Backdoor v balíčku xz-utils
Tvůrci distribucí varovali uživatele před backdoorem, který se podařilo propašovat do balíčku xz-utils. Kvůli chybné implementaci a velké náhodě se jej naštěstí podařilo odhalit včas a infikovaná verze neprošla až do ostrých vydání distribucí. Přesto jde o velké varování, že velmi dobře promyšlený a připravený útok na dodavatelský řetězec se může podařit. Věnovali jsme se tomu podrobně v samostatném článku.
Zranitelnost procesorů Apple vyzrazující tajné šifrovací klíče
Nově objevené zranitelnosti v procesorech Apple řady M umožňují útočníkům ukrást tajné klíče během kryptografických operací (šifrování/dešifrování). Zranitelnost využívá postranního kanálu a v případě procesorů M1 a M2 ji nelze jednoduše opravit. K zneužití této zranitelnosti stačí běžná uživatelská oprávnění.
Jak už to u podobných zranitelností bývá, na vině je hardwarová optimalizace, v tomto případě konkrétně přednačítání dat z operační paměti. Konkrétně je na vině „data memory-dependent prefetcher“ (DMP). Jedná se o relativně novější záležitost, nicméně „prefetcher“ jako takový se v obecném slova smyslu u procesorů vyskytuje již mnoho let.
Pro naši zranitelnost má totiž DMP jednu velmi zajímavou vlastnost. Během procesu přednačítání dat se snaží mimo toho, která data načíst (které adresy), uhodnout i to, jestli takto přednačtený kus paměti obsahuje data nebo ukazatele. Pokud dospěje k názoru, že se jedná o ukazatel, pokusí se rovnou načíst i odkazovanou část paměti.
Historicky je jedním z oblíbených útoků v kryptografii měření, jak dlouho šífrování, jeho část či kus výpočtu trvá, a na základě rozdílného času pak odhadování informace o šifrovacích klíčích. Z tohoto důvodu se věnovalo nemalé úsilí pro to, aby dané výpočty byly vždy časově konstantní, a tento typ útoku se tím eliminoval.
Bohužel ve snaze zrychlování výkonu občas dojde k přehlédnutí některého efektu na výpočet (jako třeba v tomto případě), což umožní právě tento typ útoku. V případě GoFetch (jak je tato zranitelnost pojmenována), je právě prodloužení dereference a přednačtení dat z chybně odhadnutého ukazatele postranním kanálem zneužitelným k úniku šifrovacího klíče.
Tato zranitelnost bude u procesorů M1 a M2 jen velmi obtížně opravitelná, a to za cenu velkého dopadu na výkon a pouze se specifickou implementací daného algoritmu, s cílem útoku zabránit. U procesorů M3 pak existuje DOIT bit, který umožňuje DMP vypnout úplně.
Z vývojářů lovení
Několik vývojářů Pythonu bylo napadeno malwarem, který je zaměřený na krádeže citlivých informací. Stalo se tak prostřednictvím upravené verze nástroje Colorama. Útočníci využili několik postupů, včetně převzetí účtu prostřednictvím ukradených cookies, publikování vlastních balíčků do registru PyPI, vytvoření vlastního Python zrcadla a přidávání škodlivého kódu přes ověřené commity.
Morris II – červ napadající GenAI Ekosystémy
Stále více společností pro zvýšení produktivity využívá GenAI, síť asistentů využívajících generativní umělou inteligenci. Tým výzkumníků z USA a Izraele vytvořil sebereplikační vir Morris II, schopný šířit se napříč GenAI ekosystémy, cílící na asistenty s umělou inteligencí pro vytváření automatických odpovědí. V publikovaném článku demonstrují vytvoření takového promptu [PDF] (dotazu), který jako výstup vygeneruje vstup pro nový prompt, odeslaný v e-mailu dalším uživatelům. Tento výstup je potom AI asistenty při zpracování vyhodnocen jako nový prompt od uživatele a následně vykonán, čímž dochází k jeho replikaci. Zjednodušený popis, jak Morris II funguje, je popsán níže.
- Útočník odešle e-mail s promptem
- Příjemcův AI asistent zpracuje e-mail a vygeneruje odpověď
- Součástí přijatého e-mailu jsou instrukce pro AI asistenta, který je následně vykoná
- Úkol, který má vykonat, je vytvořit e-mail a odeslat ho
- Tělo vygenerovaného e-mailu má obsahovat škodlivý prompt, přijatý od útočníka v kroku 1
- Odpoví útočníkovi a zároveň odešle vygenerované e-maily
- Celý proces se opakuje u ostatních příjemců s AI asistenty
V případě použití RAG (Retrieval Augmented Generation) se tento e-mail obsahující škodlivý prompt uloží v databázi, kterou AI asistenti využívají pro získání nového kontextu a ověřování informací. Během toho by měl dokázat získat přístup k osobním informacím, jako jsou e-maily a telefonní čísla, které připojí na konci odpovědi zaslané útočníkovi.
Nutnost spolupráce státního a soukromého sektoru
Dopady umělé inteligence na kybernetickou bezpečnost, ochrana podmořských kabelů před kybernetickými hrozbami a cizím narušením, kybernetické válčení či boj s organizovanými kyberkriminálními skupinami – to byla stěžejní témata letošní Prague Cyber Security Conference (PCSC).
Akce pořádaná Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) v koordinaci s Ministerstvem zahraničních věcí (MZV) do Prahy přivedla zahraniční hosty a vládní představitele z více než šedesáti zemí světa, a to nejen z Evropské unie a Severoatlantické aliance, ale také např. z Austrálie, Izraele, Jižní Koreji či Singapuru. V konferenčním centru České národní banky ve dnech 19. a 20. března 2024 jejich panelové diskuse se zájmem poslouchalo více než 300 návštěvníků.
Apple opravuje chybu, která umožňuje spuštění kódu pomocí zákeřného videa
Google Project Zero objevil (CVE-2024–1580) v dekodéru dav1d AV1 chybu, která má dopad na subsystémy CoreMedia a WebRTC v iOSu a macOS.
Chyba je typu integer overflow a umožňuje vykonání kódu pomocí zákeřně naformátovaného videa nebo obrázku. Není specifická jenom pro produkty Apple, ale i pro další software, který využívá danou knihovnu.
Záplaty Apple produktů, které tuto chybu odstraňují, jsou součástí iPadOS 17.4.1, iOS a iPadOS 16.7.7, visionOS 1.1.1, macOS Sonoma 14.4.1, macOS Ventura 13.6.6 a Safari 17.4.1 pro macOS Monterey a macOS Ventura. Více informací o chybě včetně PoC lze nalézt na bugs.chromium.org.
Staré routery pod měsícem
Tým Black Lotus Labs ve společnosti Lumen Technologies odhalil aktualizovanou verzi botnetu „TheMoon“, který je zaměřen na zastaralé routery pro malé kanceláře a domácí kanceláře (SOHO) a zařízení IoT, čímž ovlivnil přes 40.000 zařízení v 88 zemích. Poprvé byl identifikovaný v roce 2014 a v roce 2017 vylepšený o nejméně 6 exploitů zařízení IoT.
Tato varianta byla aktivní v lednu a únoru 2024 a výrazně přispěla k růstu proxy služby Faceless, kterou používají kyberzločinci pro dosažení anonymity. Infekční řetězec zahrnuje lehký loader, který nastavuje pravidla iptables pro řízení provozu, připojuje se k serveru pro řízení a kontrolu, aby stáhl a spustil další škodlivé payloady.
Software z diktatur se nevyplácí
Dle ukrajinských bezpečnostních složek se podařilo ruským hackerům získat přístup ke dvěma online bezpečnostním kamerám, které zachycovaly a vysílaly práci ukrajinské protivzdušné obrany. Informace z těchto kamer byly údajně zneužity k rozsáhlým útokům v Charkově a Kyjevě začátkem ledna tohoto roku. SBU označila využívání kamer s ruským nebo čínským softwarem za rizikové.
Ve zkratce
- Craftění štítů proti DDoS pro server Minecraftu
- Subjekty umožňující obchodování s virtuální měnou byly sankcionovány za pomáhání Rusku obejít sankce
- Americké ministerstvo spravedlnosti vzneslo obvinění ze závažné a dlouhotrvající kybernetické špionáže
- GEOBOX udělá z Raspberry Pi plug-and-play nástroj pro kyberzločin
Pro pobavení
Proč jste u toho vždycky vy tři?
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
