Postřehy z bezpečnosti: drony útočí na chytré automobily Tesla

Automobil Tesla hacknut na dálku z dronu

Dva vědci ukázali, jak lze Teslu – a možná i další automobily – hacknout na dálku bez jakékoli interakce uživatele. Útok provedli z dronu. V softwarové komponentě ConnMan používané v automobilech Tesla našli bezpečnostní chyby (remote zero-click security vulnerabilities), které jim umožnily kompromitovat zaparkovaná auta a ovládat jejich infotainmentové systémy přes Wi-Fi.

Útočník mohl odemknout dveře a kufr, změnit polohu sedadel, režimy řízení i zrychlení – zkrátka docela dobře to, co dokáže řidič stisknutím různých tlačítek na konzoli. Tento útok však nepřinesl možnost řízení vozidla, což je důležité. Svá zjištění popsali na konferenci CanSecWest začátkem tohoto roku, kde prezentovali také video, jak hackují Teslu pomocí dronu.

Finanční správa opět varuje před podvodnými e-maily

Finanční správa opět upozorňuje na další phishingovou kampaň, prostřednictvím které je zneužíváno její jméno a logo. Tato kampaň cílí konkrétně na daňové poplatníky. Neznámá třetí strana se snaží pod pobídkou vrácení peněžitého obnosu v Kč přinutit uživatele ke kliknutí na podezřelý odkaz a vyplnění formuláře.

Jedná se pouze o pokus vytvoření falešné důvěryhodnosti prostřednictvím využití loga Finanční správy a vytvoření domněnky, že se jedná o legitimní e-mail. Neznámé a podezřelé e-maily a zejména jejich přílohy doporučuje neotevírat a raději je rovnou smazat.

Mnoho kritických bezpečnostních chyb v MTA Exim

Společnost Qualys objevila v poštovním serveru Exim 21 kritických zranitelností, z nichž některé lze zřetězit pro vzdálené spuštění neověřeného kódu a dále k získání root oprávnění. Deset z těchto zranitelností lze zneužít vzdáleně a zbylých jedenáct lze zneužít lokálně, přičemž většinu z nich lze zneužít buď ve výchozí konfiguraci nebo ve velmi běžné konfiguraci.

Technické podrobnosti o všech 21 zranitelnostech najdete na Qualys Security Advisories nebo v textovém dokumentu. Na zranitelnosti také upozorňuje NÚKIB.

Zranitelnost v systémovém ovladači v počítačích od Dellu včetně Alienware

Zranitelnost CVE-2021–21551 systémového ovladače dbutil_2_3.sys byla odhalena společností SentinelLabs a její zneužití umožňuje útočníkům v operačních systémech Windows získat privilegovaná oprávnění na úrovni kernelu. Týká se všech modelů stolních počítačů, notebooků a tabletů vyrobených od roku 2009. Jedná se o stovky modelů a přibližně stovky milionů vyrobených kusů.

Zranitelný ovladač mohl být nainstalován do operačního systému, když jste použili balíčky obslužných programů pro aktualizaci firmwaru, Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent nebo Dell Platform Tags, a to i při použití jakékoli notifikace od nástroje Dell SupportAssist k aktualizaci ovladače, BIOSu nebo firmware pro váš systém. Oprava zranitelnosti je již k dispozici, na odstranění starého a instalaci nového ovladače můžete použít nástroj od společnosti Dell.

Bezpečnostní chyba v Apache OpenOffice

Nová verze kancelářského software Apache OpenOffice 4.1.10 řeší bezpečnostní chybu CVE-2021–30245. Všechny verze OpenOffice včetně 4.1.9 mohou otevírat odkazy jiné než http/https a mohly by vést k jednoduchému spuštění zákeřného kódu jediným kliknutím. Touto chybou může být ohrožen uživatel na operačních systémech Windows, na Linuxu i macOS.

Oprava je přitom jednoduchá – uživateli se při kliknutí na odkaz zobrazí varování před pokračováním v otevření odkazu. Chyba se měla nacházet v OpenOffice (StarOffice/OpenOffice.org) od roku 2005.

Ve zkratce

• Kritické chyby zasáhly Cisco SD-WAN vManage a HyperFlex software
• Apple řeší další tři zranitelnosti nultého dne na iOS, iPadOS, watchOS, and tvOS
• Anti-Spam WordPress Plugin mohl odhalit údaje o uživatelích webových stránek
• Nová studie varuje před bezpečnostními hrozbami spojenými s recyklovanými telefonními čísly

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…