Aktivní zneužívání dvou zranitelností v platformě Zimbra
Společnost Volexity ve středu na svém blogu informovala, že identifikovala masivní vlnu pokusů o sekvenční zneužívání dvou zranitelností v Zimbra Collaboration Suite (ZCS).
Pro jednu ze zmíněných zranitelností (CVE-2022–27925 – umožňuje provést spuštění libovolného kódu) byla již v březnu 2022 publikována záplata, zatímco druhá zranitelnost (CVE-2022–37042 – umožňuje obejít autentizaci nezbytnou k využití první zmíněné zranitelnosti) byla nově objevena právě zmíněnou společností a záplaty pro ni byly publikovány teprve koncem července.
V reakci na toto oznámení umístila CISA obě CVE na seznam zranitelností, které musí státní organizace v USA povinně záplatovat.
Vzhledem k tomu, že i v České republice identifikovala společnost Volexity 9 již kompromitovaných instancí ZCS a rychlý dotaz na službě Shodan vrací v době publikace v rámci České republiky přes 450 serverů s veřejným rozhraním Zimbra Web Client pro přístup k elektronické poště a lze předpokládat, že ne všechny budou již záplatovány, je zcela jistě na místě doporučit urychlené povýšení ZCS na verze bez známých zranitelností také všem jeho „domácím“ provozovatelům.
(Částečně) úspěšný útok na síť společnosti Cisco
Společnost Cisco ve středu informovala o úspěšném průniku do své sítě v květnu tohoto roku ze strany externích aktérů s pravděpodobnými vazbami na skupiny UNC2447, Yanluowang a Lapsus$. K přístupu do interní sítě společnosti útočníci údajně využili VPN účet zaměstnance, jehož osobní Google účet dříve kompromitovali.
Dle detailního vyjádření společnosti Cisco na blogu její bezpečnostní skupiny Talos se průnik zřejmě podařilo identifikovat a zastavit, aniž by se útočníci dostali k citlivým interním systémům – získat měli pouze data z Box adresáře výše zmíněného uživatele a určité množství autentizačních údajů užívaných v rámci Active Directory.
Rovnou trojité zneužití RDP
Velmi nepříjemné dva týdny zažila dle nové zprávy společnosti Sophos v letošním květnu nejmenovaná společnost podnikající v automobilovém průmyslu.
Jednomu z partnerů skupiny za ransomwarem Lockbit se totiž údajně podařilo v průběhu dubna získat přístup k serveru této společnosti, na němž byla do internetu otevřená služba RDP. Z tohoto serveru se mu následně podařilo kompromitovat další stroje a získat z nich data, v návaznosti na což 1. května spustil skripty, které začaly šifrovat data na celkem 19 koncových bodech.
Zatímco toto šifrování probíhalo, k interní síti získal přes stejný server přístup i partner skupiny za ransomwarem Hive, který následně rozšířil vlastní kryptomalware na celkem 16 systémů a s jeho pomocí zašifroval na nich uložená data.
IT specialisté zasažené společnosti poté provedli obnovu zasažených systémů ze záloh, avšak den nato se stejnou cestou jako oba výše zmínění aktéři dostal do sítě dané společnosti také partner skupiny za ransomwarem ALPHV/BlackCat. Ten následně zkopíroval vybraná data na externí server a 15. května využil vlastní ransomware k zašifrování souborů na šesti koncových bodech.
Výše popsaná sekvence událostí velmi dobře demonstruje nebezpečí spojené s nevhodně zabezpečeným externím přístupem ke službám typu RDP (resp. s nedostatečně chráněným a řízeným síťovým perimetrem) a může tak sloužit jako velmi dobré varování v této oblasti.
CISA publikovala „Cybersecurity Toolkit to Protect Elections“
Cybersecurity & Infrastructure Agency (CISA), federální regulátor pro oblast kybernetické bezpečnosti v USA, publikovala v uplynulém týdnu stránku nazvanou Cybersecurity Toolkit to Protect Elections.
Přestože – jak název napovídá – jde o portál určený především pro jednotlivce a organizace participující na zabezpečení voleb, lze jeho návštěvu doporučit i specialistům zodpovědným za kybernetickou bezpečnost v jinak zaměřených organizacích. Obsahuje totiž mj. odkazy na řadu (mnohdy volně dostupných) nástrojů a postupů umožňujících zefektivnit ochranu organizací před hrozbami, jako je phishing, ransomware a útoky typu DDoS, i uspíšit detekci těchto hrozeb.
Nové záplaty pro produkty společnosti Microsoft
Společnost Microsoft v rámci pravidelného „Patch Tuesday“ updatu publikovala balík záplat pro své produkty. Ze záplatovaných zranitelností si relativně velkou pozornost médií i bezpečnostní komunity získala zejména zranitelnost DogWalk (CVE-2022–30134), která byla opravena po více než dvou letech od prvního nahlášení její existence.
Zvláštní zmínku však zaslouží rovněž záplata pro zranitelnost v Microsoft Exchange, jíž byl přiřazen identifikátor CVE-2022–30134 a která pro zajištění plné ochrany postiženého systému před útokem vyžaduje nastavení módu Extended Protecion, což nemusí být administrátorům při aplikaci záplaty nezbytně zřejmé.
Za útoky na instituce ve východní Evropě zřejmě stojí čínská skupina
Dle nově publikované analýzy společnosti Kaspersky byly lednové útoky cílené (nejen) na organizace působící ve vojenském průmyslu v Rusku, Bělorusku a na Ukrajině (a v Afghánistánu) zřejmě dílem čínské APT skupiny TA428.
Specialisté výše zmíněné společnosti byli schopní určit, že za útoky s vysokou pravděpodobností stojí právě tato skupina mj. v důsledku znovupoužití vybraných typů škodlivého kódu a C2 serveru, které byly již dříve využity jmenovanou skupinou k realizaci útoků na jiné organizace. Zdá se, že cílem útoků bylo získání citlivých informací.
Závěry uvedené v analýze společnosti Kaspersky jsou zajímavé mj. proto, že velmi dobře dokumentují trend v cílení na země východní Evropy ze strany čínských APT skupin, který je zejména v posledních letech stále citelnější.
Další zajímavosti
- Dle dat společnosti Avast byl druhý kvartál roku 2022 o téměř čtvrtinu bohatší na ransomwarové útoky než kvartál první
- Byly publikovány detaily o zranitelnosti AEPIC Leak umožňující do určité míry vyčítat data z vyrovnávací paměti v procesorech Intel
- Spojené státy nabízí odměnu až 10 milionů dolarů za informace o členech skupiny Conti
- Byla publikována nová verze Kali Linux (2022.3)
- V repozitáři PyPI bylo nalezeno dalších 10 škodlivých balíčků
- Microsoft bude volně publikovat symboly pro Office aplikace
- Byl publikován Open Cybersecurity Schema Framework (OSCF) – projekt poskytující jednotný rámec pro vývoj schémat pro využití v rámci (nejen) bezpečnostního logování
- Bývalý zaměstnanec Twitteru předával Saudské Arábii data o uživatelích kritických k místnímu režimu
- Byla publikována nová verze nástroje capa s podporou pro .NET PE soubory
- Databáze Twitterových účtů, jejichž informace byly v nedávné době zcizeny, byla přidána do služby Have I Been Pwned
- Na konferenci Black Hat byl prezentován útok na satelitní terminál Starlink umožňující při získání fyzického přístupu k zařízení získat plnou kontrolu nad ním
Pro pobavení
Air Gap: You can still do powerline networking, but the bitrate does drop a little depending on the lightbulb warmup and cooldown delay.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU