovídají místům bydliště, což představuje riziko srovnatelné s únikem domácích adres.
Ačkoliv společnost oficiálně sídlí v USA, důkazy naznačují, že většina její činnosti je provozována z Ruska, což nebylo veřejně oznámeno. Toto zjištění může mít vážné důsledky vzhledem k současné geopolitické situaci a sankcím uvaleným na Rusko. Společnost sice reagovala na zjištění tím, že omezila přístup k úložišti, ale otázky o transparentnosti a bezpečnosti dat zůstávají otevřené.
Ve zkratce
- GitLab CE a EE verzemi 17.2.2, 17.1.4 a 17.0.6 opravuje 11 zranitelností
- Kimsuky cílí na univerzity
- Ransomware útok na dojicího robota způsobil smrt krávy a telete
- Kritické zranitelnosti v XWiki
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…