Nabíjení zdarma
Webové rozhraní nabíjecích stanic EVlink řad City, Parking a Smart Wallbox obsahuje chyby, které umožňují dobíjení zadarmo, vyřazení stanice z provozu, manipulaci se záznamy o nabíjení nebo přebíjení/nedobíjení vozidel. Vesměs se jedná o chyby s CVSS skóre 9.4, které se týkají autentizačních údajů uvedených přímo v kódu systému: CVE-2021–22707 (cookie), CVE-2021–22730 (autentizační údaje) a CVE-2021–22729 (heslo).
Chyby obsahuje firmware R7, verze V3.3.0.15 a jsou opraveny ve firmwaru R8, version V3.4.0.1. Nejvíce jsou ohroženy stanice, jejichž webové rozhraní je dostupné z Internetu, nebo veřejně dostupné sítě. Chyby však lze také zneužít pomocí přístupu k internímu komunikačnímu portu, dostupného po odstranění krytu stanice.
Zranitelnost milionů tiskáren oslavila šestnácté narozeniny
Některé zranitelnosti prožijí dlouhý a naplněný život. To je i případ 16 let staré zranitelnosti označené jako CVE-2021–3438, která byla objevena v ovladačích tiskáren HP, Xerox a Samsung, a kterých byly od té doby prodány celosvětově stovky milionů. Problém se týká souboru SSPORT.sys
, který nemá ošetřené vstupy uživatele a útok tak může vést k přetečení bufferu, uživatel s přístupem tak může například eskalovat oprávnění a spustit tak vlastní kód v kernel módu.
Zajímavé je, že možná společnost HP zkopírovala funkci ovladače z ukázkového ovladače publikovaného společností Microsoft. Ovšem původní ukázkový projekt MS tuto chybu neobsahoval.
Dočasné řešení zranitelnosti ve Windows 10
Microsoft publikoval dočasné řešení zranitelnosti privilege elevation dotýkající se všech verzí Windows 10. Tato zranitelnost umožňuje útočníkovi přístup k hashům přihlašovacích údajů uložených v databázi SAM a vytváření nových účtů. Aby útočník mohl chybu zneužít, musí mít možnost na cílovém systému spouštět kód.
Francie řeší velký útok
Francie aktuálně řeší velkou kybernetickou kampaň vedenou skupinou, která je známá pod jmény APT31, Zirconium a Panda spadající pod Čínu. Ke svým útokům momentálně využívají napadené domácí routery, jejichž počet stále roste. Francouzský CERT tým k tomu vydal vydal prohlášení obsahující mimo jiné i indikátory kompromitace, které aktuálně čítají 161 IP adres z různých zemí. Útoky vedené z těchto zařízení se zaměřují primárně na velký počet francouzských cílů.
Oracle opravuje několik kritických zranitelností
Společnost Oracle vydala aktualizaci za červenec, ve kterém opravuje několik kritických zranitelností. Celkem se jedná o 342 opravených chyb, přičemž jednou z hlavních je kritická chyba s označením CVE-2019–2729 s hodnocením 9,8 bodů z 10. Problém nastává ve funkci XML Decoder, kde dochází k nesprávné deserializaci kódu.
Zranitelnost se dá využít pomocí vzdáleně spuštěného kódu bez nutnosti ověření uživatele. Během aktualizace byly opraveny další tři kritické zranitelnosti s hodnocením 9,8. Proto Oracle doporučuje všem, kteří využívají jejich platformu, aby co nejdříve aktualizovali na nejnovější verzi.
Další zatčený v kauze Twitteru
Další Brit v kauze hacknutí Twitteru za mřížemi. Velká a falešná kampaň minulého roku, kdy skupina hackerů kompromitovala na 130 účtů vlivných osobností, má dalšího zatčeného. Ve španělské Esteponě byl zatčen dvaadvacetiletý muž jménem O'Connor, který je spojený s neoprávněnými přístupy do chráněných počítačů a vydírání.
Kromě účasti na velkém podvodu na Twitteru je odsouzen také za podvody na sítích TikTok a Snapchat a kyberstalking nejmenované mladistvé oběti. Je mi to jedno. Mohou mě přijít zatknout, vysmál bych se jim. Nic jsem neudělal,
napsal minulý červenec ještě pod anonymní přezdívkou PlugWalkJoe pro The Times.
Ve zkratce
- Pohled na výpalné u ransomwaru, trendy, statistiky
- Kaseya získala univerzální dešifrovací nástroj pro oběti REvil ransomware
- Upgrade u Akamai spustil výpadek významných webů
- Kontrola citlivého obsahu na Instagramu
Pro pobavení
Let me fix it up a little bit.pic.twitter.com/lrRgNKx2iP
— Felix Jr. (@Nulloop) July 3, 2021
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…