PwnKit postihuje většinu linuxových distribucí
Výzkumný tým společnosti Qualys v úterý publikoval informace o zranitelnosti v pkexec, jednom z nástrojů komponenty polkit (dříve PolicyKit), která umožňuje neprivilegovanému uživateli spouštět kód s oprávněními roota. Zranitelnost s CVE-2021–4034, kterou výzkumný tým nazval PwnKit, je využitelná pouze lokálně (jde tedy o tzv. Local Privilege Escalation – LPE), nicméně vzhledem k rozšířenosti balíku polkit postihuje snad všechny významnější linuxové distribuce. Jelikož se nedlouho po zveřejnění detailů zranitelnosti objevil také plně funkční exploit, lze doporučit prioritizovat záplatování této zranitelnosti na všech postižených systémech.
Microsoft informoval o rekordně silném DDoS útoku
Společnost Microsoft v úterý publikovala článek věnovaný trendům v oblasti DDoS útoků cílených na prostředí Azure ve druhé polovině loňského roku. Mezi jinými zajímavostmi v něm zmiňuje i detekci (a mitigaci) tří DDoS útoků, které svou silou přesahovaly 2,5 Tbps – jeden o velikosti 2,55 Tbps, druhý o velikosti 3,25 Tbps a třetí o velikosti 3,47 Tbps (při cca 340 Mpps). Poslední zmíněný útok byl detekován v listopadu a je v současnosti nejsilnějším publikovaným DDoS útokem vůbec.
Systémy běloruských železnic zasaženy ransomwarem
Hacktivistická skupina Belarusian Cyber-Partisans v pondělí informovala o akci, při níž se jí údajně podařilo kompromitovat síť běloruských železnic, smazat data na vybraných systémech a zašifrovat data na systémech dalších. Cílem tohoto útoku bylo dle vyjádření skupiny nikoli získat výkupné, ale přimět vládní režim k propuštění 50 politických vězňů a zabránění přesunů ruských vojsk na běloruském území, k nimž v současnosti v souvislosti s vyostřenou politickou situací v regionu dochází.
Jedním z potvrzených dopadů útoku bylo například vyřazení prodejního portálu s lístky z provozu, dle vyjádření samotných útočníků pak došlo také k likvidaci nebo zašifrování interních databází užívaných pro řízení dopravy, stanic a aktivit spojených s celním řízením. Vlastní řídící a signalizační systémy drah nijak postiženy nebyly.
Událost je zajímavá zejména proto, že jde o zřejmě první využití ransomwaru pro politické cíle, při němž útočníkem nebyl národní stát nebo jím sponzorovaná nebo na něj obdobně navázaná skupina.
Revokace velkého počtu certifikátů Let’s Encrypt
Certifikační autorita Let’s Encrypt ve středu informovala o nutnosti revokace vybraných certifikátů vydaných v posledních 90 dnech. Důvodem byla chybná implementace validací s pomocí metody TLS ALPN, která plně neodpovídala relevantnímu RFC standardu, na straně jmenované certifikační autority. Certifikáty vydané a validované s pomocí TLS ALPN před implementací relevantní opravy tak budou revokovány a musí být nahrazeny certifikáty novými.
Dle vyjádření Let’s Encrypt se situace dotýká méně než 1 % všech aktivních certifikátů, nicméně vzhledem k dominantnímu postavení zmíněné certifikační autority lze předpokládat že u všech serverů nedojde k včasnému nahrazení revokovaných certifikátů a počátek února tak bude provázet o něco větší počet hlášení o „nedůvěryhodných spojeních“ ve webových prohlížečích, než je obvyklé.
Záplaty pro produkty Apple opravující i dvě 0-day zranitelnosti
Společnost Apple ve středu publikovala záplaty pro iOS/iPadOS, které kromě jiných opravují i aktivně zneužívanou zranitelnost s CVE-2022–22587, která v důsledku chybné práce s pamětí v komponentě IOMobileFrameBuffer umožňovala libovolné aplikaci spouštět kód s oprávněními jádra. Vzhledem k tomu, že jde tak o velmi závažnou zranitelnost, je i v případě produktů firmy Apple na místě doporučit urychlené záplatování.
Nešlo navíc o jedinou 0-day zranitelnost, kterou v rámci balíku záplat Apple v uplynulém týdnu publikoval – opravena byla rovněž zranitelnost s CVE-2022–22594, která v důsledku nekorektní implementace IndexedDB API v prohlížeči Safari umožňovala stránkám obcházet omezení vyplývající ze same-origin policy a přistupovat tak k datům svázaným s jinými otevřenými weby.
Další zajímavosti
- Zerodium nabídlo $400000 za 0-day RCE exploit pro Outlook
- Z DeFi platformy Qubit Finance bylo odcizeno přibližně $80 milionů
- Finsko informovalo o nalezení spywaru Pegasus v telefonech svých diplomatů
- Francouzské ministerstvo spravedlnosti bylo zasaženo ransomwarem
- NÚKIB vydal Upozornění na zvýšené riziko kyberšpionáží či ransomwarových útoků proti České republice
- ENISA publikovala zprávu popisující základní principy ochrany osobních dat
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
