Společnost Ivanti zveřejňuje tři kritické zranitelnosti
Společnost Ivanti zveřejnila varování ohledně tří zranitelností v její Cloud Service Application. Všechny zranitelnosti jsou kritické. Tato aplikace slouží pro správu koncových zařízení, čímž je pro útočníky zajímavá. První ze zranitelností s označením CVE-2024–11639 umožňuje neautentizovanému útočníkovi získat administrátorské oprávnění skrz webovou konzoli. Tato zranitelnost obdržela perfektní skóre 10.0
Zranitelnost CVE-2024–11772 s CVSS skóre 9.1 umožňuje autentizovanému útočníkovi s administrátorským oprávněním vzdálené spuštění kódu skrz webovou konzoli. Poslední z těchto zranitelností, také se CVSS skóre 9.1, umožňuje autentizovanému útočníkovi s administrátorským oprávněním pouštět libovolné SQL dotazy.
Tyto zranitelnosti se týkají verze 5.0.2 a dřívějších. Společnost doporučuje update na verzi 5.0.3 pro jejich opravení a zmínila, že nemá informace o tom, že by zranitelnosti byly před zveřejněním zneužívány. Zároveň ale uvádí, že kvůli nedostatku informací o zneužití nemůže nabídnout žádné indikátory (IOCs).
Zranitelnost BadRam u AMD-SEV
Mezinárodní tým výzkumníků nalezl chybu v AMD SEV-SNP (Secure Encrypted Virtualization and Secure Nested Paging), kterou nazvali BadRAM. Účelem AMD SEV je využítí veřejného cloudového poskytovatele k provozu virtuálních strojů bez nutnosti věřit poskytovateli a jeho správcům. K překonání této technologie využili manipulaci s SPD (Serial presence detect) chipem na paměťovém modulu, který o modulu procesoru poskytuje informace.
K provedení útoku stačilo běžně dostupné vybavení za 10 dolarů. Je ale potřeba i jednorázový fyzický přístup k paměťovému modulu a root oprávnění na napadeném systému. Díky tomu se výzkumníkům podařilo vytvářet falešné remote attestations a vložit backdoory do libovolného virtuálního stroje chráněného AMD-SEV.
Díky manipulaci s SPD modulem mohli výzkumníci procesoru podvrhnout velikost modulu. Využili konkrétně uvedení dvojnásobné kapacity oproti skutečné. Kvůli tomu pak procesor přistupuju k neexistujícím adresám, které jsou mapované do existující paměti. Tím procesor mapuje dvě adresy na stejnou fyzickou paměť. Tyto aliasy jde odhalit během minut a obejít díky nim ochranu paměti procesoru.
AMD již vydalo aktualizace, které tyto chyby opravují. Podle výzkumníku by oprava neměla mít vliv na výkon procesorů, s výjimkou možného delšího bootu. Zranitelnost dostala označení CVE-2024–21944.
Zranitelnost imagebuilderu pro OpenWrt
Kvůli kombinaci command injection zranitelnosti v OpenWrt imagebuilderu a používání pouze dvanácti znaků ze SHA-256 hashe (CVE-2024–54143) mohli útočníci vytvořit kompromitovaný obraz OpenWrt vytvořením falešného seznamu balíčků. Zranitelnost objevil a ohlásil Ry0taK z Flatt Security.
Podle OpenWrt nebyly ovlivněny žádné oficiální image dostupné na jejich stránkách. To ověřili díky build logům těchto imagů. Ty se ale ukládají pouze týden a starší obrazy tak nemohly být zkontrolovány. Paul Spooren, vývojář OpenWrt, prohlásil, že pravděpodobnost skutečného zneužití je téměř nulová. Pro jistotu doporučuje provedení updatu systému na stejnou verzi.
Ruská hackerská skupina cílí na zařízení připojená skrz Starlink
Ruská hackerská skupina známá pod jmény Turla, Waterbug, Snake, and Venomous Bear využila servery a malware využívaný jinými skupinami pro napadení zařízení využívaných ukrajinskou armádou. Aktivitu skupiny odhalil Microsoft, který ji sleduje pod jménem Secret Blizzard. Podle Microsoftu jde o změnu chování skupiny, která jinak běžně vyžívá spear phishing.
Tentokrát ale využila infrastrukturu skupiny Storm-1919 a zdroje Storm-1837. Ruská skupina Storm-1837 v minulosti provedla útoky na ukrajinské operátory dronů. Není taky jasné, jestli se jednalo o spolupráci, nebo jestli skupina Secret Blizzard ostatní napadla. Hlavním cílem bylo dostat na napadené systémy backdoor Tavdig, který Secret Blizzard využívá k průzkumu vhodných cílů.
Tento malware kradl data ze schránky a hesla z prohlížečů a na vybraných zařízeních instaloval další škodlivý software. Šlo například o zařízení, která se připojovala k IP adresám poskytovaným systémem satelitů Starlink. Tyto adresy totiž často využívá ukrajinská armáda pro zařízení na frontě.
Severokorejci pod falešnou identitou hledají práci v zahraničních firmách
Podle ministerstva spravedlnosti Spojených států amerických získali podvodníci ze Severní Koreji celkem 88 milionů dolarů v průběhu šesti let kvůli podvodným IT specialistům. Podvod funguje tak, že se pod falešnou identitou ucházejí o práci v zahraničních firmách, které nabízejí možnost pracovat vzdáleně. Jako zaměstnanci získají přístup k firemním datům, které pak ukradnou a firmu vydírají zveřejněním těchto dat.
Ministerstvo zahraničních věcí Spojených států amerických také ve čtvrtek 12. 12. 20204 zveřejnilo seznam čtrnácti osob a dvou firem podílejících se na těchto podvodech. Ministerstvo nabízí až 5 milionů dolarů za informace, které povedou k narušení finančních mechanismů osob zapojených do určitých činností podporujících Korejskou lidově demokratickou republiku.
Další zajímavosti
- Kompromitace Ultralytics python knihovny skrz script injection v GitHub Actions
- Irán využil vlastní malware pro napadnutní americké kritické infrastruktury
- Zranitelnosti v autech od Škody
- Ransomwarový útok na výrobce zařízení využívaných při operacích srdce
- Nemoc v Demokratické republice Kongo může ovlivnit dodávky technických výrobků
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
