Zranitelnosti v Avastu a AVG
Výzkumníci ze Sentinel Labs (SentinelOne) objevili dvě závažné zranitelnosti v antivirových produktech firmy Avast, konkrétně v Anti Rootkit driveru, který využívá ve svých produktech i společnost AVG.
Zranitelnosti, na které se přišlo po více než deseti letech, mohly sloužit k navýšení práv uživatele. O konkrétních případech jejich zneužití zatím nejsou žádné zprávy.
Sentinel Labs upozornil na chyby Avast již ke konci minulého roku a se zvěřejněním článku se čekalo až po vydání opravy. Ta byla součástí únorového updatu (verze 22.1), jak se můžeme dočíst v poznámkách k vydání („Rootkit driver BSoD was fixed“). Pokud na vámi spravovaných stanicích antivirus Avast či AVG používáte a nejste fanoušky automatických aktualizací, zkontrolujte nasazenou verzi, update je možné vyvolat i ručně.
Kritická zranitelnost v BIG-IP
F5 vydala v minulém týdnu záplaty na 43 chyb, z nichž jedna má hodnocení „Critical“. Zranitelnost prvku iControl REST označena CVE-2022–1388 (CVSS hodnocení 9.8 z 10) umožňuje útočníkovi převzetí kontroly nad systémem.
Záplaty byly vydány pro BIG-IP produkty verzí
- 16.1.0 – 16.1.2,
- 15.1.0 – 15.1.5,
- 14.1.0 – 14.1.4,
- 13.1.0 – 13.1.4,
- 12.1.0 – 12.1.6 a
- 11.6.1 – 11.6.5.
Oprava je také součástí nově vydaných „řádných“ verzí. F5 ubezpečuje, že zranitelnost se netýká ostatních produktů (BIG-IQ Centralized Management, F5OS-A, F5OS-C, …), ale pouze zmiňovaného BIG-IP. Pokud není například z provozních důvodů možné záplaty nasadit okamžitě, nabízí F5 jako možný workaround zablokování přístupu na iControl REST či úpravu httpd konfigurace.
Mustang Panda najíždí na Evropu a rozborka Lazara
Bezpečnostní tým Cisco Talos vydal na svém blogu příspěvek podrobně se věnující čínské hackerské skupině Mustang Panda (též vystupující jako RedDelta či Bronze President). Skupina je známá útoky na vládní a katolické organizace i think-tanky po celém světě a její aktivita se datuje od roku 2012.
Jako hlavní způsob prvotního nakažení systému využívá phishingových kampaní, během kterých zasílá obětem dokumenty týkající se aktuální tématiky (například válečného stavu, pandemie apod.). Dokumenty obsahují škodlivé DLL, které se následně postará o nasazení remote access trojana. Celý řetězec infekce je k dispozici v původním článku.
Dalším zajímavým rozborem je práce expertů firmy NCC Group a věnuje se nechvalně proslulé skupině Lazarus.
Severokorejší Lazaři se pro získání přístupu spoléhájí primárně na sociální inženýrství, v rozboru autoři popisují kampaň, při které se útočníci vydávali za náboráře leteckého giganta Lockheed Martin a obětem, které se jim na LinkedIn hlásily na vymyšlenou pracovní nabídku, zasílali dokumenty či podvržená URL.
Kritické zranitelnosti ve switchích Aruba a Avaya
Portál The Register vydal článek o zranitelnostech z rodiny TLStorm 2.0, které postihují (pravděpodobně nejen) přepínače od společností Aruba a Avaya. Zranitelnosti umožňující útočníkům vzdálené spuštění škodlivého kódu postihují níže sepsané řady produktů.
- Aruba 5400R,
- Aruba 3810,
- Aruba 2920,
- Aruba 2930F,
- Aruba 2930M,
- Aruba 2530,
- Aruba 2540,
- Avaya ERS3500,
- Avaya ERS3600,
- Avaya ERS4900 a
- Avaya ERS5900
Command injection zranitelnost v OpenSSL
Zranitelnost, která získala označení CVE-2022–1292, se vyskytuje ve skriptu c_rehash OpenSSL. Skript díky nedostatečné sanitaci umožňuje útok typu command injection. Chyba postihuje OpenSSL verzí 1.0.2, 1.1.1 a 3.0 a v samotném oznámení je připomenuto, že užívání zmíněného skriptu je považováno za zastaralou techniku, kterou nahradil OpenSSL rehash nástroj.
Cybersecurity Supply Chain Risk Management
NIST (National Institute of Standards and Technology) vydal dokument, který si bere za cíl řízení rizik dodavatelského řetězce v oblasti kybernetické bezpečnosti. Důvodem publikace je pravděpodobně zvyšující se zájmem o zneužívání tohoto vektoru útočníky.
Direktiva vybízí organizace k zamyšlení se nad změnou přístupu k zranitelnostem a připomíná, že produkt je často složen z řady komponent, jejichž kontrola může být ze strany „zákaznické“ organizace opomenuta či přehlížena, čehož hacker může využít (a využívá).
Ve zkratce
- NÚKIB oznámil datum letošního CyberConu
- Analýza Google TAG kybernetické aktivity ve východní Evropě
- Rozbor malwaru Winnti
- Google plánuje podporu password-less autentizaci pro Chrome a Android
- Synology varuje před Netatalk zranitelnostmi na svých zařízeních
- Španělský premiér a ministr obrany cílem spywaru Pegasus
- Google vydal Android update pro záplatování zranitelnosti v linuxovém jádru
- Zamyšlení Pierlugia Paganiniho nad budoucností zabezpečení IoT zařízení
Pro pobavení
https://twitter.com/_workchronicles/status/1512712779886743556
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU