Hlídač od Ivanti neuhlídal vlastní zranitelnosti
Norská bezpečnostní služba (NSM) potvrdila informaci, že došlo ke kybernetickému útoku skrze systém Ivanti Endpoint Manager Mobile, softwarový nástroj pro správu a ochranu koncových zařízení (MDM), aplikací a obsahu, dříve známý pod názvem MobileIron Core. Ten je často používán i ve státních službách a jen v Norsku jej využívá 12 ministerstev ze 16. Útočníci, jejichž identita zatím není známa, zneužili zero-day zranitelnost (CVE-2023–35078, CVSS:10.0) vedoucí k obejití autentizace API. To jim umožnilo narušit důvěrnost informací jako jsou jména, telefonní čísla a identifikátory zařízení začleněných do systému EPMM. Zároveň mohli tuto zranitelnost zneužít k úpravě konfigurace serveru, což může vést i k vytvoření administrátorského účtu a následně kompromitace systému jako takového.
Erik Hope, generální ředitel Norské Vládní Bezpečnostní a Servisní Organizace (DSS), prozradil, že tato zranitelnost byla odhalena během vyšetřování kybernetického útoku na zmíněnou ICT službu od externího dodavatele. Americká Agentura pro kybernetickou a infrastrukturní bezpečnost (CISA) již vydala upozornění na tuto zranitelnost i na existující opravu a zařadila ji na seznam již zneužitých zranitelností (KEV). Současně upozornila, že chybou jsou postiženy i verze, pro které již opravy nejsou poskytovány. V pátek 28.7. bylo toto upozornění doplněno dalším, popisujícím chybu CVE-2023–35081 umožňující uživateli s administrátorskými právy v EPMM zapsat do souboru na postiženém systému a následně soubor spustit. I u této chyby bylo potvrzeno její zneužití spolu s CVE-2023–35078.
Zenbleed: nová zranitelnost v procesorech AMD Zen 2
Výzkumník z Google Information Security, Tavis Ormandy, objevil novou zranitelnost v procesorech AMD Zen 2, kterou nazval „Zenbleed“. Tato zranitelnost postihuje celou řadu produktů Zen 2, tedy Ryzen 3000 („Matisse“), Ryzen 4000U/H („Renoir“), Ryzen 5000U („Lucienne“), Ryzen 7020 i ThreadRipper 3000 a EPYC („Rome“).
Útok umožňuje krádež chráněných informací z CPU, jako jsou šifrovací klíče a přihlašovací údaje uživatelů. Zajímavostí je, že k útoku není potřeba fyzický přístup k počítači nebo serveru, stačí dokonce JavaScript na webové stránce.
Apple opravuje dvě zero-day zranitelnosti
Společnost Apple vydala aktualizaci pro své produkty, včetně již historického iPhone 6s (a samozřejmě i novější), opravující dvě zero-day zranitelnosti ve WebKitu, které jsou již prý aktivně zneužívány. Dále opravuje celkem 46 zranitelností, mimo jiné v kernelu, Apple neural engine, Find My, libxpc, NSURLSession, AppSandbox, curl, SystemMigration a další.
Přehlednou tabulku konkrétních zranitelností a produktů Apple, tradičně zpracoval Johannes B. Ullrich ze SANS. Vzhledem k množství zařízení, pro které jsou aktualizace dostupné, Apple rozesílá notifikace k aktualizaci ve vlnách, aby optimálně využil kapacity CDN. Pokud jste výzvu k aktualizaci ještě neobdrželi, doporučujeme aktualizaci ručně vyhledat a aplikovat.
Toto zařízení je bezpečné. Věřte nám, pečeť na to!
U.S. Cyber Trust Mark – to je název nové pečeti, kterou budou moci zákazníci za velkou louží již brzy najít na obalech chytrých spotřebičů, jako jsou například ledničky, fitness náramky, chůvičky nebo televize. Klade si za cíl ulehčit spotřebiteli výběr s ohledem na úroveň zabezpečení daného zařízení.
Společnosti jako Google, Amazon, Best Buy, LG, Samsung a další se již zavázali ke spolupráci na novém programu certifikace zabezpečení, nad kterým má bdít americká FCC. Výrobky budou označené logem v barvě odpovídající splněným nárokům na úroveň zabezpečení a podrobné informace pak budou k nalezení skrze doplňující QR kód. Finální podoba programu je však stále otevřena připomínkám. Na obalech se tak zmíněná pečeť má objevit až v roce 2024.
Malwarové linky v Google Ads – pokolikáté už?
Další malware kampaň s názvem „Nitrogen“, zneužívající reklamní platformy Google Ads a Bing Ads, je v plném proudu. Trend Micro a Sophos ve svých zprávách upozorňují na reklamní odkazy umisťující se v horních pozicích a nabízejících malwerizované verze populárního software, jako je například AnyDesk, WinSCP, Cisco AnyConnect nebo TreeSize Free. Asi není třeba připomínat, že software by měl být získáván z důvěryhodného zdroje a neměli bychom zapomínat ani na ověření kontrolního součtu.
TETRA:BURST
V komunikačních prostředcích TETRA používaných bezpečnostními, ozbrojenými a záchrannými složkami po celém světě, včetně ČR, bylo objeveno pět zranitelností jejichž zneužitím lze dosáhnout dešifrování v reálném čase, narušení integrity předávané zprávy či deanonymizace uživatele.
Výzkumníci ze společnosti Midnight Blue ve dvou videích demonstrují soubor zranitelností, souhrnně nazývaných jako TETRA:BURST s příkladem zachycení a dešifrování zakódované zprávy a dešifrování hlasové komunikace v síti TEA1. Další detaily budou zveřejněny 9. srpna.
Zimbra zero-day XSS
Zimbra, poštovní server s webovým klientem, opravuje zero-day zranitelnost CVE-2023–38750, která je již aktivně zneužívána v XSS útocích. Při prvotním odhalení zranitelnosti výzkumníkem Clémentem Lecignem z Google Threat Analysis Group a v následném upozornění společností Zimbra na manuální opravu, nebylo vysloveně uvedeno, že by zranitelnost již někdo zneužil.
Maddie Stone působící taktéž v Google Threat Analysis Group však následně potvrdila, že k odhalení této zranitelnosti došlo v souvislosti s útokem APT. Oprava nejen této zranitelnosti je vydána v ZCS 10.0.2.
Kybernetické útoky bude v USA nutné hlásit do 4 dnů
Komise pro kontrolu cenných papírů Spojených států (SEC) schválila nová pravidla nařizující veřejně obchodovatelným společnostem zveřejnit detaily kybernetických útoků během čtyř dnů od momentu, kdy došlo k zjištění, že útok bude mít „materiální“ dopady.
Aruba Networks opravuje kritické chyby
Aruba Networks opravila tři kritické a jednu vysoce závažnou zranitelnost v produktech InstantOS a ArubaOS 10. Kritické zranitelnosti CVE-2023–35980, CVE-2023–35981 a CVE-2023–35982 (CVSS 9.8) umožní neautentizovanému vzdálenému útočníkovi, prostřednictvím odeslání speciálně vytvořených UDP paketů určených na port 8211 protokolu PAPI, spustit libovolný kód na postiženém zařízení s právy privilegovaného uživatele.
Další, pro změnu vysoce závažná zranitelnost CVE-2022–25667 (CVSS 7.5) spočívá v odhalení informací v jádře kvůli nesprávnému zpracování požadavků ICMP v zařízení Snapdragon Wired Infrastructure and Networking. Zranitelnosti postihují i produkty, pro které již není poskytována podpora a záplatu tak již nelze očekávat.
Kybernetické útoky a úniky dat
Zero-day zranitelnost v MOVeit má další oběti. Tentokrát je jimi 8 až 11 milionů občanů USA, jejichž osobní data, včetně čísla sociálního zabezpečení, informací ze zdravotnického charakteru či financování studentských půjček, zpracovávala společnost Maximus. Poskytovateli služeb vládě USA byla data odcizena právě zneužitím zranitelnosti CVE-2023–34362 v software MOVEit Transfer pravděpodobně skupinou Clop, která nedávno zpřístupnila části odcizených informací několika organizací stránkách přístupných veřejnosti.
VirusTotal se omlouvá za únik informací o 5600 zákaznících. Společnost se dušuje, že se nejednalo o kybernetický útok, ale pochybení člena týmu. 29. června zaměstnanec VirusTotal nechtěně zpřístupnil CSV soubor s daty prémiových účtů ostatním uživatelům služby s prémiovým plánem. Během jedné hodiny však měl být soubor opět odstraněn. Dle deníku Der Spiegel však mezi zpřístupněnými záznamy měla být i data zaměstnanců tajné služby NSA či německé rozvědky. Minimálně dvacet účtů patřilo „Kybernetickému vedení“ USA, U.S. DoJ nebo FBI. Další informace se mely týkat vládních organizací a služeb ve Velké Británii, Nizozemí, Taiwanu a dalších zemí.
Švédská společnost Ortivus, nabízející řešení pro elektronickou správu dat pacientů MobiMed ePR, byla cílem kybernetického útoku. V jeho důsledku minimálně dva poskytovatelé provozu ambulancí ve Velké Británii ztratili přístup k digitálním zdravotnickým záznamům pacientů.
Alphapo, poskytovatel platebních služeb s kryptoměnami, který se primárně zaměřuje na hazardní weby a různé formy předplatného, údajně přišel celkem o 60 milionů dolarů v kryptoměnách po napadení severokorejskou skupinou Lazarus a APT38. Dle blockchain analytika s přezdívkou ZackXBT nese útok mnoho znaků právě zmíněné skupiny Lazarus, která má vazby přímo na severokorejskou vládu a je údajně zodpovědná i za útok na Atomic Wallet, Harmony Horizon nebo Axie Infinity.
Další poskytovatel služeb zahrnující platby kryptoměnami, který se stal obětí kybernetického útoku vedeného skupinou Lazarus, je estonský CoinsPaid. Útok prý proběhl 22. července a v jeho důsledku přišla společnost o více než 37 milionů dolarů v kryptoměnách. CEO Max Krupyshev uvedl, že Chainalysis, Binance, Crystal, Match Systems, Staked.us, OKCoinJapan a Valkyrieinvest pomáhají s vyšetřováním incidentu, který se však nemá negativně dotknout kryptoměn zákazníků.
Hawai'i Community College přiznala, že zaplatila výkupné za útok ransomwarem, aby předešla zveřejnění dat o více než 28000 studentů a zaměstnanců. 19. června relativně nová skupina NoEscape uvedla jméno Hawai'i Community College ve svém seznamu obětí a vyhrožovala zveřejněním 65GB odcizených dat, pokud nedojde k zaplacení výkupného. Univerzita své rozhodnutí zaplatit výkupné odůvodnila tím, že skupina NoEscape je známá zveřejňováním dat svých obětí, pokud neobdrží požadovanou částku. NoEscape je relativně nová skupina cílící primárně na Windows, linuxové či VMware ESXi servery. Někteří CTI odborníci však NoEscape považují za reinkarnaci skupiny Avaddon, která v minulosti útočila na cíle v korporátní sféře a na konci své „kariéry“ zveřejnila více než 2934 ransomware dešifrovacích klíčů.
Capture The Flag!
Hrajete rádi CTF? Pak můžete předvést své dovednosti hned v několika soutěžích. The Catch z dílny forenzní laboratoře CESNET je stálicí české CTF scény a její další kolo brzy započne. Další CTF pro změnu pod taktovkou Tenable začíná 9. srpna a to jak online, tak pro účastníky konference Defcon přímo v Las Vegas.
Další zajímavosti ve zkratce
- Apple zmiňuje možnost ukončení služeb zpráv iMessage a video chatu Facetime ve Spojeném Království jako odpověď na tlak zákonodárců na zpřístupnění šifrované komunikace.
- Mikrotik sice již opravil chybu eskalace privilegií administrátorského účtu na super-admina v routerOS v6.49.8 a 7.x, ale zranitelných zařízení běžících na starších verzích, jsou dle výsledků serveru Shodan, stále statisíce.
- CISA vydala analýzu backdoor malwaru SEASPY a SUBMARINE zneužívajících zranitelnost v produktech Barracuda.
- Apple iOS stále obchází aktivní VPN připojení a to i ve verzi 16.5.1.
- NÚKIB připravil podpůrné materiály pro ochranu před hrozbou v podobě kvantových počítačů.
- Skupina APT42, Charming Kitten ,se snažila navázat spolupráci s odborníkem na jadernou bezpečnost pod záminkou získání vyjádření k projektu „Irán v kontextu globální bezpečnosti“. Použili při tom nový Powershell backdoor GorjolEcho.
- Chytrý voltmetr autobaterie odesílá data o poloze uživatele do Číny.
Pro zasmání
meme old memories, onlyfans
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU