Aktivně zneužívané zranitelnosti Apache
Nezisková organizace Shadowserver upozorňuje, že pozoruje příznaky zneužívání zranitelnosti Apache OFBiz (CVE-2023–49070). Zranitelnost začala být zneužívána krátce poté, co byla zveřejněna další zranitelnost OFBiz (CVE-2023–51467), která vznikla kvůli nekompletní opravě CVE-2023–49070. Chyba je opravena v OFBiz verze 18.12.11.
Dále byly detekovány pokusy o zneužití chyby v Apache Struts 2 (CVE-2023–50164). Zatím nelze říci, zda byly tyto pokusy úspěšné, přesto je vhodné systém co nejdříve aktualizovat.
Jako zero-day je také již nějaký čas zneužívána zranitelnost Apache ActiveMQ (CVE-2023–46604).
Google MultiLogin OAuth endpoint
Malware zaměřený na krádeže dat aktivně zneužívá nedokumentovaný Google OAuth endpoint s názvem MultiLogin za účelem únosu uživatelské relace, přičemž ovšem udrží přístup ke službám Google i ve chvíli, kdy si uživatel resetuje heslo.
Technika byla poprvé odhalena 20. října 2023 na Telegramu a od té doby byla zakomponována v několika rodinách malware, jako je Lumma, Rhadamanthys, Stealc, Meduza, RisePro a WhiteSnake. Pokud uživatel pojme podezření, že byl napaden, je potřeba kromě změny hesla také provést odhlášení v dotčeném prohlížeči nebo provést relokaci vzdáleně.
Škodlivé balíčky v PyPI
Tři nové škodlivé balíčky byly nedávno objeveny v Python Package Index (PyPI). Balíčky s názvy modularseven, driftme a catme byly staženy celkem 431krát za poslední měsíc, než byly odhaleny. Tyto balíčky, podobně jako předešlá kampaň s balíčkem culturestreak, skrývají svůj škodlivý kód v souboru init.py a postupně rozbalují svůj škodlivý obsah pomocí vzdáleného serveru. Novinkou v těchto třech balíčcích je ukrývání škodlivého kódu také v shell skriptu, což pomáhá minimalizovat detekci pomocí bezpečnostního softwaru. Malware též vkládá škodlivé příkazy do souboru ~/.bashrc.
Zajímavostí je, že tyto balíčky odkazují na předešlou kampaň s balíčkem culturestreak prostřednictvím domény papiculo[.]net a veřejného repozitáře GitLab, což ukazuje na určitou spojitost v postupech útočníků. Celkově tyto incidenty zdůrazňují potřebu neustálého monitorování bezpečnostních hrozeb v open-source repozitářích a důkladné kontroly stažených balíčků vývojáři a správci systémů.
Dva přírůstky do katalogu aktivně zneužívaných zranitelností
CISA zařadila do svého katalogu zneužívaných zranitelností dvě nové položky: CVE-2023–7024 Google Chromium WebRTC Heap Buffer Overflow a CVE-2023–7101 Spreadsheet::ParseExcel Remote Code Execution.
První z nich může útočník využít k provedení libovolného kódu, pokud dokáže uživatele přimět k návštěvě škodlivé webové stránky. Google omezil technické podrobnosti z důvodu bezpečnosti, ale potvrdil existenci exploitu.
Druhá zranitelnost se nachází v knihovně Spreadsheet::ParseExcel napsané v Perlu, která umožňuje provádět import a export dat Excelovských souborů a spouštět analytické a automatizační skripty. Zranitelnost je způsobena tím, že se volá eval na neověřený uživatelský vstup v Utility.pm. Jak zmiňuje bleepingcomputer.com, bylo to zneužito např. čínskými útočníky u produktu Barracuda ESG (Email Security Gateway).
Kybernetické incidenty pohledem NÚKIB – prosinec 2023
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) evidoval v prosinci mírný nárůst počtu registrovaných kybernetických incidentů oproti měsíci listopadu. Evidováno bylo 12 incidentů, z nichž všechny byly méně významné a v rámci klasifikace dominovala kategorie „Dostupnost“. Dále NÚKIB také řešil incidenty z kategorií „Informační bezpečnost“ a „Průnik“.
Kapitola Zaměřeno na hrozbu se tentokrát věnuje zranitelnosti CVE-2023–42793 v softwarovém řešení TeamCity od společnosti JetBrains, která je aktivně zneužívána ruskou skupinou APT29.
U milionů serverů není stále opravena zranitelnost Terrapin SSH
Zhruba 11 milionů serverů vystavených na Internetu zůstává náchylných k nedávno objevené zranitelnosti Terrapin SSH. Zranitelnost umožňuje útočníkům změnit nebo poškodit informace přenášené v datovém toku SSH během handshake – v nejranější fázi spojení, kdy si obě strany dohodnou parametry pro šifrování, které použijí k navázání zabezpečeného spojení.
Dešifrovací nástroj pro oběti ransomwaru Black Basta
Výzkumníci ve společnosti SRLabs vytvořili dešifrovací nástroj pro ransomware Black Basta. Ten umožňuje některým obětem této skupiny dešifrovat soubory bez placení výkupného. Nástroj funguje pro oběti, jejichž soubory byly zašifrovány mezi listopadem 2022 a prosincem 2023.
Nástroj využívá chybu v šifrovacím algoritmu starších verzí ransomwaru Black Basta, která byla opravena skupinou kolem poloviny prosince. Nástroj tak nefunguje na nejnovější útoky. Na GitHubu je k dispozici několik pythonových skriptů, které s obnovou zašifrovaných souborů mohou pomoci.
Když stránka přesměruje
Ani pokud proškolíte své uživatele, aby pečlivě kontrovali doménu, na niž klikají, nemusíte mít vyhráno. Cílová stránka, kterou váš firewall v e-mailu zná a neblokuje, může obsahovat zranitelnost, kterou útočníci využijí pro přesměrování na svůj škodlivý web.
To byl případ i koncernu BMW, jejichž jedna subdoména donedávna takové zneužití dovolovala. Na dané straně běžel systém SAP s touto zranitelností. V poště pak oběť mohla snadno kliknout na https://<…>.bmw.com/sap/public/bc/icf/logoff?redirecturl=<UTOCNIKOVA_STRANKA> a dostat na falešný přihlašovací formulář.
Nové RFC ohledně atribuce internetových skenů
K dnes známým protokolům jako je WHOIS, RDAP a DNS (v tomto případě reverzní) přidává RFC 9511 taktéž „Probe description file“. Ten by měl být umístěn v adresáři /.well-known/probing.txt po vzoru security.txt podle RFC 9116. Soubor probing.txt by měl být dostupný buď na IP adrese odkud sken šel, případně na doméně reverzního záznamu k dané IP adrese.
Ve zkratce
- Zajímavé shrnutí na téma AI versus EU
- Umělá inteligence součástí nástroje pro podvodné faktury
- APT skupina přišla s další strategií jak se vyhnout detekci při phishingových útocích
- Supply chain útok na LED záclonu
- Chyba v SMTP umožňuje útočníkům obejít zabezpečení
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU