Aktivně zneužívaná 0-day zranitelnost v systému FortiManager
Velkou pozornost odborné komunity i médií si v uplynulém týdnu získala kritická 0-day zranitelnost v systému FortiManager, označovaná jako FortiJump, která umožňuje na zranitelných systémech vzdáleně spouštět libovolný kód.
Společnost Fortinet začala na existenci aktivně zneužívané zranitelnosti upozorňovat své zákazníky již 13. října, avšak výhradně neveřejnými kanály. Informace o těchto neveřejných varováních se však brzy dostaly na sociální sítě a ze strany odborné komunity byl posléze postup výše jmenované společnosti při informování o zranitelnosti silně kritizován.
Oficiálně Fortinet na zranitelnost upozornil až 23. října, kdy jí byl přiřazen identifikátor CVE-2024–47575 a CVSS skóre 9,8.
Společnost Mandiant pak ve stejný den publikovala technický report, v němž informovala, že první zneužití CVE-2024–47575 zaznamenala již 27. června 2024 a celkem asistovala společnosti Fortinet při vyšetřování kompromitace více než 50 systémů. Mandiant se prozatím zdržel konkrétnější atribuce souvisejících útoků (resp. jejich původce prozatím eviduje jako zcela novou entitu UNC5820), nicméně bezpečnostní výzkumník Kevin Beaumont je připisuje čínským státním aktérům.
Společnost Mandiant ve své zprávě doporučuje všem organizacím, které využívají systém FortiManager v konfiguraci, v níž je možné k němu přistupovat z internetu, aby provedly analýzu možného průniku do svých prostředí s pomocí zmíněné zranitelnosti. Zmínku zaslouží, že počet z internetu dostupných potenciálně zranitelných systémů se dle dat ze služby Shodan.io pohybuje okolo 60 000, z čehož cca 340 je v ČR.
Proběhla soutěž Pwn2Own Ireland
Od úterý do pátku probíhal v minulém týdnu ve městě Cork v Irsku letošní podzimní běh soutěže Pwn2Own, v rámci níž jsou soutěžící každoročně finančně odměňováni za praktické demonstrace zneužití nových 0-day zranitelností.
Hned v průběhu prvního dne soutěže účastníci úspěšně zneužili 52 unikátních zranitelností, za což byli oceněni více než půl milionem amerických dolarů. Velmi úspěšní však byli soutěžící i v dalších dnech – celkem se jim podařilo úspěšně využít více než 70 různých 0-day zranitelností v produktech řady výrobců (mj. QNAP, Synology, Canon, HP, Ubiquity nebo Samsung), a získat ceny v hodnotě přes jeden milion dolarů.
Detailní popis průběhu celé akce i vybrané informace o demonstrovaných zranitelnostech jsou k dispozici na blogu Zero Day Initiative.
Společnost LinkedIn pokutována pro nedodržování požadavků GDPR
Společnosti LinkedIn byla irským úřadem pro ochranu osobních údajů IDPC udělena pokuta €310 milionů v souvislosti s využíváním osobních údajů uživatelů stejnojmenné sociální sítě pro behaviorální analýzu a poskytování cílené reklamy v rozporu s GDPR.
Sama společnost LinkedIn se v reakci na toto rozhodnutí vyjádřila v tom smyslu, že přestože věří, že její praktiky byly i historicky v souladu s GDPR, bude se snažit uvést svou praxi do souladu s požadavky IDPC.
Pokuty za matení investorů v souvislosti s kybernetickými útoky
Pokutám se v minulém týdnu nevyhnuly ani společnosti Check Point, Mimecast, Unisys a Avaya, kterým byly komisí pro kontrolu cenných papírů Spojených států (SEC) uděleny pokuty ve výši od $990 000 do $4 milionů za matení investorů v souvislosti s udávanými dopady útoku na společnost SolarWinds v roce 2020.
Přestože si totiž jmenované společnosti údajně byly plně vědomy závažných průniků do svých sítí v souvislosti s výše uvedeným útokem, při němž se ruské skupině APT29 podařilo vložit backdoor do updatu pro systém SolarWinds Orion, který byl následně distribuován do více než 30 000 organizací po celém světě, ve veřejných prohlášeních minimalizovaly a jinak nepřesně popisovaly dopady souvisejících incidentů na svá prostředí.
Žádná z pokutovaných společností nevyjádřila záměr se stanovenému trestu jakkoli bránit nebo se proti němu odvolávat.
Internet Archive postižen dalším útokem
Ve středu 9. října zasáhl systémy projektu Internet Archive silný DDoS útok. V ten samý den se pak objevila informace o tom, že určitému škodlivému aktérovi se nezávisle na tomto útoku již dříve (zřejmě 28. září 2024) podařilo zcizit autentizační databázi obsahující informace o více než 31 milionech uživatelů jmenovaného projektu.
Z později publikovaných informací lze usuzovat, že útočník nejprve získal přístup k autentizačnímu tokenu, který byl (téměř dva roky) uložen v nezabezpečeném konfiguračním souboru na GitLab severu Internet Archive, a s jeho pomocí se následně dostal ke všem zdrojovým kódům projektu, v nichž byly uloženy další autentizační údaje – mj. ty umožňující přistupovat k databázovému systému Internet Archive, odkud následně daný škodlivý aktér získal přístup k vlastní uživatelské databázi.
Přestože od incidentu v té době již uplynul více než týden, minulou neděli se ukázalo, že vybrané útočníkem zcizené autentizační údaje ještě nebyly změněny. Přinejmenším ještě nedošlo ke zneplatnění API klíče užívaného ze strany projektu Internet Archive pro přístup k servisnímu systému Zendesk. S pomocí tohoto API klíče tak byla ze jmenovaného systému (zřejmě výše zmíněným škodlivým aktérem) v noci na neděli zaslána řadě uživatelů Internet Archive, kteří historicky žádali o smazání nějakého indexovaného obsahu, e-mailová zpráva informující je o tom, že provozovatelé Internet Archive prozatím ještě neprovedli rotaci všech uniklých klíčů, a že osobní data příjemců jsou v důsledku toho v rukou autora zaslané zprávy.
Internet Archive sám se k incidentům vyjádřil jen ve velmi obecné rovině na svém blogu.
Další zajímavosti
- Po ohlášení plánů na konání společného vojenského cvičení Japonska a USA se řada japonských organizací ocitla pod DDoS útokem
- Kritická infrastruktura Kypru se údajně stala cílem útoků pro-palestinských skupin
- Společnost Google upozornila na aktivní zneužívání 0-day zranitelnosti postihující chytré telefony Samsung
- Avast publikoval dekryptor pro ransomware Mallox
- Cisco publikovalo záplaty pro systémy ASA, FMC a FTD
- Microsoft využívá specifické Azure tenanty jako honeypoty
- Systémy moldavského parlamentu byly před referendem o vstupu do EU cílem kybernetického útoku
- Společnost Microsoft upozornila na sílící vlivové kampaně ze strany Ruska, Číny a Íránu před prezidentskými volbami v USA
- Spojené státy vyšetřují průnik do systémů telekomunikačních operátorů ze strany čínských státních aktérů v souvislosti s nadcházejícími prezidentskými volbami
- Publikován PoC exploit pro zranitelnost Windows Reigistry klientu
- Bílý dům publikoval doporučení pro využívání Traffic Light Protocol (TLP) pro federální agentury
- Spojené státy začaly přezkoumávat smlouvu agentury ICE s izraelským výrobcem spywaru
- Rusko informovalo o „bezprecedentním“ kybernetickém útoku na ministerstvo zahraničí v průběhu summitu zemí BRICS
- Čtyři členové skupiny REvil byli překvapivě odsouzeni v Rusku k trestům odnětí svobody v délce od 4,5 do 6 let
- Hong Kong zakázal používání čínské komunikační aplikace WeChat na počítačích užívaných ve státní správě
- NÚKIB varoval před phishingovými útoky zneužívajícími identity společností Amazon, Microsoft a vybraných českých institucí (další související informace zde)
- V Úředním věstníku EU bylo publikováno prováděcí nařízení k NIS2
- VMware publikoval druhou, opravnou záplatu pro kritickou zranitelnost v systému vCenter Server
- CVE slaví 25 let své existence
Pro pobavení
And she put sweet nothings in all my .conf files. It'll take me forever to get X working again.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU