Postřehy z bezpečnosti: data mohou z cloudu odejít do bitového nebe

Fatální problém eskortní služby

Uživatelé brazilské eskortní služby Fatalmodel mají problém. Službě uniklo ze dvou nechráněných databází dat přes 18 milionů záznamů. Nejen uživatelů, ale i 33 900 kompletních záznamů druhé strany, včetně verifikační fotografie.

Francouzský únik státních dat

Francouzská národní pracovní agentura (Pôle emploi) přišla po ransomwarovém útoku o data 10 milionů lidí. Potenciálně unikla jména, zaměstnanecké poměry a čísla sociálního zabezpečení. O průnik ve skutečnosti došlo u společnosti Majorel, která agentuře poskytuje služby. Pôle emploi se vyjádřila, že ostatní informační systémy jsou v pořádku a fungování úřadu není ovlivněno, a „potvrdila“, že únik se netýká emailových adres, telefonních čísel, hesel a bankovních detailů.

Data CloudNordic v bitovém nebi

CloudNordic oznámil, že po útoku ransomware je kompletně paralyzován – útočník smazal a vypnul všechny firemní i zákaznické webservery i mailservery. Kromě toho vypnul také zálohy. Firma nehodlá platit výkupné, nicméně podařilo se jí zachránit jen malou část dat. CloudNordic věří, že se útočníkům před zašifrováním nepodařilo data stáhnout.

Nepříjemnosti u WinRARu

WinRAR nemá dobrý týden. Chyba CVE-2023–38831 způsobuje, že u vhodně zkonstruovaných archivů se při kliknutí na ikonu nevinného souboru spustí dávkový soubor ve stejnojmenném adresáři. Chyba je opravena ve verzi 6.23.

O několik dní dříve se objevila chyba CVE-2023–40477, která umožní útočníkovi utéci mimo přidělenou pamět a vetknout vlastní kód. Podle Group-IB je zranitelnost již využívána a cílí na forexové a bitcoinové obchodníky, resp. na získání přístupu k jejich účtům u brokera, a tedy i možnostem převést finance na zajímavější místa.

Ukázka příspěvku s maligním RARovým archivem na forexovém fóru

Autor: Group-IB

Ivanti potřetí

Objevila se zranitelnost, tentokrát v Ivanti Sentry do verze 9.18, což je mobilní brána, sledující a řídící přístupy mobilních zařízení do firemních sítí. API administrátorského portálu díky konfigurační chybě dovoluje obejít autentizaci a podnikat různé zajímavé akce, včetně změn konfigurace, spouštění systémových příkazů a zápisu dat na disk.

Chyba je zneužitelná tam, kde je přístupný API port 8443 (tcp). Chyba nese označení CVE-2023–38035. Opravy viz třeba zde. Společnost Ivanti také nemá dobré období, v poslední době se objevily i zranitelnosti v Ivanti Avalanche a Ivanti Endpoint Mobile Manager.

Telefonáty jako od NÚKIBu

Objevují se falešné telefonáty, odkazující se na NÚKIB (buď přímo, nebo jako na „důvěryhodnou“ třetí stranu). Snaží se cíl různými metodami nátlaku a hrozeb přesvědčit, aby své peníze přesunuly na „rezervní“ bezpečný účet. Odkazují při tom na existující jména zaměstnanců a možnostmi si existenci zaměstnanců ověřit. Používají také telefonní čísla podobná těm existujícím – tedy věrohodným.

Pro obranu stále platí zdravý rozum – pokud Vás z ničeho nic někdo tlačí do neobvyklé operace s Vašimi penězi (bitcoiny, dokumenty, hesly), zavěste a ověřte si celou akci přímo u zmiňované instituce. Velmi pravděpodobně bude podvržená a možná pomůžete i s identifikací pachatelů.

Hrubá síla a LinkedIn

Zdá se, že hromadně přibývá zkompromitovaných účtů na LinkedIn. Roste počet stížností uživatelů na zamčené, zkompromitované nebo smazané účty a Google Trends ukazují nárůst dotazů na podobná témata. Zdá se také, že někteří uživatelé už byli vydíráni pro navrácení účtu.

Detaily zatím nejsou známé, vypadá to ale, že se jedná o útoky hrubou silou, které u účtů se silnými hesly či dvoufaktorovou autentizací ústí v jejich zablokování. Situaci se zřejmě vyplatí sledovat.

Neprůhledné aplikace pro Android

Zimperium zLab zjistili, že existuje nedokumentovaný způsob komprese APK souborů, jehož použití způsobí, že aplikace se bez problémů nainstaluje na Android 9 a novější, nicméně analytické nástroje na ní selhávají. Zimperium objevili přes 3000 aplikací, používajících tuto kompresi, a z toho potvrdili 71 maligních. Ani jeden z testovaných vzorků se nevyskytoval v Google Play.

Metoda stojí na nevalidním označení komprese v ZIP hlavičce – v Androidu starším, než je devátá verze, nelze takové aplikace nainstalovat, u novějších se ale předpokládá, že jde o DEFLATE kompresi a instalace proběhne. Řada nástrojů ale způsob komprese neimplikuje a není schopno aplikaci rozbalit (tedy ani analyzovat).

Ve zkratce

• Zyxel opravuje 2 zranitelnosti ve switchích a routeru – DoS (CVE-2023–28768) a obejití autentizace (CVE-2023–33013)
• Microsoft opravuje zranitelnost v OLE DB, ODBC a SQL serveru (CVE-2023–38169)
• XWiki opravuje řádku zranitelností – RCE (CVE-2023–37914), XSS (CVE-2023–40176) a ještě jednu RCE (CVE-2023–40177)
• Cisco opravuje DoS v Secure Endpoint Connector/Private Cloud, přesněji v použitém ClamAV – nekonečnou smyčku pomocí podvrženého HFS+ souboru (CVE-2023–20197) a shození pomocí Autolt souboru (CVE-2023–20212)
• Citrix opravuje kritickú zraniteľnosť v ShareFile (CVE-2023–24489)

Pro poučení

Myslíte si, že umíte v Bashi pracovat se jmény souborů? David A. Wheeler vás vyvede z omylu.

Pro pobavení

Některé problémy se vrací v různých formách

Autor: Thomas Gx, Mark Nightingale

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…